Rubrik: Produkte/Tests

German-Secure: Penetration-Test der Firewall "Zone Alarm Desktop Firewall Pro"

Nur für Privatgebrauch geeignet - Einem UDP Flood hat die Firewall nicht standgehalten

(09.03.04) - In einem Security-Test mit Penetration auf die beliebte und bekannte Firewall "Zone Alarm Pro" in der aktuellen Version ist verdeutlicht worden, wo die Angriffs- und Schwachpunkte der Desktop-Firewalls liegen. Die Zone Alarm Pro konnte unter den Testbedingungen (keine Laborbedingungen) nicht den tatsächlichen Angriffen stand halten. Zitat: "Schlussendlich werden UDP-Pakete in einer enormen Abfolge und Größe auf das Zielsystem geschickt, die dann die Zonealarm zum erliegen bringen und der Stillstand der Zone Alarm eintritt. Hierbei sprechen wir von einem UDP Flood, dem die Firewall nicht standgehalten hat." Die Firewall wird als brauchbar eingestuft, sofern sich ihr Einsatz auf den privaten Bereich beschränkt.

Details

Testversion: ZoneAlarm Pro 4.5.532.000, download am 27.01.04 von der offiziellen Homepage

Tester:

Mixter: 55Mbit-Anbindung, Angriffssystem Gentoo Linux (Webseite Gentoo Linux)

M.Rogge (German-Secure)

Testsystem: Windows XP Professional, SP-1 (un.SP-2), Office2003, DSL Anbindung. 1800 MHz Prozessor, 512 MB RAM, alle Fixes von Microsoft installiert und Servicepacks ebenfalls.

Systemanforderungen:

·         IBM PC oder 100 Prozent kompatibler Computer,

·         Pentium Prozessor mit 233 MHz

·         Windows 98SE/ME/2000/XP, 32 MB RAM sowie 10 MB freier Festplattenspeicherplatz.

Einführung

Die Installation der Desktop-Firewall geschieht problemlos und nach einer kurzen Einweisung ist das System einsatzbereit ohne einen Systemneustart. Auch die übliche Einrichtung verläuft reibungslos und wir wählen die Experten Option aus, so besteht die Möglichkeit einzelne Programme gezielt im Vorfeld zu erlauben oder zu verbieten. Nach einem kurzem Start des Internet Explorer ist bereits die Anfrage da, ob IE Explorer eine Verbindung aufbauen darf. Jegliche Verbindungen von Programmen arbeiten reibungslos und verursachen keine Probleme.

Angriffsarten und die Folgen

Ø       Zunächst einmal wurden einfach Scans durchgeführt, die mittels PING ermitteln sollten, ob das System durch die Firewall angesprochen werden kann. Hierzu wurden entsprechende Konfigurationen vorgenommen. Es ist zu erkennen, dass Pakete unter ICMP / PING / REQUESTS blockiert werden und entsprechend kein Ergebnis nach außen geliefert werden soll. Dem ersten Angriff, der in Form eines ICMP Floods gestartet wurde, hielt die Zone Alarm stand und blockierte die ankommenden Pakete zuverlässig, und es war auch kein merklicher Unterschied der Arbeitsweise erkennbar.

Ø       Als nächstes wurden nachfolgende Angriffsformationen gegen die Zone Alarm gefahren. Stream-Attacken auf Port 137+139 (ack flood) wurden durchgeführt sowie weitere Stream-Attacken auf zufällige Ports. Merklich sinkt hier bereits die Leistung der Leitung und ein Online Messenger kann nicht mehr die Verbindung aufrecht erhalten. Auch die Zone Alarm strauchelt und verweigert teilweise bereits hier eine korrekte Verbindungsleistung zum Internet.

Ø       Anschließend ein NMAP Scna: -sS -n -p1-65535 -TInsane -P0 YOURIP (=full TCP scan, random port order). Zur Erklärung: -sS tcp SYN stealth port scan, hierzu werden gespoofte IP-Pakete eingesetzt sowie T, wo die exakte Zeit auf das Zielsystem angepasst werden kann in der Paranoid Funktion des Scans. Die Zone Alarm Firewall verrichtet dennoch bisher die Arbeit und blockiert fleißig eintreffende Pakete, jedoch unter merklich schwerer System- und Prozessorlast!

Ø       Schlussendlich werden UDP-Pakete in einer enormen Abfolge und Größe auf das Zielsystem geschickt, die dann die Zonealarm zum erliegen bringen und der Stillstand der Zone Alarm eintritt. Hierbei sprechen wir von einem UDP Flood, dem die Firewall nicht standgehalten hat.

Ø       Ebenfalls auffällig, die Zone Alarm konnte Targa3-Attacken weder in der Form erkennen, noch konnte die Zone Alarm diesem Stand halten. Auch hier brach die Zone Alarm unter einem Feuer auf das UDP-Protokoll am Zielsystem (Victim) zusammen und verweigerte die Arbeit. Diese Schwachstelle ist jedoch bereits bekannt und als Exploit veröffentlicht worden.

Ø       Es handelt sich um eine Angriffsformation mittels ZoneAlarm DoS - UDP flood on random ports 0-65535, sprich auf jegliche Portziele mittels DoS auf UDP Basis auf ein Zielsystem. Die Schwachstelle: Bugtraq: ZoneAlarm remote Denial Of Service exploit.

Fazit und Schlussbemerkung

Schlussendlich sollte hier erwähnt werden, dass mit einer so enormen Bandbreite durchaus ein sehr großer Schaden angerichtet werden kann. Ebenfalls als gefährlich einzustufen sind die Angriffsmethoden, die absolut nachvollziehbar und realistisch sind. Im alltäglichen Einsatz ist die Zone Alarm sicherlich eine brauchbare Desktop-Firewall für den rein privaten Gebrauch, lies sich jedoch schneller problemlos attackieren als vergleichsweise die Outpost Firewall in Test 1 und Test 2.

Weiterführende Informationen:

Exploit der Zone Alarm, immer noch ausführbar auf das hier vorliegende Zielsystem: http://seclists.org/lists/bugtraq/2003/Sep/0019.html

NMAP - Deutsche Befehle, Hilfe und Anleitung: NMAP von German-Secure /M.Rogge

DDoS Attacken: Bericht von German-Secure // Mixter / Rogge

Penetration der Outpost Firewall: German-Secure // Mixter / Rogge

Mixter im Web: http://mixter.void.ru

Test und Durchführung: Mixter & M.Rogge, 27.01.04; German-Secure & Mixtersecurity

Zone Labs wurde darüber am 27.01.04 selbstverständlich informiert.

Weitere Details zum Test, siehe: http://www.german-secure.de/index.php?option=articles&task=viewarticle&artid=59&Itemid=3 . (ma)

German-Secure IT Sicherheitsberatung

Tel. (09561) 792720

E-Mail: mr@german-secure.de

Web: www.german-secure.de