![\"EZcyo5-XsAIZ21O\"](\"https:\/\/relnet.hu\/wp-content\/uploads\/2020\/08\/EZcyo5-XsAIZ21O.png\")
<\/p>\nAz ICSA Labs az amerikai Verizon c\u00e9g div\u00edzi\u00f3jak\u00e9nt csaknem 30 \u00e9ve v\u00e9gzi vezet\u0151 biztons\u00e1gi fejleszt\u0151k \u00e9s szolg\u00e1ltat\u00f3k term\u00e9keinek f\u00fcggetlen tesztel\u00e9s\u00e9t \u00e9s tan\u00fas\u00edt\u00e1s\u00e1t annak \u00e9rdek\u00e9ben, hogy nagyban jav\u00edtsa a felhaszn\u00e1l\u00f3i bizalmat ezen megold\u00e1sok vonatkoz\u00e1s\u00e1ban. 2020. m\u00e1jus\u00e1ban az ICSA Labs a Juniper virtu\u00e1lis t\u0171zfal\u00e1t vizsg\u00e1lta meg \u00e9s vetette \u00f6ssze saj\u00e1t szigor\u00fa t\u0171zfalsztenderdjeivel.
\njustify
\nno-repeat;left top;;
\nauto<\/p>\n
<\/p>\n
\nAz egyre terjed\u0151 virtualiz\u00e1ci\u00f3s ig\u00e9nyek kih\u00edv\u00e1saira t\u00f6rt\u00e9n\u0151 v\u00e1laszk\u00e9nt a Juniper virtu\u00e1lis t\u0171zfallal b\u0151v\u00edtette az SRX Services Gateways term\u00e9kcsal\u00e1dj\u00e1t. A vSRX teljes \u00e9s integr\u00e1lt biztons\u00e1gi megold\u00e1st ny\u00fajt szolg\u00e1ltat\u00f3knak \u00e9s nagyv\u00e1llalatoknak egyar\u00e1nt.
\n
\nA vSRX automatiz\u00e1lt konfigur\u00e1ci\u00f3s k\u00e9pess\u00e9gei lehet\u0151v\u00e9 teszik a c\u00e9gek sz\u00e1m\u00e1ra, hogy a t\u0171zfalv\u00e9delm\u00fck rugalmas \u00e9s teljes testre szab\u00e1s\u00e1val meg tudjanak felelni a virtualiz\u00e1lt \u00e9s felh\u0151alap\u00fa k\u00f6rnyezetek dinamikus elv\u00e1r\u00e1sainak. Tov\u00e1bb\u00e1 a rendszergazd\u00e1k a vSRX \u00e9s a Junos Space Security Director kombin\u00e1l\u00e1s\u00e1val egys\u00e9ges, k\u00f6zpontos\u00edtott platformon tudnak nagym\u00e9rt\u00e9kben jav\u00edtani a szab\u00e1lykonfigur\u00e1ci\u00f3n, -kezel\u00e9sen \u00e9s -l\u00e1that\u00f3s\u00e1gon, mind a fizikai, mind a virtu\u00e1lis eszk\u00f6z\u00f6k tekintet\u00e9ben.
\n<\/p>\n
\nAz ICSA Labs saj\u00e1t tesztel\u00e9si k\u00f6vetelm\u00e9nyrendszert \u00e9s ipar\u00e1gi szabv\u00e1nyt dolgozott ki a t\u0171zfalakra, amelyet az eg\u00e9sz ipar\u00e1g elismer. Egy t\u0171zfal biztons\u00e1gi tesztje ut\u00e1n az adott term\u00e9k a szerz\u0151d\u00e9s ideje alatt folyamatosan \u00fczemben marad a laborban, annak \u00e9rdek\u00e9ben, hogy \u00e9szlelni lehessen a felmer\u00fcl\u0151 t\u00e1mad\u00e1sokat \u00e9s a t\u0171zfal v\u00e9delmi reakci\u00f3j\u00e1t. Ahhoz, hogy az adott t\u0171zfal megtarthassa az ICSA Labs tan\u00fas\u00edtv\u00e1ny\u00e1t, k\u00e9pesnek kell lennie elh\u00e1r\u00edtani ezeket a t\u00e1mad\u00e1sokat.
\n<\/p>\n
\nAz ICSA Labs a saj\u00e1t k\u00f6rnyezet\u00e9ben telep\u00edtette a vSRX Virtual Firewall-t. A tesztel\u00e9s a 19.2R1.8. szoftververzi\u00f3val kezd\u0151d\u00f6tt, \u00e9s eredm\u00e9nyesen \u00e9rt v\u00e9get a 19.4R1.10. verzi\u00f3val. A k\u00f6vetelm\u00e9nyek teljes\u00edt\u00e9se \u00e9rdek\u00e9ben a Juniper Networks \u00e1tadta a telep\u00edt\u00e9shez, konfigur\u00e1ci\u00f3hoz \u00e9s m\u0171k\u00f6dtet\u00e9shez sz\u00fcks\u00e9ges dokument\u00e1ci\u00f3t. Az ICSA Labs ezen dokument\u00e1ci\u00f3 alapj\u00e1n \u00fczemelte be a term\u00e9ket, \u00e1m a tesztel\u00e9si folyamat el\u0151k\u00e9sz\u00fcleteiben, a t\u0171zfal esetleges sebezhet\u0151s\u00e9g\u00e9nek felt\u00e1r\u00e1sa \u00e9rdek\u00e9ben egyedi policy be\u00e1ll\u00edt\u00e1sokat \u00e9s konfigur\u00e1ci\u00f3kat is v\u00e9gzett a bej\u00f6v\u0151 \u00e9s kimen\u0151 adatforgalomra egyar\u00e1nt.
\n
\nA t\u0171zfalterm\u00e9kek eset\u00e9ben minim\u00e1lis elv\u00e1r\u00e1s, hogy megfeleljenek az ICSA Labs \u00e1ltal elv\u00e1rt biztons\u00e1gi szolg\u00e1ltat\u00e1si szab\u00e1lyoknak (\u00fan. RSSP-nek). A tesztel\u00e9s alkalm\u00e1val kider\u00fclt, hogy a vSRX megfelel\u0151en kezelte az enged\u00e9lyezett kimen\u0151 \u00e9s bej\u00f6v\u0151 k\u00e9r\u00e9seket, mik\u00f6zben egyik ir\u00e1nyban sem ment \u00e1t rajta az RSSP-t megszeg\u0151 adatforgalom.
\n
\nAzoknak a t\u0171zfalaknak, amelyeket nagyv\u00e1llalati \u00e9s korm\u00e1nyzati k\u00f6rnyezetbe sz\u00e1nnak, rendk\u00edv\u00fcl kiterjedt napl\u00f3z\u00e1si k\u00e9pess\u00e9gekkel kell rendelkezni\u00fck. Ez\u00e9rt az ICSA Labs is nagy hangs\u00falyt fektetett arra, hogy kider\u00fclj\u00f6n a vSRX hogyan teljes\u00edt ezen a ter\u00fcleten. A term\u00e9knek regisztr\u00e1lnia kell t\u00f6bbek k\u00f6z\u00f6tt minden enged\u00e9lyezett \u00e9s megtagadott forgalmat, rendszerind\u00edt\u00e1st, szab\u00e1lyv\u00e1ltoz\u00e1st \u00e9s bejelentkez\u00e9si k\u00eds\u00e9rletet. Az ICSA Labs \u00fagy \u00e1ll\u00edtotta be a vSRX t\u0171zfalat, hogy az lok\u00e1lisan is \u00e9s egy syslog szerveren is t\u00e1rolja a bejegyz\u00e9seket. A Juniper virtu\u00e1lis t\u0171zfal\u00e1nak siker\u00fclt eleget tennie az ICSA Labs minden napl\u00f3z\u00e1si k\u00f6vetelm\u00e9ny\u00e9nek.
\n
\nA term\u00e9k adminisztr\u00e1ci\u00f3j\u00e1hoz sz\u00fcks\u00e9g van el\u0151zetes autentik\u00e1ci\u00f3ra. Az ICSA sz\u00e1m\u00e1ra nem csak az fontos, hogy az autentik\u00e1ci\u00f3t ne lehessen megker\u00fclni, hanem az is, hogy a t\u00e1voli adminisztr\u00e1ci\u00f3s forgalom titkos\u00edtva legyen. A vSRX mindezeknek az adminisztr\u00e1ci\u00f3s k\u00f6vetelm\u00e9nyeknek eleget tett a tesztel\u00e9s sor\u00e1n.
\n
\nAz \u00e1lland\u00f3s\u00e1g tekintet\u00e9ben az \u00e1ramkimarad\u00e1sok nem okozhatnak adatveszt\u00e9st a t\u0171zfalban, p\u00e9ld\u00e1ul nem \u00e9rinthetik a t\u00e1voli adminisztr\u00e1ci\u00f3s be\u00e1ll\u00edt\u00e1sokat, a biztons\u00e1gi szab\u00e1lyrendszer konfigur\u00e1ci\u00f3j\u00e1t, \u00e9s p\u00e9ld\u00e1ul a napl\u00f3z\u00e1si \u00e9s autentik\u00e1ci\u00f3s adatokat sem. Az ICSA Labs k\u00e9nyszer\u00edtett \u00e1ramlekapcsol\u00e1sai ut\u00e1n a vSRX nem mutatott semmilyen adatveszt\u00e9st, sem m\u0171k\u00f6d\u00e9si kies\u00e9st, teh\u00e1t megfelelt minden \u00e1lland\u00f3s\u00e1gi elv\u00e1r\u00e1snak.
\n
\nEgy t\u0171zfalterm\u00e9k dokument\u00e1ci\u00f3j\u00e1nak pontosnak, r\u00e9szletesnek \u00e9s \u00e9rv\u00e9nyesnek kell lennie, illetve ki kell terjednie a telep\u00edt\u00e9sre, konfigur\u00e1ci\u00f3ra \u00e9s adminisztr\u00e1ci\u00f3ra. Az ICSA Labs e tekintetben is megfelel\u0151nek tal\u00e1lta a Juniper virtu\u00e1lis t\u0171zfal\u00e1t.
\n
\nMiut\u00e1n a laborban egy t\u0171zfalat egy biztons\u00e1gi szab\u00e1lyrendszer alkalmaz\u00e1s\u00e1ra konfigur\u00e1lnak, a policy \u00e1ltal enged\u00e9lyezett szolg\u00e1ltat\u00e1soknak megfelel\u0151en kell m\u0171k\u00f6dni\u00fck. A term\u00e9knek meg kell \u00e1ll\u00edtania minden j\u00f3l ismert, potenci\u00e1lisan \u00e1rtalmas viselked\u00e9st, amelyek egyes h\u00e1l\u00f3zati protokollokban tal\u00e1lhat\u00f3k, ugyanakkor v\u00e1ltozatlanul fenn kell tartania a megfelel\u0151s\u00e9get a vonatkoz\u00f3 h\u00e1l\u00f3zati protokollal. A funkcion\u00e1lis \u00e9s biztons\u00e1gi tesztel\u00e9shez az ICSA Labs t\u00f6bbf\u00e9le tesztel\u00e9si eszk\u00f6zzel t\u00e1madta a vSRX t\u0171zfalat, hogy megk\u00eds\u00e9relje legy\u0151zni vagy megker\u00fclni a t\u0171zfal alkalmazott biztons\u00e1gi szab\u00e1lyrendszer\u00e9t. B\u00e1r eleinte a term\u00e9k nem tett eleget minden funkcion\u00e1lis \u00e9s biztons\u00e1gi k\u00f6vetelm\u00e9nynek, a Juniper reag\u00e1lt az ICSA felvet\u00e9seire, jav\u00edtott a term\u00e9ken, amelyet ezut\u00e1n \u00faj tesztel\u00e9snek vetettek al\u00e1. A vSRX ekkor m\u00e1r ellen\u00e1llt a kimen\u0151 \u00e9s bej\u00f6v\u0151 t\u00e1mad\u00e1soknak, bele\u00e9rtve a terhel\u00e9ses \u00e9s fragment\u00e1ci\u00f3s pr\u00f3b\u00e1kat is. R\u00e1ad\u00e1sul a legitim adatforgalom \u00e1thalad\u00e1s\u00e1t a t\u0171zfal tov\u00e1bbra is enged\u00e9lyezte.
\n<\/p>\n
\nMivel a vSRX Virtual Firewall \u00e1tment az ICSA Labs valamennyi biztons\u00e1gi ellen\u0151rz\u00e9s\u00e9n \u00e9s a term\u00e9k eleget tett az ICSA miden tan\u00fas\u00edt\u00e1si k\u00f6vetelm\u00e9ny\u00e9nek, a Juniper Networks term\u00e9ke megszerezte az ICSA Labs V\u00e1llalati t\u0171zfal tan\u00fas\u00edtv\u00e1ny\u00e1t.<\/p>\n