W tym dokumencie: 1 Wprowadzenie ataki na aplikacje. 2 Application Intelligence ochrona przed zagro eniami nowej generacji 3 Warstwy sieci i transportu: konieczna podstawa dla technologii Application Intelligence 4 Wnioski 5 Za³¹cznik
WPROWADZENIE ATAKI NA APLIKACJE W ci¹gu ostatnich kilku lat korporacyjne zapory firewall sta³y siê podstawowym elementem architektury bezpieczeñstwa sieci. Zaprojektowane g³ównie jako mechanizm kontroli dostêpu do zasobów sieciowych, zapory firewall pomyœlnie wdro ono w znakomitej wiêkszoœci instalacji sieciowych. Najwa niejszym powodem sukcesu zapór firewall jest fakt, e je eli urz¹dzenia te wykorzysta siê do wymuszania w³aœciwie zdefiniowanej polityki bezpieczeñstwa, zazwyczaj zapobiegaj¹ one ponad 90% atakom sieciowym. We wspó³czesnym œwiecie, gdzie konkurencja odgrywa tak istotn¹ rolê, ma to kluczowe znaczenie dla zapewnienia niezawodnoœci sieci. Jednak chocia wiêkszoœæ zapór firewall zapewnia skuteczn¹ kontrolê dostêpu, wiele z nich nie umo liwia wykrywania i zwalczania ataków na poziomie aplikacji. Zdaj¹c sobie sprawê z tego faktu, hakerzy opracowali skomplikowane ataki maj¹ce na celu obejœcie tradycyjnych mechanizmów kontroli dostêpu stosowanych w granicznych zaporach firewall. Wiedza wspó³czesnych hakerów jest ogromna. Stosowane przez nich techniki nie ograniczaj¹ siê ju tylko do skanowania otwartych portów w zaporach firewall. Ich bezpoœrednim celem sta³y siê aplikacje. Do najpowa niejszych zagro eñ we wspó³czesnym œrodowisku internetowym nale ¹ ataki polegaj¹ce na próbach wykorzystania znanych s³abych punktów aplikacji. Hakerzy szczególnie interesuj¹ siê takimi us³ugami, jak HTTP (port TCP numer 80) oraz HTTPS (port TCP numer 443), które w wielu sieciach s¹ otwarte. Urz¹dzenia kontroli dostêpu nie potrafi¹ w ³atwy sposób wykryæ z³oœliwych eksploitów, których celem s¹ wspomniane us³ugi. Dziêki skierowaniu ataków bezpoœrednio na aplikacje, hakerzy próbuj¹ osi¹gn¹æ co najmniej jeden z kilku wymienionych poni ej celów: zablokowanie dostêpu do us³ug uprawnionym u ytkownikom (ataki DoS); uzyskanie dostêpu z prawami administratora do serwerów lub klientów aplikacji; uzyskanie dostêpu do baz danych; instalacja koni trojañskich, które umo liwiaj¹ pominiêcie mechanizmów bezpieczeñstwa i uzyskanie dostêpu do aplikacji; instalacja na serwerze programów dzia³aj¹cych w trybie nas³uchu, które przechwytuj¹ identyfikatory i has³a u ytkowników. Poniewa ataki skierowane przeciwko aplikacjom s¹ skomplikowane, skuteczne mechanizmy ochrony przed tymi atakami musz¹ byæ równie skomplikowane i inteligentne. Korporacyjne zapory firewall, w celu zapobiegania zagro eniom powodowanym przez ataki skierowane na aplikacje, musz¹ zapewniaæ kompleksow¹ ochronê na wielu poziomach. Mechanizmy ochrony powinny zabezpieczaæ zarówno przed atakami skierowanymi na sieæ, jak i aplikacje, a jednoczeœnie zapewniaæ œcis³¹ kontrolê dostêpu do zasobów informatycznych. Check Point Application Intelligence jest zbiorem zaawansowanych mechanizmów, zintegrowanych z technologiami firmy Check Point FireWall-1 i SmartDefense, które wykrywaj¹ i zabezpieczaj¹ przed atakami poziomu aplikacji. Application Intelligence ochrona przed zagro eniami nowej generacji Wiele zapór firewall, w szczególnoœci tych, które bazuj¹ na technologii Stateful Inspection zawiera pokaÿny arsena³ mechanizmów obronnych przed atakami sieciowymi. W efekcie, coraz czêœciej w atakach wykorzystuje siê s³abe punkty aplikacji sieciowych, a coraz rzadziej kieruje siê je bezpoœrednio przeciwko zaporom firewall. Ta istotna zmiana w metodologii ataków wymaga od zapór firewall nie tylko mechanizmów kontroli dostêpu i ochrony przed atakami poziomu sieci, ale tak e zrozumienia dzia³ania aplikacji w celu ochrony przed atakami skierowanymi na aplikacje i ich uszkodzeniem. Aplikacji (warstwa 7) Prezentacji (warstwa 6) Sesji (warstwa 5) Transportu (warstwa 4) Sieci (warstwa 3) ¹cza danych (warstwa 2) Fizyczna (Layer 1) Przyk³adowe protoko³y HTTP, FTP, RPC, SMTP TCP, UDP Model referencyjny OSI (Open Systems Interconnection) IP Ethernet Model referencyjny OSI umo liwia opis sposobu transmisji danych pomiêdzy urz¹dzeniami w sieci. UWAGA: Warstwa aplikacji nie jest w³aœciw¹ aplikacj¹ u ytkownika, ale zestawem us³ug umo liwiaj¹cych oprogramowaniu aplikacyjnemu komunikacjê w sieci. Ró nice pomiêdzy warstwami 5, 6 i 7 nie zawsze s¹ jasne. Istniej¹ modele, w których s¹ one ³¹czone. W³aœnie w taki sposób zinterpretowano te warstwy w niniejszym artykule.
Bazuj¹ca na najbardziej elastycznej i inteligentnej technice inspekcji INSPECT, technologia Check Point Application Intelligence zapewnia rozszerzony zakres zabezpieczeñ sieciowych. BEZPIECZEÑSTWO WARSTWY APLIKACJI Warstwa aplikacji jest czêstym celem ataków z kilku powodów. Po pierwsze, jest to warstwa, w której znajduje siê ostateczny cel hakerów dane u ytkowników. Po drugie, warstwa aplikacji obs³uguje wiele protoko³ów (HTTP, CIFS, VoIP, SNMP, SMTP, SQL, FTP, DNS, itp.), a zatem stwarza mo liwoœæ skorzystania z wielu potencjalnych metod ataku. I po trzecie, wykrywanie i ochrona przed atakami w warstwie aplikacji jest trudniejsza od ochrony w ni szych warstwach, poniewa warstwa aplikacji ma wiêcej s³abych punktów. W celu skutecznego zapewnienia bezpieczeñstwa poziomu aplikacji, zabezpieczenie musi zapewniaæ nastêpuj¹ce cztery mechanizmy obrony: 1) Sprawdzanie zgodnoœci ze standardami Zapory firewall musz¹ mieæ mo liwoœæ sprawdzenia, czy komunikacja odbywa siê zgodnie z odpowiednimi standardami protoko³ów. Naruszenie standardów transmisji mo e byæ wskaÿnikiem z³oœliwego ruchu. Ka dy ruch, który nie przestrzega œciœle standardów protoko³u lub aplikacji, zanim dostanie siê do sieci chronionej, musi byæ poddany szczegó³owej analizie. W innym przypadku kluczowe dla biznesu aplikacje mog¹ byæ w niebezpieczeñstwie. Oto przyk³ady: Voice Over IP (VoIP) w transmisji VoIP zazwyczaj wykorzystuje siê protoko³y H.323 i SIP. Dzia³anie tych protoko³ów jest doœæ skomplikowane, w efekcie w ustanowieniu i utrzymaniu po³¹czeñ VoIP wykorzystuje siê wiele portów komunikacyjnych. Niew³aœciwe przestrzeganie tych protoko³ów mo e spowodowaæ, e instalacja VoIP bêdzie wra liwa na nastêpuj¹ce niebezpieczeñstwa: przekierowania po³¹czeñ po³¹czenia trafiaj¹ do innego odbiorcy, ni planowano; kradzie po³¹czeñ dzwoni¹cy podaje siê za kogoœ innego; ataki Denial of Service (DoS) blokowanie uprawnionym u ytkownikom dostêpu do us³ugi VoIP. Bramy zabezpieczeñ musz¹ zapewniæ pe³n¹ zgodnoœæ poleceñ H.323 i SIP z odpowiednimi standardami i dokumentami RFC oraz w³aœciw¹ strukturê pakietów oraz kolejnoœæ ich transmisji. Dodatkowo, zapory firewall powinny sprawdzaæ zawartoœæ pakietów przesy³anych przez ka dy z dozwolonych portów po to, by uzyskaæ pewnoœæ, e zawieraj¹ one w³aœciwe informacje. Dane binarne w nag³ówkach HTTP. Chocia oficjalny standard HTTP zabrania przesy³ania znaków binarnych w nag³ówkach HTTP, regu³a ta jest niejednoznaczna i wiêkszoœæ zapór firewall jej nie sprawdza. W rezultacie, wielu hakerów przeprowadza ataki polegaj¹ce na w³¹czaniu kodu wykonywalnego w nag³ówkach HTTP. Wszystkie bramy zabezpieczeñ powinny umo liwiaæ blokowanie lub oznaczanie znaków binarnych w nag³ówkach i ¹daniach HTTP. 2) Sprawdzanie spodziewanego sposobu wykorzystania protoko³ów (wykrywanie anomalii protoko³ów). Testowanie zgodnoœci protoko³ów ze standardami jest wa ne, ale równie wa na jest mo liwoœæ sprawdzenia, czy dane w obrêbie protoko³ów s¹ wykorzystywane tak, jak siê spodziewano. Inaczej mówi¹c, nawet jeœli strumieñ komunikacji jest zgodny ze standardem protoko³u, sposób wykorzystania protoko³u mo e byæ inny ni spodziewany. Oto przyk³ady: Wykorzystanie protoko³u HTTP do transmisji w sieciach Peer-to-Peer (P2P). P2P to model komunikacji, w którym ka da stacja ma te same uprawnienia i mo e zainicjowaæ sesjê komunikacji. Aplikacje P2P mo na podzieliæ na dwie g³ówne kategorie: komunikatory (Instant messaging IM) ich g³ównym celem jest umo liwienie bezpoœredniej komunikacji online pomiêdzy u ytkownikami sieci; sieci do wspó³dzielenia plików ich g³ównym celem jest wspó³dzielenie zasobów, na przyk³ad miejsca na dysku. Transmisje P2P czêsto wykorzystuj¹ port TCP numer 80, który w normalnych warunkach jest przeznaczony do przesy³ania ruchu HTTP i dlatego jest otwarty na po³¹czenia wychodz¹ce. Chocia istnieje wiele zastrze onych protoko³ów P2P, bardzo czêsto transmisje P2P s¹ wbudowane w ruch HTTP. W takich sytuacjach zapory firewall, które sprawdzaj¹ tylko zgodnoœæ protoko³u ze standardem zezwalaj¹ na sesjê P2P (poniewa wykorzystuje ona standardowy protokó³ HTTP). Poniewa spodziewane wykorzystanie protoko³u HTTP to transmisja stron WWW, wbudowana w ruch HTTP komunikacja P2P powinna zostaæ zablokowana lub oznaczona przez zaporê firewall.
W wielu firmach d¹ y siê do zablokowania b¹dÿ ograniczenia ruchu P2P ze wzglêdów bezpieczeñstwa, oszczêdnoœci pasma b¹dÿ przyczyn prawnych. Komunikacja P2P stwarza problemy bezpieczeñstwa poniewa umo liwia przesy³anie plików, gier, g³osu i wiadomoœci e-mail z pominiêciem zapór firewall, mechanizmów kontroli antywirusowej, rejestrowania i œledzenia. W efekcie hakerzy mog¹ j¹ wykorzystaæ jako sposób ataku na sieæ. Bramy zabezpieczeñ powinny blokowaæ nieuprawniony ruch P2P lub zezwalaæ na ruch P2P tylko dla uprawnionych u ytkowników. Directory Traversal. Ataki typu directory traversal umo liwiaj¹ hakerom uzyskanie dostêpu do plików i katalogów, do których dostêp powinien byæ zabroniony. W efekcie, próbuj¹c uzyskaæ dostêp do zasobów haker mo e uruchomiæ na serwerze WWW niepo ¹dany, wykonywalny kod. Wiêkszoœæ z tych ataków wykorzystuje notacjê ".." stosowan¹ w systemach plików. Zapory firewall powinny blokowaæ ¹dania, w których adresy URL zawieraj¹ ¹dania katalogów zgodne ze sk³adni¹, ale niezgodne ze spodziewanym sposobem u ycia. Na przyk³ad ¹danie postaci http://www.serwer.com/pierwszy/drugi/../../.. jest prób¹ przejœcia poza katalog g³ówny i dlatego powinno zostaæ zablokowane. Nienaturalnie d³ugie nag³ówki HTTP. W standardzie HTTP nie ma ograniczeñ d³ugoœci nag³ówków. Pomimo to, stosowanie bardzo d³ugich nag³ówków HTTP nie mieœci siê w normach standardowego, spodziewanego wykorzystania protoko³u HTTP. Nag³ówki nienaturalnie d³ugie powinny byæ blokowane lub znakowane w celu zmniejszenia ryzyka wyst¹pienia przepe³nieñ bufora (ang. buffer overflow) oraz ograniczenia rozmiaru kodu, który mo e byæ wstawiony za pomoc¹ tej techniki. 3) Ograniczenie mo liwoœci przenoszenia z³oœliwego kodu przez aplikacje Nawet jeœli komunikacja w warstwie aplikacji jest zgodna z wymogami protoko³ów, w dalszym ci¹gu jest mo liwoœæ przesy³ania w niej danych, które potencjalnie mog¹ zak³ócaæ pracê systemu. Z tego powodu, bramy zabezpieczeñ powinny zawieraæ mechanizmy wprowadzania ograniczeñ i kontroli zdolnoœci aplikacji do wprowadzania do sieci wewnêtrznej potencjalnie niebezpiecznych danych lub poleceñ. Oto przyk³ady: Ataki Cross Site Scripting. Skrypty s¹ powszechnie stosowanym mechanizmem ataków na aplikacje. Poniewa wiêkszoœæ skryptów nie stwarza zagro enia, nic nie podejrzewaj¹cy u ytkownicy czêsto nieumyœlnie wykonuj¹ z³oœliwe skrypty. Bardzo czêsto s¹ one ukryte w niewinnie wygl¹daj¹cych odsy³aczach lub wizytówkach e-mailowych. Typowym przyk³adem z³oœliwego kodu zapisanego w skryptach s¹ ataki XSS (ang. Cross Site Scripting). W atakach tego rodzaju hakerzy wykorzystuj¹ relacje zaufania pomiêdzy u ytkownikiem, a witryn¹ WWW poprzez stosowanie specjalnie spreparowanych adresów URL. Celem ataków jest zdobycie plików cookie zawieraj¹cych dane identyfikacyjne u ytkowników oraz parametry uwierzytelniania lub te nak³onienie u ytkowników do udostêpnienia napastnikom danych umo liwiaj¹cych ich zalogowanie siê. Zazwyczaj ataki XSS s¹ inicjowane poprzez umieszczenie skryptów w ¹daniu HTTP, które u ytkownik nieœwiadomie przesy³a do zaufanej witryny WWW. W celu ochrony serwerów WWW przed atakami XSS, bramy zabezpieczeñ powinny zapewniaæ mo liwoœæ wykrywania i blokowania ¹dañ HTTP zawieraj¹cych niebezpieczny kod. Ograniczanie lub blokowanie potencjalnie z³oœliwych adresów URL. Z³oœliwe dane mog¹ przedostaæ siê do sieci wewnêtrznej za poœrednictwem adresów URL. Na przyk³ad, aplikacja klienta pocztowego mo e automatycznie wykonaæ kod HTML wbudowany w adresie URL. Jeœli URL zawiera z³oœliwy kod, mo e spowodowaæ uszkodzenia w sieci wewnêtrznej lub systemie u ytkownika. Dostêp do potencjalnie z³oœliwych adresów URL powinien zostaæ zablokowany b¹dÿ ograniczony. Wykrywanie i blokowanie sygnatur ataku. Bramy zabezpieczeñ powinny przeprowadzaæ filtrowanie zawartoœci wszystkich strumieni danych w celu wykrywania i blokowania wszystkich kombinacji danych, które posiadaj¹ cechy z³oœliwego kodu, robaków, itp. 4) Kontrola operacji w warstwie aplikacji Oprócz tego, e w strumieniach przesy³anych w warstwie aplikacji mog¹ byæ z³oœliwe dane, tak e same aplikacje mog¹ wykonywaæ nieuprawnione operacje. Zabezpieczenia sieciowe powinny mieæ mo liwoœæ identyfikacji i kontroli takich operacji poprzez przeprowadzanie kontroli dostêpu oraz testów uprawnionego u ycia. Ten poziom zabezpieczeñ wymaga szczegó³owego rozró niania operacji wykonywanych przez aplikacje. Oto przyk³ady: Us³ugi sieci Microsoft Network mechanizm zabezpieczeñ sieci powinien implementowaæ politykê bezpieczeñstwa wykorzystuj¹c wiele parametrów systemu plików firmy Microsoft CIFS
(Common Internet File System). System plików CIFS obs³uguje miêdzy innymi operacje wspó³dzielenia plików i drukarek. Bior¹c za przyk³ad te operacje, brama zabezpieczeñ powinna mieæ mo liwoœæ rozró niania i blokowania operacji wspó³dzielenia plików pochodz¹cych od u ytkowników lub systemów nie maj¹cych odpowiednich uprawnieñ. Z kolei operacje wspó³dzielenia drukarek pochodz¹ce od tych samych u ytkowników mog¹ byæ dozwolone. Zapewnienie poziomu bezpieczeñstwa na takim poziomie szczegó³owoœci wymaga dok³adnego zrozumienia dzia³ania systemu plików CIFS, a tak e mo liwoœci zarz¹dzania sk³adnikami warstwy aplikacji. FTP. Zapora firewall powinna mieæ mo liwoœæ wprowadzania ograniczeñ dla okreœlonych nazw plików i kontrolowaæ potencjalnie szkodliwe polecenia FTP takie, jak PUT, GET, SITE, REST i MACB. Na przyk³ad, polityka bezpieczeñstwa mo e wymagaæ blokowania wszystkich plików zawieraj¹cych frazê lista p³ac. Warstwy sieci i transportu: konieczna podstawa dla technologii application intelligence Technologia Application Intelligence w swojej najczystszej formie sk³ada siê z mechanizmów ochrony poziomu aplikacji. Jednak w praktyce, celem wielu ataków skierowanych przeciwko aplikacjom sieciowym w rzeczywistoœci s¹ warstwy sieci i transportu. Hakerzy atakuj¹ ni sze warstwy, które wykorzystuj¹ jako mechanizmy dostêpu do warstwy aplikacji i ostatecznie samych aplikacji oraz wykorzystywanych przez nich danych. Dziêki zaatakowaniu ni szych warstw hakerzy mog¹ przerwaæ lub zablokowaæ dostêp do us³ug uprawnionym u ytkownikom i aplikacjom (ataki DoS). Z tego powodu technologia Application Intelligence oraz inne zabezpieczenia sieciowe musi chroniæ nie tylko warstwê aplikacji, ale tak e warstwy sieci i transportu. BEZPIECZEÑSTWO WARSTWY SIECI Zapobieganie z³oœliwym manipulacjom protoko³ami warstwy sieciowej (np. IP, ICMP) to kluczowe wymaganie dla wielopoziomowych bram zabezpieczeñ. Najczêœciej wykorzystywanym medium ataków przeciwko warstwie sieci jest protokó³ IP (Internet Protocol), którego zestaw us³ug rezyduje w³aœnie w tej warstwie. Istnieje wiele ró nych rodzajów ataków stosowanych w warstwie sieci. Oto kilka przyk³adów: Fragmentacja IP. Fragmentacjê IP mo na wykorzystaæ do przeprowadzania i ukrywania ataków w celu zapobie enia ich wykryciu. Technika ta wykorzystuje elastycznoœæ protoko³u IP (RFC 791 i RFC 815) umo liwiaj¹c¹ dzielenie ataków na wiele pakietów IP. Dziêki temu pakiety omijaj¹ takie zapory firewall, które nie wykonuj¹ scalania fragmentów IP. Fragmentacjê IP mo na tak e wykorzystaæ do przeprowadzenia ataku DoS poprzez zasypywanie urz¹dzeñ scalaj¹cych fragmenty IP niekompletnymi sekwencjami fragmentów. Smurfing (ataki typu smurf). Protokó³ ICMP umo liwia wêz³owi sieci wysy³anie sygna³u ping lub ¹dania echo do innych wêz³ów sieciowych w celu sprawdzenia stanu ich dzia³ania. Zdolnoœæ tê mo na wykorzystaæ do przeprowadzenia ataku DoS typu smurf. Taki atak jest mo liwy dlatego, gdy w standardowym protokole ICMP nie s¹ porównywane ¹dania z odpowiedziami. Z tego powodu, napastnik mo e wys³aæ na adres rozg³oszeniowy sygna³ ping ze sfa³szowanym Ÿród³owym adresem IP. Adres rozg³oszeniowy IP odpowiada wszystkim adresom IP w okreœlonej sieci. Wszystkie komputery w sieci, do której wys³ano sygna³ ping, wysy³aj¹ odpowiedzi echo do sfa³szowanego, Ÿród³owego adresu IP. Zbyt du o sygna³ów ping i odpowiedzi mo e zalaæ sieæ i zablokowaæ do niej dostêp uprawnionemu ruchowi. Tego typu atak mo na zablokowaæ poprzez usuwanie odpowiedzi, które nie pasuj¹ do ¹dañ. W ten sposób dzia³a technologia Stateful ICMP firmy Check Point. BEZPIECZEÑSTWO WARSTWY TRANSPORTU Warstwa transportu wraz z protoko³ami, które w niej dzia³aj¹ (TCP, UDP) jest podobnie, jak warstwa sieci znanym punktem dostêpowym umo liwiaj¹cym hakerom wykonywanie ataków na aplikacje i dane. Oto kilka przyk³adów ataków na warstwê transportu: Ataki DoS dla protoko³ów ró nych od TCP. Ataki DoS na protoko³y ró ne od TCP (np. UDP i ICMP) mog¹ ca³kowicie zablokowaæ kluczowe aplikacje wykorzystuj¹ce ruch TCP (np. SMTP, HTTP, FTP, itp.). Zapory firewall mog¹ ochroniæ przed tymi zagro eniami poprzez zarezerwowanie dedykowanej czêœci tabeli stanów dla po³¹czeñ TCP. Jeœli po³¹czenia innych protoko³ów ni TCP próbuj¹ wykorzystywaæ zbyt wiele zasobów, po³¹czenia TCP na tym nie ucierpi¹, poniewa bêd¹ obs³ugiwane przez zarezerwowane zasoby systemowe. Skanowanie portów. Skanowanie portów jest tym, na co wskazuje nazwa: hakerzy skanuj¹ zakres portów systemu docelowego w celu zidentyfikowania i wykorzystania s³abych punktów dzia³aj¹cych aplikacji. Rekonesans wykonany za pomoc¹ skanowania portów jest sam w sobie zagro eniem, poniewa mo e prowadziæ do ataku. Brama zabezpieczeñ musi byæ zdolna do zg³aszania alarmów i blokowania b¹dÿ przerywania komunikacji ze Ÿród³em skanowania.
Wnioski Zapory firewall sta³y siê podstawowym elementem infrastruktury bezpieczeñstwa sieci ze wzglêdu na ich zdolnoœæ do blokowania ataków na poziomie sieci. Reakcj¹ hakerów na sukces zapór firewall by³o opracowanie bardziej wyszukanych metodologii ataku. Celem ataków nowego typu s¹ aplikacje. Hakerzy bardzo czêsto próbuj¹ wykorzystaæ s³abe punkty w samych aplikacjach b¹dÿ w protoko³ach komunikacyjnych, które te aplikacje wykorzystuj¹. Zapewnienie bezpieczeñstwa na wielu poziomach jest warunkiem koniecznym zabezpieczenia sieci korporacyjnych przed wspomnianymi zagro eniami. Co wiêcej, wielopoziomowe rozwi¹zania zabezpieczeñ musz¹ chroniæ zarówno przed atakami warstwy sieci, jak aplikacji, a jednoczeœnie zapewniaæ kontrolê dostêpu do zasobów informatycznych. Bazuj¹ca na technice INSPECT, technologia Application Intelligence firmy Check Point jest zbiorem zaawansowanych mechanizmów zintegrowanych z technologiami firmy Check Point FireWall-1 NG oraz SmartDefense. Pozwala ona na wykrywanie i przeciwdzia³anie atakom poziomu aplikacji. Rozwi¹zania firmy Check Point s¹ sprawdzonymi w bran y, kompleksowymi technologiami zabezpieczaj¹cymi przed rosn¹c¹ liczb¹ ataków skierowanych przeciwko kluczowym aplikacjom. O firmie Check Point Software Technologies Firma Check Point Software Technologies jest sprawdzonym liderem rynku zarówno sieci VPN, jak zapór firewall. Dostarcza inteligentnych zabezpieczeñ granicznych, sieci wewnêtrznej oraz Internetu. Technologie firmy Check Point bazuj¹ce na technice INSPECT najbardziej elastycznej i inteligentnej technologii inspekcji, a tak e SMART Management technologii zarz¹dzania infrastruktur¹ zabezpieczeñ zapewniaj¹c¹ najni szy wspó³czynnik TCO, s¹ najbardziej niezawodne i najczêœciej wdra ane na œwiecie. Rozwi¹zania firmy Check Point s¹ sprzedawane, integrowane i obs³ugiwane poprzez sieæ 1 900 certyfikowanych partnerów z 86 krajów. Wiêcej informacji mo na uzyskaæ dzwoni¹c do nas na numer (800) 429-4391 lub (650) 628-2000 b¹dÿ odwiedzaj¹c nasze strony internetowe (http://www.checkpoint.com lub http://www.opsec.com). BIURA FIRMY CHECKPOINT: Centrala miêdzynarodowa: 3A Jabotinsky Street, 24th Floor Ramat Gan 52520, Israel Tel: 972-3-753 4555 Fax: 972-3-575 9256 e-mail: info@checkpoint.com Oddzia³ w Polsce: Check Point Software Technologies (Poland) Sp. z o.o. Warsaw Financial Centre ul. Emilii Plater 53 (11 piêtro) 00-113 Warszawa Tel: +48 22 528 68 06 Fax: +48 22 528 68 37 mailto:info_pl@checkpoint.com Dystrybucja w Polsce: CLICO Sp. z o.o. 30-063 Kraków, Al. 3-go Maja 7 tel. (12) 632-51-66 tel. (12) 292-75-22... 25 fax (12) 632-36-98 e-mail: support@clico.pl www.clico.pl CLICO Oddzia³ Katowice 40-555 Katowice, ul. Rolna 43 tel. (32) 203-92-35 tel. (32) 609-80-50 tel. (32) 609-80-51 fax (32) 203-92-24 e-mail: katowice@clico.pl CLICO Oddzia³ Warszawa 03-738 Warszawa ul. Kijowska 1 tel. (22) 518-02-70...72 fax (22) 518-02-73 e-mail: warszawa@clico.pl 2005 CLICO Sp. z o.o. (polska wersja jêzykowa). CLICO i CLICO logo s¹ zarejestrowanymi znakami towarowymi CLICO Sp. z o.o. 2004 Check Point Software Technologies Ltd. Wszystkie prawa zastrze one. Check Point, Check Point Express, logo Check Point logo, ClusterXL, ConnectControl, FireWall-1, FireWall-1 GX, FireWall-1 SecureServer, FireWall-1 VSX, FireWall-1 XL, FloodGate-1, INSPECT, INSPECT XL, IQ Engine, Open Security Extension, OPSEC, Provider-1, Safe@Office, SecureKnowledge, SecurePlatform, SecureXL, SiteManager-1, SmartCenter, SmartCenter Pro, SmartDashboard, SmartDefense, SmartLSM, SmartMap, SmartUpdate, SmartView, SmartView Monitor, SmartView Reporter, SmartView Status, SmartViewTracker, UAM, User-to-Address Mapping, UserAuthority, VPN-1, VPN-1 Accelerator Card, VPN-1 Pro, VPN-1 SecureClient, VPN-1 SecuRemote, VPN-1 SecureServer oraz VPN-1 VSX s¹ znakami handlowymi b¹dÿ zarejestrowanymi znakami handlowymi firmy Check Point Software Technologies Ltd. B¹dŸ jej oddzia³ów. Wszystkie inne wspomniane nazwy produktów s¹ znakami handlowymi b¹dÿ zarejestrowanymi znakami handlowymi ich prawowitych w³aœcicieli. Produkty opisane w tym dokumencie s¹ chronione patentami USA nr 5 606 668 oraz 5 835 726, a tak e mog¹ byæ chronione przez inne patenty USA, patenty zagraniczne lub s¹ w trakcie procedury przyznawania patentu.
Wielopoziomowe zabezpieczenia Check Point Œrodki ochrony przed atakami i ataki blokowane Technologia FireWall-1 NG wraz z Application Intelligence pozwala na blokowanie wielu ataków oraz wprowadza mechanizmy ochrony przed wieloma atakami. W poni szej tabeli zestawiono niektóre z nich sklasyfikowane wed³ug protoko³u oraz warstwy modelu OSI. Uwaga: Firma Check Point stale rozszerza zakres ochrony. Niniejsza tabela jest zaledwie fragmentem znacznie obszerniejszej listy wed³ug stanu na dzieñ 16 lipca 2003 roku. Warstwy aplikacji i prezentacji Warstwy aplikacji i prezentacji Klient HTTP Serwer HTTP SMTP Warstwa sesji Blokowanie kodu Java Obcinanie znaczników skryptów Obcinanie znaczników apletów Obcinanie ³¹czy FTP Obcinanie numerów portów Obcinanie znaczników ActiveX Ukrywanie domyœlnych bannerów Filtrowanie URL Ograniczenie maksymalnej d³ugoœci adresu URL Ograniczenie maksymalnej liczby dozwolonych nag³ówków odpowiedzi Ograniczenie maksymalnej d³ugoœci nag³ówka ¹dania Ograniczenie maksymalnej d³ugoœci nag³ówka odpowiedzi Blokowanie znaków binarnych w nag³ówkach odpowiedzi HTTP Blokowanie znaków binarnych w ¹daniach HTTP Sprawdzanie zgodnoœci z protoko³em odpowiedzi HTTP Blokowanie adresów URL definiowanych przez u ytkownika Wymuszanie maksymalnego rozmiaru instrukcji GET i POST. Ograniczenie pobierania plików przez u ytkowników. Ograniczenie maksymalnej d³ugoœci adresu URL Rozró nienie pomiêdzy ró nymi ¹daniami http v 1.1 w tym samym po³¹czeniu Ograniczenie maksymalnej liczby dozwolonych nag³ówków odpowiedzi Ograniczenie maksymalnej d³ugoœci nag³ówka ¹dania Ograniczenie maksymalnej d³ugoœci nag³ówka odpowiedzi Blokowanie znaków binarnych w nag³ówkach odpowiedzi HTTP Blokowanie znaków binarnych w ¹daniach HTTP Blokowanie adresów URL definiowanych przez u ytkownika Ograniczenia dla metod HTTP spoza dokumentów RFC. Zabezpieczenia HTTP dla niestandardowych portów (ró nych od portu 80) Porównywanie transmisji z SOAP (schemat/szab-lon) zatwierdzonym przez u ytkownika Ograniczenia dla niebezpiecznych poleceñ HTTP Ograniczenia pobierania plików przez u ytkowników Blokowanie wielu nag³ówków z przesy³aniem zawartoœci (content-type). Blokowanie wielu nag³ówków kodowania (encoding headers) Ukrywanie domyœlnych bannerów Ograniczenia dla niebezpiecznych poleceñ SMTP Weryfikacja przekazywania nag³ówków Ograniczenia nieznanego kodowania Ograniczenia dla wiadomoœci pocztowych, które nie zawieraj¹ nazwy domeny nadawcy (odbiorcy). Ograniczenia dla za³¹czników MIME okreœlonego typu. Warstwa transportu Warstwa sieci Robak Code Red i jego mutacje Robak Nimda i jego mutacje Robak HTR Overflow i jego mutacje Ataki Directory traversal Przepe³nieni bufora MDAC i mutacje Ataki Cross Site Scripting Z³oœliwe adresy URL Robaki i mutacje robaków definiowanych przez u ytkowników Ataki typu Encoding Ataki Cross-Site Scripting Ataki HTTP z wykorzystaniem sygnatur obejmuj¹cych wiele pakietów Ataki WebDAV Zdefiniowane przez u ytkownika robaki i ich mutacje Ataki typu Chunked Transfer Encoding Zalewanie skrzynek pocztowych (SMTP Mail Flooding) Robaki SMTP i ich mutacje Rozszerzone ataki Relay Ataki typu Message/Partial MIME Ataki spamowe (du a liczba wiadomoœci) Ataki weryfikacji poleceñ. adunek (Payload) robaków SMTP i ich mutacji. Kodowanie robaków. Ataki Firewall Traversal. Ataki DoS b³¹d SMTP
Wielopoziomowe zabezpieczenia Check Point Technologia FireWall-1 NG wraz z Application Intelligence pozwala na blokowanie wielu ataków oraz wprowadza mechanizmy ochrony przed wieloma atakami. W poni szej tabeli zestawiono niektóre z nich sklasyfikowane wed³ug protoko³u oraz warstwy modelu OSI. Uwaga: Firma Check Point stale rozszerza zakres ochrony. Niniejsza tabela jest zaledwie fragmentem znacznie obszerniejszej listy wed³ug stanu na dzieñ 16 lipca 2003 roku. Warstwy aplikacji i prezentacji SMTP RSH RTSP IIOP FTP DNS Sieci Microsoft Network Œrodki ochrony przed atakami i ataki blokowane Warstwy aplikacji i prezentacji Warstwa sesji Warstwa transportu Warstwa sieci Obcinanie plików za³¹czników o okreœlonych nazwach. Œcis³e przestrzeganie dokumentów RFC 821 i 822. Monitorowanie i wymuszanie ograniczeñ poleceñ ESMTP. Ukrywanie wewnêtrznych nazw u ytkowników pocztowych i ich adresów Wykonywanie odwrotnego wyszukiwania DNS. Œcis³e przestrzeganie sk³adni poleceñ MAIL i RCPT. Ograniczenia przesy³ania poczty przez zdefiniowanych przez u ytkownika nadawców lub domeny. Ograniczenia wysy³ania poczty do odbiorców zdefiniowanych przez u ytkownika. Ograniczenia przesy³ania poczty do nieznanych domen. Limity liczby dozwolonych poleceñ RCPT dla pojedynczej transakcji. Ograniczenie u ycia przekazywania poczty. Pomocnicze monitorowanie portów. Ograniczenia odwrotnego wstrzykiwania (reverse injection). Pomocnicze monitorowanie portów. Pomocnicze monitorowanie portów. Analiza i ograniczanie szkodliwych poleceñ FTP. Blokowanie typów plików zdefiniowanych przez u ytkownika. Ukrywanie domyœlnych bannerów. Obcinanie odwo³añ FTP Analiza i ograniczanie szkodliwych poleceñ FTP. Blokowanie typów plików zdefiniowanych przez u ytkownika. Ukrywanie domyœlnych bannerów. Obcinanie odwo³añ FTP Filtrowanie nazw plików CIFS (ochrona przed robakami wykorzystuj¹cymi protokó³ CIFS). Ograniczenia zdalnego dostêpu do rejestru. Ograniczenia zdalnych sesji null. Ataki DoS skrzynek pocztowych (zbyt du y rozmiar wiadomoœci) Ataki SMTP przepe³nienia bufora Pasywne ataki FTP. Ataki FTP Bounce. Ataki FTP Bounce po stronie serwera i klienta. Ataki wstrzykiwania portu FTP (FTP port injection). Ataki directory traversal. Ataki firewall traversal. Ataki segmentacji TCP. Ataki z wykorzystaniem zdeformowanych pakietów zapytañ DNS. Ataki z wykorzystaniem zdeformowanych pakietów odpowiedzi DNS. Ataki z przepe³nieniem bufora przy zapytaniu DNS nieznane ¹danie (odpowiedÿ). Ataki z udzia³em cz³owieka (Man in the middle). Robak Bugbear. Robak Nimda. Robak Liotan. Robak Opaserv. SSH SNMP MS SQL Wymuszenie przestrzegania protoko³u SSH v2. Ograniczenia poleceñ SNMP get (put). Atak z wykorzystaniem przepe³nienia bufora protoko³u SSH v. 1. Ataki SNMP Flooding. Ataki z wykorzystaniem domyœlnej spo³ecznoœci (default community). Ataki si³owe (brute force). Ataki z wykorzystaniem polecenia SNMP put. Ataki z wykorzystaniem przepe³nienia bufora programu SQL Resolver. Robak SQL Slammer.
Wielopoziomowe zabezpieczenia Check Point Technologia FireWall-1 NG wraz z Application Intelligence pozwala na blokowanie wielu ataków oraz wprowadza mechanizmy ochrony przed wieloma atakami. W poni szej tabeli zestawiono niektóre z nich sklasyfikowane wed³ug protoko³u oraz warstwy modelu OSI. Uwaga: Firma Check Point stale rozszerza zakres ochrony. Niniejsza tabela jest zaledwie fragmentem znacznie obszerniejszej listy wed³ug stanu na dzieñ 16 lipca 2003 roku. Warstwy aplikacji i prezentacji Oracle SQL SSL VoIP X11 Warstwa sesji Œrodki ochrony przed atakami i ataki blokowane Warstwy aplikacji i prezentacji Warstwa sesji Warstwa transportu Warstwa sieci Weryfikacja dynamicznego przydzia³u i inicjowania portów. Wymuszenie protoko³u SSL v 3. Weryfikacja pól i wartoœci pó³ protoko³u. Identyfikacja i ograniczenia polecenia PORT. Wymuszenie istnienia pól obowi¹zkowych. Wymuszenie rejestracji u ytkowników. Zapobieganie lukom w zaporach firewall VoIP. Zablokowanie transmisji audio i wideo H.323. Wymuszenie limitów czasu trwania po³¹czeñ H.323. Dla po³¹czeñ H.323 wymuszanie ruchu zwi¹zanego z okreœlonym po³¹czeniem. Ograniczenia dla odwrotnego wstrzykiwania (ang. reverse injection). Blokowanie specjalnych klientów Atak Man in the middle programu SQLNet v 2. Atak z wykorzystaniem przepe³nienia bufora protoko³u SSL v. 2 Ataki z wykorzystaniem przepe³nieñ bufora. Ataki typu Man in the middle. RPC RPC DEC-RPC HTTP proxy VPN Blokowanie eksploitów wykorzystuj¹cych RPC portmapper. Blokowanie eksploitów wykorzystuj¹cych RPC portmapper. Blokowanie eksploitów wykorzystuj¹cych DEC-RPC portmapper. Wymuszanie logiki sesji HTTP w trybie proxy. Sprawdzanie wykorzystywanych certyfikatów cyfrowych z list¹ certyfikatów uniewa nionych (Certificate Revocation List). Monitorowanie s³abych punktów wspó³dzielonych hase³ (preshared secrets). Ataki ToolTalk. Atak snmpxdmid. Atak rstat. Atak mountd. Atak cmsd. Atak cachefsd. Ataki ToolTalk. Atak snmpxdmid. Atak rstat. Atak mountd. Atak cmsd. Atak cachefsd. Si³owy atak IKE. Ataki z wykorzystaniem topologii gwiaÿdzistej sieci (Huband-Spoke). Ataki DoS IKE UDP. Ataki DoS Windows 2000 IKE. Ataki zwodzenia IP VPN (VPN IP Spoofing). Ataki VPN man-in-the-middle.
Technologia FireWall-1 NG wraz z Application Intelligence pozwala na blokowanie wielu ataków oraz wprowadza mechanizmy ochrony przed wieloma atakami. W poni szej tabeli zestawiono niektóre z nich sklasyfikowane wed³ug protoko³u oraz warstwy modelu OSI. Uwaga: Firma Check Point stale rozszerza zakres ochrony. Niniejsza tabela jest zaledwie fragmentem znacznie obszerniejszej listy wed³ug stanu na dzieñ 16 lipca 2003 roku. Warstwa transportu TCP UDP Warstwa sieci Wielopoziomowe zabezpieczenia Check Point Œrodki ochrony przed atakami i ataki blokowane Warstwy aplikacji i prezentacji Warstwa sesji Warstwa transportu Warstwa sieci Wymuszanie prawid³owego wykorzystania flag TCP. Ograniczenia liczby sesji dla okreœlonego Ÿród³a. Przestrzeganie minimalnej d³ugoœci nag³ówka TCP. Blokowanie nieznanych protoko³ów. Ograniczenia dla pakietów FIN bez pakietów ACK. Sprawdzanie, czy d³ugoœæ nag³ówka TCP deklarowanego w nag³ówku nie jest d³u sza od d³ugoœci pakietu. Blokowanie pakietów stanu (state packets). Sprawdzanie, czy pierwszym pakietem w po³¹czeniu jest SYN. Wymuszanie trójstopniowego uzgadniania: pomiêdzy pakietem SYN, a SYN-ACK, klient mo e przesy³aæ tylko pakiety RST. Wymuszanie trójstopniowego uzgadniania: pomiêdzy pakietem SYN, a nawi¹zaniem po³¹czenia serwer mo e wysy³aæ tylko pakiety SYN-ACK b¹dÿ RST. Blokowanie pakietów SYN dla nawi¹zanych po³¹czeñ do czasu otrzymania pakietu FIN lub RST. Ograniczenia dla pakietów przesy³anych od serwera do klienta nale ¹cych do starych po³¹czeñ. Usuwanie pakietów przesy³anych od serwera do klienta w przypadku, gdy pakiety zawieraj¹ SYN lub RST. Wymuszanie minimalnej d³ugoœci nag³ówka TCP. Blokowanie fragmentów TCP. Blokowanie fragmentów SYN. Szyfrowanie sygnatur systemu operacyjnego. Sprawdzanie numeru sekwencji pakietu dla pakietów nale ¹cych do istniej¹cej sesji. Weryfikacja pola d³ugoœci pakietu UDP. Dopasowywanie ¹dañ i odpowiedzi UDP. Ataki DoS z wykorzystaniem pakietu ACK. Ataki SYN. Ataki Land Ataki Tear Drop. Ataki z przechwytywaniem sesji. Ataki typu Jolt. Ataki typu Bloop. Ataki Cpd. Ataki Targa. Ataki Twinge. Ataki ###Small PMTU###. Ataki z przechwytywaniem sesji (operacje z numerem sekwencji TCP). Ataki TCP obejmuj¹ce wiele pakietów. Ataki XMAS. Skanowanie portów. Ataki zalewania UDP. Skanowanie portów. IP ICMP Wymuszanie minimalnej d³ugoœci nag³ówka. Ograniczenia fragmentacji IP-UDP. Sprawdzanie, czy d³ugoœæ nag³ówka IP deklarowana w nag³ówku nie jest d³u sza od deklarowanej d³ugoœci pakietu. Niedopuszczanie, aby rozmiar pakietu deklarowany w nag³ówku IP by³ wiêkszy ni rzeczywisty rozmiar pakietu Szyfrowanie sygnatur systemu operacyjnego. Opcje zarz¹dzania IP. Blokowanie nienaturalnie du ych pakietów ICMP. Ograniczenia dla fragmentów pakietów ICMP. Dopasowywanie ¹dañ ICMP z odpowiedziami. Skanowanie adresów IP typu sweep scan. Ataki IP z wykorzystaniem znaczników czasu. Ataki z wykorzystaniem opcji IP Record Route. Ataki z wykorzystaniem opcji IP Source Route. Ataki DoS z wykorzystaniem fragmentów pakietów IP. Ataki z wykorzystaniem opcji Loose Source Route. Ataki z wykorzystaniem opcji Strict Source Route. Ataki ze zwodzeniem adresów IP (IP spoofing). Ataki Ping-of-Death. Zalewanie ICMP.