Internet

W£ASNOŒCI PRODUKTU:
• Ochrona przed z³oœliwym
kodem
• Zaawansowana inspekcja
strumieni
• Proste wdra¿anie i zarz¹dzanie
• Bezproblemowa integracja
z produktami firmy Check
Point
KORZYŒCI Z ZASTOSOWANIA PRODUKTU
• Najsilniejsza ochrona
przed znanymi i nieznanymi atakami z wykorzystaniem technik przepe³nieñ
bufora.
• Zapewnia z maksymaln¹
przepustowoœci¹ bezpieczeñstwo aplikacji pod³¹czonych do Internetu.
• Poprawia komfort u¿ytkownika korzystania z aplikacji dziêki stronom WWW
pomocy technicznej.
WYZWANIA
Dzia³alnoœæ firm w coraz wiêkszym stopniu
zale¿y od Internetu. Tradycyjne aplikacje
dzia³aj¹ce w architekturze klient-serwer, które
niedawno by³y dostêpne tylko w korporacyjnych sieciach LAN s¹ obecnie dostêpne przez
Internet. Jednak to b³yskawiczne zastosowanie sieci Internet, intranet i extranet stwarza
ryzyko uzyskania dostêpu do najwa¿niejszych
danych przez napastników i innych
nieproszonych goœci.
Kompletne œrodowisko webowe obejmuje sieæ,
stosowane systemy operacyjne, serwery
WWW i systemy back-end. W wielu aplikacjach przeznaczonych do dzia³ania w œrodowisku webowym nie poœwiêcono nale¿ytej
uwagi na zagadnienia bezpieczeñstwa.
W efekcie aplikacje tego typu czêsto maj¹ luki
bezpieczeñstwa pocz¹wszy od dekodowania
Unicode, a skoñczywszy na ró¿nych rodzajach
przepe³nieñ buforów. Nowe s³abe punkty
programów s¹ odkrywane codziennie. Hakerzy
opracowuj¹ coraz to nowoczeœniejsze
sposoby wykorzystywania ró¿nych elementów
Internet
œrodowiska webowego. Wraz ze wzrostem
popularnoœci aplikacji webowych sta³y siê one
podstawowym celem napastników. Firmy d¹¿¹
do znalezienia rozwi¹zañ pozwalaj¹cych na
ochronê ich inwestycji w œrodowisko webowe
oraz cennych danych. Pomimo to, stosowane
rozwi¹zania s¹ w wiêkszoœci nieskuteczne.
W najlepszym przypadku gwarantuj¹ one
czêœciowe rozwi¹zanie problemu. ¯adne
z dostêpnych rozwi¹zañ nie gwarantuje kompletnej ochrony ca³ego œrodowiska webowego.
NASZE ROZWI¥ZANIE
Web Intelligence to jedyna technologia zapory
firewall dla aplikacji webowych, która gwarantuje kompleksow¹ ochronê ca³ego œrodowiska
webowego. Bramy firmy Check Point takie, jak
VPN-1®Pro™, VPN-1 Express oraz Connectra
s¹ wyposa¿one w technologie Stateful
Inspection, Application Intelligence™ oraz
Web Intelligence™ zapewniaj¹ce wielowarstwow¹ ochronê dla sieci, systemów operacyjnych, serwerów WWW oraz systemów
backend.
Systemy operacyjne
• Eksploity, dla których nie
zainstalowano ³atek.
• Sygnatury systemów
operacyjnych
(###OS fingerprint).
• Robaki.
Systemy Back-End
• Wstrzykiwania SQL
(SQL injection)
• Poprawia bezpieczeñstwo
dziêki ukryciu przed hakerami najwa¿niejszych
informacji na temat œrodowiska webowego.
• Umo¿liwia szybkie wdra¿anie najwa¿niejszych
aplikacji.
Zagro¿enia w œrodowisku webowym
Serwery WWW
• Directory traversal.
• Przepe³nienia buforów.
• Wstrzykiwanie poleceñ
(Command injection).
Ka¿da warstwa infrastruktury webowej ma wiele s³abych punktów
W£ASNOŒCI TECHNOLOGII WEB
INTELLIGENCE
ADVANCED STREAMING INSPECTION
OCHRONA PRZED Z£OŒLIWYM KODEM
Oczekuj¹ca na przyznanie patentu technologia firmy
Check Point Malicious Code Protector™ to rewolucyjny
sposób identyfikacji, bez koniecznoœci stosowania
sygnatur, przepe³nieñ bufora, przepe³nieñ sterty oraz
innych ataków na serwery WWW z wykorzystaniem
z³oœliwego kodu wykonywalnego. Jest to dodatkowa
silna warstwa ochronna stosowana obok technologii
Application Intelligence firmy Check Point. Za pomoc¹
technologii Malicious Code Protector mo¿na wykrywaæ
z³oœliwy wykonywalny kod w obrêbie komunikacji
webowej nie tylko poprzez identyfikacjê istnienia
instrukcji wykonywalnych w strumieniu danych, ale tak¿e
ich potencjalnie z³oœliwego charakteru.
Technologia Malicious Code Protector wykorzystuje
cztery istotne dzia³ania inspekcyjne:
• Monitoruje komunikacjê webow¹ poszukuj¹c kodu
wykonywalnego.
• Potwierdza istnienie kodu wykonywalnego.
• Stwierdza, czy kod wykonywalny jest z³oœliwy.
• Blokuje z³oœliwemu kodowi wykonywalnemu dostêp do
docelowego hosta.
Technologia Malicious Code Protector identyfikuje
zarówno znane, jak nieznane ataki oferuj¹c
profilaktyczn¹ ochronê przed nimi. Ostatnie badania
laboratoryjne wykaza³y, ¿e wymienione dzia³ania s¹
wykonywane bardzo dok³adnie z niewielkim odsetkiem
fa³szywych alarmów. Co wiêcej dodatkowa ochrona nie
wi¹¿e siê z obni¿eniem wydajnoœci, poniewa¿
technologia Malicious Code Protector jest
wykorzystywana na poziomie j¹dra.
(ZAAWANSOWANA INSPEKCJA STRUMIENI)
Advanced Streaming Inspection to technologia firmy
Check Point wykorzystywana na poziomie j¹dra, która
s³u¿y do przetwarzania kontekstu komunikacji.
Technologia Advanced Streaming Inspection, podobnie,
jak Stateful Inspection oraz Application Intelligence
bazuje na mechanizmie INSPECT™ firmy Check Point.
Dziêki wykorzystaniu tej technologii mo¿na podejmowaæ
decyzje dotycz¹ce bezpieczeñstwa na podstawie
informacji o sesji i aplikacji. Poprzez to technologia Web
Intelligence jest w stanie interpretowaæ komunikacjê
webow¹ nawet wtedy, gdy obejmuje ona wiele
segmentów TCP. W technologii Web Intelligence
kosztowne obliczeniowo inspekcje aplikacji s¹
wykonywane na poziomie j¹dra, co znacznie zwiêksza
przepustowoœæ i szybkoœci po³¹czeñ.
WYDAJNOή WEB INTELLIGENCE
PrzepustowoϾ: 1,9 Gb/sek
Szybkoœæ nawi¹zywania po³¹czeñ: 8 300 po³¹czeñ/sek
* Wydajnoœæ mierzona przy zastosowaniu domyœlnych ustawieñ
Web Intelligence.
Ochrona „w locie”
Technologia Advanced Streaming Inspection wprowadza
zastosowanie techniki Active Streaming w technologii
Web Intelligence, która umo¿liwia modyfikowanie
zawartoœci po³¹czeñ webowych „w locie”. Dziêki tej
istotnej w³asnoœci, klienci firmy Check Point uzyskuj¹
kilka unikatowych korzyœci.
Technika Active Streaming umo¿liwia zastosowanie
mechanizmu podmiany nag³ówków http pierwszej linii
obrony polegaj¹cej na ukryciu istotnych w³aœciwoœci
œrodowiska webowego. W³aœciwoœci te czêsto obejmuj¹
nazwê i wersjê systemów operacyjnych, serwerów WWW
oraz serwerów backend. Dla u¿ytkowników informacje te
s¹ zazwyczaj bezu¿yteczne, ale bezcenne dla
napastników, którzy próbuj¹ przeprowadziæ rozpoznanie
swoich celów. Zastosowanie technologii Web Intelligence
umo¿liwia przechwytywanie odpowiedzi witryny
zawieraj¹cej informacje o serwerze i daje
administratorowi mo¿liwoœæ ca³kowitego ukrycia tych
danych b¹dŸ modyfikacji strumienia w celu zmylenia
napastników.
Wirtualny symulator serwera
Wejœcie od
u¿ytkownika
Kod wykonywalny?
Z³oœliwy kod?
TAK
TAK
NIE
Spe³nia warunki testu
NIE
Spe³nia warunki testu
Technologia Malicious Code Protector identyfikuje zagro¿enia na podstawie dzia³ania kodu, a nie sygnatur.
Blokowanie/
rejestrowanie
Wbudowana w VPN-1 technologia Web Intelligence jest zarz¹dzana za pomoc¹ narzêdzia
SmartCenter umo¿liwiaj¹cego zintegrowane, centralne zarz¹dzanie, rejestrowanie
i monitorowanie.
Zwiêkszona wygoda u¿ytkowania
Technologia Active Streaming poprawia wygodê
u¿ytkownika poprzez umo¿liwienie administratorom
zdefiniowania w³asnych stron b³êdów. Wiêkszoœci
u¿ytkowników nic nie mówi¹ standardowe kody b³êdów.
Dziêki technologii Active Streaming mo¿na skierowaæ
u¿ytkownika na odpowiednio przygotowan¹ stronê
z opisem b³êdu i wskazówkami. To znacznie poprawia
wygodê u¿ytkownika i zmniejsza koszty zwi¹zane
z udzielaniem pomocy technicznej.
PROSTA INSTALACJA I ZARZ¥DZANIE
Zarz¹dzanie technologi¹ Web Intelligence w obrêbie
VPN-1 jest ca³kowicie zintegrowane z narzêdziem
SmartCenter™. Interfejs u¿ytkownika zawiera listê
znanych ataków. Do ka¿dego mechanizmu ochronnego
jest do³¹czony opis ataku i obrony. „Web Server View” to
centrum sterowania dla wszystkich serwerów WWW
w korporacji. Jest to zestawienie typów zabezpieczeñ
zastosowanych dla poszczególnych serwerów.
Poniewa¿ ka¿dy serwer aplikacji webowych ró¿ni siê od
pozosta³ych wymaganiami zabezpieczeñ, technologia
Web Intelligence zapewnia mo¿liwoœæ konfigurowania
szczegó³owych zabezpieczeñ dla ró¿nych aplikacji
webowych i serwerów WWW. Podstawowa konfiguracja
technologii Web Intelligence zajmuje zaledwie kilka
minut.
W technologii Web Intelligence zastosowano tak¿e tryb
Monitor-Only (tylko monitorowanie), który pozwala na
bezproblemowe wdro¿enie zabezpieczeñ bez ryzyka
odrzucenia po³¹czeñ dla kluczowych aplikacji ze
wzglêdu na b³êdy w konfiguracji polityki
bezpieczeñstwa.
BEZPROBLEMOWA INTEGRACJA Z PRODUKTAMI
CHECK POINT
Web Intelligence jest œciœle zintegrowane z bramami
zabezpieczeñ VPN-1 Pro™, VPN-1 Express
i Connectra. Zastosowanie tej technologii nie wymaga
instalacji dodatkowych urz¹dzeñ. W przypadku bram
VPN-1, Web Intelligence jest zarz¹dzana przez
doskona³e narzêdzie SmartCenter. Dziêki temu
administratorzy znaj¹cy interfejs u¿ytkownika nie musz¹
uczyæ siê wykonywania nowych czynnoœci. Logi
zabezpieczeñ i audytu s¹ zintegrowane z pozosta³ymi
logami VPN-1 tworz¹c rozbudowane Ÿród³o wiedzy dla
administratorów pozwalaj¹ce na centraln¹ analizê
naruszeñ bezpieczeñstwa. Integracja z narzêdziem
SmartCenter pozwala na uzyskanie kompleksowego
mechanizmu tworzenia raportów, audytu
i monitorowania.
Logi Web Intelligence s¹ zintegrowane z narzêdziem SmartCenter.
OCHRONA WEB
SZCZEGÓ£OWOŒÆ KONFIGURACJI
• Z³oœliwy kod
– Malicious Code Protector™;
– Mechanizm wykrywania robaków http,
• Warstwa aplikacji
– Ochrona przed atakami Cross Site Scripting;
– Ochrona przed „wstrzykiwaniem SQL” (SQL injection);
– Ochrona przed wstrzykiwaniem poleceñ (Command Injection);
– Ochrona przed atakami typu Directory traversal;
• Ujawnianie informacji
– Technika podmiany nag³ówków (header spoofing);
• Inspekcja protoko³u HTTP
– Sprawdzanie rozmiaru formatu HTTP;
– Zezwolenie na przesy³anie ¿¹dañ wy³¹cznie
w formacie ASCII;
– Zezwolenie na przesy³anie nag³ówków odpowiedzi wy³¹cznie
w formacie ASCII;
– Definicje list odrzucanych nag³ówków;
– Przestrzeganie metod HTTP.
• Technologia Web Intelligence chroni indywidualne serwery;
• Mo¿liwoœæ w³¹czenia ochrony przed atakiem dla ka¿dego
z serwerów z osobna;
• Ka¿dy typ ochrony przed atakiem mo¿na zastosowaæ dla
indywidualnych serwerów lub monitorowaæ ca³y ruch HTTP
OPCJE WYMUSZANIA
• Aktywne
– Blokowanie i œledzenie;
– Blokowanie, œledzenie i wysy³anie strony HTML z opisem b³êdu.
• Tryb Monitor-only
• Wy³¹czone
Dystrybucja w Polsce:
CLICO Sp. z o.o.
30-063 Kraków, Al. 3-go Maja 7
tel. (12) 632-51-66
tel. (12) 292-75-22 ... 25
fax (12) 632-36-98
e-mail: [email protected]
www.clico.pl
AKTUALIZACJA W CZASIE RZECZYWISTYM
MECHANIZMÓW OCHRONY
• Us³uga subskrypcji SmartDefense.
WYMAGANIA LICENCYJNE
• Licencja Web Intelligence dla bram
– Wed³ug liczby chronionych serwerów (3, 10,
nieograniczona);
WYMAGANIA SYSTEMOWE
• Technologia Web Intelligence ma te same wymagania
systemowe i konfiguracyjne co bramy VPN-1 NG
z technologi¹ Application Intelligence.
• Wymaga wersji R55W lub wy¿szej.
• Wspierane wersje oprogramowania i urz¹dzeñ CheckPoint:
– FireWal-1®, VPN-1®Pro™, VPN-1 Express,
VPN-1/FireWall-1 SecureServer™;
– Connectra™ (wbudowana technologia Web Intelligence).
• Technologia Web Intelligence jest zarz¹dzana siê za
pomoc¹ narzêdzi SmartCenter.
CLICO Oddzia³ Katowice
40-555 Katowice, ul. Rolna 43
tel. (32) 203-92-35
tel. (32) 609-80-50
tel. (32) 609-80-51
fax (32) 203-92-24
e-mail: [email protected]
CLICO Oddzia³ Warszawa
03-738 Warszawa
ul. Kijowska 1
tel. (22) 518-02-70...72
fax (22) 518-02-73
e-mail: [email protected]
©2004 Check Point Software Technologies Ltd. Wszystkie prawa zastrze¿one. Check Point, Application Intelligence, Check Point Express, logo
Check Point, ClusterXL, ConnectControl, Connectra, FireWall-1, FireWall-1 GX, FireWall-1 SecureServer, FireWall-1 VSX, FireWall-1 XL,
FloodGate-1, INSPECT, INSPECT XL, IQ Engine, Open Security Extension, OPSEC, Provider-1, Safe@Office, SecureKnowledge, SecurePlatform,
SecureXL, SiteManager-1, SmartCenter, SmartCenter Pro, SmartDashboard, SmartDefense, SmartLSM, SmartMap, SmartUpdate, SmartView,
SmartView Monitor, SmartView Reporter, SmartView Status, SmartViewTracker, UAM, User-to-Address Mapping, UserAuthority, VPN-1, VPN-1
Accelerator Card, VPN-1 Pro, VPN-1 SecureClient, VPN-1 SecuRemote, VPN-1 SecureServer oraz VPN-1 VSX s¹ znakami handlowymi b¹dŸ
zarejestrowanymi znakami handlowymi firmy Check Point Software Technologies Ltd. b¹dŸ jej oddzia³ów. Wszystkie inne wspomniane nazwy
produktów s¹ znakami handlowymi b¹dŸ zarejestrowanymi znakami handlowymi ich prawowitych w³aœcicieli. Produkty opisane w tym dokumencie
s¹ chronione patentami USA nr 5 606 668, 5 835 726 i 6 496 935 a tak¿e mog¹ byæ chronione przez inne patenty USA, patenty zagraniczne lub s¹
w trakcie procedury przyznawania patentu.
© 2005 CLICO Sp. z o.o. (polska wersja jêzykowa). CLICO i CLICO logo s¹ zarejestrowanymi znakami towarowymi CLICO Sp. z o.o.