Internet
Transkrypt
Internet
W£ASNOŒCI PRODUKTU: • Ochrona przed z³oœliwym kodem • Zaawansowana inspekcja strumieni • Proste wdra¿anie i zarz¹dzanie • Bezproblemowa integracja z produktami firmy Check Point KORZYŒCI Z ZASTOSOWANIA PRODUKTU • Najsilniejsza ochrona przed znanymi i nieznanymi atakami z wykorzystaniem technik przepe³nieñ bufora. • Zapewnia z maksymaln¹ przepustowoœci¹ bezpieczeñstwo aplikacji pod³¹czonych do Internetu. • Poprawia komfort u¿ytkownika korzystania z aplikacji dziêki stronom WWW pomocy technicznej. WYZWANIA Dzia³alnoœæ firm w coraz wiêkszym stopniu zale¿y od Internetu. Tradycyjne aplikacje dzia³aj¹ce w architekturze klient-serwer, które niedawno by³y dostêpne tylko w korporacyjnych sieciach LAN s¹ obecnie dostêpne przez Internet. Jednak to b³yskawiczne zastosowanie sieci Internet, intranet i extranet stwarza ryzyko uzyskania dostêpu do najwa¿niejszych danych przez napastników i innych nieproszonych goœci. Kompletne œrodowisko webowe obejmuje sieæ, stosowane systemy operacyjne, serwery WWW i systemy back-end. W wielu aplikacjach przeznaczonych do dzia³ania w œrodowisku webowym nie poœwiêcono nale¿ytej uwagi na zagadnienia bezpieczeñstwa. W efekcie aplikacje tego typu czêsto maj¹ luki bezpieczeñstwa pocz¹wszy od dekodowania Unicode, a skoñczywszy na ró¿nych rodzajach przepe³nieñ buforów. Nowe s³abe punkty programów s¹ odkrywane codziennie. Hakerzy opracowuj¹ coraz to nowoczeœniejsze sposoby wykorzystywania ró¿nych elementów Internet œrodowiska webowego. Wraz ze wzrostem popularnoœci aplikacji webowych sta³y siê one podstawowym celem napastników. Firmy d¹¿¹ do znalezienia rozwi¹zañ pozwalaj¹cych na ochronê ich inwestycji w œrodowisko webowe oraz cennych danych. Pomimo to, stosowane rozwi¹zania s¹ w wiêkszoœci nieskuteczne. W najlepszym przypadku gwarantuj¹ one czêœciowe rozwi¹zanie problemu. ¯adne z dostêpnych rozwi¹zañ nie gwarantuje kompletnej ochrony ca³ego œrodowiska webowego. NASZE ROZWI¥ZANIE Web Intelligence to jedyna technologia zapory firewall dla aplikacji webowych, która gwarantuje kompleksow¹ ochronê ca³ego œrodowiska webowego. Bramy firmy Check Point takie, jak VPN-1®Pro™, VPN-1 Express oraz Connectra s¹ wyposa¿one w technologie Stateful Inspection, Application Intelligence™ oraz Web Intelligence™ zapewniaj¹ce wielowarstwow¹ ochronê dla sieci, systemów operacyjnych, serwerów WWW oraz systemów backend. Systemy operacyjne • Eksploity, dla których nie zainstalowano ³atek. • Sygnatury systemów operacyjnych (###OS fingerprint). • Robaki. Systemy Back-End • Wstrzykiwania SQL (SQL injection) • Poprawia bezpieczeñstwo dziêki ukryciu przed hakerami najwa¿niejszych informacji na temat œrodowiska webowego. • Umo¿liwia szybkie wdra¿anie najwa¿niejszych aplikacji. Zagro¿enia w œrodowisku webowym Serwery WWW • Directory traversal. • Przepe³nienia buforów. • Wstrzykiwanie poleceñ (Command injection). Ka¿da warstwa infrastruktury webowej ma wiele s³abych punktów W£ASNOŒCI TECHNOLOGII WEB INTELLIGENCE ADVANCED STREAMING INSPECTION OCHRONA PRZED Z£OŒLIWYM KODEM Oczekuj¹ca na przyznanie patentu technologia firmy Check Point Malicious Code Protector™ to rewolucyjny sposób identyfikacji, bez koniecznoœci stosowania sygnatur, przepe³nieñ bufora, przepe³nieñ sterty oraz innych ataków na serwery WWW z wykorzystaniem z³oœliwego kodu wykonywalnego. Jest to dodatkowa silna warstwa ochronna stosowana obok technologii Application Intelligence firmy Check Point. Za pomoc¹ technologii Malicious Code Protector mo¿na wykrywaæ z³oœliwy wykonywalny kod w obrêbie komunikacji webowej nie tylko poprzez identyfikacjê istnienia instrukcji wykonywalnych w strumieniu danych, ale tak¿e ich potencjalnie z³oœliwego charakteru. Technologia Malicious Code Protector wykorzystuje cztery istotne dzia³ania inspekcyjne: • Monitoruje komunikacjê webow¹ poszukuj¹c kodu wykonywalnego. • Potwierdza istnienie kodu wykonywalnego. • Stwierdza, czy kod wykonywalny jest z³oœliwy. • Blokuje z³oœliwemu kodowi wykonywalnemu dostêp do docelowego hosta. Technologia Malicious Code Protector identyfikuje zarówno znane, jak nieznane ataki oferuj¹c profilaktyczn¹ ochronê przed nimi. Ostatnie badania laboratoryjne wykaza³y, ¿e wymienione dzia³ania s¹ wykonywane bardzo dok³adnie z niewielkim odsetkiem fa³szywych alarmów. Co wiêcej dodatkowa ochrona nie wi¹¿e siê z obni¿eniem wydajnoœci, poniewa¿ technologia Malicious Code Protector jest wykorzystywana na poziomie j¹dra. (ZAAWANSOWANA INSPEKCJA STRUMIENI) Advanced Streaming Inspection to technologia firmy Check Point wykorzystywana na poziomie j¹dra, która s³u¿y do przetwarzania kontekstu komunikacji. Technologia Advanced Streaming Inspection, podobnie, jak Stateful Inspection oraz Application Intelligence bazuje na mechanizmie INSPECT™ firmy Check Point. Dziêki wykorzystaniu tej technologii mo¿na podejmowaæ decyzje dotycz¹ce bezpieczeñstwa na podstawie informacji o sesji i aplikacji. Poprzez to technologia Web Intelligence jest w stanie interpretowaæ komunikacjê webow¹ nawet wtedy, gdy obejmuje ona wiele segmentów TCP. W technologii Web Intelligence kosztowne obliczeniowo inspekcje aplikacji s¹ wykonywane na poziomie j¹dra, co znacznie zwiêksza przepustowoœæ i szybkoœci po³¹czeñ. WYDAJNOŒÆ WEB INTELLIGENCE Przepustowoœæ: 1,9 Gb/sek Szybkoœæ nawi¹zywania po³¹czeñ: 8 300 po³¹czeñ/sek * Wydajnoœæ mierzona przy zastosowaniu domyœlnych ustawieñ Web Intelligence. Ochrona „w locie” Technologia Advanced Streaming Inspection wprowadza zastosowanie techniki Active Streaming w technologii Web Intelligence, która umo¿liwia modyfikowanie zawartoœci po³¹czeñ webowych „w locie”. Dziêki tej istotnej w³asnoœci, klienci firmy Check Point uzyskuj¹ kilka unikatowych korzyœci. Technika Active Streaming umo¿liwia zastosowanie mechanizmu podmiany nag³ówków http pierwszej linii obrony polegaj¹cej na ukryciu istotnych w³aœciwoœci œrodowiska webowego. W³aœciwoœci te czêsto obejmuj¹ nazwê i wersjê systemów operacyjnych, serwerów WWW oraz serwerów backend. Dla u¿ytkowników informacje te s¹ zazwyczaj bezu¿yteczne, ale bezcenne dla napastników, którzy próbuj¹ przeprowadziæ rozpoznanie swoich celów. Zastosowanie technologii Web Intelligence umo¿liwia przechwytywanie odpowiedzi witryny zawieraj¹cej informacje o serwerze i daje administratorowi mo¿liwoœæ ca³kowitego ukrycia tych danych b¹dŸ modyfikacji strumienia w celu zmylenia napastników. Wirtualny symulator serwera Wejœcie od u¿ytkownika Kod wykonywalny? Z³oœliwy kod? TAK TAK NIE Spe³nia warunki testu NIE Spe³nia warunki testu Technologia Malicious Code Protector identyfikuje zagro¿enia na podstawie dzia³ania kodu, a nie sygnatur. Blokowanie/ rejestrowanie Wbudowana w VPN-1 technologia Web Intelligence jest zarz¹dzana za pomoc¹ narzêdzia SmartCenter umo¿liwiaj¹cego zintegrowane, centralne zarz¹dzanie, rejestrowanie i monitorowanie. Zwiêkszona wygoda u¿ytkowania Technologia Active Streaming poprawia wygodê u¿ytkownika poprzez umo¿liwienie administratorom zdefiniowania w³asnych stron b³êdów. Wiêkszoœci u¿ytkowników nic nie mówi¹ standardowe kody b³êdów. Dziêki technologii Active Streaming mo¿na skierowaæ u¿ytkownika na odpowiednio przygotowan¹ stronê z opisem b³êdu i wskazówkami. To znacznie poprawia wygodê u¿ytkownika i zmniejsza koszty zwi¹zane z udzielaniem pomocy technicznej. PROSTA INSTALACJA I ZARZ¥DZANIE Zarz¹dzanie technologi¹ Web Intelligence w obrêbie VPN-1 jest ca³kowicie zintegrowane z narzêdziem SmartCenter™. Interfejs u¿ytkownika zawiera listê znanych ataków. Do ka¿dego mechanizmu ochronnego jest do³¹czony opis ataku i obrony. „Web Server View” to centrum sterowania dla wszystkich serwerów WWW w korporacji. Jest to zestawienie typów zabezpieczeñ zastosowanych dla poszczególnych serwerów. Poniewa¿ ka¿dy serwer aplikacji webowych ró¿ni siê od pozosta³ych wymaganiami zabezpieczeñ, technologia Web Intelligence zapewnia mo¿liwoœæ konfigurowania szczegó³owych zabezpieczeñ dla ró¿nych aplikacji webowych i serwerów WWW. Podstawowa konfiguracja technologii Web Intelligence zajmuje zaledwie kilka minut. W technologii Web Intelligence zastosowano tak¿e tryb Monitor-Only (tylko monitorowanie), który pozwala na bezproblemowe wdro¿enie zabezpieczeñ bez ryzyka odrzucenia po³¹czeñ dla kluczowych aplikacji ze wzglêdu na b³êdy w konfiguracji polityki bezpieczeñstwa. BEZPROBLEMOWA INTEGRACJA Z PRODUKTAMI CHECK POINT Web Intelligence jest œciœle zintegrowane z bramami zabezpieczeñ VPN-1 Pro™, VPN-1 Express i Connectra. Zastosowanie tej technologii nie wymaga instalacji dodatkowych urz¹dzeñ. W przypadku bram VPN-1, Web Intelligence jest zarz¹dzana przez doskona³e narzêdzie SmartCenter. Dziêki temu administratorzy znaj¹cy interfejs u¿ytkownika nie musz¹ uczyæ siê wykonywania nowych czynnoœci. Logi zabezpieczeñ i audytu s¹ zintegrowane z pozosta³ymi logami VPN-1 tworz¹c rozbudowane Ÿród³o wiedzy dla administratorów pozwalaj¹ce na centraln¹ analizê naruszeñ bezpieczeñstwa. Integracja z narzêdziem SmartCenter pozwala na uzyskanie kompleksowego mechanizmu tworzenia raportów, audytu i monitorowania. Logi Web Intelligence s¹ zintegrowane z narzêdziem SmartCenter. OCHRONA WEB SZCZEGÓ£OWOŒÆ KONFIGURACJI • Z³oœliwy kod – Malicious Code Protector™; – Mechanizm wykrywania robaków http, • Warstwa aplikacji – Ochrona przed atakami Cross Site Scripting; – Ochrona przed „wstrzykiwaniem SQL” (SQL injection); – Ochrona przed wstrzykiwaniem poleceñ (Command Injection); – Ochrona przed atakami typu Directory traversal; • Ujawnianie informacji – Technika podmiany nag³ówków (header spoofing); • Inspekcja protoko³u HTTP – Sprawdzanie rozmiaru formatu HTTP; – Zezwolenie na przesy³anie ¿¹dañ wy³¹cznie w formacie ASCII; – Zezwolenie na przesy³anie nag³ówków odpowiedzi wy³¹cznie w formacie ASCII; – Definicje list odrzucanych nag³ówków; – Przestrzeganie metod HTTP. • Technologia Web Intelligence chroni indywidualne serwery; • Mo¿liwoœæ w³¹czenia ochrony przed atakiem dla ka¿dego z serwerów z osobna; • Ka¿dy typ ochrony przed atakiem mo¿na zastosowaæ dla indywidualnych serwerów lub monitorowaæ ca³y ruch HTTP OPCJE WYMUSZANIA • Aktywne – Blokowanie i œledzenie; – Blokowanie, œledzenie i wysy³anie strony HTML z opisem b³êdu. • Tryb Monitor-only • Wy³¹czone Dystrybucja w Polsce: CLICO Sp. z o.o. 30-063 Kraków, Al. 3-go Maja 7 tel. (12) 632-51-66 tel. (12) 292-75-22 ... 25 fax (12) 632-36-98 e-mail: [email protected] www.clico.pl AKTUALIZACJA W CZASIE RZECZYWISTYM MECHANIZMÓW OCHRONY • Us³uga subskrypcji SmartDefense. WYMAGANIA LICENCYJNE • Licencja Web Intelligence dla bram – Wed³ug liczby chronionych serwerów (3, 10, nieograniczona); WYMAGANIA SYSTEMOWE • Technologia Web Intelligence ma te same wymagania systemowe i konfiguracyjne co bramy VPN-1 NG z technologi¹ Application Intelligence. • Wymaga wersji R55W lub wy¿szej. • Wspierane wersje oprogramowania i urz¹dzeñ CheckPoint: – FireWal-1®, VPN-1®Pro™, VPN-1 Express, VPN-1/FireWall-1 SecureServer™; – Connectra™ (wbudowana technologia Web Intelligence). • Technologia Web Intelligence jest zarz¹dzana siê za pomoc¹ narzêdzi SmartCenter. CLICO Oddzia³ Katowice 40-555 Katowice, ul. Rolna 43 tel. (32) 203-92-35 tel. (32) 609-80-50 tel. (32) 609-80-51 fax (32) 203-92-24 e-mail: [email protected] CLICO Oddzia³ Warszawa 03-738 Warszawa ul. Kijowska 1 tel. (22) 518-02-70...72 fax (22) 518-02-73 e-mail: [email protected] ©2004 Check Point Software Technologies Ltd. Wszystkie prawa zastrze¿one. Check Point, Application Intelligence, Check Point Express, logo Check Point, ClusterXL, ConnectControl, Connectra, FireWall-1, FireWall-1 GX, FireWall-1 SecureServer, FireWall-1 VSX, FireWall-1 XL, FloodGate-1, INSPECT, INSPECT XL, IQ Engine, Open Security Extension, OPSEC, Provider-1, Safe@Office, SecureKnowledge, SecurePlatform, SecureXL, SiteManager-1, SmartCenter, SmartCenter Pro, SmartDashboard, SmartDefense, SmartLSM, SmartMap, SmartUpdate, SmartView, SmartView Monitor, SmartView Reporter, SmartView Status, SmartViewTracker, UAM, User-to-Address Mapping, UserAuthority, VPN-1, VPN-1 Accelerator Card, VPN-1 Pro, VPN-1 SecureClient, VPN-1 SecuRemote, VPN-1 SecureServer oraz VPN-1 VSX s¹ znakami handlowymi b¹dŸ zarejestrowanymi znakami handlowymi firmy Check Point Software Technologies Ltd. b¹dŸ jej oddzia³ów. Wszystkie inne wspomniane nazwy produktów s¹ znakami handlowymi b¹dŸ zarejestrowanymi znakami handlowymi ich prawowitych w³aœcicieli. Produkty opisane w tym dokumencie s¹ chronione patentami USA nr 5 606 668, 5 835 726 i 6 496 935 a tak¿e mog¹ byæ chronione przez inne patenty USA, patenty zagraniczne lub s¹ w trakcie procedury przyznawania patentu. © 2005 CLICO Sp. z o.o. (polska wersja jêzykowa). CLICO i CLICO logo s¹ zarejestrowanymi znakami towarowymi CLICO Sp. z o.o.