1 Wprowadzenie – ataki na aplikacje. 2 Application Intelligence

Transkrypt

W tym dokumencie:
1 Wprowadzenie – ataki na aplikacje.
2 Application Intelligence – ochrona przed zagro¿eniami nowej generacji
3 Warstwy sieci i transportu: konieczna podstawa dla technologii Application Intelligence
4 Wnioski
5 Za³¹cznik
WPROWADZENIE ATAKI NA APLIKACJE
W ci¹gu ostatnich kilku lat korporacyjne zapory firewall sta³y siê podstawowym elementem architektury
bezpieczeñstwa sieci. Zaprojektowane g³ównie jako mechanizm kontroli dostêpu do zasobów
sieciowych, zapory firewall pomyœlnie wdro¿ono w znakomitej wiêkszoœci instalacji sieciowych.
Najwa¿niejszym powodem sukcesu zapór firewall jest fakt, ¿e je¿eli urz¹dzenia te wykorzysta siê do
wymuszania w³aœciwie zdefiniowanej polityki bezpieczeñstwa, zazwyczaj zapobiegaj¹ one ponad 90%
atakom sieciowym. We wspó³czesnym œwiecie, gdzie konkurencja odgrywa tak istotn¹ rolê, ma to
kluczowe znaczenie dla zapewnienia niezawodnoœci sieci. Jednak chocia¿ wiêkszoœæ zapór firewall
zapewnia skuteczn¹ kontrolê dostêpu, wiele z nich nie umo¿liwia wykrywania i zwalczania ataków na
poziomie aplikacji.
Zdaj¹c sobie sprawê z tego faktu, hakerzy opracowali skomplikowane ataki maj¹ce na celu obejœcie
tradycyjnych mechanizmów kontroli dostêpu stosowanych w granicznych zaporach firewall. Wiedza
wspó³czesnych hakerów jest ogromna. Stosowane przez nich techniki nie ograniczaj¹ siê ju¿ tylko do
skanowania otwartych portów w zaporach firewall. Ich bezpoœrednim celem sta³y siê aplikacje.
Do najpowa¿niejszych zagro¿eñ we wspó³czesnym œrodowisku internetowym nale¿¹ ataki polegaj¹ce
na próbach wykorzystania znanych s³abych punktów aplikacji. Hakerzy szczególnie interesuj¹ siê
takimi us³ugami, jak HTTP (port TCP numer 80) oraz HTTPS (port TCP numer 443), które w wielu
sieciach s¹ otwarte. Urz¹dzenia kontroli dostêpu nie potrafi¹ w ³atwy sposób wykryæ z³oœliwych
eksploitów, których celem s¹ wspomniane us³ugi.
Dziêki skierowaniu ataków bezpoœrednio na aplikacje, hakerzy próbuj¹ osi¹gn¹æ co najmniej jeden
z kilku wymienionych poni¿ej celów:
• zablokowanie dostêpu do us³ug uprawnionym u¿ytkownikom (ataki DoS);
• uzyskanie dostêpu z prawami administratora do serwerów lub klientów aplikacji;
• uzyskanie dostêpu do baz danych;
• instalacja koni trojañskich, które umo¿liwiaj¹ pominiêcie mechanizmów bezpieczeñstwa
i uzyskanie dostêpu do aplikacji;
• instalacja na serwerze programów dzia³aj¹cych w trybie nas³uchu, które przechwytuj¹
identyfikatory i has³a u¿ytkowników.
Poniewa¿ ataki skierowane przeciwko aplikacjom s¹ skomplikowane, skuteczne mechanizmy ochrony
przed tymi atakami musz¹ byæ równie skomplikowane i inteligentne. Korporacyjne zapory firewall,
w celu zapobiegania zagro¿eniom powodowanym przez ataki skierowane na aplikacje, musz¹
zapewniaæ kompleksow¹ ochronê na wielu poziomach. Mechanizmy ochrony powinny zabezpieczaæ
zarówno przed atakami skierowanymi na sieæ, jak i aplikacje, a jednoczeœnie zapewniaæ œcis³¹ kontrolê
dostêpu do zasobów informatycznych.
Check Point Application Intelligence™ jest zbiorem zaawansowanych mechanizmów, zintegrowanych
z technologiami firmy Check Point FireWall-1® i SmartDefense™, które wykrywaj¹ i zabezpieczaj¹
przed atakami poziomu aplikacji.
Application Intelligence ochrona przed zagro¿eniami nowej generacji
Wiele zapór firewall, w szczególnoœci tych, które bazuj¹ na technologii Stateful Inspection zawiera
pokaŸny arsena³ mechanizmów obronnych przed atakami sieciowymi. W efekcie, coraz czêœciej
w atakach wykorzystuje siê s³abe punkty aplikacji sieciowych, a coraz rzadziej kieruje siê je
bezpoœrednio przeciwko zaporom firewall. Ta istotna zmiana w metodologii ataków wymaga od zapór
firewall nie tylko mechanizmów kontroli dostêpu i ochrony przed atakami poziomu sieci, ale tak¿e
zrozumienia dzia³ania aplikacji w celu ochrony przed atakami skierowanymi na aplikacje i ich
uszkodzeniem.
Aplikacji (warstwa 7)
Prezentacji (warstwa 6)
Przyk³adowe
protoko³y
HTTP, FTP,
RPC, SMTP
Sesji (warstwa 5)
Transportu (warstwa 4)
TCP, UDP
Sieci (warstwa 3)
IP
£¹cza danych (warstwa 2)
Ethernet
Fizyczna (Layer 1)
Model referencyjny OSI (Open Systems Interconnection)
Model referencyjny OSI umo¿liwia
opis sposobu transmisji danych
pomiêdzy urz¹dzeniami w sieci.
UWAGA: Warstwa aplikacji nie jest
w³aœciw¹ aplikacj¹ u¿ytkownika, ale
zestawem us³ug umo¿liwiaj¹cych
oprogramowaniu aplikacyjnemu
komunikacjê w sieci. Ró¿nice
pomiêdzy warstwami 5, 6 i 7 nie
zawsze s¹ jasne. Istniej¹ modele,
w których s¹ one ³¹czone. W³aœnie
w taki sposób zinterpretowano te
warstwy w niniejszym artykule.
Bazuj¹ca na najbardziej elastycznej i inteligentnej technice inspekcji INSPECT, technologia Check Point
Application Intelligence zapewnia rozszerzony zakres zabezpieczeñ sieciowych.
BEZPIECZEÑSTWO WARSTWY APLIKACJI
Warstwa aplikacji jest czêstym celem ataków z kilku powodów. Po pierwsze, jest to warstwa, w której
znajduje siê ostateczny cel hakerów dane u¿ytkowników. Po drugie, warstwa aplikacji obs³uguje wiele
protoko³ów (HTTP, CIFS, VoIP, SNMP, SMTP, SQL, FTP, DNS, itp.), a zatem stwarza mo¿liwoœæ
skorzystania z wielu potencjalnych metod ataku. I po trzecie, wykrywanie i ochrona przed atakami
w warstwie aplikacji jest trudniejsza od ochrony w ni¿szych warstwach, poniewa¿ warstwa aplikacji
ma wiêcej s³abych punktów.
W celu skutecznego zapewnienia bezpieczeñstwa poziomu aplikacji, zabezpieczenie musi zapewniaæ
nastêpuj¹ce cztery mechanizmy obrony:
1) Sprawdzanie zgodnoœci ze standardami
Zapory firewall musz¹ mieæ mo¿liwoœæ sprawdzenia, czy komunikacja odbywa siê zgodnie
z odpowiednimi standardami protoko³ów. Naruszenie standardów transmisji mo¿e byæ wskaŸnikiem
z³oœliwego ruchu. Ka¿dy ruch, który nie przestrzega œciœle standardów protoko³u lub aplikacji,
zanim dostanie siê do sieci chronionej, musi byæ poddany szczegó³owej analizie. W innym
przypadku kluczowe dla biznesu aplikacje mog¹ byæ w niebezpieczeñstwie. Oto przyk³ady:
•
Voice Over IP (VoIP) w transmisji VoIP zazwyczaj wykorzystuje siê protoko³y H.323 i SIP.
Dzia³anie tych protoko³ów jest doœæ skomplikowane, w efekcie w ustanowieniu i utrzymaniu
po³¹czeñ VoIP wykorzystuje siê wiele portów komunikacyjnych. Niew³aœciwe przestrzeganie tych
protoko³ów mo¿e spowodowaæ, ¿e instalacja VoIP bêdzie wra¿liwa na nastêpuj¹ce
niebezpieczeñstwa:
n przekierowania po³¹czeñ po³¹czenia trafiaj¹ do innego odbiorcy, ni¿ planowano;
n kradzie¿ po³¹czeñ dzwoni¹cy podaje siê za kogoœ innego;
n ataki Denial of Service (DoS) blokowanie uprawnionym u¿ytkownikom dostêpu do us³ugi VoIP.
Bramy zabezpieczeñ musz¹ zapewniæ pe³n¹ zgodnoœæ poleceñ H.323 i SIP z odpowiednimi
standardami i dokumentami RFC oraz w³aœciw¹ strukturê pakietów oraz kolejnoœæ ich transmisji.
Dodatkowo, zapory firewall powinny sprawdzaæ zawartoœæ pakietów przesy³anych przez ka¿dy
z dozwolonych portów po to, by uzyskaæ pewnoœæ, ¿e zawieraj¹ one w³aœciwe informacje.
•
Dane binarne w nag³ówkach HTTP. Chocia¿ oficjalny standard HTTP zabrania przesy³ania
znaków binarnych w nag³ówkach HTTP, regu³a ta jest niejednoznaczna i wiêkszoœæ zapór
firewall jej nie sprawdza. W rezultacie, wielu hakerów przeprowadza ataki polegaj¹ce na
w³¹czaniu kodu wykonywalnego w nag³ówkach HTTP. Wszystkie bramy zabezpieczeñ powinny
umo¿liwiaæ blokowanie lub oznaczanie znaków binarnych w nag³ówkach i ¿¹daniach HTTP.
2) Sprawdzanie spodziewanego sposobu wykorzystania protoko³ów (wykrywanie anomalii
protoko³ów).
• Testowanie zgodnoœci protoko³ów ze standardami jest wa¿ne, ale równie wa¿na jest mo¿liwoœæ
sprawdzenia, czy dane w obrêbie protoko³ów s¹ wykorzystywane tak, jak siê spodziewano.
Inaczej mówi¹c, nawet jeœli strumieñ komunikacji jest zgodny ze standardem protoko³u, sposób
wykorzystania protoko³u mo¿e byæ inny ni¿ spodziewany. Oto przyk³ady:
• Wykorzystanie protoko³u HTTP do transmisji w sieciach Peer-to-Peer (P2P). P2P to model
komunikacji, w którym ka¿da stacja ma te same uprawnienia i mo¿e zainicjowaæ sesjê
komunikacji. Aplikacje P2P mo¿na podzieliæ na dwie g³ówne kategorie:
n komunikatory (Instant messaging IM) ich g³ównym celem jest umo¿liwienie bezpoœredniej
komunikacji online pomiêdzy u¿ytkownikami sieci;
n sieci do wspó³dzielenia plików ich g³ównym celem jest wspó³dzielenie zasobów, na przyk³ad
miejsca na dysku.
Transmisje P2P czêsto wykorzystuj¹ port TCP numer 80, który w normalnych warunkach jest
przeznaczony do przesy³ania ruchu HTTP i dlatego jest otwarty na po³¹czenia wychodz¹ce.
Chocia¿ istnieje wiele zastrze¿onych protoko³ów P2P, bardzo czêsto transmisje P2P s¹
wbudowane w ruch HTTP. W takich sytuacjach zapory firewall, które sprawdzaj¹ tylko zgodnoœæ
protoko³u ze standardem zezwalaj¹ na sesjê P2P (poniewa¿ wykorzystuje ona standardowy
protokó³ HTTP). Poniewa¿ spodziewane wykorzystanie protoko³u HTTP to transmisja stron
WWW, wbudowana w ruch HTTP komunikacja P2P powinna zostaæ zablokowana lub oznaczona
przez zaporê firewall.
• W wielu firmach d¹¿y siê do zablokowania b¹dŸ ograniczenia ruchu P2P ze wzglêdów
bezpieczeñstwa, oszczêdnoœci pasma b¹dŸ przyczyn prawnych. Komunikacja P2P stwarza
problemy bezpieczeñstwa poniewa¿ umo¿liwia przesy³anie plików, gier, g³osu i wiadomoœci
e-mail z pominiêciem zapór firewall, mechanizmów kontroli antywirusowej, rejestrowania
i œledzenia. W efekcie hakerzy mog¹ j¹ wykorzystaæ jako sposób ataku na sieæ. Bramy
zabezpieczeñ powinny blokowaæ nieuprawniony ruch P2P lub zezwalaæ na ruch P2P tylko dla
uprawnionych u¿ytkowników.
• Directory Traversal. Ataki typu directory traversal umo¿liwiaj¹ hakerom uzyskanie dostêpu do
plików i katalogów, do których dostêp powinien byæ zabroniony. W efekcie, próbuj¹c uzyskaæ
dostêp do zasobów haker mo¿e uruchomiæ na serwerze WWW niepo¿¹dany, wykonywalny kod.
Wiêkszoœæ z tych ataków wykorzystuje notacjê ".." stosowan¹ w systemach plików. Zapory
firewall powinny blokowaæ ¿¹dania, w których adresy URL zawieraj¹ ¿¹dania katalogów zgodne
ze sk³adni¹, ale niezgodne ze spodziewanym sposobem u¿ycia. Na przyk³ad ¿¹danie postaci
http://www.serwer.com/pierwszy/drugi/../../.. jest prób¹ przejœcia poza katalog g³ówny i dlatego
powinno zostaæ zablokowane.
• Nienaturalnie d³ugie nag³ówki HTTP. W standardzie HTTP nie ma ograniczeñ d³ugoœci
nag³ówków. Pomimo to, stosowanie bardzo d³ugich nag³ówków HTTP nie mieœci siê w normach
standardowego, spodziewanego wykorzystania protoko³u HTTP. Nag³ówki nienaturalnie d³ugie
powinny byæ blokowane lub znakowane w celu zmniejszenia ryzyka wyst¹pienia przepe³nieñ
bufora (ang. buffer overflow) oraz ograniczenia rozmiaru kodu, który mo¿e byæ wstawiony za
pomoc¹ tej techniki.
3) Ograniczenie mo¿liwoœci przenoszenia z³oœliwego kodu przez aplikacje
Nawet jeœli komunikacja w warstwie aplikacji jest zgodna z wymogami protoko³ów, w dalszym ci¹gu
jest mo¿liwoœæ przesy³ania w niej danych, które potencjalnie mog¹ zak³ócaæ pracê systemu. Z tego
powodu, bramy zabezpieczeñ powinny zawieraæ mechanizmy wprowadzania ograniczeñ i kontroli
zdolnoœci aplikacji do wprowadzania do sieci wewnêtrznej potencjalnie niebezpiecznych danych lub
poleceñ. Oto przyk³ady:
• Ataki Cross Site Scripting. Skrypty s¹ powszechnie stosowanym mechanizmem ataków na
aplikacje. Poniewa¿ wiêkszoœæ skryptów nie stwarza zagro¿enia, nic nie podejrzewaj¹cy
u¿ytkownicy czêsto nieumyœlnie wykonuj¹ z³oœliwe skrypty. Bardzo czêsto s¹ one ukryte w
niewinnie wygl¹daj¹cych odsy³aczach lub wizytówkach e-mailowych. Typowym przyk³adem
z³oœliwego kodu zapisanego w skryptach s¹ ataki XSS (ang. Cross Site Scripting). W atakach
tego rodzaju hakerzy wykorzystuj¹ relacje zaufania pomiêdzy u¿ytkownikiem, a witryn¹ WWW
poprzez stosowanie specjalnie spreparowanych adresów URL. Celem ataków jest zdobycie
plików cookie zawieraj¹cych dane identyfikacyjne u¿ytkowników oraz parametry uwierzytelniania
lub te¿ nak³onienie u¿ytkowników do udostêpnienia napastnikom danych umo¿liwiaj¹cych ich
zalogowanie siê. Zazwyczaj ataki XSS s¹ inicjowane poprzez umieszczenie skryptów w ¿¹daniu
HTTP, które u¿ytkownik nieœwiadomie przesy³a do zaufanej witryny WWW. W celu ochrony
serwerów WWW przed atakami XSS, bramy zabezpieczeñ powinny zapewniaæ mo¿liwoœæ
wykrywania i blokowania ¿¹dañ HTTP zawieraj¹cych niebezpieczny kod.
• Ograniczanie lub blokowanie potencjalnie z³oœliwych adresów URL. Z³oœliwe dane mog¹
przedostaæ siê do sieci wewnêtrznej za poœrednictwem adresów URL. Na przyk³ad, aplikacja
klienta pocztowego mo¿e automatycznie wykonaæ kod HTML wbudowany w adresie URL. Jeœli
URL zawiera z³oœliwy kod, mo¿e spowodowaæ uszkodzenia w sieci wewnêtrznej lub systemie
u¿ytkownika. Dostêp do potencjalnie z³oœliwych adresów URL powinien zostaæ zablokowany
b¹dŸ ograniczony.
• Wykrywanie i blokowanie sygnatur ataku. Bramy zabezpieczeñ powinny przeprowadzaæ
filtrowanie zawartoœci wszystkich strumieni danych w celu wykrywania i blokowania wszystkich
kombinacji danych, które posiadaj¹ cechy z³oœliwego kodu, robaków, itp.
4) Kontrola operacji w warstwie aplikacji
Oprócz tego, ¿e w strumieniach przesy³anych w warstwie aplikacji mog¹ byæ z³oœliwe dane, tak¿e
same aplikacje mog¹ wykonywaæ nieuprawnione operacje. Zabezpieczenia sieciowe powinny mieæ
mo¿liwoœæ identyfikacji i kontroli takich operacji poprzez przeprowadzanie „kontroli dostêpu” oraz
testów „uprawnionego u¿ycia”. Ten poziom zabezpieczeñ wymaga szczegó³owego rozró¿niania
operacji wykonywanych przez aplikacje. Oto przyk³ady:
• Us³ugi sieci Microsoft Network mechanizm zabezpieczeñ sieci powinien implementowaæ
politykê bezpieczeñstwa wykorzystuj¹c wiele parametrów systemu plików firmy Microsoft CIFS
(Common Internet File System). System plików CIFS obs³uguje miêdzy innymi operacje
wspó³dzielenia plików i drukarek. Bior¹c za przyk³ad te operacje, brama zabezpieczeñ powinna
mieæ mo¿liwoœæ rozró¿niania i blokowania operacji wspó³dzielenia plików pochodz¹cych od
u¿ytkowników lub systemów nie maj¹cych odpowiednich uprawnieñ. Z kolei operacje
wspó³dzielenia drukarek pochodz¹ce od tych samych u¿ytkowników mog¹ byæ dozwolone.
Zapewnienie poziomu bezpieczeñstwa na takim poziomie szczegó³owoœci wymaga dok³adnego
zrozumienia dzia³ania systemu plików CIFS, a tak¿e mo¿liwoœci zarz¹dzania sk³adnikami
warstwy aplikacji.
• FTP. Zapora firewall powinna mieæ mo¿liwoœæ wprowadzania ograniczeñ dla okreœlonych nazw
plików i kontrolowaæ potencjalnie szkodliwe polecenia FTP takie, jak PUT, GET, SITE, REST
i MACB. Na przyk³ad, polityka bezpieczeñstwa mo¿e wymagaæ blokowania wszystkich plików
zawieraj¹cych frazê lista p³ac.
Warstwy sieci i transportu: konieczna podstawa dla technologii application intelligence
Technologia Application Intelligence w swojej najczystszej formie sk³ada siê z mechanizmów ochrony
poziomu aplikacji. Jednak w praktyce, celem wielu ataków skierowanych przeciwko aplikacjom
sieciowym w rzeczywistoœci s¹ warstwy sieci i transportu. Hakerzy atakuj¹ ni¿sze warstwy, które
wykorzystuj¹ jako mechanizmy dostêpu do warstwy aplikacji i ostatecznie samych aplikacji oraz
wykorzystywanych przez nich danych. Dziêki zaatakowaniu ni¿szych warstw hakerzy mog¹ przerwaæ
lub zablokowaæ dostêp do us³ug uprawnionym u¿ytkownikom i aplikacjom (ataki DoS). Z tego powodu
technologia Application Intelligence oraz inne zabezpieczenia sieciowe musi chroniæ nie tylko warstwê
aplikacji, ale tak¿e warstwy sieci i transportu.
BEZPIECZEÑSTWO WARSTWY SIECI
Zapobieganie z³oœliwym manipulacjom protoko³ami warstwy sieciowej (np. IP, ICMP) to kluczowe
wymaganie dla wielopoziomowych bram zabezpieczeñ. Najczêœciej wykorzystywanym medium ataków
przeciwko warstwie sieci jest protokó³ IP (Internet Protocol), którego zestaw us³ug rezyduje w³aœnie w tej
warstwie. Istnieje wiele ró¿nych rodzajów ataków stosowanych w warstwie sieci. Oto kilka przyk³adów:
• Fragmentacja IP. Fragmentacjê IP mo¿na wykorzystaæ do przeprowadzania i ukrywania ataków
w celu zapobie¿enia ich wykryciu. Technika ta wykorzystuje elastycznoœæ protoko³u IP (RFC 791
i RFC 815) umo¿liwiaj¹c¹ dzielenie ataków na wiele pakietów IP. Dziêki temu pakiety omijaj¹
takie zapory firewall, które nie wykonuj¹ scalania fragmentów IP. Fragmentacjê IP mo¿na tak¿e
wykorzystaæ do przeprowadzenia ataku DoS poprzez zasypywanie urz¹dzeñ scalaj¹cych
fragmenty IP niekompletnymi sekwencjami fragmentów.
• Smurfing (ataki typu smurf). Protokó³ ICMP umo¿liwia wêz³owi sieci wysy³anie sygna³u ping
lub ¿¹dania echo do innych wêz³ów sieciowych w celu sprawdzenia stanu ich dzia³ania.
Zdolnoœæ tê mo¿na wykorzystaæ do przeprowadzenia ataku DoS typu „smurf”. Taki atak jest
mo¿liwy dlatego, gdy¿ w standardowym protokole ICMP nie s¹ porównywane ¿¹dania
z odpowiedziami. Z tego powodu, napastnik mo¿e wys³aæ na adres rozg³oszeniowy sygna³ ping
ze sfa³szowanym Ÿród³owym adresem IP. Adres rozg³oszeniowy IP odpowiada wszystkim
adresom IP w okreœlonej sieci. Wszystkie komputery w sieci, do której wys³ano sygna³ ping,
wysy³aj¹ odpowiedzi echo do sfa³szowanego, Ÿród³owego adresu IP. Zbyt du¿o sygna³ów ping
i odpowiedzi mo¿e zalaæ sieæ i zablokowaæ do niej dostêp uprawnionemu ruchowi. Tego typu
atak mo¿na zablokowaæ poprzez usuwanie odpowiedzi, które nie pasuj¹ do ¿¹dañ. W ten
sposób dzia³a technologia Stateful ICMP firmy Check Point.
BEZPIECZEÑSTWO WARSTWY TRANSPORTU
Warstwa transportu wraz z protoko³ami, które w niej dzia³aj¹ (TCP, UDP) jest podobnie, jak warstwa sieci
znanym punktem dostêpowym umo¿liwiaj¹cym hakerom wykonywanie ataków na aplikacje i dane. Oto
kilka przyk³adów ataków na warstwê transportu:
• Ataki DoS dla protoko³ów ró¿nych od TCP. Ataki DoS na protoko³y ró¿ne od TCP (np. UDP
i ICMP) mog¹ ca³kowicie zablokowaæ kluczowe aplikacje wykorzystuj¹ce ruch TCP (np. SMTP,
HTTP, FTP, itp.). Zapory firewall mog¹ ochroniæ przed tymi zagro¿eniami poprzez zarezerwowanie dedykowanej czêœci tabeli stanów dla po³¹czeñ TCP. Jeœli po³¹czenia innych protoko³ów ni¿
TCP próbuj¹ wykorzystywaæ zbyt wiele zasobów, po³¹czenia TCP na tym nie ucierpi¹, poniewa¿
bêd¹ obs³ugiwane przez zarezerwowane zasoby systemowe.
• Skanowanie portów. Skanowanie portów jest tym, na co wskazuje nazwa: hakerzy skanuj¹
zakres portów systemu docelowego w celu zidentyfikowania i wykorzystania s³abych punktów
dzia³aj¹cych aplikacji. Rekonesans wykonany za pomoc¹ skanowania portów jest sam w sobie
zagro¿eniem, poniewa¿ mo¿e prowadziæ do ataku. Brama zabezpieczeñ musi byæ zdolna do
zg³aszania alarmów i blokowania b¹dŸ przerywania komunikacji ze Ÿród³em skanowania.
Wnioski
Zapory firewall sta³y siê podstawowym elementem infrastruktury bezpieczeñstwa sieci ze wzglêdu
na ich zdolnoœæ do blokowania ataków na poziomie sieci. Reakcj¹ hakerów na sukces zapór firewall
by³o opracowanie bardziej wyszukanych metodologii ataku. Celem ataków nowego typu s¹ aplikacje.
Hakerzy bardzo czêsto próbuj¹ wykorzystaæ s³abe punkty w samych aplikacjach b¹dŸ w protoko³ach
komunikacyjnych, które te aplikacje wykorzystuj¹. Zapewnienie bezpieczeñstwa na wielu poziomach
jest warunkiem koniecznym zabezpieczenia sieci korporacyjnych przed wspomnianymi zagro¿eniami.
Co wiêcej, wielopoziomowe rozwi¹zania zabezpieczeñ musz¹ chroniæ zarówno przed atakami warstwy
sieci, jak aplikacji, a jednoczeœnie zapewniaæ kontrolê dostêpu do zasobów informatycznych.
Bazuj¹ca na technice INSPECT, technologia Application Intelligence firmy Check Point jest zbiorem
zaawansowanych mechanizmów zintegrowanych z technologiami firmy Check Point FireWall-1 NG
oraz SmartDefense. Pozwala ona na wykrywanie i przeciwdzia³anie atakom poziomu aplikacji.
Rozwi¹zania firmy Check Point s¹ sprawdzonymi w bran¿y, kompleksowymi technologiami
zabezpieczaj¹cymi przed rosn¹c¹ liczb¹ ataków skierowanych przeciwko kluczowym aplikacjom.
O firmie Check Point Software Technologies
Firma Check Point Software Technologies jest sprawdzonym liderem rynku zarówno sieci VPN,
jak zapór firewall. Dostarcza inteligentnych zabezpieczeñ granicznych, sieci wewnêtrznej oraz Internetu.
Technologie firmy Check Point bazuj¹ce na technice INSPECT najbardziej elastycznej i inteligentnej
technologii inspekcji, a tak¿e SMART Management technologii zarz¹dzania infrastruktur¹ zabezpieczeñ
zapewniaj¹c¹ najni¿szy wspó³czynnik TCO, s¹ najbardziej niezawodne i najczêœciej wdra¿ane na
œwiecie. Rozwi¹zania firmy Check Point s¹ sprzedawane, integrowane i obs³ugiwane poprzez sieæ 1 900
certyfikowanych partnerów z 86 krajów. Wiêcej informacji mo¿na uzyskaæ dzwoni¹c do nas na numer
(800) 429-4391 lub (650) 628-2000 b¹dŸ odwiedzaj¹c nasze strony internetowe
(http://www.checkpoint.com lub http://www.opsec.com).
BIURA FIRMY CHECKPOINT:
Centrala miêdzynarodowa:
3A Jabotinsky Street, 24th Floor
Ramat Gan 52520, Israel
Tel: 972-3-753 4555
Fax: 972-3-575 9256
e-mail: [email protected]
Oddzia³ w Polsce:
Check Point Software Technologies (Poland) Sp. z o.o.
Warsaw Financial Centre
ul. Emilii Plater 53 (11 piêtro)
00-113 Warszawa
Tel: +48 22 528 68 06
Fax: +48 22 528 68 37
mailto:[email protected]
Dystrybucja w Polsce:
CLICO Sp. z o.o.
30-063 Kraków, Al. 3-go Maja 7
tel. (12) 632-51-66
tel. (12) 292-75-22 ... 25
fax (12) 632-36-98
www.clico.pl
CLICO Oddzia³ Katowice
40-555 Katowice, ul. Rolna 43
tel. (32) 203-92-35
tel. (32) 609-80-50
tel. (32) 609-80-51
fax (32) 203-92-24
CLICO Oddzia³ Warszawa
03-738 Warszawa
ul. Kijowska 1
tel. (22) 518-02-70...72
fax (22) 518-02-73
© 2005 CLICO Sp. z o.o. (polska wersja jêzykowa). CLICO i CLICO logo s¹ zarejestrowanymi znakami towarowymi CLICO Sp. z o.o.
©2004 Check Point Software Technologies Ltd. Wszystkie prawa zastrze¿one. Check Point, Check Point Express, logo Check Point logo,
ClusterXL, ConnectControl, FireWall-1, FireWall-1 GX, FireWall-1 SecureServer, FireWall-1 VSX, FireWall-1 XL, FloodGate-1, INSPECT, INSPECT
XL, IQ Engine, Open Security Extension, OPSEC, Provider-1, Safe@Office, SecureKnowledge, SecurePlatform, SecureXL, SiteManager-1,
SmartCenter, SmartCenter Pro, SmartDashboard, SmartDefense, SmartLSM, SmartMap, SmartUpdate, SmartView, SmartView Monitor, SmartView
Reporter, SmartView Status, SmartViewTracker, UAM, User-to-Address Mapping, UserAuthority, VPN-1, VPN-1 Accelerator Card, VPN-1 Pro,
VPN-1 SecureClient, VPN-1 SecuRemote, VPN-1 SecureServer oraz VPN-1 VSX s¹ znakami handlowymi b¹dŸ zarejestrowanymi znakami
handlowymi firmy Check Point Software Technologies Ltd. B¹dŸ jej oddzia³ów. Wszystkie inne wspomniane nazwy produktów s¹ znakami
handlowymi b¹dŸ zarejestrowanymi znakami handlowymi ich prawowitych w³aœcicieli. Produkty opisane w tym dokumencie s¹ chronione patentami
USA nr 5 606 668 oraz 5 835 726, a tak¿e mog¹ byæ chronione przez inne patenty USA, patenty zagraniczne lub s¹ w trakcie procedury
przyznawania patentu.
Wielopoziomowe zabezpieczenia Check Point
Œrodki ochrony przed atakami i ataki blokowane
Technologia FireWall-1 NG wraz z Application Intelligence pozwala na blokowanie wielu ataków oraz wprowadza mechanizmy
ochrony przed wieloma atakami. W poni¿szej tabeli zestawiono niektóre z nich sklasyfikowane wed³ug protoko³u oraz warstwy
modelu OSI.
Uwaga: Firma Check Point stale rozszerza zakres ochrony. Niniejsza tabela jest zaledwie fragmentem znacznie obszerniejszej listy
wed³ug stanu na dzieñ 16 lipca 2003 roku.
Warstwy aplikacji i prezentacji
Warstwa sesji
Warstwa transportu
Warstwa sieci
ATAKI BLOKOWANE
ŒRODKI OCHRONY PRZED ATAKAMI
Klient HTTP
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
Blokowanie kodu Java
Obcinanie znaczników skryptów
Obcinanie znaczników apletów
Obcinanie ³¹czy FTP
Obcinanie numerów portów
Obcinanie znaczników ActiveX
Ukrywanie domyœlnych bannerów
Filtrowanie URL
Ograniczenie maksymalnej d³ugoœci adresu URL
Ograniczenie maksymalnej liczby dozwolonych nag³ówków
odpowiedzi
Ograniczenie maksymalnej d³ugoœci nag³ówka ¿¹dania
Ograniczenie maksymalnej d³ugoœci nag³ówka odpowiedzi
Blokowanie znaków binarnych w nag³ówkach odpowiedzi
HTTP
Blokowanie znaków binarnych w ¿¹daniach HTTP
Sprawdzanie zgodnoœci z protoko³em odpowiedzi HTTP
Blokowanie adresów URL definiowanych przez
u¿ytkownika
Wymuszanie maksymalnego rozmiaru instrukcji GET
i POST.
Ograniczenie pobierania plików przez u¿ytkowników.
•
•
•
•
•
•
•
•
Robak Code Red i jego mutacje
Robak Nimda i jego mutacje
Robak HTR Overflow i jego mutacje
Ataki Directory traversal
Przepe³nieni bufora MDAC i mutacje
Ataki Cross Site Scripting
Z³oœliwe adresy URL
Robaki i mutacje robaków definiowanych przez
u¿ytkowników
Serwer HTTP
• Ograniczenie maksymalnej d³ugoœci adresu URL
• Rozró¿nienie pomiêdzy ró¿nymi ¿¹daniami http
v 1.1 w tym samym po³¹czeniu
• Ograniczenie maksymalnej liczby dozwolonych nag³ówków
odpowiedzi
• Ograniczenie maksymalnej d³ugoœci nag³ówka ¿¹dania
• Ograniczenie maksymalnej d³ugoœci nag³ówka odpowiedzi
• Blokowanie znaków binarnych w nag³ówkach odpowiedzi
HTTP
• Blokowanie znaków binarnych w ¿¹daniach HTTP
• Blokowanie adresów URL definiowanych przez
u¿ytkownika
• Ograniczenia dla metod HTTP spoza dokumentów RFC.
• Zabezpieczenia HTTP dla niestandardowych portów
(ró¿nych od portu 80)
• Porównywanie transmisji z SOAP (schemat/szab-lon)
zatwierdzonym przez u¿ytkownika
• Ograniczenia dla niebezpiecznych poleceñ HTTP
• Ograniczenia pobierania plików przez u¿ytkowników
• Ataki typu „Encoding”
• Ataki Cross-Site Scripting
• Ataki HTTP z wykorzystaniem sygnatur obejmuj¹cych
wiele pakietów
• Ataki WebDAV
• Zdefiniowane przez u¿ytkownika robaki i ich mutacje
• Ataki typu Chunked Transfer Encoding
SMTP
• Blokowanie wielu nag³ówków z przesy³aniem zawartoœci
(content-type).
• Blokowanie wielu „nag³ówków kodowania” (encoding
headers)
• Ukrywanie domyœlnych bannerów
• Ograniczenia dla niebezpiecznych poleceñ SMTP
• Weryfikacja przekazywania nag³ówków
• Ograniczenia nieznanego kodowania
• Ograniczenia dla wiadomoœci pocztowych, które nie
zawieraj¹ nazwy domeny nadawcy (odbiorcy).
• Ograniczenia dla za³¹czników MIME okreœlonego typu.
•
•
•
•
•
•
•
•
•
•
Zalewanie skrzynek pocztowych (SMTP Mail Flooding)
Robaki SMTP i ich mutacje
Rozszerzone ataki Relay
Ataki typu Message/Partial MIME
Ataki spamowe (du¿a liczba wiadomoœci)
Ataki weryfikacji poleceñ.
£adunek (Payload) robaków SMTP i ich mutacji.
Kodowanie robaków.
Ataki Firewall Traversal.
Ataki DoS b³¹d SMTP
modelu OSI.
Warstwa sesji
Warstwa transportu
Warstwa sieci
ATAKI BLOKOWANE
SMTP
•
•
•
•
•
•
•
•
•
•
•
Obcinanie plików za³¹czników o okreœlonych nazwach.
• Ataki DoS skrzynek pocztowych (zbyt du¿y rozmiar
wiadomoœci)
Œcis³e przestrzeganie dokumentów RFC 821 i 822.
• Ataki SMTP przepe³nienia bufora
Monitorowanie i wymuszanie ograniczeñ poleceñ ESMTP.
Ukrywanie wewnêtrznych nazw u¿ytkowników pocztowych
i ich adresów
Wykonywanie odwrotnego wyszukiwania DNS.
Œcis³e przestrzeganie sk³adni poleceñ MAIL i RCPT.
Ograniczenia przesy³ania poczty przez zdefiniowanych przez
u¿ytkownika nadawców lub domeny.
Ograniczenia wysy³ania poczty do odbiorców zdefiniowanych
przez u¿ytkownika.
Ograniczenia przesy³ania poczty do nieznanych domen.
Limity liczby dozwolonych poleceñ RCPT dla pojedynczej
transakcji.
Ograniczenie u¿ycia przekazywania poczty.
RSH
• Pomocnicze monitorowanie portów.
• Ograniczenia odwrotnego wstrzykiwania (reverse injection).
RTSP
IIOP
FTP
•
•
•
•
Analiza i ograniczanie szkodliwych poleceñ FTP.
Blokowanie typów plików zdefiniowanych przez u¿ytkownika.
Ukrywanie domyœlnych bannerów.
Obcinanie odwo³añ FTP
•
•
•
•
•
•
•
DNS
•
•
•
•
Analiza i ograniczanie szkodliwych poleceñ FTP.
Blokowanie typów plików zdefiniowanych przez u¿ytkownika.
Ukrywanie domyœlnych bannerów.
Obcinanie odwo³añ FTP
• Ataki z wykorzystaniem zdeformowanych pakietów
zapytañ DNS.
• Ataki z wykorzystaniem zdeformowanych pakietów
odpowiedzi DNS.
• Ataki z przepe³nieniem bufora przy zapytaniu DNS
nieznane ¿¹danie (odpowiedŸ).
• Ataki z udzia³em cz³owieka (Man in the middle).
Sieci Microsoft Network
• Filtrowanie nazw plików CIFS (ochrona przed robakami
wykorzystuj¹cymi protokó³ CIFS).
• Ograniczenia zdalnego dostêpu do rejestru.
• Ograniczenia zdalnych sesji null.
•
•
•
•
SSH
• Wymuszenie przestrzegania protoko³u SSH v2.
• Atak z wykorzystaniem przepe³nienia bufora protoko³u
SSH v. 1.
SNMP
• Ograniczenia poleceñ SNMP get (put).
• Ataki SNMP Flooding.
• Ataki z wykorzystaniem domyœlnej spo³ecznoœci (default
community).
• Ataki si³owe (brute force).
• Ataki z wykorzystaniem polecenia SNMP put.
MS SQL
Pasywne ataki FTP.
Ataki FTP Bounce.
Ataki FTP Bounce po stronie serwera i klienta.
Ataki wstrzykiwania portu FTP (FTP port injection).
Ataki directory traversal.
Ataki firewall traversal.
Ataki segmentacji TCP.
Robak Bugbear.
Robak Nimda.
Robak Liotan.
Robak Opaserv.
• Ataki z wykorzystaniem przepe³nienia bufora programu
SQL Resolver.
• Robak SQL Slammer.
modelu OSI.
Warstwa sesji
Warstwa transportu
Warstwa sieci
ATAKI BLOKOWANE
Oracle SQL
• Weryfikacja dynamicznego przydzia³u i inicjowania portów.
• Atak Man in the middle programu SQLNet v 2.
SSL
• Wymuszenie protoko³u SSL v 3.
• Atak z wykorzystaniem przepe³nienia bufora protoko³u
SSL v. 2
VoIP
•
•
•
•
•
•
•
•
• Ataki z wykorzystaniem przepe³nieñ bufora.
• Ataki typu Man in the middle.
X11
• Ograniczenia dla odwrotnego wstrzykiwania (ang. reverse
injection).
• Blokowanie specjalnych klientów
Weryfikacja pól i wartoœci pó³ protoko³u.
Identyfikacja i ograniczenia polecenia PORT.
Wymuszenie istnienia pól obowi¹zkowych.
Wymuszenie rejestracji u¿ytkowników.
Zapobieganie lukom w zaporach firewall VoIP.
Zablokowanie transmisji audio i wideo H.323.
Wymuszenie limitów czasu trwania po³¹czeñ H.323.
Dla po³¹czeñ H.323 wymuszanie ruchu zwi¹zanego
z okreœlonym po³¹czeniem.
Warstwa sesji
ATAKI BLOKOWANE
RPC
• Blokowanie eksploitów wykorzystuj¹cych RPC portmapper.
•
•
•
•
•
•
Ataki ToolTalk.
Atak snmpXdmid.
Atak rstat.
Atak mountd.
Atak cmsd.
Atak cachefsd.
RPC
• Blokowanie eksploitów wykorzystuj¹cych RPC portmapper.
•
•
•
•
•
•
Ataki ToolTalk.
Atak snmpXdmid.
Atak rstat.
Atak mountd.
Atak cmsd.
Atak cachefsd.
DEC-RPC
• Blokowanie eksploitów wykorzystuj¹cych DEC-RPC
portmapper.
HTTP proxy
• Wymuszanie logiki sesji HTTP w trybie proxy.
VPN
• Sprawdzanie wykorzystywanych certyfikatów cyfrowych
z list¹ certyfikatów uniewa¿nionych (Certificate Revocation
List).
• Monitorowanie s³abych punktów wspó³dzielonych hase³ (preshared secrets).
• Si³owy atak IKE.
• Ataki z wykorzystaniem topologii gwiaŸdzistej sieci (Huband-Spoke).
• Ataki DoS IKE UDP.
• Ataki DoS Windows 2000 IKE.
• Ataki zwodzenia IP VPN (VPN IP Spoofing).
• Ataki VPN man-in-the-middle.
modelu OSI.
Warstwa sesji
Warstwa transportu
Warstwa sieci
Warstwa transportu
ATAKI BLOKOWANE
TCP
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
UDP
Wymuszanie prawid³owego wykorzystania flag TCP.
Ograniczenia liczby sesji dla okreœlonego Ÿród³a.
Przestrzeganie minimalnej d³ugoœci nag³ówka TCP.
Blokowanie nieznanych protoko³ów.
Ograniczenia dla pakietów FIN bez pakietów ACK.
Sprawdzanie, czy d³ugoœæ nag³ówka TCP deklarowanego
w nag³ówku nie jest d³u¿sza od d³ugoœci pakietu.
Blokowanie pakietów stanu (state packets).
Sprawdzanie, czy pierwszym pakietem w po³¹czeniu jest
SYN.
Wymuszanie trójstopniowego uzgadniania: pomiêdzy
pakietem SYN, a SYN-ACK, klient mo¿e przesy³aæ tylko
pakiety RST.
Wymuszanie trójstopniowego uzgadniania: pomiêdzy
pakietem SYN, a nawi¹zaniem po³¹czenia serwer mo¿e
wysy³aæ tylko pakiety SYN-ACK b¹dŸ RST.
Blokowanie pakietów SYN dla nawi¹zanych po³¹czeñ do
czasu otrzymania pakietu FIN lub RST.
Ograniczenia dla pakietów przesy³anych od serwera do
klienta nale¿¹cych do starych po³¹czeñ.
Usuwanie pakietów przesy³anych od serwera do klienta
w przypadku, gdy pakiety zawieraj¹ SYN lub RST.
Wymuszanie minimalnej d³ugoœci nag³ówka TCP.
Blokowanie fragmentów TCP.
Blokowanie fragmentów SYN.
Szyfrowanie sygnatur systemu operacyjnego.
Sprawdzanie numeru sekwencji pakietu dla pakietów
nale¿¹cych do istniej¹cej sesji.
• Weryfikacja pola d³ugoœci pakietu UDP.
• Dopasowywanie ¿¹dañ i odpowiedzi UDP.
•
•
•
•
•
•
•
•
•
•
•
•
Ataki DoS z wykorzystaniem pakietu ACK.
Ataki SYN.
Ataki Land
Ataki Tear Drop.
Ataki z przechwytywaniem sesji.
Ataki typu Jolt.
Ataki typu Bloop.
Ataki Cpd.
Ataki Targa.
Ataki Twinge.
Ataki ###Small PMTU###.
Ataki z przechwytywaniem sesji (operacje z numerem
sekwencji TCP).
• Ataki TCP obejmuj¹ce wiele pakietów.
• Ataki XMAS.
• Skanowanie portów.
• Ataki zalewania UDP.
• Skanowanie portów.
Warstwa sieci
ATAKI BLOKOWANE
IP
• Wymuszanie minimalnej d³ugoœci nag³ówka.
• Ograniczenia fragmentacji IP-UDP.
• Sprawdzanie, czy d³ugoœæ nag³ówka IP deklarowana
w nag³ówku nie jest d³u¿sza od deklarowanej d³ugoœci
pakietu.
• Niedopuszczanie, aby rozmiar pakietu deklarowany
w nag³ówku IP by³ wiêkszy ni¿ rzeczywisty rozmiar pakietu
• Szyfrowanie sygnatur systemu operacyjnego.
• Opcje zarz¹dzania IP.
•
•
•
•
•
•
•
•
ICMP
• Blokowanie nienaturalnie du¿ych pakietów ICMP.
• Ograniczenia dla fragmentów pakietów ICMP.
• Dopasowywanie ¿¹dañ ICMP z odpowiedziami.
• Ataki Ping-of-Death.
• Zalewanie ICMP.
Skanowanie adresów IP typu sweep scan.
Ataki IP z wykorzystaniem znaczników czasu.
Ataki z wykorzystaniem opcji IP Record Route.
Ataki z wykorzystaniem opcji IP Source Route.
Ataki DoS z wykorzystaniem fragmentów pakietów IP.
Ataki z wykorzystaniem opcji Loose Source Route.
Ataki z wykorzystaniem opcji Strict Source Route.
Ataki ze zwodzeniem adresów IP (IP spoofing).

1 Wprowadzenie – ataki na aplikacje. 2 Application Intelligence

Transkrypt

Podobne dokumenty

Funkcja RIPEMD-160 - Zabezpieczenia kryptograficzne

Zasady bezpieczeństwa w sieci

Metody ataków sieciowych

STORMSHIELD Okiem Managera

Marian KOPCZEWSKI, Ewa CZAPIK-KOWALEWSKA