防火墙中的应用层分析--checkpoint AI

network

防火墙中的应用层分析--checkpoint AI
http://www.checkpoint.com.cn/c-ai.htm

check point application intelligence
启用一种新级别的多层安全网关
简介——基于应用的攻击
在过去的几年中，企业防火墙已经成为网络安全架构的主要组成部分。主要设计用于对网络资源提供访问控制，防火墙已在大部分网络中成功部署。防火墙成功的一个主要原因是，当执行一个适当定义的安全策略时，防火墙通常可以阻挡超过 90% 的攻击。然而，尽管大部分防火墙提供了有效的访问控制，但是仍有许多还不能支持应用级的攻击检测和阻隔。
认识到这个事实后，电脑黑客们设计出更加错综复杂的攻击来对付由网络边界防火墙执行的传统的访问控制策略。今天，高智商的黑客们早己不限于只对防火墙的开放端口进行扫描，现在他们的目标直指应用程序。
今天，互联网环境中的一些最严重的威胁来自于那些利用已知应用程序缺陷的攻击。黑客们最感兴趣的是像 http（tcp 端口 80）和 https（tcp 端口 443）这样的服务，通常这些服务在许多网络中是开放的。访问控制装置不能轻易检测到面向这些服务的恶意使用。
通过直接面向应用程序，黑客们试图获得至少以下一种恶意目标，包括：
● 拒绝对合法用户的服务（dos 攻击）
● 获得对服务器或客户端的管理访问权
● 获得对后端信息数据库的访问权
● 安装特洛伊木马软件后，可绕过安全保护并能够对应用程序进行访问
● 在服务器上安装运行于“sniffer（网络探针）”模式的软件，并获取用户名和密码
由于基于应用的攻击本身很复杂，有效的防卫必须也同样复杂和智能。为了解决基于应用攻击日益增强的威胁，企业防火墙必须包含新级别的多层安全网关。这种多层安全网关应该防止网络及应用攻击，同时提供对 it 资源强大的访问控制。
check point application intelligence™ 是一组高级功能，与 check point 的 firewall-1® 和 smartdefense™ 集成，能够检测和阻止应用级攻击。
applocation intelligence——抵御新一代的网络应用威胁
许多防火墙（特别是那些基于 stateful inspection 技术的防火墙）已经保存了成功抵御网络攻击的防卫库。事实上，越来越多的攻击试图利用网络应用的弱点，而不是直接面向防火墙。这种攻击方法的重要变化需要防火墙不仅提供访问控制和网络级攻击保护，还要理解应用程序的行为以抵御对应用程序的攻击和入侵。check point application intelligence 扩展了对这种网络安全解决方案的理解。
示例协议
osi（开放系统互联）参考模型
osi 参考模型是一种框架（或指导方针），用于描述数据如何在网络设备中传输。注意：应用层不是真正的最终用户的软件应用程序，而是一系列允许软件应用程序通过网络通信的服务。第 5、6 和 7 层的区别通常并不明显，其他的一些相关模型将这几层组合在一起，本文也如此。
应用层安全
应用层引起大量攻击的原因有以下几点。首先，该层包含了黑客的最终目标——真正的用户数据。其次，应用层支持许多协议（http、cifs、voip、snmp、smtp、sql、ftp、dns 等），所以它包含了大量潜在的攻击方法。第三，因为应用层有更多的安全漏洞，所以相对于较低的那些层，在该层检测并防范攻击更加困难。
为了成功地提供对应用层的安全保护，一个安全解决方案必须提供以下四种防护策略。
1）验证是否遵循标准
防火墙必须能够确定通信是否遵循相关的协议标准。违反标准可能意味着恶意的传输流量。任何不遵循严格协议或应用标准的传输必须在获准进入网络前对其进行仔细检查，否则关键业务应用程序将面临危险。例如：
voice over ip（voip）voip 传输通常由 h.323 和 sip 协议支持。这些协议的操作可能很复杂，因此有大量的通信端口支持 voip 呼叫的建立和维护。不正确的执行这些协议可能使 voip 部署变得脆弱并带来以下危险：
　　　■ 呼叫重定向——接收器的呼叫被重定向
　　　■ 盗用呼叫——呼叫者伪装成其他人
　　　■ 拒绝服务（dos）——阻止合法使用 voip
安全网关必须保证 h.323 和 sip 命令完全符合适当的标准和 rfc，且数据包在结构上有效并以正确的顺序到达。另外，防火墙应该检查所有通过许可端口的数据包内容，以确保它们包含安全的信息。

http 头信息中的二进制数据 尽管官方的 http 标准禁止在 http 头信息中包含二进制字符，但这项规则并不明确，并且大多数防火墙未对此进行检查。结果，许多黑客利用在 http 头信息中包含可执行代码发起攻击。所有的安全网关应该考虑如何阻隔或减少 http 头信息和请求中包含的二进制字符。
2）验证协议是否遵循预期用法（协议不规则检测）
测试是否遵循协议十分重要，但是判断协议中的数据是否遵循预期用法的能力同等重要。换句话说，即使一个通信流遵循协议标准，使用协议的方法也可能与预期不相符合。例如：

http 用于点对点（p2p）通信 p2p 是一种通信模型，其中的每一方都具备同样的能力，它们都能发起一次通信会话。p2p 应用程序分为两个主要类别：
　　　■ 即时消息（im）——主要目标是实现人与人之间直接的在线通信。
　　　■ 文件共享网络——主要目标是共享存储一类的资源。
p2p 通信通常使用 tcp 端口 80，该端口常用于 http 传输，因此对外的连接是开放的。虽然有许多专用的 p2p 协议，但 p2p 通信经常嵌入在 http 传输中。在这种情况下，只进行是否遵循协议检查的防火墙将允许 p2p 会话（因为该会话使用标准 http）。由于 http 常用于 web 传输，因此防火墙应该阻隔或仔细监测嵌入在 http 传输中的 p2p 通信。
许多组织出于安全、带宽和法律原因希望阻隔或限制 p2p 传输。安全问题之所以被提出，源于 p2p 通信的设计允许进行文件传输、聊天、游戏、语音和发送电子邮件，同时也用于绕过防火墙、病毒检测、登录和跟踪。结果，黑客们能够利用 p2p 作为攻击载体进入网络。安全网关应该阻隔未授权的 p2p 传输，换句话说，安全网关应该选择性的允许已授权的 p2p 传输。

目录遍历 目录遍历攻击使黑客能够访问那些不应该进行访问的文件和目录，同时能导致他们试图访问未授权的资源，在 web 服务器上运行非预期的可执行代码。大部分的这些攻击是基于文件系统中的 “..” 符号。防火墙应该阻隔这样一些请求——在这些请求中，url 包括符合语法但不符合预期用法的目录请求。例如，http://www.server.com/first/second/../../.. 就应该被阻隔，因为它试图进入根目录的更深层。

http 头信息长度过长 http 标准没有限制头信息的长度。但是，过长的头信息长度会偏离正常或预期的 http 用法。应该阻隔或减少过长的头信息长度，以减少缓冲溢出的机会；因此，应该严格限制可以插入的代码长度。
3）限制应用程序携带恶意数据的能力
即使应用层通信遵循协议，它们仍会携带可能破坏系统的数据。这样，安全网关必须提供一种机制，它能够限制或控制应用程序将潜在的危险数据或命令引入内部网络的能力。例如：

跨网站脚本攻击 脚本为攻击应用程序提供一个共同的机制。尽管大多数脚本是无害的，不设防的用户还是能够很容易并且在无意识的情况下执行恶意的脚本。这些脚本经常隐藏在看起来无害的链接中，或伪装成电子邮件卡片。一个普通的恶意脚本的例子出现在跨网站脚本攻击中（xss）。通过特殊技巧处理的 url，使跨网站脚本攻击可以利用用户和网站之间的信任关系。攻击的意图是盗窃包含用户身份和信用在内的 cookies，或欺骗用户为攻击者提供信用。通常，一个跨网站脚本攻击由 http 请求中嵌入的脚本发起，用户在无意中将请求发送给可信任的网站。为了保护 web 服务器，安全网关应该具有检测和封锁包含危险脚本代码的 http 请求的能力。

限制和阻隔潜在的恶意 url 恶意数据还可以将本身嵌入 url 从而进入内部网络。例如，应用程序（电子邮件客户端）可以自动执行嵌入 html 的 url。如果 url 是恶意的，网络或用户的系统将受到破坏。对潜在的恶意 url 的访问应被阻隔和限制。

检测和阻隔攻击特征 安全网关应该对所有的数据流执行内容过滤，以检测和阻隔有可能带有攻击和蠕虫等危险的数据模式。
4）控制应用层操作
不仅应用层通信可以将恶意数据引入网络，应用程序本身也可能执行未授权的操作。一个网络安全解决方案必须有能力通过执行“访问控制”和“合法使用”检查来识别和控制这样的操作。这种安全级别需要具有在细微处区分应用程序操作的能力。例如：

microsoft 网络服务 网络安全解决方案可以使用 cifs（基于 microsoft 的通用 internet 文件系统）的许多参数来实现安全策略。在 cifs 支持的这些功能中，包括文件和打印共享操作。以这些操作的使用为例，安全网关应该有能力区分和阻隔那些来自用户或系统未被授权的文件共享操作。相反，来自同一用户的打印共享操作可能被允许和接受。提供这一高级的安全控制级别需要对 cifs 的彻底理解，同时也需要具有控制应用层协议组件的能力。

ftp 防火墙应该对特殊的文件名设置连接限制，并且控制像 put、get、site、rest 和 macb 这样潜在危险的 ftp 命令。例如，安全策略可能对所有包含单词 “payroll” 的文件需要进行操作限制。
网络和传输层：application intelligence 的必要基础
application intelligence 本身的形式与应用级防护相关联。然而实践中，许多针对网络应用程序的攻击实际上均指向网络层和传输层。黑客们以攻击这些较低层为手段来访问应用层，并最终达到攻击应用程序和数据本身的目的。同时，以较低层为目标，攻击可以中断或拒绝合法的用户和应用程序服务（如 dos 攻击）。基于上述原因，application intelligence 和其他网络安全解决方案不仅必须要解决应用层问题，还要解决网络及传输层安全问题。
网络层安全
防止恶意的网络层协议操作（如 ip、icmp）对于多层安全网关来说至关重要。攻击网络层的最普遍的载体是互联网协议（ip），它的一系列的服务都驻留在网络层中。网络层存在许多的危险和攻击，例如：
ip 碎片 ip 碎片可用于发送和伪装攻击以避免检测。这项技术利用了 ip 协议本身固有的弹性机制（rfc 791 和 rfc 815），将攻击有意的分解为多个 ip 包，因此它们可绕过那些不能进行ip包重组的防火墙。另外，ip 碎片可以通过不完整碎片序列发送 dos 攻击。

smurfing（smurf 攻击）icmp 允许一个网络结点向其他网络结点发送 ping 或 echo 请求，以确定它们的操作状态。这种能力可用于发起 “smurf” dos 攻击。由于标准 icmp 与响应请求不匹配，因此 smurf 攻击是可能的。这样，攻击者可以发送一个带有虚假源 ip 地址的 ping 命令以访问到一个 ip 广播地址。 ip 广播地址可以到达特定网络中的所有 ip 地址。所有在已连通的网络中的机器将发送 echo 回复给虚假的源 ip。过多的 ping 和响应能够使网络性能集聚下降，导致无法提供合法的传输访问。此类攻击能够通过去掉不匹配的请求被阻隔，例如，check point 的 stateful icmp 即可执行并监测到这一点。
传输层安全
就像网络层一样，传输层和它的通用协议（tcp、udp）为攻击应用程序和数据提供了常用的接入点。传输层攻击和威胁实例如下：
non-tcp dos non-tcp（如 udp 和 icmp）dos 攻击能够完全控制关键任务应用程序——例如 smtp、http、ftp 等，它们都使用了 tcp 传输。通过保留用于 tcp 连接的状态表专有部分及系统资源，防火墙可以避免这些威胁。如果非 tcp 连接试图利用过多的资源，tcp 连接将不受影响，因为它们已被保留或由专有的系统资源操控。

端口扫描 端口扫描正如它的名字所述：黑客扫描目标主机上的一系列端口，希望识别和利用运行应用程序的弱点。端口扫描执行的检查存在导致被攻击的危险。安全网关必须能够发出警报，并阻隔或关闭扫描源的通信流量。
结论
防火墙已经成为网络安全基础架构的主要部分，这主要基于它们阻隔网络级攻击的能力。防火墙的成功另一方面也使黑客们又开发出更加复杂的攻击方法。新种类的攻击直接面向应用程序，经常试图利用应用程序本身固有的弱点或基本的通信协议中的弱点。因此，需要使用多层安全网关来保护公司网络免受这些威胁。另外，多层安全解决方案必须保护网络层和应用层免受攻击，提供对 it 资源的访问控制。
check point application intelligence 具有一系列高级功能，与 check point firewall-1 ng 和 smartdefense 集成，能够检测和防止应用层攻击。check point 针对越来越多直接针对关键应用的攻击行为，在业界提供了领先的安全解决方案。
check point 多层安全性：
攻击防护安全措施和攻击阻隔
具有 application intelligence 的 firewall-1 ng 能够阻隔许多攻击并提供大量攻击防护安全措施。此表列出一些防护措施，并将其按照协议和 osi 模型层次归类。
注意：check point 将不断扩展提供防护的范围。这是一张简表，而不是详细的清单。
应用层/表示层  会话层  传输层  网络层  
应用层/表示层
　  　攻击防护安全措施  　攻击阻隔  
　http 客户端  阻隔 java 代码
去掉脚本标签
去掉 applet 标签
去掉 ftp 链接
去掉端口字符串
去掉 activex 标签
识别出伪装默认的标识
url 过滤
限制 url 最大的长度
限制 http 响应头信息的最大数量
限制请求头信息的最大长度
限制响应头信息的最大长度
禁止 http 响应头信息中的二进制字符
禁止 http 请求中的二进制字符
验证 http 响应协议遵循情况
阻隔用户自定义的 url
限制最大的 get 和 post 长度
红色代码蠕虫和变异
尼姆达蠕虫和变异
htr 溢出蠕虫和变异
目录遍历攻击
mdac 缓冲溢出和变异
跨网站脚本攻击
恶意 urls
用户自定义蠕虫和变异

　http 服务器  限制 url 的最大长度
区分同一连接的不同的 http v1.1 请求
限制响应头信息的最大数量
限制请求头信息的最大长度
限制响应头信息的最大长度
在 http 响应头信息中禁止二进制字符
在 http 请求中禁止二进制字符
阻隔用户自定义的 url
限制非 rfc http 使用方法
在非标准端口加强 http 安全（除 80 以外的端口）
将传输流与用户验证的 soap 计划/模板比较
编码攻击
跨网站脚本攻击
跨多个包的，基于 http 的攻击
webdav 攻击
用户自定义的蠕虫和变异
分块传输编码攻击

　smtp  阻隔多重“内容类型”头信息
阻隔多重“编码头信息”
识别出伪装默认标识
限制不安全的 smtp 命令
头信息指向验证
限制未知编码
限制不包含发送者/接收者域名的邮件信息
限制特殊类型的 mime 附件
除去带有指定名称的文件附件
严格加强 rfc 821 和 822
esmtp 命令监控
smtp 邮件洪水
smtp 蠕虫和变异
扩展的中继攻击
mime 攻击
spam 攻击（大量电子邮件）
命令验证攻击
smtp 蠕虫有效载荷和变异
蠕虫编码
防火墙遍历攻击
smtp 错误的拒绝服务攻击
邮箱拒绝服务攻击（邮件过大）
地址欺骗
smtp 缓冲溢出攻击

　rsh  辅助端口监控
限制反向入侵
　  
　rtsp  辅助端口监控
　  
　iiop  辅助端口监控
　  
　ftp  分析并限制危险的 ftp 命令
阻隔定制的文件类型
识别伪装默认标识
除去 ftp 参考
被动模式 ftp 攻击
ftp 反弹攻击
客户和服务器反弹攻击
ftp 端口注入攻击
目录遍历攻击
防火墙遍历攻击
tcp 分段攻击

　dns  限制 dns 区域传送
dns 请求不良包攻击
dns 应答不良包攻击
dns 请求缓存溢出 -- 未知请求/响应
中间人攻击

　microsoft 网络  cifs 文件名过滤（利用 cifs 协议抵御蠕虫攻击）
限制对注册表的远程访问
限制远程空会话
怪物蠕虫
尼姆达蠕虫
liotan 蠕虫
opaserv 蠕虫

　ssh  增强 ssh v2 协议
ssh v1 缓冲溢出攻击

　snmp  限制 snmp get/put 命令
snmp 洪水攻击
缺省团体攻击
暴力攻击
snmp put 攻击

　ms sql  　  sql 解析器缓冲溢出
sql 监狱蠕虫

　oracle sql  检验动态端口分配和初始化
sqlnet v2 中间人攻击

　ssl  增强 ssl v3 协议
ssl v2 缓冲溢出

　voip  校验协议域和值
识别和限制 port 命令
强迫强制域的存在
强制用户注册
防止 voip 防火墙漏洞
缓冲溢出攻击
中间人攻击

　x11  限制反向入侵
　  
会话层
　  　攻击防护安全措施  　攻击阻隔  
　rpc  阻隔 rpc portmapper 使用
tooltalk 攻击
snmpxdmid 攻击
rstat 攻击
mountd 攻击
cmsd 攻击
cachefsd 攻击

　dec-rpc  阻隔 dce-rpc portmapper 使用
　  
　http 代理  http 代理执行：增强代理模式下的 http 会话逻辑
　  
　vpn  根据证书撤消列表验证使用的数字证书
监控预共享密钥弱点
ike 暴力攻击
集中和星型拓扑攻击
ike udp dos 攻击
windows 2000 ike dos 攻击
vpn ip spoffing 攻击
vpn 中间人攻击

传输层
　  　攻击防护安全措施  　攻击阻隔  
　tcp  加强 tcp 标记的正确用法
限制每个源会话
强制最短的 tcp 头信息长度
阻隔未知协议
限制无 ack 的 fin 包
使头信息中标识的 tcp 头信息长度不长于在头信息中标识的包长度
阻隔状态包
验证第一个连接包是 syn
执行 3 路握手：在 syn 和 syn-ack 之间，客户只能发送 rst
执行 3 路握手措施：在 syn 和连接建立之间，服务器只能发送 syn-ack 或 rst
在 fin 或 rst 包相遇之前，阻隔已建立连接上的 syn
限制旧连接上的服务器到客户的包
如果包包含 syn 或 rst，则除去属于旧连接的服务器到客户包
强制最小的 tcp 头信息长度
阻隔 tcp 碎片
阻隔 syn 碎片
抢夺 os 指纹
ack 拒绝服务攻击
syn 攻击
land 攻击
tear drop 攻击
会话劫持攻击
jolt 攻击
bloop 攻击
cpd 攻击
targa 攻击
twinge 攻击
小型 pmtu 攻击
会话劫持攻击（tcp 序列号操作）
跨多个包的，基于 tcp 的攻击
xmas 攻击
端口扫描

　udp  校验 udp 长度域
匹配 udp 请求和应答
udp flood 攻击
端口扫描

网络层
　  　攻击防护安全措施  　攻击阻隔  
　ip  强制最小的头信息长度
限制 ip-udp 碎片
强制 ip 头信息中标识的头信息长度不长于头信息中标识的包长度
强制 ip 头信息中标识的包长度不长于实际的包长度
抢夺 os 指纹
控制 ip 选项
ip 地址全扫描
ip 时间戳攻击
ip 记录路由攻击
ip 源路由攻击
ip 碎片拒绝服务攻击
松散源路由攻击
严格源路由攻击
ip 欺骗攻击

　icmp  阻隔大 icmp 包
限制 icmp 碎片
匹配 icmp 请求和应答
ping-of-death 攻击
icmp flood

安全虚拟网络架构
所有的 check point software 产品均建立在我们的“安全虚拟网络（svn）架构”之上，它可通过 internet、内部网和外部网环境为用户、网络、系统和应用程序提供安全和无缝的连接。check point software 的 svn 解决方案可通过遍布全球的业界领先的零售商和服务提供商处获得。