本書の内容 1.0 Web Intelligenceについて...2 1.1 最近のWebサーバおよびアプリケーションの脆弱性...3 2.0 Web Intelligenceのコンポーネント...4 2.1 チェック・ポイントのゲートウェイに統合された実施 ...4 2.2 SmartCenterに統合された管理...4 2.3 新しい攻撃保護へのサブスクリプション・ベースの更新 ...4 3.0 Web Intelligenceのアーキテクチャ...5 3.1 一般的なセキュリティ保護オプション...6 3.1.1 セキュリティ保護の適用範囲 ...6 3.1.2 アクション...6 3.1.3 セキュリティ設定 ...7 3.2 保護クラス:悪意のあるコード ...7 3.2.1 一般的なHTTPワーム・キャッチャー...7
3.2.2 Malicious Code Protector ...7
3.3 保護クラス:Webアプリケーション層...8 3.3.1 クロス・サイト・スクリプティング...8 3.3.2 SQLインジェクション...9 3.3.3 コマンド・インジェクション...9 3.3.4 ディレクトリ・トラバーサル...9 3.4 保護クラス:情報開示...10 3.4.1 ヘッダ・スプーフィング...10 3.5 保護クラス:HTTPプロトコル検査 ...10 3.5.1 HTTPフォーマット・サイズ...10 3.5.2 ASCIIオンリー・リクエスト...10 3.5.3 ASCIIオンリー・リプライ・ヘッダ ...11 3.5.4 ヘッダ拒否 ...11 3.5.5 HTTPメソッド...11 4.0 Web Intelligenceのログ記録と監査...11
5.0 Web IntelligenceとStorm Centerの統合...14
6.0 Web Intelligenceの更新...14
1.0 Web Intelligenceについて
チェック・ポイントのWeb Intelligence™を使用すると、Webサーバおよびアプリケーションなど、Web環境へ の攻撃に対するセキュリティ保護の構成、実施、および更新を行えるようになります。Web Intelligenceが実 現するセキュリティ保護は、特にWebベースの攻撃を意識して設計されており、SmartDefenseが提供する ネットワークおよびアプリケーション・レベルのセキュリティ保護を補完します。さらに、Web Intelligenceの情 報および新しい攻撃に対する事前の防御を行う為のアップデートは、チェック・ポイントのSmartDefenseサブ スクリプション・サービスの一部としてオンラインで提供しています。 Web Intelligenceは、Webサーバ自体への攻撃からWebアプリケーションが使用するデータベースの攻撃ま で既存の攻撃を幅広く防御します。さらに、Web Intelligenceは、インテリジェント・セキュリティ技術を採用す ることにより、新種および未知のさまざまな攻撃も防御します。セキュリティ保護を有効/無効にしたり、監視専 用モード(モニタ・モード)に設定して通信をブロックせずにその保護に対する検出を表示することができます。 Web Intelligenceは、正当なトラフィックを通しながら、個々の攻撃のみならず各種の攻撃を総合的にブロッ クするチェック・ポイントのMalicious Code Protector™、Active Streaming、およびApplication Intelligence技術をベースにしています。
Malicious Code Protectorは、攻撃者がWebサーバやアプリケーションを対象に送信するデータに含ま れる悪意のあるコードの痕跡を、シグネチャなどを使用せずに防ぐことができる、特許出願中のチェック・ポ イントの技術です。この技術は、データ・ストリーム内の実行コードの特定のみならず不信な動作も検知 することにより、Web通信にひそむ悪意のある実行可能なコードを検出することができます。Malicious Code Protectorは、カーネル・ベースの保護により、ワイア・スピードによる高パフォーマンスなセキュリティ 保護を実現します。Malicious Code Protectorの主な機能には、以下があります。
● Web通信に含まれる実行可能なコードの監視 ● 実行可能なコードの存在の確認 ● 実行可能なコードが悪質かどうかの認識 ● 悪意のある実行可能なコードがターゲットホストに到達するのを防止 Active Streamingは、通信の全体的なコンテキストを理解するチェック・ポイントのカーネル・ベースの技 術です。チェック・ポイントが特許を所有するステートフル・インスペクション技術と同様に、Active Streamingはセッション情報およびアプリケーション情報をもとにリアルタイムでセキュリティに関する判 断を行うことができます。これは、通信が複数のTCPセグメントにわたる場合でもWeb Intelligenceが Webアプリケーションの通信を正しく理解することを可能にします。Active Streamingは、Web Intelligenceによるセキュリティ保護を行う上で重要な機能を提供します。 ● 断片化したTCPストリームの再構成 ● URLをデコードし、ワームが含まれないかを解読 ● 新しいセッション(例えば、カスタムHTMLエラー・ページの生成)の開始 ● データ・ストリーム内のテキストの書き換えまたは削除(ヘッダ・スプーフィング) Application Intelligenceは、各アプリケーションの動作を理解した上でアプリケーション・レベルの攻撃を 検出し防御する統合ネットワーク・セキュリティ技術です。 Web Intelligenceは、Application Intelligenceの中核機能を適用しWeb通信の検査を行います。 ● プロトコルが規格どおりかの妥当性検査 ● プロトコルが正しく使用されているかの確認 ● 悪意のあるデータのブロック ● 有害なアプリケーション動作の制御
1.1 最近のWebサーバおよびアプリケーションの脆弱性 最近の攻撃者は、ビジネスおよびセキュリティに関する2つの理由により、Webサーバとアプリケーションに照 準を合わせています。 1つ目の理由として、コストおよび接続性のメリットを生かすため、多くの企業がWebベースのアプリケーション へインフラを移行していることです。もう1つの理由として、ほとんどの企業やネットワークでは。既に基本的な ネットワーク・ファイアウォールを導入しているため、攻撃者はほぼ確実に開いているポート80番を使用する攻 撃に照準を移行していることです。FBIおよびコンピュータ・セキュリティ協会の報告によると、この2つ理由に より、2003年に米国の約75%の企業がWebベースの攻撃による経済的な損害を受けています。 また、Webサーバおよびアプリケーションの基本アーキテクチャの変更と、セキュリティ上問題のあるオープ ン・ソース・コンポーネントの使用も、Webセキュリティの脅威を拡大する原因となっています。Webサーバお よびWebアプリケーションは、当初の単純な静的コンテンツの提供から、充実した動的なコンテンツの提供へ と発展しています。今日では、Webサーバおよびアプリケーションは動的なページの作成、アプリケーションの 起動、およびデータベースとの通信を組み合わせることで、ユーザに有用なコンテンツを提供しています。現 在では、ほとんどのWebサーバ・プラットフォームがサーバにアプリケーション(たとえばサイト検索等)をバンド ルしているため、もっとも単純なWebサイトでも、なんらかのWebアプリケーションとのやりとりが行われている ことが多いのが現状です。 図1 2つの攻撃対象 - ファイアウォールで常に開いている80番ポートと複数階層で構成されるWeb環境とアプリケーション 現在多くの攻撃は、現代のWebアーキテクチャ(しばしばN階層Webアーキテクチャと呼ばれる)の多数の異 なる層の中に存在するセキュリティ上の弱点を利用しています。これらの攻撃は、たとえば企業のWebサイト を不正に書き換えたり、Webサーバに内蔵されているWebアプリケーションに想定外の動作をさせたり、悪意 のあるアプリケーションをインストールしたり、バックエンドのデータ・ベースを不正に操作し、ユーザ名とパス ワード、クレジットカード番号など機密情報を引き出したりします。 ネットワーク・セキュリティと同じように、Web環境におけるセキュリティのレベルは、そのもっとも弱い部分に限 定されます。安全なWebアプリケーションを作成するには、Web開発者はWebアプリケーションのあらゆる面 でセキュリティを考慮しなければなりません。Webアプリケーションを実行するサーバも最新のパッチを適用し ておく必要があります。残念ながら、多くの企業のWebアプリケーションは総合的なセキュリティを考慮して設 計されていません。また、企業はWebサーバの外部からアクセス可能な部分にのみWebセキュリティを取り入 れている可能性があります。 Web Intelligenceは、企業のWeb環境全体に適用可能なセキュリティを提供します。Webファイアウォール や従来のIPSと異なり、Web Intelligenceは攻撃を積極的に防ぐため、通信が規格として定義されていること、 および適切なセキュリティ手順に準拠していることを確認し、攻撃者により問題が発生する恐れのある不正 なシステム・コマンドを実行されることを防ぎ、Webサーバを通過するトラフィックを検査して悪意のあるコードが 通信に含まれていないことを確認します。Web Intelligenceは、複数のサーバで構成された環境などで、Web サービスを提供するサーバごとにセキュリティ・チューニングを必要としたり、セキュリティやパフォーマンスを犠 牲にすることなく、企業がWebサーバおよびアプリケーションのアクセスを許可することを可能にします。 Webアプリケーション Webアプリケーション Webサーバ データベース データベース
2.0 Web Intelligenceのコンポーネント
2.1 チェック・ポイントのセキュリティ・ゲートウェイに統合可能なセキュリティ実施ポイント
Web Intelligenceは、Malicious Code Protector、Active Streaming、およびApplication Intelligence技 術を使用してチェック・ポイントの実施ポイント(VPN-1/FireWall-1のゲートウェイまたはSecureServer)で攻 撃をブロックします。Web Intelligenceが提供するWeb環境に対する攻撃保護機能に加え、ユーザは SmartDefenseが提供するネットワークとアプリケーションに対するセキュリティ保護および、チェック・ポイント のゲートウェイが提供するネットワーク・リソースへのアクセス・コントロール機能も併用でき、強力なセキュリ ティ環境を容易に構築することが可能となります。 Web Intelligenceの制御は、VPN-1® Pro(FireWall-1® )、VPN-1 Express™およびConnectraの各実施ポ イントで利用可能です。 2.2 SmartCenterに統合された管理 Web Intelligenceの攻撃保護に対する設定は、チェック・ポイント製品の基本管理インターフェースとなる、管 理コンソール「SmartDashboard™」内に含まれ、攻撃の検出、ブロック、ログ記録、監査、警報に関する情報 をリアルタイムで管理コンソールより確認が可能です。SmartDashboardには次の機能があります。 ● 防御する攻撃の種類の選択、およびその攻撃に関する詳細情報の表示。 ● ログに関するオプションを含む、各攻撃の防御パラメータを簡単に設定する。 ● 攻撃に関するリアルタイム情報の受け取り、およびWeb Intelligenceを更新し新しい攻撃に対応する。 ● SmartCenter™、SmartCenter Pro™、SiteManager-1™、またはProvider-1™を使用してWeb
Intelligenceを管理する。 Web Intelligenceを管理するためのユーザ・インタフェースには、攻撃の詳細な背景や情報を提供するチェッ ク・ポイントのSmartDefenseのWebサイトへのハイパー・リンクがあり、このサイトを確認することで最新のセ キュリティ情報の確認が行えます。また、チェック・ポイント管理アーキテクチャや分散配置可能なログ・インフ ラストラクチャが提供する豊富なログ・データより貴重な攻撃の詳細情報を得ることができます。これらデータ よりセキュリティ管理者は攻撃の特徴と潜在的な応答を知ることができ、より効果的にWeb攻撃を防ぐことが できます。 2.3 新しい攻撃保護へのサブスクリプション・ベースの更新
Web Intelligenceの実施機能は、Check Pointの実施ポイントへのオプション・機能です。さらに、 SmartDefenseサービスにより、管理者はSmartDefenseとWeb Intelligenceの攻撃保護機能の両方を更 新し、常に変化する攻撃に対する最高レベルの保護を得ることができます。 SmartDefenceサブスクリプション・サービスを購入しているユーザは、SmartDashboard内からワンクリックで 自動的にWeb IntelligenceとSmartDefenseをアップデートすることができます。また、チェック・ポイントは、 SmartDefenseを更新せずに攻撃を防ぐための詳細な情報も提供しています。最新の情報は、Check Point SmartDefenseサイトを参照してください。SmartDefenceサブスクリプション・サービスを持たないユーザは、 SmartDefense情報の概要にアクセスすることができますが、Web IntelligenceおよびSmartDefenseが潜 在的脅威に対応するためのアップグレードを行う為には、SmartDefenceサブスクリプション・サービスを購入 する必要があります。
3.0 Web Intelligenceのアーキテクチャ Web Intelligenceは、Webベースの攻撃を特定して防ぐ各種コンポーネント用の統一されたセキュリティ・フ レームワークを提供します。SmartDashboardに含まれるWeb Intelligenceタブは、防御を関連カテゴリ別に 分類されたツリー構造になっています。 防御方法は使用する製品によって多少異なりますが、Web Intelligenceを使用するすべての製品は同じ基本構造を持っています。 ツリー内の各項目は、一般的な攻撃保護やセーフ・ガード(例えばHTTPフォーマット・サイズの検査)のみなら ず、一連の攻撃の防御(Code Redをブロックするだけでなくその亜種も防ぐ)を含む機能の分類を表します。 Web Intelligenceは特定の攻撃の「痕跡」に頼らず、攻撃のクラス全体をブロックします。ツリー内の各カテ ゴリおよびサブカテゴリに対してWeb Intelligenceコンソールは、攻撃や弱点の情報を提供するとともに管理 者が攻撃保護およびセーフ・ガードを設定できるようにしています。 Web Intelligenceはすべての攻撃防御に関していくつかの重要な機能を提供します。 フラグメントされたトラフィックの再組み立て: 分割されたトラフィックに含まれた悪意のあるコンテンツが ファイアウォールを通過する場合があります。これに対して、Web Intelligenceは、定TCPセグメントのす べての分割されたトラフィックを一旦完全なコンテンツに集め、組み立て直した上でセキュリティ・チェック を行います。例えば、ActiveXのアプリケーションは複数のパケットに分割されていても確実に識別するこ とができます。 エンコーディングのサポート:各種のフォーマットでエンコードされている悪意のあるコンテンツがファイア ウォールを通過する場合があります。これに対して、VPN-1/FireWall-1® はコンテンツを完全に解読して 検査とセキュリティを実施します。Web Intelligenceは、空白や正規表現のみならずHex、UTF-16、UTF-8、およびUNICODEエンコーディングを含むURLやワームを解読して検出することができます。 ダイナミックなコネクション: Web Intelligenceはデータ・ストリームの監視のみならず、必要に応じて新し い接続を開始することができます。Web Intelligenceでは、攻撃を検出したときこれを使用してカスタム HTMLエラー・ページを生成します。 接続への書き込み:Web Intelligenceは、監視しているデータ・ストリームへ書込み/書換え(修正)を行う ことができます。ヘッダ・スプーフィングとして、HTTPヘッダに含まれる各種情報を書き換えるか削除し、攻 撃者に情報を不正入手されることを防御します。 Web Intelligenceコンソール
以下のセクションでは、Web Intelligenceの攻撃防御に関する概要とWeb Intelligenceのセキュリティ保護 の仕組みを説明します。
3.1 一般的なセキュリティ保護オプション
多数のWebサーバを持つ組織では、それぞれのWebサーバに異なるセキュリティ保護を導入する場合があり ます。Web IntelligenceのGeneralタブでは、Web Intelligenceによってセキュリティ保護されているWeb サーバと各サーバに設定されている個々のセキュリティ保護に関する種類を表示することができます。この Webサーバに対するセキュリティ保護の設定画面では、各サーバで有効になっている保護の確認と、使用し ているセキュリティ設定レベルを表示または変更が行えます。 以下のセクションでは、ほとんどの設定オプションに共通な基本設定オプションの概要を説明します。これらの オプションは、それぞれのセキュリティ保護の設定画面より使用することができます。 3.1.1 セキュリティ保護の適用範囲 各攻撃保護のProtection Scopeセクションでは、管理者が保護するWebサーバを定義することができます。 Web Intelligenceは、すべてのHTTPトラフィックあるいは特定のWebサーバのグループに対し防御を適用す ることができます。
3.1.2 アクション
Web Intelligenceでは、各攻撃保護に対していくつかのアクションを起こすように設定できます。
Monitor Only:監視専用モードでは、疑わしいトラフィックをブロックせずに追跡することができます。追跡ログ は、チェック・ポイントのログ解析ツールであるSmartView Tracker、SmartView Monitor、およびSmartView Reporterに表示されます。
Send Error Page:Web Intelligenceが攻撃を検出しブロックしたら、管理者は要求するクライアントに対し HTMLエラー・ページを送信するか、別のURLへリダイレクトすることができます。カスタムHTMLエラーとして 設定できるWebページには、組織のロゴや専用エラー・メッセージを含むことができます。トラブル・シューティン グに役立てるため、オプションでHTMLページにSmartView Trackerのログ・エントリと一致するエラー・コード を提供することもできます。 Tracking:Trackingオプションは攻撃が検出された場合に実施する追跡アクションを定義します。これらのオ プションは、SmartDashboardのグローバル・プロパティで定義するものと同じです。 セキュリティ保護で通常使用できるオプション
3.1.3 セキュリティ設定 Web Intelligenceは、いくつかの攻撃保護について管理者がセキュリティを実施するレベルを定義できる、簡 単で強力な方法を提供しています。誤検知を最小限に抑えて適切な保護を提供するため、多くの保護には3 つのレベルの保護があります。これらを調整することにより、導入環境に合わせたセキュリティを柔軟に導入 することができます。 3.2 保護クラス:悪意のあるコード 悪意のあるコードをHTTPサーバやクライアント上で実行する攻撃を防御します。 3.2.1 一般的なHTTPワーム・キャッチャー ワームとは、自分自身をコピーするマルウェア(悪意のあるソフトウェア)で、自分自身のコピーを新たな別の マシンに送りつけることによって増殖します。多くのワームは、HTTPサーバやクライアントのセキュリティの脆 弱性を利用して増殖します。 Web Intelligenceでは、VPN-1/FireWall-1で検出および防御を行う為のワームのパターンを管理者が設定 できます。 重要な機能 ユーザ定義ワーム・パターン:SmartDefenseサービスにより、一般的なワームを検出する為のパターンが定 期的に更新されます。SmartDefenseサービスに加え、正規表現を利用したシンプルな方法で管理者がワー ム・パターンをカスタマイズし定義できます。
3.2.2 Malicious Code Protector
WebサーバやWebアプリケーションの バッファ・オーバフローの脆弱性は頻繁に発生し、危険です。攻撃者 は、アセンブリ・コードを含む特殊な文字列を設定することによってメモリを破壊するために、サーバがクラッ シュしたり、悪意のある任意のコードが実行されたりすることがあります。バッファ・オーバフローの脆弱性を悪 用した攻撃は、ユーザの介入を必要としませんので、エクスプロイト・コードによるスクリプトやワームによる攻撃 がたやすく拡大してしまいます。URL、HTTPヘッダ、HTTPボディなど、ユーザが入力操作を行うと考えられる スペースであればどれでも、バッファ・オーバフロー攻撃に利用される可能性があります。 カスタムHTMLエラー・ページとオプションのSmartView TrackerID
Malicious Code Protectorは、データ・ストリームを分解し、アセンブリ・コード(マシン命令)を探すことにより、 URL、HTTPリクエストヘッダ、HTTPリクエストボディを分析した上で、危険かどうか判断し、それに応じて接続 を許可または拒否します。アセンブリ・コードを動的に識別するため、パターンの詳細な指定や頻繁な更新の 必要なく、ほとんどの将来発生するかも知れない未知の脆弱性に対しても防御ができます。
セキュリティ・レベル
Malicious Code Protectorによって検査するデータ・ストリームを定義します。非ASCII文字が1つ以上 含まれているトラフィックは疑わしいものと見なされます。 低: 疑わしいURLまたはHTTPヘッダを検査します。HTTPヘッダが疑わしいと判断された場合は、 HTTPボディも検査されます。 中:すべてのURLを検査します。疑わしいHTTPヘッダまたはHTTPボディを検査します。HTTPヘッダ が疑わしいと判断された場合は、HTTPボディも検査されます。 高:すべてのURLとHTTPヘッダを検査します。HTTPヘッダとHTTPボディのいずれかが疑わしいと判 断された場合は、HTTPボディも検査します。 重要な機能 未知の攻撃に対する防御:Web Intelligenceでは、シグネチャ・ベースの検出方法と異なり、攻撃防御 の為のシグネチャを使用せずに、悪意のあるコードの確実な検出が可能です。この機能により、新しい 未知の攻撃に対する即座に防御を実現できます。 3.3 プロテクション・クラス:Webアプリケーション層 このプロテクション・クラスにより、攻撃者がテキスト、タグ、コマンド、その他ブラウザやサーバが特殊命令であ ると解釈できる文字を使用するのことを防止します。このような文字がフォームやURLに入れられると、攻撃者 によって機密データが盗まれたり、通信セッションが悪質なWebサイトに転送されたり、データベースから情報 が盗まれたり、不正にアクセスされたり、制限コマンドが実行されたりするおそれがあります。 3.3.1 クロス・サイト・スクリプティング クロス・サイト・スクリプティング攻撃は、悪意のあるスクリプトを含む特殊なHTTPリクエストを使用することに より、ユーザとWebサイトの間の信頼関係を悪用するものです。この攻撃の意図は、ユーザ情報とクルデン シャルを含むCookieを盗むか、ユーザを欺いて攻撃者にクルデンシャルを教えてしまうように仕向けることです。 通常、この攻撃は、信頼するサイトにユーザが無意識に送信するHTTPリクエスト(GETおよびPOST)にスク リプトを埋め込むことによって開始されます。 Web Intelligenceでは、Webサーバへのスクリプト・インジェクションを防止するためのさまざまな保護を設定 できます。Webサーバは、危険なスクリプティング・コードを含むインバウンド(着信)HTTPリクエストを検出し、 ブロックすることにより保護されます。より厳密な方法として、タグ(スクリプト・タグであるか他のタグであるかに 関わらず)を含むすべてのインバウンドHTTPリクエストをブロックするように設定することもできます。 セキュリティ・レベル この保護は、URL、クエリ文字列、HTTP POST要求ボディといった、攻撃者がクロス・サイト・スクリプ ティング文字を入れる可能性のある場所に適用されます。 低:HTMLタグ中に置かれた、スクリプトに関連するキーワード(script、activexobject、appletなど)を含 む要求を拒否します。 中:HTMLタグを含む要求を拒否します。 高:HTMLタグを含む要求を拒否します。さらに、HTMLタグのUnicodeエンコードがないかチェックし ます。
3.3.2 SQLインジェクション SQLインジェクション攻撃は、リモートの攻撃者がURLやデータベースへのフォーム入力に偽装されたSQLコ マンドを実行するものです。攻撃が成功すると、有害なコマンドがデータベースで実行される恐れがあります。 結果的に機密情報が漏洩したり、データベースが改ざんされたり、サーバがシャットダウンされるなどの危険性 があります。 Web Intelligenceにより、HTTPリクエストとしてサーバに送られるWebフォームや、URLにSQLコマンドが含 まれていないか検査できます。明確なSQLコマンド、明確でないSQLコマンド、特殊SQL文字(セパレータ+'-など)といった数種類のコマンドのチェックを行います。SQL特有の文字列で共通言語には通常使用されな いもの(sql_longvarchar、sysfilegroupsなど)は、明確なSQL文字列と見なされます。共通言語に使用され ることのあるもの(select、joinなど)は、明確でないSQL文字列と見なされます。 セキュリティ・レベル 低: 特殊SQL文字または明確なSQLコマンドをパスやフォーム・フィールドに含むフォームおよびURLを拒 否します。 中: 特殊SQL文字、明確なSQLコマンド、不明確なSQLコマンドをパスやフォーム・フィールドに含む フォームおよびURLを拒否します。 高:特殊SQL文字、明確なSQLコマンド、不明確なSQLコマンドをURLに含むフォームおよびURLを拒否 します。 3.3.3 コマンド・インジェクション コマンド・インジェクション攻撃は、リモートの攻撃者がURLやWebサーバへのフォーム入力に偽装したオペ レーティング・システム・コマンドを実行するものです。システム・コマンドの実行が成功すると、リモートの攻撃 者にWebサーバ管理者の管理権限が奪取されてしまう恐れがあります。このため、Webサイトの内容が勝手 に書き換えられたり、データが盗まれたり、データが失われたりする危険性があります。
Web Intelligenceは、、保護対象となるサーバに送られるWebフォームやURLにシステム・コマンドが含まれて いないか検査します。明確なシステム・コマンド、明確でないシステム・コマンド、特殊システム文字(;[ ]<>&¥t など)といった数種類のコマンドのチェックを行います。システム・コマンド特有の文字列で共通言語には通常 使用されず、コマンド・インジェクションによく使用されるもの(chown、regsvr32など)は、明確なシステム・コマ ンド文字列と見なされます。共通言語に使用されることのあるもの(format、convertなど)は、明確でないシス テム・コマンド文字列と見なされます。 セキュリティ・レベル 低:特殊Shell文字や明確なShellコマンドをパスやフォーム・フィールドに含むフォームを拒否します。 中:特殊Shell文字、明確なShellコマンド、明確でないShellコマンドをパスやフォーム・フィールドに含む フォームを拒否します。 高:特殊Shell文字、明確なShellコマンド、明確でないShellコマンドをURLに含むフォームを拒否します。 3.3.4 ディレクトリ・トラバーサル ディレクトリ・トラバーサル攻撃は、攻撃者が本来であればアクセスできないファイルやディレクトリにアクセスし てしまうものです。この攻撃により、巧みに作られたURLを1つ使用することで、攻撃者がディレクトリの一覧を 参照したり、Webサーバに対して実行可能なコードを実行したりすることが可能になります。
ディレクトリ・トラバーサル攻 撃を開 始する方 法はいくつかあります。攻 撃のほとんどは、ファイル・ システム中にドット、ドット、スラッシュという文 字の 列( . . / )を含むH T T Pリクエストを利 用したもの です。この列により、攻 撃 者 はW e bページのルート・ディレクトリの外 部へ移 動できます。たとえば、 http://www.server.com/first/second/../../..はルート・ディレクトリよりも深いレベルを示すものであるため、不 正です。http://www.server.com/first/second/../はhttp://www.server.com/first/と同義であるため、正当 です。より高度なディレクトリ・トラバーサル攻撃では、攻撃者はエンコードしたURLを使用して攻撃を実行し ます。 ディレクトリ・トラバーサルに対する防御では、エンコードされたURLを含み、不正なディレクトリ・トラバーサル文 字の組み合わせがURLに含まれていないか確認します。URLが不正なディレクトリ・リクエストを含む要求はブ ロックします。 3.4 保護クラス:情報搾取 攻撃者がWebサイトを攻撃する前に講じる手段の1つが、サイトの情報収集です。その目的は、攻撃者が攻 撃を行う上で必要となるさまざまな情報をWebサーバに開示させるためです。この攻撃は、「フィンガー・プリン ティング」、偵察などと呼ばれます。 3.4.1 ヘッダ・スプーフィング WebサーバからのHTTPリプライ・ヘッダには、攻撃者がWebサーバを特定できる情報が含まれるものがあり ます。この情報を利用すると、攻撃者はそのWebサーバの弱点を悪用する攻撃を仕掛けることができます。 ヘッダ・スプーフィングによる防御では、ヘッダ名とヘッダ値を特定する正規表現を使用して、特定のヘッダ を削 除または変 更できます。たとえば、通 常のサーバ・ヘッダにはW e bサーバ名とバージョン番 号 (Server:Microsoft-IIS/5.0など)が含まれます。この防御手段を使用し、サーバ・リプライからサーバ名を削除 するか(サーバを隠す)、情報を変更して攻撃者を混乱させることができます。 3.5 保護クラス:HTTPプロトコル検査 HTTPプロトコル検査により、HTTPプロトコルが厳密に実施され、セッションが確実にRFC標準や一般的セ キュリティ慣行を遵守したものになります。 3.5.1 HTTPフォーマット・サイズ HTTPリクエストやHTTPリプライのパケット・サイズは、プロトコルで制限されません。明確なプロトコルの制限 がないために、それを利用してWebサーバが攻撃される場合があります。たとえば、多くのバッファ・オーバフ ロー攻撃ではWebサーバに大きなヘッダを送りつけます。 Web Intelligenceでは、HTTPプロトコルのさまざまな面に上限を設け、その制限を超える接続を破棄すること により、バッファ・オーバフローの可能性を抑えます。検査されたHTTP接続に複数の要求が含まれる場合は、 各要求に個別に制限が適用されます。ヘッダ値は保護対象サーバですべてのHTTPヘッダに対して強制さ れます。オプション機能として、カスタム・フォーマット・サイズを定義し、特定ヘッダに対して強制することができ ます(serverヘッダについては異なる値を適用するなど)。
3.5.2 ASCIIオンリー・リクエスト(ASCII Only Request)
HTTPリクエストがバッファ・オーバフロー攻撃や実行コード攻撃に使用される場合があります。HTTP RFC ではバイナリ文字をHTTPヘッダに使用することを許可していませんが、実際これがWebサーバによって強制 されていない場合があります。 ASCIIオンリー・リクエストによる保護では、ASCIIテキストのみがHTTPリクエストやフォーム・フィールドに使用 されるよう検査や強制が行われます。これで、HTTPプロトコル・ヘッダによって悪意のあるコンテンツが送られ るのを防止できます。この防御方法は、Web Intelligenceのクラス・ベース攻撃防御の一例です。ASCIIの みのヘッダを強制することにより、実行コードの伝送によって増殖するさまざまなバッファ・オーバフロー攻撃が 自動的にブロックされます。
3.5.3 ASCIIオンリー・レスポンス・ヘッダ(ASCII Only Response Header) HTTPリプライもバッファ・オーバーフロー攻撃や実行コードを用いた攻撃に利用される場合があります。この 場合、攻撃を仕掛けられたサーバにアクセスしたユーザは、Webサイトを参照するだけでバッファ・オーバーフ ロー攻撃を受ける危険があります。攻撃者はユーザのブラウザを通じて悪意のある実行可能なコードを実行 します。 ASCIIオンリー・レスポンス・ヘッダによる保護では、ASCIIテキストのみがHTTPリプライに使用されるよう検査 や強制が行われます。この保護を有効にすると、すべてのHTTPリプライに適用されます。 3.5.4 ヘッダ拒否(Header Rejection) いくつかのエクスプロイトの方法として、HTTPヘッダを利用して被害を及ぼすものもあります。エクスプロイト はカスタム値を持つ標準ヘッダ(Hostヘッダなど)でもカスタム・ヘッダでも伝送されます。 ヘッダ拒否による保護では、特定のヘッダやヘッダ値を含むHTTPリクエストを拒否できます。HTTPヘッダの 名前と値は、大文字と小文字の区別のある正規表現を使用して定義します。Web Intelligenceでは、管理者 がカスタム・ヘッダ拒否リストを作成できるだけでなく、新たな攻撃に備え、必要に応じて、予め定義されたヘッ ダ・リストもSmartDefenceサブスクリプション・サービスを通じて使用できます。 3.5.5 HTTPメソッド HTTP RFCでは、HTTPメソッド制限が許可されています。ただし、標準メソッドでも、Webサーバの脆弱性を 悪用するのに使用される場合があり安全ではありません。一部のHTTPメソッドは攻撃者に頻繁に使用され ています。たとえば、SmartDefenseアドバイザリWebサイトに記載られているとおり、MicrosoftのWebDAV メソッド(HTTPプロトコルの拡張)が特定のエクスプロイトに使用された事例があります。 HTTPメソッドによる保護では、HTTPリクエストで使用できるHTTPメソッドを制限します。Web Intelligenceは HTTPメソッドをStandard Safe(GET、HEAD、POST)、Standard Unsafe(その他のHTTPメソッド)、 WebDAVの3つのグループに分類します。デフォルトでは、Standard Safe以外のすべてのメソッドはブロック されます。それ以外のグループは個別に適用できます。ユーザがMicrosoftのHotmail、Outlook Web Access、FrontPageなどの一般的なアプリケーションにアクセスできるよう、WebDAV HTTPメソッドを許可 することもできます。WebDAVメソッドの一部はこれらのアプリケーションに使用されます。 予め定義されたHTTPグループに加え、カスタムHTTPグループ・リストを使用し、ブロックするメソッドを具体的 に定義することもできます。たとえば、GETメソッドとPOSTメソッドのみを許可すると、他のメソッドはすべてブ ロックされます。
4.0 Web Intelligenceのログと監査
Web Intelligenceのログ機能は、攻撃に関するログ・エントリとそれに関連する情報をSmartView Tracker、 SmartView Monitor、およびSmartView Reporterで確認することができ、チェック・ポイントのログ・インフラ と統合が可能です。
特定の設定に対する違反が発生すると、攻撃があったと判断され、専用のログ・ビュー・モードを使用して、 Web Intelligenceの攻撃が一覧表示されます。Web Intelligenceコンソール・ウィンドウのGeneralセクショ ンでView Web Intelligence Logs in SmartView Trackerリンクをクリックすると、このビューを表示すること ができます。ログ記録された攻撃ごとに、Web Intelligenceは攻撃のカテゴリ、発信元、宛先、サービス、およ び日時を記録します。
Web IntelligenceはSmartView Trackerとの統合に対応しています
ブロックされたクロス・サイト・スクリプティングに関する詳細なログ・エントリ
個々のイベントのログ記録のほか、SmartView Monitorを使用してWeb Intelligenceの特定ログ情報をリア ルタイムで表示したり、SmartView Reporterを使用して、ネットワーク内で発生しているさまざまなイベントを、 過去のイベントも含めて分析、解析し、傾向分析や事実確認として利用が可能です。これらの表示により、 管理者は最も多くブロックされた攻撃、発信元、およびターゲットなどの傾向を容易に把握し、対策を行う為の 参考資料として活用できます。
SmartView Monitor内のWeb Intelligenceビュー
5.0 Web IntelligenceとStorm Centerの統合
Web Intelligenceは、SmartDefenseのStorm Center Moduleを使用して、Storm Centerと統合されます。 これにより、ネットワーク・ストーム・センターとネットワーク・セキュリティ情報を必要とする組織との間で、双方 向の情報のやりとりが可能になります。
代表的なStorm Centerとして、SANS Dshield.org(http://secure.dshield.org/)が挙げられます。 DShield.orgは統計情報を収集し、それを一連のレポートにまとめてhttp://secure.dshield.org/reports.html で公開します。チェック・ポイントのWeb IntelligenceとSmartDefenseは、次の2通りの方法でSANS DShield.org Storm Centerと統合されます。
● DShield.org Storm CenterはBlock Listレポートを作成します。これは、不正なアクセスまたは悪意の
あるアクティビティに関するレポートに基づき、ブロックすべきであると判断されたアドレス範囲のリストで す。ブロック・リストは頻繁に更新されます。SmartDefense Storm Center Moduleは、それぞれの更新 が直ちに有効になるように、このリストを取り込んでセキュリティ・ポリシーに追加します。
● 他の組織がそのネットワークに対する同種の攻撃に対抗する手助けとするため、管理者はストーム・セ
ンターにログを送信できます。管理者は、ログを送信するルールを選択することにより、送信するログを決 定できます。
SmartDefense Storm Center Moduleの詳細については、FireWall-1 NG with Application Intelligence の『ユーザガイド』を参照してください。
6.0 Web Intelligenceの更新
新しい脅威および脆弱性が毎日のように発見される、動的なセキュリティ環境では、更新機能を提供すること が非常に重要です。以下のWeb Intelligenceによる保護は、SmartDefenseサブスクリプション・サービスの 一環として更新されます。 チェック・ポイントは、SmartDefenseサブスクリプション・サービスを受ける顧客に対し、確実な攻撃への防御 を提供する為に頻繁なアップデートを提供します。顧客の管理サーバは新しいプロトコル定義、攻撃防御ソ リューション、およびシグネチャ・パターンをチェック・ポイントのWebサイトより取り込み、セキュリティ実施モ ジュールを更新します。Smart DashboardのSmartDefenseタブで、メイン・ページの「Update Now」ボタンをクリックするだけで、簡 単にWeb Intelligenceを更新することができます。さらに、「Check for new updates」オプションをクリックす ると、起動時に常に新しい更新をチェックするようにSmartDashboardを設定することができます。
更新する機能
New Web Intelligenceの コンポーネント INSPECTスクリプト HTTPワーム定義 新しいサービス 機能 新たに対応が必要なカテゴリでの攻撃 (Web Intelligenceツリーの項目等に追加)を ブロックするための、新しいWeb Intelligenceの機能。 さまざまなセキュリティの脆弱性に対抗するため、 新しいINSPECTスクリプトを更新する。 新しいHTTPパターン 新しいサービスと関連コードを作成する。
SmartDefenseとWeb Intelligenceのワンクリック更新画面
7.0 Web Intelligenceのパフォーマンス
Check PointゲートウェイのWeb Intelligenceは、フル・カーネル・ベースのストリーミング技術を採用していま す。これにより、境界および内部ネットワーク(LAN)の両方の設定に適したパフォーマンス速度で、Web環境 に対するセキュリティ保護が配布されます。Web Intelligenceは、低レイテンシー、高い接続負荷、そしてギガ ビット速度を超えるパフォーマンスを実現します。Web Intelligenceではセキュリティ・サーバは使用しません。
チェ ック ・ポ イ ン ト・ソ フ トウェ ア ・ テ ク ノ ロ ジ ー ズ 株式 会社
〒 160-0022 東京都新宿区新宿 5-5-3 建成新宿ビル 6F
http: //www.checkpoint.co.jp/ E-mail : [email protected] Tel : 03(5367) 2500
© 2004 Check Point Software Technologies Ltd.
All rights reserved. Check Point, Application Intelligence, Check Point Express, Check Pointのロゴ, ClusterXL, ConnectControl, Connectra, FireWall‐1, FireWall‐1 GX, FireWall‐1 SecureServer, FireWall‐1 XL, FloodGate‐1, INSPECT, INSPECT XL, InterSpect, IQ Engine, Open Security Extension, OPSEC,Provider‐1, Safe@Office, SecureKnowledge, SecurePlatform, SecureXL, SiteManager‐1, SmartCenter, SmartCenter Pro, SmartDashboard, SmartDefense, SmartLSM, SmartMap, SmartUpdate, SmartView, SmartView Monitor, SmartView Reporter, SmartView Status, SmartViewTracker, SSL
