(竞争策略)状态检测技术
以及竞争厂商对比
状态检测技术以及竞争厂商对比
------为什么所有的状态检测防火墙且不完全相同?
提纲
1概述:防火墙安全
2状态检测概念 StatefulInspection
不同防火墙实现状态检测的不同之处
防火墙安全之缺陷
防火墙安全之缺陷
状态检测处理的公共服务和协议 servicesandprotocols
3检测攻击和防护攻击
的方法
在检测攻击和防护攻击上的局限性
在检测攻击和防护攻击上的局限性
攻击的防护能力
总结:CheckPoint的状态检测技术是防火墙的工业标准
1概述:防火墙安全
很多的防火墙产品的出现给网络安全管理者进行产品选型过程中出现困难。为了决定哪个产品是最安全的而
翻阅大量的市场和销售的文档令人头疼。本文针对防火墙选择过程提供壹些技术背景,解释且比较
CheckPoint、Cisco、NetScreen提出的安全解决方案。
2.状态检测概念 StatefulInspection
状态检测由 CheckPointX公司发明,是企业防火墙的事实上的技术标准。为了提供全面的安全解决方案,壹
个防火墙必须能跟踪和控制所有会话的 flow,和原始的“包过滤”技术不同,状态检测分析流入和流出网
络的“流”,因此能够基于通讯会话信息(也可基于应用信息)做出实时的安全判断,这个结果通过跟踪穿
越防火墙网关的通讯会话的状态 state和上下文来实现,不管这个连接 connection包含多么复杂的协议。
不同防火墙实现状态检测的不同之处
状态防火墙所能提供的安全级别由是否能跟踪大量的数据和对数据是否进行了彻底的分析来决定。防火墙只
有跟踪每壹个通讯会话 session的实际状态和许可会话所动态打开的 TCP或 UDP端口。如果防火墙没有这个
能力,就必须打开壹个很大的端口范围来支持哪怕是最基本的 Internet服务。防火墙如果不加鉴别地打开
壹定范围的端口将会在在安全配置上出现严重的可被利用的漏洞。为了跟踪上下文,壹个防火墙必须检查包
的内容以确保每个进入网络的数据包能匹配通讯会话原有的的参数或属性,这就能确保可疑的或恶意的数据
包和正常通讯数据包的上下文区别开来,因此不会威胁防火墙的安全,为了跟踪和处理某壹应用的状态
state信息和上下文 context信息,应用的信息被见作具有壹定状态的 traffic,以下是壹个防火墙所应该
跟踪和分析的状态和上下文关系的例子:
状态和上下文信息
数据包的头信息(源地址、目的地址、协议、源端口、目的端口、包长度)
连接状态信息(哪壹个连接打开了哪壹个端口)
TCP和 IP分段数据(例如:分段号、顺序号)
数据包重组、应用类型、上下文校验(即:包属于哪个通讯会话 session)
到防火墙的哪壹个接口上
从防火墙的哪壹个接口上出去
第二层信息(如 VLANID号)
数据包到达的日期和时间
真正的状态检测意味着能跟踪通讯的所有的状态和上下文信息,所以说,只有
CheckPointFireWall-1®‚能提供真正的状态检测 StatefulInspection.
防火墙安全之缺陷
尽管 Cisco也讲他的技术是状态检测,可是 CiscoPIX防火墙且不能够对所有支持的应用和服务提供状态安
全机制。因此,他所能提供的安全是不完整的。例如,PIX不能处理 MicrosoftExchange服务的完整的状态
和上下文信息,CISCO为了配置 PIX能支持 fMSExchange服务,Cisco建议用户在要发 MAIL的外部 HOST上打
开壹定范围的端口(TCP1024到 65535),如果 PIX要维护
MSExchange服务的状态,他将自动打开那些所需的应用和通讯会话的端口,Cisco对 MSExchange的支持方
式是违反安全惯例的:在防火墙上不加选择地打开壹定范围的没有用的可被利用的漏洞。且且,PIX不理解
MSExchange这种应用。由于不理解通讯的上下文,PIX防火墙不能够阻止夹杂在合法的 MSExchange数据中
的能够数据包。对 MSExchange的处理方式是 CiscoPIX不能按照状态检测数据包的壹个简单例子。更多更全
面的对比,祥见表 1
.
防火墙安全之缺陷
NetScreen的状态检测的实现也是不完整的。NetScreen防火墙设备在对所有的应用执行安全策略时也不能
够重组碎片 fragmentedTCP包,这就意味着在网络遭受 HTTP-driven攻击时会出现严重的安全问题。如果壹
个攻击(例如壹个可疑的 URL)被分片成多个数据包,NetScreen防火墙不能检测到,也不能够阻断这个攻
击。对包进行分片易如反掌,NetScreen防火墙这个缺陷使被他保护的网络很容易被很多知名的攻击手段所
攻击。。
例如,对于红色代码 CodeRed,如果壹个可疑的 URLstring被分片,且按多个包发送,这种攻击将穿越
NetScreen防火墙而不被发现,壹旦目的服务器收到后,这些恶意的包将被重新组装,最终导致服务器“缓
冲区溢出”(更详细的内容见下面的“检测攻击和防护攻击”章节).
在所有应用和服务上的 TCP包的重新组装是任何壹个状态检测防火墙的最基本的要求。如果防火墙没有这个
功能,或者丢弃合法连接的分片的包 fragmentedpackets,或者允许夹杂有网络攻击的恶意分片进入网络。
这俩种情况的问题都是潜在的安全威胁。
状态检测处理的公共服务和协议
FireWall-1对应用的状态的了解深度体现了CHECKPOINT几年来对各种应用和各种协议的研究和分析的成果。
这个功能的核心是“TCPpacketreassembly”TCP包的重新组装。
如果 FireWall-1收到了分片的数据包之后,首先重新组装成原始格式,因此,对整个数据流,streamofdata
的分析符合协议的定义 definitions,以及包所承载的信息内容的合法性。
状态检测防火墙必须对各种应用有很大深度的理解才能实现完全的网络保护。
NetScreen和 Cisco产品都不支持所有应用的“TCPpacketreassembly”
在表 1中,对号表示应用或者协议的状态基于安全目的进行维护。
协议或应用 CheckPointCiscoPIXNetScreen
FireWall-1
IPSecurityProtocol(IPSec)√√
DomainNamingService(DNS)√
InternetControlMessageProtocol(ICMP)√
GeneralPacketRadioServiceTunneling
Protocol(GTP)√
SessionInitiationProtocol(SIP)√√不完整
HPOpenViewServices√
SUNRemoteProcedureCall(RPC)Services√
MicrosoftDistributedComponent
ObjectModel(DCOM)√
MicrosoftExchangeServices√
协议或应用 CheckPoint CiscoPIX NetScreen
IPSecurityProtocol(IPSec)
DomainNamingService(DNS)
InternetControlMessageProtocol(ICMP)
GeneralPacketRadioServiceTunnelingProtocol(GTP)
HPOpenViewServices
SUNRemoteProcedureCall(RPC)Services
MicrosoftDistributedComponent
SessionInitiationProtocol(SIP)
MicrosoftDistributedComponent
ObjectModel(DCOM)
MicrosoftExchangeServices
3.检测攻击和防御攻击
实现方法
CheckPoint的 状 态 检 测 引 擎 针 对 所 有 类 型 的 网 络 攻 击 进 行 保 护 。 这 就 包 括 简 单 的 包 破 坏
packetcorruptionattacks的攻击,以及更高级别的攻击例如:
oversizedpackets、malicioususeofIPpacketoptions、SYNfloods,
基于分片的攻击方式自动地被 FireWall-1阻止和记录 blockedandlogged。
CheckPoint的独特的可扩展的软件模式,能够很方便地应用于高水平的网络安全需求。
诸如隐藏内部 maildomains,DNS确认,FTP,SMTP,HTTP和其他命令集的严格控制,阻止 Java和 ActiveX,以
及基于用户的 email尺寸限制,等等这些功能都能够在 FireWall-1policyeditor中轻易实现。
且且,CheckPoint’sFireWall-1的 SmartDefense™技术具备壹体化的防攻击能力。SmartDefense能够检测
和防止所有已知的攻击和已知攻击的变种。SmartDefense也能够使管理员能够在线地很快地更新他们的安
全策略。
在检测攻击和防护攻击上的局限性
CiscoPIX防火墙不提供对恶意 URL或者基于 HTTP攻击的直接保护,远离网络攻击的威胁,例如 CodeRed。
Cisco建议用户用其他专门的入侵检测产品来防止攻击(CISCO也能提供 IDS产品)。
因此加上 IDS同时也能够当 WEB服务器受到威胁时减轻损失。(例如,对 WEB服务器的内部开放连接进行预
防).
在检测攻击和防护攻击上的局限性
尽管 NetScreen确实提供了壹些集成的攻击防护功能。可是这种方式缺乏关键的功能。壹个 NetScreen防火
墙不能抵御知名攻击 well-knownattacks的变种。(例如红色代码或尼姆达病毒)。
对于所有的 NetScreen设备,攻击特征码(例如壹个恶意的 URL)必须和防火墙数据库中的特征码精确的匹配
才能够识别出来。攻击的任何壹个变种,不论变动如何微小,都能够穿越防火墙而不被识别。这个情况的直
接结果就是 NetScreen防火墙不能支持有规律的特征码匹配,所以,管理员不得不用特定的 wildcard自己
查找攻击攻击特征变量,因此,攻击能够通过加以微小的变化就能绕过 NetScreen防火墙进入网络。例如在
CodeRed恶意 URL增加壹个空格,或者改变壹个字符。
FireWall-1中对有规律的特征匹配的好处能够在.htrworm蠕虫病毒中体现,当前发布的蠕虫攻击以壹个恶
意 URL做起始,以".htr"结束。使用有规律的特征匹配功能,防火墙能够检查所有可疑的 URL以及其变种,
从而阻止了所有版本的攻击。NetScreen设备不能阻止.htrworm蠕虫病毒的各种变种版本的攻击,因为他不
支持特征匹配功能,所以他只能检测到特定的以".htr"结束的 URL类型,从而增加了用户的安全风险
NetScreen只能检测有限数量的攻击(例如恶意 URLs),NetScreen 防火墙不能检测和阻止其他额外的攻击类
型。且且攻击检测的数量也不能通过升级内存或其他组件来增加。最近以来,所有的 NetScreen平台有同样
的(攻击数量)限制,(见表 2),用户不能扩展恶意 URL的检测数量。即使是最高配置的设备,这个限制也
是极低(如 NS-5000仅支持 64个),壹旦达到限制,管理员必须选择是否以放弃旧攻击的代价来换取抵御新
的攻击。表 2显示可被检测和阻断的 HTTP-driven攻击的最大数量。这些限制的确是太低了,尤其是考虑到
NetScreen的恶意 URL的检测机制是大小写敏感的。由于 NetScreen不支持有规律的特征匹配功能,安全管
理员必须定义所有知名攻击的大写和小写组合。这就意味着由于同种攻击的不同组合很快就能够达到这个数
量限制。
表 2,可检测的恶意 URL的最大数目
NetScreenPlatformMaximum#ofUserDefinedAttacks4
()
NS-5XT,NS-5XP48
NS-5048
NS-10048
NS-204,NS-20848
NS-50048
NS-100048
NS-5000Series64
攻击的防护能力
应用或协议 CheckPointNetScreenCisco
FireWall-1(所有平台)PIX
Low-levelprotocol-corruptionattacks√√√
SYNFlood√√√
ICMPflood√√√
UDPflood√√
PingofDeath√√√
IPSpoofing√√√
Landattack√√√
TearDrop√√√
IPSourceRoute√√√
IPrangescan√√
SYN+FINset√√√
NoFlagsSet√√√
IPoptionsAllBlockedPartialPartial
ICMPfragmentation√√√
Per-sourcesessionlimits(DoS/DDoS)√√
IP/UDP/TCPheader-to-lengthmismatch√
Application-layerattacks
EmailSecuritySMTPcommands
nocontentfiltering)Notintegrated
MaliciousURLs√Limited
WinNuke√√
IPFragmentation√√
MalformedFTPcommandsLimited
FTPBounce√√
TCP-basedattacksspanningmultiplepackets√
HTTP-basedattacksspanningmultiplepackets√
表 3:攻击的识别和预防
应用或协议 CheckPoint NetScreen Cisco
Low-levelprotocol-corruptionattacks
SYNFlood
ICMPflood
UDPflood
PingofDeath
IPSpoofing
Landattack
TearDrop
IPSourceRoute
IPrangescan
SYN+FINset
NoFlagsSet
IPoptionsAllBlockedPartialPartialICMPfragmentation
Per-sourcesessionlimits(DoS/DDoS)
IP/UDP/TCPheader-to-lengthmismatch
总结:CHECKPOINT的状态检测是防火墙的工业标准
状态防火墙所提供的安全级别决定于所能跟踪的数量以及分析的如何彻底。尽管各厂商都普遍宣称能提供状
态检测技术,但且非所有的都是真正的状态检测或者是真正安全的。
当我们评估壹个防火墙的解决方案是,关键要见厂商的在提供状态检测防火墙技术方面是否专业和是否有经
验。以及产品是否成熟、明确支持的服务的数目
区分防火墙实力的最可靠的标准是抵御攻击能力的宽度。
CheckPoint的专利技术状态检测已经成为近十年来的安全方面的工业标准,FireWall-1业已成为业界最安
全最富实力的状态检测防火墙。