Fokozódó veszély a programhibák miatt: használjunk teljes körű alkalmazás-felügyelő tűzfalat!

„A manapság használatos rendszerekben a hálózati réteg védelmi mechanizmusai uralkodnak, de ez a megoldás az egyre gyakoribb alkalmazásszintű támadásokkal szemben elégtelennek bizonyult” – jelentette ki Mark Bouchard (META Group). „A gyártóknak és a felhasználóknak egyaránt az alkalmazásszintű védelemre kell összpontosítaniuk, ha ki akarják küszöbölni a hálózatokban egyre növekvő számban megtalált sebezhető pontok okozta veszélyeket.”

A Symantec februárban nyilvánosságra hozott, az internetes veszélyekről szóló jelentése szerint a 2002-ben jelzett közepesen vagy nagyon veszélyes sérülékenységek száma 84,7%-kal volt magasabb a 2001. évinél. A Symantec elemzői az elmúlt év során naponta átlagosan hét új sérülékenységet jegyeztek fel.

„Az egyre gyakrabban felbukkanó sebezhető pontok és az az egyre rafináltabb mód, ahogy ezeket a rosszindulatú programok kihasználják, a korábbinál sokkal jobban veszélyezteti a szervezeteket” – mondta Greg Gotta, a Symantec termékszállítási alelnöke. „Az állapottartó tűzfalak csak az információcsomag forrásával foglalkoznak, de nem vizsgálják mélyebben annak tartalmát. Ha a kifelé néző tűzfalakat teljes körű alkalmazás-felügyelő üzemmódban használják, az információcsomagok tartalmának vizsgálatával mód van a rendellenes tevékenység felismerésére és a további támadások megelőzésére.”

A Symantec teljes körű alkalmazás-felügyelő tűzfalai az alacsonyabb rétegek mellett az alkalmazások rétegét is magában foglaló, fokozott védelmet nyújtanak. Az egyes alkalmazások rendellenes módon történő használatának megkísérlésekor a Symantec Enterprise Firewall, a Symantec VelociRaptor és a Symantec Gateway Security felismeri és alapértelmezés szerint megakadályozza azt.

2003. március 3-án egy kívülről kihasználható sebezhető pontot találtak a Sendmail nevű, igen elterjedten alkalmazott e-mail szerverben. Ez a sérülékenység az SMTP fejlécet elemző részben létrejövő átmenetitár-túlcsordíthatóságban nyilvánul meg. A külső támadók a kiszemelt SMTP szerverhez történő csatlakozással és torz SMTP adat küldésével képesek kihasználni ezt a hibát. Mivel az ilyen támadások megsértik az RFC-kben megállapított paramétereket, nem szükséges megváltoztatni a Symantec teljes körű alkalmazás-felügyelő tűzfalainak beállításait annak érdekében, hogy az ilyen, Sendmailt érintő támadásokat kivédjék.

A teljes körű alkalmazás-felügyelő eljárás az alkalmazási szinten működő proxy-kkal éri el a vállalati tűzfal legmagasabb szintű védelmét. A forgalomnak az IP- vagy a kapcsolati rétegben történő futólagos megvizsgálása helyett a csomag teljes tartalmát meg lehet vizsgálni a TCP/IP rendszer valamennyi rétegében. Ez sokkal szélesebb körű védelmi jellemzőket biztosít, hiszen így az egyes protokollok külön-külön kerülnek értelmezésre és vizsgálatra. Az állapottartó vagy a hálózati réteget figyelő tűzfalak nem vizsgálják a forgalmat a TCP/IP rendszer valamennyi rétegében, hanem az egyes csomagok fejlécében található információ és nem a csomag tartalma alapján döntenek annak további sorsáról.