A Symantec a teljes körű alkalmazás-felügyelő tűzfalak alkalmazására buzdít
A közelmúltban felbukkant hálózati sérülékenységek számának növekedése miatt -- kiemelve a Sendmail levélfejelemző eljárásának a napokban kiderült sebezhetőségét -- a Symantec nyomatékosan javasolja, hogy a szervezetek az internetre néző tűzfalaikat teljes körű alkalmazás-felügyeleti üzemmódban használják.
"A manapság használatos rendszerekben a hálózati réteg védelmi mechanizmusai uralkodnak, de ez a megoldás az egyre gyakoribb alkalmazásszintű támadásokkal szemben elégtelennek bizonyult" -- jelentette ki Mark Bouchard (META Group). "A gyártóknak és a felhasználóknak egyaránt az alkalmazásszintű védelemre kell összpontosítaniuk, ha ki akarják küszöbölni a hálózatokban egyre növekvő számban megtalált sebezhető pontok okozta veszélyeket."
A Symantec februárban nyilvánosságra hozott, az internetes veszélyekről szóló jelentése szerint a 2002-ben jelzett közepesen vagy nagyon veszélyes sérülékenységek száma 84,7%-kal volt magasabb a 2001. évinél. A Symantec elemzői az elmúlt év során naponta átlagosan hét új sérülékenységet jegyeztek fel.
"Az egyre gyakrabban felbukkanó sebezhető pontok és az az egyre rafináltabb mód, ahogy ezeket a rosszindulatú programok kihasználják, a korábbinál sokkal jobban veszélyezteti a szervezeteket" -- mondta Greg Gotta, a Symantec termékszállítási alelnöke. "Az állapottartó tűzfalak csak az információcsomag forrásával foglalkoznak, de nem vizsgálják mélyebben annak tartalmát. Ha a kifelé néző tűzfalakat teljes körű alkalmazás-felügyelő üzemmódban használják, az információcsomagok tartalmának vizsgálatával mód van a rendellenes tevékenység felismerésére és a további támadások megelőzésére."
A Symantec teljes körű alkalmazás-felügyelő tűzfalai az alacsonyabb rétegek mellett az alkalmazások rétegét is magában foglaló, fokozott védelmet nyújtanak. Az egyes alkalmazások rendellenes módon történő használatának megkísérlésekor a Symantec Enterprise Firewall, a Symantec VelociRaptor és a Symantec Gateway Security felismeri és alapértelmezés szerint megakadályozza azt.
2003. március 3-án egy kívülről kihasználható sebezhető pontot találtak a Sendmail nevű, igen elterjedten alkalmazott e-mail szerverben. Ez a sérülékenység az SMTP fejlécet elemző részben létrejövő puffer-túlcsordíthatóságban nyilvánul meg. A külső támadók a kiszemelt SMTP szerverhez történő csatlakozással és torz SMTP adat küldésével képesek kihasználni ezt a hibát. Mivel az ilyen támadások megsértik az RFC-kben megállapított paramétereket, nem szükséges megváltoztatni a Symantec teljes körű alkalmazás-felügyelő tűzfalainak beállításait annak érdekében, hogy az ilyen, Sendmail-t érintő támadásokat kivédjék.
A teljes körű alkalmazás-felügyelő eljárás az alkalmazási szinten működő proxy-kkal éri el a vállalati tűzfal legmagasabb szintű védelmét. A forgalomnak az IP- vagy a kapcsolati rétegben történő futólagos megvizsgálása helyett a csomag teljes tartalmát meg lehet vizsgálni a TCP/IP rendszer valamennyi rétegében. Ez sokkal szélesebb körű védelmi jellemzőket biztosít, hiszen így az egyes protokollok külön-külön kerülnek értelmezésre és vizsgálatra. Az állapottartó vagy a hálózati réteget figyelő tűzfalak nem vizsgálják a forgalmat a TCP/IP rendszer valamennyi rétegében, hanem az egyes csomagok fejlécében található információ és nem a csomag tartalma alapján döntenek annak további sorsáról.