Home Page | Skip to Navigation | Skip to Content | Skip to Search | Skip to Footer

NGX 新機能情報:SmartDefense

 
Check Point NGX プラットフォーム
NGX 情報センター
トップ10の理由
NGX 新機能情報
NGX FAQ
アップグレード
NGX の評価

NGX プラットフォームは、25種類以上のチェック・ポイント製品に対し、数百にも及ぶ重要な新機能、拡張機能、機能改良を提供することにより、業界で最も多くの種類のネットワークおよびアプリケーションを保護できる強固かつインテリジェントなセキュリティ管理環境を実現します。NGX プラットフォームはさらに、ネットワーク・セキュリティで最も重要とされる4つのレイヤ、すなわち境界、内部、Web、およびエンドポイントのすべてを統一的に管理することを可能にします。シンプルで強力な管理機能により、複雑なネットワークであっても少ないリソースで効率的に管理できるので、TCO の削減も可能になります。

ここでは、NGX プラットフォームの特定の機能と、お使いのチェック・ポイント製品を NGX プラットフォームにアップグレードするメリットについて説明します。是非 NGX プラットフォームへのアップグレードをご検討ください。

新機能情報を製品別に表示

 
 
SmartDefense
[SmartDefense Services]タブ
  • SmartDashboardに、[SmartDefense Services]という新しいタブが追加されました。このタブにより、すべての製品を単一のコンソールからアップデートすることを可能にするユニバーサル・アップデータビリティが実現されます。

    このタブには、次のビューが用意されています。

    • [Download Updates]ビュー
    • [Advisories]ビュー
    • [Security Best Practices]ビュー

     
悪意ある脅威に対する強化されたセキュリティと防御機能
  • 次の Web ベースの攻撃をブロックする新しい防御機能が追加されました。
    • ディレクトリ・リスティング
    • LDAP インジェクション
    • Web サーバのエラー・メッセージを故意に Web ブラウザに出力させる攻撃(この攻撃は、Error Concealment と呼ばれる機能によってブロックされます)
  • Web Intelligence の防御機能でブロックする攻撃の振る舞いパターンをユーザが定義できるようになりました。振る舞いパターンを定義できるのは、クロスサイト・スクリプティング、SQLインジェクション、およびコマンド・インジェクションです。
  • SPARC プロセッサ上で Malicious Code Protector がサポートされるようになりました。
  • 特定の Web サーバのみすべての防御機能をmモードで動作させ、それ以外の Web サーバについては防御機能を有効なままにしておくことができるようになりました。
  • HTTP メソッドのスキームを Web サーバごとに設定できるようになりました。
  • サーバ・ベースのセキュリティ・ポリシー構成が拡張され、SmartDefense に完全に統合されました。これにより、SmartDefense のグローバル・ビューで防御機能の構成を簡単かつきめ細かに行うことが可能になります。
[SmartDefense Services]タブ
  • SmartDashboardに、[SmartDefense Services]という新しいタブが追加されました。このタブにより、すべての製品を単一のコンソールからアップデートすることを可能にするユニバーサル・アップデータビリティが実現されます。

このタブには、次のビューが用意されています。

  • [Download Updates]ビュー
  • [Advisories]ビュー
  • [Security Best Practices]ビュー
[Download Updates]ビュー
  • このビューには、利用可能なアップデートとダウンロード済みのアップデートに関する情報が製品ごとに表示されます。テーブルの各エントリはアップデート・パッケージを示します。次に例を示します。

    VPN-1 NGX R61: 次のネットワーク・オブジェクトに対する SmartDefense アップデートおよびWeb Intelligence アップデートを示します。

    • VPN-1 Power(VPN-1 Pro) / VPN-1 UTM(Check Point Express / Express CI)ゲートウェイ
    • VPN-1 Power(VPN-1 Pro) / VPN-1 UTM(Check Point Express / Express CI)クラスタ
    • UTM-1 Edge(VPN-1 Edge)アプライアンス
    • VPN-1 Power VSX ゲートウェイ
    • VPN-1 Power VSX クラスタ

    InterSpect 1.x and 2.0: 集中管理されている InterSpect ゲートウェイ(バージョン1.0、1.1、1.5、および2.0)に対する SmartDefense アップデートおよび Web Intelligence アップデートを示します。このエントリは、該当するゲートウェイが SmartDashboard に定義されている場合にのみ表示されます。

    InterSpect NGX: 集中管理されている InterSpect ゲートウェイ(NGXバージョン)に対するSmartDefense アップデートおよび Web Intelligence アップデートを示します。このエントリは、該当するゲートウェイが SmartDashboard に定義されている場合にのみ表示されます。

    Connectra 2.0: 集中管理されている Connectra ゲートウェイ(バージョン2.0)に対するSmartDefense アップデートおよび Web Intelligence アップデートを示します。このエントリは、該当するゲートウェイが SmartDashboard に定義されている場合にのみ表示されます。

    Connectra NGX: 集中管理されている Connectra ゲートウェイ(NGXバージョン)に対する SmartDefense アップデートおよび Web Intelligence アップデートを示します。このエントリは、該当するゲートウェイが SmartDashboard に定義されている場合にのみ表示されます。

    VPN-1 UTM(Check Point Express / Express CI): アンチウイルス機能がインストールされているゲートウェイに対する手動のシグネチャ・アップデートを示します。この機能を利用するには、[General]ページの[Check Point Products]リストで[AntiVirus]がチェックされている必要があります。このエントリは、該当するゲートウェイが SmartDashboard に定義されている場合にのみ表示されます。

    UTM-1 Edge(VPN-1 Edge): アンチウイルス機能がインストールされている VPN-1 Edge ゲートウェイに対する手動のシグネチャ・アップデートを示します。これらの定義は、[Gateway Properties]ウィンドウの[Content Filtering]タブで行います。このエントリは、該当するゲートウェイが SmartDashboard に定義されている場合にのみ表示されます。

    これらの各エントリには、次のカラムがあります。

  • [Last downloaded update]カラム:このカラムには、現在 SmartCenter にダウンロードされているアップデートが表示されます。リンクをクリックすると、現在インストールされているアップデートの概要が表示されます(CIエントリについては、この情報は表示されません)。
  • [Available new update]カラム: このカラムには、Download Center にある、利用可能な最新のアップデートが表示されます。リンクをクリックすると、最新のアップデートの概要が表示されます(CIエントリについては、この情報は表示されません)。
  • [Deployment Status]カラム: このカラムには、各ゲートウェイにインストールされているアップデートのバージョンと、ゲートウェイのステータスが表示されます。ステータスの種類は次のとおりです。
    • Up to date: ゲートウェイに最新のアップデートがインストールされています。
    • Out of date: ゲートウェイに最新のアップデートがインストールされていません。
    • Not available: ゲートウェイに現在アップデートがインストールされていません。
[Advisories]ビュー
  • このビューには、チェック・ポイント製品や SmartDefense アップデートによって提供される防御機能を有効化および構成するための詳細情報や手順説明が表示されます。このビューには、次の2つのモードがあります。
    • ユーザがユーザ・センターにログインしていない場合は、[Check Point Reference]カラムをクリックすると、脆弱性に関する説明が表示されます。
    • ユーザがページ上部にある[Log in to UserCenter]リンクからユーザ・センターにログイン済みである場合は、説明されている攻撃への対策を講じるための詳細な手順が表示されます。
[Security Best Practices]ビュー
  • このビューには、チェック・ポイントが提供する、セキュリティについての最新の推奨事項をまとめた概要情報が表示されます。このビューにも、[Advisories]ビューと同じ2つのモードがあります。
Web Intelligence

モニタ専用モード

  • 新機能の多くには、モニタ専用モードが用意されています。モニタ専用モードで動作している機能は、トラフィックはブロックせずにログの生成だけを行います。このモードは、システム移行時に顧客のサイトで初めて機能を有効にする場合や、導入段階で構成上の問題がないかどうかを確認する場合に役立ちます。また、監査用途にも利用できます。

SQLインジェクション

  • VPN-1 Power(VPN-1 Pro)は、URL またはリクエスト・ボディに SQL コマンドを含む HTTP リクエストを受け付けません。攻撃者は、悪意あるコマンドをリクエストに挿入し、Web アプリケーションの欠陥を利用してこのコマンドを実行させようとします。このコマンドがアプリケーションのデータベースに対して直接実行された場合、データが破壊されたり、情報漏洩が発生したりする可能性があります。この攻撃に対する防御機能には、低、中、高という3つのレベルがあります。 SmartDashboard でスライダを動かしてモードを変更すると、それに合わせて各レベルの定義が表示されます。

シェル・コマンド・インジェクション

  • VPN-1 Power(VPN-1 Pro)は、URLまたはリクエスト・ボディにシェル・コマンドを含む HTTP リクエストを受け付けません。攻撃者は、悪意あるコマンドをリクエストに挿入し、スクリプティング・エンジンの欠陥を利用してこのコマンドを直接ホスト上で実行させようとします。この攻撃に対する防御機能には、低、中、高という 3つのレベルがあります。SmartDashboard でスライダを動かしてモードを変更すると、それに合わせて各レベルの定義が表示されます。

クロスサイト・スクリプティング

  • VPN-1 Power(VPN-1 Pro)は、スクリプティング・コードを含むPOSTコマンドで送信された HTTP リクエストを受け付けません。攻撃者は、URL の内部やフォームでスクリプティング・コマンドを使用してユーザの ID 情報を盗み出そうとします。この方法で情報が盗み出されても、管理者やユーザがそのことに気付きにくいという点で、この攻撃は潜在的な危険性が特に高いと言えます。Web サーバに送信されるデータは、URL の一部としてエンコードされている場合がありますが、 VPN-1 Power(VPN-1 Pro)は、このようなデータについても中身を理解することができます。スクリプティング・コードを含むリクエストに関しては、コード部分だけが除去されるのではなく、リクエスト全体が拒否されます。この攻撃に対する防御機能には、低、中、高という3つのレベルがあります。

ディレクトリ・トラバーサル攻撃

  • ディレクトリ・トラバーサル攻撃が成功した場合、ハッカーは、本来はアクセスが禁止されているはずのファイルやディレクトリにアクセスできるようになります。この種の攻撃が可能な場合、その多くでは、簡単な URL で Web サーバ上の実行可能コードが実行できてしまいます。この種の攻撃のほとんどは、ファイル・システムにおける「..」という表記法を利用しています。VPN-1 Power(VPN-1 Pro)は、URLに不正なディレクトリ要求を含むリクエストをブロックします。例えば、http://www.server.com/first/second/../../..という URL は、ルート・ディレクトリよりも上位のディレクトリに移動しようとしているため、不正であると見なされます。http://www.server.com/first/second/../ は、http://www.server.com/first/ と同じ意味であるため不正とは見なされません。VPN-1 Power(VPN-1 Pro)は、Unicode と % エンコーディングでエンコードされた URL に対しても、同じ機能をサポートしています。

HTTPフォーマット・サイズ

  • HTTP リクエスト/レスポンス内の各要素のサイズには特に制限がないため、これらを利用して Web サーバに対する DoS 攻撃を行うことが可能です。また、バッファ・オーバーフロー攻撃の多くでは、極めて大きなバッファを Web サーバに送りつける必要があります。したがって、これらのバッファのサイズを制限することが有効なセキュリティ対策となります。これは、バッファがあふれる可能性を低くすると同時に、攻撃者がオーバーフローを利用して実行させることを狙ったコードのサイズに制限を課すことにもつながります。この攻撃に対する防御機能では、次の要素に制限を設けることが可能です。
    • URL の最大長
    • ヘッダの最大長
    • ヘッダの最大数
    • 特定ヘッダの長さ(正規表現を使用してヘッダ名と値を指定可能)

    最大長は、SmartDefense を使用して調整できます。

非ASCII文字によるリクエストのブロック

  • VPN-1 Power(VPN-1 Pro)は、HTTP リクエスト/レスポンス・ヘッダに含まれる非 ASCII 文字(32-127)をブロックします。HTTP ヘッダ内でのバイナリ文字の使用は HTTP の RFC では認められていないという理由だけでなく、実行可能コードやバッファオーバー・フローを利用した攻撃の多くはバイナリ文字を必要とするという事実からも、これらをブロックすることはセキュリティ対策として有効であると言えます。この攻撃に対する防御機能は、 SmartDefense の[ASCII Only Request]ウィンドウの[Request\Response Headers]セクションでチューニングできます。

使用できるHTTPメソッドの制限

  • HTTP の RFC では、標準のHTTPメソッドの制限セット(GET、PUT、HEAD、POST)を使用することが認められています。標準でないメソッドの多くはセキュリティに多くの問題を抱えているため、デフォルトではブロックされます。WebDAV メソッドもデフォルトでブロックされますが、グループとして、または個別に追加することが可能です。デフォルトでブロックされるその他のメソッドも、個別に追加することができます。

ヘッダの拒否

  • Web サーバや Web アプリケーションは、URL だけでなく、それ以外の HTTP ヘッダ・データも解析します。解析が適切に行われない場合、バッファオーバー・フロー攻撃やその他の脆弱性を狙った攻撃を受ける可能性があります。これらの攻撃に関しては、例えそれらが RFC に準拠していたとしても、正規表現を用いて定義したシグネチャによってブロックすることができます。

HTTPヘッダ・スプーフィング

  • 攻撃者は、Web サイトを攻撃する前にまずそのフィンガープリントを収集しようとします。つまり、ターゲットの Web サーバに関する情報をできるだけ多く集めるために、その Web サーバのレスポンスを分析します。レスポンスに含まれる情報の中には、不必要なものも存在します。この攻撃に対する防御機能では、該当するヘッダを削除またはその値を変更することによって、この種の情報をレスポンスから取り除きます。対象とするヘッダは、ヘッダ名と値を表す正規表現を使用して追加できます。また各ヘッダは、SmartDefense から除去(削除)または置換することができます。
関連情報

SmartDefense サービス製品ページ
 

NGX プラットフォームには、これらの重要な新機能の他に、NGX プラットフォームでしか利用できない数百の機能が用意されています。是非 NGX へのアップグレードをご検討ください。NGX アップグレード・キットは、こちら からご注文いただけます。