Az IDS-ek és nagyobb testvéreik, a hangzatosan Integrált Határvédelmi Megoldásként aposztrofált IDS/IPS/spamszűrő/tűzfal/stb. rendszerek meglehetős népszerűségnek örvendenek, viszont a gyakorlatban, éles környezetben történő működés közben látott rendszerek legtöbbje sajnos nem képes hozni azt, amit várnak tőle - a legtöbb esetben azért, mert egész egyszerűen nem nyúlnak az eszközök default beállításaihoz.
Nemrég viszont találkoztunk olyan beállítással, ami leginkább agresszivitásával tűnik ki a gyakorlatban látott megoldások közül: az IDS rendszer in-line módon történt bekötésre a szerveres alhálózat átjárója elé, és azt a policyt alkalmazta, hogy támadás érzékelése esetén riasztotta az üzemeltetőket és kérdés nélkül blokkolta a "támadó" IP-címét meghatározott ideig tarpitting üzemmódban: az első két kapcsolati kérést azonnal továbbította, a harmadikat csak kis késleltetéssel, a negyediket nagyobbal stb., azaz előbb-utóbb valahol timeoutra fut a dolog a támadó részéről.
A rendszer másik beállítása a "we are under attack"-funkció volt, azaz ha az azonos hálózati szegmensből érkező támadások (pl. egy Internet-szolgáltató tartománya) száma időegység alatt elért egy bizonyos szintet, az egész tartományra vonatkozó policy-t rávezette egy DROP actionre - azaz lényegében letiltott minden forgalmazást az érintett tartományra.
A fenti beállításban az a félelmetes, hogy ennél hatékonyabban semmilyen támadó nem lenne képes megakadályozni, hogy a szerveres alhálózatba adatokat küldjenek az internet felől: a támadó egészen egyszerűen port scant indít az IDS "mögötti" hálózat valamely hosztja felé (nmap -D kapcslóval), a forrás IP-t pedig például a default gw IP-címére állítja, ez pedig traceroute-ből elég könnyen megtudható. Alkalmasint használható SYN flood is erre a célra, sok eszközön megadható a kiokádott csomagok fejlécébe hazudandó cím is.
További érdekes játékra ad lehetőséget az, hogy a belső felhasználói postafiókokat kiszolgáló belső Exchange cluster is a "védett" hálózaton üzemel, emiatt ha a támadó egy SMTP-szerver IP-címét hamisítja be a "from" IP-fejlécbe, rövid idő alatt lebéníthatja a cég bejövő levélforgalmát.
Nemrégiben írtunk arról, hogy mennyire veszélyes, ha a hálózatbiztonsági eszközök beállításaihoz nem nyúlnak hozzá üzembe helyezéskor - a fenti történet pont az ellenkező végletet jelenti, amikor az üzemeltetői paranoia a hálózat biztonságának rovására megy. Sokkal hatékonyabb és jobb megoldást jelent az, ha az IDS-szenzorok elrendezését és az IDS által megvalósított policyt hálózatra és fenyegetésre szabják - lehetőleg kockázatelemzés alapján, amiből kiesik, milyen támadások és kiesések jelenti a legnagyobb üzleti kárt.
2009. május 18., hétfő
Feliratkozás:
Megjegyzések küldése (Atom)
Nincsenek megjegyzések:
Megjegyzés küldése
Kommentek