Сообщения без ответов | Активные темы Текущее время: 28 мар 2024, 18:43



Ответить на тему  [ Сообщений: 15 ] 
Задача для IPS: разорвать сессию 
Автор Сообщение
Супермодератор

Зарегистрирован: 01 окт 2008, 12:24
Сообщения: 4434
Вы — суперадминистратор распределённой сети. В одной из ваших подсетей шутники-администраторы повадились рассылать по сети через протокол телнет призыв саботировать работу и придаться пьянству. Это вопиющее безобразие делается так: все администраторы, работающие в данный момент, подключены к терминальному серверу с адресом (хххх). Шутник, туда же подключенный, рассылает по некоторым активным сессиям кодовое слово BUHAEM. Ваша задача отловить попытки саботажа и разорвать телнет сессии!


17 окт 2008, 17:58
Профиль
Супермодератор

Зарегистрирован: 01 окт 2008, 12:24
Сообщения: 4434
По замыслу требовалось:
1. Определить, в каком направлении будет идти сообщение BUHAEM (оно будет идти ОТ сервиса)
2. Создать пользовательскую сигнатуру типа STRING с REGEX=BUHAEM от 23 порта
3. Указать в качестве действия deny connection inline и alert verbose


25 окт 2008, 21:42
Профиль

Зарегистрирован: 29 июл 2009, 10:21
Сообщения: 42
Откуда: Киев
А если админ-диверсант для пускания призыва к саботажу тоже использует телнет, то можно его отловить и наказать:
1. Сообщение BUHAEM будет идти К сервису.
2. Создать пользовательскую сигнатуру движка STRING TCP с REGEX=BUHAEM к 23 порту.
3. Указать в качестве действия deny attacker inline :) и alert verbose.
Потом смотрим заблокированных чувачков, определяем, где он сейчас сидит, берем секьюрный девайс типа "паяльник", навещаем шутника, изымаем спиртные напитки и потребляем их уже в своем коллективе :)


29 июл 2009, 11:22
Профиль

Зарегистрирован: 21 июл 2009, 13:59
Сообщения: 565
Откуда: Moscow
При сообщение от админа к сереверу ips не сможет по regexpу поимать BUHAEM ибо сообщение пойдет пакетами
B
U
H
A
E
M


30 сен 2009, 09:11
Профиль WWW
Супермодератор

Зарегистрирован: 01 окт 2008, 12:24
Сообщения: 4434
Почему? Как раз идея в том, что мы создаем СТРИМовую сигнатуру и будем ловить и складывать в буфер все пакеты, относящиеся к этой сессии. До кучи там будем делать antievasion (чтобы всякий управляющий мусор не учитывать) и как только соберем требуемый паттерн - порвём сессию


30 сен 2009, 10:20
Профиль

Зарегистрирован: 21 июл 2009, 13:59
Сообщения: 565
Откуда: Moscow
Хм, каюсь, с IPS опыта мало, пойду читать :) мне казалось просто что IPS умеет только фрагментированые пакеты собирать и по ним смотреть, а сессию сканить не умеет.


30 сен 2009, 10:27
Профиль WWW

Зарегистрирован: 21 июл 2009, 13:59
Сообщения: 565
Откуда: Moscow
long story short: IOSный IPS stream делать не умеет :) так же, почемуто, нет возможности делать custom sig через CLI ( только тюнить ). Надо где неть терь полноценный IPS найти-поиграться :)


30 сен 2009, 11:31
Профиль WWW

Зарегистрирован: 21 июл 2009, 13:59
Сообщения: 565
Откуда: Moscow
Чет я туплю: а где тут ставится, что б не в одном пакете regexp искался, а во многих ? (выше описанный поиск по буферу сессии)

ps: why "Расширение png запрещено администратором." ?


Вложения:
Комментарий к файлу: custom string tcp signature
ips_signature_tcp.JPG
ips_signature_tcp.JPG [ 97.57 КБ | Просмотров: 39857 ]
24 дек 2009, 01:08
Профиль WWW

Зарегистрирован: 21 июл 2009, 13:59
Сообщения: 565
Откуда: Moscow
ips версии 6.0 (пойду cisco.com читать, может в 6.0 его этому еще не научили)


24 дек 2009, 01:09
Профиль WWW

Зарегистрирован: 21 июл 2009, 13:59
Сообщения: 565
Откуда: Moscow
вопрос остается открытым: после 30минутного просмотра ( 1.48, завтра на работу :) , так что больше смотреть сегодня не буду )
cisco.com выдал следующий маркетингбулшит:
" Anti-IPS evasion techniques-Provides traffic normalization, IP defragmentation, TCP stream reassembly, and deobfuscation for comprehensive protection against hackers attempting to evade IPSs. "

Более менее ( хотя тоже 2-3 строки, а не детальное описание как работает ) объяснение этих техник выдало:

"The Normalizer engine deals with IP fragment reassembly. Intentional or unintentional fragmentation of IP datagrams can hide exploits making them difficult or impossible to detect. " - соотв тут собираем пакет, а не tcp stream .

tcp stream reassembly - чет найти ща не могу, но смысл то, что track'ем сиквенс набры и например через ips прогоняем пакеты, если для них удачно прошел 3-way hs.
(
Cumulative Statistics for the TCP Stream Reassembly Unit since reset
TCP streams that have been tracked since last reset = 0
TCP streams that had a gap in the sequence jumped = 0
TCP streams that was abandoned due to a gap in the sequence = 0
TCP packets that arrived out of sequence order for their stream = 0
TCP packets that arrived out of state order for their stream = 0
The rate of TCP connections tracked per second since reset = 0
)
никакого упоминания про то, что можно делать regexp не по одному пакету, а по stream я чет не нашел :(


24 дек 2009, 01:56
Профиль WWW
Супермодератор

Зарегистрирован: 01 окт 2008, 12:24
Сообщения: 4434
Вообще stream должен собирать в потоке. Но может ты не в том Engine делаешь сигнатуру? (а мож я ошибся в описании)

Должно быть String.TCP


24 дек 2009, 16:18
Профиль

Зарегистрирован: 21 июл 2009, 13:59
Сообщения: 565
Откуда: Moscow
В string.tcp (картинка чуть выше) делаю, но в idm говорит, что regexpit' будет ток по одному пакету.
Во общем будем завтра тестить.


24 дек 2009, 20:06
Профиль WWW

Зарегистрирован: 21 июл 2009, 13:59
Сообщения: 565
Откуда: Moscow
# Configure TCP stream reassembly

You can configure the sensor to monitor only TCP sessions that have been established by a complete three-way handshake. You can also configure how long to wait for the handshake to complete, and how long to keep monitoring a connection where no more packets have been seen. The goal is to prevent the sensor from creating alerts where a valid TCP session has not been established. There are known attacks against sensors that try to get the sensor to generate alerts by simply replaying pieces of an attack. The TCP session reassembly feature helps to mitigate these types of attacks against the sensor. You first choose the method the sensor will use to perform TCP stream reassembly (see Configuring TCP Stream Reassembly Parameters), then you can tune TCP stream reassembly signatures, which are part of the Normalizer engine (see Tuning a TCP Stream Reassembly Signature).
(c) help from IDM

Вот отсюда я взял что tcp stream reasebly отвечает только за seq и тп. Normalizer engine - отвечает за адекватность tcp сессий (дип чтоб в syn не было data, или не приходили data пакеты после fin и тп) Никаких упоменаний, что данная хрень собирает regexp в нескольких пакетах я не увидел. Кароче без теста тут не разобраться :Р


24 дек 2009, 20:27
Профиль WWW
Супермодератор

Зарегистрирован: 01 окт 2008, 12:24
Сообщения: 4434
Тогда до теста тебе придётся поверить на слово :)

ЗЫ Телнет, как ты конечно знаешь, производит срез за 1 мс буфера клавиатуры. Значит вводятся и передаются отдельные буковки. Однако, тестовая сигнатура в известной тебе компании (на 50 сенсорах) (ключевое слово attack в телнете) проходит. Какая то странная у тебя подсказка выплыла, что регексп ищется в одном пакете ... Вот это странно.


25 дек 2009, 00:12
Профиль

Зарегистрирован: 21 июл 2009, 13:59
Сообщения: 565
Откуда: Moscow
чет незахотел ips ips'ить через виртуалку. Так что тест пока откладывается :)


25 дек 2009, 16:52
Профиль WWW
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 15 ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 6


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB