Автор |
Сообщение |
Fedia
Супермодератор
Зарегистрирован: 01 окт 2008, 12:24 Сообщения: 4434
|
Вы — суперадминистратор распределённой сети. В одной из ваших подсетей шутники-администраторы повадились рассылать по сети через протокол телнет призыв саботировать работу и придаться пьянству. Это вопиющее безобразие делается так: все администраторы, работающие в данный момент, подключены к терминальному серверу с адресом (хххх). Шутник, туда же подключенный, рассылает по некоторым активным сессиям кодовое слово BUHAEM. Ваша задача отловить попытки саботажа и разорвать телнет сессии!
|
17 окт 2008, 17:58 |
|
|
Fedia
Супермодератор
Зарегистрирован: 01 окт 2008, 12:24 Сообщения: 4434
|
По замыслу требовалось: 1. Определить, в каком направлении будет идти сообщение BUHAEM (оно будет идти ОТ сервиса) 2. Создать пользовательскую сигнатуру типа STRING с REGEX=BUHAEM от 23 порта 3. Указать в качестве действия deny connection inline и alert verbose
|
25 окт 2008, 21:42 |
|
|
anod
Зарегистрирован: 29 июл 2009, 10:21 Сообщения: 42 Откуда: Киев
|
А если админ-диверсант для пускания призыва к саботажу тоже использует телнет, то можно его отловить и наказать: 1. Сообщение BUHAEM будет идти К сервису. 2. Создать пользовательскую сигнатуру движка STRING TCP с REGEX=BUHAEM к 23 порту. 3. Указать в качестве действия deny attacker inline :) и alert verbose. Потом смотрим заблокированных чувачков, определяем, где он сейчас сидит, берем секьюрный девайс типа "паяльник", навещаем шутника, изымаем спиртные напитки и потребляем их уже в своем коллективе :)
|
29 июл 2009, 11:22 |
|
|
Hando
Зарегистрирован: 21 июл 2009, 13:59 Сообщения: 565 Откуда: Moscow
|
При сообщение от админа к сереверу ips не сможет по regexpу поимать BUHAEM ибо сообщение пойдет пакетами B U H A E M
|
30 сен 2009, 09:11 |
|
|
Fedia
Супермодератор
Зарегистрирован: 01 окт 2008, 12:24 Сообщения: 4434
|
Почему? Как раз идея в том, что мы создаем СТРИМовую сигнатуру и будем ловить и складывать в буфер все пакеты, относящиеся к этой сессии. До кучи там будем делать antievasion (чтобы всякий управляющий мусор не учитывать) и как только соберем требуемый паттерн - порвём сессию
|
30 сен 2009, 10:20 |
|
|
Hando
Зарегистрирован: 21 июл 2009, 13:59 Сообщения: 565 Откуда: Moscow
|
Хм, каюсь, с IPS опыта мало, пойду читать :) мне казалось просто что IPS умеет только фрагментированые пакеты собирать и по ним смотреть, а сессию сканить не умеет.
|
30 сен 2009, 10:27 |
|
|
Hando
Зарегистрирован: 21 июл 2009, 13:59 Сообщения: 565 Откуда: Moscow
|
long story short: IOSный IPS stream делать не умеет :) так же, почемуто, нет возможности делать custom sig через CLI ( только тюнить ). Надо где неть терь полноценный IPS найти-поиграться :)
|
30 сен 2009, 11:31 |
|
|
Hando
Зарегистрирован: 21 июл 2009, 13:59 Сообщения: 565 Откуда: Moscow
|
Чет я туплю: а где тут ставится, что б не в одном пакете regexp искался, а во многих ? (выше описанный поиск по буферу сессии)
ps: why "Расширение png запрещено администратором." ?
Вложения:
Комментарий к файлу: custom string tcp signature
ips_signature_tcp.JPG [ 97.57 КБ | Просмотров: 41407 ]
|
24 дек 2009, 01:08 |
|
|
Hando
Зарегистрирован: 21 июл 2009, 13:59 Сообщения: 565 Откуда: Moscow
|
ips версии 6.0 (пойду cisco.com читать, может в 6.0 его этому еще не научили)
|
24 дек 2009, 01:09 |
|
|
Hando
Зарегистрирован: 21 июл 2009, 13:59 Сообщения: 565 Откуда: Moscow
|
вопрос остается открытым: после 30минутного просмотра ( 1.48, завтра на работу :) , так что больше смотреть сегодня не буду ) cisco.com выдал следующий маркетингбулшит: " Anti-IPS evasion techniques-Provides traffic normalization, IP defragmentation, TCP stream reassembly, and deobfuscation for comprehensive protection against hackers attempting to evade IPSs. "
Более менее ( хотя тоже 2-3 строки, а не детальное описание как работает ) объяснение этих техник выдало:
"The Normalizer engine deals with IP fragment reassembly. Intentional or unintentional fragmentation of IP datagrams can hide exploits making them difficult or impossible to detect. " - соотв тут собираем пакет, а не tcp stream .
tcp stream reassembly - чет найти ща не могу, но смысл то, что track'ем сиквенс набры и например через ips прогоняем пакеты, если для них удачно прошел 3-way hs. ( Cumulative Statistics for the TCP Stream Reassembly Unit since reset TCP streams that have been tracked since last reset = 0 TCP streams that had a gap in the sequence jumped = 0 TCP streams that was abandoned due to a gap in the sequence = 0 TCP packets that arrived out of sequence order for their stream = 0 TCP packets that arrived out of state order for their stream = 0 The rate of TCP connections tracked per second since reset = 0 ) никакого упоминания про то, что можно делать regexp не по одному пакету, а по stream я чет не нашел :(
|
24 дек 2009, 01:56 |
|
|
Fedia
Супермодератор
Зарегистрирован: 01 окт 2008, 12:24 Сообщения: 4434
|
Вообще stream должен собирать в потоке. Но может ты не в том Engine делаешь сигнатуру? (а мож я ошибся в описании)
Должно быть String.TCP
|
24 дек 2009, 16:18 |
|
|
Hando
Зарегистрирован: 21 июл 2009, 13:59 Сообщения: 565 Откуда: Moscow
|
В string.tcp (картинка чуть выше) делаю, но в idm говорит, что regexpit' будет ток по одному пакету. Во общем будем завтра тестить.
|
24 дек 2009, 20:06 |
|
|
Hando
Зарегистрирован: 21 июл 2009, 13:59 Сообщения: 565 Откуда: Moscow
|
# Configure TCP stream reassembly
You can configure the sensor to monitor only TCP sessions that have been established by a complete three-way handshake. You can also configure how long to wait for the handshake to complete, and how long to keep monitoring a connection where no more packets have been seen. The goal is to prevent the sensor from creating alerts where a valid TCP session has not been established. There are known attacks against sensors that try to get the sensor to generate alerts by simply replaying pieces of an attack. The TCP session reassembly feature helps to mitigate these types of attacks against the sensor. You first choose the method the sensor will use to perform TCP stream reassembly (see Configuring TCP Stream Reassembly Parameters), then you can tune TCP stream reassembly signatures, which are part of the Normalizer engine (see Tuning a TCP Stream Reassembly Signature). (c) help from IDM
Вот отсюда я взял что tcp stream reasebly отвечает только за seq и тп. Normalizer engine - отвечает за адекватность tcp сессий (дип чтоб в syn не было data, или не приходили data пакеты после fin и тп) Никаких упоменаний, что данная хрень собирает regexp в нескольких пакетах я не увидел. Кароче без теста тут не разобраться :Р
|
24 дек 2009, 20:27 |
|
|
Fedia
Супермодератор
Зарегистрирован: 01 окт 2008, 12:24 Сообщения: 4434
|
Тогда до теста тебе придётся поверить на слово ЗЫ Телнет, как ты конечно знаешь, производит срез за 1 мс буфера клавиатуры. Значит вводятся и передаются отдельные буковки. Однако, тестовая сигнатура в известной тебе компании (на 50 сенсорах) (ключевое слово attack в телнете) проходит. Какая то странная у тебя подсказка выплыла, что регексп ищется в одном пакете ... Вот это странно.
|
25 дек 2009, 00:12 |
|
|
Hando
Зарегистрирован: 21 июл 2009, 13:59 Сообщения: 565 Откуда: Moscow
|
чет незахотел ips ips'ить через виртуалку. Так что тест пока откладывается :)
|
25 дек 2009, 16:52 |
|
|