Un mese fa, Stonesoft (un costruttore IDS della Finlandia) ha lanciato un avviso su Advanced Evasion Techniques.
Con queste tecniche, affermano di essere in grado di lanciare attacchi su una rete senza essere rilevati e bloccati dall'IDS.
Questo thread è reale oppure è solo una campagna pubblicitaria?
Tutti i dettagli possono essere trovati nel sito web sviluppato da StoneSoft (http://www.antievasion.com/)
Punto vendita da Stonesoft. Ho visto l'intero video e, come ha detto AviD, l'evasione di IDS è reale e nuovi modi di evadere vengono fuori continuamente.
Probabilmente questi ragazzi hanno trovato una nuova tecnica di evasione che stanno ora commercializzando.
Per rispondere alla tua domanda, credo che abbiano trovato una tecnica di evasione che non è ancora stata scoperta dai più comuni venditori di IPS / IDS. Tuttavia, non ci vorrà molto tempo prima che questa tecnica sia nota al pubblico e tutti i principali fornitori lo correggano.
Non so in modo specifico su Stonesoft, ma non solo l'evasione di IDS è reale, non è nemmeno una novità.
Ci sono stati un numero qualsiasi di tecniche, vettori e attacchi per eludere l'IDS - e in realtà qualsiasi meccanismo di filtraggio della rete - che datano almeno indietro di una dozzina di anni al classico lavoro di RainForestPuppy sui meccanismi di evasione. Nuove tecniche escono continuamente.
Risposta breve: se ti affidi a IDS / IPS per proteggere i tuoi sistemi, la preoccupazione potrebbe essere appropriata. NOTA: dovresti mai fare affidamento su IDS / IPS per proteggere i tuoi sistemi.
Queste tecniche sono correlate all'evasione di IDS / IPS e non incidono su altri meccanismi di protezione. I servizi esposti devono essere aggiornati sulle patch del software e disporre di configurazioni il più restrittive possibile. I servizi che non devono essere esposti devono essere limitati all'ascolto su localhost o protetti dagli ACL del firewall o del router. La capacità di eludere il tuo IDS / IPS è irrilevante se i tuoi servizi non sono raggiungibili o se non hai vulnerabilità esposte.
Il loro agente di PR presso link dice "La cosa interessante è che la maggior parte dei venditori non ha prese seriamente le evasioni e i motori di normalizzazione IPS non sono all'altezza del compito di gestire le permutazioni. " Questa è una bandiera rossa per me come un documento su Arxiv.org che dice di aver trovato qualcosa che Einstein ha trascurato.
Snort, come esempio di spicco, ha diverse possibilità per gestire le tecniche di evasione: il preprocessore frag3 riassembla i pacchetti ip frammentati, tenendo conto delle politiche sull'host di destinazione, per prevenire le evasioni usando fragroute. Il preprocessore del flusso riassembla i flussi tcp in modo analogo. Le tecniche di evasione di Stonesoft, se sono in realtà nuove, saranno integrate a loro volta.