Come può un IPS \ IDS rilevare gli attacchi di SQLi \ XSS (o di altri livelli applicativi)?

5

Ho pensato a come funziona un IPS e, per quanto ne so, ispeziona i pacchetti sul livello TCP \ IP.

Come può rilevare attacchi a livelli più alti senza danneggiare l'esperienza dell'utente? In che modo risponde al fatto che c'è una perdita di informazioni e di ritrasmissioni?

Alla fine, potrebbe esserci una lunga richiesta che si divide su alcuni pacchetti TCP. Costruisce le informazioni e quindi esegue un controllo sulla richiesta?

Vorrei sapere cosa succede dal livello di rete e in avanti.

Grazie.

    
posta YSY 08.01.2012 - 09:31
fonte

2 risposte

5

Un IPS esegue lo stesso rimontaggio TCP degli stack su entrambe le estremità.

Le ritrasmissioni non sono un problema. Quando un buco appare nel traffico (a causa di un pacchetto perso), l'IPS inoltra i pacchetti dopo quel buco, ma ne conserva anche una copia. Poiché sta inoltrando questi pacchetti, non c'è alcuna perdita nell'esperienza utente.

Quando il pacchetto ritrasmesso riempie l'intero (completando il puzzle), l'IPS quindi analizza tutti i pacchetti memorizzati in ordine. Combina questi in un singolo flusso, quindi le richieste divise tra pacchetti non sono un problema. Se uno qualsiasi di questi pacchetti attiva una firma, l'IPS blocca il pacchetto ritrasmesso e uccide la connessione TCP con i pacchetti RST. Ciò ha indotto la vittima di destinazione a rilasciare i frammenti dopo il buco che stava facendo il buffering.

Quindi, i pacchetti attraversano l'IPS con una latenza essenzialmente zero, ma allo stesso tempo, il TCP viene riassemblato senza problemi.

Nell'ultimo decennio, gli hacker hanno sviluppato metodi per attaccare questo sistema, come la ritrasmissione di segmenti TCP con dati diversi. Allo stesso modo, i fornitori IPS hanno sviluppato una difesa, ad esempio abbinando i loro algoritmi di riassemblaggio al sistema di destinazione in modo che possa scegliere il segmento corretto da analizzare.

Si noti inoltre che l'IPS esegue anche l'elaborazione HTTP completa. Esistono anche modi per corrompere le richieste HTTP al fine di eludere l'IPS, che i fornitori di IPS difendono.

Il risultato è che un IPS introduce solo circa 100 microsecondi (o 0,1 millisecondi) di latenza alle richieste web, mentre continua a gestire cose come il riassemblaggio di TCP senza alcun problema.

    
risposta data 09.01.2012 - 05:06
fonte
4

Penso che quello che stai cercando sia un Web Application Firewall (WAF) [OWASP parla di questo qui] IPS \ IDS lavora più in basso nello stack per esaminare il flusso di traffico anziché quello che viene passato al livello dell'applicazione.

WAF funziona a un livello superiore nello stack per filtrare le conversazioni che soddisfano i pattern ritenuti dannosi, inclusi SQLi e XSS.

Negli ambienti * nix, c'è ModSecurity che è standard. Esistono diversi dispositivi commerciali disponibili anche da Cisco, Checkpoint, F5, Fortinet, SonicWall, ecc.

    
risposta data 08.01.2012 - 22:37
fonte

Leggi altre domande sui tag