Gli aggressori possono sfruttare un sito SSL per "nascondere" gli attacchi da un IPS?

2

Sto eseguendo un IDS all'esterno del mio firewall (non so l'ideale) e un IDS all'interno della mia LAN che esegue gli stessi algoritmi e definizioni di rilevamento. Il mio sito web reindirizza automaticamente tutte le richieste HTTP a HTTPS. Il mio ID rileva frequentemente scansioni nmap, attività di scansione OpenVAS, tentativi di iniezione di codice variabile GNU Bash Environment, ecc. All'interno della mia LAN che non sono visti o bloccati dal mio IPS all'esterno della mia rete. Presumo che questo sia dovuto al fatto che questi attacchi vengono crittografati usando il mio SSL e dato che il mio IPS all'esterno non ospita i miei certificati SSL, non può vedere questi attacchi. Il traffico viene decodificato sulla mia LAN da un servizio di bilanciamento del carico che ospita gli SSL prima di passare il traffico ai server IIS e questo è dove l'IDS rileva gli attacchi.

La mia unica conclusione basata sulla mancanza di rilevamento di questi attacchi è che i pacchetti stanno entrando nella nostra rete crittografati con i nostri certificati SSL ed è quindi "invisibile" all'IPS.

È possibile, o forse anche comune, che questi tentativi di exploit utilizzino i certificati SSL di un target per evitare il rilevamento?

    
posta CptnKeith 20.07.2016 - 21:04
fonte

3 risposte

2

Sì, si tratta di un problema noto, è inoltre possibile instradare tutti i tipi di attacchi ai server tramite una varietà di protocolli crittografati usando i proxy lato client SSL / TLS o altri servizi lato client solo per rendere più facili gli attacchi. Questo crea una situazione in cui su alcune reti gli attacchi contro un listener http non sarebbero efficaci (rilevati / bloccati da un controllo di sicurezza) ma l'attacco del listener https equivalente sarebbe molto efficace perché non sarebbe rilevato / bloccato. In alcuni casi ignorerai anche altri controlli di sicurezza come le capacità di ispezione del firewall.

Allo stesso modo gli attaccanti possono avere più successo attaccando cose come daemon SSH, VPN o servizi crittografati SSL / TLS come server di posta per lo stesso motivo.

Nota: puoi anche aggiungere funzionalità di decodifica al tuo IDS / IPS, o altro dispositivo, o semplicemente cambiarne il posizionamento architettonico per far fronte a questo problema. alcuni dispositivi terminano anche la sessione SSL, ispezionano quindi creano una nuova sessione SSL al server. Ci sono molti modi per aggirare questo problema come difensore e sì, hai scoperto il problema di prima mano.

    
risposta data 20.07.2016 - 22:15
fonte
0

Sembra che tu disponga già di un Load Balancer che ospita il certificato per conto dei tuoi server Web in modo che l'SSL in entrata possa essere ispezionato dopo che sono stati decifrati. Il tuo bilanciamento del carico dovrebbe avere un'interfaccia pubblica per decodificare il tuo certificato SSL in modo che l'IPS possa ispezionare.

Tuttavia, in uscita, i tuoi clienti si connettono direttamente a un sito Web pubblico che potrebbe essere dannoso. In questo caso, non è possibile decodificare questo traffico per cercare firme dannose dal tuo IPS.

Uno dei modi per scoraggiare tali minacce Web in ingresso è la prevenzione. E può essere fatto attraverso il filtraggio degli URL e l'intelligenza IP seguito da un'ultima linea di difesa con il software di protezione del punto finale.

    
risposta data 21.07.2016 - 08:44
fonte
0

La protezione del punto finale potrebbe non essere sufficiente ed è spesso vista come un'ultima linea di Difesa.

Hai bisogno di una soluzione WAF sì.

Posso chiedere specificamente quali sfide di routing ci si trova nella stessa sottorete? Problema del gateway predefinito che potrebbe restituire il traffico di ritorno lontano da un LB o IPS?

Per ridurre al minimo l'impatto di così tante appliance di rete, puoi scegliere le soluzioni WAF, LB, Firewall, IPS che si trovano su una singola appliance come F5. Se sei a causa di un aggiornamento tecnico puoi prenderlo in considerazione.

Conosco un'azienda che utilizza F5 per ospitare quasi tutte le soluzioni di rete. Molto raro, ma suppongo che abbiano un serio vincolo di budget.

    
risposta data 22.07.2016 - 00:01
fonte

Leggi altre domande sui tag