L'IPS SQL Injection Prevention nel mio firewall è eccessivamente aggressivo?

Naviga le tue risposte
1

Possiedo un firewall con alcune ispezioni dei pacchetti configurate per rilevare gli attacchi SQL Injection. (Dell SonicWall NSA 3500) Esiste una regola (URI di richiesta HTTP con istruzione SQL (IF) 2) che sembra considerare qualsiasi stringa come un attacco se "e" o "o" o alcune altre parole sono in una stringa di query.

Ho un sito web ospitato dietro il firewall. Ha una funzione di ricerca. Un utente digita una frase in una casella di testo e questa stringa viene inviata al server, dove viene analizzata, divisa, massaggiata e compilata in una destinazione di ricerca per individuare le entità nel sistema che hanno contenuto conforme alla richiesta di ricerca immessa da l'utente.

La stringa è pubblicata in una richiesta GET. Se provo a trovare il contenuto con "questo o quello" il firewall vede "OR" e lascia cadere la richiesta, perché a volte puoi scrivere query SQL che hanno "o" in esso, immagino.

Sono in grado di modificare i miei sistemi per risolvere questo problema. Non sono interessato, qui, a trovare modi per far funzionare il mio sistema. Sono, invece, interessato a capire perché la regola è stata inclusa, e se è una buona cosa includere.

È una regola del firewall che dice qualcosa come "qualsiasi stringa di richiesta che abbia qualche parola che possa essere usata per costruire una malvagia dichiarazione SQL ritenuta malvagia, essa stessa" una regola ragionevole?

Salta i marinai

    
posta Robert Harvey 04.01.2017 - 20:44
fonte

2 risposte

4

I sistemi IPS non sono dispositivi plug-and-play, set-and-forget. Devono essere sintonizzati e monitorati costantemente per funzionare efficacemente nel proprio ambiente. Se attivi tutte le regole possibili, otterrai molti falsi positivi come quello che stai vedendo. Quella particolare regola potrebbe avere senso essere abilitata in alcuni ambienti, ma chiaramente non è appropriata nell'ambiente tuo perché c'è un sacco di traffico legittimo che corrisponde a quella regola.

Il solito approccio per la configurazione di un sistema IPS è di metterlo in modalità passiva, monitoraggio in cui non blocca il traffico. Quindi gli avvisi vengono riesaminati manualmente e tutte le regole che continuano a generare falsi positivi vengono disabilitate. Una volta che si è certi che il sistema non interferirà con l'uso legittimo, sarà possibile riattivare il blocco. Regola il tuo IPS per lavorare con il tuo ambiente, non il contrario.

    
risposta data 04.01.2017 - 20:59
fonte
2

Oltre ai consigli di buona e corretta implementazione di @ tlng05 (regola il tuo IPS per lavorare con il tuo ambiente, non viceversa), inizierei creando un caso esemplificativo solido, dimostrando un uso aziendale valido della parola "OR "e mostra anche i registri IPS che hanno indotto lo strumento a scartare le connessioni. È possibile continuare a cercare i registri in cerca di altri luoghi in cui lo strumento interrompa il traffico aziendale legittimo e la raccolta di più dati. Ma non alzare il campanello d'allarme fino a quando non sei preparato.

Le ragioni sono interamente politiche. Il team che ha installato l'IPS è indubbiamente orgoglioso del suo nuovo e brillante strumento, può vedere che è efficace, e probabilmente lo hanno mostrato ai VP e così via. Inoltre, se si dice "avrebbe dovuto essere installato prima in modalità di reporting, testato in questo modo e regolato le regole prima di essere acceso", si suppone che non abbiano fatto un buon lavoro di installazione. Rischi che il team IPS si difendi e si rifiuta di collaborare. Questo può facilmente esplodere a dismisura, e certamente non vuoi peggiorare le cose. La tua presentazione / rapporto dovrebbe mostrare solo alcuni fatti:

  1. L'attività consente legittimamente l'uso di parole come "AND" e "OR" nell'interfaccia di query pubblica.
  2. Lo strumento IPS intercettava definitivamente questi messaggi e interrompeva le interrogazioni legittime degli utenti (mostra i registri IPS in cui venivano attivate le regole e forniva qui un numero di client interessati).
  3. Stai cercando solo la correzione delle regole specifiche che interferiscono con queste query.
  4. (opzionale) Durante il lavoro con i file di registro, è possibile vedere che lo strumento è altrimenti efficace e sta facendo un ottimo lavoro, e ha continuato il merito nell'organizzazione.

Non dire da nessuna parte qui che il team IPS non ha seguito le procedure corrette, o addirittura riconoscere che ci sono procedure ben note per l'installazione di queste cose. Lascia che tutto ciò che ha a che fare con la colpa scivoli via, senza risposta. Infine, lascia che sia il team IPS a prendersi il merito di risolvere il problema.

Sì, potrebbe trattarsi di materiale "Intra-company Politics 101" che già conosci, ma non tutti potrebbero pensare di affrontare un problema come questo con la massima cura possibile.

    
risposta data 04.01.2017 - 22:28
fonte

Leggi altre domande sui tag

Lo schema di crittografia degli algoritmi a chiave pubblica è generalmente noto? In che modo HelloSign può essere protetto senza alcuna autenticazione? [duplicare]