Come verificare che un host abbia applicato un set di regole del firewall così com'è?

1

Ho un servizio che invia i set di regole a una flotta di host. Ci si aspetta che ogni host a sua volta applichi il suo set di regole al suo firewall (iptables) e quindi restituisca un riconoscimento al servizio.

Mi chiedo se c'è un modo per verificare che l'host non stia mentendo e che abbia applicato il set di regole così com'è.

Un modo in cui potrei pensare è di mettere un certificato sull'host e lasciare che rimandi un log iptables firmato con il certificato, ma ovviamente non è abbastanza buono perché l'host potrebbe simulare il log di iptables e firmarlo.

    
posta Ezra 16.11.2015 - 17:09
fonte

3 risposte

1

Sono d'accordo con i precedenti partecipanti: uno dei passaggi più ovvi consiste nell'eseguire scansioni di porte e scansioni di vulnerabilità dai lati esterni dei firewall. In questo modo non viene sparato un proiettile d'argento (come è stato sottolineato, un aggressore di abilità anche modesta potrebbe impostare una regola del traffico in entrata che risponderà solo alle connessioni degli ips specificati da un cattivo ragazzo).

Inoltre, un approccio importante è fare campionamento e ispezione manuale. In altre parole, degli host / firewall che è necessario assicurarsi di applicare correttamente le regole, selezionare un sottoinsieme (preferibilmente in modo casuale / pseudo-casuale), collegarsi a loro e ispezionare le serie di regole. (E al di là di questo, se un utente malintenzionato possiede già la scatola per il grado in cui lui / lei può nascondere una regola / bypass malevolo dall'ispezione diretta, sei già dietro la palla da otto.)

Naturalmente, il campionamento non è una soluzione magica, proprio come la vulnerabilità e l'amp; le scansioni di configurazione non sono soluzioni magiche. Più caselle si controllano rispetto al numero che deve essere applicato correttamente le regole più sarà utile il metodo. Ma in realtà è una situazione che richiede più approcci per verificare che le regole del firewall siano effettivamente in vigore.

    
risposta data 22.11.2015 - 05:50
fonte
2

Se l'attaccante ha il controllo sufficiente dell'host per manipolare la percezione dei codici sullo stato di iptables, l'host viene compromesso e non ci si può fidare affatto! Iptables forse aggiustato per sottigliezza consente all'autore dell'attacco di ignorare le tue regole, ma risponde comunque a dire a tutti sul sistema che tutto va bene. Iptables è inutile a questo punto: mettere un giubbotto antiproiettile sopra una ferita da arma da fuoco non fermerà il sanguinamento!

L'unica soluzione reale che vedo è utilizzare il tripwire o un altro sistema di rilevamento delle intrusioni basato su host per monitorare l'host in cerca di modifiche apparentemente maligne. Qualunque cosa tu faccia anche se non puoi essere al 100% il tuo host non è compromesso. È una questione di attenuazione del rischio.

    
risposta data 17.11.2015 - 23:21
fonte
1

La scansione nuda della scatola nera (scansione dall'esterno senza difese di rete in mezzo) con uno strumento come SAINT o Nessus ti darà un'idea ragionevole se il firewall è configurato correttamente. Testerà i protocolli e le porte per qualsiasi tipo di connessione o risposta utilizzando varie tecniche.

Nessus può anche eseguire scansioni autenticate che controllano ciò che l'host dice su se stesso, che non può essere considerato attendibile, ma può identificare errori di configurazione.

Prima di eseguire scansioni di rete con uno strumento simile potrebbe essere necessario il consenso dell'operatore di rete. Assicurati di controllarlo prima per evitare problemi.

    
risposta data 21.11.2015 - 18:12
fonte

Leggi altre domande sui tag