Anticisco
http://www.anticisco.ru/forum/

Задача для IPS: разорвать сессию
http://www.anticisco.ru/forum/viewtopic.php?f=3&t=19
Страница 1 из 1

Автор:  Fedia [ 17 окт 2008, 17:58 ]
Заголовок сообщения:  Задача для IPS: разорвать сессию

Вы — суперадминистратор распределённой сети. В одной из ваших подсетей шутники-администраторы повадились рассылать по сети через протокол телнет призыв саботировать работу и придаться пьянству. Это вопиющее безобразие делается так: все администраторы, работающие в данный момент, подключены к терминальному серверу с адресом (хххх). Шутник, туда же подключенный, рассылает по некоторым активным сессиям кодовое слово BUHAEM. Ваша задача отловить попытки саботажа и разорвать телнет сессии!

Автор:  Fedia [ 25 окт 2008, 21:42 ]
Заголовок сообщения:  Решение

По замыслу требовалось:
1. Определить, в каком направлении будет идти сообщение BUHAEM (оно будет идти ОТ сервиса)
2. Создать пользовательскую сигнатуру типа STRING с REGEX=BUHAEM от 23 порта
3. Указать в качестве действия deny connection inline и alert verbose

Автор:  anod [ 29 июл 2009, 11:22 ]
Заголовок сообщения:  Re: Задача для IPS: разорвать сессию

А если админ-диверсант для пускания призыва к саботажу тоже использует телнет, то можно его отловить и наказать:
1. Сообщение BUHAEM будет идти К сервису.
2. Создать пользовательскую сигнатуру движка STRING TCP с REGEX=BUHAEM к 23 порту.
3. Указать в качестве действия deny attacker inline :) и alert verbose.
Потом смотрим заблокированных чувачков, определяем, где он сейчас сидит, берем секьюрный девайс типа "паяльник", навещаем шутника, изымаем спиртные напитки и потребляем их уже в своем коллективе :)

Автор:  Hando [ 30 сен 2009, 09:11 ]
Заголовок сообщения:  Re: Задача для IPS: разорвать сессию

При сообщение от админа к сереверу ips не сможет по regexpу поимать BUHAEM ибо сообщение пойдет пакетами
B
U
H
A
E
M

Автор:  Fedia [ 30 сен 2009, 10:20 ]
Заголовок сообщения:  Re: Задача для IPS: разорвать сессию

Почему? Как раз идея в том, что мы создаем СТРИМовую сигнатуру и будем ловить и складывать в буфер все пакеты, относящиеся к этой сессии. До кучи там будем делать antievasion (чтобы всякий управляющий мусор не учитывать) и как только соберем требуемый паттерн - порвём сессию

Автор:  Hando [ 30 сен 2009, 10:27 ]
Заголовок сообщения:  Re: Задача для IPS: разорвать сессию

Хм, каюсь, с IPS опыта мало, пойду читать :) мне казалось просто что IPS умеет только фрагментированые пакеты собирать и по ним смотреть, а сессию сканить не умеет.

Автор:  Hando [ 30 сен 2009, 11:31 ]
Заголовок сообщения:  Re: Задача для IPS: разорвать сессию

long story short: IOSный IPS stream делать не умеет :) так же, почемуто, нет возможности делать custom sig через CLI ( только тюнить ). Надо где неть терь полноценный IPS найти-поиграться :)

Автор:  Hando [ 24 дек 2009, 01:08 ]
Заголовок сообщения:  Re: Задача для IPS: разорвать сессию

Чет я туплю: а где тут ставится, что б не в одном пакете regexp искался, а во многих ? (выше описанный поиск по буферу сессии)

ps: why "Расширение png запрещено администратором." ?

Вложения:
Комментарий к файлу: custom string tcp signature
ips_signature_tcp.JPG
ips_signature_tcp.JPG [ 97.57 КБ | Просмотров: 39860 ]

Автор:  Hando [ 24 дек 2009, 01:09 ]
Заголовок сообщения:  Re: Задача для IPS: разорвать сессию

ips версии 6.0 (пойду cisco.com читать, может в 6.0 его этому еще не научили)

Автор:  Hando [ 24 дек 2009, 01:56 ]
Заголовок сообщения:  Re: Задача для IPS: разорвать сессию

вопрос остается открытым: после 30минутного просмотра ( 1.48, завтра на работу :) , так что больше смотреть сегодня не буду )
cisco.com выдал следующий маркетингбулшит:
" Anti-IPS evasion techniques-Provides traffic normalization, IP defragmentation, TCP stream reassembly, and deobfuscation for comprehensive protection against hackers attempting to evade IPSs. "

Более менее ( хотя тоже 2-3 строки, а не детальное описание как работает ) объяснение этих техник выдало:

"The Normalizer engine deals with IP fragment reassembly. Intentional or unintentional fragmentation of IP datagrams can hide exploits making them difficult or impossible to detect. " - соотв тут собираем пакет, а не tcp stream .

tcp stream reassembly - чет найти ща не могу, но смысл то, что track'ем сиквенс набры и например через ips прогоняем пакеты, если для них удачно прошел 3-way hs.
(
Cumulative Statistics for the TCP Stream Reassembly Unit since reset
TCP streams that have been tracked since last reset = 0
TCP streams that had a gap in the sequence jumped = 0
TCP streams that was abandoned due to a gap in the sequence = 0
TCP packets that arrived out of sequence order for their stream = 0
TCP packets that arrived out of state order for their stream = 0
The rate of TCP connections tracked per second since reset = 0
)
никакого упоминания про то, что можно делать regexp не по одному пакету, а по stream я чет не нашел :(

Автор:  Fedia [ 24 дек 2009, 16:18 ]
Заголовок сообщения:  Re: Задача для IPS: разорвать сессию

Вообще stream должен собирать в потоке. Но может ты не в том Engine делаешь сигнатуру? (а мож я ошибся в описании)

Должно быть String.TCP

Автор:  Hando [ 24 дек 2009, 20:06 ]
Заголовок сообщения:  Re: Задача для IPS: разорвать сессию

В string.tcp (картинка чуть выше) делаю, но в idm говорит, что regexpit' будет ток по одному пакету.
Во общем будем завтра тестить.

Автор:  Hando [ 24 дек 2009, 20:27 ]
Заголовок сообщения:  Re: Задача для IPS: разорвать сессию

# Configure TCP stream reassembly

You can configure the sensor to monitor only TCP sessions that have been established by a complete three-way handshake. You can also configure how long to wait for the handshake to complete, and how long to keep monitoring a connection where no more packets have been seen. The goal is to prevent the sensor from creating alerts where a valid TCP session has not been established. There are known attacks against sensors that try to get the sensor to generate alerts by simply replaying pieces of an attack. The TCP session reassembly feature helps to mitigate these types of attacks against the sensor. You first choose the method the sensor will use to perform TCP stream reassembly (see Configuring TCP Stream Reassembly Parameters), then you can tune TCP stream reassembly signatures, which are part of the Normalizer engine (see Tuning a TCP Stream Reassembly Signature).
(c) help from IDM

Вот отсюда я взял что tcp stream reasebly отвечает только за seq и тп. Normalizer engine - отвечает за адекватность tcp сессий (дип чтоб в syn не было data, или не приходили data пакеты после fin и тп) Никаких упоменаний, что данная хрень собирает regexp в нескольких пакетах я не увидел. Кароче без теста тут не разобраться :Р

Автор:  Fedia [ 25 дек 2009, 00:12 ]
Заголовок сообщения:  Re: Задача для IPS: разорвать сессию

Тогда до теста тебе придётся поверить на слово :)

ЗЫ Телнет, как ты конечно знаешь, производит срез за 1 мс буфера клавиатуры. Значит вводятся и передаются отдельные буковки. Однако, тестовая сигнатура в известной тебе компании (на 50 сенсорах) (ключевое слово attack в телнете) проходит. Какая то странная у тебя подсказка выплыла, что регексп ищется в одном пакете ... Вот это странно.

Автор:  Hando [ 25 дек 2009, 16:52 ]
Заголовок сообщения:  Re: Задача для IPS: разорвать сессию

чет незахотел ips ips'ить через виртуалку. Так что тест пока откладывается :)

Страница 1 из 1 Часовой пояс: UTC + 3 часа
Powered by phpBB® Forum Software © phpBB Group
http://www.phpbb.com/