Salve a tutti, leggendo qualche paper qui e li mi sono è venuto all'occhio che parecchi (tutti) vendors sui loro motori IDS/IPS fissano una finestra predefinita di bytes entro la quale prevedono di identificare l'attacco, oltre questo valore, possiamo dire che l'IDS/IPS ignora la sessione. (stessa cosa avviene per le variabili che quantificano la grandezza globale dei sockets che la macchina gestisce).
Detto questo ho notato che parecchi vendors fissano questa finestra su di un valore che si attesta intorno ai 200k, altri, invece la riducono fino ad arrivare a valori da 100K a 25K (prevalentemente vendors verticalizzati sugli IPS). Ho ragionato sul fatto che, naturalmente, non c'è nulla fra RFC e Standard internazionali vari che mi vieti di effettuare un attacco oltre i 200K (provate a pensare a sessioni su applicazioni vecchie, oppure roba SQL o HTTP/1.1), fermo restando che, comunque, sono conscio del fatto che la maggior parte degli attacchi sono sono diretti e sicuramente si verificano nelle prime fasi della sessione. (Es. identifico il sistema vulnerabile e gli lancio lo shellcode, roba di una manciata di bytes). Ora mi chiedo su che base statistica i vendor fissino questa variabile e, naturalmente, alzandola adrei significativamente ad impattare sulle performances del mio apparato, ma, abbassandola, potrei ridurre drasticamente le mie capacità di detection/prevention. Getto lì la domanda: che ne pensate? c'è una vulnerabilità relativa all'evasion/diversion insita su ogni prodotto o sono eccessivamente paranoico? qual è il tuning che mi permette di avere, trascendendo dallo scenario, una confidenza reale di mantenere le mie prestazioni di detection/prevention alte? (mi aspetto che i vendor lascino valori intorno ai 200K anche per questioni "conservative"). Federico
________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
