2008/12/6 Federico Lombardo: > Salve a tutti, > leggendo qualche paper qui e li mi sono è venuto all'occhio che > parecchi (tutti) vendors sui loro motori IDS/IPS fissano una finestra > predefinita di bytes entro la quale prevedono di identificare > l'attacco, oltre questo valore, possiamo dire che l'IDS/IPS ignora la > sessione. (stessa cosa avviene per le variabili che quantificano la > grandezza globale dei sockets che la macchina gestisce).
Detto così sembra che un IPS guardi soltanto ai primi 200 bytes in una sessione. In genere dovrebbe avere una "finestra" di un tot di byte, ma questi possono essere benissimo al centro o alla fine della sessione stessa. [...] > Ho ragionato sul fatto che, naturalmente, non c'è nulla fra RFC e > Standard internazionali vari che mi vieti di effettuare un attacco > oltre i 200K (provate a pensare a sessioni su applicazioni vecchie, > oppure roba SQL o HTTP/1.1), Ma in questo caso, ovviamente, un network IDS/IPS non è la soluzione giusta. Dovresti avere altri strumenti, come un host-based IDS/IPS (oppure per Oracle ad es. esistono applicazioni in grado di monitorare il database per possibili attacchi, oppure mod_security per Apache, ecc.) > fermo restando che, comunque, sono > conscio del fatto che la maggior parte degli attacchi sono sono > diretti e sicuramente si verificano nelle prime fasi della sessione. > (Es. identifico il sistema vulnerabile e gli lancio lo shellcode, roba > di una manciata di bytes). In gergo si chiamano "signature", non molto diverse da quelle di un anti-virus, solo che gli IDS/IPS devono essere necessariamente più "semplici" (ma possono svolgere altre funzioni di intelligence che gli AV in genere non eseguono) > Ora mi chiedo su che base statistica i vendor fissino questa variabile > e, naturalmente, alzandola adrei significativamente ad impattare sulle > performances del mio apparato, ma, abbassandola, potrei ridurre > drasticamente le mie capacità di detection/prevention. Non solo sulle performance dell'apparato, impatti potenzialmente anche sulla latenza imposta alla rete, nel caso di IPS. > Getto lì la domanda: che ne pensate? > c'è una vulnerabilità relativa all'evasion/diversion insita su ogni > prodotto o sono eccessivamente paranoico? Non ho capito la domanda... > qual è il tuning che mi permette di avere, trascendendo dallo > scenario, una confidenza reale di mantenere le mie prestazioni di > detection/prevention alte? > (mi aspetto che i vendor lascino valori intorno ai 200K anche per > questioni "conservative"). In genere questa opzione non è "tunabile". Che io sappia, è una costante del prodotto. Non credo che questo sia l'unico valore su cui ci si dovrebbe basare per valutare un buon IDS/IPS. Ci sono molte altre considerazioni da fare. In genere la qualità delle signature è ritenuta la cosa più importante (o una delle più importanti), molto più del parametro di cui tu stai parlando. Cordiali saluti -- Marco Ermini r...@human # mount -t life -o ro /dev/dna /genetic/research http://www.markoer.org/ - http://www.linkedin.com/in/marcoermini "Jesus saves... but Buddha makes incremental back-ups!" ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
