2010/7/29 Francesco Fucito: > Salve a tutti, > ho un dubbio atroce... > > Sto monitorando dei client di una azienda da cui si suppone siano > partiti degli attacchi di tipo SQL Injection. > > Nei filtri impostati, hanno messo come destinazione degli attacchi > anche i proxy, perchè così possono monitorare eventuali attacchi verso > l'esterno da queste sorgenti. > > Il fatto è che cos' facendo stiamo riscontrando molti falsi positivi, > poichè andando ad analizzarli sugli IDS, ho notato che sono stati > rilevati nel payload link del tipo > "http://api.ak.facebook.com/restserver.php?v=1.0&method=fql.query&query=select > url%2C total_count from link_stat where url in " dovuti al caching > delle pagine da parte dei proxy e per questo sono stati correlati > mettendo come destinazione dell'attacco il proxy stesso, come se io > quell'attacco lo stessi rivolgendo al proxy. > > La mia domanda è: ha senso fare ciò? Seppur io eseguo un attacco SQL > Injection verso un web esterno, questo mi viene tracciato e correlato > sugli IDS aventi come destinazione il proxy? [...]
Ciao Francesco, questo è tipico, succede con molti brand di IDS/IPS. Sfortunatamente molti hanno delle signature scritte in modo molto approssimativo e monitorano semplicemente il traffico HTTP per alcune keywords come "INSERT" o "UPDATE", e così via. Per essere totalmente corretti, non tutti i brand funzionano in modo così approssimativo. Quindi non sottoscrivo totalmente il consiglio di non usare gli IDS per questo scopo - ti consiglio di non farlo con i Cisco IPS, questo sì... Ho avuto lo stesso "problema" con il vecchio brand di IPS che utilizzavo fino a pochi mesi fa - non era Cisco e non mi sembra corretto farne comunque il nome -, problema che non ho con il nuovo... Una soluzione è quella di impostare la direzionalità del controllo nel traffico HTTP. Puoi configurare Cisco IPS in modo che le SQL injection siano verificate soltanto per il traffico "incoming". In alcuni setup di rete questo però non è sfortunatamente sempre possibile - per esempio quando hai front-end proxies spesso il traffico sembra generato internamente mentre in realtà è esterno. Quindi rischi di perderti attacchi reali. Una soluzione può essere quella di mettere in whitelist Facebook su MARS - così i tuoi colleghi che giocano a Mafia Wars non ti floodano di allarmi il SIEM ;-) Per la verità, un IDS/IPS può non essere il miglior strumento per monitorare il misuso delle web application, perché in genere questi tool non riescono a seguire le sessioni utente - e no, greppare sui log è non pratico, allo stesso modo; ti ci voglio vedere a tracciare la stickiness di centinaia o migliaia di utenti con un grep sui log :-) Per questo, un WAF - Web Application Firewall - è molto più adatto. Il rovescio della medaglia è la configurazione del WAF, che può essere onerosa e/o richiedere il coinvolgimento degli sviluppatori del sito. Per cui un IDS/IPS - però uno valido :-) - pó essere una valida soluzione di compromesso... Cordiali saluti -- Marco Ermini r...@human # mount -t life -o ro /dev/dna /genetic/research http://www.linkedin.com/in/marcoermini "Jesus saves... but Buddha makes incremental back-ups!" ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
