Systémy prevence průniku (2) – pravidla pro tvorbu IPS filtrů

Filip Weber Tutoriály 7. listopadu 2007

Tvůrce IPS filtrů navrhuje filtry tak, aby neměly falešná pozitiva, nezhoršovaly výkon a byly odolnější vůči útočníkům, kteří se speciálně zaměřují na vyhnutí se detekci. Tento úkol vyžaduje nebývalý výkon a flexibilitu u prevenčního zařízení i filtrovacího jazyka.

Při psaní filtrů pro blokování musí být dodržena dvě pravidla:

  1. Žádná falešná pozitiva. Nikdy, za žádných okolností nesmí IPS blokovat legitimní provoz. Toto pravidlo má vždy nejvyšší prioritu.
  2. Žádná falešná negativa. Nenechte projít útok, ani když se útočník intenzivně snaží vyhnout detekci. Toto má vysokou prioritu.

Tvůrce filtrů musí mít stále na paměti tato dvě pravidla a jejich relativní prioritu. Klíčový rozdíl v přístupu k psaní signatur mezi IPS a IDS spočívá ve vzájemném pořadí těchto dvou cílů. Umění tvorby filtrů pro blokovací zařízení spočívá v co největším zobecnění logiky detekce tak, aby bylo dosaženo pravidla 2, bez porušení pravidla 1.

Derivování Zero False Negative Filtru

Při provádění výzkumu technických zranitelností musí technik nejprve pátrat po všech okolnostech, které jsou nezbytné pro úspěšný útok. Výzkumník začíná vytvořením programu, který na dálku spustí zranitelnost. Tento program se používá k obměňování všech "zajímavě vypadajících" částí útoku. Změny jsou prováděny postupně jedna po druhé a jsou pečlivě zaznamenávány. (Řetězce, příznaky, doby trvání, bannery, čísla verzí, kódování znaků, bílá místa... tento seznam pokračuje dál. Je dobré vyzkoušet všechno.) Pokud útok uspěje i v případě, že určitá proměnná má náhodnou hodnotu, pak tato proměnná není pro prevenční systém důležitá. Výzkumník může případně určit kompletní soubor proměnných, které jsou důležité pro úspěch útoku, a dojít k souboru kritérií, která musí být souhrnně splněna, aby byl jakýkoliv útok úspěšný. Pokud je možné vést útok z různých směrů, výzkumník musí uplatnit tuto analýzu na každý z nich zvlášť. Pro úspěšnost IPS mají tyto podmínky zásadní význam.

Zadáním souboru kritérií, která musí být splněna, aby útok uspěl, je možno popsat logiku filtrů, které mají nulová falešná negativa (zero false negatives). To znamená, že útok jednoduše nemůže uspět, jestliže jeho provoz na síti nemá přesně ty charakteristiky, které filtr vyhledává.

Derivování Zero False Positive Filtru

Po zadání zero false negativ filtru, jak bylo popsáno výše, musí výzkumník také zhodnotit přesnost vakcíny z hlediska falešných pozitiv. V tomto stádiu se výzkumník pokouší určit nejméně jednu charakteristiku, která by nikdy nenastala v normálním provozu. Pokud existuje taková charakteristika, která je současně abnormální ve srovnání s normálním provozem a kritická pro úspěch útoku, pak je taková zero false negativ signatura současně i zero false positive signaturou.

Pro tvorbu tohoto typu filtrů se nabízí mnoho typů útoků. Například:

  • SQL Injection Attacks: ve specifickém webovém požadavku jsou na místo určité hodnoty dosazeny speciální znaky jako ´ a %27.
  • PHP Remote File Include Attacks: ve specifickém webovém požadavku je na místo určité hodnoty dosazena hodnota obsahující vzdálenou URL.
  • Buffer Overflow: při jistém typu konverzace je zaměněna jistá zpráva obsahující určitou proměnnou za jinou, která obsahuje nadměrné množství určitého druhu dat.
  • Integer Overflows and Signedness Problems: namísto určité hodnoty, která by měla být vždy (relativně) nízké kladné číslo, je dosazeno extrémně velké nebo záporné číslo.
  • Format String Attacks: během určité změny protokolu je odeslána specifická zpráva, která obsahuje hodnotu se znaky formátu string.

Jak výše uvedené příklady naznačily, množství práce na detekční logice často spočívá v souvislostech nezbytných pro položení klíčové otázky, zda je hodnota příliš velká nebo příliš malá nebo zda hodnota obsahuje určité znaky či řetězce. To, jestli IPS zařízení je či není schopno využít příležitosti logické dokonalosti teoretické signatury, závisí na  tom, za A) zda je jazyk filtrování dostatečně flexibilní k vyjádření nezbytné logiky, a za B) zda je zařízení dostatečně výkonné pro správnou aplikaci různých testů síťového provozu probíhajících in-line při plné rychlosti.

Souhrnně o filtrech v IPS zařízeních

Nejprve si povězme, že znalosti a pečlivost výzkumníka zranitelností mají zásadní význam. Výzkumník musí dostatečně porozumět zranitelnosti, aby mohl předpovědět směry útoků a aby vytvořil filtry odolné proti falešným negativům i falešným pozitivům. Rovněž víte, že detekce anomálií protokolů je často velmi užitečná, ale jistě není vždy tím pravým. Další a možná nejdůležitější zjištění je, že falešná pozitiva i falešná negativa jsou problémem těch IPS/IDS produktů, které nejsou schopny precizně implementovat detekční logiku. Pro podporu efektivních filtrů zranitelností je zapotřebí výkonného zařízení, které dokáže fungovat ve vysokorychlostním prostředí, kde aktivně běží zranitelné protokoly.


Vytisknout


    Komentáře k článku

    ...k článku nejsou žádné komentáře

Vložte Váš komentář k tomuto článku

Máte dotaz? Neváhejte nám napsat.

Pole označená hvězdičkou (*) jsou povinná


Reklama v příspěvcích není dovolena, dodržujte etiketu. Redakce Světa sítí si vyhrazuje právo smazat příspěvěk, který v diskuzi použije vulgární slova a společensky neúnosné výrazy. Délka příspěvku je limitována 1500 znaky.