Обход механизмов IDS Active Response: часть вторая - Firewall Updates

Введение

Второй метод, применяемый в IDS для активного ответа нападениям, использует управление правилами межсетевой защиты. В этом случае, IDS инструктирует межсетевую защиту запретить весь трафик, исходящий от определенного IP, с которого была зафиксирована атака, это ограничение снимается лишь после истечения определенного «штрафного времени». Некоторые IDS после повторяющихся атак с одного и того же IP адреса требует вообще занести этот адрес в «черный список» и запретить любые подключения. За всем этим стоит здравая мысль лишить хакера возможностей использовать тот плацдарм, который он сумел получить в результате посылки эксплоита.
Определение условия, которое использует IDS для запрета IP, легко обнаружить. Хакер просто посылает пакеты для установления связи, чем вызывает тревогу системы обнаружения вторжений. Когда ping останавливается, хакер знает, что его адрес запрещен.  

Как обходят системы Firewall Updates

Такие системы практически беззащитны против тактики нанесения быстрого удара с последующим таким же быстрым уходом. Большинство IDS имеет богатую библиотеку вредных эксплоитов, но при этом работают слабо при обнаружении многочисленных дыр в защите, которые могут использоваться для вторжения через Internet. Время запаздывания таких систем составляет не менее секунды-двух, что более чем достаточно для запуска практически любых эксплоитов, открывающих доступ в систему. После чего хакер спокойно меняет IP и может вволю порезвиться в системе жертвы.
Но большинство атакующих не ищет лишних неприятностей на свою, скажем так, голову. Тогда для них существует способ вообще убрать IDS, использующую систему Firewall Updates. Надо всего лишь начать имитировать нападения с наиболее популярных IP адресов. IDS, конечно же, обнаружит подозрительные пакеты и с чувством выполненного долга запретит контакты с microsoft.com, cnn.com, ebay.com и т.д., как с подозрительными «хакерскими» адресами. Пройдет совсем немного времени (как правило, менее суток), и телефоны системных администраторов раскалятся от звонков возмущенных сотрудников и руководства с требованием восстановить нормальную работу Internet. Вскоре после этого механизм Firewall Updates обычно отключается.

Можно поступить еще радикальнее и имитировать атаку с маршрутизатора или DNS сервера выбранной сети. Естественно, после этого атакуемая организация полностью лишится выхода в Internet, что приведет к отключению Firewall Updates еще быстрее.

Большинство такого рода IDS блокирует IP простым сканированием портов. Конфигурация nmap –sS -P0 -S <host to ban> -T5 прекратит работу большинство сетей.

Заключение

Конечно, системы активного ответа вторжению очень эффективны и оправдывают свое существование, но ни в коем случае не стоит быть слишком уверенным в том, что только они смогут обеспечить безопасность сети. Любой хакер с элементарными знаниями TCP/IP может вывести такие системы из строя или сделать их существование невыносимым для нормальной работы фирмы.
Программному обеспечению Firewall updating необходимо относиться с особой осторожностью к запрещению адресов, чтобы не создавать проблемы услугам Internet, торговым партнерами и внутренним ресурсами. Разрешение самой системе выбирать, какие адреса блокировать – опасный путь, который однозначно может привести к проблемам.

В будущем, создатели IDS должны разработать более адекватные меры ответа, типа интеграции с сетевой защитой и фильтрации опасных пакетов, пресечения конкретных типов атак и т.д. Но никогда нельзя будет заботу о безопасности полностью переложить на плечи машины, роль системных администраторов всегда будет определяющей.