> > Кто-нибудь знает как реально разобраться с IDS? Можт > дыры > > какие? > > А какая конкретно IDS ? > > В общих чертах способа всего 2; > > 1) Использовать уязвимости - отсутствующие в базе IDS > (найди СВОЮ уязвимость и юзай :)) > 2) Попытатся сгенерировать большое количество ложных > срабатываний IDS и работать "под шумок" Можно испльзовать не только свою уязвимость, но и недавно открытую(тогда, правда, придется месяцами торчать на securitylab.ru и securityfocus.com)
> Кто-нибудь знает как реально разобраться с IDS? Можт дыры > какие? 1. Для разнообразия скажи как IDS зовут (телепаты в отпуске).
2. Ты уверен, что бороться надо? Может, это honeynet? (http://cybervlad.port5.com/lspitz/)
Защита от IDS11.03.02 17:08 Автор: XR <eXtremal Research> Статус: The Elderman
> Кто-нибудь знает как реально разобраться с IDS? Можт дыры > какие?
А какая конкретно IDS ?
В общих чертах способа всего 2;
1) Использовать уязвимости - отсутствующие в базе IDS (найди СВОЮ уязвимость и юзай :))
2) Попытатся сгенерировать большое количество ложных срабатываний IDS и работать "под шумок"
Защита от IDS12.03.02 09:11 Автор: cybervlad <cybervlad> Статус: Elderman
> 1) Использовать уязвимости - отсутствующие в базе IDS > (найди СВОЮ уязвимость и юзай :)) Хм. IDS разные бывают. Она ведь может не сигнатуры пасти, а "необычную активность".
> 2) Попытатся сгенерировать большое количество ложных > срабатываний IDS и работать "под шумок" Если эксплуатируется не через анал, не поможет. Через 2-3 месяца работы с логами "мусор" отсеиваешь автоматом...
Защита от IDS12.03.02 14:15 Автор: XR <eXtremal Research> Статус: The Elderman
> > 1) Использовать уязвимости - отсутствующие в базе IDS > > (найди СВОЮ уязвимость и юзай :)) > Хм. IDS разные бывают. Она ведь может не сигнатуры пасти, а > "необычную активность".
Ну это в чистом виде п.2
> > 2) Попытатся сгенерировать большое количество ложных > > срабатываний IDS и работать "под шумок" > Если эксплуатируется не через анал, не поможет. Через 2-3
2-3 месяца ? В случае успешной атаки цель достигается за 15 минут
> месяца работы с логами "мусор" отсеиваешь автоматом...
IDS далеко не панацея а всего лишьодиниз инструментов защиты
Защита от IDS18.03.02 13:03 Автор: cybervlad <cybervlad> Статус: Elderman
> > Хм. IDS разные бывают. Она ведь может не сигнатуры > пасти, а > > "необычную активность". > > Ну это в чистом виде п.2 а что, "необычная активность" только количеством меряется? где тебя таким гадостям научили? ;)
> > Если эксплуатируется не через анал, не поможет. Через > 2-3 > > > 2-3 месяца ? В случае успешной атаки цель достигается за 15 > минут для особо непонятливых: за 2-3 месяца оператор IDS набирается опыта и отстраивает фильтры, равно как и глаз наметывается. логика у тебя странная:
- крепостная стена вокруг города строится несколько лет
- фигня, город без стены можно захватить за час!
моментом внедрения IDS считается не момент ее запуска, а момент окончательной отстройки и обучения персонала. до того, можно считать, что ее нет.
> IDS далеко не панацея а всего лишьодиниз инструментов > защиты спасибо за "свежую" мысль. ;)
Защита от IDS21.03.02 17:44 Автор: XR <eXtremal Research> Статус: The Elderman
> > > Хм. IDS разные бывают. Она ведь может не > сигнатуры > > пасти, а > > > "необычную активность". > > > > Ну это в чистом виде п.2 > а что, "необычная активность" только количеством меряется? > где тебя таким гадостям научили? ;) >
Жизнь научила ... :)
BTW: Что - современные IDS уже научились не реагировать на кажный пятый HTTP запрос как на Unicode attack ;)))?
Помнится год полтора назад количество ложных срабатываний по этому поводу как раз доходило до такой цифры ...
BTW2: Вы помните прошлогоднюю атаку червей ? Как там IDS реагировала ? Винта для логов хватало ? :))
> > > Если эксплуатируется не через анал, не поможет. > Через > > 2-3 > > > > > > 2-3 месяца ? В случае успешной атаки цель достигается > за 15 > > минут > для особо непонятливых: за 2-3 месяца оператор IDS > набирается опыта и отстраивает фильтры, равно как и глаз > наметывается. логика у тебя странная: > - крепостная стена вокруг города строится несколько лет > - фигня, город без стены можно захватить за час! > моментом внедрения IDS считается не момент ее запуска, а > момент окончательной отстройки и обучения персонала. до > того, можно считать, что ее нет.
А как часто база уязвимостей IDS пополняется ? И после кажного пополнения мы бум "глаз наметывать" ?
Ситуация то меняется постоянно ... и новая атака всегда будет нетривиальна (IDS скорее всего не среагирует или реакция будет неадекватна да и оператору придется разбираться с этим больше чем 15 минут) - на то она и новая.
> > IDS далеко не панацея а всего лишьодиниз > инструментов > > защиты > спасибо за "свежую" мысль. ;)
Пожалуйста :) Просто после Ваших категоричных постингов у меня создалось именно такое впечатление ....
Защита от IDS22.03.02 11:18 Автор: cybervlad <cybervlad> Статус: Elderman
> BTW: Что - современные IDS уже научились не реагировать на > кажный пятый HTTP запрос как на Unicode attack ;)))? IDS реагирует на совпадение трафика с сигнатурой атаки. так что приведенный пример относится к качеству сигнатур, которое, не спорю, оставляет желать лучшего. лично я довольно большую их часть выбрасываю, многие переделываю...
> BTW2: Вы помните прошлогоднюю атаку червей ? Как там IDS > реагировала ? Винта для логов хватало ? :)) конечно помню.
вот машина, отработавшая IDS с 09.09.01 по 19.03.02
snorty# df
Filesystem 1k-blocks Used Available Use% Mounted on
/dev/hda2 982200 250336 681968 27% /
snorty# mysql -B snort_log -e "select count(*) from event \g"
count(*)
48971
причем, у нее гораздо более одной сетевой платы и она контролировала 2 сегмента с не самыми забытыми в инете веб-серверами ;)
собсно, и сечас 80-90% записей в IDS провоцируются червяками. но в любом случае, правильная настройка IDS - рулит ;)
> А как часто база уязвимостей IDS пополняется ? И после регулярно
> кажного пополнения мы бум "глаз наметывать" ? а что, она на 99% меняется и ежедневно? или diff уже отменили для просмотра изменений?
> Ситуация то меняется постоянно ... и новая атака всегда > будет нетривиальна (IDS скорее всего не среагирует или > реакция будет неадекватна да и оператору придется > разбираться с этим больше чем 15 минут) - на то она и > новая. покупайте IDS с регулрно обновляемыми базами, обучите персонал. никто и не говорил, что все тривиально.
кстати, мы плавно перешли на сигнатуры, в то время как дискуссия началась с "определения необычной активности". Вы совершенно справедливо заметили, что подход должен быть комплексным. т.е. IDS должна анализировать трафик и на предмет статистических отклонений (необычная активность), и на предмет определенных атак (signature match).
> > спасибо за "свежую" мысль. ;) > > Пожалуйста :) Просто после Ваших категоричных постингов у > меня создалось именно такое впечатление .... в котором месте они категоричные? суть моего постинга как раз сводилась к тому, что фигли пытаться объехать IDS, если контора набирала персонал не на вокзале (там дешевле обычно), то защита сделана комплексно и даже обманув один из ее элементов, злоумышленник будет засечен другим.
возможно, в той конторе, о которой говорил вопрошавший, все сделано именно через анал и админы исключительно с дисфункцией мозга ;) (слабо верится). я лишь заметил, что совет "сгенерировать много ложных сообщений" не является универсальным средством обхода IDS.
Защита от IDS22.03.02 20:24 Автор: Renkvil <Boris> Статус: Member
> суть моего постинга как > раз сводилась к тому, что фигли пытаться объехать IDS, если > контора набирала персонал не на вокзале (там дешевле > обычно), то защита сделана комплексно и даже обманув один > из ее элементов, злоумышленник будет засечен другим. > возможно, в той конторе, о которой говорил вопрошавший, все > сделано именно через анал и админы исключительно с > дисфункцией мозга ;)
Если немного абстагироваться от конкретной IDS с её конкретными правилами, настройками и админами, то получается борьбы щита и меча, в котрой обе стороны наращивают темпы.
Щиты равно как и мечи у всех разные, поэтому кто в конкретном случае знает/умеет больше, тот и "побеждает".
Т.е. то, что по идее самый прекрасно настроенный IDS (и только)сломается, если такую задачу поставит CIA+FBI+L0pht+CCC+...+хакер Выся в общем не исключено, но вероятность такого совпадения заинтересованости в конкретной IDS ВСЕМИ очень низка, и при грамотно настроенной инастраеваемойв progressive IDS, вероятность её провала крайне низка, и где-то говорили что
lim x = 0, а абсолютно на 100% ничего не бывает.
x->0,%
P.S. У меня самая эффективная IDS: вероятность её обхода 0%, логов редко порождает, называется Win MEБЕЗIDS :-)
Борис.
Защита от IDS25.03.02 07:39 Автор: cybervlad <cybervlad> Статус: Elderman
> P.S. У меня самая эффективная IDS: вероятность её обхода > 0%, логов редко порождает, называется Win MEБЕЗIDS :-) анекдот про "Неуловимого Джо" знаешь? ;)
твоя win_me кроме тебя мало кого интересует, а мне промышленные сервера пасти приходится...
p.s. я еще могу идеальный firewall порекомендовать: вынуть сетевой шнур, а лучше шнур питания
Защита от IDS25.03.02 13:29 Автор: XR <eXtremal Research> Статус: The Elderman
> > промышленные сервера пасти приходится... > > Можно глупый вопрос ? :) можно ;)
> А зачемпромышленнымсерверам вообще выход в Inet ? очепятка: вместо "промышленный" читать "производственный" ;)
надеюсь, оказание (производство) услуг через инет - не удивительно? ;)
> или промышленностьу нас сейчас в дот.ком в основном > функционирует ? :))) у нас - нет. а вообще, это не такая уж и экзотика. наблюдал аппарат для УЗИ, который для апгрейда микрокода хотел коннект к сайту производителя. правда, я бы поостерегся ложится под такой аппарат, чего доброго похакают и вместо картинки печени косточки ультразвуком раздробит ;)
Защита от IDS25.03.02 16:53 Автор: XR <eXtremal Research> Статус: The Elderman
> > А зачемпромышленнымсерверам вообще выход в Inet ? > очепятка: вместо "промышленный" читать "производственный" > ;)
Ну тады ой :))
> > > или промышленностьу нас сейчас в дот.ком в > основном > > функционирует ? :))) > у нас - нет. а вообще, это не такая уж и экзотика. наблюдал > аппарат для УЗИ, который для апгрейда микрокода хотел > коннект к сайту производителя. правда, я бы поостерегся > ложится под такой аппарат, чего доброго похакают и вместо > картинки печени косточки ультразвуком раздробит ;)
Да уж :)))
Я вот тоже софт для UPS-ов - инсталю с опаской :) всетаки сильноточное оборудование
а при неудачном апдейте такого рода этож чистая бомба :)
Защита от IDS26.03.02 13:13 Автор: cybervlad <cybervlad> Статус: Elderman
> > очепятка: вместо "промышленный" читать > "производственный" > > ;) > > Ну тады ой :)) ну, привык еще с советских времен "опытная эксплуатация", оОпытно-промышленная эксплуатация", "промышленная эксплуатация" ;) это сейчас понахватались всяких модных "бета-тестингов", как будто русских слов для обозначения степени отлаженности не хватает ;)
> Я вот тоже софт для UPS-ов - инсталю с опаской :) всетаки > сильноточное оборудование > а при неудачном апдейте такого рода этож чистая бомба :) зато удобно. повисло удаленное оборудование, UPS дернул, оно и перезагрузилось. мне вот сегодня по причине отсутствия такой фичи пришлось брать свою задницу и нести ее в серверную, пешком, на 4 этаж ;)
Защита от IDS25.03.02 12:20 Автор: douglas <я знаю - я сволочь, не надо мне об этом напоминать> Статус: Registered
> > P.S. У меня самая эффективная IDS: вероятность её > обхода > > 0%, логов редко порождает, называется Win MEБЕЗIDS > :-) > анекдот про "Неуловимого Джо" знаешь? ;) > твоя win_me кроме тебя мало кого интересует, а мне > промышленные сервера пасти приходится... > p.s. я еще могу идеальный firewall порекомендовать: вынуть > сетевой шнур, а лучше шнур питания Да нет его МЕ нужна только ламерцам-любителям халявы. Здесь и любой firewall подойдет.
Защита от IDS25.03.02 14:35 Автор: cybervlad <cybervlad> Статус: Elderman
> > сетевой шнур, а лучше шнур питания > Да нет его МЕ нужна только ламерцам-любителям халявы. Здесь > и любой firewall подойдет. собственно, вопрос даже не в том, кому это надо, а в потенциальных последствиях. хак личной тачки - обидно за стертые игрушки и ругательные надписи, а вот если бизнес часов на несколько встанет, тут уже бабки конкретные...
Защита от IDS25.03.02 18:04 Автор: Renkvil <Boris> Статус: Member
> собственно, вопрос даже не в том, кому это надо, а в > потенциальных последствиях. хак личной тачки - обидно за > стертые игрушки и ругательные надписи, а вот если бизнес > часов на несколько встанет, тут уже бабки конкретные... Нет, встать на бабки из-за потерянного инета тоже не очень приятно.
Кстати, а в интернет-бизнесе платятся какие-то налоги?
Защита от IDS26.03.02 13:07 Автор: cybervlad <cybervlad> Статус: Elderman
> > часов на несколько встанет, тут уже бабки > конкретные... > Нет, встать на бабки из-за потерянного инета тоже не очень > приятно. ну, если задействовать орг. меры ;) в частности, регулярно проверять сколько и откуда наработал в инете, то попадешь не сильно.
> Кстати, а в интернет-бизнесе платятся какие-то налоги? не понял вопрос. и насколько он относится к хакингу? ;)
про IDS11.03.02 19:50 Автор: douglas <я знаю - я сволочь, не надо мне об этом напоминать> Статус: Registered
> > Кто-нибудь знает как реально разобраться с IDS? Можт > дыры > > какие? > > А какая конкретно IDS ? > > В общих чертах способа всего 2; > > 1) Использовать уязвимости - отсутствующие в базе IDS > (найди СВОЮ уязвимость и юзай :)) > 2) Попытатся сгенерировать большое количество ложных > срабатываний IDS и работать "под шумок" Можно испльзовать не только свою уязвимость, но и недавно открытую(тогда, правда, придется месяцами торчать на securitylab.ru и securityfocus.com)
подробно о проекте
Анализ криптографических сетевых...
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
