Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
| | |
Защита от IDS 12.03.02 14:15 Число просмотров: 1388
Автор: XR <eXtremal Research> Статус: The Elderman
|
> > 1) Использовать уязвимости - отсутствующие в базе IDS
> > (найди СВОЮ уязвимость и юзай :))
> Хм. IDS разные бывают. Она ведь может не сигнатуры пасти, а
> "необычную активность".
Ну это в чистом виде п.2
> > 2) Попытатся сгенерировать большое количество ложных
> > срабатываний IDS и работать "под шумок"
> Если эксплуатируется не через анал, не поможет. Через 2-3
2-3 месяца ? В случае успешной атаки цель достигается за 15 минут
> месяца работы с логами "мусор" отсеиваешь автоматом...
IDS далеко не панацея а всего лишьодиниз инструментов защиты
|
|
<hacking>
|
Защита от IDS 07.03.02 19:16 Штраф: 10 [Glory]
Автор: douglas <я знаю - я сволочь, не надо мне об этом напоминать> Статус: Registered
|
|
Кто-нибудь знает как реально разобраться с IDS? Можт дыры какие?
|
|
Защита от IDS 12.03.02 09:14
Автор: cybervlad <cybervlad> Статус: Elderman
|
> Кто-нибудь знает как реально разобраться с IDS? Можт дыры
> какие?
1. Для разнообразия скажи как IDS зовут (телепаты в отпуске).
2. Ты уверен, что бороться надо? Может, это honeynet? (http://cybervlad.port5.com/lspitz/)
|
|
Защита от IDS 11.03.02 17:08
Автор: XR <eXtremal Research> Статус: The Elderman
|
> Кто-нибудь знает как реально разобраться с IDS? Можт дыры
> какие?
А какая конкретно IDS ?
В общих чертах способа всего 2;
1) Использовать уязвимости - отсутствующие в базе IDS (найди СВОЮ уязвимость и юзай :))
2) Попытатся сгенерировать большое количество ложных срабатываний IDS и работать "под шумок"
|
| |
Защита от IDS 12.03.02 09:11
Автор: cybervlad <cybervlad> Статус: Elderman
|
> 1) Использовать уязвимости - отсутствующие в базе IDS
> (найди СВОЮ уязвимость и юзай :))
Хм. IDS разные бывают. Она ведь может не сигнатуры пасти, а "необычную активность".
> 2) Попытатся сгенерировать большое количество ложных
> срабатываний IDS и работать "под шумок"
Если эксплуатируется не через анал, не поможет. Через 2-3 месяца работы с логами "мусор" отсеиваешь автоматом...
|
| | |
Защита от IDS 12.03.02 14:15
Автор: XR <eXtremal Research> Статус: The Elderman
|
> > 1) Использовать уязвимости - отсутствующие в базе IDS
> > (найди СВОЮ уязвимость и юзай :))
> Хм. IDS разные бывают. Она ведь может не сигнатуры пасти, а
> "необычную активность".
Ну это в чистом виде п.2
> > 2) Попытатся сгенерировать большое количество ложных
> > срабатываний IDS и работать "под шумок"
> Если эксплуатируется не через анал, не поможет. Через 2-3
2-3 месяца ? В случае успешной атаки цель достигается за 15 минут
> месяца работы с логами "мусор" отсеиваешь автоматом...
IDS далеко не панацея а всего лишьодиниз инструментов защиты
|
| | | |
Защита от IDS 18.03.02 13:03
Автор: cybervlad <cybervlad> Статус: Elderman
|
> > Хм. IDS разные бывают. Она ведь может не сигнатуры
> пасти, а
> > "необычную активность".
>
> Ну это в чистом виде п.2
а что, "необычная активность" только количеством меряется? где тебя таким гадостям научили? ;)
> > Если эксплуатируется не через анал, не поможет. Через
> 2-3
>
>
> 2-3 месяца ? В случае успешной атаки цель достигается за 15
> минут
для особо непонятливых: за 2-3 месяца оператор IDS набирается опыта и отстраивает фильтры, равно как и глаз наметывается. логика у тебя странная:
- крепостная стена вокруг города строится несколько лет
- фигня, город без стены можно захватить за час!
моментом внедрения IDS считается не момент ее запуска, а момент окончательной отстройки и обучения персонала. до того, можно считать, что ее нет.
> IDS далеко не панацея а всего лишьодиниз инструментов
> защиты
спасибо за "свежую" мысль. ;)
|
| | | | |
Защита от IDS 21.03.02 17:44
Автор: XR <eXtremal Research> Статус: The Elderman
|
> > > Хм. IDS разные бывают. Она ведь может не
> сигнатуры
> > пасти, а
> > > "необычную активность".
> >
> > Ну это в чистом виде п.2
> а что, "необычная активность" только количеством меряется?
> где тебя таким гадостям научили? ;)
>
Жизнь научила ... :)
BTW: Что - современные IDS уже научились не реагировать на кажный пятый HTTP запрос как на Unicode attack ;)))?
Помнится год полтора назад количество ложных срабатываний по этому поводу как раз доходило до такой цифры ...
BTW2: Вы помните прошлогоднюю атаку червей ? Как там IDS реагировала ? Винта для логов хватало ? :))
> > > Если эксплуатируется не через анал, не поможет.
> Через
> > 2-3
> >
> >
> > 2-3 месяца ? В случае успешной атаки цель достигается
> за 15
> > минут
> для особо непонятливых: за 2-3 месяца оператор IDS
> набирается опыта и отстраивает фильтры, равно как и глаз
> наметывается. логика у тебя странная:
> - крепостная стена вокруг города строится несколько лет
> - фигня, город без стены можно захватить за час!
> моментом внедрения IDS считается не момент ее запуска, а
> момент окончательной отстройки и обучения персонала. до
> того, можно считать, что ее нет.
А как часто база уязвимостей IDS пополняется ? И после кажного пополнения мы бум "глаз наметывать" ?
Ситуация то меняется постоянно ... и новая атака всегда будет нетривиальна (IDS скорее всего не среагирует или реакция будет неадекватна да и оператору придется разбираться с этим больше чем 15 минут) - на то она и новая.
> > IDS далеко не панацея а всего лишьодиниз
> инструментов
> > защиты
> спасибо за "свежую" мысль. ;)
Пожалуйста :) Просто после Ваших категоричных постингов у меня создалось именно такое впечатление ....
|
| | | | | |
Защита от IDS 22.03.02 11:18
Автор: cybervlad <cybervlad> Статус: Elderman
|
> BTW: Что - современные IDS уже научились не реагировать на
> кажный пятый HTTP запрос как на Unicode attack ;)))?
IDS реагирует на совпадение трафика с сигнатурой атаки. так что приведенный пример относится к качеству сигнатур, которое, не спорю, оставляет желать лучшего. лично я довольно большую их часть выбрасываю, многие переделываю...
> BTW2: Вы помните прошлогоднюю атаку червей ? Как там IDS
> реагировала ? Винта для логов хватало ? :))
конечно помню.
вот машина, отработавшая IDS с 09.09.01 по 19.03.02
snorty# df
Filesystem 1k-blocks Used Available Use% Mounted on
/dev/hda2 982200 250336 681968 27% /
snorty# mysql -B snort_log -e "select count(*) from event \g"
count(*)
48971
причем, у нее гораздо более одной сетевой платы и она контролировала 2 сегмента с не самыми забытыми в инете веб-серверами ;)
собсно, и сечас 80-90% записей в IDS провоцируются червяками. но в любом случае, правильная настройка IDS - рулит ;)
> А как часто база уязвимостей IDS пополняется ? И после
регулярно
> кажного пополнения мы бум "глаз наметывать" ?
а что, она на 99% меняется и ежедневно? или diff уже отменили для просмотра изменений?
> Ситуация то меняется постоянно ... и новая атака всегда
> будет нетривиальна (IDS скорее всего не среагирует или
> реакция будет неадекватна да и оператору придется
> разбираться с этим больше чем 15 минут) - на то она и
> новая.
покупайте IDS с регулрно обновляемыми базами, обучите персонал. никто и не говорил, что все тривиально.
кстати, мы плавно перешли на сигнатуры, в то время как дискуссия началась с "определения необычной активности". Вы совершенно справедливо заметили, что подход должен быть комплексным. т.е. IDS должна анализировать трафик и на предмет статистических отклонений (необычная активность), и на предмет определенных атак (signature match).
> > спасибо за "свежую" мысль. ;)
>
> Пожалуйста :) Просто после Ваших категоричных постингов у
> меня создалось именно такое впечатление ....
в котором месте они категоричные? суть моего постинга как раз сводилась к тому, что фигли пытаться объехать IDS, если контора набирала персонал не на вокзале (там дешевле обычно), то защита сделана комплексно и даже обманув один из ее элементов, злоумышленник будет засечен другим.
возможно, в той конторе, о которой говорил вопрошавший, все сделано именно через анал и админы исключительно с дисфункцией мозга ;) (слабо верится). я лишь заметил, что совет "сгенерировать много ложных сообщений" не является универсальным средством обхода IDS.
|
| | | | | | |
Защита от IDS 22.03.02 20:24
Автор: Renkvil <Boris> Статус: Member
|
Привет!
> суть моего постинга как
> раз сводилась к тому, что фигли пытаться объехать IDS, если
> контора набирала персонал не на вокзале (там дешевле
> обычно), то защита сделана комплексно и даже обманув один
> из ее элементов, злоумышленник будет засечен другим.
> возможно, в той конторе, о которой говорил вопрошавший, все
> сделано именно через анал и админы исключительно с
> дисфункцией мозга ;)
Если немного абстагироваться от конкретной IDS с её конкретными правилами, настройками и админами, то получается борьбы щита и меча, в котрой обе стороны наращивают темпы.
Щиты равно как и мечи у всех разные, поэтому кто в конкретном случае знает/умеет больше, тот и "побеждает".
Т.е. то, что по идее самый прекрасно настроенный IDS (и только)сломается, если такую задачу поставит CIA+FBI+L0pht+CCC+...+хакер Выся в общем не исключено, но вероятность такого совпадения заинтересованости в конкретной IDS ВСЕМИ очень низка, и при грамотно настроенной инастраеваемойв progressive IDS, вероятность её провала крайне низка, и где-то говорили что
lim x = 0, а абсолютно на 100% ничего не бывает.
x->0,%
P.S. У меня самая эффективная IDS: вероятность её обхода 0%, логов редко порождает, называется Win MEБЕЗIDS :-)
Борис.
|
| | | | | | | |
Защита от IDS 25.03.02 07:39
Автор: cybervlad <cybervlad> Статус: Elderman
|
> P.S. У меня самая эффективная IDS: вероятность её обхода
> 0%, логов редко порождает, называется Win MEБЕЗIDS :-)
анекдот про "Неуловимого Джо" знаешь? ;)
твоя win_me кроме тебя мало кого интересует, а мне промышленные сервера пасти приходится...
p.s. я еще могу идеальный firewall порекомендовать: вынуть сетевой шнур, а лучше шнур питания
|
| | | | | | | | |
Защита от IDS 25.03.02 13:29
Автор: XR <eXtremal Research> Статус: The Elderman
|
, а мне
> промышленные сервера пасти приходится...
Можно глупый вопрос ? :)
А зачемпромышленнымсерверам вообще выход в Inet ?
или промышленностьу нас сейчас в дот.ком в основном функционирует ? :)))
|
| | | | | | | | | |
Защита от IDS 25.03.02 14:33
Автор: cybervlad <cybervlad> Статус: Elderman
|
> > промышленные сервера пасти приходится...
>
> Можно глупый вопрос ? :)
можно ;)
> А зачемпромышленнымсерверам вообще выход в Inet ?
очепятка: вместо "промышленный" читать "производственный" ;)
надеюсь, оказание (производство) услуг через инет - не удивительно? ;)
> или промышленностьу нас сейчас в дот.ком в основном
> функционирует ? :)))
у нас - нет. а вообще, это не такая уж и экзотика. наблюдал аппарат для УЗИ, который для апгрейда микрокода хотел коннект к сайту производителя. правда, я бы поостерегся ложится под такой аппарат, чего доброго похакают и вместо картинки печени косточки ультразвуком раздробит ;)
|
| | | | | | | | | | |
Защита от IDS 25.03.02 16:53
Автор: XR <eXtremal Research> Статус: The Elderman
|
> > А зачемпромышленнымсерверам вообще выход в Inet ?
> очепятка: вместо "промышленный" читать "производственный"
> ;)
Ну тады ой :))
>
> > или промышленностьу нас сейчас в дот.ком в
> основном
> > функционирует ? :)))
> у нас - нет. а вообще, это не такая уж и экзотика. наблюдал
> аппарат для УЗИ, который для апгрейда микрокода хотел
> коннект к сайту производителя. правда, я бы поостерегся
> ложится под такой аппарат, чего доброго похакают и вместо
> картинки печени косточки ультразвуком раздробит ;)
Да уж :)))
Я вот тоже софт для UPS-ов - инсталю с опаской :) всетаки сильноточное оборудование
а при неудачном апдейте такого рода этож чистая бомба :)
|
| | | | | | | | | | | |
Защита от IDS 26.03.02 13:13
Автор: cybervlad <cybervlad> Статус: Elderman
|
> > очепятка: вместо "промышленный" читать
> "производственный"
> > ;)
>
> Ну тады ой :))
ну, привык еще с советских времен "опытная эксплуатация", оОпытно-промышленная эксплуатация", "промышленная эксплуатация" ;) это сейчас понахватались всяких модных "бета-тестингов", как будто русских слов для обозначения степени отлаженности не хватает ;)
> Я вот тоже софт для UPS-ов - инсталю с опаской :) всетаки
> сильноточное оборудование
> а при неудачном апдейте такого рода этож чистая бомба :)
зато удобно. повисло удаленное оборудование, UPS дернул, оно и перезагрузилось. мне вот сегодня по причине отсутствия такой фичи пришлось брать свою задницу и нести ее в серверную, пешком, на 4 этаж ;)
|
| | | | | | | | |
Защита от IDS 25.03.02 12:20
Автор: douglas <я знаю - я сволочь, не надо мне об этом напоминать> Статус: Registered
|
> > P.S. У меня самая эффективная IDS: вероятность её
> обхода
> > 0%, логов редко порождает, называется Win MEБЕЗIDS
> :-)
> анекдот про "Неуловимого Джо" знаешь? ;)
> твоя win_me кроме тебя мало кого интересует, а мне
> промышленные сервера пасти приходится...
> p.s. я еще могу идеальный firewall порекомендовать: вынуть
> сетевой шнур, а лучше шнур питания
Да нет его МЕ нужна только ламерцам-любителям халявы. Здесь и любой firewall подойдет.
|
| | | | | | | | | |
Защита от IDS 25.03.02 14:35
Автор: cybervlad <cybervlad> Статус: Elderman
|
> > сетевой шнур, а лучше шнур питания
> Да нет его МЕ нужна только ламерцам-любителям халявы. Здесь
> и любой firewall подойдет.
собственно, вопрос даже не в том, кому это надо, а в потенциальных последствиях. хак личной тачки - обидно за стертые игрушки и ругательные надписи, а вот если бизнес часов на несколько встанет, тут уже бабки конкретные...
|
| | | | | | | | | | |
Защита от IDS 25.03.02 18:04
Автор: Renkvil <Boris> Статус: Member
|
> > Да нет его МЕ нужна только ламерцам-любителям халявы.
Пусть они попробуют вытащить .pwl-ки или отформатить диск.
При всей незащищённости системы.
|
| | | | | | | | | | |
Защита от IDS 25.03.02 16:38
Автор: douglas <я знаю - я сволочь, не надо мне об этом напоминать> Статус: Registered
|
> собственно, вопрос даже не в том, кому это надо, а в
> потенциальных последствиях. хак личной тачки - обидно за
> стертые игрушки и ругательные надписи, а вот если бизнес
> часов на несколько встанет, тут уже бабки конкретные...
Нет, встать на бабки из-за потерянного инета тоже не очень приятно.
Кстати, а в интернет-бизнесе платятся какие-то налоги?
|
| | | | | | | | | | | |
Защита от IDS 26.03.02 13:07
Автор: cybervlad <cybervlad> Статус: Elderman
|
> > часов на несколько встанет, тут уже бабки
> конкретные...
> Нет, встать на бабки из-за потерянного инета тоже не очень
> приятно.
ну, если задействовать орг. меры ;) в частности, регулярно проверять сколько и откуда наработал в инете, то попадешь не сильно.
> Кстати, а в интернет-бизнесе платятся какие-то налоги?
не понял вопрос. и насколько он относится к хакингу? ;)
|
| |
про IDS 11.03.02 19:50
Автор: douglas <я знаю - я сволочь, не надо мне об этом напоминать> Статус: Registered
|
> > Кто-нибудь знает как реально разобраться с IDS? Можт
> дыры
> > какие?
>
> А какая конкретно IDS ?
>
> В общих чертах способа всего 2;
>
> 1) Использовать уязвимости - отсутствующие в базе IDS
> (найди СВОЮ уязвимость и юзай :))
> 2) Попытатся сгенерировать большое количество ложных
> срабатываний IDS и работать "под шумок"
Можно испльзовать не только свою уязвимость, но и недавно открытую(тогда, правда, придется месяцами торчать на securitylab.ru и securityfocus.com)
|
|
|
подробно о проекте
Анализ криптографических сетевых...
