image

IPS te omzeilen met Apache HTTP server

woensdag 20 juni 2007, 15:05 door Redactie, 13 reacties

Via de Apache HTTP server is het mogelijk om Intrusion Prevention Systemen te omzeilen, zo waarschuwt de bekende beveiligingsonderzoeker H.D. Moore. De man achter het Metasploit Project ontdekte twee manieren hoe de "Apache request parsing code" misbruikt kan worden om veel commerciële IPS-produkten te omzeilen. Het probleem is al enige tijd bekend, en al meerdere malen door Moore besproken. Zo blijkt dat whitespaces en HTTP requests die 0x0c, 0x0b en 0x0d gebruiken niet goed gedecodeerd worden.

Snort heeft het decoderen van dit soort requests inmiddels opgelost, maar veel commerciële IPS-aanbieders hebben dit niet gedaan. Er was zelfs een vendor die wel het 0x0d probleem oploste, maar de check op 0x0b en 0x0c vergat. Meer voorbeelden zijn te vinden in deze beschrijving van het probleem.

Reacties (13)
20-06-2007, 15:40 door Anoniem
kort: er zijn veel Intrusion Prevention Systemen die niet
alles kunnen filteren

IMHO is Snort een zeer goed pakket.

Geniaal is de oplossing wanneer deze wordt geinstalleerd in
een Bridge configuratie en daardoor totaal onzichtbaar
tussen het Internet en je server omgeving.
http://bridge.sourceforge.net/
20-06-2007, 16:01 door [Account Verwijderd]
Door Anoniem
Geniaal is de oplossing wanneer deze wordt geinstalleerd in
een Bridge configuratie en daardoor totaal onzichtbaar
tussen het Internet en je server omgeving.
http://bridge.sourceforge.net/

Nu ja geniaal. Vanuit een netwerk design standpunt toch
niet: je introduceert dan een transparante server in een
netwerkomgeving... Da's enkel nuttig in een DMZ.

In een backbone waar LACP of Etherchannel wordt gebruikt is
iets met disken in dat voor zijn NIC drivers afhankelijk is
van de bootup van de hele OS zooi een veel te groot gevaar
voor de stabiliteit van het netwerk.

Vandaar dat in dat segment de McAfee's en Tippingpoint's van
deze wereld heersen. No moving parts in the network.
20-06-2007, 16:34 door Anoniem
Door Anoniem
kort: er zijn veel Intrusion Prevention Systemen die niet
alles kunnen filteren

IMHO is Snort een zeer goed pakket.

IPS staat voor Intrusion Protection System. Een IPS is
instaat om een verkeersstroom te onderbreken wanneer een
bepaald pattern voorbij komt.

Snort is een IDS, Intrusion Detection System. Een IDS kan
alleen maar signaleren.

2 kompleet verschillende zaken.
20-06-2007, 17:13 door SirDice
Door Anoniem
Door Anoniem
kort: er zijn veel Intrusion Prevention Systemen die niet
alles kunnen filteren

IMHO is Snort een zeer goed pakket.

IPS staat voor Intrusion Protection System. Een IPS is
instaat om een verkeersstroom te onderbreken wanneer een
bepaald pattern voorbij komt.

Snort is een IDS, Intrusion Detection System. Een IDS kan
alleen maar signaleren.

2 kompleet verschillende zaken.
Wel eens de handleiding gelezen?

http://www.snort.org/docs/snort_htmanuals/htmanual_2615/node11.html
20-06-2007, 19:17 door Anoniem
Ik draai al enkele jaren een samba servertje op het www voor
service doeleinden en gebruik Snort nu bijna twee jaar om de
smb server te 'beschermen'.

De eerste zes maanden maakte ik alleen gebruik van de gratis
services die Snort heeft. Daar heb ik uit noodzaak
verandering in moeten brengen en maak nu gebruik van de
abbo. service. Zonder deze service hebben kwaadwillenden te
veel tijd om een evt. exploit te misbruiken omdat het Snort
systeem niet up to date is.

Ik heb met de abbo. service geen enkel probleem, het is
tenslotte gratis software (OSS). Wat wel duidelijk moet zijn
is dat Snort kwetsbaar kan zijn in een 'hobby' omgeving
zonder abbo. services..
Maar het werkt zeer goed en klaag niet over Snort en haar
functionaliteiten.
20-06-2007, 19:30 door Anoniem
Wat een flame war is er gaande over Iinux / apache servers
(OSS) en de MS IIS servers (Prop.) de afgelopen tijd...

Waar Apache / Linux vernieuwend is (en dus veiliger /
stabieler), moet MS IIS worden uitgebreid (en dus
instabieler / kwetsbaarder).

Een MS server kan redelijk veilig worden geconfigureert,
alleen moet men dan wel veel functionaliteiten verwijderen
en/of uitschakelen, en juist dat is waarom *NIX servers 60%
van de servermarkt in handen heeft. (veilig, stabiel en
functioneel)
20-06-2007, 20:22 door Anoniem
Door Anoniem
Wat een flame war is er gaande over Iinux / apache servers
(OSS) en de MS IIS servers (Prop.) de afgelopen tijd...

Was mij ook opgevallen!

Wat extra olie op het vuur: misschien dat het ligt aan
recentelijk nieuws dat Linux inderdaad veiliger blijkt te
zijn en beter presteert zoals echte metingen al aantoonde
ipv marketing verhaaltjes ?
20-06-2007, 20:31 door Anoniem
Door deej
Door Anoniem
Geniaal is de oplossing... in een Bridge configuratie en
daardoor totaal onzichtbaar tussen het Internet en je
server omgeving.
http://bridge.sourceforge.net/

Nu ja geniaal. Vanuit een netwerk design standpunt toch
niet: je introduceert dan een transparante server in een
netwerkomgeving... Da's enkel nuttig in een DMZ.

Zucht , blijkbaar heb je nooit gewerkt met Linux en deze
redundant gemaakt.
21-06-2007, 10:03 door Trellian
Door Anoniem
Door deej
Door Anoniem
Geniaal is de oplossing... in een Bridge configuratie en
daardoor totaal onzichtbaar tussen het Internet en je
server omgeving.
http://bridge.sourceforge.net/

Nu ja geniaal. Vanuit een netwerk design standpunt toch
niet: je introduceert dan een transparante server in een
netwerkomgeving... Da's enkel nuttig in een DMZ.

Zucht , blijkbaar heb je nooit gewerkt met Linux en deze
redundant gemaakt.

Voordat je in zuchten uitbarst, deej heeft helemaal gelijk.
Je wilt in je multigigabit netwerk echt geen normale server
hardware plaatsen hoor (met of zonder linux).
Om nog even te zwijgen over het feit dat een linux doosje
enorm DOS gevoelig is. Uit zeer recentelijk onderzoek van de
AMS-ix blijkt dat de linux kernel bpf interface een limiet
van ~1,5Mfps heeft (getest op de snelste hardware
tegenwoordig beschikbaar met enorme hoeveelheid tweaks).
Dat is met optimale framesize een maximum van ~7.4Gbps (waar
huidige netwerken al op minimaal 10Gb werken). Echter met
een framesize van een ping is dat ~0.8Gbps! Dat is dus zeer
eenvoudig te (d)DOSsen.
21-06-2007, 12:51 door Anoniem
Snort gnort flort,
Nix opensource.

ISA 2006 enterprise.
21-06-2007, 19:17 door Anoniem
Door SirDice
Door Anoniem
Door Anoniem
kort: er zijn veel Intrusion Prevention Systemen die niet
alles kunnen filteren

IMHO is Snort een zeer goed pakket.

IPS staat voor Intrusion Protection System. Een IPS is
instaat om een verkeersstroom te onderbreken wanneer een
bepaald pattern voorbij komt.

Snort is een IDS, Intrusion Detection System. Een IDS kan
alleen maar signaleren.

2 kompleet verschillende zaken.
Wel eens de handleiding gelezen?

http://www.snort.org/docs/snort_htmanuals/htmanual_2615/node11.html

My god, weer zo'n onnozele die denkt dat als je een IDS inline zet het
opeens een IPS is. En dan maar klagen dat het teveel false-positives
genereert.....
25-06-2007, 12:25 door Anoniem
Door Anoniem
Door Anoniem
kort: er zijn veel Intrusion Prevention Systemen die niet
alles kunnen filteren

IMHO is Snort een zeer goed pakket.

IPS staat voor Intrusion Protection System. Een IPS is
instaat om een verkeersstroom te onderbreken wanneer een
bepaald pattern voorbij komt.

Snort is een IDS, Intrusion Detection System. Een IDS kan
alleen maar signaleren.

2 kompleet verschillende zaken.

Moet ik je toch even corrigeren dat een IPS toch echt een Intrusion
PREVENTION Systeem is. Daarom staat een IPS ook in-band zodat het
pro-actief kan reageren. Een IDS echter staat out-of-band omdat het
slechts een detectie-systeem is.
25-06-2007, 12:46 door SirDice
Door Anoniem
My god, weer zo'n onnozele die denkt dat als je een IDS inline zet het opeens een IPS is. En dan maar klagen dat het teveel false-positives genereert.....

mv domme_flame /dev/null

Ik hou sowieso niet van IPS'en. Je KAN snort als IPS inzetten.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.