¿Pueden los atacantes aprovechar el SSL de un sitio para "ocultar" los ataques de un IPS?

Navega tus respuestas
2

Estoy ejecutando un IDS en el exterior de mi firewall (no sé lo ideal) y un IDS en el interior de mi LAN ejecutando los mismos algoritmos y definiciones de detección. Mi sitio web redirige automáticamente todas las solicitudes HTTP a HTTPS. Mi IDS detecta con frecuencia las exploraciones de nmap, los análisis de OpenVAS, los intentos de inyección de código variable de GNU Bash Environment, etc. en el interior de mi LAN que mi IPS no ve o bloquea en el exterior de mi red. Supongo que esto se debe a que estos ataques vienen encriptados usando mi propio SSL y como mi IPS en el exterior no aloja mis certificados SSL, no puede ver estos ataques. El tráfico se descifra en mi LAN mediante un equilibrador de carga que aloja los SSL antes de pasar el tráfico a los servidores IIS y aquí es donde el IDS detecta los ataques.

Mi única conclusión basada en la falta de detección de estos ataques es que los paquetes ingresan a nuestra red encriptados con nuestros propios certificados SSL y, por lo tanto, son "invisibles" para el IPS.

¿Es posible, o incluso común, que estos intentos de explotación utilicen los certificados SSL propios de un objetivo para evitar la detección?

    
pregunta CptnKeith 20.07.2016 - 21:04
fuente

3 respuestas

2

Sí, este es un problema conocido, también puede enrutar todo tipo de ataques a servidores a través de una variedad de protocolos cifrados usando proxies del lado del cliente SSL / TLS, u otros servicios del lado del cliente solo para facilitar los ataques. Esto crea una situación en la que, en algunas redes, los ataques contra un oyente http no serían efectivos (detectados / bloqueados por un control de seguridad), pero atacar al oyente https equivalente sería muy efectivo porque no sería detectado / bloqueado. En algunos casos, también evitará otros controles de seguridad, como las capacidades de inspección del cortafuegos.

De manera similar, los atacantes pueden tener más éxito atacando cosas como demonios SSH, VPN o servicios cifrados SSL / TLS como servidores de correo por la misma razón.

Nota: también puede agregar capacidades de descifrado a su IDS / IPS u otro dispositivo, o simplemente cambiar su ubicación arquitectónica para hacer frente a este problema. algunos dispositivos incluso terminarán la sesión SSL, la inspeccionarán y luego crearán una nueva sesión ssl en el servidor. Hay muchas maneras de solucionar este problema como defensor y sí, has descubierto el problema de primera mano.

    
respondido por el Trey Blalock 20.07.2016 - 22:15
fuente
0

Parece que ya tiene un equilibrador de carga que aloja el certificado en nombre de sus servidores web para que se pueda inspeccionar el SSL entrante después de que se descifre. Su equilibrador de carga debe tener una interfaz pública para descifrar su propio certificado SSL para que su IPS pueda inspeccionar.

Sin embargo, para clientes salientes, sus clientes se conectan directamente a un sitio web público que puede ser malicioso. En este caso, no podría descifrar este tráfico para buscar firmas malintencionadas de su IPS.

Una de las formas de disuadir tales amenazas web entrantes es la prevención. Y se puede hacer a través del filtrado de URL e inteligencia de IP seguida por una última línea de Defensa con software de protección de punto final.

    
respondido por el Davis 21.07.2016 - 08:44
fuente
0

La protección del punto final puede no ser suficiente y, a menudo, es vista como una última línea de Defensa.

Necesitas una solución WAF si.

¿Puedo preguntar específicamente a qué desafíos de enrutamiento enfrenta usted dentro de la misma subred? ¿Problema de la puerta de enlace predeterminada que puede pasar el tráfico de retorno lejos de un LB o IPS?

Para minimizar el impacto de tantos dispositivos de red, puede elegir las soluciones de WAF, LB, Firewall, IPS que se encuentran en un solo dispositivo, como F5. Si está programado para una actualización tecnológica, puede considerar eso.

Sé de una compañía que usa F5 para albergar casi todas las soluciones de red. Muy raro, pero supongo que tienen una seria restricción presupuestaria.

    
respondido por el Davis 22.07.2016 - 00:01
fuente

Lea otras preguntas en las etiquetas

¿Es una buena práctica la detección de rootkits mediante la comparación de listas de archivos, procesos y conexiones? ¿Qué podría hacer alguien si supiera mi dirección MAC? [duplicar]