¿La prevención de inyección IPS SQL en mi firewall es demasiado agresiva?

Navega tus respuestas
1

Tengo un firewall con algunos paquetes de inspección configurados para detectar ataques de Inyección de SQL. (Dell SonicWall NSA 3500) Hay una regla (URI de solicitud HTTP con declaración SQL (IF) 2) que parece considerar cualquier cadena como un ataque si "y" o "o" o algunas otras palabras están en una cadena de consulta.

Tengo un sitio web alojado detrás del firewall. Tiene una función de búsqueda. Un usuario escribe una frase en un cuadro de texto y esta cadena se envía al servidor, donde se analiza, se divide, se da masajes y se compila en un objetivo de búsqueda para ubicar entidades en el sistema que tienen contenido conforme a la solicitud de búsqueda ingresada por el usuario.

La cadena se publica en una solicitud GET. Si intento encontrar contenido con "esto o aquello", el firewall ve "O" y descarta la solicitud, porque a veces puedes escribir consultas SQL que tengan "o", supongo.

Puedo modificar mis propios sistemas para resolver este problema. Aquí no estoy interesado en encontrar formas de hacer que mi sistema funcione. En cambio, estoy interesado en comprender por qué se ha incluido la regla y si es bueno incluirla.

¿Una regla de firewall que dice algo así como "cualquier cadena de solicitud que tenga alguna palabra que pueda usarse para construir una declaración SQL malvada se considera mala, en sí misma" una regla razonable?

Omitir marineros

    
pregunta Robert Harvey 04.01.2017 - 20:44
fuente

2 respuestas

4

Los sistemas IPS no son dispositivos plug-and-play, set-and-forget. Deben ajustarse y controlarse constantemente para que funcionen de manera eficaz en su entorno. Si habilita todas las reglas posibles, obtendrá muchos falsos positivos como el que está viendo. Esa regla en particular puede tener sentido habilitarla en algunos entornos, pero claramente no es apropiada en su entorno su porque hay una gran cantidad de tráfico legítimo que coincide con esa regla.

El enfoque habitual para configurar un sistema IPS es ponerlo en modo de monitoreo pasivo, donde no bloquee el tráfico. Luego, las alertas se revisan manualmente y se deshabilitan las reglas que siguen provocando falsos positivos. Una vez que esté seguro de que el sistema no interferirá con el uso legítimo, puede volver a habilitar el bloqueo. Ajuste su IPS para que funcione con su entorno, no al revés.

    
respondido por el tlng05 04.01.2017 - 20:59
fuente
2

Además de los buenos y correctos consejos de implementación de @ tlng05 (Ajuste su IPS para que funcione con su entorno, no al revés), comenzaría por crear un caso de ejemplo sólido, que demuestre un uso comercial válido de la palabra "O "y también muestra los registros de IPS que hicieron que la herramienta descartara las conexiones. Puede continuar buscando en los registros en otros lugares donde la herramienta está interrumpiendo el tráfico comercial legítimo y reuniendo más datos. Pero no levantes las alarmas hasta que estés preparado.

Las razones son totalmente políticas. El equipo que instaló el IPS está sin duda orgulloso de su nueva y brillante herramienta, pueden ver que está siendo eficaz y probablemente se la hayan mostrado a los vicepresidentes y demás. Además, si dice "debería haberse instalado primero en el modo de informe, se probó de esta manera y se ajustaron las reglas antes de encenderlo", implica que no hicieron un buen trabajo al instalarlo. Se arriesga a que el equipo de IPS se ponga a la defensiva y se niegue a cooperar. Esto puede fácilmente volverse fuera de proporción, y ciertamente no quieres empeorar las cosas. Su presentación / informe debe mostrar solo algunos datos:

  1. El negocio permite legítimamente el uso de palabras como "AND" y "OR" en la interfaz de consulta pública.
  2. La herramienta IPS definitivamente interceptó estos mensajes e interrumpió las consultas legítimas de los usuarios (muestre los registros de IPS donde se activaron las reglas y proporcione una cantidad de clientes afectados aquí).
  3. Solo está buscando la corrección de las reglas específicas que interfieren con estas consultas.
  4. (opcional) Durante su trabajo con los archivos de registro, puede ver que la herramienta es eficaz y está haciendo un gran trabajo, y tiene mérito continuo en la organización.

No digas en ningún lugar aquí que el equipo de IPS no siguió los procedimientos adecuados, ni siquiera reconoce que existen procedimientos conocidos para instalar estos elementos. Deje que todo lo relacionado con la culpa simplemente se escape, sin respuesta. Finalmente, deje que el equipo de IPS se acredite para solucionar el problema.

Sí, esto puede ser "política interna de la compañía 101" cosas que ya sabes, pero no todos pueden pensar en abordar un problema como este tan cuidadosamente como podrían.

    
respondido por el John Deters 04.01.2017 - 22:28
fuente

Lea otras preguntas en las etiquetas

¿Se conoce generalmente el esquema de cifrado de los algoritmos de clave pública? ¿Cómo puede HelloSign estar seguro sin ninguna autenticación? [duplicar]