¿Podría un IPS haber bloqueado un ataque en un enrutador / firewall vulnerable?

1

Pensando en las noticias recientes sobre los enrutadores SOHO vulnerables al ataque de VPNFilter: enlace .

Teóricamente, un dispositivo del Sistema de prevención de intrusiones (IPS) (Snort, Suricata, Cisco, Juniper, Barracuda, etc.) colocado entre un ISP / gateway y un enrutador / firewall vulnerable ha bloqueado el ataque, asumiendo una firma coincidente ¿Ya estaba instalado en la base de datos del dispositivo?

Más interesante aún, ¿alguien está al tanto de cualquier evidencia de que un IPS haya bloqueado tal ataque?

O, incluso si fuera posible bloquear un ataque de este tipo, ¿habría sido demasiado tarde si se tratara de un ataque de día cero?

Por lo general, IPS se ve como una herramienta para proteger a los usuarios finales del malware, aunque, a medida que se cifran más sitios web, algunos consideran que IPS es discutible, ya que no puede inspeccionar fácilmente dicho tráfico cifrado. ¿Pero podría ser útil bloquear los ataques en el enrutador / firewall?

    
pregunta medbot 31.05.2018 - 05:24
fuente

2 respuestas

1
  

Teóricamente, ¿podría un dispositivo del Sistema de prevención de intrusiones (IPS) ubicado entre un ISP / puerta de enlace y un enrutador / firewall vulnerable haber bloqueado el ataque, asumiendo que una firma coincidente ya estaba instalada en la base de datos del dispositivo?

Hay varias partes del ataque que podrían usarse para las firmas:

  • La infección inicial, que se realizó tal vez accediendo a la interfaz de administración remota de los sistemas a ser infectados. Si bien el intento de acceso a dicha interfaz puede considerarse malicioso en la mayoría de los casos, todavía existen motivos válidos para tal acceso, por lo que una firma relevante podría dar lugar a falsos positivos.
  • La comunicación C2 después de una infección exitosa. Según la información disponible, la comunicación se realizó mediante Tor o SSL. El uso de Tor en sí mismo puede ser sospechoso, pero también es legal, por lo que la posibilidad de falsos positivos también está aquí. SSL es difícil de analizar, pero uno solo puede verificar SSL a destinos específicos y luego buscar huellas dactilares atípicas del cliente (es decir, ClientHello). Pero, una vez más, existe la posibilidad de falsos positivos.

Si observa el informe de Cisco verá al final la cobertura para esto problema por los productos de Cisco y verá que parece depender de la detección de la comunicación C2.

  

O, incluso si fuera posible bloquear un ataque de este tipo, ¿habría sido demasiado tarde si se tratara de un ataque de día cero?

Si bien la infección inicial pudo haber sido de día cero (o no, dado que se atacaron los sistemas con problemas conocidos), la comunicación C2 posterior no lo fue. Por lo tanto, es posible que el ISP no haya podido proteger los sistemas contra infecciones, pero podría (con esfuerzos considerables) detectar el sistema infectado y limitar lo que podrían hacer informando a los clientes y / o limitando el tráfico de estos sistemas.

    
respondido por el Steffen Ullrich 31.05.2018 - 08:22
fuente
-1

Sí, un IPS podría haber bloqueado los ataques. En el ejemplo más simple, se puede crear una regla que coincidiría con cualquier paquete y lo eliminaría. En este caso, si bien no es práctico, bloquearía los ataques.

    
respondido por el MikeSchem 12.07.2018 - 23:40
fuente

Lea otras preguntas en las etiquetas