Hace un mes, Stonesoft (un constructor de IDS de Finlandia) lanzó una alerta sobre las Técnicas Avanzadas de Evasión.
Con estas técnicas, dicen ser capaces de lanzar ataques en una red sin ser detectados y bloqueados por el IDS.
¿Este hilo es real o solo es una campaña publicitaria?
Todos los detalles se pueden encontrar en el sitio web desarrollado por StoneSoft (http://www.antievasion.com/)
Lanzamiento de ventas de Stonesoft. Vi el video completo, y tal como dijo AviD, la evasión de IDS es real y surgen nuevas formas de evadir todo el tiempo.
Estos tipos probablemente encontraron una nueva técnica de evasión que ahora están comercializando con fuerza.
Para responder a su pregunta, creo que encontraron una técnica de evasión que aún no ha sido descubierta por la mayoría de los proveedores de IPS / IDS. Sin embargo, no pasará mucho tiempo hasta que esta técnica sea conocida por el público y todos los proveedores principales se parchen contra ella.
No sé específicamente sobre Stonesoft, pero no solo la evasión de IDS es real, sino que tampoco es nada nuevo.
Ha habido una gran cantidad de técnicas, vectores y ataques para evadir IDS, y en realidad, cualquier mecanismo de filtrado de red, que se remonta a al menos unos doce años más o menos al trabajo clásico de RainForestPuppy sobre mecanismos de evasión. Nuevas técnicas salen todo el tiempo.
Respuesta corta: si confía en IDS / IPS para proteger sus sistemas, la preocupación podría ser apropiada. NOTA: nunca debe confiar en IDS / IPS para proteger sus sistemas.
Estas técnicas están relacionadas con la evasión de IDS / IPS y no tienen relación con otros mecanismos de protección. Sus servicios expuestos deben estar actualizados en los parches de software y tener configuraciones tan restrictivas como sea posible. Los servicios que no necesitan estar expuestos deben estar restringidos a escuchar en localhost o protegidos por firewall o enrutador ACL. La capacidad de evadir su IDS / IPS es irrelevante si sus servicios no son accesibles, o si no tiene vulnerabilidades expuestas.
Su agente de relaciones públicas en enlace dice "Lo que también es interesante es que la mayoría de los proveedores no lo han hecho. tomado las evasiones en serio, y los motores de normalización de IPS no están a la altura de la tarea de manejar las permutaciones ". Eso es tanto una señal de alerta para mí como un artículo en Arxiv.org que dice que encontraron algo que Einstein pasó por alto.
Snort, como ejemplo destacado, tiene varias facilidades para tratar con las técnicas de evasión: El preprocesador frag3 vuelve a ensamblar los paquetes de IP fragmentados, teniendo en cuenta las políticas en el host de destino, para evitar las evasiones usando fragroute. El preprocesador de flujo vuelve a ensamblar los flujos tcp de una manera análoga. Las técnicas de evasión de Stonesoft, si son realmente novedosas, se integrarán a su vez.