IPS te omzeilen met Apache HTTP server
Via de Apache HTTP server is het mogelijk om Intrusion Prevention Systemen te omzeilen, zo waarschuwt de bekende beveiligingsonderzoeker H.D. Moore. De man achter het Metasploit Project ontdekte twee manieren hoe de "Apache request parsing code" misbruikt kan worden om veel commerciële IPS-produkten te omzeilen. Het probleem is al enige tijd bekend, en al meerdere malen door Moore besproken. Zo blijkt dat whitespaces en HTTP requests die 0x0c, 0x0b en 0x0d gebruiken niet goed gedecodeerd worden.
Snort heeft het decoderen van dit soort requests inmiddels opgelost, maar veel commerciële IPS-aanbieders hebben dit niet gedaan. Er was zelfs een vendor die wel het 0x0d probleem oploste, maar de check op 0x0b en 0x0c vergat. Meer voorbeelden zijn te vinden in deze beschrijving van het probleem.
alles kunnen filteren
IMHO is Snort een zeer goed pakket.
Geniaal is de oplossing wanneer deze wordt geinstalleerd in
een Bridge configuratie en daardoor totaal onzichtbaar
tussen het Internet en je server omgeving.
http://bridge.sourceforge.net/
Geniaal is de oplossing wanneer deze wordt geinstalleerd in
een Bridge configuratie en daardoor totaal onzichtbaar
tussen het Internet en je server omgeving.
http://bridge.sourceforge.net/
Nu ja geniaal. Vanuit een netwerk design standpunt toch
niet: je introduceert dan een transparante server in een
netwerkomgeving... Da's enkel nuttig in een DMZ.
In een backbone waar LACP of Etherchannel wordt gebruikt is
iets met disken in dat voor zijn NIC drivers afhankelijk is
van de bootup van de hele OS zooi een veel te groot gevaar
voor de stabiliteit van het netwerk.
Vandaar dat in dat segment de McAfee's en Tippingpoint's van
deze wereld heersen. No moving parts in the network.
kort: er zijn veel Intrusion Prevention Systemen die niet
alles kunnen filteren
IMHO is Snort een zeer goed pakket.
IPS staat voor Intrusion Protection System. Een IPS is
instaat om een verkeersstroom te onderbreken wanneer een
bepaald pattern voorbij komt.
Snort is een IDS, Intrusion Detection System. Een IDS kan
alleen maar signaleren.
2 kompleet verschillende zaken.
kort: er zijn veel Intrusion Prevention Systemen die niet
alles kunnen filteren
IMHO is Snort een zeer goed pakket.
IPS staat voor Intrusion Protection System. Een IPS is
instaat om een verkeersstroom te onderbreken wanneer een
bepaald pattern voorbij komt.
Snort is een IDS, Intrusion Detection System. Een IDS kan
alleen maar signaleren.
2 kompleet verschillende zaken.
http://www.snort.org/docs/snort_htmanuals/htmanual_2615/node11.html
service doeleinden en gebruik Snort nu bijna twee jaar om de
smb server te 'beschermen'.
De eerste zes maanden maakte ik alleen gebruik van de gratis
services die Snort heeft. Daar heb ik uit noodzaak
verandering in moeten brengen en maak nu gebruik van de
abbo. service. Zonder deze service hebben kwaadwillenden te
veel tijd om een evt. exploit te misbruiken omdat het Snort
systeem niet up to date is.
Ik heb met de abbo. service geen enkel probleem, het is
tenslotte gratis software (OSS). Wat wel duidelijk moet zijn
is dat Snort kwetsbaar kan zijn in een 'hobby' omgeving
zonder abbo. services..
Maar het werkt zeer goed en klaag niet over Snort en haar
functionaliteiten.
(OSS) en de MS IIS servers (Prop.) de afgelopen tijd...
Waar Apache / Linux vernieuwend is (en dus veiliger /
stabieler), moet MS IIS worden uitgebreid (en dus
instabieler / kwetsbaarder).
Een MS server kan redelijk veilig worden geconfigureert,
alleen moet men dan wel veel functionaliteiten verwijderen
en/of uitschakelen, en juist dat is waarom *NIX servers 60%
van de servermarkt in handen heeft. (veilig, stabiel en
functioneel)
Wat een flame war is er gaande over Iinux / apache servers
(OSS) en de MS IIS servers (Prop.) de afgelopen tijd...
Was mij ook opgevallen!
Wat extra olie op het vuur: misschien dat het ligt aan
recentelijk nieuws dat Linux inderdaad veiliger blijkt te
zijn en beter presteert zoals echte metingen al aantoonde
ipv marketing verhaaltjes ?
Geniaal is de oplossing... in een Bridge configuratie en
daardoor totaal onzichtbaar tussen het Internet en je
server omgeving.
http://bridge.sourceforge.net/
Nu ja geniaal. Vanuit een netwerk design standpunt toch
niet: je introduceert dan een transparante server in een
netwerkomgeving... Da's enkel nuttig in een DMZ.
Zucht , blijkbaar heb je nooit gewerkt met Linux en deze
redundant gemaakt.
Geniaal is de oplossing... in een Bridge configuratie en
daardoor totaal onzichtbaar tussen het Internet en je
server omgeving.
http://bridge.sourceforge.net/
Nu ja geniaal. Vanuit een netwerk design standpunt toch
niet: je introduceert dan een transparante server in een
netwerkomgeving... Da's enkel nuttig in een DMZ.
Zucht , blijkbaar heb je nooit gewerkt met Linux en deze
redundant gemaakt.
Voordat je in zuchten uitbarst, deej heeft helemaal gelijk.
Je wilt in je multigigabit netwerk echt geen normale server
hardware plaatsen hoor (met of zonder linux).
Om nog even te zwijgen over het feit dat een linux doosje
enorm DOS gevoelig is. Uit zeer recentelijk onderzoek van de
AMS-ix blijkt dat de linux kernel bpf interface een limiet
van ~1,5Mfps heeft (getest op de snelste hardware
tegenwoordig beschikbaar met enorme hoeveelheid tweaks).
Dat is met optimale framesize een maximum van ~7.4Gbps (waar
huidige netwerken al op minimaal 10Gb werken). Echter met
een framesize van een ping is dat ~0.8Gbps! Dat is dus zeer
eenvoudig te (d)DOSsen.
kort: er zijn veel Intrusion Prevention Systemen die niet
alles kunnen filteren
IMHO is Snort een zeer goed pakket.
IPS staat voor Intrusion Protection System. Een IPS is
instaat om een verkeersstroom te onderbreken wanneer een
bepaald pattern voorbij komt.
Snort is een IDS, Intrusion Detection System. Een IDS kan
alleen maar signaleren.
2 kompleet verschillende zaken.
http://www.snort.org/docs/snort_htmanuals/htmanual_2615/node11.html
My god, weer zo'n onnozele die denkt dat als je een IDS inline zet het
opeens een IPS is. En dan maar klagen dat het teveel false-positives
genereert.....
kort: er zijn veel Intrusion Prevention Systemen die niet
alles kunnen filteren
IMHO is Snort een zeer goed pakket.
IPS staat voor Intrusion Protection System. Een IPS is
instaat om een verkeersstroom te onderbreken wanneer een
bepaald pattern voorbij komt.
Snort is een IDS, Intrusion Detection System. Een IDS kan
alleen maar signaleren.
2 kompleet verschillende zaken.
Moet ik je toch even corrigeren dat een IPS toch echt een Intrusion
PREVENTION Systeem is. Daarom staat een IPS ook in-band zodat het
pro-actief kan reageren. Een IDS echter staat out-of-band omdat het
slechts een detectie-systeem is.
My god, weer zo'n onnozele die denkt dat als je een IDS inline zet het opeens een IPS is. En dan maar klagen dat het teveel false-positives genereert.....
mv domme_flame /dev/null
Ik hou sowieso niet van IPS'en. Je KAN snort als IPS inzetten.
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.