Saldırı Engelleme Sistemlerinde ciddi tasarım hatası(?)

Daha önce 10Gbps’lik IPS testleri yaptığımı FriendFeed’de yazmıştım.  Bu testler esnasında üreticilerden biri(ki benim IPS’ler arasından en güvendiğimi iki IPS’den biridir)nin sistemleriyle ilgili ciddi bir tasarim hatasiyla karşılaştık. Aslında bu hata IPS üreticisine göre bir özellikti, bize göre ise bir bug (Tam bir klasik  “it’s not a bug, it’s a feature” durumu).

Aşağıdaki problemin detayını yazmaya çalışacağım, konu hakkında bilgisi olanlar yorumlarıyla zenginleştirebilirse memnun olurum.

 

 

 

 

 

 

 

 

 

 

 

 Sorun: Firewall , Router’in MAC adresini biliyor(static). Firewall internete doğru bir TCP paketi gönderdiğinde paket Switch’e geliyor, Switch’de Router’in MAC adresi kayıtlı olmadğı için tüm portlara bu TCP paketini(SYN) basıyor. IPS’de switche bağlı olduğu için bu SYN paketini alıyor ve SYNCookie aktif olduğu için SYN+ACK dönüyor. Firewall router yerine paketleri IPS’e gönderiyor ve bağlantısı dünyayla kopuyor…

Burada IPS’in  B tarafında koruma altına aldığı sistemler(ip adresleri) için syncookie dönmesi normal fakat A tarafında kendisine ait olmayan sistemleri korumaya çalışması sistemleri zora sokuyor. Bu da IPS’i yerleştirdiğimiz Switch’e başka cihaz bağlayamamamız anlamına geliyor.

Burada SYN Cookie özelliğinin istenilen IP/MAC adreslerine açılabilmesi özelliğinin sistemde olması bu tip hataların önüne geçecektir ama Syncookie uygulamaları genelde ya açıktır ya kapalı, bir ip ya da bir mac adresine özel olarak açılıp kapatılamıyor.

Bu gibi durumlarda ben SYNcookie’nin kısıtlamalarına takılmamak  için OpenBSD’de(Packet Filter) Syncookie değil, SynProxy özelliğini kullanıyorum. Böylece istediğim ip adresine synproxy özelliğini açabiliyor, istemediğime dokunmuyorum.

ps:Syncookie, syncache, synproxy gibi özellikler SYN Flood saldırılarını engellemek üzere geliştirilmiş yöntemlerdir. Her bir yöntemin kendisine göre çeşitli avantaj ve dezavantajları vardır.

This entry was posted in Misc, Network Security and tagged , . Bookmark the permalink.

Leave a Reply

Your email address will not be published. Required fields are marked *

four × two =