CEH by BGA - Gün 2 - Ders 5

IDS/IPS

• 1. nesil: Firewall; 2. nesil: IPS/IDS; 3. nesil: WAF
• Örnek kural satırı: DROP tcp any 80 URICONTENT cmd.exe
• IPS Keşif çalışması
• Genelde Rule/Signiture bazlı sistemlerdir.
• L2 sistem olduğundan TTL gibi yöntemlerle tespit edilemez.
• Onu devreye alacak / kızdıracak birşeyler göndermek lazım. /etc/passwd ya da cmd.exe ya da ../../../ gibi. IPS bunlara kızmıyorsa çöpe at zaten :)
• DROP ya da TCP Reset ya da UDP için ICMP port unreachable dönüyorsa IPS olduğunu söyleyebiliriz.
• IPS atlatma yöntemleri
• Google'dan IPS evasion diye arat...
• IPS Blacklist ile paket içeriği yakalamaya çalıştığı için, çöp karakterler, etc/a/s/d/../../../passwd, etc///////pwd vb birçok yolla IPS atlatılabilir. Denemek lazım. Aynı şekilde URL encoding (hatta double, triple vs) denenebilir saldırı cümlesi...
• SSL üzerinden paket gönderme. Bu yöntemi yemeyen sistem görmemiş henüz hoca. IPS kesemiyor paketin içeriğini bilemediği için. Cipher (Private Key) yok elinde çünkü. ncat --ssl ve nssl uygulamalarını bu amaçla kullanabiliriz (paket göndermek ve sonucunu görmek adına)
• Bazı IPS firmaları, SSL decryption ile içeriğine bakabiliyor. Private key'lerin IPS üzerine yüklenmesi lazım (eğer IPS destekliyorsa tabi)