1か月前、Stonesoft(フィンランドのIDSコンストラクター)がAdvanced Evasion Techniquesに関するアラートを発表しました。
これらの手法を使用すると、IDSによって検出およびブロックされることなく、ネットワークに攻撃を仕掛けることができると主張します。
このスレッドは本物ですか、それとも単なる広告キャンペーンですか?
詳細はすべて、StoneSoftが開発したWebサイト(http://www.antievasion.com/)にあります。
Stonesoftからの売り込み。私はビデオ全体を見ました、そしてAviDが言ったように、IDS回避は現実であり、回避するための新しい方法が常に出てきます。
これらの人たちはおそらく、彼らが現在激しく売り込んでいる新しい回避技術を見つけました。
あなたの質問に答えるために、彼らは、最も一般的なIPS/IDSベンダーによってまだ発見されていない回避手法を見つけたと思います。ただし、この手法が一般に知られ、すべての主要ベンダーがそれにパッチを当てるまで、長くはかからないでしょう。
Stonesoftについては特に知りませんが、IDS回避が現実であるだけでなく、新しいことでもありません。
IDSを回避するための手法、ベクター、攻撃はいくつもあり、実際にはあらゆるネットワークフィルタリングメカニズムが少なくとも数十年前にRainForestPuppyの回避に関する古典的な研究にさかのぼりますメカニズム。常に新しい技術が出てきます。
短い回答:システムを保護するためにIDS/IPSに依存している場合は、懸念が適切な場合があります。注:never IDS/IPSを使用してシステムを保護する必要があります。
これらの手法はIDS/IPS回避に関連しており、他の保護メカニズムには影響しません。公開するサービスは、ソフトウェアパッチが最新のものであり、可能な限り制限された構成にする必要があります。公開する必要がないサービスは、ローカルホストでのリスニングに制限するか、ファイアウォールまたはルーターACLで保護する必要があります。 IDS/IPSを回避する機能は、サービスに到達できない場合、または脆弱性が露呈していない場合は関係ありません。
http://www.antievasion.com/community?mingleforumaction=viewtopic&t=2. にある彼らのPRエージェントは、「ほとんどのベンダーが回避策を真剣に受けていないこと、そしてIPS正規化エンジンは、順列を処理するタスクを実行できません。」これは、アインシュタインが見落とした何かを見つけたとArxiv.orgに掲載した論文と同じくらい、私にとっては赤信号です。
著名な例として、Snortは回避手法を処理するためのいくつかの機能を備えています。frag3プリプロセッサは、ターゲットホストのポリシーを考慮して、フラグメント化されたIPパケットを再構成し、fragrouteを使用した回避を防ぎます。フロープリプロセッサは、類似した方法でtcpストリームを再構成します。 Stonesoftの回避手法は、実際に斬新なものである場合、統合されます。