Lutter contre les techniques de fraude avancées avec Network Security Platform
Articles techniques ID:
KB92003
Date de la dernière modification : 22/04/2021
Date de la dernière modification : 22/04/2021
Environnement
McAfee Network Security Platform (NSP)
Synthèse
Évitement
Les protocoles Internet sont connus pour être compliqués et pour permettre plusieurs interprétations lors de la mise en œuvre. Les attaquants utilisent des combinaisons inhabituelles et plusieurs outils de simulation, tels que Fonctionnement des AETs différents :
Chaque équipe utilise les fonctionnalités inhérentes d’un protocole pour transmettre le système de sécurité réseau à un niveau non détecté. Dans ce document, nous comparons les effets d’un système traditionnel de prévention des intrusions (IPS) par rapport à celui de Network Security Platform. Pour présenter ces effets, nous considérons les AETs suivantes :
- Fragmentation SMB ou MSRPC
- Remplissage de SMB
- Simulation de la couche d’application par le brouillage des documents
- Brouillage JavaScript
- Contenu codé HTTP UTF-8
- Fraude HTTP (codage d’URL)
- Pointeur d’urgence TCP
- Protocole de transfert TCP Split
- Fragmentation IP
- Fragmentation IP avec Chaff
Appel de procédure distante (RPC) est une structure de communication inter-processus. Elle permet à un programme informatique de provoquer l’exécution d’une sous-routine ou d’une procédure dans un autre espace d’adressage (généralement sur un autre ordinateur d’un réseau partagé). En effet, il prend en compte la plupart des fonctions réseau de bas niveau et permet au programmeur de se concentrer sur les méthodes et les procédures qu’ils souhaitent implémenter.
Microsoft Windows (Windows) est fourni dans les variantes de serveur et de poste de travail. Toutes les variantes de Windows sont livrées avec des mises en œuvre de nombreux services réseau. Le service serveur est l’un de ces services qui prend en charge le partage de fichiers, d’impression et de canaux nommés sur le réseau pour les ordinateurs Windows. La communication avec le canal nommé est utilisée pour RPC, car elle prend en charge la communication entre les applications qui s’exécutent sur les systèmes distribués.
Il existe une vulnérabilité de type débordement de mémoire tampon dans Service serveur lors du traitement des demandes RPC. Les attaquants distants non authentifiés peuvent exploit cette vulnérabilité en envoyant des messages spécialement conçus à l’interface concernée. Son exploitation permet potentiellement l’exécution de code arbitraire avec des droits au niveau du système.
Bloc de message serveur (SMB) est un protocole utilisé par Windows pour localiser et accéder à des ressources telles que des partages, des imprimantes ou des ordinateurs. SMB présente des caractéristiques qu’un attaquant peut utiliser pour masquer le trafic malveillant à exploit vulnérabilités de type SMB et MSRPC. En outre, SMB agit comme un transport pour Microsoft d’appel de procédure distante (MSRPC).
Le mécanisme RPC permet à un application d’appeler en toute transparence des procédures distantes, comme si ces procédures étaient exécutées localement.
Il existe deux implémentations principales du mécanisme RPC :
- RPC ONC (Open Network Computing)
- RPC (Distributed Computing Environment, DCE) RPC
MSRPC utilise un ou plusieurs protocoles suivants pour le transport :
- TCP
- UDP
- HTTP
- SMB
Fragmentation SMB ou MSRPC :
Une fois le protocole de transfert de SMB terminé, une demande MSRPC est effectuée. Une demande MSRPC est fréquemment utilisée au niveau du back-end dans Windows. Prenons un exemple lorsque vous tentez d’accéder à email à l’aide de Microsoft Outlook. Une fois les informations d’identification fournies, Outlook communique avec le serveur Exchange pour télécharger ces e-mails. Au cours de cette procédure, plusieurs demandes MSRPC sont effectuées sur le serveur Exchange. Vous pouvez également prendre en compte un autre exemple dans lequel vous souhaitez utiliser une imprimante réseau pour imprimer un document. Lorsque vous émettez une commande d’impression, le client envoie MSRPC demandes au serveur d’impression.
Une attaque peut avoir lieu au cours d’une communication SMB ou lors d’une demande MSRPC. De même que la charge active peut être fragmentée dans les protocoles TCP et IP, elle peut être fragmentée dans SMB et MSRPC. La charge active peut ensuite être répartie entre plusieurs fragments. Mais, contrairement à TCP et IP, les fragments SMB et MSRPC ne peuvent pas être envoyés dans le désordre. Une solution IPS traditionnelle, qui ne prend pas en charge cette détection, analyse le comportement de l’exécution du protocole de transfert et de la demande, mais ne parsemble pas plus en détail à ces processus. L’IPS valide le protocole de transfert de SMB et la demande MSRPC. L’IPS détecte ensuite l’attaque en faisant correspondre la chaîne avec les signature d’attaque disponibles dans son jeu de signature. Toutefois, une solution IPS traditionnelle ne peut pas réassembler les fragments SMB et MSRPC. L’IPS ne parvient pas à reconnaître l’attaque, car des parties de l’attaque sont réparties sur plusieurs fragments.
L’illustration ci-dessous décrit SMB la fragmentation.
Par instance, si un attaquant souhaite envoyer un logiciel malveillant contenant les caractères /BBB, A et P dans ce cas, ils peuvent envisager de les envoyer en tant que INCORRECT. Cependant, si l’IPS contient cette attaque signature, il détecte et bloque l’attaque.
Toutefois, supposons que la taille MTU du chemin d’accès autorise 3 octets à la fois. Ils pouvaient simplement fragmenter le trafic et le transmettre à la destination à la fois à 1 octet ou 2 octets à la fois. Il peut s’avérer utile de les envoyer en tant que /BBB , puis sur AD, ou Planning , puis sur P, ou /BBB, A, et P. Dans tous les cas, le trafic est envoyé sur plusieurs fragments, comme représenté dans l’illustration ci-dessus. Un équipement de sécurité réseau qui n’est pas capable de réassembler ces données avant l’analyse autorise le passage du trafic malveillant. Cette restriction compromet le réseau.
La fragmentation MSRPC fonctionne pratiquement de la même manière que la fragmentation exception que la fragmentation est effectuée dans les datagrammes MSRPC. L’illustration ci-dessous décrit la fragmentation MSRPC.
Network Security Platform Detection pour la fragmentation SMB ou MSRPC
Network Security Platform réassemble les fragments SMB ou MSRPC avant le début du processus de détection et peut détecter une attaque.
Remplissage de SMB
Pour que la charge active SMB soit alignée sur une taille de mémoire spécifique, SMB prend en charge l’ajout de tampons dans ses segments. Le pavé est inséré entre l’en-tête SMB et le début de la charge active.
L’en-tête SMB comporte un champ pointeur de données qui indique le début de la charge active lorsqu’un tampon est présent. Toutes les données après l’en-tête SMB, jusqu’à ce que l’octet pointé soit supprimé.
Windows rejette les tampons existants et continue directement vers la charge active. Cependant, une solution IPS traditionnelle qui ne peut pas ignorer de tels Pad les extrait avec la charge active pendant la détection et autorise finalement le passage de ce trafic.
Un attaquant qui souhaite envoyer des caractères malveillants contenant des logiciels malveillants /BBB, A, et P dans sa chaîne, il est possible de remplir ces caractères pour échapper à la détection. Lorsque cette chaîne passe par l’IPS, elle est extraite pour la détection en tant que
Network Security Platform Detection for SMB Padding
Network Security Platform peut détecter la présence de pad et ignorer ces octets avant que la charge active ne soit extraite pour détection.
La simulation de la couche d’application par le brouillage des documents :
Le brouillage des documents est devenu une méthode courante permettant aux auteurs de logiciels malveillants de distribuer des logiciels malveillants et d’infecter des réseaux. Les documents tels que les fichiers Word, Excel et PDF sont les fichiers les plus fréquemment utilisés. Mais Etant donné la flexibilité des fichiers PDF qui s’affichent facilement, le brouillage PDF a gagné en popularité au cours des dernières années.
Les fichiers PDF malveillants représentent certaines des menaces les plus courantes qui permettent d’infecter les utilisateurs contre les logiciels malveillants. Network Security Platform a une grande partie de son attention dans la détection correcte de ces fichiers. En revanche, les créateurs de fichiers malveillants se focalisent en toute manière sur la manière d’échapper à ces techniques de détection.
La détection de documents malveillants est rendue compliquée pour les raisons suivantes :
- Les blocs de construction de base du document, tels que les objets des fichiers PDF, sont complexes et présentent de nombreuses formes
- Les flux des documents qui affichent du texte ou des images peuvent être compressés et stockés de plusieurs façons.
- La plupart des formats de documents prennent en charge l’exécution de scripts dans une certaine mesure. Par exemple, JavaScript au format PDF peut être fortement brouillé, masquant ainsi le code lui-même.
- Les documents prennent en charge l’incorporation d’autres documents. Par exemple, un fichier exécutable malveillant peut être incorporé dans un fichier PDF non malveillant. Ce fichier peut ensuite être incorporé dans un autre document.
Brouillage PDF peut être exécuté à l’aide de plusieurs approches :
- Les champs de nom, qui sont les blocs de construction de base des fichiers PDF, peuvent contenir des objets à l’intérieur d’eux qui sont codés au format hexadécimal. Une solution IPS traditionnelle recherche les caractères ASCII lors de l’analyse des champs de nom.
- Les champs de chaîne des objets peuvent être répartis sur plusieurs lignes. Lorsque les champs de chaîne sont séparés, ils ne peuvent pas être reconnaissables à une solution IPS traditionnelle.
- Les JavaScript peuvent être codées à l’aide de plusieurs filtres, tels que
ascii85 ,asciihex ,lzw , d’exécuter le codage de longueur et de déflater.
Ces filtres peuvent être appliqués à plusieurs fois sur le JavaScript. L’utilisation de ces filtres compresse les données. Les données compressées ne sont pas reconnaissables à une solution IPS traditionnelle, sauf si l’IPS peut la décompresser. - Les JavaScript malveillants peuvent être masqués dans les champs XFA ou annotation.
- Les noms de filtre dans les objets peuvent être abrégés.
Par exemple,AsciiHexDecode avèreAhx .
Si une appliance IPS n’est pas en mesure de détecter de telles anomalies, un fichier PDF malveillant se transforme dans le réseau. Parmi les exploits PDF les plus courants, les attaquants préfèrent utiliser une certaine forme d’JavaScript incorporées.
Par exemple, les remplacements de chaînes, les exceptions try-catch,
Détection de Network Security Platform pour le brouillage des PDF :
NSP a été conçu pour détecter les fichiers PDF malveillants, même si les méthodes de brouillage mentionnées ci-dessus sont utilisées. Des décodeurs pour les techniques de compression et de codage JavaScript fréquemment utilisées sont utilisés. NSP peut localiser JavaScript masqués dans des emplacements tels que XFA ou des annotations.
Network Security Platform Detection for JavaScript dans le brouillage des PDF :
Si la vulnérabilité exploitée n’est pas présente dans le moteur Acrobat JavaScript, JavaScript joue toujours un rôle dans la création d’un fichier PDF malveillant. L’extraction et l’analyse des JavaScript incorporées sont importantes pour détecter les menaces basées sur le format PDF.
Brouillage JavaScript
Prenons un exemple où un simple Salut tout le monde dans JavaScript, le programme ressemble à ce qui suit. Veuillez La solution IPS traditionnelle voit la chaîne Hello World comme une alerte (Hello World).
La version masquée équivalente dans JavaScript ressemble à ce qui suit.
Echec de détection des adresses IP traditionnelles Salut tout le monde dans ce programme brouillé.var _1204 ; var _2288 = ' 120B105E146A1044F1099C1064F1129A1139C759C729A919D1064F1099D1099E1114C719E994B1114F1129F1099D1059A729D764A854A'; var _1804 =/[\x41\x42\x43\x44\x45\x46]/; var _8663 = 2 ; var _5586 = _2288. Char (_2288. Length-1); var _5657 ; var _2069 = _2288. Split (_1804); var _9062 = [String. fromCharCode, isNaN, parseInt, String]; _2069 [1] = _9062 [_8663 + 1] (_9062 [_8663] (_2069 [1])/21); var _6574 = (_8663 = = 8) ? String : eval ; _5657 = ' '; _11 = _9062 [_8663] (_2069 [0])/_9062 [_8663] (_2069 [1]); for (_1204 = 3 ; _1204<_11;_1204++) _5657 + = (_9062 [_8663-2] ((_9062 [_8663] (_2069 [_1204]) + _9062 [_8663] (_2069 [2]) + _9062 [_8663] (_2069 [1]))/_9062 [_8663] (_2069 [1])-_9062 [_8663] (_2069 [2]) + _9062 [_8663] (_2069 [1])-1)); var _2799 = ' _5900 '; var _5430 = ' _2799 = _5657 '; Function _1039 (_6946) {_6574 (_7060); _1039 (_7196); _7196 (_5430); _1039 (_2799);} Arros _7060 = ' _1039 = _6574 '; var _7196 = ' _7196 = _1039 '; _1039 (_5586);
Détection de Network Security Platform pour le brouillage JavaScript
NSP n’effectue pas de correspondance de chaîne ici. Au lieu de cela, il exécute l’JavaScript dans une VM JavaScript et un comportement d’exécution de profils pour déterminer s’il s’agit d’un logiciel malveillant ou non.
NSP peut détecter les logiciels malveillants malgré JavaScript le brouillage et ignorer le JavaScript s’il n’est pas malveillant. De plus, il ne déclenche pas automatiquement d’alerte pour JavaScript le brouillage Si le trafic n’est pas malveillant.
Contenu codé HTTP UTF-8
N’importe quel navigateur doit connaître le jeu de caractères à utiliser pour décoder une page et la restituer correctement. Plusieurs formats de codage des caractères sont utilisés pour prendre en charge plusieurs langues.
Dans une séquence d’attaque classique, lorsque vous exploitez une telle fraude, l’attaquant encode le contenu de la page HTML en utilisant UTF-8. Dans ce schéma, le caractère Apar exemple, peut être représenté comme suit : 41 ou en tant que c1a1. Une solution IPS traditionnelle recherche le caractère A et les ignorent si elles ont été codées.
Détection des plates-formes de sécurité réseau pour la fraude HTTP UTF-8
NSP est conçu pour consulter les type de contenu champ de l’en-tête HTTP. Ce champ contient des informations sur la nature des données dans le corps de la page Web. Le sous-champ charset de l’en-tête indique quel jeu de caractères est utilisé pour coder la page Web. Ce sous-champ fournit la vue NSP nécessaire pour décoder la page. NSP analyse ces champs et invoque le décodeur de caractères approprié en fonction de la
Fraude HTTP (codage d’URL)
Chaque URL, lorsqu’elle est envoyée à un serveur Web, affiche les pages Web qui sont extraites de ce serveur Web à l’aide d’une demande HTTP d’obtention. Lorsque vous saisissez une URL dans la barre d’adresse, le navigateur demande l’affichage des pages Web appropriées.
Un attaquant tente d’exécuter des actions dans le serveur web. Ces actions incluent l’affichage d’informations provenant de répertoires spécifiques ou l’exécution de certaines commandes. Pour échapper aux équipements de sécurité réseau, un attaquant peut coder ou brouiller les URL. Le comportement par défaut d’un serveur HTTP de destinataire est de normaliser ces URL. Une solution IPS traditionnelle n’est pas en mesure d’émuler le comportement d’un serveur webserver. L’IPS ne peut pas normaliser les URL avant la détection et permet à ces attaques de pénétrer dans les défenses du réseau. La fraude HTTP est illustrée dans les exemples suivants.
Fraude HTTP | Chaîne d’origine | Lorsque le codage est devenu |
Codage hexadécimal de l’URL HTTP | ||
Codage UTF de l’URL HTTP | %u0068%u0074%u006d%u006c |
|
URL HTTP avec chemins d’accès auto-référentiels | ||
URL HTTP contenant des répertoires factices dans le chemin d’accès | ||
URL HTTP avec plusieurs espaces et onglets | ||
URL absolue HTTP |
Dans les exemples ci-dessus, un serveur WebServer normalise une URL codée ou brouillée et l’analyse en tant qu’URL d’origine. Le exception est le dernier exemple. Une solution IPS traditionnelle n’est pas capable d’émuler ce comportement et n’est donc pas en mesure de faire correspondre la chaîne à l’une des signatures d’attaque.
Autre méthode de fraude HTTP :
HTTP prend en charge différents verbes, tels que obtenir, POST, PUT et HEAD, pour des actions telles que l’extraction d’une page, l’envoi de données ou la demande d’un en-tête de serveur HTTP. Certaines vulnérabilités basées sur les URL peuvent comporter un déclencheur de vulnérabilité dans l’URL. L’un de ces verbes peut être utilisé avec l’URL malveillante pour envoyer une demande à WebServer afin de déclencher la vulnérabilité.
Par exemple, si une URL supérieure à 128 octets déclenche un débordement de mémoire tampon dans un serveur WebServer, un attaquant peut envoyer l’une des demandes suivantes pour définir cette vulnérabilité en vue d’une attaque.
GET /home/aaaaaaaaaaaaaa[more than 256 times] HTTP/1.0 POST /home/aaaaaaaaaaaaaa[more than 256 times] HTTP/1.0 PUT /home/aaaaaaaaaaaaaa[more than 256 times] HTTP/1.0
Network Security Platform Detection pour la fraude HTTP à l’aide du codage d’URL
Network Security Platform peut normaliser les URL codées ou brouillées avant la détection. Pendant la détection, ces URL correspondent à des chaînes d’URL malveillantes présentes dans les signatures d’attaques et bloquent l’attaque.
En tant qu’administrateur, vous pouvez programmer votre IPS pour qu’il détecte les demandes telles que POST et PUT, et se concentre uniquement sur l’URL.
Pointeur d’urgence TCP
Les données urgentes dénotent les données qui doivent être traitées dès que possible. Ces données sont traitées, même avant les données « normales » qui peuvent être en attente. La présence de données urgentes est signalée par la définition de l’indicateur urgent. Si l’indicateur urgent est défini, il indique que le pointeur urgent est valide et pointe vers ces données.
Les données urgentes peuvent également être considérées comme des données hors bande et le pointeur urgent fait référence au dernier octet de ces données. Les protocoles tels que SMB et HTTP ignorent ces données. Une appliance IPS traditionnelle n’ignore pas ces données. Ces données font ensuite partie de la charge active réassemblée utilisée pour la détection. Cette décision peut empêcher les logiciels malveillants d’échapper à la détection.
Dans un exemple similaire à INCORRECT (consultez la section SMB ou fragmentation de MSRPC). La chaîne INCORRECT peut être divisé entre trois segments dont chacun commence par un octet de données urgentes. X. Si ces données urgentes ne sont pas ignorées, la charge active réassemblée apparaît comme suit :
Détection de Network Security Platform Platform pour la fraude du pointeur urgent TCP
Au moment du réassemblage de flux TCP, Network Security Platform ignore les données urgentes pour les SMB et les autres protocoles connus pour l’ignorer.
Protocole de transfert TCP Split
Le protocole TCP communication à trois voies dans Transmission Control Protocol est utilisé par TCP pour configurer une connexion TCP/IP via un réseau basé sur le protocole Internet. La technique de connexion en trois étapes de TCP est souvent appelée
Veuillez Dans le contexte de ce document, nous envisageons un client et un serveur HTTP.
Le mécanisme de négociation TCP est conçu de sorte que deux ordinateurs tentant de communiquer puissent négocier les paramètres de la connexion TCP socket réseau. Les ordinateurs peuvent négocier cette connexion avant de transmettre des données telles que les demandes de navigateur Web SSH et HTTP.
Outre cette liaison formellement acceptée, il existe également une autre méthode d’établissement d’une connexion TCP/IP entre un client et un serveur. Cette méthode est légitime, mais elle est rarement adoptée et est connue sous le nom de négociation ouverte simultanée.
Avec cette connexion, un client et un serveur envoient un paquet SYN les uns aux autres en même temps. Ensuite, les deux côtés envoient des paquets d’accusé de réception les uns aux autres en réponse. Cette variante non conventionnelle du protocole de transfert TCP n’est pas encore très pratique dans le monde réel. La RFC accepte cette variante comme méthode légitime de démarrage d’une connexion TCP. Lors de l’exécution d’une Fraude de protocole de transfert TCP Split, l’attaquant utilise le concept d’une communication ouverte simultanée. L’attaquant est le serveur qui cherche à accéder à un réseau.
Propriétés de l’image
Pour l’essentiel, un client envoie un paquet SYN à un serveur, ce qui a pour mission d’effectuer un établissement de communication tridirectionnelle standard. Cependant, plutôt que de terminer la connexion en trois étapes du client, un serveur malveillant démarre en répondant comme s’il effectuait une connexion ouverte de manière simultanée. Le serveur commence alors sa propre négociation à trois voies dans l’autre direction (entre le serveur et le client). Une appliance IPS traditionnelle est confondue pour analyser ce comportement en tant qu’initiation d’un nouveau protocole de communication à trois voies. Ainsi, l’attaquant peut prendre le contrôle du client.
Network Security Platform Detection pour la fraude à la liaison TCP Split
En dehors du protocole d’établissement de communication TCP classique, Network Security Platform détecte un protocole de transfert partagé et toute attaque qui se produit dans une telle connexion.
Fragmentation IP
La taille MTU d’un lien détermine s’il est nécessaire de fragmenter un datagramme en unités plus petites ou non. Si la MTU autorisée par le lien est inférieure à la taille d’origine du datagramme, l’adresse IP utilise la fragmentation pour que les paquets soient formés pour passer à travers le lien. Un attaquant peut délibérément défragmenter un paquet IP afin que le paquet IP soit réparti entre plusieurs fragments.
Un attaquant peut exploit cette fonctionnalité pour échapper à un équipement de sécurité réseau. Ils peuvent utiliser un outil de fraude pour fragmenter les paquets d’attaque d’origine. Ils peuvent ensuite utiliser l’une des techniques suivantes pour envoyer des fragments :
- Tous les fragments sont envoyés dans :
- Ordre approprié (valeurs croissantes pour le décalage de la Frag)
- Ordre inverse (valeurs décroissantes pour le décalage de la Frag)
- L’ordre approprié à l’exception du premier fragment qui est envoyé en dernier
- L’ordre approprié à l’exception du dernier fragment qui est envoyé en premier
- Les fragments sont réorganisés et envoyés hors commande
Supposons que les logiciels malveillants contiennent une attaque dans son datagramme IP. Elle est fragmentée comme indiqué ci-dessus. Une solution IPS traditionnelle ne peut pas réassembler les fragments pour détecter l’attaque. Il examine le trafic sous la forme de trames distinctes et permet d’effectuer une attaque par glisser-déplacer.
Network Security Platform Detection pour la fraude à la fragmentation IP
Network Security Platform peut réassembler la chaîne malveillante et détecter l’attaque.
Fragmentation IP avec Chaff
Comme dans la fragmentation IP, un attaquant utilise un outil de fraude pour fragmenter le datagramme IP d’origine contenant des paquets d’attaque. Après avoir fragmenté le paquet, l’attaquant entrelace les paquets Chaff avec les fragments.
Un paquet Chaff est un paquet non valide, la pile cible ignore, en fonction de certaines vérifications mentionnées ci-dessous. La Chaff peut contenir l’une des anomalies suivantes, car elle est ignorée.
- Somme de contrôle incorrecte. elle est donc supprimée par la pile cible.
- Une petite durée de vie, car elle expire avant qu’elle n’atteigne la cible.
- Un champ d’options non valide en raison de sa suppression par la pile cible.
Network Security Platform Detection pour la fragmentation IP avec la fraude Chaff
Au moment du réassemblage, tous les champs d’en-tête IP sont examinés de sorte qu’ils contiennent du contenu valide avant que la charge active ne soit utilisée pour la détection. Si un paquet est soupçonné d’être Chaff, il est ignoré et la charge active non valide qu’il contient est ignorée.
Tester l’efficacité de Network Security Platform contre les techniques de fraude avancées
Vous pouvez utiliser un outil de test technique de fraude avancé pour tester l’efficacité de McAfee Network Security Platform contre les techniques de fraude avancées. Pour cet article, nous affichons ce test à l’aide de McAfee (Stonesoft) Evader.
FAUT L’environnement de test utilisé pour ce test est similaire à celui utilisé lors des tests NSS. McAfee Network Security Platform atteint 100% lors des tests NSS Labs.
Vous devez utiliser les versions de logiciels et de signature définies suivantes :
- Sensor:
- M-Series : 8.1.3.52 ou version ultérieure
- Série NS : 8.1.5.59 ou version ultérieure
- Manager: 8.1.7.5 ou version ultérieure
- Jeu de signatures : 8.7.46.3 ou version ultérieure
- Evader : 2013_4_594 ou version ultérieure
Vous devez configurer votre Sensor pour utiliser la stratégie All-inclusif-with-audit ou un clone de cette stratégie. Pour optimiser le nombre d’alertes, vous recevez et réduisez le nombre d’alertes de gravité faible :
- Connectez-vous à votre Manager.
Cliquez sur Stratégie,, IntrusionPrevention, Stratégies IPS.
- Sélectionnez le All-inclusif-stratégie d’audit ou un clone non modifié, puis cliquez sur Afficher/modifier.
- Dans la fenêtre de modification de stratégie qui s’affiche, cliquez sur le bouton R2 en-tête de colonne pour trier par gravité.
- En haut de la liste, utilisez la touche Maj et la flèche vers le bas pour sélectionner toutes les attaques classées. 0 (Infos) et an (Faible).
- Cliquez avec le bouton droit de la liste, puis cliquez sur désactiver. Toutes les attaques sélectionnées doivent désactiver le symbole X.
- Maintenant, recherchez les attaques répertoriées ci-dessous et activez uniquement ces attaques :
0x4070d200 – NETBIOS-SS: Microsoft Server Service Remote Code ExecutionVulnerability (Info) 0x4070d000 – NETBIOS-SS: Potential DCERPC Big Endian Evasion 0x4070d100 – NETBIOS-SS: Potential TCP Segmentation Evasion 0x4070cf00 – NETBIOS-SS: Potential TCP URG Pointer Evasion 0x4070ca00 – NETBIOS-SS: Suspicious SRVSVC Call 0x00010300 – TCP: Small Window Packets Detected 0x40011400 – TCP: Illegal Packet Missing SYN, ACK, or RST fields 0x40011500 – TCP: Anomalous Urgent Flag Set without ACK 0x00009e00 – TCP: 3-Way Handshake PAWS Fail DoS
- Cliquez sur Enregistrer pour terminer votre configuration.
Pour plus d’informations sur l’activation de cette stratégie, reportez-vous au Guide d’administration de NSP IPS correspondant à votre version.
Veuillez Vous pouvez constater une différence mineure dans les résultats lorsqu’ils sont exécutés pendant une période prolongée. Cette différence est due au fait que l’outil Evader peut générer des attaques à l’aide d’ensembles aléatoires de techniques de fraude.
McAfee vous suggère d’utiliser cet outil pour comparer les performances relatives de plusieurs produits et exécuter le test plusieurs fois pour chaque produit. Cette comparaison permet de comprendre la capacité de chaque produit testé, de détecter et de bloquer les attaques masquées à l’aide de ces techniques.
- Utilisez le Guide de l’utilisateur McAfee (Stonesoft) pour installer et configurer l’environnement de test Evader.
- Après le déploiement de Network Security Platform, vérifiez que vous avez configuré les paramètres suivants dans le Manager avant d’utiliser Evader :
- Cliquez sur StratégieComplexes Paramètres TCP. Définissez Violation de flux TCP À NIER.
La configuration de ce paramètre permet de s’assurer que les violations de flux TCP sont rejetées.
- Cliquez sur StratégieComplexes Paramètres TCP.
Définissez Action de suppression du démarrage à froid à supprimer.
- Cliquez sur Interfaces IPS,
, Protection Contour, Inspection avancée du trafic,
ActiverInspect MS RPC/SMB fragments for malicious payload .
- Lors de l’exécution de la
conficker test, accédez à la Manager et configurez l’action de réponse en tant que total. Définir uneTCP RST réponse des adresses IP source et de destination, pour les attaques suivantes :0x47602f00 – DCERPC: Suspicious DCERPC Call 0x4021c500 – HTTP: phpBB Viewtopic.php Remote Command Execution 0x4023a400 – HTTP: Possible IPS evasive with Apache HTTP Server 0x40018e00 – IP: Options Validation Vulnerability 0x00010a00 – IPv4: Malformed Options Evasion Attempt Detected 0x40709d00 – NETBIOS-SS: Microsoft Server Service Remote Code ExecutionVulnerability (High) 0x4070d200 – NETBIOS-SS: Microsoft Server Service Remote Code ExecutionVulnerability (Info) 0x4070d000 – NETBIOS-SS: Potential DCERPC Big Endian Evasion 0x4070d100 – NETBIOS-SS: Potential TCP Segmentation Evasion 0x4070cf00 – NETBIOS-SS: Potential TCP URG Pointer Evasion 0x4070ca00 – NETBIOS-SS: Suspicious SRVSVC Call 0x00012f00 – SMB: NB Chaff Detected 0x00013000 – SMB: SMB Chaff Packet Detected 0x00012e00 – SMB: SMB Payload Suspicious pad bytes 0x40011400 – TCP: Illegal Packet Missing SYN, ACK or RST fields 0x40011500 – TCP: Anomalous Urgent Flag Set without ACK 0x00010300 – TCP: Small window packets detected 0x00009e00 – TCP: 3-Way Handshake PAWS Fail DoS
Pour en savoir plus sur les stratégies IPS dans Network Security Platform, reportez-vous à la section Guide d’administration IPS.
- Cliquez sur StratégieComplexes Paramètres TCP. Définissez Violation de flux TCP À NIER.
Les attaquants sont devenus plus aptes à des attaques de type exécution de scripts. Les attaquants lancent désormais des dissimulations complexes qui découpent plusieurs couches de la pile de protocoles. Ils incorporent des dissimulations sur plusieurs couches, dans plusieurs protocoles. Dans une situation où un client envoie une demande HTTP obtenir à un serveur non fiable, le serveur répond à l’aide d’une page malveillante. Au niveau de la couche 7, il se peut que l’attaquant ait segmenté les pages Web avant de les fournir au client. De plus, au niveau TCP, l’attaquant peut segmenter les données TCP. Au niveau de la période d’enquête, l’attaquant peut fragmenter le trafic avant de le fournir au client. L’attaquant peut, en outre, ajouter des Chaff entre les données IP. Une solution IPS traditionnelle ignore certaines ou toutes ces techniques d’évasion et autorise le passage du trafic malveillant. Mais, comme indiqué dans les exemples ci-dessus, Network Security Platform est équipé pour protéger votre réseau contre certaines des campagnes d’attaque les plus insidieux. Cette application Remarque ne traite que quelques exemples de fraudes pris en charge par Network Security Platform. NSP prend en charge plusieurs autres combinaisons de techniques de simulation avancées qui se produisent à chaque niveau de la pile de protocoles, où plusieurs exploits peuvent être appliqués.
Clause d'exclusion de responsabilité
Le contenu du présent article a été rédigé en anglais. En cas de divergences entre la version anglaise et sa traduction, la version en anglais prévaut. Certaines parties de ce contenu ont été traduites par le moteur de traduction automatique de Microsoft.
Produits affectés
Langues :
Cet article est disponible dans les langues suivantes :