Evasion (nätverkssäkerhet)

Inom nätverkssäkerhet är evasion att kringgå ett informationssäkerhetsförsvar för att leverera en exploatering , attack eller annan form av skadlig programvara till ett målnätverk eller system, utan upptäckt. Undantag används vanligtvis för att motverka nätverksbaserade system för upptäckt och förebyggande av intrång (IPS, IDS) men kan också användas för att kringgå brandväggar och besegra skadlig programvara . Ett ytterligare mål för undanflykter kan vara att krascha ett nätverkssäkerhetsförsvar, vilket gör det ineffektivt för efterföljande riktade attacker.

Beskrivning

Undvikanden kan vara särskilt otäcka eftersom en välplanerad och implementerad undanflykt kan göra det möjligt att genomföra hela sessioner i paket som undviker en IDS. Attacker som utförs under sådana sessioner kommer att ske precis under näsan på nätverks- och tjänsteadministratörer.

Säkerhetssystemen görs ineffektiva mot väldesignade undanflyktstekniker, på samma sätt som en smygjaktare kan attackera utan upptäckt av radar och andra defensiva system.

En bra analogi till undanflykter är ett system som är utformat för att känna igen nyckelord i talmönster på ett telefonsystem, till exempel "bryta sig in i system X". En enkel undanflykt vore att använda ett annat språk än engelska, men som båda parter ändå kan förstå, och gärna ett språk som så få som möjligt kan prata.

Undvikande attacker

Olika avancerade och riktade undanflyktsattacker har varit kända sedan mitten av 1990-talet:

  • En framträdande text som beskrev attackerna mot IDS-system dök upp 1997.
  • En av de första heltäckande beskrivningarna av attacker rapporterades av Ptacek och Newsham i en teknisk rapport 1998.
  • 1998, även en artikel i Phrack Magazine beskriver sätt att kringgå nätverksintrångsdetektering.

Rapporter

Artikeln från 1997 diskuterar mestadels olika skalskript och karaktärsbaserade knep för att lura en IDS. Phrack Magazine-artikeln och den tekniska rapporten från Ptacek et al. diskuterar utnyttjande av TCP/IP-protokoll, undanflykter och andra. Nyare diskussioner om undanflykter inkluderar rapporten av Kevin Timm.

Skyddar mot undanflykter

Utmaningen med att skydda servrar från undanflykter är att modellera slutvärddriften på nätverkssäkerhetsenheten, dvs enheten ska kunna veta hur målvärden skulle tolka trafiken och om den skulle vara skadlig eller inte. En nyckellösning för att skydda mot undanflykter är trafiknormalisering vid IDS/IPS-enheten. Det andra sättet kan separation av internetåtkomst implementeras baserat på hur slutpunktsanvändare kan vara säker på att komma åt internetsegmentet.

På senare tid har det varit diskussioner om att satsa mer på forskning inom undanflyktsteknik. En presentation på Hack.lu diskuterade några potentiellt nya evasion-tekniker och hur man kan tillämpa flera evasion-tekniker för att kringgå nätverkssäkerhetsenheter.

Se även

  • Singh, Abhishek. "Utvikelser i system för upptäckt av intrångsförebyggande". Virusbulletin. Hämtad 1 april 2010.
Hämtad från " https://en.wikipedia.org/w/index.php?title=Evasion_(network_security)&oldid=1131435879 "