BinaryVision

IDS להמונים

מאת בתאריך 18/08/11, תחת כללי

לאחרונה קיבלתי פרסומת (בעזרת ספקית אינטרנט כושלת) על מבצע שמערכת אינקפסולה עושים לאתרים ישראלים בספטמבר, חודש IDS חינם. זה אולי נראה שאני עושה להם פרסומת אבל תמשיכו לקרוא…

כן שיווק יפה מאוד, כן אחלה מודל עסקי (אני מניח, לא באמת אכפת לי), אבל מה זה הדבר הזה בכלל?

זה כמו להביא לחולה שפעת צינור עם אוויר מסונן לנשום דרכו, במקום טיפול אנטיביוטי, ומה גם, הפילטר לא משהו ומידי פעם הספקת החמצן מפסיקה.

זה הוא IDS, פרוקסי שקוף הפוך בין הגולשים לאתר. פרוקסי – הוא שרת ביניים שמוריד קבצים משרתים אחרים שבמקור המשתמש רצה לקבל עליו, פרוקסי שקוף הוא כזה שלא צריך להגדיר והספקיות יכולות להיכנס לתעבורה של המשתמשים (לטוב ולרע), ופרוקסי שקוף הפוך הוא כזה שהאתר עצמו שם לפני האתר האמיתי.

אז כן, ההתקנה פשוטה, מפנים את ה DNS של האתר לפרוקסי של אינקפסולה והם מגינים מפני מתקפות ו- DDoS. ה- DNS לא מוגן אז לא מומלץ להחזיק שרת אחד חצי חינם. מה לגבי האייפי הישן, עדיין נגיש? איך לא…

בחרתי לעשות את ההדגמה על אתר הקהילה של גיא מזרחי מומחה לאבטחת מידע. גיא משתמש באינקפסולה כדי למנוע DDoS (מה שעובד לא רע בכלל), אבל בדרך מוותר על פרטיות של משתמשי פורום אבטחת המידע שהוא מחזיק. המערכת גם "מתחרפנת" די הרבה והאתר לא נגיש לעתים תכופות.

אז ככה, האתר המוגן נותן לנו:

hacking.org.il has address 194.90.228.60
www.incapsula.com is an alias for incapsula.com.incapdns.net.
incapsula.com.incapdns.net has address 194.90.228.60

אפשר לראות שזה האתר המוגן והוא יושב מאחורי אותו פרוקסי כמו האתר של אינקפסולה, יש גם cookie לזיהוי הפרוקסי – incap_visid_7_124
סבבה, עכשיו בוא נראה מה היה האייפי הקודם של האתר, חיפוש של 15 שניות נותן לנו את… 82.80.245.181, בוא נשים ב hosts ו…
האתר עובד, אין cookie, וואו, זה היה פשוט מידי, אז למה האתר לא מגדיר whitelist לגישה עליו? מאותה הסיבה שכל כך קל להגדיר את ה- IDS. לא כל מה שקל – זה רעיון טוב באבטחת מידע.

או קיי, מה עוד? יש פלאגין ל wordpress שאומר שאינקפסולה שולחת header עם כתובת האייפי האמיתית, מעניין אם גם אני יכול…

Incap-Client-IP: 1.3.3.7

עריכה: טוב, אז זה לא עובד כי הפורום לא מסתכל על זה, הפורום פשוט מניח שכל המשתמשים מחוברים מאותה כתובת… אני באמת לא יודע מה יותר גרוע מהשתיים

13 תגובות:
  1. spdr
    19/08/11 בשעה 1:58

    נייס 🙂

  2. Fate
    19/08/11 בשעה 12:34

    אחלה פוסט, אני לא כזה בעד השמצת אנשים בפוסטים….
    אשמח אם תוכל לתקן את הנוסח… 🙂

  3. PHANTOm
    20/08/11 בשעה 0:25

    אני מוכן ליישם את העקרון של less is more

  4. רועי
    20/08/11 בשעה 15:54

    אהבתי 🙂

    שלא לדבר על ההתפתחויות ב-IRC בעקבות המציאות שלך.. מילה שאתה גאון

  5. Trancer
    22/08/11 בשעה 14:49

    אותו הדבר עם CloudFlare

  6. Hero
    30/08/11 בשעה 19:34

    אהבתי !

  7. TAsn
    03/09/11 בשעה 11:41

    שימוש בכלי אחד או אחר לא מבטיח אבטחה ראויה, צריך שילוב של כמה כלים, ואפילו יותר חשוב מהמגוון, זה להשתמש בהם נכון.

    כמו הפרק בסיינפלד עם המנעול הסופר איכותי שג'רי קנה, הכל טוב ויפה, אבל זה לא שווה כלום אם לא סוגרים את הדלת…

    בנוסף, כמו שציינת בצורה לא ברורה, הם לא מספקים רק IDS אלא גם פרוקסי שקוף, הייתי אולי מתקן את ההסבר.

  8. iTK98
    04/09/11 בשעה 9:38

    ברמת האירוח של האתר (hacking.org.il/guym.co.il) שזה אירוח על בסיס Shared Web Hosting, אין לגיא הרבה מה לעשות, אין לו גישה להגדרות של השרת (פיירוואל, הגדרות שרת אפאצי), לכן הוא נאלץ לעבוד עם מה שכן יש לו שליטה עליו, שבין היתר זו שליטה על הפנית ה-DNS.

    במלחמות רוחב-פס המשוואה היא פשוטה, למי שיש יותר, ינצח, נראה שגיא בחר להילחם ראש בראש וניסה "להוסיף" רוחב פס לאתר שלו, ולסנן כניסות ע"פ ה-IDS של אינקפסולה, שזהו לדעתי הפתרון הפשוט יותר (הוא היה צריך לפנות למנהלי האירוח שלו ולדרוש מהם פתרון). עדיין נמצאו חורים אשר מסגירים את הכתובת האמיתית של השרת, מה שעדיין מאפשר מתקפה וזוהי הנקודה החמורה ביותר שעלתה כאן.

    כמובן שיש כאן גם את נושא הפרטיות שנגעת בו במעט שלדעתי הוא אמור להפריע למשתמשי הפורום שנראה שכלל לא מודעים למצב.

  9. מישהו שרוצה ללמוד
    04/09/11 בשעה 17:03

    איפה מצאת את הIP הקודם של האתר?

  10. גיא מזרחי
    06/09/11 בשעה 9:21

    ניתוח יפה.
    נושא ה-IP תוקן, היום אתה יכול לעבוד עליו בשיטות שגרתיות.
    חייב לציין שלפחות במקרה של האתר שלנו – האינקפסולה הציל את האתר מהתקפות DDOS שלא נגמרו.
    תודה על פוסט מעניין.

  11. iTK98
    07/09/11 בשעה 15:08

    יש כאן שגיאות חוזרות, השירות של אינקפסולה לא נועד להגן ממתקפות DDoS.

    http://blog.itk98.net/archives/566

  12. מרק גפן (אינקפסולה)
    08/09/11 בשעה 11:27

    הנה כמה הבהרות לכמה אי דיוקים:
    1) ניתן לסגור כניסה ישירה לאתר שלא דרך אינקפסולה ע"י הגדרות ב FIREWALL של האתר (או בקובץ HTACCESS ב SHARED HOSTING). לשם כך כתובות השרתים של אינקפסולה מפורסמות בתוך אזור התמיכה הטכנית של השרות.
    2) החבילת המוצעות באתר אינקפסולה מגינות מפני סוגים מסוימים של DDOS במיוחד מה שמכונה NETWORK LEVEL DDOS. בשל העובדה ששרתי אינקפסולה יושבים בין שרת האתר לגולש\תוקף, כל בקשה לאתר שאינה בקשת HTTP מלאה ונכונה לא מועברת לאתר. לדוגמא: TCP SYN+ACK, TCP FIN, TCP RESET, UDP ורבים אחרים)
    3. אינקפסולה מציעה ללקוחות ENTERPRISE הגנת DDOS הרמטית שיכולה להגן מפני התקפות מאסיביות של מספר GBPS הן ברמת ה NETWORK והן ברמה ה APPLICATION

  13. PHANTOm
    08/09/11 בשעה 12:29

    טוב, אם כבר הפכנו כתבה של 10 דקות לנושא לדיון, אז ככה:
    iTK98 – קראתי את מה שרשמת ואני לא רואה שטעיתי, אם הטענה שלך שאני לא יכול לדעת מה מוצר עשה בלי להתקין אותו אז אני לא מסכים.
    לגבי DDoS אני כן מאמין שמוצר פרוקסי יכול לעצור אנשים שלא יודעים מה הם עושים, ומצד שני אין לו סיכוי לעצור מי שכן.
    מרק – לדעתי firewall לא יעזור, נניח בעל האתר החליף אייפי והוא לא מופיע ב netcraft, אין לאינקפסולה דרך לסנן כותרים של אימיילים ובכלל לא ראיתי בתיאור שהמוצר מונע דליפת מידע (כתובות אייפי למשל). ואז מה? firewall לא ימנע bandwidth burn כמו שעשו לנו למשל, תוך כמה שעות מחשב אחד שרף לנו 100 ג'יגה תעבורה נכנסת.

השאר תגובה

מחפש משהו?

תשתמש בטופס למטה כדי לחפש באתר:

קישורים מומלצים

כמה קישורים מומלצים...

ארכיון

כל הרישומים, בסדר כרונולוגי...