Tippingpoint - teszt

A napjaimat jelenleg egy Tippingpoint 100E IPS tesztelésével töltöm. A behatolásészlelő és megelőző rendszert a 3Com érdekeltségébe tartozó Tippingpoint gyártja. Ez az a cég, amely immár rendszeresen megrendezi a Pwn to Own biztonsági vetélkedőt, és a Zero Day Initiative keretein belül megvásárolja a blackhat-ektől az 0day exploitjaikat és a hozzájuk kapcsolódó információkat. Ezen megvásárolt információk alapján ún. "digitális vakcinákat" gyárt, amelyeket azután a Tippingpoint eszközökkel és előfizetéssel rendelkező ügyfelei részére terít. A Tippingpoint eszközök monitorozzák a hálózati forgalmat és a cég által küldött vakcinákat felhasználva észlelik, jelzik és kiszűrik a támadásokat.

Tippingpoint IPS 100E - kívül

Most egy Tippingpoint 100E készülék került hozzám. Ez 100 Mbit/sec sebességű hálózat szűrésére használható használható. A hálózatba az eszköz tipikusan < 1ms latency-t hoz. 1 000 000 egyidejű session-t, és 6 000+ másodpercenkénti kapcsolatot kezel. Ez a készülék a legkisebbek közé tartozik. Ez jól látszik a felépítéséből is:

Tippingpoint IPS 100E - belül

Hogy hol használnak ilyen eszközöket? A cég egyik képviselője példaként autógyárat említett, ahol nagy tömegben fordulnak elő ipari robotok, amelyek a mai napig Windows NT 4.0 rendszereket futtatnak. Ezeket a robotokat több okból sem tudják frissíteni:

  • több száz (ezer) van belőlük
  • lényegében folyamatosan dolgoznak, nem lehet leállítani őket
  • az operációs rendszerhez már nincs támogatás
  • hosszas teszteket kellene végezni a frissítés után (meg kéne győződni arról, hogy a robotok a frissítés után is ugyanúgy tudnak-e "hegeszteni", mint a korábbi patchlevel-en levő OS-sel, és ez sok időt vesz igénybe)

Azaz adott egy hálózat, ahol nagymennyiségű, sérülékeny és patch-eletlen operációs rendszer található. Frissíteni nem lehet. Ezért azt kell megakadályozni, hogy a kártevők, rosszindulatú támadások elérhessék ezt a hálózatot.

Ilyen helyeken például előszeretettel alkalmazzák ezeket a rendszereket.

Az egyik magyarországi intézménybe nemrég betörtek. Nem tudni, hogy kinek a hibájából, de az intézmény olyan eszközt keres, amely képes jelezni a betörési kísérleteket. Nem kizárt, hogy Tippingpoint lesz az a termék, amelyet - egyebek mellett - bevethetnek a rosszindulatú támadók ellen.

( BaT | 2008. 05. 21., sze – 14:51 )

Azt még megértem, hogy a robotok hálózatba vannak kötve, nyilván a munkájukhoz ez elengedhetetlen. De ezek miért nem egy internettől elszigetelt hálózatban vannak?

Mondjuk ez jogos.

Még az jutott eszembe, hogy azt is meg lehet csinálni, hogy a robotok hálózata fizikailag össze van kötve a többi gép hálózatával, de az a tartomány, amin a robotok csücsülnek, nincs kiengedve a netre. Nyilván ekkor egy hacker cracker közvetve eljuthat a belső hálóra, de talán ez a nehezítés is számít valamit. Persze ekkor már kell egy komolyabb védelem.

(Mondjuk most lehet, hogy hülyeségeket mondtam, mert nem értek hozzá. :))

Ettol egy kicsit komplikaltabb a dolog.
Nem hiszem, hogy egy ilyen helyen kozvetlenul kiengednek azt a szegmenst a netre. Sot, a belso halozaton se elerhetoek a gepek mindenhonnet. Pl. a szemelyzetisek es a vezetoseg gepeirol senkinek sincs keresnivaloja a termelo robotoknal.
De neha meg ez se eleg. A robotok neha eleg nagyok es elo emberek mozognak kozottuk. Sokkal tisztabb, szarazabb (vermentes :-) ) es biztonsagosabb erzes, ha van meg ott 1-2 doboz. Ha egy szorakozo kedvu egyszer bejutott a belso halozatba, nem sokbol all tovabb mennie. Talan nem is tudja, mekkora az a robotkar, amit eppen meginditott teljes sebesseggel valamely iranyba. Az atlag biztos nem talalja olyan erdekesnek az NT4-es robotot, mint a rendszergazda pornogyujtemenyet. (ocska gep, fura program) De mi van, ha megis...

Mert ezeket a gépeket távolról szokták monitirozni, meg néha bele is nyúlnak (pl új modell esetén neten keresztül töltik rá a megfelelő kiegészítést). Hogy miért neten keresztül? Mert adott az anyacég mondjuk németországban, de van neki gyára vagy 8 országban, így nem teheti meg, hogy kiküld oda egy mérnököt.

( Elbandi v | 2008. 05. 21., sze – 15:26 )

jol latom, hogy ez egy sima mezei ATX alaplap, csak leforrasztottak rola a felesleges kivezeteseket (audio, ps2, stb)? vegulis nemrossz otlet, olcsoert es konnyen cserelheto

--
A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!

"Milyen rendszer fut ezeken?"

Tippelem, hogy Linux, Snort, stb. De igazából még nem beleztem ki :) Ez csak tipp.

"Hogy lehet őket konfigolni?"

Ha több Tippingpoint eszközöd is van, akkor központi menedzsment a célszerű. Ez SMS azaz, Security Management System névre hallgat. Ez egy rackmount IBM szerver. Itt egy nagyobb képet kapsz a hálózatodról. Az egyes eszközök menedzselhetők egyenként is (főleg ha egy van). Ilyenkor van webes felület (http, https), ssh, telnet.

--
trey @ gépház

( msandor v | 2008. 05. 21., sze – 21:51 )

Ha az én vállalkozásom lenne ennyire kritikus, akkor bizony nem lenne rákötve semmilyen hálózatra.
Ha több telephely is lenne, akkor igazán meg lehetne fizetni telephelyenként egy informatikust, hogy frissítse a gyártáshoz szükséges adatbázist, azaz galvanikusan le lenne választva minden más hálózattól...
szerintem

--
by Mikul@s

Elmondom én is, hogy hogyan csinálnám, ha én dolgoznék ilyen helyen felelős beosztásban, ahol a termeléskiesés millió eurókban mérhető óránként...

Ha tudnám, hogy van olyan IPS, ami azt állítja magáról, hogy a sebezhetőségek jelentős részét kiszűri a T-60 napon (ez most lehet !TippingPoint is, hiszen más is gyárt hasonló IPS berendezéseket), akkor még akkor is vennék a hálózatra ilyet, ha tudnám, hogy nem sokat ér. Miért? Mert egy esetleges probléma esetén lehet arra hivatkozni, hogy te minden tőled elvárható dolgot megtettél annak érdekében, hogy a rizikót csökkentsd. Hogy nem működött? Széttárod a kezed... Te sem vagy isten. De tettél érte.

Mer' mi szokott lenni ha beüt a mennykő? Akkor jön a nagytudású főnök, hogy ő olvasta ám a CIO magazinban, hogy van az az "IPS izé", és "miért nem kértél rá budget-et Bélám, tudod, hogy ilyesmire mindig van". Utólag menne az okoskodás és a felelős keresése.

Az IPS üzletág egyre jobban fut fel, komoly helyeken mindenhol találsz IPS-t. Talán éppen ezért található meg a TippingPoint egyre több helyen. Kormányzatoknál, az egészségügyben, banki szektorban, a nagy üdítőital gyártóknál, az autóiparban. Van egy listám a referenciákról. Nem tudom mennyire publikus. Ha az, akkor meg tudom mutatni.

--
trey @ gépház

Csak a szituációt elképzelve reagálok: ha 1 felelős vezetőnek tényleg ilyen cinikus hozzáállása van, h. széttárja a kezét és "én mindent megpróbáltam" az összes ami kijön emberünkből, az nem vezet semmire. Főleg ha tudja jól h. az adott cucc sz*rt sem ér (csak arra jó hogy a lelkiismeretét nyugtassa, és a seggét védje).

Nyilván itt 1 sarkított példa volt, pusztán a reakcióra értettem a dolgot.