הגנה מפני BUFFER OVERFLOW

[b i n a r y]

הגנה מפני BUFFER OVERFLOW

האם מישהו שמע על תוכנה או FIREWALL שכולל מין "PACKER FILTER" שבעצם מסנן את כל התעבורה שעוברת דרך פורט שרת מסויים (נניח WEB SERVER) ומאפשר רק PACKETS שכוללות פקודות/תקשורת בפרוטוקול יישום הרלוונטי. כולל וידוא של גודל תקין של נתונים בגודל משתנה כגון סיסמה וכו'. לדוגמא לפרוטוקול HTTP יש את הפקודות שלו. כל בקשה צריכה להתחיל בפקודה GET ואז יש תשובה סטנדרטית, ועוד פקודה. פילטר כזה ידע לסנן ולחסום נתונים שאינם שייכים לפרוטוקול וככה זה יכול לשמש גם הגנה טובה מפני BUFFER OVERFLOWS. הוא יזהה גם נתונים בגודל לא תקין (נניח אם מישתמש הכניס סיסמה בגודל 200 תווים). ואם למשל הפורץ הצליח להשיג PROMPT אז זה כמובן יחסום את כל התקשורת כי היא לא רלוונטית לפרוטוקול הספיציפי.

 

[type_o]

application firewall

What you describe is called : application firewall. symantec has one, you can also check AppShield. But you can even solve this issue with urlscan, or mod_security/mod_rewrite in Apache. type_o

 

[b i n a r y]

דבר כזה חוסם בעצם

את היכולת לנצל חורי אבטחה רבים לא? כמעט כולם בעיקר חורי BUFFER OVERFLOW

 

[uzi2]

הלוואי שזה היה ככה

ל- application level firewall יש יכולת להגדיר חוקים עבור פרוטוקולים ספציפיים ברמת האפליקציה, אבל אם היה כל כך פשוט להגדיר מערכת חוקים שתחסום את כל סוגי ה- buffer overflow, אז כבר יצרני התוכנה היו מוסיפים את הפילטרים הללו לתוכנות לבעיית ה- buffer overflows היתה נעלמת מזמן. גם buffer overflows הם הרבה פעמים לא דבר טריויאלי. יש פיירוולים עם הגנות כנגד סוגים מסויימים של buffer overflows ויש אילו אנטיוירוסים שנותנים הגנות כאלו (באופן חלקי), אבל בסה"כ, בד"כ עדכון התוכנות מכסה כבר את כל הבעיות שהפיירוולים יודעים. מה שכן, לפעמים אתה יכול להחמיר את הפילטרים ב- application level firewalls למשל לחסום קבצים מצורפים ממכתבים שמגיעים מחוץ לארגון אבל לאפשר צירוף קבצים למכתבים שמגיעים מתוך הארגון, או להגביל שימושים מעבר להגבלות שהכלליות שאפליקציה עצמה מכילה. ה- application level firewalls היותר טובים מגיעים עם פרוקסי ואפשרות שילוב content filtering ו- IDS. בפיירוולים אישיים לפעמים יש משהו מאוד בסיסי, כמו הבנה של פרוטוקול FTPאו הגנות על קבצים מצורפים, אבל זה ממש ממש בסיסי.

 

[type_o]

application firewall

hullow, You can never block all types of attacks. Application firewall _can_ block buffer overflows, _most_ of them even. A properly configured urlscan would block webdav overflow even if you are vulnerable. I suggest you read more about the subject, check appshield, urlscan and apache's modsecurity/modrewrite.

 

[uzi2]

מה אתה רוצה ממני?

מה אתה שולח אותי לקרוא על הפיירוולים/פילטרים הללו... זה מיותר וזה מעליב. אין ולא היה לנו ויכוח על כך שיש לפיירוולים ולפילטרים הללו יכולות להגן מפני buffer overflows. אין לנו ויכוח על כך שהם יכולים לשפר את האבטחה. הויכוח ביננו הוא _אולי_ על השאלה עד כמה ההגדרות הבסיסיות יודעות להגן נגד buffer overflows שאינם ידועים, וגם זה שאלה של _עד_כמה_ ולא מעבר לזה. פילטרים כהגנה על שרתים זה דבר חשוב. לפעמים אתה יכול באמת להגדיר אותם כך שהם יהיו מאוד אפקטיבים, אבל זה תלוי בשאלה מה אתה מתיר על השרת. יש גם שאלה איפה מתחילים לקרוא לזה פיירוול ואיפה נגמרת ההגדרה של זה כאל פונקציה שקשורה למערכת השרת. זה אמנם ויכוח סמנטי ולא מהותי, אבל זה עלול לגרום לאי הבנות. גם הרבה פעמים עדכוני אבטחה, ובייחוד במוצרי קוד סגור, אינם מטפלים בתיקון באג האבטחה, אלא פשוט מהוים תוספת של פילטר לסינון אקספלויטים. בחברות מסחריות, לא תמיד יש את הזמן והמשאבים להשקיע בלנבור בקוד ישן, כדי לאתר את המקור של חור האבטחה ולתקן אותו, ואז הרבה פעמים עדכון האבטחה הוא לא יותר מאשר פילטר שמושם בשלב יותר מוקדם של התקשורת.

 

[type_o]

dude

that was response was ment for binary. sorry, I accidently clicked it (too tired) type_o

 

[uzi2]

אה ../images/Emo13.gif

 

[eranzam]

application proxy

הדבר שתארת דומה לאפליקיישיין פרוקסי,ואכן הוא שלא כמו פאקט פילטר רגיל בודק את תוכן המנה ומעביר אותה בצמו ולא כמו פיירוולים פשוטים בודק פורט וכתובת מקור ויעד שבקלות אפשר לזייף..