Synology RT2600ac. Lepiej mieć go po swojej stronie ;) |
Ale najpierw. Co kryją za sobą akronimy IPS i IDS?
- IPS (Intrusion Prevention System)
- IPS analizuje ruch sieciowy i na podstawie zdefiniowanych działań lub wbudowanych sygnatur (podobnie jak w oprogramowaniu antywirusowym) wykonuje odpowiednie działania. Na ogół jest to jeden ze stanów:
- brak zagrożenia - ruch przepuszczany dalej
- zagrożenie średnie - ruch przepuszczany, ale następuje zapisanie zdarzenia w logach
- zagrożenie wysokie - ruch blokowany oraz zapisanie informacji w logach
- IDS (Intrusion Detection System)
- W gruncie rzeczy niemal to samo co powyżej z tym, że służy jedynie detekcji niechcianych zachowań oraz ich rejestrowaniu.
A opisując to, co doprowadziło do powstania niniejszego tekstu.
Mój syn posiada iPhone'a 5s. Około miesiąc otrzymał dwa e-maile z powiadomieniem o tym, że ktoś logował się na innych urządzeniach Apple'a przy użyciu jego Apple ID.E-mail z informacją o wykorzystaniu Apple ID na innym urządzeniu Apple |
Podejrzenie padło na jailbreak, który syn wykonał w telefonie. Pomyślałem, żeby odpalić jakiś sniffer i całą komunikację podsłuchać, ale ten kto kiedykolwiek to robił, wie że nie jest to przyjemna praca. Analiza takich połączeń bywa bardzo uciążliwa i wyłapać z nich coś nietypowego bywa bardzo ciężko.
Postanowiłem więc zacząć od doinstalowania na routerze pakietu Intrusion Prevention, który jest niczym innym jak właśnie systemem IPS / IDS. Pomyślałem, że będzie to świetna okazja, aby go przetestować i sprawdzić, czy przy jego pomocy uda się coś ustalić.
Jak widać na poniższym screenie, od razu dało się zauważyć podejrzany ruch pomiędzy iPhonem (IP: 192.168.1.43), a innymi adresami.
Screen ze zdarzeniami wykrytymi przez Intrusion Prevention w Synology RT2600ac |
Pytanie zasadnicze, czym jest UDID w iPhonie oraz czy ten identyfikator (bo zakładam, że jest to rodzaj identyfikatora) powinien być udostępniany na zewnątrz. Intrusion Prevention zakwalifikował go jako średnie zagrożenie, więc z jednej strony nie jest to coś bardzo poważnego, ale z drugiej, nie jest to też coś co można zignorować.
Inną kwestią jest komunikacja przez NAT z wykorzystaniem protokołu STUN. Nie wiem w jakim celu telefon (lub ktoś z zewnątrz) ma posiadać informacje, które ten protokół oferuje...
Mapa adresów IP powodujących alarmy w systemie Intrusion Prevention |
Przeglądając mapę adresów IP powodujących alarmy w systemie zauważyłem, że najpoważniejsze zagrożenia generowane były z USA, ale także znalazło się kółeczko z kolorem pomarańczowym w Chinach oznaczające, że stamtąd rejestrowane są zdarzenia o takiej właśnie dotkliwości (dla przypomnienia wyciek UDID też był klasyfikowany jako średnia dotkliwość).
Klamka zapadła.
Tyle informacji było dla mnie wystarczających: iPhone wrócił do zwykłego iOSa. Od tamtej pory ruch pomiędzy telefonem, a Internetem się uspokoił. Nie było żadnych niepokojących objawów ze strony routera czy też informacji e-mailowych od Apple'a o wykorzystaniu naszego Apple ID.
Podsumowując
Niniejszym wpisem nie chcę nikogo straszyć, że jailbreak iPhone'a musi skończyć się kradzieżą Waszych danych identyfikacyjnych. Nie mam wiedzy na temat tego, czy w naszym wypadku było to spowodowane samą instalacją jailbreak'a, czy też zainstalowaniem przez syna innej aplikacji, która to spowodowała. Tego nie wiemy.
Dzięki funkcji Intrusion Prevention wiemy natomiast, że wcześniej telefon generował podejrzany ruch, a teraz tego nie robi. Ten fakt, razem z brakiem e-maili o nieprawidłowym wykorzystaniu Apple ID, pozwalają nam przypuszczać, że urządzenie jest już bezpieczne.
Jeżeli powyższy tekst przeczyta osoba, która będzie mogła wnieść więcej wiedzy do tego tematu, to chętnie zapoznam się z oceną powyższej analizy.
Na koniec zaś napisze, że mam nadzieję, że na powyższym przykładzie wiecie już do czego może przydać się system IPS / IDS w routerze i jak dzięki niemu można monitorować bezpieczeństwo Waszej sieci i urządzeń, które się w niej znajdują.
Ps. Zdjęcie routera z początku tekstu zrobiłem na konkurs. Mam nadzieję, że się Wam podoba :)
Kurde a na moim routerze, który otrzymałem od Synology do testów nie mam takich fajnych "ficzerów" na antenach. ;)
OdpowiedzUsuńHe, he, he ;)
UsuńBo mój to jest wersja premium napędzana ciekłym azotem :D
Pozdrawiam Cię serdecznie :)