攻击者可以利用站点SSL来“隐藏”对IPS的攻击吗？

Question

我在防火墙外面运行IDS (我不太理想)，在局域网内部运行IDS，运行相同的检测算法和定义。我的网站自动重定向所有HTTP请求到HTTPS。我的IDS经常在我的局域网内部检测到nmap扫描、OpenVAS扫描活动、GNU环境变量代码注入尝试等，这些尝试在我的网络外部没有被IPS看到或阻止。我认为这是因为这些攻击是使用我自己的SSL加密的，而且由于外部的IPS不承载我的SSL证书，所以看不到这些攻击。在将流量传递给IIS服务器之前，负载均衡器在我的LAN上对流量进行解密，该负载均衡器承载SSLs，IDS在这里检测攻击。

基于对这些攻击的缺乏检测，我唯一的结论是，这些数据包进入我们使用自己的SSL证书加密的网络，因此对IPS来说是“不可见的”。

这些利用漏洞的尝试是否有可能，甚至是常见的情况下，使用目标本身的SSL证书来避免检测？

Answer 1

是的，这是一个已知的问题，您还可以使用SSL/TLS客户端代理或其他客户端服务，通过各种加密协议将各种攻击路由到服务器，以使攻击更容易。这确实造成了这样一种情况:在某些网络上，对http侦听器的攻击不会有效(被安全控制检测/阻止)，但是攻击等效的https侦听器将非常有效，因为它不会被检测/阻止。在某些情况下，您还将绕过其他安全控制，例如防火墙的检查功能。

同样，出于同样的原因，攻击者可能会更成功地攻击SSH守护进程、VPN或SSL/TLS加密服务(如邮件服务器)。

注意:您还可以向IDS/IPS或其他设备添加解密功能，也可以简单地更改其架构位置以解决此问题。有些设备甚至会终止SSL会话，检查它，然后为服务器创建一个新的ssl会话。有很多方法来解决这个问题，作为一个后卫，是的，你已经发现了第一手的问题。

Answer 2

终点保护可能不够，往往被视为最后一道防线。

你需要WAF解决方案是的。

请问您在同一子网中面临哪些路由挑战？默认网关问题，可能通过传递从LB或IPS返回流量？

为了最小化这么多网络设备的影响，您可以选择位于单个设备(如F5 )上的WAF、LB、防火墙、IPS解决方案。如果您需要进行技术更新，您可以考虑这一点。

我知道有一家公司使用F5来容纳几乎所有的网络解决方案。这是非常罕见的，但我想他们在财政预算方面有一些严重的限制。