Síťová řešení IDS společnosti Cisco jsou založena na signaturách. Signatura je v podstatě pravidlo, které zkoumá paket nebo sérii paketů z hlediska určitého obsahu, například shody s informacemi v záhlaví paketu nebo v užitečném zatížení dat. Signatury jsou jádrem síťových řešení IDS společnosti Cisco. Tato část se zaměřuje na signatury a jejich implementaci.
TIP
Je důležité zdůraznit, že to není nutně počet signatur, co dělá řešení IDS založené na signaturách dobrým. Místo toho je to flexibilita signatur při detekci útoku. Například v jednom řešení IDS mohou být k odhalení tří různých útoků potřeba tři samostatné signatury; v jiném řešení může být jediná signatura schopna odhalit všechny tři útoky. Flexibilita signatur, stejně jako možnost vytvářet vlastní signatury, by měla být spíše předmětem zájmu při výběru řešení IDS založeného na signaturách.
Implementace signatur
Signatury se dodávají ve dvou implementacích:
-
Kontext? Zkoumá záhlaví paketu pro nalezení shody
-
Obsah? Zkoumá obsah paketu pro nalezení shody
Podpisy kontextu zkoumají při hledání shody pouze informace v záhlaví paketu. Tyto informace mohou zahrnovat pole adresy IP, pole protokolu IP, volby IP, parametry fragmentů IP, kontrolní součty IP, TCP a UDP, čísla portů IP a TCP, příznaky TCP, typy zpráv ICMP a další.
Podpisy obsahu naproti tomu zkoumají kromě záhlaví paketu také jeho užitečné zatížení. Jako příklad lze uvést mnoho útoků na webové servery, při nichž jsou odesílány chybné nebo specifické adresy URL, které jsou obsaženy v aplikačních datech. Jako další příklad lze uvést jeden průzkumný útok na sendmail, který v aplikačních datech hledá příkazy EXPN a VRFY (to je zahrnuto v signatuře Cisco 3103).
Struktury signatur
Kromě toho, že signatury existují ve dvou implementacích, podporují jednu ze dvou struktur:
-
Atomická? Zkoumá jeden paket pro nalezení shody
-
Kompozitní? Zkoumá proud paketů na shodu
Příkladem signatury, která používá atomickou strukturu, je signatura, která zkoumá záhlaví segmentu TCP na příznaky SYN i FIN. Protože jsou tyto informace obsaženy v záhlaví protokolu TCP a protože jsou obsaženy v jednom paketu IP, musí být k určení shody zkoumán pouze jeden paket.
Některé typy útoků jsou však rozprostřeny do mnoha paketů a případně mnoha spojení. U složeného strukturovaného podpisu musí snímač zkoumat proud paketů, zda se shodují. Příkladem složené signatury je signatura, která zkoumá řadu fragmentů ze stejného spojení a určuje, zda se fragmenty překrývají (to by byl zřejmý útok, protože skutečný fragmentovaný paket lze znovu složit, zatímco překrývající se fragmenty nikoli).
Základní klasifikace
Obecně existují čtyři základní kategorie signatur:
-
Informační (neškodné)? Tyto signatury se spouštějí při běžné síťové činnosti, například při požadavcích na echo ICMP a při otevírání nebo zavírání spojení TCP nebo UDP.
-
Rekonspirace? Tyto signatury se spouštějí při útocích, které odhalují dosažitelné prostředky a hostitele, jakož i případné zranitelnosti, které mohou obsahovat. Mezi příklady průzkumných útoků patří prověřování pingem, dotazy DNS a skenování portů.
-
Přístup? Tyto signatury se spouštějí při útocích na přístup, které zahrnují neoprávněný přístup, neoprávněné zvýšení oprávnění a přístup k chráněným nebo citlivým datům. Mezi příklady přístupových útoků patří Back Orifice, útok Unicode proti službě Microsoft IIS a NetBus.
-
DoS? Tyto signatury se spouštějí při útocích, které se snaží snížit úroveň prostředků nebo systému nebo způsobit jejich zhroucení. Příklady útoků DoS zahrnují záplavy TCP SYN, Ping of Death, Smurf, Fraggle, Trinoo a Tribe Flood Network.
Kategorie signatur Cisco
Při implementaci signatur společnost Cisco rozdělila klasifikaci signatur do osmi kategorií, které jsou uvedeny v tabulce 16-1.
|
Série signatur |
Popis |
|---|---|
|
Signatury na pravidla hlavičky IP, které zahrnují volby IP, fragmenty IP a špatné nebo neplatné pakety IP |
|
|
Podpisy na paketech ICMP, které zahrnují útoky ICMP, ping sweep a záznamy o provozu ICMP |
|
|
Signatury na útoky pomocí TCP, včetně TCP host sweep, TCP SYN floods, TCP port scans, TCP session hijacking, TCP traffic records, TCP applications, e-mail attacks, NetBIOS attacks, and legacy web attacks |
|
|
Signatures on attacks using UDP, včetně skenování portů UDP, aplikací UDP a záznamů o provozu UDP |
|
|
Signatury na útoky na webové servery a prohlížeče pomocí protokolu HTTP |
|
|
Signatury na útoky napříč protokoly (více protokolů), včetně distribuovaných útoků DoS (DDoS), útoků DNS, útoků Loki, autentizačních útoků a útoků RPC |
|
|
Signatury, které hledají shody řetězců v relacích/aplikacích TCP |
|
|
10,000 |
Signatury, které se spouštějí při porušení seznamu ACL na směrovači Cisco (shoda na příkazu deny) |
.