Cisco IDS netværksbaserede løsninger er signaturbaserede. Grundlæggende er en signatur en regel, der undersøger en pakke eller en serie af pakker for et bestemt indhold, f.eks. match på oplysninger om pakkens header eller data payload. Signaturer er kernen i den netværksbaserede IDS-løsning fra Cisco. Dette afsnit fokuserer på signaturer og deres implementering.
TIP
Det er vigtigt at påpege, at det ikke nødvendigvis er antallet af signaturer, der gør en IDS-signaturbaseret løsning god. Det er i stedet signaturernes fleksibilitet med hensyn til at detektere et angreb. I en IDS-løsning kan det f.eks. være nødvendigt med tre forskellige signaturer for at opdage tre forskellige angreb; i en anden løsning kan en enkelt signatur måske være i stand til at opdage alle tre angreb. Fleksibilitet i signaturer samt muligheden for at oprette egne signaturer bør være mere af en bekymring, når man vælger en signaturbaseret IDS-løsning.
Signaturimplementeringer
Signaturer findes i to implementeringer:
-
Kontekst? Undersøger pakkens header for at finde et match
-
Indhold? Undersøger pakkens indhold for at finde et match
Context-signaturer undersøger kun pakkens headeroplysninger, når de leder efter et match. Disse oplysninger kan omfatte IP-adressefelterne; IP-protokolfeltet; IP-indstillinger; IP-fragmentparametre; IP-, TCP- og UDP-kontrolsummer; IP- og TCP-portnumre; TCP-flag, ICMP-meddelelsestyper og andre.
Indholdssignaturer ser på den anden side ind i en pakkes nyttelast samt i pakkehovedet. Som eksempel kan nævnes, at mange webserverangreb sender misdannede eller specifikke URL’er, som er indeholdt i applikationsdata. Som et andet eksempel ser et sendmail-rekognosceringsangreb efter EXPN- og VRFY-kommandoer i applikationsdataene (dette er dækket i Cisco 3103-signaturen).
Signaturstrukturer
Selv om de findes i to implementeringer, understøtter signaturer en af to strukturer:
-
Atomic? Undersøger en enkelt pakke for et match
-
Composite? Undersøger en strøm af pakker for at finde et match
Et eksempel på en signatur, der bruger en atomar struktur, er en signatur, der undersøger en TCP-segmentheader for både SYN- og FIN-flagene. Da disse oplysninger er indeholdt i TCP-headeren, og da dette er indeholdt i én IP-pakke, skal kun én pakke undersøges for at afgøre, om der er et match.
Nogle typer angreb er imidlertid spredt over mange pakker og muligvis mange forbindelser. Ved en sammensat struktureret signatur skal sensoren undersøge en strøm af pakker for at finde et match. Et eksempel på en sammensat signatur er en, der ser på en række fragmenter fra den samme forbindelse og afgør, om fragmenterne overlapper hinanden (dette ville være et indlysende angreb, fordi en rigtig fragmenteret pakke kan samles igen, mens overlappende fragmenter ikke kan).
Grundlæggende klassificering
Generelt er der fire grundlæggende kategorier af signaturer:
-
Informationel (godartet)? Disse signaturer udløses ved normal netværksaktivitet, f.eks. ICMP-echoforespørgsler og åbning eller lukning af TCP- eller UDP-forbindelser.
-
Rekognoscering? Disse signaturer udløses ved angreb, der afdækker ressourcer og værter, der kan nås, samt eventuelle sårbarheder, som de kan indeholde. Eksempler på rekognosceringsangreb omfatter ping-søgninger, DNS-forespørgsler og portscanning.
-
Access? Disse signaturer udløser adgangsangreb, som omfatter uautoriseret adgang, uautoriseret optrapning af privilegier og adgang til beskyttede eller følsomme data. Nogle eksempler på adgangsangreb omfatter Back Orifice, et Unicode-angreb mod Microsoft IIS, og NetBus.
-
DoS? Disse signaturer udløses ved angreb, der forsøger at reducere niveauet af en ressource eller et system eller at få det til at gå ned. Eksempler på DoS-angreb omfatter TCP SYN-flooding, Ping of Death, Smurf, Fraggle, Trinoo og Tribe Flood Network.
Cisco Signaturkategorier
I forbindelse med implementeringen af signaturer har Cisco opdelt klassificeringen af signaturer i otte kategorier, der er vist i Tabel 16-1.
|
Signaturserie |
Beskrivelse |
|---|---|
|
Signaturer på IP-headerregler, som omfatter IP-optioner, IP-fragmenter og dårlige eller ugyldige IP-pakker |
|
|
Signaturer på ICMP-pakker, som omfatter ICMP-angreb, ping-søgninger og ICMP-trafikregistreringer |
|
|
Signaturer på angreb, der anvender TCP, herunder TCP-host-søgninger, TCP SYN-floder og TCP-portscanninger, TCP-session hijacking, TCP-trafikregistreringer, TCP-programmer, e-mail-angreb, NetBIOS-angreb og ældre webangreb |
|
|
Signaturer om angreb, der anvender UDP, herunder UDP-portscanninger, UDP-programmer og UDP-trafikregistreringer |
|
|
Signaturer om webserver- og browserangreb ved hjælp af HTTP |
|
|
Signaturer om angreb på tværs af protokoller (flere protokoller), herunder distribuerede DoS-angreb (DDoS-angreb), DNS-angreb og Loki-angreb, autentifikationsangreb og RPC-angreb |
|
|
Signaturer, der søger efter strengoverensstemmelser i TCP-sessioner/applikationer |
|
|
10,000 |
Signaturer, der udløses ved en ACL-overtrædelse på en Cisco-router (match på en deny-anvisning) |