IDS-Signaturen

Cisco IDS-Lösungen für Netzwerke sind signaturbasiert. Grundsätzlich ist eine Signatur eine Regel, die ein Paket oder eine Reihe von Paketen auf bestimmte Inhalte untersucht, wie z.B. Übereinstimmungen mit Paket-Header- oder Daten-Nutzlast-Informationen. Signaturen sind das Herzstück der netzwerkbasierten IDS-Lösung von Cisco. Dieser Abschnitt konzentriert sich auf Signaturen und ihre Implementierung.

TIP

Es ist wichtig, darauf hinzuweisen, dass es nicht unbedingt die Anzahl der Signaturen ist, die eine signaturbasierte IDS-Lösung gut macht. Vielmehr ist es die Flexibilität der Signaturen bei der Erkennung eines Angriffs. Bei einer IDS-Lösung könnten beispielsweise drei verschiedene Signaturen erforderlich sein, um drei verschiedene Angriffe zu erkennen; bei einer anderen Lösung könnte eine einzige Signatur in der Lage sein, alle drei Angriffe zu erkennen. Flexibilität bei den Signaturen sowie die Möglichkeit, eigene Signaturen zu erstellen, sollten bei der Auswahl einer signaturbasierten IDS-Lösung im Vordergrund stehen.

Signaturimplementierungen

Signaturen gibt es in zwei Implementierungen:

  • Kontext? Untersucht den Header des Pakets auf eine Übereinstimmung

  • Inhalt? Untersucht den Inhalt des Pakets auf eine Übereinstimmung

Kontext-Signaturen untersuchen bei der Suche nach einer Übereinstimmung nur die Header-Informationen des Pakets. Diese Informationen können die IP-Adressfelder, das IP-Protokollfeld, IP-Optionen, IP-Fragment-Parameter, IP-, TCP- und UDP-Prüfsummen, IP- und TCP-Portnummern, TCP-Flags, ICMP-Nachrichtentypen und andere umfassen.

Inhaltssignaturen hingegen untersuchen sowohl die Nutzlast eines Pakets als auch die Paketköpfe. So senden beispielsweise viele Webserver-Angriffe fehlerhafte oder spezifische URLs, die in den Anwendungsdaten enthalten sind. Ein weiteres Beispiel ist ein Sendmail-Aufklärungsangriff, der nach EXPN- und VRFY-Befehlen in den Anwendungsdaten sucht (dies wird von der Cisco 3103-Signatur abgedeckt).

Signaturstrukturen

Abgesehen davon, dass es zwei Implementierungen gibt, unterstützen Signaturen eine von zwei Strukturen:

  • Atomisch? Untersucht ein einzelnes Paket auf eine Übereinstimmung

  • Zusammengesetzt? Untersucht einen Strom von Paketen auf Übereinstimmung

Ein Beispiel für eine Signatur, die eine atomare Struktur verwendet, ist eine, die einen TCP-Segment-Header sowohl auf die SYN- als auch auf die FIN-Flags untersucht. Da diese Informationen im TCP-Header und in einem IP-Paket enthalten sind, muss nur ein einziges Paket untersucht werden, um festzustellen, ob eine Übereinstimmung vorliegt.

Einige Arten von Angriffen sind jedoch über viele Pakete und möglicherweise viele Verbindungen verteilt. Bei einer zusammengesetzten strukturierten Signatur untersucht der Sensor einen Strom von Paketen auf eine Übereinstimmung. Ein Beispiel für eine zusammengesetzte Signatur ist eine, die eine Reihe von Fragmenten derselben Verbindung untersucht und feststellt, ob sich die Fragmente überschneiden (dies wäre ein offensichtlicher Angriff, da ein echtes fragmentiertes Paket wieder zusammengesetzt werden kann, überlappende Fragmente dagegen nicht).

Grundlegende Klassifizierung

Im Allgemeinen gibt es vier grundlegende Kategorien von Signaturen:

  • Informativ (gutartig)? Diese Signaturen werden bei normalen Netzwerkaktivitäten ausgelöst, z. B. bei ICMP-Echoanfragen und dem Öffnen oder Schließen von TCP- oder UDP-Verbindungen.

  • Aufklärung? Diese Signaturen werden bei Angriffen ausgelöst, die Ressourcen und Hosts aufdecken, die erreichbar sind, sowie alle möglichen Schwachstellen, die sie enthalten könnten. Beispiele für Aufklärungsangriffe sind Ping-Sweeps, DNS-Anfragen und Port-Scans.

  • Zugriff? Diese Signaturen lösen Zugriffsangriffe aus, zu denen unerlaubter Zugriff, unerlaubte Ausweitung von Privilegien und Zugriff auf geschützte oder sensible Daten gehören. Einige Beispiele für Zugriffsangriffe sind Back Orifice, ein Unicode-Angriff auf den Microsoft IIS, und NetBus.

  • DoS? Diese Signaturen werden bei Angriffen ausgelöst, die versuchen, die Auslastung einer Ressource oder eines Systems zu verringern oder es zum Absturz zu bringen. Beispiele für DoS-Angriffe sind TCP SYN-Floods, Ping of Death, Smurf, Fraggle, Trinoo und Tribe Flood Network.

Cisco Signaturkategorien

Bei der Implementierung von Signaturen hat Cisco die Klassifizierung von Signaturen in acht Kategorien unterteilt, die in Tabelle 16-1 dargestellt sind.

Tabelle 16-1. Cisco-Signaturklassifizierungskategorien

Signaturreihen

Beschreibung

Signaturen auf IP-Header-Regeln, die IP-Optionen, IP-Fragmente und schlechte oder ungültige IP-Pakete umfassen

Signaturen auf ICMP-Paketen, die ICMP-Angriffe, ping sweeps und ICMP-Traffic-Records

Signaturen von Angriffen mit TCP, einschließlich TCP host sweeps, TCP SYN floods, TCP port scans, TCP-Session-Hijacking, TCP-Verkehrsaufzeichnungen, TCP-Anwendungen, E-Mail-Angriffe, NetBIOS-Angriffe und Legacy-Web-Angriffe

Signaturen für Angriffe mit UDP, einschließlich UDP-Port-Scans, UDP-Anwendungen und UDP-Verkehrsaufzeichnungen

Signaturen zu Webserver- und Browser-Angriffen unter Verwendung von HTTP

Signaturen zu protokollübergreifenden Angriffen (mehrere Protokolle), einschließlich verteilter DoS-Angriffe (DDoS), DNS-Angriffe, Loki-Angriffe, Authentifizierungsangriffe und RPC-Angriffe

Signaturen, die nach String-Übereinstimmungen in TCP-Sitzungen/Applikationen suchen

10,000

Signaturen, die bei einer ACL-Verletzung auf einem Cisco-Router ausgelöst werden (Übereinstimmung mit einer Deny-Anweisung)