IDS-allekirjoitukset

Ciscon IDS-verkkopohjaiset ratkaisut perustuvat allekirjoituksiin. Periaatteessa allekirjoitus on sääntö, joka tutkii paketin tai pakettisarjan tietyn sisällön, kuten paketin otsikko- tai datan hyötykuorman tietojen vastaavuuden, perusteella. Allekirjoitukset ovat Ciscon verkkopohjaisen IDS-ratkaisun ydin. Tässä luvussa keskitytään allekirjoituksiin ja niiden toteutukseen.

TIP

On tärkeää huomauttaa, että allekirjoitusten määrä ei välttämättä tee IDS:n allekirjoituspohjaisesta ratkaisusta hyvää. Sen sijaan se on allekirjoitusten joustavuus hyökkäyksen havaitsemisessa. Esimerkiksi yhdessä IDS-ratkaisussa saatetaan tarvita kolme erillistä allekirjoitusta havaitsemaan kolme erillistä hyökkäystä; toisessa ratkaisussa yksi allekirjoitus saattaa pystyä havaitsemaan kaikki kolme hyökkäystä. Allekirjoitusten joustavuus sekä mahdollisuus luoda omia allekirjoituksia tulisi olla tärkeämpää, kun valitaan allekirjoituksiin perustuvaa IDS-ratkaisua.

Allekirjoitustoteutukset

Allekirjoituksia on kahta toteutustapaa:

  • Konteksti? Tutkii paketin otsikon vastaavuuden löytämiseksi

  • Content? Tutkii paketin sisällön vastaavuuden löytämiseksi

Kontekstin allekirjoitukset tutkivat vain paketin otsikkotiedot etsiessään vastaavuutta. Näihin tietoihin voivat kuulua IP-osoitekentät, IP-protokollakenttä, IP-optiot, IP-fragmenttiparametrit, IP-, TCP- ja UDP-tarkistussummat, IP- ja TCP-porttien numerot, TCP-liput, ICMP-viestityypit ja muut.

Sisällön allekirjoitukset puolestaan tarkastelevat paketin hyötykuorman sekä pakettien otsikoiden sisältä. Esimerkkinä voidaan mainita, että monet verkkopalvelinhyökkäykset lähettävät sovellustietoihin sisältyviä epämuodostuneita tai erityisiä URL-osoitteita. Toisena esimerkkinä eräs sendmailin tiedusteluhyökkäys etsii EXPN- ja VRFY-komentoja sovellusdatasta (tätä käsitellään Ciscon 3103-allekirjoituksessa).

Allekirjoitusrakenteet

Allekirjoituksia on saatavana kahdessa eri toteutuksessa, ja lisäksi ne tukevat jotakin seuraavista kahdesta rakenteesta:

  • Atomic? Tutkii yksittäisen paketin vastaavuutta

  • Composite? Tutkii pakettivirran vastaavuuden löytämiseksi

Esimerkki atomirakennetta käyttävästä allekirjoituksesta on allekirjoitus, joka tutkii TCP-segmentin otsikon sekä SYN- että FIN-lippujen osalta. Koska nämä tiedot sisältyvät TCP-otsikkoon ja koska ne sisältyvät yhteen IP-pakettiin, on tutkittava vain yksi paketti sen määrittämiseksi, onko kyseessä vastaavuus.

Jotkut hyökkäystyypit kuitenkin jakautuvat useisiin paketteihin ja mahdollisesti useisiin yhteyksiin. Yhdistetyn strukturoidun allekirjoituksen avulla tunnistin tutkii pakettivirran vastaavuuden löytämiseksi. Esimerkki koostetusta allekirjoituksesta on sellainen, joka tarkastelee sarjaa samasta yhteydestä peräisin olevia fragmentteja ja määrittää, ovatko fragmentit päällekkäisiä (tämä olisi ilmeinen hyökkäys, koska todellinen fragmentoitu paketti voidaan koota uudelleen, kun taas päällekkäisiä fragmentteja ei voida koota).

Perusluokittelu

Yleisesti ottaen on olemassa neljä perusluokkaa allekirjoituksille:

  • Tietoiskuinen (hyvänlaatuinen)? Nämä allekirjoitukset laukeavat normaalista verkkotoiminnasta, kuten ICMP-kaikupyynnöistä ja TCP- tai UDP-yhteyksien avaamisesta tai sulkemisesta.

  • Tiedustelu? Nämä allekirjoitukset käynnistyvät hyökkäyksissä, jotka paljastavat tavoitettavissa olevat resurssit ja isännät sekä niiden mahdolliset haavoittuvuudet. Esimerkkejä tiedusteluhyökkäyksistä ovat ping-hyökkäykset, DNS-kyselyt ja porttien skannaus.

  • Access? Nämä allekirjoitukset laukeavat pääsyhyökkäyksissä, joihin kuuluvat luvaton pääsy, oikeuksien luvaton laajentaminen ja pääsy suojattuihin tai arkaluonteisiin tietoihin. Esimerkkejä pääsyhyökkäyksistä ovat Back Orifice, Microsoftin IIS:ää vastaan suunnattu Unicode-hyökkäys ja NetBus.

  • DoS? Nämä allekirjoitukset käynnistyvät hyökkäyksissä, joilla yritetään alentaa resurssin tai järjestelmän tasoa tai saada se kaatumaan. Esimerkkejä DoS-hyökkäyksistä ovat TCP SYN-tulvat, Ping of Death, Smurf, Fraggle, Trinoo ja Tribe Flood Network.

Ciscon allekirjoituskategoriat

Allekirjoitusten käyttöönotossa Cisco jakoi allekirjoitusten luokittelun kahdeksaan kategoriaan, jotka on esitetty taulukossa 16-1.

Taulukko 16-1. Ciscon allekirjoitusten luokitteluluokat

Allekirjoitussarja

Kuvaus

Allekirjoitukset IP-otsakkeen sääntöjä, joihin kuuluvat IP-optiot, IP-pätkät ja huonot tai virheelliset IP-paketit

Allekirjoitukset ICMP-paketeissa, joihin kuuluvat ICMP-hyökkäykset, ping-pyyhkäisyt ja ICMP-liikennetiedot

Allekirjoitukset TCP:tä käyttävistä hyökkäyksistä, mukaan lukien TCP-isäntäpyyhkäisyt, TCP SYN-tulvat ja TCP-porttiskannaukset, TCP-istunnon kaappaus, TCP-liikennetiedot, TCP-sovellukset, sähköpostihyökkäykset, NetBIOS-hyökkäykset ja perinteiset verkkohyökkäykset

Allekirjoitukset UDP:tä käyttävistä hyökkäyksistä, mukaan lukien UDP-porttiskannaukset, UDP-sovellukset ja UDP-liikennetiedot

Allekirjoitukset HTTP:tä käyttävistä verkkopalvelin- ja selainhyökkäyksistä

Allekirjoitukset ristikkäisprotokollaisista hyökkäyksistä, mukaan lukien hajautetut DoS-hyökkäykset (DDoS), DNS-hyökkäykset ja Loki-hyökkäykset, todennushyökkäykset ja RPC-hyökkäykset

Allekirjoitukset, jotka etsivät merkkijono-osumia TCP-istunnoista/-sovelluksista

10,000

Allekirjoitukset, jotka käynnistyvät Ciscon reitittimen ACL:n rikkomisesta (vastaavat deny-lauseketta)

.