Firmas de IDS

Las soluciones basadas en red de Cisco IDS están basadas en firmas. Básicamente, una firma es una regla que examina un paquete o una serie de paquetes en busca de ciertos contenidos, como coincidencias en la cabecera del paquete o en la información de la carga útil de los datos. Las firmas son el corazón de la solución IDS basada en red de Cisco. Esta sección se centra en las firmas y su implementación.

TIP

Es importante señalar que no es necesariamente el número de firmas lo que hace que una solución IDS basada en firmas sea buena. En cambio, es la flexibilidad de las firmas en la detección de un ataque. Por ejemplo, en una solución IDS, pueden ser necesarias tres firmas distintas para detectar tres ataques distintos; en otra solución, una sola firma puede ser capaz de detectar los tres ataques. La flexibilidad en las firmas, así como la capacidad de crear sus propias firmas, debería ser más una preocupación a la hora de elegir una solución IDS basada en firmas.

Implementaciones de firmas

Las firmas vienen en dos implementaciones:

  • ¿Contexto? Examina la cabecera del paquete en busca de una coincidencia

  • ¿Contenido? Examina el contenido del paquete en busca de una coincidencia

Las firmas de contexto examinan sólo la información de la cabecera del paquete cuando buscan una coincidencia. Esta información puede incluir los campos de dirección IP; el campo de protocolo IP; las opciones IP; los parámetros de fragmentos IP; las sumas de comprobación IP, TCP y UDP; los números de puerto IP y TCP; las banderas TCP, los tipos de mensajes ICMP y otros.

Las firmas de contenido, por otro lado, miran dentro de la carga útil de un paquete, así como las cabeceras del paquete. Como ejemplo, muchos ataques a servidores web envían URLs malformadas o específicas que están contenidas en los datos de la aplicación. Como otro ejemplo, un ataque de reconocimiento de sendmail busca comandos EXPN y VRFY en los datos de la aplicación (esto está cubierto en la firma Cisco 3103).

Estructuras de la firma

Además de venir en dos implementaciones, las firmas soportan una de dos estructuras:

  • ¿Atómica? Examina un solo paquete en busca de una coincidencia

  • ¿Compuesto? Examina un flujo de paquetes en busca de una coincidencia

Un ejemplo de una firma que utiliza una estructura atómica es la que examina la cabecera de un segmento TCP en busca de las banderas SYN y FIN. Debido a que esta información está contenida en la cabecera TCP, y debido a que está contenida en un paquete IP, sólo un paquete debe ser examinado para determinar si hay una coincidencia.

Algunos tipos de ataques, sin embargo, se extienden a través de muchos paquetes y posiblemente muchas conexiones. Una firma estructurada compuesta hace que el sensor examine un flujo de paquetes en busca de una coincidencia. Un ejemplo de firma compuesta es la que examina una serie de fragmentos de la misma conexión y determina si los fragmentos se superponen (esto sería un ataque obvio porque un paquete fragmentado real puede ser reensamblado, mientras que los fragmentos superpuestos no pueden).

Clasificación básica

En general, hay cuatro categorías básicas de firmas:

  • ¿Informativas (benignas)? Estas firmas se activan en la actividad normal de la red, como las solicitudes de eco ICMP y la apertura o cierre de conexiones TCP o UDP.

  • ¿Reconocimiento? Estas firmas se activan en ataques que descubren recursos y hosts alcanzables, así como las posibles vulnerabilidades que puedan contener. Ejemplos de ataques de reconocimiento incluyen barridos de ping, consultas DNS y escaneo de puertos.

  • ¿Acceso? Estas firmas activan los ataques de acceso, que incluyen el acceso no autorizado, la escalada de privilegios no autorizada y el acceso a datos protegidos o sensibles. Algunos ejemplos de ataques de acceso incluyen Back Orifice, un ataque Unicode contra el IIS de Microsoft, y NetBus.

  • ¿DoS? Estas firmas se activan ante ataques que intentan reducir el nivel de un recurso o sistema, o provocar su caída. Algunos ejemplos de ataques DoS son las inundaciones TCP SYN, el Ping de la Muerte, Smurf, Fraggle, Trinoo y Tribe Flood Network.

Categorías de firmas de Cisco

Al implementar las firmas, Cisco dividió la clasificación de las mismas en ocho categorías, que se muestran en la Tabla 16-1.

Tabla 16-1. Categorías de clasificación de firmas de Cisco

Serie de firmas

Descripción

Firmas sobre reglas de cabecera IP, que incluyen opciones IP, fragmentos IP y paquetes IP malos o inválidos

Firmas en paquetes ICMP, que incluyen ataques ICMP, barridos de ping, y registros de tráfico ICMP

Firmas en ataques que utilizan TCP, incluyendo barridos de hosts TCP, inundaciones TCP SYN, escaneos de puertos TCP, secuestro de sesiones TCP, registros de tráfico TCP, aplicaciones TCP, ataques de correo electrónico, ataques NetBIOS y ataques web heredados

Firmas sobre ataques que utilizan UDP, incluyendo escaneos de puertos UDP, aplicaciones UDP y registros de tráfico UDP

Firmas sobre ataques al servidor web y al navegador usando HTTP

Firmas sobre ataques entre protocolos (múltiples protocolos), incluyendo ataques DoS distribuidos (DDoS), ataques DNS, ataques Loki, ataques de autenticación y ataques RPC

Firmas que buscan coincidencias de cadenas en sesiones/aplicaciones TCP

10,000

Firmas que se activan al violar una ACL en un router Cisco (coinciden con una sentencia de denegación)