Signatures IDS

Les solutions IDS réseau de Cisco sont basées sur des signatures. Fondamentalement, une signature est une règle qui examine un paquet ou une série de paquets pour certains contenus, tels que des correspondances sur les informations d’en-tête de paquet ou de données utiles. Les signatures sont le cœur de la solution IDS basée sur le réseau Cisco. Cette section se concentre sur les signatures et leur mise en œuvre.

TIP

Il est important de souligner que ce n’est pas nécessairement le nombre de signatures qui rend une solution IDS basée sur les signatures bonne. C’est plutôt la flexibilité des signatures dans la détection d’une attaque. Par exemple, dans une solution IDS, trois signatures distinctes peuvent être nécessaires pour détecter trois attaques distinctes ; dans une autre solution, une seule signature peut être capable de détecter les trois attaques. La flexibilité des signatures, ainsi que la capacité de créer vos propres signatures, devraient être davantage une préoccupation lors du choix d’une solution IDS basée sur les signatures.

Mise en œuvre des signatures

Les signatures se présentent sous deux mises en œuvre :

  • Contexte ? Examine l’en-tête du paquet pour une correspondance

  • Contenu ? Examine le contenu du paquet pour une correspondance

Les signatures de contexte examinent uniquement les informations de l’en-tête du paquet lors de la recherche d’une correspondance. Ces informations peuvent inclure les champs d’adresse IP ; le champ de protocole IP ; les options IP ; les paramètres de fragment IP ; les sommes de contrôle IP, TCP et UDP ; les numéros de port IP et TCP ; les drapeaux TCP, les types de message ICMP ; et autres.

Les signatures de contenu, en revanche, examinent l’intérieur de la charge utile d’un paquet ainsi que les en-têtes de paquet. A titre d’exemple, de nombreuses attaques de serveurs web envoient des URL malformées ou spécifiques qui sont contenues dans les données de l’application. Autre exemple, une attaque de reconnaissance de sendmail recherche les commandes EXPN et VRFY dans les données d’application (ceci est couvert par la signature Cisco 3103).

Structures de signature

En plus de se présenter sous deux implémentations, les signatures prennent en charge l’une des deux structures suivantes :

  • Atomique ? Examine un seul paquet pour une correspondance

  • Composite ? Examine un flux de paquets pour une correspondance

Un exemple de signature qui utilise une structure atomique est celle qui examine un en-tête de segment TCP pour les drapeaux SYN et FIN. Parce que ces informations sont contenues dans l’en-tête TCP, et parce qu’elles sont contenues dans un seul paquet IP, un seul paquet doit être examiné pour déterminer s’il y a une correspondance.

Certains types d’attaques, cependant, sont répartis sur de nombreux paquets et éventuellement de nombreuses connexions. Une signature structurée composite fait que le capteur examine un flux de paquets pour trouver une correspondance. Un exemple de signature composite est celui qui examine une série de fragments provenant de la même connexion et détermine si les fragments se chevauchent (il s’agirait d’une attaque évidente car un vrai paquet fragmenté peut être réassemblé, alors que les fragments qui se chevauchent ne le peuvent pas).

Classification de base

En général, il existe quatre catégories de base de signatures :

  • Informationnelles (bénignes) ? Ces signatures se déclenchent sur l’activité normale du réseau, comme les demandes d’écho ICMP et l’ouverture ou la fermeture de connexions TCP ou UDP.

  • Reconnaissance ? Ces signatures se déclenchent sur des attaques qui découvrent des ressources et des hôtes joignables, ainsi que les éventuelles vulnérabilités qu’ils peuvent contenir. Les exemples d’attaques de reconnaissance comprennent les balayages ping, les requêtes DNS et l’analyse des ports.

  • Accès ? Ces signatures se déclenchent sur les attaques d’accès, qui comprennent l’accès non autorisé, l’escalade non autorisée des privilèges et l’accès à des données protégées ou sensibles. Parmi les exemples d’attaques d’accès, citons Back Orifice, une attaque Unicode contre le IIS de Microsoft, et NetBus.

  • DoS ? Ces signatures se déclenchent sur des attaques qui tentent de réduire le niveau d’une ressource ou d’un système, ou de le faire tomber en panne. Des exemples d’attaques DoS comprennent les inondations TCP SYN, le Ping de la mort, le Smurf, le Fraggle, le Trinoo et le Tribe Flood Network.

Cisco Signature Categories

Dans la mise en œuvre des signatures, Cisco a divisé la classification des signatures en huit catégories, présentées dans le tableau 16-1.

Tableau 16-1. Catégories de classification des signatures Cisco

Séries de signatures

Description

Signatures sur les règles d’en-tête IP, qui incluent les options IP, les fragments IP, et les paquets IP mauvais ou invalides

Signatures sur les paquets ICMP, qui incluent les attaques ICMP, balayages ping, et les enregistrements de trafic ICMP

Signatures sur les attaques utilisant TCP, qui comprennent les balayages d’hôtes TCP, les inondations TCP SYN, les balayages de ports TCP, le détournement de session TCP, les enregistrements de trafic TCP, les applications TCP, les attaques par e-mail, les attaques NetBIOS et les attaques web héritées

Signatures sur les attaques utilisant UDP, y compris les scans de ports UDP, les applications UDP et les enregistrements de trafic UDP

Signatures sur les attaques de serveurs web et de navigateurs utilisant HTTP

Signatures sur les attaques inter-protocoles (multiprotocoles), y compris les attaques DoS distribuées (DDoS), les attaques DNS, les attaques Loki, attaques d’authentification et attaques RPC

Signatures qui recherchent des correspondances de chaînes dans les sessions/applications TCP

10,000

Signatures qui se déclenchent sur une violation d’ACL sur un routeur Cisco (correspondance sur une instruction deny)

.