A Cisco IDS hálózati alapú megoldásai aláírás-alapúak. Az aláírás alapvetően egy olyan szabály, amely egy csomagot vagy csomagok sorozatát vizsgálja bizonyos tartalmak, például a csomag fejlécének vagy az adattömeg információinak egyezései alapján. Az aláírások alkotják a Cisco hálózati alapú IDS megoldásának szívét. Ez a szakasz az aláírásokra és azok megvalósítására összpontosít.
TIP
Nagyon fontos kiemelni, hogy nem feltétlenül az aláírások száma teszi jóvá az IDS aláírás-alapú megoldását. Ehelyett az, hogy az aláírások mennyire rugalmasak a támadás észlelésében. Egy IDS-megoldásban például három különböző támadás észleléséhez három különböző aláírás szükséges; egy másik megoldás esetében egyetlen aláírás képes lehet mindhárom támadás észlelésére. Az aláírások rugalmassága, valamint a saját aláírások létrehozásának lehetősége inkább az aláírásokon alapuló IDS-megoldás kiválasztásakor kell, hogy szempont legyen.
Szignatúra implementációk
Az aláírásoknak kétféle implementációja létezik:
-
Kontextus? Megvizsgálja a csomag fejlécet az egyezés szempontjából
-
Content? Megvizsgálja a csomag tartalmát egyezés után
Context aláírások csak a csomag fejlécének információit vizsgálják egyezés keresésekor. Ezek az információk közé tartozhatnak az IP-cím mezők; az IP protokoll mező; IP opciók; IP fragment paraméterek; IP, TCP és UDP ellenőrző összegek; IP és TCP portszámok; TCP flagek, ICMP üzenettípusok; és mások.
A tartalmi aláírások ezzel szemben a csomag fejlécén kívül a csomag hasznos terhét is megvizsgálják. Példaként számos webkiszolgálótámadás küld rosszul formázott vagy meghatározott URL-címeket, amelyeket az alkalmazási adatok tartalmaznak. Egy másik példaként egy sendmail felderítő támadás az EXPN és VRFY parancsokat keresi az alkalmazási adatokban (ezt a Cisco 3103 aláírás tartalmazza).
Aláírási struktúrák
Az aláírás kétféle megvalósításban létezik, és kétféle struktúra egyikét támogatja:
-
Atomic? Egyetlen csomagot vizsgál egyezés szempontjából
-
Composite? Egy csomagfolyamot vizsgál egyezés szempontjából
Az atomikus struktúrát használó aláírásra példa az, amely a TCP szegmens fejlécét vizsgálja a SYN és a FIN zászlóra. Mivel ezt az információt a TCP fejléc tartalmazza, és mivel ez egyetlen IP-csomagban van, csak egyetlen csomagot kell megvizsgálni annak megállapításához, hogy van-e egyezés.
A támadások bizonyos típusai azonban sok csomagra és esetleg sok kapcsolatra terjednek ki. Az összetett strukturált aláírásnál az érzékelő egy csomagfolyamot vizsgál meg egyezés keresése céljából. Az összetett aláírásra példa az, amely egyazon kapcsolatból származó töredékek sorozatát vizsgálja, és megállapítja, hogy a töredékek átfedik-e egymást (ez nyilvánvaló támadás lenne, mivel egy valódi töredezett csomagot újra össze lehet rakni, míg az átfedő töredékek nem).
Az alapvető osztályozás
Az aláírásoknak általában négy alapvető kategóriája van:
-
Információs (jóindulatú)? Ezek az aláírások normál hálózati tevékenységekre, például ICMP visszhangkérésekre és TCP- vagy UDP-kapcsolatok megnyitására vagy lezárására reagálnak.
-
Felderítés? Ezek az aláírások olyan támadások esetén lépnek működésbe, amelyek feltárják az elérhető erőforrásokat és állomáshelyeket, valamint az azokban esetlegesen található sebezhetőségeket. A felderítő támadások közé tartoznak például a ping-lekérdezések, a DNS-lekérdezések és a portok átvizsgálása.
-
Access? Ezek az aláírások hozzáférési támadásokat váltanak ki, amelyek magukban foglalják a jogosulatlan hozzáférést, a jogosultságok jogosulatlan kiterjesztését és a védett vagy érzékeny adatokhoz való hozzáférést. Néhány példa a hozzáférési támadásokra: Back Orifice, a Microsoft IIS elleni Unicode-támadás és a NetBus.
-
DoS? Ezek az aláírások olyan támadásoknál lépnek működésbe, amelyek egy erőforrás vagy rendszer szintjének csökkentését vagy összeomlását kísérlik meg. A DoS-támadásokra példa a TCP SYN-áradat, a Ping of Death, a Smurf, a Fraggle, a Trinoo és a Tribe Flood Network.
Cisco aláírási kategóriák
A Cisco az aláírások megvalósítása során az aláírások osztályozását nyolc kategóriába osztotta, amelyeket a 16-1. táblázat mutat be.
|
Aláírássorozat |
leírás |
|---|---|
|
Aláírások az IP fejléc szabályain, amelyek magukban foglalják az IP opciókat, az IP töredékeket és a rossz vagy érvénytelen IP csomagokat |
|
|
Aláírások az ICMP csomagokon, amelyek magukban foglalják az ICMP támadásokat, ping sweeps, és ICMP forgalmi rekordok |
|
|
A TCP-t használó támadások aláírásai, beleértve a TCP host sweeps, TCP SYN floods, TCP port scans, TCP munkamenet eltérítés, TCP forgalmi feljegyzések, TCP alkalmazások, e-mail támadások, NetBIOS támadások és hagyományos webes támadások |
|
|
Az UDP-t használó támadások aláírásai, beleértve az UDP-portok vizsgálatát, az UDP-alkalmazásokat és az UDP-forgalom nyilvántartását |
|
|
A HTTP-t használó webszerver- és böngészőtámadásokra vonatkozó aláírások |
|
|
A protokollközi (több protokollt érintő) támadásokra vonatkozó aláírások, beleértve az elosztott DoS (DDoS) támadásokat, DNS-támadásokat, Loki-támadásokat, hitelesítési támadások és RPC-támadások |
|
|
Aláírások, amelyek a TCP-munkamenetekben/alkalmazásokban keresnek karakterlánc-egyezéseket |
|
|
10,000 |
Aláírások, amelyek egy Cisco útválasztó ACL megsértése esetén lépnek működésbe (egyezés a deny utasításra) |
.