Le soluzioni IDS di rete di Cisco sono basate sulla firma. Fondamentalmente, una firma è una regola che esamina un pacchetto o una serie di pacchetti per determinati contenuti, come le corrispondenze sull’intestazione del pacchetto o le informazioni del carico utile dei dati. Le firme sono il cuore della soluzione IDS Cisco basata sulla rete. Questa sezione si concentra sulle firme e sulla loro implementazione.
TIP
È importante sottolineare che non è necessariamente il numero di firme che rende buona una soluzione IDS basata sulla firma. Invece, è la flessibilità delle firme nel rilevare un attacco. Per esempio, in una soluzione IDS, potrebbero essere necessarie tre firme separate per rilevare tre attacchi separati; in una soluzione diversa, una singola firma potrebbe essere in grado di rilevare tutti e tre gli attacchi. La flessibilità nelle firme, così come la capacità di creare le proprie firme, dovrebbe essere più di una preoccupazione quando si sceglie una soluzione IDS basata sulla firma.
Implementazioni della firma
Le firme sono disponibili in due implementazioni:
-
Context? Esamina l’intestazione del pacchetto per una corrispondenza
-
Contenuto? Esamina il contenuto del pacchetto per una corrispondenza
Le firme di contesto esaminano solo le informazioni dell’intestazione del pacchetto quando cercano una corrispondenza. Queste informazioni possono includere i campi dell’indirizzo IP; il campo del protocollo IP; le opzioni IP; i parametri dei frammenti IP; i checksum IP, TCP e UDP; i numeri di porta IP e TCP; i flag TCP, i tipi di messaggi ICMP e altri.
Le firme del contenuto, d’altra parte, guardano all’interno del carico utile di un pacchetto, oltre alle intestazioni del pacchetto. Per esempio, molti attacchi ai server web inviano URL malformati o specifici che sono contenuti nei dati dell’applicazione. Come altro esempio, un attacco di ricognizione sendmail cerca i comandi EXPN e VRFY nei dati dell’applicazione (questo è coperto dalla firma Cisco 3103).
Strutture della firma
Oltre ad esistere in due implementazioni, le firme supportano una di due strutture:
-
Atomico? Esamina un singolo pacchetto per una corrispondenza
-
Composito? Esamina un flusso di pacchetti per una corrispondenza
Un esempio di firma che usa una struttura atomica è quella che esamina un’intestazione di segmento TCP per entrambi i flag SYN e FIN. Poiché queste informazioni sono contenute nell’intestazione TCP, e poiché sono contenute in un pacchetto IP, solo un pacchetto deve essere esaminato per determinare se c’è una corrispondenza.
Alcuni tipi di attacchi, tuttavia, sono distribuiti su molti pacchetti e possibilmente su molte connessioni. Una firma strutturata composita fa sì che il sensore esamini un flusso di pacchetti per una corrispondenza. Un esempio di firma composita è quella che guarda una serie di frammenti dalla stessa connessione e determina se i frammenti sono sovrapposti (questo sarebbe un attacco ovvio perché un vero pacchetto frammentato può essere riassemblato, mentre i frammenti sovrapposti no).
Classificazione di base
In generale, ci sono quattro categorie di base di firme:
-
Informativa (benigna)? Queste firme si attivano sulla normale attività di rete, come le richieste ICMP echo e l’apertura o la chiusura di connessioni TCP o UDP.
-
Ricognizione? Queste firme si attivano su attacchi che scoprono risorse e host raggiungibili, così come ogni possibile vulnerabilità che potrebbero contenere. Esempi di attacchi di ricognizione includono ping sweep, query DNS e scansione delle porte.
-
Accesso? Queste firme si attivano sugli attacchi di accesso, che includono l’accesso non autorizzato, l’escalation non autorizzata dei privilegi e l’accesso a dati protetti o sensibili. Alcuni esempi di attacchi di accesso includono Back Orifice, un attacco Unicode contro Microsoft IIS, e NetBus.
-
DoS? Queste firme si attivano su attacchi che tentano di ridurre il livello di una risorsa o di un sistema, o di causarne il crash. Esempi di attacchi DoS includono inondazioni TCP SYN, il Ping of Death, Smurf, Fraggle, Trinoo, e Tribe Flood Network.
Cisco Signature Categories
Nell’implementare le firme, Cisco ha diviso la classificazione delle firme in otto categorie, mostrate nella Tabella 16-1.
|
Signature Series |
Description |
|---|---|
|
Signatures on IP header rules, che includono opzioni IP, frammenti IP, e pacchetti IP cattivi o non validi |
|
|
Signature sui pacchetti ICMP, che includono attacchi ICMP, ping sweep, e record di traffico ICMP |
|
|
Signature su attacchi che usano TCP, inclusi TCP host sweeps, TCP SYN floods, TCP port scans, TCP session hijacking, TCP traffic records, TCP applications, e-mail attacks, NetBIOS attacks, and legacy web attacks |
|
|
Signatures on attacks using UDP, comprese le scansioni delle porte UDP, le applicazioni UDP e le registrazioni del traffico UDP |
|
|
Signature su attacchi a server web e browser che utilizzano HTTP |
|
|
Signature su attacchi multiprotocollo, inclusi attacchi DoS (DDoS) distribuiti, attacchi DNS, attacchi Loki, attacchi di autenticazione e attacchi RPC |
|
|
Signature che cercano corrispondenze di stringhe in sessioni/applicazioni TCP |
|
|
10,000 |
Signature che si attivano su una violazione ACL su un router Cisco (match su una dichiarazione deny) |