Cisco IDS netwerk-gebaseerde oplossingen zijn gebaseerd op handtekeningen. In principe is een handtekening een regel die een pakket of een reeks pakketten onderzoekt op bepaalde inhoud, zoals overeenkomsten met de header van een pakket of met de payload van de gegevens. Handtekeningen vormen het hart van de netwerkgebaseerde IDS-oplossing van Cisco. In deze paragraaf wordt ingegaan op handtekeningen en de implementatie ervan.
TIP
Het is belangrijk om erop te wijzen dat het niet noodzakelijkerwijs het aantal handtekeningen is dat een op handtekeningen gebaseerde IDS-oplossing goed maakt. Het gaat veeleer om de flexibiliteit van de handtekeningen bij het detecteren van een aanval. In één IDS-oplossing kunnen er bijvoorbeeld drie afzonderlijke handtekeningen nodig zijn om drie afzonderlijke aanvallen te detecteren; in een andere oplossing kan één enkele handtekening alle drie de aanvallen detecteren. Flexibiliteit in handtekeningen en de mogelijkheid om uw eigen handtekeningen te maken, moeten belangrijker zijn bij het kiezen van een IDS-oplossing op basis van handtekeningen.
Handtekeningimplementaties
Handtekeningen zijn er in twee implementaties:
-
Context? Onderzoekt de header van het pakket op een overeenkomst
-
Content? Onderzoekt de inhoud van het pakket op een overeenkomst
Context-handtekeningen onderzoeken alleen de header-informatie van het pakket op zoek naar een overeenkomst. Deze informatie kan bestaan uit de IP-adresvelden; het IP-protocolveld; IP-opties; IP-fragmentparameters; IP-, TCP- en UDP-controlesommen; IP- en TCP-poortnummers; TCP-vlaggen, ICMP-berichttypen; en andere.
Inhoudshandtekeningen daarentegen kijken niet alleen naar de headers, maar ook naar de payload van een pakket. Veel webserveraanvallen sturen bijvoorbeeld misvormde of specifieke URL’s die zijn opgenomen in toepassingsgegevens. Een ander voorbeeld is een sendmail verkenningsaanval die zoekt naar EXPN en VRFY commando’s in de applicatiegegevens (dit wordt behandeld in de Cisco 3103 handtekening).
Signature Structures
Naast het bestaan van twee implementaties, ondersteunen handtekeningen een van de volgende twee structuren:
-
Atomic? Onderzoekt een enkel pakket op een overeenkomst
-
Composite? Onderzoekt een stroom pakketten op een overeenkomst
Een voorbeeld van een handtekening die een atomaire structuur gebruikt, is een handtekening die de header van een TCP-segment onderzoekt op zowel de SYN- als de FIN-vlag. Omdat deze informatie in de TCP-header staat, en omdat dit in één IP-pakket staat, hoeft slechts één pakket te worden onderzocht om te bepalen of er een match is.
Sommige aanvalstypen zijn echter verspreid over vele pakketten en mogelijk vele verbindingen. Een samengestelde gestructureerde handtekening laat de sensor een stroom van pakketten onderzoeken op een overeenkomst. Een voorbeeld van een samengestelde handtekening is er een die een reeks fragmenten van dezelfde verbinding bekijkt en bepaalt of de fragmenten elkaar overlappen (dit zou een voor de hand liggende aanval zijn omdat een echt gefragmenteerd pakket opnieuw kan worden samengesteld, terwijl overlappende fragmenten dat niet kunnen).
Basisclassificatie
In het algemeen zijn er vier basiscategorieën van handtekeningen:
-
Informatief (goedaardig)? Deze handtekeningen worden geactiveerd bij normale netwerkactiviteit, zoals ICMP-echoaanvragen en het openen of sluiten van TCP- of UDP-verbindingen.
-
Verkenning? Deze handtekeningen worden gebruikt voor aanvallen waarbij bronnen en hosts die kunnen worden bereikt, worden ontdekt, evenals eventuele kwetsbaarheden die deze kunnen bevatten. Voorbeelden van verkenningsaanvallen zijn ping sweeps, DNS-query’s en poortscans.
-
Toegang? Deze handtekeningen worden gebruikt voor toegangsaanvallen, waaronder ongeoorloofde toegang, ongeoorloofde escalatie van privileges en toegang tot beveiligde of gevoelige gegevens. Voorbeelden van toegangsaanvallen zijn Back Orifice, een Unicode-aanval op Microsoft IIS, en NetBus.
-
DoS? Deze handtekeningen worden geactiveerd op aanvallen die proberen het niveau van een bron of systeem te verlagen, of het te laten crashen. Voorbeelden van DoS-aanvallen zijn TCP SYN-floods, de Ping of Death, Smurf, Fraggle, Trinoo en Tribe Flood Network.
Cisco Signature Categories
Bij het implementeren van signatures heeft Cisco de classificatie van signatures onderverdeeld in acht categorieën, die worden weergegeven in Tabel 16-1.
Signature Series |
Description |
---|---|
Signatures on IP header rules, waaronder IP-opties, IP-fragmenten, en slechte of ongeldige IP-pakketten |
|
Aanduidingen op ICMP-pakketten, waaronder ICMP-aanvallen, ping sweeps, en ICMP traffic records |
|
Aanwijzingen op aanvallen met TCP, waaronder TCP host sweeps, TCP SYN floods, TCP port scans, TCP session hijacking, TCP traffic records, TCP applications, e-mail attacks, NetBIOS attacks, and legacy web attacks |
|
Aanvallen met UDP, met inbegrip van UDP-poortscans, UDP-applicaties en UDP-verkeersgegevens |
|
Aanvallen op webservers en browsers met behulp van HTTP |
|
Aanvallen met meerdere protocollen (cross-protocol) waaronder gedistribueerde DoS-aanvallen (DDoS), DNS-aanvallen, Loki-aanvallen, authenticatieaanvallen, en RPC-aanvallen |
|
Aanduidingen die zoeken naar string-matches in TCP-sessies/toepassingen |
|
10.,000 |
Handtekeningen die worden geactiveerd bij een ACL-overtreding op een Cisco-router (komt overeen met een deny-instructie) |