Sieciowe rozwiązania IDS firmy Cisco są oparte na sygnaturach. Zasadniczo, sygnatura jest regułą, która bada pakiet lub serię pakietów pod kątem określonych treści, takich jak dopasowanie do nagłówka pakietu lub informacji o ładunku danych. Sygnatury są sercem sieciowego rozwiązania IDS firmy Cisco. W tej sekcji skupiono się na sygnaturach i ich implementacji.
TIP
Należy podkreślić, że niekoniecznie liczba sygnatur czyni rozwiązanie IDS oparte na sygnaturach dobrym. Zamiast tego, jest to elastyczność sygnatur w wykrywaniu ataków. Na przykład, w jednym rozwiązaniu IDS do wykrycia trzech oddzielnych ataków mogą być potrzebne trzy oddzielne sygnatury; w innym rozwiązaniu jedna sygnatura może być w stanie wykryć wszystkie trzy ataki. Elastyczność sygnatur, jak również możliwość tworzenia własnych sygnatur, powinny być bardziej istotne przy wyborze rozwiązania IDS opartego na sygnaturach.
Wdrożenia sygnatur
Sygnatury występują w dwóch wdrożeniach:
-
Kontekst? Bada nagłówek pakietu w poszukiwaniu dopasowania
-
Content? Bada zawartość pakietu w poszukiwaniu dopasowania
Opisy kontekstowe badają tylko informacje w nagłówku pakietu w poszukiwaniu dopasowania. Informacje te mogą zawierać pola adresu IP; pole protokołu IP; opcje IP; parametry fragmentów IP; sumy kontrolne IP, TCP i UDP; numery portów IP i TCP; flagi TCP, typy komunikatów ICMP i inne.
Podpisy treści, z drugiej strony, zaglądają do zawartości pakietu, jak również do nagłówków pakietów. Na przykład, wiele ataków na serwery WWW wysyła zniekształcone lub specyficzne adresy URL, które są zawarte w danych aplikacji. Innym przykładem jest atak rozpoznawczy na sendmaila, który szuka poleceń EXPN i VRFY w danych aplikacji (jest to uwzględnione w sygnaturze Cisco 3103).
Sstruktury sygnatur
Poza tym, że występują w dwóch implementacjach, sygnatury wspierają jedną z dwóch struktur:
-
Atomowa? Bada pojedynczy pakiet w poszukiwaniu dopasowania
-
Composite? Bada strumień pakietów pod k±tem dopasowania
Przykładem sygnatury wykorzystuj±cej strukturę atomow± jest sygnatura, która bada nagłówek segmentu TCP pod k±tem flag SYN i FIN. Ponieważ informacje te są zawarte w nagłówku TCP, a także w jednym pakiecie IP, tylko jeden pakiet musi zostać zbadany, aby określić, czy istnieje dopasowanie.
Niektóre typy ataków są jednak rozłożone na wiele pakietów i prawdopodobnie wiele połączeń. W przypadku złożonej sygnatury strukturalnej czujnik bada strumień pakietów w poszukiwaniu dopasowania. Przykładem sygnatury złożonej jest taka, która patrzy na serię fragmentów z tego samego połączenia i określa, czy fragmenty się pokrywają (byłby to oczywisty atak, ponieważ prawdziwy pofragmentowany pakiet może być ponownie złożony, podczas gdy nakładające się fragmenty nie mogą).
Podstawowa klasyfikacja
Ogólnie, istnieją cztery podstawowe kategorie sygnatur:
-
Informacyjne (łagodne)? Sygnatury te uruchamiają się przy normalnej aktywności sieciowej, takiej jak żądania echa ICMP i otwieranie lub zamykanie połączeń TCP lub UDP.
-
Reconnaissance? Te sygnatury wywołują ataki, które odkrywają zasoby i hosty, które są osiągalne, jak również wszelkie możliwe podatności, które mogą zawierać. Przykłady ataków rozpoznawczych to ping, zapytania DNS i skanowanie portów. Te sygnatury wywołują ataki dostępu, które obejmują nieautoryzowany dostęp, nieautoryzowaną eskalację przywilejów oraz dostęp do chronionych lub wrażliwych danych. Niektóre przykłady ataków dostępu obejmują Back Orifice, atak Unicode przeciwko Microsoft IIS i NetBus.
-
DoS? Sygnatury te wywołują ataki, które próbują obniżyć poziom zasobów lub systemu, albo spowodować jego awarię. Przykłady ataków DoS obejmują zalewy TCP SYN, Ping of Death, Smurf, Fraggle, Trinoo i Tribe Flood Network.
Kategorie sygnatur Cisco
Wdrażając sygnatury, Cisco podzieliło klasyfikację sygnatur na osiem kategorii, przedstawionych w tabeli 16-1.
|
Seria sygnatur |
Opis |
|---|---|
|
Sygnatury dotyczące reguł nagłówka IP, które obejmują opcje IP, fragmenty IP oraz uszkodzone lub nieprawidłowe pakiety IP |
|
|
Sygnatury pakietów ICMP, które obejmują ataki ICMP, pingi, i rejestry ruchu ICMP |
|
|
Opisy ataków wykorzystujących TCP, w tym ataki na hosty TCP, zalewy TCP SYN, skanowanie portów TCP, TCP session hijacking, TCP traffic records, TCP applications, e-mail attacks, NetBIOS attacks, and legacy web attacks |
|
|
Opisy ataków wykorzystujących UDP, w tym skanowanie portów UDP, aplikacje UDP i rejestry ruchu UDP |
|
|
Podpisy dotyczące ataków na serwery internetowe i przeglądarki z wykorzystaniem protokołu HTTP |
|
|
Podpisy dotyczące ataków wieloprotokołowych (wieloprotokołowych), w tym rozproszone ataki DoS (DDoS), ataki DNS, ataki Loki, ataki uwierzytelniające i ataki RPC |
|
|
Sygnatury, które szukają dopasowania ciągów znaków w sesjach/aplikacjach TCP |
|
|
10,000 |
Sygnatury, które uruchamiają się na podstawie naruszenia ACL na routerze Cisco (dopasowanie do deklaracji deny) |
.