As soluções baseadas em rede IDS da Cisco são baseadas em assinaturas. Basicamente, uma assinatura é uma regra que examina um pacote ou série de pacotes para determinados conteúdos, tais como correspondências no cabeçalho do pacote ou informações de carga útil de dados. Assinaturas são o coração da solução IDS baseada em rede da Cisco. Esta seção foca em assinaturas e sua implementação.
TIP
É importante ressaltar que não é necessariamente o número de assinaturas que torna boa uma solução IDS baseada em assinaturas. Ao invés disso, é a flexibilidade das assinaturas na detecção de um ataque. Por exemplo, em uma solução IDS, podem ser necessárias três assinaturas separadas para detectar três ataques separados; em uma solução diferente, uma única assinatura pode ser capaz de detectar os três ataques. A flexibilidade em assinaturas, assim como a habilidade de criar suas próprias assinaturas, deve ser mais uma preocupação ao escolher uma solução IDS baseada em assinaturas.
Aplicações de Assinaturas
As assinaturas vêm em duas implementações:
-
Contextos? Examina o cabeçalho do pacote para uma correspondência
-
Conteúdo? Examina o conteúdo do pacote para uma correspondência
Assinaturas de contexto examinam apenas as informações do cabeçalho do pacote quando procurando por uma correspondência. Essas informações podem incluir os campos de endereço IP; o campo de protocolo IP; opções IP; parâmetros de fragmento de IP; checksums IP, TCP e UDP; números de portas IP e TCP; flags TCP, tipos de mensagens ICMP; e outros.
Assinaturas de conteúdo, por outro lado, olhe dentro da carga útil de um pacote, bem como os cabeçalhos dos pacotes. Como exemplo, muitos ataques a servidores web enviam URLs mal-formadas ou específicas que estão contidas nos dados da aplicação. Como outro exemplo, um ataque de reconhecimento do sendmail procura por comandos EXPN e VRFY nos dados da aplicação (isto é coberto na assinatura Cisco 3103).
Estruturas de Assinatura
Besides vindo em duas implementações, assinaturas suportam uma de duas estruturas:
-
Atomic? Examina um único pacote para uma correspondência
-
Composto? Examina um fluxo de pacotes para uma correspondência
Um exemplo de uma assinatura que usa uma estrutura atômica é aquela que examina um cabeçalho de segmento TCP tanto para as bandeiras SYN como FIN. Como essa informação está contida no cabeçalho TCP, e como ela está contida em um pacote IP, apenas um pacote deve ser examinado para determinar se há uma correspondência.
Alguns tipos de ataques, no entanto, estão espalhados por muitos pacotes e possivelmente muitas conexões. Uma assinatura estruturada composta tem o sensor examina um fluxo de pacotes para uma correspondência. Um exemplo de uma assinatura composta é aquele que observa uma série de fragmentos da mesma conexão e determina se os fragmentos estão sobrepostos (este seria um ataque óbvio porque um pacote realmente fragmentado pode ser remontado, enquanto fragmentos sobrepostos não podem).
Basic Classification
Em geral, existem quatro categorias básicas de assinaturas:
-
Informational (benigno)? Estas assinaturas disparam na atividade normal da rede, tais como pedidos de eco ICMP e a abertura ou fechamento de conexões TCP ou UDP.
>
- >
Reconhecimento? Estas assinaturas disparam em ataques que descobrem recursos e hosts que são alcançáveis, bem como quaisquer possíveis vulnerabilidades que eles possam conter. Exemplos de ataques de reconhecimento incluem ping sweeps, consultas DNS e scan de portas.
-
Acesso? Estas assinaturas disparam em ataques de acesso, que incluem acesso não autorizado, escalação não autorizada de privilégios, e acesso a dados protegidos ou sensíveis. Alguns exemplos de ataques de acesso incluem Back Orifice, um ataque Unicode contra o Microsoft IIS, e NetBus.
-
DoS? Estas assinaturas disparam em ataques que tentam reduzir o nível de um recurso ou sistema, ou causar o colapso do mesmo. Exemplos de ataques DoS incluem TCP SYN floods, o Ping da Morte, Smurf, Fraggle, Trinoo e Tribe Flood Network.
>
Cisco Signature Categories
Na implementação de assinaturas, Cisco dividiu a classificação de assinaturas em oito categorias, mostradas na Tabela 16-1.
|
Série de Assinaturas |
Descrição |
|---|---|
|
Assinaturas sobre regras de cabeçalho IP, que incluem opções de IP, fragmentos de IP e pacotes de IP ruins ou inválidos |
|
|
Assinaturas em pacotes ICMP, que incluem ataques ICMP, ping sweeps, e registros de tráfego ICMP |
|
|
Assinaturas em ataques usando TCP, incluindo TCP host sweeps, TCP SYN floods, TCP port scans, Seqüestro de sessão TCP, registros de tráfego TCP, aplicações TCP, ataques de e-mail, ataques NetBIOS e ataques web legados |
|
|
Assinaturas em ataques usando UDP, incluindo varreduras de portas UDP, aplicações UDP e registros de tráfego UDP |
|
|
Assinaturas em ataques de servidor web e navegador usando HTTP |
|
|
Assinaturas em ataques de protocolo cruzado (multi-protocolo), incluindo ataques DoS (DDoS) distribuídos, ataques DNS, ataques Loki, ataques de autenticação, e ataques RPC |
|
|
Assinaturas que procuram correspondência de strings em sessões/aplicações TCP |
|
|
10,000 |
Assinaturas que acionam uma violação do ACL em um roteador Cisco (corresponder em uma declaração de negação) |