Soluțiile Cisco IDS bazate pe rețea sunt bazate pe semnături. Practic, o semnătură este o regulă care examinează un pachet sau o serie de pachete pentru anumite conținuturi, cum ar fi potrivirile cu informațiile din antetul pachetului sau din sarcina utilă a datelor. Semnăturile reprezintă inima soluției IDS Cisco bazate pe rețea. Această secțiune se concentrează asupra semnăturilor și a implementării acestora.
TIP
Este important de subliniat faptul că nu neapărat numărul de semnături face ca o soluție IDS bazată pe semnături să fie bună. În schimb, este vorba de flexibilitatea semnăturilor în detectarea unui atac. De exemplu, într-o soluție IDS, ar putea fi nevoie de trei semnături separate pentru a detecta trei atacuri separate; într-o soluție diferită, o singură semnătură ar putea fi capabilă să detecteze toate cele trei atacuri. Flexibilitatea semnăturilor, precum și capacitatea de a crea propriile semnături, ar trebui să fie mai mult o preocupare atunci când alegeți o soluție IDS bazată pe semnături.
Implementarea semnăturilor
Semnăturile vin în două implementări:
-
Context? Examinează antetul pachetului pentru o potrivire
-
Content? Examinează conținutul pachetului pentru o potrivire
Semnăturile Context examinează numai informațiile din antetul pachetului atunci când caută o potrivire. Aceste informații pot include câmpurile de adresă IP; câmpul de protocol IP; opțiunile IP; parametrii de fragmente IP; sumele de control IP, TCP și UDP; numerele de port IP și TCP; stegulețele TCP, tipurile de mesaje ICMP și altele.
Semnăturile de conținut, pe de altă parte, se uită în interiorul încărcăturii utile a unui pachet, precum și în antetul pachetului. Ca exemplu, multe atacuri asupra serverelor web trimit URL-uri malformate sau specifice care sunt conținute în datele aplicației. Ca un alt exemplu, un atac de recunoaștere sendmail caută comenzi EXPN și VRFY în datele aplicației (acest lucru este acoperit în semnătura Cisco 3103).
Signature Structures
Pe lângă faptul că vin în două implementări, semnăturile suportă una dintre cele două structuri:
-
Atomic? Examinează un singur pachet pentru o potrivire
-
Compozite? Examinează un flux de pachete pentru o potrivire
Un exemplu de semnătură care utilizează o structură atomică este cea care examinează un antet de segment TCP pentru ambele steaguri SYN și FIN. Deoarece aceste informații sunt conținute în antetul TCP și deoarece acestea sunt conținute într-un singur pachet IP, trebuie examinat un singur pachet pentru a determina dacă există o potrivire.
Câteva tipuri de atacuri, totuși, sunt răspândite în mai multe pachete și, eventual, în mai multe conexiuni. O semnătură structurată compozită face ca senzorul să examineze un flux de pachete pentru o potrivire. Un exemplu de semnătură compozită este cea care examinează o serie de fragmente din aceeași conexiune și determină dacă fragmentele se suprapun (acesta ar fi un atac evident, deoarece un pachet fragmentat real poate fi reasamblat, în timp ce fragmentele suprapuse nu pot fi reasamblate).
Clasificare de bază
În general, există patru categorii de bază de semnături:
-
Informaționale (benigne)? Aceste semnături se declanșează la activitatea normală a rețelei, cum ar fi cererile de ecou ICMP și deschiderea sau închiderea conexiunilor TCP sau UDP.
-
Recunoaștere? Aceste semnături se declanșează la atacurile care descoperă resursele și gazdele care pot fi accesate, precum și eventualele vulnerabilități pe care acestea le-ar putea conține. Exemple de atacuri de recunoaștere includ scanări ping, interogări DNS și scanarea porturilor.
-
Acces? Aceste semnături se declanșează asupra atacurilor de acces, care includ accesul neautorizat, escaladarea neautorizată a privilegiilor și accesul la date protejate sau sensibile. Câteva exemple de atacuri de acces includ Back Orifice, un atac Unicode împotriva Microsoft IIS, și NetBus.
-
DoS? Aceste semnături se declanșează la atacurile care încearcă să reducă nivelul unei resurse sau al unui sistem, sau să provoace blocarea acestuia. Exemple de atacuri DoS includ inundațiile TCP SYN, Ping of Death, Smurf, Fraggle, Trinoo și Tribe Flood Network.
Categorii de semnături Cisco
În implementarea semnăturilor, Cisco a împărțit clasificarea semnăturilor în opt categorii, prezentate în tabelul 16-1.
|
Serie de semnături |
Descriere |
|---|---|
|
Semnături pe reguli de antet IP, care includ opțiuni IP, fragmente IP și pachete IP proaste sau invalide |
|
|
Semnături pe pachetele ICMP, care includ atacuri ICMP, ping sweeps, și înregistrări de trafic ICMP |
|
|
Semnături pe atacuri care utilizează TCP, inclusiv TCP host sweeps, TCP SYN floods, TCP port scans, deturnarea sesiunilor TCP, înregistrările de trafic TCP, aplicațiile TCP, atacurile prin e-mail, atacurile NetBIOS și atacurile web tradiționale |
|
|
Semnături privind atacurile care utilizează UDP, inclusiv scanări ale porturilor UDP, aplicații UDP și înregistrări ale traficului UDP |
|
|
Semnături privind atacurile serverului web și ale browserului care utilizează HTTP |
|
|
Semnături privind atacurile interprotocoale (multiprotocoale), inclusiv atacuri DoS (DDoS) distribuite, atacuri DNS, atacuri Loki, atacuri de autentificare și atacuri RPC |
|
|
Semnături care caută corespondențe de șiruri de caractere în sesiuni/aplicații TCP |
|
|
10,000 |
Semnături care se declanșează la o încălcare a ACL pe un router Cisco (se potrivesc la o declarație de negare) |
.