Cisco IDS-nätverksbaserade lösningar är signaturbaserade. I grund och botten är en signatur en regel som undersöker ett paket eller en serie paket efter visst innehåll, t.ex. matchningar på information om pakethuvudet eller nyttolasten av data. Signaturer är hjärtat i Ciscos nätverksbaserade IDS-lösning. Det här avsnittet fokuserar på signaturer och deras implementering.
TIP
Det är viktigt att påpeka att det inte nödvändigtvis är antalet signaturer som gör en signaturbaserad IDS-lösning bra. I stället är det signaturernas flexibilitet när det gäller att upptäcka en attack. I en IDS-lösning kan det till exempel krävas tre olika signaturer för att upptäcka tre olika attacker; i en annan lösning kan en enda signatur upptäcka alla tre attackerna. Flexibilitet i signaturer, liksom möjligheten att skapa egna signaturer, bör vara mer av ett bekymmer när man väljer en signaturbaserad IDS-lösning.
Signaturimplementationer
Signaturer finns i två implementationer:
-
Kontext? Undersöker pakethuvudet för att hitta en matchning
-
Innehåll? Undersöker paketets innehåll för en matchning
Context-signaturer undersöker endast informationen i paketets rubrik när de letar efter en matchning. Denna information kan omfatta IP-adressfälten, IP-protokollfältet, IP-alternativ, IP-fragmentparametrar, IP-, TCP- och UDP-kontrollsummor, IP- och TCP-portnummer, TCP-flaggor, ICMP-meddelandetyper och annat.
Innehållssignaturer, å andra sidan, tittar på nyttolasten i ett paket samt på pakethuvudet. Som exempel kan nämnas att många webbserverattacker skickar felformade eller specifika webbadresser som ingår i programdata. Ett annat exempel är en spaningsattack mot sendmail som letar efter EXPN- och VRFY-kommandon i programdata (detta täcks av signaturen Cisco 3103).
Signaturstrukturer
Förutom att signaturer finns i två olika utföranden har de stöd för en av följande två strukturer:
-
Atomic? Undersöker ett enskilt paket för en matchning
-
Composite? Undersöker en ström av paket för en matchning
Ett exempel på en signatur som använder en atomär struktur är en signatur som undersöker en TCP-segmenthuvud för både SYN- och FIN-flaggor. Eftersom denna information finns i TCP-huvudet och eftersom den finns i ett IP-paket behöver endast ett paket undersökas för att avgöra om det finns en matchning
Vissa typer av attacker är dock spridda över många paket och eventuellt många anslutningar. En sammansatt strukturerad signatur innebär att sensorn undersöker en ström av paket för att hitta en matchning. Ett exempel på en sammansatt signatur är en som tittar på en serie fragment från samma anslutning och avgör om fragmenten överlappar varandra (detta skulle vara ett uppenbart angrepp eftersom ett riktigt fragmenterat paket kan sättas ihop igen, medan överlappande fragment inte kan göra det).
Basisklassificering
I allmänhet finns det fyra grundkategorier av signaturer:
-
Informationsmässigt (godartat)? Dessa signaturer utlöses av normal nätverksaktivitet, t.ex. ICMP-ekoförfrågningar och öppnande eller stängning av TCP- eller UDP-anslutningar.
-
Rekognosering? Dessa signaturer utlöses vid attacker som avslöjar resurser och värdar som är nåbara, samt eventuella sårbarheter som de kan innehålla. Exempel på spaningsangrepp är ping-sökningar, DNS-frågor och portscanning.
-
Access? Dessa signaturer utlöser åtkomstattacker, vilket inkluderar obehörig åtkomst, obehörig upptrappning av privilegier och åtkomst till skyddade eller känsliga data. Några exempel på åtkomstattacker är Back Orifice, en Unicode-attack mot Microsoft IIS, och NetBus.
-
DoS? Dessa signaturer utlöses vid attacker som försöker minska nivån på en resurs eller ett system eller få det att krascha. Exempel på DoS-attacker är TCP SYN floods, Ping of Death, Smurf, Fraggle, Trinoo och Tribe Flood Network.
Ciscos signaturkategorier
I samband med implementeringen av signaturer har Cisco delat in klassificeringen av signaturer i åtta kategorier, som visas i tabell 16-1.
|
Signaturserie |
Beskrivning |
|---|---|
|
Signaturer på regler för IP-header, som omfattar IP-alternativ, IP-fragment och dåliga eller ogiltiga IP-paket |
|
|
Signaturer på ICMP-paket, som omfattar ICMP-attacker, ping-sökningar, och ICMP-trafikregister |
|
|
Signaturer på attacker med hjälp av TCP, inklusive TCP-värdsökningar, TCP SYN-floods, TCP-portscanningar, TCP-sessionskapning, TCP-trafikregister, TCP-applikationer, e-postattacker, NetBIOS-attacker och äldre webbattacker |
|
|
Signaturer om attacker med hjälp av UDP, inklusive UDP-portscanning, UDP-applikationer och UDP-trafikregister |
|
|
Signaturer om webbserver- och webbläsarattacker med hjälp av HTTP |
|
|
Signaturer om attacker över flera protokoll, inklusive distribuerade DoS- (DDoS-) attacker, DNS-attacker och Loki-attacker, autentiseringsattacker och RPC-attacker |
|
|
Signaturer som letar efter strängmatchningar i TCP-sessioner/tillämpningar |
|
|
10,000 |
Signaturer som utlöses av ett ACL-överträdelse på en Cisco-router (matchar ett deny-meddelande) |