4/1/2013
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Cisco IOS Signature và
Signature Engines
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
1
1
4/1/2013
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Dấu hiệu (Signature)
- Dấu hiệu (signature) là 1 một tập hợp các
quy tắc được sử dụng bởi bộ cảm biến
IDS/IPS để phát hiện các hành động xâm
nhập đã biết (known attacks).
- Bộ cảm biến so sánh các dấu hiệu với các
hoạt động mạng. Khi có một dấu hiệu phù
hợp, bộ cảm biến sẽ phát ra cảnh báo (alert).
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
2
2
4/1/2013
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Các loại Dấu hiệu
Dấu hiệu được xây dựng sẵn (buit-in
signatures): dấu hiệu của các cuộc tấn công đã
biết và được tích hợp sẵn vào trong phần mềm
của bộ cảm biến
Dấu hiệu được điều chỉnh (tuned signatures):
dấu hiệu được xây dựng sẵn, nhưng được người
dùng chỉnh sửa lại cho phù hợp.
Dấu hiệu tự tạo (custom signatures): dấu hiệu
mới do người dùng tạo ra.
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
3
3
4/1/2013
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Các thuộc tính của dấu hiệu
- Tên dấu hiệu (Signature name)
- Số hiệu của dấu hiệu (Signature ID)
- Tình trạng dấu hiệu (signature status)
- Kiểu dấu hiệu (Signature engine)
- Mức độ nghiêm trọng (Severity rating)
- Mức độ tin cậy (Fidelity rating)
- Điều kiện kích hoạt (Triggering conditions)
- Chiến lược tổng kết (Summarization strategy)
- Các hành động phản ứng (Response actions)
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
4
4
4/1/2013
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Các hành động của Cisco IOS
(Signature actions)
- Loại bỏ (dropping) các gói dữ liệu xấu, bao gồm cả gói
dữ liệu khởi phát (trigger packet), trước khi chúng có thể tới
được mục tiêu.
- Phát ra cảnh báo (alert).
- Ghi lại các gói dữ liệu IP mà chứa địa chỉ của kẻ tấn
công.
- Khởi tạo sự ngăn chặn một kết nối hoặc 1 địa chỉ nào đó.
- Gửi thông báo bằng SNMP.
- Kết thúc 1 phiên TCP giữa kẻ tấn công và máy bị tấn
công
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
5
5
4/1/2013
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Dấu hiệu: ví dụ
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
6
6
4/1/2013
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Signature Engines
Signature engine là một thành phần của bộ
cảm biến cái mà hỗ trợ các dấu hiệu (signatures)
cùng loại với nhau.
Mỗi dấu hiệu (signature) được hỗ trợ và
điều khiển bởi 1 signature engine cụ thể nào đó
(được tạo ra để giám sát 1 loại dấu hiệu cụ thể
nào đó).
Cisco IPS signature engine cho phép người
quản trị mạng điều chỉnh và tạo ra các dấu hiệu
cho hệ thống mạng của mình
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
7
7
4/1/2013
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Các Signature Engines của Cisco IPS
AIC
Atomic
Fixed
Flood
Meta
Multi String
Normalizer
Service
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
8
8
4/1/2013
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Atomic Engine
Bao gồm:
Atomic ARP: giám sát giao thức ARP của lớp 2
Atomic IP: xem xét phần đầu (header) và tải
(payloads) của IP, TCP, UDP, và ICMP
Atomic IP advanced: IPv6, IPv4, ICMP,
ICMPv6, TCP, UDP
Atomic IPv6: phát hiện các lỗ hổng của phần
mềm Cisco IOS mà bị phát động bởi các lưu
lượng IPv6 xấu.
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
9
9
4/1/2013
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Ví dụ dấu hiệu thuộc Atomic IP
Signature Name (common): TCP SYN/FIN
packet
Signature ID (common): 3041/0
Engine (common): ATOMIC IP
Description (common): được khởi phát khi 1
gói dữ liệu đơn TCP với cờ SYN và FIN cùng
được bật và được gửi tới 1 máy nào đó.
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
10
10
4/1/2013
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
String Singnature engines
String ICMP: tìm kiếm một dạng chuỗi
(string pattern) trong các gói dữ liệu ICMP.
String TCP: tìm kiếm một dạng chuỗi trong
các kết nối TCP.
String UDP: tìm kiếm một dạng chuỗi trong
các luồng UCP
Multi String: tìm kiếm nhiều chuỗi thông qua
nhiều kết nối độc lập
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
11
11
4/1/2013
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Ví dụ String TCP
Cisco IPS IOS FTPd MKD
- Signature Name (common): IOS FTPd MKD
Command Buffer Overflow
- Signature ID (common): 6973/0
- Engine (common): STRING TCP
- Description (common): Buffer Overflow in MKD
- Service Ports (engine-specific): 21
- Regex String (engine-specific):
^[mM][kK][dD]\x20[^\x0a\x0d]*[\x7f-\xff]
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
12
12
4/1/2013
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Ví dụ String TCP
Cisco IPS IOS FTPd MKD
- Signature Name (common): IOS FTPd MKD
Command Buffer Overflow
- Signature ID (common): 6973/0
- Engine (common): STRING TCP
- Description (common): Buffer Overflow in MKD
- Service Ports (engine-specific): 21
- Regex String (engine-specific):
^[mM][kK][dD]\x20[^\x0a\x0d]*[\x7f-\xff]
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
13
13
4/1/2013
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
SERVICE Signature engine
Bộ cảm biến Cisco IPS dùng các loại
Service signature engines: Service DNS,
service FTP, service Generic, service H225,
service HTTP, service IDENT, service
MSRPC, service MSSQL, service NTP,
service P2P, service RPC, service SMB
Advanced, service SNMP, service SSH,
service TNS.
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
14
14
4/1/2013
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Ví dụ: dấu hiệu service HTTP
Ví dụ về dấu hiệu được dựa trên Service HTTP engine là
Signature Name (common): Dot Dot Slash in URI
Signature ID (common): 5256/0
Engine (common): SERVICE HTTP
Description (common): ../ in URI
De Obfuscate (engine-specific): Yes (engines sẽ chuyển
đổi tất cả dữ liệu sang dạng ASCII trước khi phân tích nó)
Service Ports (engine-specific): #WEBPORTS (80,
3128, 8000, 8010, 8080, 8888, và 24326.)
URI Regex (engine-specific): [.][.][/\\]
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
15
15
4/1/2013
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Flood Signature engines
Flood Signature engines phát hiện các cuộc tấn
công mà trong đó kẻ tấn công đang làm tràn
(flood) dữ liệu tới 1 máy tính hoặc bộ cảm biến.
Flood net: được dùng để xem xét một số
lượng quá nhiều các gói tin được gửi qua bộ cảm
biến.
Flood host: được dùng để xem xét một số
lượng quá nhiều các gói tin ICMP hoặc UDP được
gửi tới 1 máy tính đích nào đó
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
16
16
4/1/2013
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Ví dụ: dấu hiệu Flood
Một dấu hiệu được dựa trên Flood Host engine:
■ Signature Name (common): DNS Flood Attack
■ Signature ID (common): 4004/0
■ Engine (common): FLOOD HOST
■ Description (common): dấu hiệu này phát hiện
một cuộc làm tràn DNS mà có thể dẫn tới “đầu độc”
bộ nhớ cache DNS.
■ Src Ports (engine-specific): 53
■ Dst Ports (engine-specific): 1–65,535
■ Rate Ports (engine-specific): 500
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
17
17
4/1/2013
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Sweep Signature Engines
Sweep signature engines phát hiện các cuộc tấn
công mà trong đó 1 hệ thống tạo nhiều kết nối tới
nhiều host hoặc tới 1 host đơn nhưng với nhiều
cổng (port). Sweep engines được sử dụng để phát
hiện kiểu tấn công do thám.
Sweep: engine này phát hiện việc quét 1 máy tính,
dò cổng và quét các dịch vụ.
Sweep other TCP: engine này phân tích lưu
lượng giữa 2 host để tìm kiếm các gói tin bất
thường.
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
18
18
4/1/2013
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Ví dụ: dấu hiệu Sweep
Cisco IPS TCP FIN Port Sweep là dấu hiệu
dựa trên Sweep engine. Dấu hiệu này sẽ xem
xét các gói tin TCP FIN được gửi tới mỗi
host, và sẽ khởi phát nếu có nhiều hơn 5 gói
tin được gởi tới các cổng khác nhau trong
khoảng thời gian đang bị theo dõi. Điều này
có nghĩa là host đang đang bị quét cổng.
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
19
19
4/1/2013
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Meta signature engine
Nhiều cuộc tấn công sẽ khai thác nhiều lỗi khác
nhau của hệ thống và có thể khởi phát một vài dấu hiệu
khác nhau. Điều này sẽ sinh ra nhiều cảnh báo tương
ứng với mỗi dấu hiệu được kích hoạt. Sử dụng Meta
engine có thể giảm số lượng cảnh báo được tạo bởi các
cuộc tấn công. Meta engine sẽ vô hiệu hóa việc phát
cảnh báo của các dấu hiệu thành viên, và một cảnh báo
meta (meta-alert) sẽ được tạo ra cho cả cuộc tấn công
đó.
Sự khác nhau giữa Meta engine và các engine khác
là dữ liệu đầu vào của nó. Các engine thông thường thì
dữ liệu đầu vào là lưu lượng mạng, còn Meta engine
lấy các sự kiện của dấu hiệu làm dữ liệu đầu vào
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
20
20
- Xem thêm -