Tài liệu Tìm hiểu cisco ids

  • Số trang: 26 |
  • Loại file: PDF |
  • Lượt xem: 222 |
  • Lượt tải: 0
tranphuong

Đã đăng 59174 tài liệu

Mô tả:

4/1/2013 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Cisco IOS Signature và Signature Engines Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS. Hồ Hải 1 1 4/1/2013 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Dấu hiệu (Signature) - Dấu hiệu (signature) là 1 một tập hợp các quy tắc được sử dụng bởi bộ cảm biến IDS/IPS để phát hiện các hành động xâm nhập đã biết (known attacks). - Bộ cảm biến so sánh các dấu hiệu với các hoạt động mạng. Khi có một dấu hiệu phù hợp, bộ cảm biến sẽ phát ra cảnh báo (alert). Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS. Hồ Hải 2 2 4/1/2013 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Các loại Dấu hiệu Dấu hiệu được xây dựng sẵn (buit-in signatures): dấu hiệu của các cuộc tấn công đã biết và được tích hợp sẵn vào trong phần mềm của bộ cảm biến Dấu hiệu được điều chỉnh (tuned signatures): dấu hiệu được xây dựng sẵn, nhưng được người dùng chỉnh sửa lại cho phù hợp. Dấu hiệu tự tạo (custom signatures): dấu hiệu mới do người dùng tạo ra. Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS. Hồ Hải 3 3 4/1/2013 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Các thuộc tính của dấu hiệu - Tên dấu hiệu (Signature name) - Số hiệu của dấu hiệu (Signature ID) - Tình trạng dấu hiệu (signature status) - Kiểu dấu hiệu (Signature engine) - Mức độ nghiêm trọng (Severity rating) - Mức độ tin cậy (Fidelity rating) - Điều kiện kích hoạt (Triggering conditions) - Chiến lược tổng kết (Summarization strategy) - Các hành động phản ứng (Response actions) Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS. Hồ Hải 4 4 4/1/2013 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Các hành động của Cisco IOS (Signature actions) - Loại bỏ (dropping) các gói dữ liệu xấu, bao gồm cả gói dữ liệu khởi phát (trigger packet), trước khi chúng có thể tới được mục tiêu. - Phát ra cảnh báo (alert). - Ghi lại các gói dữ liệu IP mà chứa địa chỉ của kẻ tấn công. - Khởi tạo sự ngăn chặn một kết nối hoặc 1 địa chỉ nào đó. - Gửi thông báo bằng SNMP. - Kết thúc 1 phiên TCP giữa kẻ tấn công và máy bị tấn công Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS. Hồ Hải 5 5 4/1/2013 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Dấu hiệu: ví dụ Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS. Hồ Hải 6 6 4/1/2013 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Signature Engines Signature engine là một thành phần của bộ cảm biến cái mà hỗ trợ các dấu hiệu (signatures) cùng loại với nhau. Mỗi dấu hiệu (signature) được hỗ trợ và điều khiển bởi 1 signature engine cụ thể nào đó (được tạo ra để giám sát 1 loại dấu hiệu cụ thể nào đó). Cisco IPS signature engine cho phép người quản trị mạng điều chỉnh và tạo ra các dấu hiệu cho hệ thống mạng của mình Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS. Hồ Hải 7 7 4/1/2013 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Các Signature Engines của Cisco IPS AIC Atomic Fixed Flood Meta Multi String Normalizer Service Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS. Hồ Hải 8 8 4/1/2013 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Atomic Engine Bao gồm: Atomic ARP: giám sát giao thức ARP của lớp 2 Atomic IP: xem xét phần đầu (header) và tải (payloads) của IP, TCP, UDP, và ICMP Atomic IP advanced: IPv6, IPv4, ICMP, ICMPv6, TCP, UDP Atomic IPv6: phát hiện các lỗ hổng của phần mềm Cisco IOS mà bị phát động bởi các lưu lượng IPv6 xấu. Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS. Hồ Hải 9 9 4/1/2013 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Ví dụ dấu hiệu thuộc Atomic IP Signature Name (common): TCP SYN/FIN packet Signature ID (common): 3041/0 Engine (common): ATOMIC IP Description (common): được khởi phát khi 1 gói dữ liệu đơn TCP với cờ SYN và FIN cùng được bật và được gửi tới 1 máy nào đó. Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS. Hồ Hải 10 10 4/1/2013 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông String Singnature engines String ICMP: tìm kiếm một dạng chuỗi (string pattern) trong các gói dữ liệu ICMP. String TCP: tìm kiếm một dạng chuỗi trong các kết nối TCP. String UDP: tìm kiếm một dạng chuỗi trong các luồng UCP Multi String: tìm kiếm nhiều chuỗi thông qua nhiều kết nối độc lập Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS. Hồ Hải 11 11 4/1/2013 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Ví dụ String TCP Cisco IPS IOS FTPd MKD - Signature Name (common): IOS FTPd MKD Command Buffer Overflow - Signature ID (common): 6973/0 - Engine (common): STRING TCP - Description (common): Buffer Overflow in MKD - Service Ports (engine-specific): 21 - Regex String (engine-specific): ^[mM][kK][dD]\x20[^\x0a\x0d]*[\x7f-\xff] Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS. Hồ Hải 12 12 4/1/2013 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Ví dụ String TCP Cisco IPS IOS FTPd MKD - Signature Name (common): IOS FTPd MKD Command Buffer Overflow - Signature ID (common): 6973/0 - Engine (common): STRING TCP - Description (common): Buffer Overflow in MKD - Service Ports (engine-specific): 21 - Regex String (engine-specific): ^[mM][kK][dD]\x20[^\x0a\x0d]*[\x7f-\xff] Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS. Hồ Hải 13 13 4/1/2013 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông SERVICE Signature engine Bộ cảm biến Cisco IPS dùng các loại Service signature engines: Service DNS, service FTP, service Generic, service H225, service HTTP, service IDENT, service MSRPC, service MSSQL, service NTP, service P2P, service RPC, service SMB Advanced, service SNMP, service SSH, service TNS. Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS. Hồ Hải 14 14 4/1/2013 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Ví dụ: dấu hiệu service HTTP Ví dụ về dấu hiệu được dựa trên Service HTTP engine là Signature Name (common): Dot Dot Slash in URI Signature ID (common): 5256/0 Engine (common): SERVICE HTTP Description (common): ../ in URI De Obfuscate (engine-specific): Yes (engines sẽ chuyển đổi tất cả dữ liệu sang dạng ASCII trước khi phân tích nó) Service Ports (engine-specific): #WEBPORTS (80, 3128, 8000, 8010, 8080, 8888, và 24326.) URI Regex (engine-specific): [.][.][/\\] Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS. Hồ Hải 15 15 4/1/2013 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Flood Signature engines Flood Signature engines phát hiện các cuộc tấn công mà trong đó kẻ tấn công đang làm tràn (flood) dữ liệu tới 1 máy tính hoặc bộ cảm biến. Flood net: được dùng để xem xét một số lượng quá nhiều các gói tin được gửi qua bộ cảm biến. Flood host: được dùng để xem xét một số lượng quá nhiều các gói tin ICMP hoặc UDP được gửi tới 1 máy tính đích nào đó Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS. Hồ Hải 16 16 4/1/2013 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Ví dụ: dấu hiệu Flood Một dấu hiệu được dựa trên Flood Host engine: ■ Signature Name (common): DNS Flood Attack ■ Signature ID (common): 4004/0 ■ Engine (common): FLOOD HOST ■ Description (common): dấu hiệu này phát hiện một cuộc làm tràn DNS mà có thể dẫn tới “đầu độc” bộ nhớ cache DNS. ■ Src Ports (engine-specific): 53 ■ Dst Ports (engine-specific): 1–65,535 ■ Rate Ports (engine-specific): 500 Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS. Hồ Hải 17 17 4/1/2013 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Sweep Signature Engines Sweep signature engines phát hiện các cuộc tấn công mà trong đó 1 hệ thống tạo nhiều kết nối tới nhiều host hoặc tới 1 host đơn nhưng với nhiều cổng (port). Sweep engines được sử dụng để phát hiện kiểu tấn công do thám. Sweep: engine này phát hiện việc quét 1 máy tính, dò cổng và quét các dịch vụ. Sweep other TCP: engine này phân tích lưu lượng giữa 2 host để tìm kiếm các gói tin bất thường. Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS. Hồ Hải 18 18 4/1/2013 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Ví dụ: dấu hiệu Sweep Cisco IPS TCP FIN Port Sweep là dấu hiệu dựa trên Sweep engine. Dấu hiệu này sẽ xem xét các gói tin TCP FIN được gửi tới mỗi host, và sẽ khởi phát nếu có nhiều hơn 5 gói tin được gởi tới các cổng khác nhau trong khoảng thời gian đang bị theo dõi. Điều này có nghĩa là host đang đang bị quét cổng. Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS. Hồ Hải 19 19 4/1/2013 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Meta signature engine Nhiều cuộc tấn công sẽ khai thác nhiều lỗi khác nhau của hệ thống và có thể khởi phát một vài dấu hiệu khác nhau. Điều này sẽ sinh ra nhiều cảnh báo tương ứng với mỗi dấu hiệu được kích hoạt. Sử dụng Meta engine có thể giảm số lượng cảnh báo được tạo bởi các cuộc tấn công. Meta engine sẽ vô hiệu hóa việc phát cảnh báo của các dấu hiệu thành viên, và một cảnh báo meta (meta-alert) sẽ được tạo ra cho cả cuộc tấn công đó. Sự khác nhau giữa Meta engine và các engine khác là dữ liệu đầu vào của nó. Các engine thông thường thì dữ liệu đầu vào là lưu lượng mạng, còn Meta engine lấy các sự kiện của dấu hiệu làm dữ liệu đầu vào Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS. Hồ Hải 20 20
- Xem thêm -