III. Hệ thống ngăn chặn xâm nhập IPS 1 Định nghĩa IPS
7. Chữ ký và các kỹ thuật xử lý
7.1 Xem xét Chữ ký Micro-Engines.
Một chữ ký Micro-Engines là một thành phần của một IDS và IPS cảm biến có hỗ trợ một nhóm các chữ ký dược phổ biến trong danh sách công cộng. Mỗi động cơ(engine) là tùy chỉnh cho các giao thức và lĩnh vực mà nó được thiết kế để kiểm tra và xác định một tập hợp các thông số quy phạm pháp luật có phạm vi cho phép hoặc tập hợp các giá trị. Chữ ký Micro-Engines tìm kiếm các hoạt động độc hại trong một giao thức cụ thể. Chữ ký có thể được định nghĩa cho bất kỳ chữ ký
Micro-Engines sử dụng các thông số được cung cấp bởi động cơ vi sinh hỗ trợ.
Các gói dữ liệu được quét bởi Micro-Engines có thể hiểu được giao thức chứa trong gói.
Cisco signature micro-engines thực hiện song song các công cụ quét. Tất cả các chữ ký trong một chữ ký cho Micro-Engines được quét song song, chứ không phải là chuỗi. Mỗi chữ ký Micro-Engines chiết xuất từ các giá trị gói và vượt qua các phần của gói cho công cụ và không gian . Một kỷ thuật xử lý biểu hiên thường xuyên được quét song song, điều này làm tăng hiệu quả và kết quả truong việc thương lương cao hơn.
Khi IDS (chế độ promiscuous) hoặc IPS (inline mode) được kích hoạt, một chữ ký vi động cơ (signature micro-engine)được nạp (hoặc xây dựng) trên với router. Khi một chữ ký vi công cụ được xây dựng, router có thể cần phải biên dịch biểu thức thông thường được tìm thấy trong một chữ ký. Biên dịch biều hiện thường xuyên đòi hỏi bộ nhớ nhiều hơn dung lượng cuối cùng của biều hiện thường xuyên. Hãy
chắc chắn để xác định các yêu cầu bộ nhớ cuối cùng của chữ ký đã hoàn thành việc sáp nhập trước khi tải và kết hợp chữ ký.
Chú ý
Một biểu hiện thường xuyên là một cách có hệ thống để xác định một tìm kiếm một kiểu mẫu trong một loạt các byte.
Ví dụ, một biểu hiện thường xuyên được sử dụng để ngăn chặn có chứa dữ liệu .
Exe hay com hay bat. Thông qua bức tường lửa có thể. Giống như thế này: * ".* \. ([Ee] [Xx] [Ee] | [Cc] [Oo] [Mm] | [Bb] [Aa] [Tt])".
Chú ý
Đối với danh sách hiện đang được hỗ trợ chữ ký vi động cơ, hãy tham khảo danh sách "của Công cụ hỗ trợ Chữ ký" trên trang chủ của cisco.
Tóm tắt các loại động cơ chữ ký có sẵn trong Cisco IOS Release
Signature Engine Description
Atomic Chữ ký này thì kiểm tra các gói đơn
giản, chẳng hạn như ICMP và UDP
Service Chữ ký này là kiểm tra nhiều dịch vụ
đang bị tấn công String
Chữ ký sử dụng biểu thức thông thường dựa trên các mẫu để phát hiện xâm nhập. Multi-string
Hỗ trợ các mô hình kết hợp linh hoạt và hỗ trợ xu hướng chữ ký
Other Kỹ thuật bên trong để xử lý chữ ký linh
tinh
Bảng :Mô tả chi tiết
Signature Engine Description
ATOMIC.IP Cảnh báo ip lớp 3
ATOMIC.ICMP Cảnh báo icmp dựa trên :type, code,
ATOMIC.IPOPTIONS Cảnh báo chức năng giải mã ở lớp 3 ATOMIC.UDP
Cung cấp các gói UDP đơn giản báo động dựa trên các thông số: cổng, phương diện,và chiều dài dữ liệu ATOMIC.TCP
Cung cấp các gói tin TCP báo động đơn giản, dựa trên các thông số: cổng, điểm đến, và cờ
SERVICE.DNS Phân tích dịch vụ DNS
SERVICE.RPC Phân tích dịch vụ diều khiển từ xa rpc
SERVICE.SMTP Kiểm tra phương thúc gửi mail SMTP
SERVICE.HTTP
Cung cấp các giao thức HTTP giải mã cơ bản dựa trên chuỗi động cơ; bao gồm anti-evasive URL de-obfuscation
SERVICE.FTP
FTP cung cấp dịch vụ đặc biệt giải mã cảnh báo
STRING.TCP UDP cung cấp thường xuyên biểu hiện
dịch vụ dựa trên mô hình động cơ kiểm tra
STRING.UDP UDP cung cấp thường xuyên biểu hiện
dịch vụ dựa trên mô hình động cơ kiểm tra
STRING.ICMP
ICMP cung cấp thường xuyên biểu hiện dịch vụ dựa trên mô hình động cơ kiểm tra
MULTI-STRING Hỗ trợ các mô hình kết hợp linh hoạt và hỗ trợ mô hình chữ ký xu hướng .
Other Cung cấp các công cụ nội bộ để xử lý
Chú ý:
Cisco IOS IPS và Cisco IPS AIM không thể được sử dụng cùng nhau. Cisco IOS IPS phải được vô hiệu hóa khi IPS AIM được cài đặt. Cisco IOS IPS là một ứng dụng cung cấp khả năng kiểm tra cho lưu lượng chạy qua router. Mặc dù nó được bao gồm trong IOS Cisco nâng cao tính năng bảo mật thiết, nó sử dụng CPU router và bể bộ nhớ chia sẻ để thực hiện việc kiểm tra. Cisco IOS IPS cũng chạy một tập con của chữ ký IPS. Cisco AIM IPS, thảo luận trước đó trong chương này, chạy với một CPU và bộ nhớ chuyên dụng, giảm tải xử lý tất cả các chữ ký IPS từ CPU router. Nó có thể tải một chữ ký đầy đủ các thiết lập và cung cấp các tính năng nâng cao IPS không có sẵn trên Cisco IOS IPS.