IDS - Prévention des Intrusions. Pascal FERNANDEZ

Transcription

1 IDS - Prévention des Intrusions Pascal FERNANDEZ Avril 2016

2 1. Fonctionnement des modules Pare-Feu et Détection des Intrusions (IDS) : Afin de protéger votre travail sur les réseaux locaux et sur Internet, Kaspersky Endpoint Security 10 vous propose un composant spécial : Anti-Hacker. Ce composant de type Stateful Inspection protège votre ordinateur au niveau du réseau (support IPv4 et IPv6) et au niveau des applications et rend votre machine invisible sur le réseau, ce qui permet de déjouer les attaques. Voici une présentation du fonctionnement de la protection réseau. La protection au niveau du réseau est garantie grâce à l'utilisation de règles globales pour les paquets du réseau qui, suite à l'analyse de paramètres tels que le sens de circulation des paquets, le protocole de transfert, le port d'envoi et de réception du paquet, autorise ou interdit l'activité de réseau. Les règles pour les paquets définissent l'accès au réseau quelles que soient les applications installées sur votre ordinateur qui utilisent le réseau. 1

3 En plus des règles pour les paquets, la protection au niveau du réseau est garantie par le sous-système d'identification des intrusions (IDS). La tâche de ce sous-système consiste à analyser les connexions entrantes, définir les balayages des ports de l'ordinateur et à filtrer les paquets de réseaux envoyés pour exploiter une vulnérabilité logicielle. Dès que le sous-système d'identification des intrusions s'active, toutes les connexions entrantes émanant de l'ordinateur attaquant seront bloquées pendant une durée déterminée et l'utilisateur sera averti de la tentative d'attaque menée contre son ordinateur. Le fonctionnement du sous-système de détection des intrusions repose sur l'utilisation pendant l'analyse d'une base spéciale de signatures d'attaques régulièrement enrichie par nos experts et mise à jour en même temps que les signatures des menaces. L'administrateur peut définir des exclusions sur des listes d'adresses IP afin d'éviter le contrôle IDS. 2

4 La protection au niveau des applications est garantie grâce à l'application de règles d'utilisation des ressources de réseau pour les applications installées sur l'ordinateur. À l'instar de la protection au niveau du réseau, la protection au niveau des applications repose sur l'analyse des paquets de réseau du point de vue du sens de circulation des paquets, du type de protocole de transfert, du port utilisé. Cependant, au niveau de l'application non seulement les caractéristiques du paquet sont prises en compte, mais également l'application concrète à laquelle le paquet est destiné ou qui a initialisé l'envoi de ce paquet. Il est à noter que notre module de protection IDS protège uniquement des attaques réseaux exploitant une vulnérabilité du système d exploitation ou des applications cibles (vers réseaux ) et non d attaques de types DDoS qui ne sont pas dans le scope de ce composant de protection. 3

5 L'utilisation de règles pour les applications permet une configuration plus fine de la protection, par exemple lorsqu un type de connexion est interdit pour certaines applications et autorisé pour d'autres. 4

6 2. Blocage des attaques basées sur le protocole TCP : En cas de détection d'une tentative d'attaque réseau contre l'ordinateur de l'utilisateur, Kaspersky Endpoint Security bloquera par défaut l'activité réseau de l'ordinateur attaquant. Un message vous avertit après qu'une tentative d'attaque réseau a été effectuée et vous fournit des informations relatives à l'ordinateur à l'origine de l'attaque. Attaques réseau utilisant le protocole TCP : Intrusion.Win.LSASS.ASN1-kill-bill.exploit Intrusion.Win.DCOM.exploit Intrusion.Win.NETAPI.buffer-overflow.exploit Intrusion.Win.MSSQL.worm Les paquets provenant de ces types d attaques seront détectés puis refusés ainsi que l ordinateur attaquant bloqué si l option de blocage de l ordinateur est activée dans la stratégie de protection. 5

7 Exceptions : TCP.Generic.SynFLOOD : Les paquets provenant d une attaque «TCP.Generic.SynFlood» sont détectés et refusés sans avertir l émetteur (DROP). Dans ce type d attaque TCP.Generic.SynFlood par exemple, des requêtes de type "TCP SYN Flooding" ("SYN flag over TCP") sont envoyées dépassant plus de 300 requêtes en l'espace de 5 secondes. TCP.Scan.Generic : L attaque «TCP.Scan.Generic» n est pas fondamentalement considérée comme une vraie attaque, mais plus comme du scan de ports, les paquets sont donc détectés, mais non refusés. Bruteforce.Generic.RDP : Les paquets provenant d une attaque «Bruteforce.Generic.RDP» sont détectés, mais non refusés. Les ordinateurs attaquants ne seront jamais bloqués dans ces trois types d attaques réseau, et ce même si l option de blocage de l ordinateur est activée dans la stratégie de protection. Ceci pour la simple raison que ce genre de paquets circulent largement dans les réseaux d'entreprise et peuvent être diffusés par des logiciels et matériels tout à fait légitimes. 6

8 Simulation d une attaque réseau : Vous pouvez reproduire une attaque réseau basée sur TCPv4 par exemple par le biais de notre outil kltps ou de l utilitaire Nmap par exemple, via les commandes suivantes : kltps -4 t <host> <port> Intense scan, all TCP ports : nmap p T4 A v <@IP> 7

9 3. Blocage des attaques basées sur le protocole UDP : Scan.Generic.UDP DOS.Generic.FLOOD Tous les paquets provenant d attaques basées sur le protocole UDP seront détectés puis refusés par le module de protection IDS, mais en aucun cas l ordinateur attaquant ne sera banni, et ce même si l option de blocage de l ordinateur est activée dans la stratégie de protection. Raison : Un hacker peut être en mesure de compiler un paquet UDP en y spécifiant l IP d un composant réseau tel que le Routeur par exemple. Cela aurait ainsi pour impact une détection de l IDS et un blocage de l IP de ce routeur. Cela dit, cela tous les paquets UDP disposant d une signature Malware seront bien refusés. (DROP) 8 Les notifications apparaitront pour tous les paquets interceptés (en cas d attaques massives, certaines notifications peuvent ne pas être loguées afin d éviter le flood d évènements).

10 Simulation d une attaque réseau : Vous pouvez reproduire une attaque réseau basée sur UDP par exemple par le biais de notre outil Kltps ou de l utilitaire Nmap par exemple, via les commandes suivantes : kltps -4 u <host> <port> Intense scan plus UDP : nmap ss su T4 A v <@IP> 9