Pages. SOMMAIRE INTRODUCTION GENERALE..02 I. CONTEXTE ET MOTIVATION. 1. Contexte. 2. Motivation

Transcription

1 Pages. SOMMAIRE 01 INTRODUCTION GENERALE..02 I. CONTEXTE ET MOTIVATION 0 1. Contexte Motivation.0 II. DEFINITIONS..04 III. OBJECTIFS DES SYSTEMES DE DETECTION D'INTRUSIONS.06 IV. LES TYPES DE SYSTEMES DE DETECTION D'INTRUSIONS Systèmes de détection d'intrusions réseaux (N-IDS) Systèmes de détection d'intrusions hôtes (H-IDS) Systèmes de détection d'intrusions hybrides.. 12

2 V. ARCHITECTURES DE SYSTEMES DE DETECTION D'INTRUSIONS..15 VI. LES TECHNIQUES DE DETECTION D'INTRUSION. 22 VII. LES LIMITES DES SYSTEMES DE DETECTION D'INTRUSIONS..25 VIII. QUELQUES OUTILS DE DETECTION D'INTRUSIONS.27 CONCLUSION BIBLIOGRAPHIE ET REFERENCE. 2 Les réseaux et systèmes informatiques sont devenus aujourd hui des outils indispensables pour le bon fonctionnement et l évolution de la plupart des entreprises, la croissance de l Internet et l ouverture des systèmes ont fait que les attaques dans les réseaux informatiques soient de plus en plus nombreuses.

3 D une part les vulnérabilités en matière de sécurité s'intensifient, au niveau de la conception des protocoles de communication ainsi qu au niveau de leur implantation et d autre part les connaissances, les outils et les scriptes pour lancer les attaques sont facilement disponibles sur internet et exploitables, ainsi les systèmes et réseaux informatiques sont déployés dans différents domaines et ces réseaux apparaissent comme des cibles d attaques potentielles, d où les sécuriser est devenu possible grâce à de nombreux moyens, parmi lesquels les systèmes de détections d intrusion. Ainsi nous commencerons par une brève explication de quelques notions et définitions de base, puis nous vous présenterons les architectures et les types de systèmes de détection d'intrusions ainsi que leur avantages, inconvénients et leur limites. I. CONTEXTE ET MOTIVATION. 1. Contexte Le concept de système de détection d intrusions a été introduit en Mais le sujet n a pas eu beaucoup de succès. Il a fallu attendre la publication d un modèle de détection d intrusions en 1987 pour marquer réellement le départ du domaine. La recherche dans le domaine s est ensuite développée, le nombre de prototypes s est énormément accru. La détection d intrusion est devenue une industrie mature et les éditeurs de logiciels se concentrent plus à perfectionner les techniques de détection existantes.

4 Quelques voies restent cependant relativement inexplorées : les mécanismes de réponse aux attaques, les architectures pour les systèmes de détection d intrusions distribués...etc. 2. Motivation Une des approches de la sécurité informatique est de créer un système complètement sécurisé, c est la prévention. Mais il est très rarement possible de rendre un système complètement inattaquable pour plusieurs raisons. La plupart des systèmes informatiques ont des failles de sécurité qui les rendent vulnérables aux intrusions. Les trouver et les réparer toutes n est pas possible pour des raisons techniques et économiques. Les systèmes existants ayant des failles connues ne sont pas facilement remplacés par des systèmes plus surs, ou parce qu ils ne peuvent pas être remplacés pour des raisons économiques. Déployer des systèmes sans failles est très dur voire impossible car des failles sont inconnues ou inévitables. II. DEFINITIONS. Système informatique : Nous appellerons système informatique, une ou plusieurs machines mises à la disposition d un ou plusieurs utilisateurs légitimes pour toutes sortes de tâches.

5 Intrusion : Nous appellerons intrusion, toute utilisation d un système informatique à des fins autres que celles prévues, généralement dues à l acquisition de privilèges de façon illégitime. L intrus est généralement vu comme une personne étrangère au système informatique qui a réussi à en prendre le contrôle. Un système de détection d'intrusion (IDS : Intrusion Détection System) C est un mécanisme destiné à repérer des activités anormales ou suspectes sur la cible analysée (un réseau ou un hôte). Il permet ainsi d'avoir une connaissance sur les tentatives réussies comme échouées des intrusions. Un NIDS : (Network Based Intrusion Detection System) C est un système de détection de type réseau, qui surveille l'état de la sécurité au niveau du réseau. Un HIDS : (Host Based Intrusion Detection System) C est un système de détection de type hôte, qui surveille l'état de la sécurité au niveau des hôtes. Un IDS hybrides : C est un système de détection qui utilise les NIDS et HIDS pour avoir des alertes plus pertinentes. Un format IDMEF : (Intrusion Détection Message Exchange Format). IL décrit une alerte de façon objet et exhaustive. Une alerte : C est le message qui est émis depuis un analyseur. Une corrélation :

6 C est une connexion entre deux ou plusieurs éléments, dont un de ces éléments créée ou influence un autre. Elle se traduit plus généralement par la transformation d'une ou plusieurs alertes en attaque. Une corrélation passive : Est celle correspondant à une génération d'alerte basée sur celles existantes. Une corrélation active : Est celle cherchant les informations correspondant à des alertes émises. Une contre-mesure : C est l'art de piloter les éléments réseau ou la machine cible, afin d'éviter à une attaque de se propager (Islanding) ou de perdurer. Une dissection : C est une opération permettant de comprendre un protocole donné, afin de le décoder pour l'analyser. Détection d intrusions : La détection d intrusions consiste à analyser les informations collectées par les mécanismes de sécurité, à la recherche d éventuelles attaques. Les méthodes de détection d intrusion diffèrent sur la manière d analyser le journal d audits. Mécanisme d audit : Nous appellerons mécanisme d audit toute partie de code du système informatique dont le but est de reporter des informations sur les opérations qu il lui est demandé d accomplir. Journal d audit :

7 Nous appellerons journal d audit l ensemble des informations générées par les mécanismes d audit. Événement : Nous appellerons événement toute opération élémentaire. Par extension, nous appellerons également événement le report de celui-ci par un mécanisme d audit. III. OBJECTIFS DES SYSTEMES DE DETECTION D'INTRUSIONS. Un IDS a plusieurs objectifs parmi lesquels : La détection de toutes violations liées à la politique de sécurité. La signalisation des attaques. L analyse du trafic à tous les niveaux, liaison de données, réseau, transport et application. Exemple de modèle de gestion de la sécurité d un système informatique. Prévention Détection Autopsie

8 Enquête Dans la figure ci-dessus : Explication schématique : - La prévention : n est qu une des quatre parties de la gestion de la sécurité. - La partie détection : est à la recherche de l exploitation de nouvelles brèches. - La partie enquête : essaye de déterminer ce qui est arrivé, en s appuyant sur les informations fournies par la partie détection. - La partie autopsie : consiste à chercher comment empêcher des intrusions similaires dans le futur. Par le passé quasiment toute l attention des chercheurs s est portée sur la partie prévention. -La détection : est maintenant beaucoup prise en compte, mais les deux autres parties ne reçoivent pas encore toute l attention qu elles méritent. Dans ce projet intitulé Architecture et type de système de détection d intrusion, Nous nous intéresserons plus particulièrement ici à la partie Détection. IV. LES TYPES DE SYSTEMES DE DETECTION D'INTRUSIONS.

9 Le premier système de détection d'intrusions a été proposé en 1980 par James ANDERSON. Il en existe maintenant beaucoup d'autres, commerciaux ou non. Il existe trois grands types distincts d IDS à savoir : Les NIDS (Network Based Intrusion Détection System), qui surveillent l'état de la sécurité au niveau du réseau. Les HIDS (HostBased Intrusion Détection System), qui surveillent l'état de la sécurité au niveau des hôtes. Les IDS hybrides, qui utilisent les NIDS et HIDS pour avoir des alertes plus pertinentes. 1. Systèmes de détection d'intrusions réseaux (N-IDS) Figure 1. Parties d IDS. SIGNATURE ALERTE CAPTURE ANALYSE Un NIDS se découpe en trois grandes parties : - la capture, - les signatures - les alertes. La capture :

10 La capture sert à la récupération de trafic réseau. En général cela se fait en temps réel, bien que certains NIDS permettent l'analyse de trafic capturé précédemment. La plupart des NIDS utilisent la bibliothèque standard de capture de paquet libpcap. La bibliothèque de capture de paquets (Packet Capture Library) est portée sur quasiment toutes les plateformes, ce qui permet en général aux IDS réseau de suivre. Le fonctionnement de la capture d'un NIDS est donc en général fortement lié à cette libpcap. Son mode de fonctionnement est de copier (sous Linux) tout paquet arrivant au niveau de la couche liaison de données du système d'exploitation. Une fois ce paquet copié, il lui est appliqué un filtre BPF (Berkley Packet Filter), correspondant à l'affinage de ce que l'ids cherche à récupérer comme information. Il se peut que certains paquets soient ignorés car sous une forte charge, l'os ne le copiera pas. Le comportement de la libpcap est différent dans le monde BSD (famille de version d Unix), puisqu'il lui attache le fichier périphérique /dev/bpf, permettant ainsi aux NIDS de ne pas avoir besoin des droits super utilisateur pour capturer le trafic mais simplement de pouvoir lire sur ce fichier sur lequel les filtres sont directement compilés. Les signatures : La signature est en général une chaîne de caractère, que vous recherchez à l'intérieur d'un paquet de données. Par exemple la présence de /scripts/iisadmin/default.htm dans un paquet à destination d un serveur Web IIS (Internet Information Services), pourra indiquer une intrusion. Les bibliothèques de signatures (approche par scénario) rendent la démarche d'analyse similaire à celle de l antivirus quand ceux-ci s'appuient sur des signatures d'attaques. Ainsi, le NIDS est efficace s'il connaît l'attaque, mais inefficace dans le cas contraire. Les outils commerciaux ou libres ont évolué pour proposer une personnalisation de la signature afin de faire face

11 à des attaques dont on ne connaît qu'une partie des éléments. Les outils à base de signatures requièrent des mises à jour très régulières. Les alertes : Les alertes sont généralement stockées dans le syslog. Cependant il existe une norme qui permet d'en formaliser le contenu, afin de permettre à différents éléments de sécurité d'inter opérer. Ce format s'appelle IDMEF (pour Intrusion détection Message Exchange Format). IDMEF est popularisé par le projet Prelude, qui offre une infrastructure permettant aux IDS de ne pas avoir à s'occuper de l'envoi des alertes. Cela permet aux IDS de n'avoir qu'à décrire les informations qu'il connaît et Prelude se charge de le stocker pour permettre une visualisation humaine ultérieurement. La recherche de motif (pattern matching) La recherche de motif est ce qui permet à un NIDS de trouver le plus rapidement possible les informations dans un paquet réseau. Il existe différents algorithmes de recherche de motif. Il y a ceux qui sont conçus pour renvoyer des négatifs le plus rapidement possible comme E2xB, d'autres comme Boyer- Moore (BM) qui sont intéressants lorsqu'il y a peu d'informations stockées en mémoire. Il est convenu que BM est plus efficace que les autres quand il y a moins de 100 signatures. Il existe aussi des extensions à Boyer-Moore qui s'affranchissent de ces restrictions. Ou encore des algorithmes qui sont plus précis et donc plus intéressants dans le cas des NIDS comme Knuth- Morris-Pratt (KMP). Dans le cas d'un NIDS, la recherche de motif est souvent le nœud d'étranglement. Pouvant consommer plus de quatre-vingt pourcent de temps de calcul. E2xb a été spécialement conçu pour répondre aux besoins des NIDS. Il s'agit d'un algorithme de recherche de motif de domaine spécifique à la détection d'intrusion. C'est un algorithme d'exclusion car il part du principe que la plupart des paquets réseau ne correspondent pas à une signature qui identifie une tentative d'intrusion. L analyse :

12 À partir de la capture, la signature et l alerte, le moteur d'analyse met ces éléments de relation en employant plusieurs techniques : la refragmentation, la dissection protocolaire ou encore l'analyse comportementale. La refragmentation : Les paquets dépassant une certaine taille (qui en général est de octets) sont fragmentés. La fragmentation de l'en-tête de la couche transport étant aussi possible, cela rendait les NIDS vulnérables aux attaques de Stick et de Snot car les paquets fragmentés n'étaient pas analysés. Les NIDS ont le devoir de refragmenter les paquets avant analyse, afin de ne pas manquer une attaque. Il s'agit d'une opération relativement complexe, étant donné que chaque hôte de destination ne refragmente pas de la même façon, selon le système d'exploitation sur lequel l'attaque est visée. Il s'agit encore d'une technique d'évasion utilisable aujourd'hui car les NIDS ne sont pas forcément configurés correctement pour gérer un cas précis. La dissection : Elle permet de comprendre un protocole donné, de le décoder pour l'analyser. Il s'agit de la partie la plus sensible des NIDS car c'est elle qui est le plus grand vecteur d'attaques. Cependant, la dissection est essentielle sur certains protocoles, comme RPC, afin de pouvoir détecter des attaques qui seraient invisibles sans cette indispensable dissection. Cette étape permet aussi de récupérer un champ précis d'un protocole applicatif ce qui peut simplifier l'écriture de signatures. En bref même si nous nous devions de distinguer les HIDS des NIDS dans cette approche, la différence entre ces deux techniques complémentaires devient de plus en plus légère car les HIDS intègrent à l'heure actuelle les fonctionnalités de base des NIDS. Certains IDS se vante nomment d'être "IDS hôte et réseau". Tout porte à croire que dans très peu de temps, les différences entre les deux approches seront quasi imperceptibles voir inexistantes.

13 2. Systèmes de détection d'intrusions hôtes (H-IDS). Les HIDS, Host Based IDS, signifiant "Système de détection d'intrusion machine" sont des IDS dédiés à un matériel ou système d'exploitation. Généralement, contrairement a un NIDS, le HIDS récupère les informations qui lui sont données par le matériel ou le système d'exploitation. Il y a pour cela plusieurs approches : signatures, comportement (statistiques) ou délimitation du périmètre avec un système d'acl. Un HIDS se comporte comme un daemon ou un service standard sur un système hôte qui détecte une activité suspecte en s appuyant sur une norme. Si les activités s éloignent de la norme, une alerte est générée. La machine peut être surveillée sur plusieurs points : Activité de la machine : nombre et listes de processus ainsi que d'utilisateurs, ressources consommées. Activité de l'utilisateur : horaires et durée des connexions, commandes utilisées, messages envoyés, programmes activés, dépassement du périmètre défini. Activité malicieuse d'un ver, virus ou cheval de Troie. Un autre type d'hids cherche les intrusions dans le «noyau» (kernel) du système, et les modifications qui y sont apportées. Certains appellent cette technique «analyse protocolaire». Très rapide, elle ne nécessite pas de recherche dans une base de signature. Dans le but d'être plus précis sur les types d'attaques subis, il convient d'installer un système de détection basé sur l'hôte car il analyse exclusivement l'information relative à cet hôte. Le contrôle du trafic réseau étant réservé aux Network-Based IDS, on peut alors se concentrer sur l'activité d'une machine que l'on considère "stratégique" ou "à risque". On constate ainsi de façon immédiate l'impact d'une attaque réalisée avec succès sur la machine concernée.

14 Les sources utilisées par ce type d'ids pour analyser au mieux l'activité de l'hôte sont les fichiers logs ainsi que les traces d'audit du système d'exploitation. Si les logs, plus petites, ne fournissent que l'essentiel de l'information, elles peuvent bénéficier d'un meilleur contrôle et d'une analyse plus fine justement grâce à leur petite taille. En revanche, des attaques détectables avec les traces d'audit peuvent passer inaperçues. L'analyse des traces d'audit étant plus précises et plus détaillées, l'information fournie est donc meilleure. En bref à travers tout ceci, il est donc fortement recommandé de placer les HIDS seulement sur des machines possédant des données stratégiques ou sensibles. Si une machine n'est pas réellement susceptible de subir une attaque, mieux vaut alors ne pas s'encombrer avec cette technique car les inconvénients persistent comme nous venons de le voir.. Systèmes de détection d'intrusions hybrides. Les IDS hybrides sont basés sur une architecture distribuée, où chaque composant unifie son format d'envoi d'alerte (typiquement IDMEF) permettant à des composants divers de communiquer et d'extraire des alertes plus pertinentes. Les IDS font allusion à : -La corrélation, est une connexion entre deux ou plusieurs éléments, dont un de ces éléments créée ou influence un autre. Elle se traduit plus généralement par la transformation d'une ou plusieurs alertes en attaque. Cela permet de faciliter la compréhension sur les attaques au lieu de s'éparpiller parmi les alertes. Idéalement, elle nécessite un IDS Hybride car plus il y a d'informations hétérogènes sur un évènement, la corrélation se fait d'une façon plus pertinente. Les formats ayant été normalisés (IDMEF), il ne reste plus qu'à faire des associations afin de détecter des alertes qui n'auraient jamais eu lieu sur un

15 analyseur seul. Si l'on prend l'exemple d'une authentification échouée, cela génère une alerte de faible intensité. Mais s'il y a une série d'authentifications échouées avec des utilisateurs différents, on peut conclure à une attaque de force brute. La corrélation permet de générer de nouvelles alertes à partir de celles existantes. C'est une étape préalable à une contremesure efficace. Il y a diverses façons de faire de la corrélation. Cependant on peut définir deux catégories : -La corrélation passive, correspondant à une génération d'alerte basée sur celles existantes. Nous pouvons prendre par exemple les scans de force brute ssh. -La corrélation active, qui va chercher les informations correspondant à des alertes émises. Par exemple, lorsqu'une personne se connecte en dehors des heures de travail, cela a un impact élevé qui n'aurait pas été en temps normal d'activité. -L'harmonisation des formats, format IDMEF (Intrusion Détection Message Exchange Format) décrit une alerte de façon objet et exhaustive. Une alerte est le message qui est émis depuis un analyseur, qui est une sonde en langage IDMEF, vers un collecteur. Le but d'idmef est de proposer un standard permettant d'avoir une communication hétérogène quel que soit l'environnement ou les capacités d'un analyseur donné. Ces alertes sont définies au format XML, offrant une possibilité de validation de chaque message. En général, les implémentations restent binaires, afin d'éviter les problèmes connus d'ajout d'information inutiles en dehors d'xml lorsque l'on envoie un message sur le réseau. IDMEF offre aussi un vocabulaire précis, qu'il est courant d'utiliser dans le domaine de la détection d'intrusions. Par exemple, une classification correspond au nom d'un alerte; Un impact celui d'un niveau d'attaque.

16 Attaque détectée mesure Contre Reconfiguration du Routeur pour interdire l IP De L Attaquant RESEAU INTERNE RESEAU EXTERNE Figure 2. Illustration de la contre mesure. -La contre-mesure, est l'art de piloter les éléments réseau ou la machine cible, afin d'éviter à une attaque de se propager (Islanding) ou de perdurer. Il s'agit d'une procédure assez compliquée et souvent désactivée. Ce qui rend la contremesure difficile, c'est la définition d'une attaque d'un point de vue formel. Il n'est pas possible de se baser sur des éléments qui génèrent des faux positifs. Et cela peut aussi engendrer un autre problème où l'attaquant se fait passer pour un client du réseau en générant des motifs d'attaque. Cela peut même bloquer le réseau interne si la contre-mesure est mal configurée. En bref les IDS hybrides offrent de nombreux avantages, et un système de contre-mesure se configure en général avec une liste blanche, dans laquelle sont mises les IP du réseau interne.

17 V. ARCHITECTURES DE SYSTEMES DE DETECTION D'INTRUSIONS 1. L ARCHITECTURE DU NIDS SNORT. SNORT est un Système de Détection d'intrusion de réseau (NIDS) en Open Source, capable d'analyser en temps réel le trafic sur les réseaux IP. SNORT utilise l analyse des protocoles et la recherche des chaînes de caractères dans les paquets pour la détection des attaques. On l'utilise pour détecter une variété d'attaques tels que des scans de ports, des attaques CGI (Common Gateway interface), des débordements de tampons, et bien plus. L architecture de SNORT est organisée en modules, elle est composée de quatre grands modules : Le décodeur de paquets, les préprocesseurs, le moteur de détection et le système d alerte et d enregistrement de log. Sniffing Décodeur de paquet Préprocesseur Règles Moteur de détection

18 Système d alerte Et l enregistrement des logs Journalisation Figure. Architecture de Snort. 1.1 Le décodeur de paquets. Un système de détection d intrusion active un ou plusieurs interfaces réseau de la machine en mode espion (promiscuous mode), ceci va lui permet de lire et analyser tous les paquets qui passent par le lien de communication. SNORT utilise la bibliothèque libpcap pour faire la capture des trames. Un décodeur de paquets est composé de plusieurs sous décodeurs qui sont organisés par protocole (Ethernet, IP, TCP..), ces décodeurs transforme les éléments des protocoles en une structure de données interne. données Décodage des protocoles de liaison de Décodage des protocoles réseau

19 Préprocesseur Décodage des protocoles transport Figure 4. Le décodeur de paquets. 1.2 Les préprocesseurs. Les préprocesseurs s occupent de la détection d intrusion en cherchant les anomalies, un préprocesseur envoie une alerte si les paquets ne respectent pas les normes des protocoles utilisées. Un préprocesseur est différent d une règle de détection, il est un programme qui vise à aller plus en détail dans l analyse de trafic. Nous allons voir à travers un exemple comment les préprocesseurs fonctionnent. 1. Moteur de détection. C est la partie la plus importante dans un SDI. Le moteur de détection utilise les règles pour faire la détection des activités d intrusion. Si un paquet

20 correspond à une règle une alerte est générée. Les règles sont groupées en plusieurs catégories sous forme de fichiers. SNORT vient avec un ensemble de règles prédéfinis, en exemple ci-dessous. Figure 5. Fichier de règles prédéfinis dans Snort. Ces règles ne sont pas activées automatiquement, il faut les activer dans le fichier de configuration snort.conf. Chaque fichier contient des règles décrit un type de trafic à signaler. Figure 6. Partie du fichier snort.conf.

21 1.4 Système d alerte et d enregistrement des logs. Le système d alerte et d enregistrement des logs s occupe de la génération des logs et des alertes. Les alertes sont stockées par défaut dans le répertoire /var/log/snort/. Dés que le système devient opérationnel, on pourra consulter les alertes générées directement dans les fichiers tex tes ou bien utilisé une console de gestion. ACID (Analysis Console for Intrusion Détection), est une application qui fournie une console de gestion et qui permet la visualisation des alertes en mode graphique. Les alertes dans ce cas sont stockées dans une base de données MySQL. En bref SNORT est une application écrite en C. Les programmes sources sont dans le répertoire Snort /src/. Le programme snort.c représente la routine principale de SNORT, le décodeur des paquets est implémenté dans le programme decode.c. rules.c est la routine qui s occupe des règles. Le moteur de détection est implémenté dans le programme detect.c et Le moteur d enregistrement est dans log.c. 2. Emplacement d un IDS dans le réseau. L emplacement d un SDI dépend de types d activités d intrusion qu on veut détecter. Si l entreprise a une seule connexion WAN alors le meilleur emplacement peut être juste derrière le routeur. Dans le cas où l entreprise à plusieurs connexion, on peut

22 placer un SDI sur chaque liaison. La figure 7, montre un exemple de réseau avec un SDI. Figure 7. L emplacement d un SID. Dans ce cas il est connecté à un concentrateur entre le réseau local et le pare-feu. Le trafic est donc visible dans les deux directions. Dans le cas d un réseau avec une zone démilitarisée, un SDI peut être placé dans cette zone, de cette façon on pourra détecter les attaques qui visent les serveurs de l entreprise. Les attaques peuvent être lancées de l intérieur de l entreprise, il est donc préférable d avoir un SDI qui contrôle le trafic interne et signale les anomalies.. Emplacement des capteurs NIDS et HIDS.

23 La place des capteurs est variable selon ce que l on désire observer. Les capteurs peuvent soit être placés avant ou après le firewall, soit dans une zone particulièrement sensible. En les plaçant entre le pare feu et le réseau internet, il est plus aisé de constater que le firewall a été mal configuré. Les capteurs placés après un pare-feu ont pour mission de détecter les intrusions que ce dernier n'a pu stopper. C'est l'utilisation la plus courante des NIDS. Mais nous pouvons tout aussi bien placer un capteur avant le pare-feu (entre Internet et le firewall). En le positionnant ainsi, le capteur peut recevoir et analyser l'ensemble du trafic provenant d'internet. Cependant, il n'est pas certain que toutes les attaques soient filtrées et détectées. Cette disposition reste tout de même la préférée de nombreux experts car elle offre l'avantage d'écrire dans les logs et d'analyser les attaques vers le pare-feu. De cette façon l'administrateur réseau voit ce qu'il doit modifier dans la configuration du pare-feu. INTERNET Figure 8. L emplacement des capteurs HISD et NIDS.

24 On peut très bien envisager de combiner ces deux cas de figure en plaçant un capteur avant et un après le firewall. Mais cette variante est très dangereuse si on configure mal les capteurs et/ou le pare-feu car il n'est pas si simple d'ajouter les avantages des deux positionnements. Enfin, les capteurs IDS sont parfois situés à l entrée de zones du réseau particulièrement sensibles (parcs de serveurs, données confidentielles ), de façon à surveiller tout trafic en direction de cette zone avec beaucoup plus de précision. a. Avantages Les capteurs sont fortement sécurisés puisqu'en se contentant d'observer le trafic, ils permettent une surveillance discrète du réseau. Les attaques de type scan sont de plus facilement détectables. b. Inconvénients Bien que très souvent utilisés et pouvant remplir un rôle primordial, les NIDS présentent néanmoins quelques faiblesses. En effet, le taux de faux négatifs (attaques non détectées comme telles) est relativement élevée. Il en découle une certaine difficulté pour contrôler le réseau dans sa totalité. De plus, leur mode de fonctionnement leur impose de fonctionner principalement de manière cryptée ce qui complique fortement l'analyse des paquets. Enfin, contrairement aux HIDS, les NIDS ne voient pas les impacts d'une attaque sur les machines du parc. VI. LES TECHNIQUES DE DETECTION. Le trafic réseau est généralement (en tout cas sur Internet) constitué de datagrammes IP. Un N-IDS est capable de capturer les paquets lorsqu ils circulent sur les liaisons physiques sur lesquelles il est connecté. Un N-IDS consiste en une pile TCP/IP

25 qui réassemble les datagrammes IP et les connexions TCP. Il peut appliquer les techniques suivantes pour reconnaître les intrusions : La détection d abus : Elle utilise des signatures pour démasquer les attaques. Ces signatures cherchent une chaîne dans le trafic du réseau, et peuvent refuser des demandes d accès à certains fichiers, en envoyant une alerte. C est ce qu on appelle le «patter matching», qui est l analyse de chaînes de caractères présentes dans un paquet, en recherchant la correspondance avec une attaque dans une base de connaissance. Les signatures correspondent à des attaques connues (en-tête anormale d un paquet, port ouvert, ). Cette détection a un fonctionnement similaire aux anti-virus. La signature, ou encore appelée règle, est spécifique à un paquet intéressant. Elle analyse l entête et la charge utile des paquets IP : L entête contient les adresses IP source et destination, et les informations de contrôle. La charge utile comprend les données transportées. Exemple pour la requête HTTP : Exemple d'une règle: Alert TCP $EXTERNAL_NET $HTTP_PORTS $HOME_NET any (msg:«news free INFOS»;content:«FREE

26 INFOS»;nocase;flow:to_client,established;classtype:kickass- NEWS;SID:110;rev:5;) Avantage : Les critères de signatures pouvant être précisément définis, il y a peu de fausses alertes. Classification facile de la criticité des attaques signalées. facilité de mise à jour et évidemment dans la quantité importante de signatures contenues dans la base du N- IDS. Inconvénients : Si les signatures ne sont pas clairement définies, les attaques passent inaperçues. Nécessite de mettre a jour régulièrement la table des attaques connues. La détection d anomalie : Cette détection crée dans un premier temps un profil pour un utilisateur en fonction des ses activités dites «normales». Une alarme se déclenche si le comportement de l utilisateur ne correspond pas a son profil. En général, le système réagit à des variations anormales du processeur (CPU), de la bande passante, du nombre de connexion TCP, etc. Trois () étapes dans la détection : La détection de seuil : utilisation de compteurs pour savoir combien de fois un programme ou un fichier est ouvert, exécuté, etc.

27 La détection basée sur des règles : définition des règles et alarme si déviation du profil dit "normal". La mesure statique : une signature est établie sur le comportement de l utilisateur et du système. Avantage : Découverte de nouvelles techniques d attaque. Inconvénients : Difficulté à créer un profil précis de l utilisateur. Risque de nombreuses fausses alarmes. En fin de compte, un N-IDS parfait est un système utilisant le meilleur de chacune des techniques citées ci-dessus. VII. LES LIMITES DES SYSTEMES DE DETECTION D'INTRUSIONS. Les IDS malheureusement présentent aussi de nombreuses limites. Du point de vue technique : Il existe de plus en plus de techniques qui permettent de contrer un IDS : Les scans de port sur une machine cible sont en général détectés par les IDS à cause de leur fréquence élevée. Cependant, les outils de scan disposent de plus en plus

28 d options permettant de diluer la fréquence des scans, ceux-ci passant alors inaperçus pour l IDS. La surcharge : si une quantité importante d informations est envoyée afin de surcharger les alertes IDS, il sera alors possible de glisser une attaque, qui sera difficilement identifiable face au flot d informations. La fragmentation : en fragmentant les paquets IP (qui ne seront réassemblés qu au niveau du destinataire), les IDS ne seront pas capables de reconnaître les signatures. Du point de vue humain : Humainement aussi, les IDS ont leur limite : Le mode passif ne fait que remonter les informations, c est l administrateur réseau qui se charge des actions. Si les attaques ont lieu le week end ou en vacances, il est alors plus difficile de mettre en place des moyens de défense. L analyse des alertes est longue, et demande des ressources importantes pour protéger un réseau, ou pour découvrir la source de l attaque. Les comportements fautifs : Les IDS peuvent aussi avoir des comportements fautifs, que l on regroupe dans deux catégories : - Les faux positifs, qui comprennent les alertes générées par une activité pourtant normale. - Les faux négatifs, qui sont à l inverse des comportements anormaux non détectés. Les connaissances en sécurité :

29 Alors que l installation des logiciels IDS est relativement simple, l exploitation des alertes remontées demande des connaissances plus importantes en sécurité. Même si les outils ont de nombreuses fonctionnalités, l intervention humaine est toujours indispensable. Le positionnement des sondes : Les sondes doivent être installées sur le réseau différemment selon plusieurs problématiques : - Champs de vision des sondes : savoir si l on souhaite faire des doublons de surveillances ou un suivi d analyse. - Détail de l analyse : entrée du réseau, domaine de collision, etc.. - Remontée des alertes : par le réseau sécurisé ou par un réseau isolé. La plateforme : Les faiblesses des IDS sont aussi liées à la faiblesse de la plateforme. Par exemple, un logiciel IDS sera moins performant sur un poste Win98 que sur un Open BSD, à cause de la stabilité du système. D autre part, la saturation de la mémoire, de la carte réseau ou du processeur font directement défaut à l IDS de la machine. VIII. QUELQUES OUTILS DE DETECTION D'INTRUSIONS. IDS réseau (NIDS): Snort. Snort est un IDS open source, crée en 1998, et il est actuellement le plus répandu, avec plus de déploiements dans le monde.

30 Il fonctionne sous Linux, Solaris, Mac OS, Windows, etc. Ses caractéristiques sont : Performance, rapidité, flexibilité Orienté IP Distribution avec 1500 règles et la possibilité d en ajouter Classement des alertes selon la priorité. Voici d autres outils : Bro Enterasys Checkpoint Tipping point IDS system (HIDS): MacAfee IntruShield Network IDS Sensor. IntruShield Network IDS Sensor est une gamme de boîtiers permettant d'identifier une large gamme d'attaques. L'éditeur met en avant les IDS virtuels qui permettent de segmenter un capteur en capteurs virtuels dont les règles de sécurité sont adaptées au composant protégé. En voici d autres : AIDE Chkrootkit DarkSpy FCheck IceSword

31 Integrit Nabou OSSEC Osiris Prelude LML Rkhunter Rootkit Unhooker Samhain Tripwire IDS hybride : OSSIM. OSSIM est un système logiciel pour la télédétection, les systèmes d'information géographique, traitement d'images et de la photogrammétrie OSSIM est un logiciel de haute performance du système de télédétection, les systèmes d'information géographique, traitement d'images et de la photogrammétrie. OSSIM est un logiciel open source du projet et a été en cours d'élaboration depuis Les développeurs principaux du projet ont des années d'expérience dans les communications et le gouvernement systèmes de télédétection et des applications Snort. Snort est un IDS open source, crée en 1998, et il est actuellement le plus répandu, avec plus de déploiements dans le monde. Il fonctionne sous Linux, Solaris, Mac OS, Windows, etc Ses caractéristiques sont :

32 Performance, rapidité, flexibilité Orienté IP Distribution avec 1500 règles et la possibilité d en ajouter Classement des alertes selon la priorité. Evolutif : modules ajoutables, données sauvegardées, fonctionnement avec plusieurs types de base de données (MySQL, Oracle, XML, ) Enterasys Networks - Dragon 6.0 Enterasys Networks - Dragon 6.0 protège à la fois les serveurs et les réseaux, mais également la surveillance de pare-feu, de routeurs et d'ids d'autres marques. Une gestion par interface Web est proposée ainsi qu'une mise à jour quotidienne des signatures. Cisco - NetRanger Cisco propose deux produits distincts : - un IDS réseau et un IDS host. o Les capteurs réseau comprennent un appareil de sécurité réseau et un module de sécurité qui permet d'exécuter des fonctions de surveillance et de commutation à partir d'un même châssis. La détection des intrusions se fait en temps réel, notamment en environnement Gigabit et sur des liaisons 802.1q. o La solution Cisco IDS Host Sensor permet de protéger les serveurs d'entreprise. Elle permet notamment le déploiement d'un grand nombre d'agents afin d'assurer une couverture de sécurité des environnements réseau étendus contre certains vers. ISS - Real Secure et Proventia

33 Destiné aux réseaux et aux systèmes, la gamme Real Secure propose Real Secure Network Sensor, qui s installe sur une station dédiée pour contrôler le trafic réseau à la recherche de signatures d attaques et Real Secure Server Sensor, qui protège les serveurs stratégiques par l analyse des événements au niveau du noyau du système d exploitation, des journaux de connexions et de l activité réseau de ces serveurs. Une console de management offre un reporting de type graphique et une base de données d assistance en ligne en réponse aux incidents. Symantec Host IDS et Symantec ManHunt. Le leader mondial de la sécurité se positionne à la fois au niveau des serveurs (Symantec Host IDS) et du réseau (Symantec ManHunt). Ces solutions s'intègrent à Symantec Security Management System pour optimiser la hiérarchisation et l'identification des attaques. o Symantec Host IDS : fournit un accès aux données granulaires des processus, permet aux administrateurs de définir une grande diversité de configurations de sécurité et de limiter les capacités des serveurs grâce à des politiques définies. o Symantec Man Hunt protège les réseaux à des vitesses pouvant aller jusqu'à 2 gigabits par seconde. Prend en charge le système d'exploitation Red Hat Linux.

34 En somme, nous constatons que l essor de l informatique et en particularité celle du réseau informatique a eu un impact considérable sur l avancement du monde. Cependant cet essor reste vulnérable face aux diverses attaques malveillantes provenant de extérieur comme de l intérieur d un système informatique. Il est donc judicieux pour tous administrateurs, d étudier les différentes formes d architectures des systèmes de détection d intrusion et aussi les divers types qu il pourrait utiliser afin d optimiser la sécurité de son réseau. Or, il faut savoir qu il n existe pas de systèmes informatiques parfaits en termes de sécurité. Car ces différents types de système de détection d intrusion présente des avantages, des inconvénients et surtout des limites.

35 LES LIENS PDF Liens disponible sur le site : o Boudka pdf SDI-SNORT.pdf PSSI.pdf Ids.pdf Pal.04.pdf dos_vers.pdf MTM05.pdf LES LIENS INTERNET EXPLORER Liens disponible sur le site : o o o Télécharger ossim Système de prévention d intrusion Système de prévention d intrusion(ids) IPS.mht Les Network IDS.mht WIKIPEDIA : Les architectures des systèmes de détection d intrusion.

36 AUTRE SOURCE : ( ). cours de sécurité réseau en TIC/RST2