Topologies et Outils d Alertesd IDS / IDP
DEFINITIONS IDS : SDI / Système de détection d intrusion IDP : SPI / Système de protection d intrusion
IDS / IDP Statfull matriciels
ACTIVITE IDP : Coupe circuit IDS : Couplé avec un Pare-feu
Fonctions Sniffage de trames Détection de mal formations Stockage de logs Détection d activités Gestion de règles Coupe circuit
OPTIONS Evaluation de charges Anti-virus SNMP
ARCHITECTURE
En parallèle
En «Série» Serveur Routeur IDP Commutateur Serveur Serveur
DISTRIBUTION Serveur Routeur Commutateur Serveur Machine SNORT Serveur Machine SNORT
TYPOLOGIES. Sniffages. Sondes. Agents mobiles
Sniffages Serveur Routeur Pare-feu Commutateur Serveur Machine SNORT Serveur
Sondes Serveur Routeur Pare-feu Commutateur Serveur Machine SNORT Serveur Machine SNORT
Sondes Comportementales Sonde service Serveur Routeur Pare-feu Commutateur Sonde service Serveur Sonde service Machine SNORT Serveur
Agents mobiles Agents «dormants» Serveur Routeur Pare-feu Commutateur Agents «dormants» Serveur Agents «dormants» Machine SNORT Service Agents Serveur
Gestion et Sécurité Mode Stealth Interface de sonde / Interface d admin Réseau dédié
Gestion et Sécurité
Topologie d un IDS : Snort
SNORT Linux & Windows Open source Sourcefire support Free Project Incorporé dans des produits payants (ISS, Snare, etc.. La Référence
SNORT Version payante (V3) Signatures sur abonnements Délais sur signatures gratuites
Winpcap Socket standard Langage de programmation (TCPDump)
Quatre Tiers Core Snort, rules Sql Server Web server Log viewer (Acid)
modes Sniffer Packet Logger NIDS
Composants Protocol Flow Analyzer Typage Client / Serveur Classification et subsets (typages protos) Analyse «en profondeur» Règles : définition et pré charge
Pré Processeurs Portscan Detector Stream4 Telnet Decode Perf Monitor Etc.
Subsets
Règles Kit téléchargés (1200) + spécialisées Langage
Syntaxe action proto src_ip src_port direction dst_ip dst_port (options) Ex : alert tcp any any -> 192.168.1.0/24 21 (content: "user root"; \ msg: "FTP root login";) Ex : alert tcp any any -> 192.168.1.0/24 21 (content: "USER root";\ msg: "FTP root login";)
Actions de base 1. alert - generate an alert using the selected alert method, and then log the packet 2. log - log the packet 3. pass - ignore the packet 4. activate - alert and then turn on another dynamic rule 5. dynamic - remain idle until activated by an activate rule, then act as a log rule
Priority Classifications
High Priority Classifications - Priority 1 Classtype attempted-admin attempted-user shellcode-detect successful-admin successful-user trojan-activity unsuccessful-user web-application-attack Description Attempted Administrator Privilege Gain Attempted User Privilege Gain Executable code was detected Successful Administrator Privilege Gain Successful User Privilege Gain A Network Trojan was detected Unsuccessful User Privilege Gain Web Application Attack
Medium Priority Classifications - Priority 2 Classtype Description attempted-dos Attempted Denial of Service attempted-recon Attempted Information Leak bad-unknown Potentially Bad Traffic denial-of-service Detection of a Denial of Service Attack misc-attack Misc Attack non-standard-protocol Detection of a non-standard protocol or event rpc-portmap-decode Decode of an RPC Query successful-dos Denial of Service successful-recon-largescale Large Scale Information Leak successful-recon-limited Information Leak suspicious-filename-detect A suspicious filename was detected suspicious-login An attempted login using a suspicious username was detected system-call-detect A system call was detected unusual-client-port-connection A client was using an unusual port web-application-activity access to a potentially vulnerable web application
Low Priority Classifications - Priority 3 Classification Description icmp-event Generic ICMP event misc-activity Misc activity network-scan Detection of a Network Scan not-suspicious Not Suspicious Traffic protocol-command-decode Generic Protocol Command Decode string-detect A suspicious string was detected unknown Unknown Traffic
IDS Panorama Générique
Topologie d un IDS : SNARE Serveur Intégré : Monitoring, IDS, Evaluateur (Nessus, NMAP), Supervision, configurateur. Serveur Payant Client open source
Topologie d un IDS : ISS Real secure Type Mixte Intégration Snort Agents Mobiles Coupe Circuit où Sniffer / Logger Testeur d intrusion Payant
IDP : Etrust Particularité : coupe circuit parallèle Coupure de session TCP Pare-feu «Miroir» Workspaces
IDP Honey pot Simulation de «victime / cible» Capture de tentatives d intrusion Identification de l attaquant Détournement d attention
Problèmes Langages Implémentations Vitesses Faux positif Gestion / Intégration
Les faux positifs Ramènent des «erreurs normales» du au fonctionnement du réseau Peuvent masquer des alertes véritables Trop denses Solution : Algorithmes d affinages des alertes Solution : maquettes et sniffages
Intégration Architectures Diffusion : IDSPoolman
Vitesses Flux des trames Support machine Chargement Logs Lecture Logs Remontés d alertes