HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Prévention d'intrusion Nouveaux outils de consolidation de la défense périmétrique Guillaume Lehembre <Guillaume.Lehembre@hsc.fr> Thomas Seyrat <Thomas.Seyrat@hsc.fr>
Agenda Introduction Terminologie HIPS Contournement des HIPS NIPS Architecture NIPS Contournement des NIPS Critères de choix Conclusion Les transparents sont disponibles sur www.hsc.fr 2/20
3/20 Introduction Les délais entre correctifs de sécurité et exploitation massive des failles tend à décroître très fortement : 25 jours entre le correctif RPC DCOM (MS03026) et le ver Blaster 18 jours entre le correctif LSASS (MSO4011) et le ver Sasser 1 jour entre le correctif d'iss (ISS ICQ parsing) et le ver Witty Réel besoin de la part des personnes du SI de mécanismes et prévention d'intrusion et non plus uniquement de détection. IPS (Intrusion Prevention System) : Défense proactive Fonctionnalité de plus en plus intégrée dans les firewalls Marketing... Les IPS ne sont pas restés dans l'ombre des IDS comme voulait le laisser croire certains instituts (Gartner)
Terminologie IDS (Intrusion Detection System) Passif HIDS (Host IDS) NIDS (Network IDS) IPS (Intrusion Prevention System) Actif HIPS (Host IPS) NIPS (Network IPS) Un firewall est proactif et applique la politique de sécurité Un IPS ne remplace pas un firewall 4/20
HIPS Agent installé sur le système bloquant les comportements anormaux tels que : Lecture / écriture de fichiers protégés Comportement de certains applicatifs Accès à des ports non autorisés Tentative d'exploitation de débordement de pile (détection de Shellcode) Accès à certaines zones de la base de registres Connexions suspectes (sessions RPC actives anormalement longues sur des machines distantes, etc.) 5/20
HIPS : : Faux positifs moins courants Protège les systèmes des comportements dangereux et pas seulement du trafic Coût d'exploitation Problèmes d'interopérabilité Problémiques lors des mise à jour système Ex : NAI/Entercept, Cisco/Okena, WatchGuard/ServerLock, etc. 6/20
Contournement des HIPS Liens symboliques (commande subst) Liens dans la base des registre (utilisation NtCreateSymbolicLinkObject() ) Utilisation d'interfaces peu connues pour charger du code dans le Kernel (Ex : à la place de Service Control Manager API, utiliser ZwloadDriver() ou ZwSetSystemInformation() ) Détecte les débordements de pile en détectant les shellcode : les attaquants utilisent des méthodes de contournement des Hooks Kernel et Userland Injection DLL pour injecter du code (mode utilisateur) dans un processus de confiance pouvant charger des pilotes noyau 7/20
NIPS Identification et blocage du trafic malicieux Deux types de NIPS : Système par analyse comportementale (Content Based IPS) détection d'anomalies protocolaires (~ proxy transparent) détection de comportements anormaux (scan de ports, DoS, etc.) basé sur des signatures d'attaques, des agrégations de signatures peuvent permettre la détection de nouvelles attaques Système par détection d'anomalies Détection des anomalies de trafic, 3 approches : Règle : représente l'activité des utilisateur légitime sous forme de règles Neuronal : apprentissage nécessaire par l'analyse du trafic Statistique : profile d'activité modélisant le trafic utilisateur Il existe des systèmes mixtes 8/20
NIPS Les NIPS s'installent obligatoirement en coupure pour pouvoir réagir aux attaques Les NIDS peuvent être installés en coupure ou en recopie de port Réponses des NIPS aux attaques : TCP Reset / ICMP Unreacheable Limitation de la bande passante d'un certain type de trafic 9/20
NIPS : : Protection active Point névralgique du réseau Faux positifs (risque de blocage de trafic légitime) Coût Complexité additionnelle / Exploitation supplémentaire Ex : WatchGuard, NetScreen, Top Layer, Lucid Security, TippingPoint, Vsecure Technologies, Network Associates, ISS, etc. 10/20
Architecture NIPS IDPS Serveurs INTERNET FW1 IDPS FW2 Réseau Interne 11/20
Contournement des NIPS Obfuscation de chaînes de caractères (Outil : Whisker) GET /etc//\//passwd, /etc/rc.d/.././\passwd, etc. GET %65%74%63/%70%61%73%73%77%64 perl e '$foo=pack("c11",47,101,116,99,47,112,97,115,115,119,100); @list=`/bin/cat $foo`; print "@list\n";' Attention : certains systèmes décodent correctement ces attaques uniquement sur les ports standards des services (charge CPU) Utilisation de sessions successives (Outil Whisker) division d'une chaîne de caractères en plusieurs paquets Insertion de flux (utilisation astucieuse des TTL) Fragmentation IP et TCP, séquencement des paquets (Outil : Fragroute) 12/20
Contournement des NIPS Polymorphisme des shellcode (Outil : ADMutate de K2) Shellcode chiffré Routine de déchiffrement polymorphique NOP aléatoires (pas uniquement 0x90 (Intel)) Solution : détection d'un certain nombre de NOPs détection de formats de requêtes anormaux (binaire dans requêtes SMTP, requêtes HTTP mal formées, etc.) détection d'une taille de paquets anormale détection de connexions anormalement longues (DNS, etc.) réponse d'un client anormale (réponse chiffrée, etc.) Cf : Polymorphism and Intrusion Detection System (BH01 C. Skipper) DoS (Outils : Stick, Snot, etc.) 13/20
Critères de choix (1/2) Temps nécessaire à un bon paramétrage Nombre de signatures Pas uniquement quantitatif, le qualitatif est très important Réactivité pour la mise à jour des signatures Possibilité d'implémenter des signatures personnalisées Réponses / Actions possibles aux attaques Latence engendrée sur le réseau Son augmentation aura un impact beaucoup plus fort sur un LAN/MAN que sur un réseau accédé depuis Internet 14/20
Critères de choix (2/2) Débit et nombre de sessions maximum supportées Interface utilisateur Corrélation des évènements Qualité du reporting Haute disponibilité Administration centralisée de plusieurs boitiers et MAJ sans redémarrage Possibilités de recherches forensiques 15/20
16/20 Conclusion Les IPS sont un des composants de la sécurité : pas le composant fondamental un composant utile Ce type d'outil n'empêche pas la mise en place de procédures de gestion des intrusions. Le choix d'un IPS doit obligatoirement passer par une phase de test dans votre propre réseau : Afin d'avoir une idée du nombre de faux positifs en production Pour ne pas se baser sur des résultats de tests (indépendants ou non) ou sur la belle parole d'un commercial! Pour tester des exploits cohérents avec votre environnement (Nessus, Metasploit, etc.) Mettre l'ips d'abord en détection puis prévention et ne décider qu'après
Références Articles Tests d'ips (NSS Group payant) : http://www.nss.co.uk/ Attacking Host Intrusion Prevention Systems (E. Tsyrlevich) http://blackhat.com/presentations/bhusa04/bhus04tsyrklevich.pdf IDS Evasion Techniques and Tactics : http://www.securityfocus.com/infocus/1577 IDS Evasion with Unicode : http://online.securityfocus.com/infocus/1232 Insertion, Evasion, and Denial of Service: Eluding Network Intrusion Detection (Thomas H. Ptacek) : http://secinf.net/info/ids/idspaper/idspaper.html 17/20
Références Outils Fragroute (Dug Song) http://monkey.org/~dugsong/fragroute/ Whisker (Rain Forest Puppy) http://online.securityfocus.com/data/tools/whisker.tar.gz IDSWakeup (Stéphane Aubert HSC) http://www.hsc.fr/ressources/outils/idswakeup/ Nessus http://www.nessus.org/ Metasploit Framework http://www.metasploit.com/ 18/20
Merci de votre attention Questions? Retrouvez ces transparents sur www.hsc.fr 19/20
Prochains rendezvous Formation DNS : 21 juin, Postfix et antispam : 22 juin http://www.hsc.fr/services/formations/ Formations SecurityCertified : 59 & 1923 septembre Permettant de passer la certification SCNP http://www.hsc.fr/services/formations/ Formation BS7799 Lead Auditor : octobre 2005 Certifiée par LSTI et reconnue par l'irca http://www.hsc.fr/services/formations/ Sur www.hsc news.com vous pourrez vous abonner à la newsletter HSC 20/20