PrésnaiondlaplaformIDSPrlud SysèmdDécion d'inrusionhybrid PrésnaiondlaplaformIDSPrlud.IDShybrid 2006YoannVandoorslar,yoann.v@prlud ids.com
>IDS >Définiion «UnSysèm d Décion d'inrusion (ou IDS : Inrusion Dcion Sysm)sunmécanismdsinéàrpérrdsaciviésanormalsou suspcs sur la cibl analysé (un résau ou un hô). Il prm ainsi d'avoirunaciondprévnionsurlsrisqusd'inrusion.»wikipdia >Ilxisduxgrandsfamillsd IDS... LsNIDS(NworkBasdInrusionDcionSysm) Ilssurvillnl'éadlasécuriéaunivaudurésau(x:Snor, Shadow,c.). LsHIDS(HosBasdInrusionDcionSysm) Ilssurvillnl'éadlasécuriéaunivaudsmachins(x:Samhain, Porsnry,c.) PrésnaiondlaplaformIDSPrlud.IDShybrid 2006YoannVandoorslar,yoann.v@prlud ids.com
>IDS>NIDS >NIDS(NworkbasdIDS) LsNIDSanalysnlraficrésau.Engénéral,ilssoncomposés: d unsondqui"écou"surlsgmndrésauàsurvillr; d unmourquiréalisl'analysduraficafinddécrdssignaurs d'aaqusoulsdivrgncsfacàunpoliiqudréférnc. >AvanagdsNIDS Couvrurdl'nsmbldurésau Supporpourladéciond'unnombrd'aaquconséqun >InconvéninsdsNIDS Tauxdfauxposiifsélvé Analysdsdonnéscrypésimpossibl Traimnsuprficildl'informaion(conraindprformanc) Lagrandvariéédsysèmsd'xploiaioncompliqulmiméismd lapardsnids PrésnaiondlaplaformIDSPrlud.IDShybrid 2006YoannVandoorslar,yoann.v@prlud ids.com
>IDS>HIDS >HIDS(HosbasdIDS) Ls HIDS analysn l foncionnmn ou l'éa ds machins sur lsqullsilssoninsallésdanslbuddécrdsaaqusou crainséas. Ilsonpourmission: d'analysrdsjournauxsysèms, dconrôlrl'accèsauxapplssysèms, dvérifirl'inégriédssysèmsdfichirs,c. >AvanagsdsHIDS Pasoupudfauxposiifs. Pasoupud'adapaionàlapoliiqudsécuriénuilisaion. >InconvéninsdsHIDS Complxiédudéploimn PrésnaiondlaplaformIDSPrlud.IDShybrid 2006YoannVandoorslar,yoann.v@prlud ids.com
>IDS>IDSHybrid >NIDSouHIDS:Imparfai,maiscomplémnair! Pour améliorr la sécurié ds infrasrucurs, il s apparu nécssair d rgroupr l raimn ds informaions n provnancdsnids(résau)dshids(machins)afindirr paridsduxypsddéciond'inrusionàlafois. >Naissancdl'IDSHybrid(àlafoisNIDS&HIDS) IlbénéficiàlafoisdsavanagsdsNIDSdsHIDS Ilprmd'accèdràunvisionglobaldl'éadssysèms. LssondsHIDS/ouNIDSsonplacésndspoinssraégiqusd l'infrasrucur. Tous cs sonds rmonn alors ds alrs dans un forma sandardisé vrs un concnraur qui va cnralisr sockr ls donnés. PrésnaiondlaplaformIDSPrlud.IDShybrid 2006YoannVandoorslar,yoann.v@prlud ids.com
>IDS>IDSHybrid>Avanags&Condiions >AvanagsdsIDSHybrids BénéficiandusuppordsHIDS,ilssoninsnsiblsauxproblèms rnconrésparlsnids. Muliplian ls rappors d'événmns, lurs capaciés d corrélaion, d'éablissmndscénariod'aaqussonbinplusimporansquls sysèmsn'analysanqu'unsulypd'informaion. D'aur par, s'il s facil pour un individu malvillan d conournr la déciondsaaqusparunsonduniqu,ildvinxponnillmn plusdifficildconournrlsprocionsquanddmuliplsmécanisms dprocions'addiionnn. >CondiionsauxIDSHybrids: Adopion d'un languag d communicaion commun à ous ls sonds C's ici qu l'uilisaion d'un sandard d'échang d mssags d déciond'inrusion,lsandardidmef,prndousonimporanc. PrésnaiondlaplaformIDSPrlud.IDShybrid 2006YoannVandoorslar,yoann.v@prlud ids.com
>IDS>IDSHybrid>SandardIDMEF >IDMEF(Formad'EchangdMssagsdDéciond'Inrusion) IDMEFdéfinilformaddonnéspourl'émissiond'alrsparlsSysèmsd Décion d'inrusion. L sandard IDMEF a éé créé dans l bu d prmr l inropérabiliénrlsdifférnsids. >Avanagd'IDMEF Sauaculd'IDMEF: L'inropérabiliénrlsIDSnousprmd'uniformisrlraimnddifférns événmnsnprovnancdsondshéérogèns. Aprèsunlonguandsynchronisaionavcl'IANA(InrnAssignd Nous pouvons donc sockr, normalisr, corrélr, affichr ds donnés n NumbrsAuhoriy)pourl'allocaiond'unRFCd'unnumérodporIDXP provnancdsondshéérogènsdfaçonoalmnuniform. (référncédpuisldrafidmef),idmefsfinalmnofficialisé''xpérimnal'' >Inconvénind'IDMEF (publié,sabilisépourimplémnaion)parlrfc4765. IDMEFsbasésurlformaddscripionddonnésXML(XnsiblMarkup Languag)quiposuncrainnombrdproblèmsliésàlarapidiédraimn dsalrs. Pour c raison: l'ids Prlud don nous allons binô parlr, implémn un vrsion d'idmef rposan sur l langag C. La compaibilié s assuré à l'aid d'un modul Prlud, capabl d convrir un alr IDMEF Prlud au formaidmef XML. PrésnaiondlaplaformIDSPrlud.IDShybrid 2006YoannVandoorslar,yoann.v@prlud ids.com
>IDS>IDSHybrid>PrludIDS >PrludHybridIDS Prludshybrid,c'sunplaformIDSOpnSourcdisponiblsous licncgpl. >PlaformIDS PrludsunSysèmdDéciond'Inrusionauonomquiadminisr aussi,dfaçoncnralisé,l nsmbldudisposiifdsécuriéqulqu soilnombrdcomposans,lurmarquoulurlicnc. >FoncionnaliésPrlud Déciond Inrusionrésau(NIDS) Déciond Inrusionmachins(HIDS) Corrlaiond'événmns Scannrdvulnérabiliés Récupéraiondsalrsdpuisrouurs,pars fu&anivirus Vérificaiond inégriédsfichirs Analyscompormnald individusmalvillans(honypo), Ec. PrésnaiondlaplaformIDSPrlud.IDShybrid 2006YoannVandoorslar,yoann.v@prlud ids.com
>IDS>IDSHybrid>PrludIDS>Sysèmmodulairdisribué >Sysèmdisribué LsysèmPrludsdisribué,c sàdir,composédmulipls élémnsmodulablsréparissurl'nsmbldl'infrasrucur. >Composansdusysèm LconcnrauroumanagrPrludsunsrvurhaudisponibilié rcvanlsmssagsprovnandsdifférnssonds.ilscapabld sockr,rlayr,oufilrrcsmssags L'agndcorrlaionPrlud,lilsalrsrçusparunconcnraur, émdsalrsdcorrlaionslorsqu'unnsmbld'évnmnspu s'associr. La bibliohèqu Prlud, ou libprlud, auomais la communicaion sécurisé (SSL) nr ls sonds ls concnraurs. Ell fourni ls foncionaliésnécssairsàl'émissiond'événmnsidmefdansprlud LabibliohèquPrludDB,oulibprluddb,assurl'absracionpour l'accèsauxbassddonnésconnandsmssagsidmefprlud Prwikka,l'inrfacdvisualisaiondsévnmnssécuriéPrlud E,lssonds... PrésnaiondlaplaformIDSPrlud.IDShybrid 2006YoannVandoorslar,yoann.v@prlud ids.com
>IDS>IDSHybrid>PrludIDS>SysèmsCompaibls >ExmpldsondssupporésparPrlud SnorsunNIDSdonl'analyssbasésurdssignaurs; Prlud LML s un sond d'analys d journaux sysèm, c's un HIDS.Ilscapablds inrfacràouypd applicaionémands alrsdsécuriédansun journalsysèm :nfilr,grscuriy,cisco d pix, rouur cisco, vpn cisco, clamav, OpnSSH, honyd, modscuriy, m è s y ous : é i nagios,ipfw,linux Pam,posfix,profpd,sndmail,squid,c; m ns l i l a l i d n c l dé illm 'i u n Prlud PFLoggrsunsysèmdrmonéd'alrspourls q s o p lémn s s é d s n l o r s paqussoppésparlfirwallopnbsd; xpor r d b ' d m o é i n l L ossibi p a l a écurié ssamhainsunconrôlurd'inégriédsfichirssysèm; lud. r P sysèm Nssussunsondd'analysdl'éadsmachins; Npnhssunsoluionpourdécrcollcrlsvrsaurs malwars(virus,spywar,chvaldrois,c)spropagansur différnssysèms Sancpsunouilconçupourcollcrdsinformaionssaisiqus concrnanl'aciviérésau.ilpuêruilisépourqualifirnoifirun raficrésaususpc. PrésnaiondlaplaformIDSPrlud.IDShybrid 2006YoannVandoorslar,yoann.v@prlud ids.com
#PAX:From1.2.3.4:xcuionampin:/usr/lib/paxs/shlibs.so,25891000 2589200000001000 #PAX:rminaingask:/usr/bin/localdf(localdf):5208,uid/uid:0/0,EIP:BFF4C330,ESP:BFF4C21C #!/usr/bin/pyhon >IDS>IDSHybrid>PrludIDS>SysèmsRndusCompaibls imporsys,prlud rgx=from(\s+):xcuionampin:;\ add_conx=pax_overflow_source;\ dfadd_idmf_objc(mssag,pah_sr,valu_sr): sourc(0).nod.addrss(>>).addrss=$1;\ siln;las;pah=prlud.idmf_pah_nw(pah_sr) >Inégraiondnouvllssonds valu=prlud.idmf_valu_nw_from_pah(pah,valu_sr) rgx=rminaingask:([^(]+)\(([^)]+)\):(\d+),uid/uid:(\d+)/(\d+);\ prlud.idmf_pah_s(pah,mssag,valu) opional_conx=pax_overflow_source;\ dsroy_conx=pax_overflow_source;\ prlud.prlud_ini(ln(sys.argv),sys.argv) classificaion.x=possiblbuffrovrflow;\ clin=prlud.prlud_clin_nw("mydfaulsnsornam") Vial'uilisaiondircdlalibrairiPrlud(APIC,PyhonPrl). id=402;\ prlud.prlud_clin_sar(clin) rvision=2;\ analyzr(0).nam=pax;\ ViaPrlud LML(xmpldrègl). analyzr(0).manufacurr=www.grscuriy.n;\ #Crahmssag analyzr(0).class=mmoryviolaion;\ mssag=prlud.idmf_mssag_nw() assssmn.impac.complion=faild;\ add_idmf_objc(mssag,"alr.classificaion.x","pyhonalr!") assssmn.impac.yp=fil;\ add_idmf_objc(mssag,"alr.assssmn.impac.svriy","mdium") assssmn.impac.svriy=high;\ add_idmf_objc(mssag,"alr.assssmn.impac.complion","faild") sourc(0).procss.pah=$1;\ add_idmf_objc(mssag,"alr.sourc(0).nod.addrss(0).addrss","10.0.0.1") sourc(0).procss.nam=$2;\ add_idmf_objc(mssag,"alr.arg(0).nod.addrss(0).addrss","10.0.0.2") sourc(0).procss.pid=$3;\ sourc(0).usr.cagory=applicaion;\ sourc(0).usr.usr_id(0).yp=currn usr;\ #Sndandxi. sourc(0).usr.usr_id(0).numbr=$4;\ prlud.prlud_clin_snd_idmf(clin,mssag) sourc(0).usr.usr_id(1).yp=original usr;\ prlud.idmf_mssag_dsroy(mssag) sourc(0).usr.usr_id(1).numbr=$5;\ 2006YoannVandoorslar,yoann.v@prlud ids.com PrésnaiondlaplaformIDSPrlud.IDShybrid assssmn.impac.dscripion=apossiblbuffrovrflowoccurdin$1.youshouldconsidrhisan prlud.prlud_clin_dsroy(clin,
>IDS>IDSHybrid>PrludIDS>Archicur >ArchicurPrlud
>IDS>IDSHybrid>PrludIDS>Scénariod'aaqu Rapporssurla ScanShllcod Déciondl'xploiaion modificaionds déécésparlnids parpax journauxsysèms >Scénariod'aaqu PaX c. Cnralisaion ='Prlud acc' Déciond'uilisaiond commandssnsiblsà unhurinhabiull Aaqu Scan Envoid'unshllcod Exploiaiond'undébordmndpil Uilisaiondusysèm Effacmndlogs 'Prlud acc': Sondimaginépourl'occasionprmandsurvillrl'uilisaiondcommands snsibls,llsqu/ps,w,who,id,/nfonciondshorairshabiulsd'uilisaion.
>IDS>IDSHybrid>Conclusions >Conclusions Enuniformisanlsdonnésémissparlsdifférnssonds; Enprmandlssockrnsmbl; Enprmandlsrirdlscorrélr;...Prlud,auravrsdusandardIDMEF,prmlamuliplicaionds formsddécionmployéssuruninfrasrucur. La muliplicaion ds sonds la disponibilié d'un ouil cnralisé d'analysrndbaucoupplusdifficilpourunindividumalvilland passrourslsdifférnssysèmsdprocion. L'ajoudsondsPrludaucourdladisribuionAMON prmraid'auomaisrdfacilirl'insallaiondprlud. LsuilisaursAMONbénéficironainsidfoncionnaliésd survillancdl'infrasrucurdsssysèms. PrésnaiondlaplaformIDSPrlud.IDShybrid 2006YoannVandoorslar,yoann.v@prlud ids.com
>IDS>Lins >Lins ProjPrlud:hp://www.prlud ids.org PrludIDSTchnologisSARL:hp://www.prlud ids.com Conac:info@prlud ids.com SandardIDMEF:hp://www.if.org/inrn drafs/draf if idwg idmf xml 16.x Snor:hp://www.snor.org Samhain:hp://la samhna.d/samhain/ Nssus:hp://www.nssus.org Npnhs:hp://npnhs.mwcollc.org Sancp:hp://www.mr.n/sancp.hml PrésnaiondlaplaformIDSPrlud.IDShybrid Mrcipourvor anion... 2006YoannVandoorslar,yoann.v@prlud ids.com