Les IDS et IPS Open Source. Alexandre MARTIN Jonathan BRIFFAUT

Documents pareils
Firewall IDS Architecture. Assurer le contrôle des connexions au. Sécurité 1

Topologies et Outils d Alertesd

MASTER SIS PRO : logique et sécurité DÉTECTION D INTRUSIONS. Odile PAPINI, LSIS. Université de Toulon et du Var. papini@univ-tln.

SECURIDAY 2013 Cyber War

Retour d expérience sur Prelude

LINUX - Sécurité. Déroulé de l'action. - 3 jours - Contenu de formation

Détection d'intrusions et analyse forensique

IPS : Corrélation de vulnérabilités et Prévention des menaces

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant.

Figure 1a. Réseau intranet avec pare feu et NAT.

Sécurité des réseaux Les attaques

SECURIDAY 2012 Pro Edition

Projet de Sécurité Groupe Audit

Cours de sécurité. Pare-feux ( Firewalls ) Gérard Florin -CNAM - - Laboratoire CEDRIC -

Réseaux. Moyens de sécurisation. Plan. Evolutions topologiques des réseaux locaux

Laboratoire de Haute Sécurité. Télescope réseau et sécurité des réseaux

Linux. Sécuriser un réseau. 3 e édition. l Admin. Cahiers. Bernard Boutherin Benoit Delaunay. Collection dirigée par Nat Makarévitch

PACK SKeeper Multi = 1 SKeeper et des SKubes

Indicateur et tableau de bord

RAPPORT DE TER sur PRELUDE-IDS

Test d un système de détection d intrusions réseaux (NIDS)

Outils d'analyse de la sécurité des réseaux. HADJALI Anis VESA Vlad

Fonctionnement de Iptables. Exercices sécurité. Exercice 1

DATASET / NETREPORT, propose une offre complète de solutions dans les domaines suivants:

Compromettre son réseau en l auditant?

Welcome. Bienvenue. Willkommen. welkom. yôkoso. Benvenuto. Bienvenida. tervetuloa

Devoir Surveillé de Sécurité des Réseaux

Sécurité des réseaux Firewalls

Dr.Web Les Fonctionnalités

La Latecion protection anti-intrusion Web Web Le concept «Zero effort Security» La protection des applications Extranet

Haka : un langage orienté réseaux et sécurité

Nouveaux outils de consolidation de la défense périmétrique

MSP Center Plus. Vue du Produit

O.S.S.I.R. rdv du 11 mai 2010

Gestion des incidents de sécurité. Une approche MSSP

laposte.net) Ministère de l'éducation nationale Atelier sécurité Rabat RALL 2007

Fiche Technique. Cisco Security Agent

Plan. École Supérieure d Économie Électronique. Plan. Chap 9: Composants et systèmes de sécurité. Rhouma Rhouma. 21 Juillet 2014

Protection des protocoles

Alexis Lechervy Université de Caen. M1 Informatique. Réseaux. Filtrage. Bureau S3-203

Services Réseaux - Couche Application. TODARO Cédric

IBM Tivoli Compliance Insight Manager

Audits de sécurité, supervision en continu Renaud Deraison

Dans le cadre de SECURIDAY Et sous le thème de Computer Forensics Investigation SECURINETS. Analyse des fichiers LOG. Tarek LABIDI (RT3)

Entensys Corporation UserGate Proxy & Firewall Guide du revendeur

GENERALITES. COURS TCP/IP Niveau 1

LES FONCTIONS DE SURVEILLANCE DES FICHIERS

INTRUSION SUR INTERNET

Procédure d utilisation et de paramétrage (filtrage) avec IPFIRE

Firewall. Souvent les routeurs incluent une fonction firewall qui permet une première sécurité pour le réseau.

Glossaire. Acces Denied

Catalogue «Intégration de solutions»

Administration réseau Firewall

Netfilter & Iptables. Théorie Firewall. Autoriser le trafic entrant d'une connexion déjà établie. Permettre le trafic entrant sur un port spécifique

Atelier Pivoting KHOULOUD GATTOUSSI (RT3) ASMA LAHBIB (RT3) KHAOULA BLEL (RT3) KARIMA MAALAOUI (RT3)

Surveillance stratégique des programmes malveillants avec Nessus, PVS et LCE

Notions de sécurités en informatique

Mettre en place un accès sécurisé à travers Internet

DIGITAL NETWORK. Le Idle Host Scan

DHCP et NAT. Cyril Rabat Master 2 ASR - Info Architecture des réseaux d entreprise

Groupe Eyrolles, 2004, ISBN :

Contrôle de l Activité et Gestion des Menaces dans un environnement Réseau Distribué. INTERDATA Présentation Q1Labs

ZABBIX est distribué sous licence GNU General Public License Version 2 (GPL v.2).

Cisco Certified Network Associate

Le filtrage de niveau IP

Sécurité et Firewall

NetCrunch 6. Superviser

MANUEL D INSTALLATION D UN PROXY

Chapitre 1 Windows Server

Table des matières. Date : Version : 29/06/ Objet : OpenVas 6.0

Internets. Informatique de l Internet: le(s) Internet(s) Composantes de l internet R3LR RENATER

LA SÉCURITÉ RÉINVENTÉE

Chap.9: SNMP: Simple Network Management Protocol

Expérience d un hébergeur public dans la sécurisation des sites Web, CCK. Hinda Feriani Ghariani Samedi 2 avril 2005 Hammamet

Infocus < >

Sécurité des Réseaux et d internet. Yves Laloum

Internet - Outils. Nicolas Delestre. À partir des cours Outils réseaux de Paul Tavernier et Nicolas Prunier

Sécurisation du réseau

Proxy et reverse proxy. Serveurs mandataires et relais inverses

Formations. «Règles de l Art» Certilience formation N SIRET APE 6202A - N TVA Intracommunautaire FR

Programme formation pfsense Mars 2011 Cript Bretagne

Network Shutdown Module V3 Extension du Manuel Utilisateur pour architecture Virtualisée Virtual Server de Microsoft

VoIP & Security: IPS. Lalaina KUHN. Informatique Technique. Professeur: Stefano VENTURA

SÉCURISATION DES CONNEXIONS À DISTANCE SUR LES RÉSEAUX DE CONTRÔLE

White Paper - Livre Blanc

LAB : Schéma. Compagnie C / /24 NETASQ

Sécurité et Linux. Philippe Biondi Cédric Blancher 14 mai 2002

SECURIDAY 2012 Pro Edition

RÉCAPITULATIF DES ENJEUX ET DE LA MISE EN PLACE POLITIQUE DE SÉCURITÉ DANS UN RÉSEAU

Scénarios d Attaques et Détection d Intrusions

PROCEDURE D INSTALLATION et de CONFIGURATION DU SERVICE PACK2 POUR WINDOWS XP

SOLUTIONS DE SECURITE DU DOCUMENT DES SOLUTIONS EPROUVEES POUR UNE SECURITE SANS FAILLE DE VOTRE SYSTEME MULTIFONCTIONS SHARP DOCUMENT SOLUTIONS

Intérêt du NAT (Network Address Translation) Administration Réseau Niveau routage. Exemple d Intranet. Principe NAT

Architecture distribuée

Formations. «Produits & Applications»

Présentation de la solution Open Source «Vulture» Version 2.0

Fiche d identité produit

La Gestion des Applications la plus efficace du marché

Transcription:

Les IDS et IPS Open Source Alexandre MARTIN Jonathan BRIFFAUT

Plan Présentation Générale des IDS Les différents type d IDS Les méthodes de détection Présentation Générale des IPS Ou placer un IDS / IPS? Outils Open Source (Aspect Pratique) SNORT Prelude-IDS BRO Master 2 Informatique - ASR 2

Présentation générale des IDS Master 2 Informatique - ASR 3

Qu est-ce qu un IDS? L IDS (Intrusion Detection System) Surveiller Contrôler Détecter Le système de détection d intrusion est en voie de devenir un composant critique d une architecture de sécurité informatique Master 2 Informatique - ASR 4

Justificatif Nombre de failles élevés: 3273 nouvelles entre Janvier et Juillet 2007 Coût d une attaque est élevé: Code Red/Nimda est estimé à 3.2 Milliards $ par Computer Economics Les outils pour lancer les attaques sont facilement disponibles et exploitables Master 2 Informatique - ASR 5

De quoi est constitué un IDS? Un IDS est essentiellement un sniffer couplé avec un moteur qui analyse le trafic selon des règles Ces règles décrivent un trafic à signaler L IDS peut analyser Couche Réseau (IP, ICMP) Couche Transport (TCP, UDP) Couche Application (HTTP, Telnet) Selon le type de trafic, l IDS accomplit certaines actions Master 2 Informatique - ASR 6

Vocabulaire Faux-Positif Fausse alerte levée par l ids Faux-négatif Attaque qui n a pas été repéré par l IDS Evasion Technique utilisée pour dissimuler une attaque et faire en sorte qu elle ne soit pas décelée par l IDS Sonde : Composant de l architecture IDS qui collecte les informations brutes Master 2 Informatique - ASR 7

Actions d un IDS Journaliser l événement Source d information et vision des menaces courantes Avertir un système avec un message Exemple: appel SNMP Avertir un humain avec un message Courrier électronique, SMS, interface web, etc. Amorcer certaines actions sur un réseau ou hôte Exemple: mettre fin à une connexion réseau, ralentir le débit des connexions, etc. (rôle actif) Master 2 Informatique - ASR 8

Après la Détection Comprendre l attaque en cours Recueillir le maximum d information Cibles Sources Procédé Archiver, tracer : Corrélation avec d autre événements Préparer une réponse : Sur le court terme : black-listage Sur le long terme : application de patches, action en justice Master 2 Informatique - ASR 9

Les différents types D IDS Master 2 Informatique - ASR 10

Les types d IDS Il existe deux types d IDS : HIDS (Host IDS) NIDS (Network IDS ) Master 2 Informatique - ASR 11

Le Host IDS Basé dans un ordinateur hôte HIDS permet de surveiller le système et les applications Les journaux systèmes, de contrôler l'accès aux appels systèmes, de vérifier l'intégrité des systèmes de fichiers Le HIDS à accès à des composants nonaccessibles sur le réseau Exemple: la base de registre de Windows Ne surveille qu un seul hôte Master 2 Informatique - ASR 12

Le Network IDS Un sonde placée dans le réseau Surveille l ensemble du réseau Capture et analyse tout le trafic Recherche de paquets suspects Contenu des données Adresses IP ou MAC source ou destination Envoi d alertes Master 2 Informatique - ASR 13

HIDS et NIDS Chacun répond à des besoins spécifiques HIDS particulièrement efficaces pour déterminer si un hôte est contaminé NIDS permet de surveiller l ensemble d un réseau HIDS qui est restreint à un hôte Master 2 Informatique - ASR 14

Les méthodes de détection Master 2 Informatique - ASR 15

Les méthodes de détection 2 approches principales pour les IDS: Par signature Comportementale Détection d anomalie Vérification d intégrité Master 2 Informatique - ASR 16

Méthodes de détection : Par Signature Par signature: Basé sur la reconnaissances de schémas déjà connus Utilisation d expressions régulières Les signatures d attaques connues sont stockées dans une base; et chaque événement est comparé au contenu de cette base Si correspondance l alerte est levée L attaque doit être connue pour être détectée Peu de faux-positifs Master 2 Informatique - ASR 17

Méthodes de détection : Par Signature Méthode la plus simple, basé sur : Si EVENEMENT matche SIGNATURE Alors ALERTE Facile à implémenter pour tout type d IDS L efficacité des ids est liée à la gestion de leur base de signatures MAJ Nombre de règles Signatures suffisamment précises Exemples Trouver le «motif /winnt/system32/cmd.exe» dans une requête http Trouver le motif «failed su for root» dans un log système Master 2 Informatique - ASR 18

Méthodes de détection : Par Signature Recherche de motif (pattern matching) Différents algorithmes Ceux pour envoyer les négatifs E2XB Ceux pour peu de signature BOYER MOORE Knuth-Morris-Pratt (KMP). Nombreuse Signature : AHO-CORASICK» AUTOMATE DETERMINISTE A*X» A = alphabet» X ensemble fini de mots à rechercher Master 2 Informatique - ASR 19

Méthodes de détection : Par Signature Avantage Simplicité de mise en œuvre Rapidité de diagnostic Précision (en fonction des régles) Identification du procédé d attaque Procédé Cibles Sources Outils Inconvénients Ne détecte que les attaques connues Maintenance de la base Techniques d évasion possibles dès lors que les signatures sont connues Master 2 Informatique - ASR 20

Méthodes de détection : Par anomalie Basée sur le comportement «normal» du système Une déviation par rapport à ce comportement est considérée suspecte Le comportement doit être modélisé : on définit alors un profil Une attaque peut être détectée sans être préalablement connue Master 2 Informatique - ASR 21

Méthodes de détection : Par anomalie Modélisation du système : création d un profil normal Phase d apprentissage Détecter une intrusion consiste a détecter un écart Exemple de profil : Volumes des échanges réseau Appels systèmes d une application Commandes usuelles d un utilisateur Repose sur des outils de complexité diverses Seuils Statistique Méthodes probabilistes Etc. Complexité de l implémentation et du déploiement Master 2 Informatique - ASR 22

Méthodes de détection : Par anomalie Avantages Permet la détection d attaque inconnue Facilite la création de règles adaptées à ces attaques Difficile à tromper Inconvénients Les faux-positifs sont nombreux Générer un profil est complexe Durée de la phase d apprentissage Activité saine du système durant cette phase? Diagnostics long et précis en cas d alerte Master 2 Informatique - ASR 23

Méthodes de détection : Par intégrité Vérification d intégrité Génération d une somme de contrôle sur des fichiers d un système Une comparaison est alors effectuée avec une somme de contrôle de référence Exemple : une page web Méthode couramment employée par les HIDS Master 2 Informatique - ASR 24

Points négatifs des IDS Technologie complexe Nécessite un degré d expertise élevé Long à optimiser Réputer pour générer de fausses alertes Encore immature Master 2 Informatique - ASR 25

Présentation générale des IPS Master 2 Informatique - ASR 26

Les IPS IPS = Intrusion Prevention System Mieux vaut prévenir que guérir Constat : On suppose pourvoir détecter une intrusion Pourquoi alors, ne pas la bloquer, l éliminer? IDS vers IPS Terme à la base plutôt marketing Techniquement : Un IPS est un IDS qui ajoute des fonctionnalités de blocage pour une anomalie trouvée IDS devient actif => IPS Master 2 Informatique - ASR 27

Les IPS : SUITE Objectifs : Interrompre une connexion Ralentir la connexion Blacklister les sources Moyens : Règle Firewall QoS Intervention applicatif (Proxy) Master 2 Informatique - ASR 28

IPS : suite Avantages Attaque bloquée immédiatement Inconvénients Les faux-positifs Peut paralyser le réseau Master 2 Informatique - ASR 29

Où placer un IDS IPS? Master 2 Informatique - ASR 30

Placer un IDS Dépend de ce que l ont veut? Voir les attaques (HoneyPot) Connaitre les failles de sécurité surveiller les attaques sur un réseau : Extérieur Intérieur Master 2 Informatique - ASR 31

Où placer un IDS IPS Position ( 1 ): Détection de toutes les attaques Problèmes Log trop complet analyse trop complexe : bon pour un Honeypot (pot de miel) Position ( 2 ): Placer dans la DMZ Détecte les attaques non filtrer par le par feu Complexe Non bénigne log clair. Position ( 3 ): Comme 2 + Attaque interne Judicieux car 80% des attaques sont de l intérieur Trojans Virus Etc. Master 2 Informatique - ASR 32

Un autre IDS particulier: le Honeypot Ordinateur ou programme volontairement vulnérable destiné à attirer et à piéger les pirates But: Occuper le pirate Découvrir de nouvelles attaques Garder le maximum de traces de l attaque Master 2 Informatique - ASR 33

Les 2 types Honeypot Faible interaction: Les plus simple (ex: Honeyd) Émulation de services sans réel système sous-jacent Forte interaction: Utilisation d un réel système d exploitation plus ou moins sécurisé Master 2 Informatique - ASR 34

Fonctionnement de Honeyd Démon qui créé plusieurs hôtes virtuels sur le réseau Simule l existence de services actifs sur les hôtes virtuels Les informations sur l OS simulé sont issues d un fichier d empreinte nmap Toutes les connexions entrantes et sortantes sont enregistrées Master 2 Informatique - ASR 35

Les Honeypots Littérature: Virtual Honeypots: From Botnet Tracking to Intrusion Detection Niels Provos, Thorsten Holz Master 2 Informatique - ASR 36

Aspect pratique Etude de différents outils OpenSource Snort Bro Fonctionnement et mise en place Comparaison avec snort Fonctionnement et Mise en place Prelude-IDS Généralité Master 2 Informatique - ASR 37

Snort (NIDS) IDS open source Conçu en 1998 par Marty Roesh racheté par SourceFire Le plus répandu + 2 000 000 de téléchargements MAJ Temps réel (OINKMAster) Payant via SourceFire Sinon attendre version de mise à jour Bleeding gratuit, CERT Master 2 Informatique - ASR 38

Snort Fonctionnalité Permet d interagir avec le firewall pour bloquer des intrusion (IPS) «snort natif, snort-inline, autres plugins» Possibilité de créer ses propres règles et plugins Ne permet pas l envoi d email ou SMS pour avertir Utilisation d autre logiciel en complément Installation LogSurfer ou Swatch Binaire/sources (Au choix) Master 2 Informatique - ASR 39

Snort : Constitution Modulaire Décodeur De Paquets (Packet decoder) Préprocesseurs (Preprocessors) Moteur De Détection (Detection Engine) ALGO : AHO-CORASICK Système d'alerte et d'enregistrement de log (Logging and Alerting System) Modules De Sortie (Output Module) : Possibilité d enregistrer les logs dans une BDD (MYSQL/PSQL) Master 2 Informatique - ASR 40

Snort : Constitution Configuration sous Unix /etc/snort/snort.conf 1 Configuration des variables pour le réseau Configuration des reseaux a écouter Configuration des services à logguer (http/dns/etc ) 2 Configuration des pré-processeurs 3 Configuration des plugins de sortie Mysql/psql/ecran/etc 4 Choix des règles à utiliser /etc/snort/rules (ensemble des signatures) Master 2 Informatique - ASR 41

Les règles Snort Exemples de règles: Pour détecter les tentatives de login sous l'utilisateur root, pour le protocole ftp (port 21): alert tcp any any -> 192.168.1.0/24 21 (content: "USER root"; nocase; msg: "FTP root user access attempt";) Tentative d accès à des sites non autorisés: alert tcp any any <> 192.168.1.0/24 any (content-list: "adults"; msg: "Adults list access attempt"; react: block;) Master 2 Informatique - ASR 42

Snort et les interfaces Graphiques ACID/BASE Permet de voir les log dans une BDD Catégorise Lien vers failles de sécurité Master 2 Informatique - ASR 43

Base Master 2 Informatique - ASR 44

Le NIDS Bro NIDS Open Source Développé par Berkeley (Chercheurs) Langage de script propre à Bro Utilisation d expression régulières dans les signatures Possibilité d exécuter des programmes tiers après détection d intrusion Exemple: reconfigurer un routeur Compatible avec les règles Snort Grâce à snort2bro Dynamic Protocol Detection Master 2 Informatique - ASR 45

Le fonctionnement de Bro Architecture en 3 couches: Module Packet Capture: sniffe le trafic réseau et l envoie à la couche supérieure Module Event Engine: Analyse les flux et les paquets Module Policy Layer: utilise les scripts Bro pour traiter les événements et appliquer les politiques Master 2 Informatique - ASR 46

Signature Bro Exemple de Signature Bro: signature sid-1327 { ip-proto == tcp src-ip!= local_nets dst-ip == local_nets dst-port == 22 event "EXPLOIT ssh CRC32 overflow" tcp-state established,originator payload /\x00\x01\x57\x00\x00\x00\x18/ payload /.{7}\xFF\xFF\xFF\xFF\x00\x00/ } Master 2 Informatique - ASR 47

Comparatif Snort - Bro Avantages Inconvénients Snort + nouvelles règles très régulièrement proposées + nombreux plugins, frontends, consoles de management,... + mise en œuvre basique rapide + beaucoup de documentations + fichiers d'alertes très complets (header des paquets, lien vers description de l'attaque,...) - configuration essentiellement par édition de fichiers texte - de nombreuses fonctionnalités payantes Bro + forte customisation -> IDS très difficile à détecter par un pirate + langage de script puissant + configuration très simple grâce à un script interactif -fichiers d'alertes pas très compréhensibles -peu d'informations dans les rapports d'alertes -documentation incomplète -aucune interface graphique Master 2 Informatique - ASR 48

Prelude-IDS (Hybride) IDS hybride 1998: NIDS : NetWork Intrusion Detection System ; HIDS : Host based Intrusion Detection System LML : Log Monitoring Lackey. Standard IDMEF (Intrusion Detection Message Exchange Format) Possibilité de stocker les logs dans une BDD MYSQL/PSQL Supporte : SNORT / NESSUS et + de 30 analyseurs de logs Documentation diffuse et peu abondante Master 2 Informatique - ASR 49

Prelude-IDS (Hybride) Framework Une bibliothèque de génération de messages IDMEF gestionnaire d événements un analyseur de logs et d une console de visualisation des alertes. Master 2 Informatique - ASR 50

Prelude-IDS (Hybride) Fonctionnement Les capteurs remontent des alertes à un manager Prelude. Snort Syslog Prelude lml Le manager : Collecte les alertes Transforme les alertes au format de Prelude en un format lisible Permet des contre-mesures à une attaque La communication entre les différents programmes se fait au format IDMEF (Intrusion Detection Message Exchange Format). Utilisation du format XML car très générique comme format Master 2 Informatique - ASR 51

Prelude-IDS Composition Libprelude (la librairie Prelude) : la base Gestion de la connexion et communication entre composants Interface permettant l'intégration de plugins Prelude-LML (la sonde locale) Alerte locale Basée sur l'application à des «objets» Pour la surveillance des systèmes Unix : syslog Windows : ntsyslog. Prelude-Manager (le contrôleur) Prelude-manager centralise les messages des sondes réseaux et locales, et les traduit en alertes. responsable de la centralisation et de la journalisation Master 2 Informatique - ASR 52

Prelude-IDS (Hybride) Configuration Installation de l ensemble du framework Configuration du manager /etc/prelude-manager/prelude-manager.conf Configuration de lml /etc/prelude-lml/prelude-lml.conf Configurationde prelude /etc/prelude/default/ Client.conf Idmef-client.conf Global.conf Ajout de sonde : exemple snort prelude-admin register snort "idmef:w" x.x.x.x --uid=0 --gid=0 Master 2 Informatique - ASR 53

Prelude-IDS Frontend Prewikka (officiel) Php-frontend (mort) Perl Frontend Prelude (Austère) Master 2 Informatique - ASR 54

Conclusion IDS/IPS en plein Essor Algorithme de recherche de signature Outils essentiels pour surveiller un réseau Pour connaitre les attaques Attention Faille de sécurité sur IDS IPS pas encore mature Master 2 Informatique - ASR 55

Bibliographie http://dbprog.developpez.com/securite/ids/ Cours CEA (Vincent Glaume) Wikipedia.org Ecriture de règles: http://www.groar.org/trad/snort/snortfaq/writing_snort_rules.html https://trac.prelude-ids.org/wiki/preludehandbook http://lehmann.free.fr/ Master 2 Informatique - ASR 56

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back