Nicolas Baudoin Ingnieurs2000

Marion Karle 2003-2004

NT Rseaux

IDS et IPS




















Enseignant : Etienne Duris 2003/2004 IR3
2
Table des matires



Introduction................................................................................ 3

1. Notions de scurit ................................................................. 4
1.1 Mise en place dune politique de scurit........................................... 4
1.1.1 Diffrents aspects de la scurit............................................................ 4
1.1.2 Objectifs.............................................................................................. 5
1.1.3 Outils .................................................................................................. 5
1.2 Les attaques ....................................................................................... 5
1.2.1 Les diffrentes tapes dune attaque ..................................................... 5
1.2.2 Les diffrents types dattaques.............................................................. 6

2. Les IDS.................................................................................... 8
2.1 Les diffrentes sortes dIDS ............................................................... 8
2.1.1 La dtection d'intrusion base sur l'hte................................................. 8
2.1.2 Dtection d'Intrusion base sur une application...................................... 9
2.1.3 La Dtection d'Intrusion Rseau (NIDS) ............................................... 10
2.1.4 Systme de Dtection d'Intrusion de Nud Rseau (NNIDS) ................. 12
2.2 Mode de fonctionnement dun IDS ................................................... 13
2.2.1 Modes de dtection............................................................................ 13
2.2.2 Rponse active et passive................................................................... 16
2.3 Points forts/Points faibles................................................................ 17
2.3.1 Points forts........................................................................................ 17
2.3.2 Points faibles ..................................................................................... 19

3. Contourner la rponse active dun IDS ................................. 20

Conclusion................................................................................. 29

Sources ..................................................................................... 30

3
Introduction

Lobjectif de ce dossier est de prsenter le concept dIDS (Intrusion Detection
System) et dIPS (Intrusion Prevention System). Il sagit de techniques permettant de
dtecter les intrusions et ventuellement de les prvenir. Ces techniques sont
utilises en association avec tous les lments dune politique de scurit.

En effet de plus en plus dentreprises subissent des attaques qui peuvent entraner
des pertes consquentes. Le besoin des entreprises en scurit informatique est de
plus en plus important, et un lment essentiel dune bonne politique de scurit est
lutilisation dun IDS.

Cest pourquoi, avant de prsenter les concepts dIDS et dIPS, nous allons tout
dabord rappeler quelques notions de scurit concernant la mise en place dune
politique de scurit et les attaques quun rseau dentreprise peut subir.

Nous prsenterons ensuite le concept dIDS, les diffrents types dIDS, leur mode de
fonctionnement
Nous verrons alors que ces outils ont certaines limitations en prsentant quelques
mthodes de contournement dun IDS.

Ceci nous mne aux IPS, censs pallier ces faiblesses, qui seront prsents dans
une dernire partie.

4
1. Notions de scurit
Avant de prsenter le concept dIDS, nous allons tout dabord rappeler quelques
notions sur la mise en uvre dune politique de scurit et sur les attaques
existantes.

1.1 Mise en place dune politique de scurit

La mise en uvre dune politique de scurit globale est assez difficile,
essentiellement par la diversit des aspects considrer. Une politique de scurit
peut se dfinir par un certain nombre de caractristiques : les niveaux o elle
intervient, les objectifs de cette politique et enfin les outils utiliss pour assurer cette
scurit.
Chaque aspect diffrent doit tre pris en compte, de faon atteindre les objectifs
de scurit dsirs, en utilisant de faon coordonne les diffrents outils
disposition.

Nous allons tout dabord parler des diffrents aspects dune politique de scurit,
avant de dfinir les objectifs viss, puis de voir les outils disponibles pour appliquer
cette politique.

1.1.1 Diffrents aspects de la scurit

Une politique de scurit slabore plusieurs niveaux.

On va tout dabord scuriser laccs aux donnes de faon logicielle (authentification,
contrle dintgrit).

On va galement scuriser laccs physique aux donnes : serveurs placs dans des
salles blindes (qui empchent les ondes lectro-magntiques dtre captes) avec
badge daccs

Un aspect trs important pour assurer la scurit des donnes dune entreprise est
de sensibiliser les utilisateurs aux notions de scurit, de faon limiter les
comportements risque : si tout le monde peut accder aux salles de serveurs, peut
imposte quelles soient scurises !
De mme, si les utilisateurs laissent leur mot de passe crit ct de leur PC, son
utilit est limite

Enfin, il est essentiel pour un responsable de scurit de sinformer continuellement,
des nouvelles attaques existantes, des outils disponiblesde faon pouvoir
maintenir jour son systme de scurit et combler les brches de scurit qui
pourraient exister.

5
1.1.2 Objectifs

Les objectifs dune politique de scurit sont de garantir la scurit des informations
et du rseau de lentreprise.

Ces impratifs peuvent tre dfinis plusieurs niveaux :
-Disponibilit : les donnes doivent rester accessibles aux utilisateurs (une attaque
de type DoS, par exemple, vise empcher les utilisateurs normaux dun service dy
accder)
-Confidentialit : les donnes ne doivent tre visibles que des personnes habilites
pour.
-Intgrit : il faut pouvoir garantir que les donnes protges nont pas t modifies
par une personne non autorise.
-Non rpudiation : on doit pouvoir certifier, quand un fichier a subi des modifications,
la personne qui la modifi.
1.1.3 Outils

Pour assurer une bonne protection des donnes dune entreprise, diffrents outils
sont disponibles. Ils ont en gnral utiliss ensemble, de faon scuriser les
diffrentes failles existantes dns un systme.

On va tout dabord utiliser un firewall, qui permet de filtrer le trafic rseau entrant
sur le rseau de lentreprise.
Les antivirus seront plutt utilis sur les diffrentes machines branches sur le
rseau afin de vrifier si des virus ont pu se propager.
On dispose galement dagents dauthentification afin de contrler laccs aux
donnes et aux ressources.
Enfin , ces dernires annes, de plus en plus dentreprises ont mis en place des
systmes de dtection dintrusion afin de limiter les attaques sur leurs rseaux.
De plus pour transporter les donnes entre diffrentes agences dune mme
entreprise, les VPN (Virtual Private Network) sont de plus en plus utiliss, car ils
permettent un cryptage des donnes qui transitent sur un rseau public.

Tous ces outils sont complmentaires et surveillent un aspect prcis du rseau qui
peut tre sensible aux attaques. Nous allons maintenant prsenter rapidement les
types dattaques existants.

1.2 Les attaques
1.2.1 Les diffrentes tapes dune attaque


La plupart des attaques, de la plus simple la plus complexe fonctionnent suivant le
mme schma :

6
Identification de la cible : cette tape est indispensable toute attaques organise,
elle permet de rcolter un maximum de renseignements sur la cible en utilisant des
informations publiques et sans engager dactions hostiles. On peut citer par exemple
lutilisation des bases Whois, linterrogation des serveurs DNS,.

Le scanning : lobjectif est de complter les informations runies sur une cible vises.
Il est ainsi possible dobtenir les adresses IP utilises, les services accessibles de
mme quun grand nombre dinformations de topologie dtaille (OS, versions des
services, subnet, rgles de firewall.). Il faut noter que certaines techniques de
scans particulirement agressives sont susceptibles de mettre mal un rseau et
entraner la dfaillance de certains systmes.

Lexploitation : Cette tape permet partir des informations recueillies dexploiter les
failles identifies sur les lments de la cible, que ce soit au niveau protocolaire, des
services et applications ou des systmes dexploitation prsents sur le rseau.

La progression : Il est temps pour lattaquant de raliser ce pourquoi il a franchit les
prcdentes tapes. Le but ultime tant dlever ses droits vers root (ou system) sur
un systme afin de pouvoir y faire tout ce quil souhaite (inspection de la machine,
rcupration dinformations, installation de backdoors, nettoyage des traces ,).



1.2.2 Les diffrents types dattaques

Il existe un grand nombre dattaques permettant une personne mal intentionne de
sapproprier des ressources, de les bloquer ou de les modifier. Certaines requirent
plus de comptences que dautres, en voici quelques unes :


Le sniffing
Grce un logiciel appel "sniffer", il est possible dintercepter toutes les trames que
notre carte reoit et qui ne nous sont pas destines. Si quelquun se connecte par
telnet par exemple ce moment-l, son mot de passe transitant en clair sur le net, il
sera ais de le lire. De mme, il est facile de savoir tout moment quelles pages web
regardent les personnes connectes au rseau, les sessions ftp en cours, les mails en
envoi ou rception. Une restriction de cette technique est de se situer sur le mme
rseau que la machine cible.

LIP spoofing
Cette attaque est difficile mettre en uvre et ncessite une bonne connaissance du
protocole TCP. Elle consiste, le plus souvent, se faire passer pour une autre
machine en falsifiant son adresse IP de manire accder un serveur ayant une
"relation de confiance" avec la machine "spoofe". Cette attaque nest intressante
que dans la mesure o la machine de confiance dont lattaquant pris lidentit peut
accder au serveur cible en tant que root.

7
Le DoS (Denial of Service)
Le DoS est une attaque visant gnrer des arrts de service et donc empcher le
bon fonctionnement dun systme. Cette attaque ne permet pas en elle-mme
davoir accs des donnes. En gnral, le dni de service va exploiter les faiblesses
de larchitecture dun rseau ou dun protocole. Il en existe de plusieurs types
comme le flooding, le TCP-SYN flooding, le smurf ou le dbordement de tampon
(buffer-overflow).

Les programmes cachs ou virus
Il existe une grande varit de virus. On ne classe cependant pas les virus daprs
leurs dgts mais selon leur mode de propagation et de multiplication. On recense
donc les vers (capables de se propager dans le rseau), les troyens (crant des
failles dans un systme), Les bombes logiques (se lanant suite un vnement du
systme (appel dune primitive, date spciale)).

Lingnierie sociale (social engineering)
Ce nest pas vraiment une attaque informatique en soit, mais plutt une mthode
consistant se faire passer pour quelquun que lon nest pas afin de recueillir des
informations confidentielles.

Le craquage de mots de passe
Cette technique consiste essayer plusieurs mots de passe afin de trouver le bon.
Elle peut seffectuer laide dun dictionnaire des mots de passe les plus courants (et
de leur variantes), ou par la mthode de brute force (toutes les combinaisons sont
essayes jusqu trouver la bonne). Cette technique longue et fastidieuse, souvent
peu utilise moins de bnficier de lappui dun trs grand nombre de machines.
8
2. Les IDS
Tout dabord, IDS signifie Intrusion Detection System. Il sagit dun quipement
permettant de surveiller lactivit dun rseau ou dun hte donn, afin de dtecter
toute tentative dintrusion et ventuellement de ragir cette tentative.

Pour prsenter le concept dIDS, nous allons tout dabord prsenter les diffrentes
sortes dIDS, chacun intervenant un niveau diffrent.
Nous tudierons ensuite leur mode de fonctionnement, cest dire les modes de
dtection utiliss et les rponses apportes par les IDS. Enfin, nous dtaillerons les
points forts et les points faibles des IDS.

2.1 Les diffrentes sortes dIDS

Les diffrents IDS se caractrisent par leur domaine de surveillance. Celui-ci peut se
situer au niveau dun rseau dentreprise, dune machine hte, dune application

Nous allons tout dabord tudier la dtection dintrusion base sur lhte, puis base
sur une application, avant de nous intresser aux IDS rseaux, NIDS et NNIDS
(Network IDS et Node Network IDS).
2.1.1 La dtection d'intrusion base sur l'hte

Les systmes de dtection d'intrusion bass sur l'hte ou HIDS (Host IDS) analysent
exclusivement l'information concernant cet hte. Comme ils n'ont pas contrler le
trafic du rseau mais "seulement" les activits d'un hte ils se montrent
habituellement plus prcis sur les types d'attaques subies.

De plus, l'impact sur la machine concerne est sensible immdiatement, par exemple
dans le cas dune attaque russie par un utilisateur. Ces IDS utilisent deux types de
sources pour fournir une information sur l'activit de la machine : les logs et les
traces d'audit du systme d'exploitation.
Chacun a ses avantages : les traces d'audit sont plus prcises et dtailles et
fournissent une meilleure information alors que les logs qui ne fournissent que
l'information essentielle sont plus petits.
Ces derniers peuvent tre mieux contrls et analyss en raison de leur taille, mais
certaines attaques peuvent passer inaperues, alors quelles sont dtectables par une
analyse des traces daudit.

Ce type dIDS possdent un certain nombre davantages : il est possible de constater
immdiatement l'impact d'une attaque et donc de mieux ragir. Grce la quantit
des informations tudies, il est possible dobserver les activits se droulant sur
l'hte avec prcision et doptimiser le systme en fonction des activits observes.
9
De plus, les HIDS sont extrmement complmentaires des NIDS. En effet, ils
permettent de dtecter plus facilement les attaques de type "Cheval de Troie", alors
que ce type dattaque est difficilement dtectable par un NIDS. Les HIDS permettent
galement de dtecter des attaques impossibles dtecter avec un NIDS, car elles
font partie de trafic crypt.

Nanmoins, ce type dIDS possde galement ses faiblesses, qui proviennent de ses
qualits : du fait de la grande quantit de donnes gnres, ce type dIDS est trs
sensible aux attaques de type DoS, qui peuvent faire exploser la taille des fichiers de
logs.
Un autre inconvnient tient justement la taille des fichiers de rapport dalertes
examiner, qui est trs contraignante pour le responsable scurit. La taille des
fichiers peut en effet atteindre plusieurs Mgaoctets.
Du fait de cette quantit de donnes traiter, ils sont assez gourmand en CPU et
peuvent parfois altrer les performances de la machine hte.
Enfin, ils ont moins de facilit dtecter les attaques de type hte que les IDS
rseaux.

Les HIDS sont en gnral placs sur des machines sensibles, susceptibles de subir
des attaques et possdant des donnes sensibles pour lentreprise. Les serveurs, web
et applicatifs, peuvent notamment tre protgs par un HIDS.

Pour finir, voici quelques HIDS connus: Tripwire, WATCH, DragonSquire, Tiger,
Security Manager

2.1.2 Dtection d'Intrusion base sur une application

Les IDS bass sur les applications sont un sous-groupe des IDS htes.
Ils contrlent l'interaction entre un utilisateur et un programme en ajoutant des
fichiers de log afin de fournir de plus amples informations sur les activits dune
application particulire. Puisque vous oprez entre un utilisateur et un programme, il
est facile de filtrer tout comportement notable. Un ABIDS se situe au niveau de la
communication entre un utilisateur et lapplication surveille.

Lavantage de cet IDS est quil lui est possible de dtecter et dempcher des
commandes particulires dont l'utilisateur pourrait se servir avec le programme et de
surveiller chaque transaction entre lutilisateur et lapplication. De plus, les donnes
sont dcodes dans un contexte connu, leur analyse est donc plus fine et prcise.
Par contre, du fait que cet IDS nagit pas au niveau du noyau, la scurit assure est
plus faible, notamment en ce qui concerne les attaques de type "Cheval de Troie".
De plus, les fichiers de log gnrs par ce type d'IDS sont des cibles faciles pour les
attaquants et ne sont pas aussi srs, par exemple, que les traces d'audit du systme.
10
Ce type dIDS est utile pour surveiller lactivit dune application trs sensible, mais
son utilisation seffectue en gnral en association avec un HIDS. Il faudra dans ce
cas contrler le taux dutilisation CPU des IDS afin de ne pas compromettre les
performances de la machine.
2.1.3 La Dtection d'Intrusion Rseau (NIDS)

Le rle essentiel d'un IDS rseau est l'analyse et l'interprtation des paquets circulant
sur ce rseau.
Limplantation dun NIDS sur un rseau se fait de la faon suivante : des capteurs
sont placs aux endroits stratgiques du rseau et gnrent des alertes sils
dtectent une attaque. Ces alertes sont envoyes une console scurise, qui les
analyse et les traite ventuellement. Cette console est gnralement situe sur un
rseau isol, qui relie uniquement les capteurs et la console.

Les capteurs
Les capteurs placs sur le rseau sont placs en mode furtif (ou stealth mode), de
faon tre invisibles aux autres machines. Pour cela, leur carte rseau est
configure en mode "promiscuous", cest dire le mode dans lequel la carte rseau
lit l'ensemble du trafic, de plus aucune adresse IP nest configure.

Un capteur possde en gnral deux cartes rseaux, une place en mode furtif sur le
rseau, lautre permettant de le connecter la console de scurit.
Du fait de leur invisibilit sur le rseau, il est beaucoup plus difficile de les attaquer
et de savoir quun IDS est utilis sur ce rseau.

Placer les capteurs
Il est possible de placer les capteurs diffrents endroits, en fonction de ce que lon
souhaite observer. Les capteurs peuvent tre placs avant ou aprs le pare-feu, ou
encore dans une zone sensible que lon veut protger spcialement.

Si les capteurs se trouvent aprs un pare-feu, il leur est plus facile de dire si le pare-
feu a t mal configur ou de savoir si une attaque est venue par ce pare-feu.
Les capteurs placs derrire un pare-feu ont pour mission de dtecter les intrusions
qui nont pas t arrtes par ce dernier. Il sagit dune utilisation courante dun
NIDS.

Il est galement possible de placer un capteur lextrieur du pare-feu (avant le
firewall). Lintrt de cette position est que le capteur peut ainsi recevoir et analyser
l'ensemble du trafic d'Internet. Si vous placez le capteur ici, il n'est pas certain que
toutes les attaques soient filtres et dtectes. Pourtant, cet emplacement est le
prfr de nombreux experts parce qu'il offre l'avantage d'crire dans les logs et
d'analyser les attaques (vers le pare-feu...), ainsi l'administrateur voit ce qu'il doit
modifier dans la configuration du pare-feu.

Les capteurs placs l'extrieur du pare-feu servent dtecter toutes les attaques
en direction du rseau, leur tche ici est donc plus de contrler le fonctionnement et
11
la configuration du firewall que dassurer une protection contre toutes les intrusions
dtectes (certaines tant traites par le firewall).

Il est galement possible de placer un capteur et un autre aprs le firewall. En fait,
cette variante runit les deux cas mentionns ci-dessus. Mais elle est trs
dangereuse si on configure mal les capteurs et/ou le pare-feu, en effet on ne peut
simplement ajouter les avantages des deux cas prcdents cette variante.

Les capteurs IDS sont parfois situs lentre de zones du rseau particulirement
sensibles (parcs de serveurs, donnes confidentielles), de faon surveiller tout
trafic en direction de cette zone.


Les avantages des NIDS sont les suivants : les capteurs peuvent tre bien scuriss
puisqu'ils se contentent d'observer le trafic et permettent donc une surveillance
discrte du rseau, les attaques de type scans sont facilement dtectes, et il est
possible de filtrer le trafic.

Les NIDS sont trs utiliss et remplissent un rle indispensable, mais ils prsentent
nanmoins de nombreuses faiblesses. En effet, la probabilit de faux ngatifs
(attaques non dtectes comme telles) est leve et il est difficile de contrler le
rseau entier. De plus, ils doivent principalement fonctionner de manire crypte
d'o une complication de l'analyse des paquets. Pour finir, l'oppos des IDS bass
sur l'hte, ils ne voient pas les impacts d'une attaque

Voici quelques exemples de NIDS : NetRanger, Dragon, NFR, Snort, ISSRealSecure.

Mme si nous distinguons HIDS et NIDS, la diffrence devient de plus en plus rduite
puisque les HIDS possdent maintenant les fonctionnalits de base des NIDS. Des
IDS bien connus comme ISS RealSecure se nomment aujourd'hui "IDS hte et
rseau". Dans un futur proche la diffrence entre les deux systmes deviendra de
plus en plus faible (ces sytmes vont voluer ensemble).

Voici un exemple de mise en place dun IDS RealSecure avec des IDS htes et
rseaux connects une console de management centrale (sur le schma, les HIDS
sont appels RealSecure Server Sensor et les NIDS RealSecure Network Sensor).

12

Exemple darchitecture HIDS/NIDS

2.1.4 Systme de Dtection d'Intrusion de Nud Rseau
(NNIDS)

Ce nouveau type dIDS (NNIDS) fonctionne comme les NIDS classiques, c'est--dire
vous analysez les paquets du trafic rseau. Mais ceci ne concerne que les paquets
destins un noeud du rseau (d'o le nom).

Une autre diffrence entre NNIDS et NIDS vient de ce que le NIDS fonctionne en
mode "promiscuous", ce qui n'est pas le cas du NNIDS. Celui-ci ntudie que les
paquets destination dune adresse ou dune plage dadresse. Puisque tous les
paquets ne sont pas analyss, les performances de l'ensemble sont amliores.

Ce type dIDS nest pas encore trs rpandu, mais il est de plus en plus utilis pour
tudier le comportement de nuds sensibles dun rseau.



De nouveaux types dIDS sont conus actuellement, comme les IDS bass sur la pile,
qui tudie la pile dun systme. Le secteur des IDS est en plein dveloppement, le
besoin des entreprises en scurit rseaux tant de plus en plus pressant, du fait de
la multiplication des attaques.

13
Actuellement, les IDS les plus employs sont les NIDS et HIDS, de plus en plus
souvent en association. Les ABIDS restent limits une utilisation pour des
applications extrmement sensibles.

Les recherches en cours visent galement amliorer les performances des IDS,
notamment dans ce qui concerne les faux positifs et faux ngatifs et la complexit
dadministration (actuellement il faut souvent une personne ddie la gestion de
lIDS).

Nous allons prsent nous pencher sur le mode de fonctionnement dun IDS.

2.2 Mode de fonctionnement dun IDS

Il faut distinguer deux aspects dans le fonctionnement dun IDS : le mode de
dtection utilis et la rponse apporte par lIDS lors de la dtection dune intrusion.

Il existe deux modes de dtection, la dtection danomalies et la reconnaissance de
signatures. Deux mmes, deux types de rponses existent, la rponse passive et la
rponse active. Il faut noter que les diffrents IDS prsents sur le march ne
disposent pas toujours de lensemble des fonctionnalits prsentes ici.

Nous allons tout dabord tudier les modes de dtection dun IDS, avant de prsenter
les rponses possibles une attaque.

2.2.1 Modes de dtection

Il faut noter que la reconnaissance de signature est le mode de fonctionnement le
plus implment par les IDS du march. Cependant, les nouveaux produits tendent
combiner les deux mthodes pour affiner la dtection dintrusion.

La dtection danomalies

Elle consiste dtecter des anomalies par rapport un profil "de trafic habituel". La
mise en oeuvre comprend toujours une phase d'apprentissage au cours de laquelle
les IDS vont "dcouvrir" le fonctionnement "normal" des lments surveills. Ils sont
ainsi en mesure de signaler les divergences par rapport au fonctionnement de
rfrence.

Les modles comportementaux peuvent tre labors partir d'analyses statistiques.
Ils prsentent l'avantage de dtecter des nouveaux types d'attaques. Cependant, de
frquents ajustements sont ncessaires afin de faire voluer le modle de rfrence
de sorte qu'il reflte l'activit normale des utilisateurs et rduire le nombre de
fausses alertes gnres.

14
Dans le cas dHIDS, ce type de dtection peut tre bas sur des information telles
que le taux dutilisation CPU, lactivit sur le disque, les horaires de connexion ou
dutilisation de certains fichiers (horaires de bureau)

La reconnaissance de signature

Cette approche consiste rechercher dans l'activit de l'lment surveill les
empreintes (ou signatures) d'attaques connues. Ce type d'IDS est purement ractif ;
il ne peut dtecter que les attaques dont il possde la signature. De ce fait, il
ncessite des mises jour frquentes.

De plus, l'efficacit de ce systme de dtection dpend fortement de la prcision de
sa base de signature. C'est pourquoi ces systmes sont contourns par les pirates qui
utilisent des techniques dites "d'vasion" qui consistent maquiller les attaques
utilises. Ces techniques tendent faire varier les signatures des attaques qui ainsi
ne sont plus reconnues par l'IDS.

Il est possible dlaborer des signatures plus gnriques, qui permettent de dtecter
les variantes dune mme attaque, mais cela demande une bonne connaissance des
attaques et du rseau, de faon stopper les variantes dune attaque et ne pas
gner le trafic normal du rseau

Une signature permet de dfinir les caractristiques dune attaque, au niveau des
paquet (jusqu TCP ou UDP) ou au niveau protocole (HTTP, FTP).

Au niveau paquet, lIDS va analyser les diffrents paramtres de tous les paquets
transitant et les comparer avec les signatures dattaques connues.

Au niveau protocole, lIDS va vrifier au niveau du protocole si les commandes
envoyes sont correctes ou ne contiennent pas dattaque. Cette fonctionnalit a
surtout t dveloppe pour HTTP actuellement.

Nous allons maintenant tudier un exemple dlaboration de signature trouv sur
Internet.

Exemple danalyse dune intrusion

Il sagit dun cas rel, prsent par Karen Kent Frederick dans ses articles situs sur
securityfocus.com.

Il sagit de lattaque dun rseau par un rseau de type ver, qui utilisait une attaque
de type syn-scan. Les paquets contenant cette attaque avaient les caractristiques
suivantes :

-Diverses adresses IP sources
-TCP port source 21, port destination 21
-Type of service 0
-Numro didentification IP 39426
15
-Flags SYN et FIN positionns
-Numros de squence divers
-Numros dacquittement divers
-Taille de la fentre TCP 1028
On remarque que ce paquet comporte plusieurs caractristiques bizarres : les flags
SYN et FIN sont positionns (SYN indique une demande de connexion et FIN une
demande de dconnexion), la taille de la fentre est fixe, alors quelle est
normalement ngocie en fonction de la quantit de donnes envoyer et de
lespace de rception disponible.
De plus, les ports source et destination sont les mmes (on dit quils sont rflexifs),
ce qui ne se produit pas normalement lors dune connexion ftp. Le flag
dacquittement nest pas positionn, pourtant un numro dacquittement est dfini, le
numro didentification du paquet est toujours le mme

Ce paquet comporte donc de nombreuses caractristiques qui peuvent tre
exploites pour former une signature de dtection de cette attaque.

On va donc conserver ses caractristiques les plus saillantes afin de limiter le temps
danalyse des paquets (en effet, plus il y a de paramtres analyser, plus cette
analyse va durer).
On va prendre les trois paramtres les plus adapts pour dtecter cette attaque : on
va prendre tout dabord les flags SYN et FIN positionns ensemble, car aucun paquet
normal de devrait avoir ce type de signalisation. On va galement choisir comme
caractristiques le numro didentification IP fixe (39426) et la taille de fentre fixe,
galement trs suspects.

Voici les caractristiques de la signature :
-Uniquement les flags SYN and FIN positionns
-Numro didentification IP 39426
-Taille de la fentre TCP 1028

Nous avons donc labor une signature, qui va permettre didentifier toute tentative
dattaque de ce type. Dans le cas tudi, cette signature a fonctionn pendant
quelques semaines, jusquau jour o une variante de cette attaque est survenue.

Ses caractristiques taient trs semblables la premire attaque, mais
suffisamment diffrente pour ne pas tre dtecte par la signature. Il tait donc
ncessaire dlaborer une nouvelle signature qui permettrait de dtecter les deux
attaques ainsi que les variantes qui pourraient survenir.

Les diffrences entre le premire et la deuxime attaque taient les suivantes :

-Seulement le flag SYN positionn
-La taille de la fentre TCP fixe 40
-Port rflexif 53

On labore alors une signature qui reprend la fois les caractristiques de la
premire attaque et de la deuxime.
16
Pour cette nouvelle signature, on va prendre une caractristique commune (flag ACK
non positionn et valeur dacquittement non nulle) ainsi quune caractristique de
chacune des attaques : flags SYN et FIN positionns pour la premire attaque, taille
de fentre infrieure un seuil (incluant 40 octets) pour la deuxime.
La nouvelle signature prsente les caractristiques suivantes :
-Valeur dacquittement non nulle et flag ACK non positionn
-Uniquement les flags SYN and FIN positionns
-Taille de la fentre TCP en dessous dune certaine valeur
Cette signature sest avre performante pour arrter les deux attaques connues et
galement arrter une troisime variante sans avoir besoin de modifier la signature
prcdemment tablie.

Cet exemple nous a sembl trs formateur sur le rle des signatures et leur
laboration. Il faut savoir que les sites des vendeurs dIDS proposent des mises
jour des signatures en fonction des nouvelles attaques identifies.
Nanmoins, plus il y a de signatures diffrentes tester, plus le temps de traitement
sera long, lutilisation de signatures plus labores peut donc procurer un gain de
temps apprciable.
Cependant, une signature mal labore peut ignorer des attaques relles ou
identifier du trafic normal comme tant une attaque. Il convient donc de manier
llaboration de signatures avec prcaution, et en ayant de bonnes connaissances sur
le rseau surveill et les attaques existantes.

Une fois une attaque dtecte, un IDS a le choix entre plusieurs types de rponses,
que nous allons maintenant dtailler.
2.2.2 Rponse active et passive

Il existe deux types de rponses, suivant les IDS utiliss. La rponse passive est
disponible pour tous les IDS, la rponse active est plus ou moins implmente.

Rponse passive

La rponse passive dun IDS consiste enregistrer les intrusions dtectes dans un
fichier de log qui sera analys par le responsable scurit.
Certains IDS permettent de logger lensemble dune connexion identifie comme
malveillante.
Ceci permet de remdier aux failles de scurit pour empcher les attaques
enregistres de se reproduire, mais elle nempche pas directement une attaque de
se produire.

Rponse active

La rponse active au contraire a pour but de stopper une attaque au moment de sa
dtection. Pour cela on dispose de deux techniques : la reconfiguration du firewall et
linterruption dune connexion TCP.

17
La reconfiguration du firewall permet de bloquer le trafic malveillant au niveau du
firewall, en fermant le port utilis ou en interdisant ladresse de lattaquant. Cette
fonctionnalit dpend du modle de firewall utilis, tous les modles ne permettant
pas la reconfiguration par un IDS. De plus ,cette reconfiguration ne peut se faire
quen fonction des capacits du firewall.

LIDS peut galement interrompre une session tablie entre un attaquant et sa
machine cible, de faon empcher le transfert de donnes ou la modification du
systme attaqu.
Pour cela lIDS envoie un paquet TCP reset aux deux extrmits de la connexion
(cible et attaquant). Un paquet TCP reset a le flag RST de positionn, ce qui indique
une dconnexion de la part de lautre extrmit de la connexion. Chaque extrmit
en tant destinataire, la cible et lattaquant pensent que lautre extrmit sest
dconnecte et lattaque est interrompue.

Dans le cas dune rponse active, il faut tre sr que le trafic dtect comme
malveillant lest rellement, sous peine de dconnecter des utilisateurs normaux. En
gnral, les IDS ne ragissent pas activement toutes les alertes. Ils ne rpondent
des alertes que quand celles-ci sont positivement certifies comme tant des
attaques. Lanalyse des fichiers dalertes gnrs est donc une obligation pour
analyser lensemble des attaques dtectes.


2.3 Points forts/Points faibles

Nous allons pour finir cette prsentation des IDS rsumer les points forts et les
points faibles de ces quipements.
2.3.1 Points forts

Une surveillance continue et dtaille

Dans cette optique, nous nous intressons aux flux valides, mais aussi au flux non-
valides qui transitent sur le rseau dont nous avons la responsabilit. Comment
savoir si les rgles d'un firewall sont valides ? Comment savoir le nombre d'attaques
subies au cours de la dernire semaine ? Comment diffrencier une surcharge
normale du rseau d'une attaque par DoS ?

Les IDS vont permettre de rpondre ces questions. Ce sont des sondes en mode
promiscuit. Ils peuvent donc analyser tout le trafic (dans le mme domaine de
collision), et relever des attaques, alors mme qu'ils n'en sont pas la cible directe.

Bien sr, nous voquons ici le fonctionnement des NIDS. Les HIDS vont au contraire
tablir une surveillance unique du systme sur lequel ils sont installs. De plus,
toutes les alertes sont stockes soit dans un fichier, soit dans une base de donnes,
ce qui permet de concevoir un historique, et dtablir des liens entre diffrentes
attaques.
18
Ainsi, le responsable scurit n'a pas besoin de surveiller le rseau en permanence
pour tre au courant de ce qui se passe. Une attaque de nuit ne passera plus
inaperue. Tous les IDS renvoient de nombreuses informations avec une alerte. Le
type suppos d'attaque, la source, la destination, ... Tout cela permet un bonne
comprhension d'un incident scurit, et en cas de faux-positif, de le dtecter
rapidement

Un autre point important dans la scurit : nous avons maintenant des outils de
filtrage trs intressants qui nous permettent de faire du contrle par protocole
(icmp, tcp, udp), par adresse IP, jusqu' du suivi de connexion (couches 3 et 4).
Mme si cela carte la plupart des attaques, cela est insuffisant pour se protger des
attaques passant par des flux autoriss. Si cela est assez marginal, car difficile
mettre en place, l'ouverture de l'informatique au grand public et l'augmentation de
ce type de connaissances font qu'il faudra un jour savoir s'en protger efficacement.

Modularit de l'architecture

Il y a plusieurs solutions pour le positionnement de sondes rseaux. Il peut tre
intressant de positionner les sondes pour tudier l'efficacit des protections mises
en place.

Par exemple dans un rseau se cachant derrire un firewall, nous mettrons une
sonde ct extrieur du firewall, et une autre ct intrieur du firewall. La premire
sonde permet de dtecter les tentatives d'attaques diriges contre le rseau surveill.
La seconde sonde va remonter les attaques (pralablement dtectes par la premire
sonde) qui ont russi passer le firewall. On peut ainsi suivre une attaque sur un
rseau, voir si elle arrive jusqu' sa victime, en suivant quel parcours, ...

Il est aussi intressant de dfinir des primtres de surveillance d'une sonde. Ce sera
en gnral suivant un domaine de collision, ou sur des entres uniques vers plusieurs
domaines de collision (par exemple l'entre d'un commutateur).
Par cette mthode, nous rduisons le nombre de sondes, car il n'y a pas de doublons
dans la surveillance d'une partie du rseau. Une alerte n'est remonte qu'une seule
fois ce qui allge d'autant l'administration des IDS. Et pour finir, le fait de placer les
sondes aprs les protections est plus logique, car le but premier des IDS est d'tudier
les intrusions malgr les protections.

Les HIDS et les NIDS se compltent

Nous avons voqu jusqu'ici principalement le cas des NIDS. Les IDS se cantonnent
la surveillance des systmes sur lesquels ils sont hbergs. Mais ils sont
extrmement utiles. Par exemple dans le suivi d'une attaque voqu prcdemment,
grce aux sondes NIDS, nous pouvons suivre son parcours. Mais quel est l'impact
final sur la machine ? Un NIDS ne peut pas rpondre cela, car il ne gre pas les
quipements terminaux. C'est ici que le HIDS se rvle utile. De plus, la remonte
d'alerte est locale et vers un manager. Ainsi, la surveillance rseau et des
quipements terminaux est centralise.

19

2.3.2 Points faibles

Besoin de connaissances en scurit

La mise en place de sonde scurit fait appel de bonnes connaissances en scurit.
L'installation en elle-mme des logiciels est la porte de n'importe quel
informaticien. En revanche l'exploitation des remontes d'alertes ncessite des
connaissances plus pointues.

Les interfaces fournissent beaucoup d'informations, et permettent des tris facilitant
beaucoup le travail, mais l'intervention humaine est toujours indispensable.
A partir des remontes d'alertes, quelle mesure prendre ?
Est-il utile de relever des alertes dont toutes les machines sont protges?
Comment distinguer un faux-positif d'un vritable incident de scurit ?
Toutes ces questions et bien dautres doivent se poser au responsable de scurit en
charge dun IDS.

La configuration, et l'administration des IDS ncessitent beaucoup de temps, et de
connaissances. C'est un outil d'aide, qui n'est en aucun cas compltement
automatis.


Problme de positionnement des sondes

La mise en place est importante. Il faut bien dfinir l o placer les sondes. Il ne
s'agit pas de mettre une sonde partout o l'on veut surveiller. Il faut tudier les
champs de vision des sondes suivant leur placement, si on veut recouper ces champs
de vision (pour par exemple faire des doublons de surveillance ou faire un suivi
d'attaque), quel dtail d'analyse ( l'entre d'un rseau, ou dans chaque domaine de
collision). On dcoupe souvent le rseau global en un LAN, une DMZ, puis Internet.
Mais il faut aussi envisager les domaines de collisions, les sous-rseaux, ...


Les connaissances rseaux sont importantes. Il faut aussi faire attention comment
sont remontes les alertes (passage par un rseau scuris et isol du rseau
surveill).

Vulnrabilits des sondes NIDS

De part leur fonctionnement en mode promiscuit, les sondes sont vulnrables. Elles
captent tout le trafic, et mme si un ping flood est ralis sur une autre machine, les
sondes NIDS le captureront aussi et donc en subiront les consquences, comme si
l'attaque leur tait directement envoye. Les DoS classiques seront donc trs nocifs
pour les sondes NIDS.

20
Le point fort de certains IDS qui est d'archiver aussi le contenu des trames ayant
leves une alerte, peut aussi s'avrer un point faible. Un hte flood avec un paquet
charg de 64000 octets, ou encore des trames de 1500 octets pour les SYN flood
vont faire exploser la taille des fichiers de logs des sondes en quelques minutes.
C'est une attaque qui porte le nom coke qui consiste saturer le disque dur
(http://www.securiteinfo.com/attaques/hacking/coke.shtml). La seule faon de parer
cette attaque est de prvoir d'importants espaces de stockages, et grer le stockage
des fichiers de logs.

Problmes intrinsques la plateforme

Beaucoup d'IDS (et plus particulirement les IDS libres) sont des logiciels reposant
sur une systme d'exploitation non ddi aux IDS. Ainsi, la faiblesse d'un IDS est lie
la faiblesse de la plate-forme.
Un mme logiciel sera par exemple plus vulnrable sur un PC Win98 que sur un PC
OpenBSD, de part la solidit de la pile IP face aux attaques, ou tout simplement de
part la stabilit du systme. La mise en place d'un IDS requiert donc des
comptences dans la scurisation de la plate-forme.

Une saturation de la mmoire, de la carte rseau, ou du processeur porte atteinte
directement au bon fonctionnement de tout le systme et donc du logiciel IDS de la
machine.
Le problme de ces dysfonctionnements est que si la sonde ne peut plus remplir son
rle, le rseau n'en est pas coup pour autant. Le responsable scurit ne peut donc
pas voir que, la sonde tant tombe, une partie du rseau n'est plus surveille. Une
redondance des surveillances sur certaines zones devrait momentanment rsoudre
le problme.

Comme nous venons de le voir, les IDS sont des outils indispensables la bonne
scurit dun rseau, nanmoins leur utilisation reste complexe et contraignante. Ces
outils sont malgr tout fiables et plutt srs, mais il est possible de passer outre aux
rponses dun IDS. Cest ce que nous allons voir prsent.



3. Contourner la rponse active dun IDS
Linterruption de session provoque par un IDS peut tre contourne de plusieurs
manires. La plupart dentre elles se basent sur le laps de temps qui existe entre la
dtection dune attaque et la prise en compte du TCP Reset par la machine cible.

Dans le cas o lexploit raliser par un attaquant ne ncessite pas de session
interactive, celui-ci pourra simplement positionner le flag PUSH au sein de ses
paquets TCP.
En gnral, les piles TCP/IP ne dlivrent pas chaque portion de donnes
lapplication ds que celles-ci arrivent, cela revient trop cher en terme dinterruption
logicielles. La pile accumule les donnes dans un buffer et ds que celui-ci est plein,
21
elle ralise un PUSH du buffer tout entier pour envoyer les donnes en une seule
fois.

Certaines applications ont besoin de rcuprer les donnes aussi vite quelles arrivent
et sont prtes en payer le cot. Dans cette optique, le flag PUSH indique la pile
de dlivrer les donnes lapplication aussi vite que possible.
Si un attaquant potentiel dsire rcuprer le contenu dun rpertoire, cela ne lui sera
pas trs utile car la session aura t interrompue avant que la rponse sa requte
ne soit effectue. Par contre, si celui-ci trouve le moyen de copier le fichier hte (par
exemple) vers un rpertoire accessible depuis le serveur Web du rseau, il ne
soccupera pas de savoir si la session a t interrompue ou non puisque son exploit
aura russi, simplement en positionnant le flag PUSH au sein du paquet contenant sa
requte.

Si lattaquant besoin de conserver la session ouverte, une autre technique reste
sa disposition. Lastuce consiste faire en sorte que la machine cible ignore le TCP
Reset envoy par lIDS. Ce dernier croira avoir interrompu la session et lattaquant
pourra continuer son travail tranquillement.
Cette technique utilise le temps ncessaire pour un IDS de capturer le paquet, de
dtecter lexploit en cours, de gnrer le TCP Reset et denvoyer celui-ci sur le
rseau. Une course contre la montre sengage alors entre lIDS et lattaquant.

Pour que la machine cible de lattaquant ignore le TCP Reset de lIDS, il faut que le
prochain paquet de la session engage entre lattaquant et la machine cible
parvienne sur la machine cible avant le paquet Reset de lIDS.

Rappel :

La pile TCP travaille sur une fentre. Certaines donnes reues ont dj t envoyes
(PUSH) vers lapplication et certaines attendent dans le buffer qui doit tre vid vers
lapplication. De plus il existe un espace vide en attente de rception de nouvelles
donnes. Ce que lon nomme la fentre nest autre que la runion du buffer et de
lespace vide. Seules les donnes prsentes au sein de la fentre peuvent tre
traites.



22

La pile TCP maintient galement un pointeur courant (CP) qui pointe sur le prochain
fragment de donnes que la pile sattend recevoir. Celui-ci correspond, de plus, au
numro dacquittement. Par exemple, si la pile reu 76 octets, le numro
dacquittement sera 77. Quand le prochain fragment de donnes arrivera, le pointeur
courant sera immdiatement positionn la fin de ce fragment.





Les fragments ne sont pas obligs darriver dans lordre. Un fragment commenant
loctet 90 peut arriver avant le fragment commenant loctet 77, il sera copi dans
le buffer mais le pointeur courant restera positionn 77 jusqu ce que le fragment
dbutant par 77 arrive. A cet instant, le pointeur courant sera dplac vers la fin de
tous les fragments reus, et ce en une seule fois


23


Sur la plupart des piles, le RESET doit concider avec le pointeur courant sans quoi le
paquet est ignor. En sachant cela, un attaquant peut construire un "paquet suivant"
qui mettra en chec le RESET de lIDS.
Admettons que lattaque ncessite trois paquets. Lattaquant envoit tout dabord les
deux premiers paquets (rappelons que lIDS besoin des trois premiers paquets pour
dtecter lattaque).
Lattaquant va ensuite construire un quatrime paquet ne contenant aucune donnes
menaante au yeux de lIDS et lenvoyer avant le troisime. A ce stade le paquet
quatre sera copi dans le buffer ds son arrive mais le pointeur courant restera
positionn sur la fin du second paquet. Ds que le troisime paquet arrivera, le
pointeur courant sera dplac en une fois vers la fin du quatrime paquet.
A larrive du paquet trois, lIDS va gnrer et envoyer un TCP RESET bas sur le
paquet trois. Celui-ci sera de toutes faons ignor lors de sa rception par la machine
cible puisquil ne concidera pas avec le pointeur courant de celle-ci (positionn sur la
fin du paquet quatre).


Pour la mme raison ( le dlai induit par la rponse active de lIDS), il est possible de
contourner la mise jour du firewall par lIDS. La mise jour des rgles dun firewall
prend habituellement une deux seconde en moyenne, ce qui suffit amplement
une personne habile pour sintroduire sur une machine et y installer une "backdoor".
Il ne lui reste, alors, plus qu changer dadresse IP pour pouvoir administrer la
machine distance.


Les fonctions de rponses actives, peuvent savrer efficaces mais ne constituent en
aucun cas un moyen sr de scuriser un rseau. Nimporte qui avec un minimum de
connaissances sur TCP/IP est capable de contourner les mcanismes mis en jeu.



4. Les IPS


Faute de mouvoir matriser correctement les fausses alertes, la plupart des systmes
actuels dIDS sont vous disparatre ou voluer grandement.
Lapparition sur le march de la scurit informatique des systmes IPS est trs
rcent et rsulte de la ncessit damliorer, encore et toujours, les solutions
existantes ayant prouves leurs limites. Les IPS nexistent pas vraiment en tant que
technologies bien dfinies mais plutt en tant que concepts que tentent de mettre en
uvre les diffrents acteurs du march travers de multiples technologies et
solutions de scurit.



24

4.1 Principes de fonctionnement

De lavis des analystes, le concept dIPS ( systmes de prvention des intrusions)
vise anticiper les attaques de pirates informatiques ds lors que leur empreinte est
connu. Il ne sagit plus seulement de ragir une attaque en cours, mais dempcher
que celle-ci puisse seulement dbuter.
Un systme IPS est plac en ligne et examine en thorie tous les paquets entrants
ou sortants. Il ralise un ensemble danalyses de dtection, non seulement sur
chaque paquet individuel, mais galement sur les conversations et motifs du rseau,
en visualisant chaque transaction dans le contexte de celles qui prcdent ou qui
suivent.
Si le systme IPS considre le paquet inoffensif, il le transmet sous forme dun
lment traditionnel de couche 2 ou 3 du rseau. Les utilisateurs finaux ne doivent
en ressentir aucun effet. Cependant, lorsque le systme IPS dtecte un trafic
douteux il doit pouvoir activer un mcanisme de rponse adquat en un temps
record.
LIPS doit aussi, offrir un moyen de diminuer considrablement lutilisation des
ressources humaines ncessaires au bon fonctionnement des IDS. Cela doit aboutir,
notamment, une automatisation des fonctions danalyse des logs, mme si ce point
demeure encore une tche difficile. La prise de dcision doit ainsi pouvoir tre
automatise non seulement grce la reconnaissance de signatures mais aussi, et
de plus en plus, grce lutilisation danalyses heuristiques provenant du monde des
anti-virus.

Deux voies principales sont actuellement explores par les promoteurs dIPS.
La premire est lapproche des constructeurs dIDS dont les produits nont que
faiblement convaincu le march franais alors quils sont utiliss dans plus dune
entreprise sur deux aux Etats-Unis. Comme pour les IDS, les IPS peuvent tre
orients Host ou Rseaux.
La seconde approche touche les fournisseurs de pare-feu qui commencent intgrer
des systmes IPS au sein de leurs matriels qui savent fonctionner "en ligne". Cela
passe par exemple par lintgration de signatures et dun contrle des protocoles
HTTP, FTP et SMTP, mais aussi pour certains constructeurs de la mise en Asic
(Application specific integrated circuit) de leurs IPS afin de sintgrer facilement
leurs matriels.


4.2 Comptences requises

Afin de pouvoir prtendre lappellation IPS, il faut que le produit mis en uvre
sarticule autour de fonctionnalits essentielles :

- La comprhension des rseaux IP (les architectures existantes, les protocoles
utiliss) et des couches applicatives de niveau 7 doit permettre de dtecter
les anomalies protocolaires qui sont synonymes dattaques.

25
- La connaissance des serveurs ddis et de leur architecture logicielle afin de
les enrichir de nouvelles fonctions et de les scuriser encore plus.

- La matrise des sondes rseau et lanalyse des logs dans le but de dceler les
attaques et dcrire les scripts de commande qui piloteront les firewall.

- Comprendre les besoins du client afin de consacrer en priorit la politique de
dfense aux fonctions vitales du rseaux de lentreprise.

- Fonctionner vitesse de ligne afin dviter tout effet nfaste sur la
performance ou la disponibilit du rseau.

- Fonctionner en mode "statefull Inspection" dans le but de connatre chaque
instant le contexte de lanalyse en cours.




4.3 Exemple dIPS : le moteur ASQ de Netasq

LASQ, moteur de dtection et de prvention dintrusion, est intgr dans toute la
gamme des botiers firewalls NetASQ. Anticipant ds sa cration l'volution des
technologies de scurit Internet, les laboratoires de Recherche et Dveloppement
de NetASQ ont mis au point lASQ ds 1998. Ce moteur intelligent intgre un
systme de prvention dintrusion (IPS : Intrusion Prevention System) qui dtecte et
limine tout comportement malicieux en temps rel.

Ceci fait de chaque firewall NetASQ un outil puissant du rseau capable de protger
contre les intrusions sans avoir rajouter dautres lments. Ladministration de la
politique de scurit sen trouve grandement simplifie et donc plus performante.

Une prvention en temps Rel
Lintrt davoir intgr cette technologie directement dans le firewall, est que celui ci
se place en coupure sur le trajet des paquets. Contrairement un IDS, qui se
contente dmettre des alarmes et denvoyer des commandes RESET toujours trop
tard (lattaque est dj passe). Le Firewall NetASQ coupe la connexion avant la
transmission des derniers paquets. De ce fait lattaque ne peut sexcuter.

Virtualisation des couches OSI

LASQ neffectue aucune dsencapsulation proprement parl. En effet la pile IP
nest pas remonte. Donc lASQ ralise ses analyses sur un paquet mis en tampon.
Ceci signifie que toutes les fonctions de scurit sont ralises au niveau du noyau
sans ajout de couche supplmentaire amliorant ainsi les performances.
Une fois que toutes les analyses sont ralises, le paquet est transmis linterface
sortante. Le contexte de ce paquet est gard en mmoire pour le paquet suivant.
Lors du traitement du prochain paquet, lASQ ralisera une analyse du contexte, en
26
plus de lanalyse du format du paquet en lui-mme. Tout paquet mal form est
dtruit, tout comme les paquets participant un contexte malicieux.


Une analyse plusieurs niveaux

Analyse IP
Le principe de cette analyse consiste vrifier la conformit du format des paquets
et datagrammes en fonction des RFC. Cette analyse permet de vrifier lutilisation
correcte et non frauduleuse des protocoles des couches 3 et 4 du modle OSI
(rseau et transport).
Les failles de scurit de ces protocoles proviennent pour la plupart de
limplmentation de la pile TCP/IP. Les comportements analyss ce niveau (analyse
IP) sont souvent lis lutilisation doptions peu ou rarement utilises dans les
communications Internet. Ces paquets mal forms provoquent des bugs et
parfois le crash du systme (Deny of Service).

Analyse des fragments
Le deuxime type de failles qui peut tre exploit est le squencement des
fragments. Lanalyse nest plus effectue au niveau du paquet en lui-mme mais
un niveau dabstraction suprieur, le datagramme. Cest dsormais le fragment qui
est analys dans son environnement. Cest--dire la cohrence quil y a entre celui-ci
et ceux qui suivent, ou qui prcdent.
Cette analyse cherche vrifier quen assemblant les fragments le paquet obtenu
reste valide. Cest dire quaucun fragment ne se chevauche (recouvrement de
fragment), que le paquet soit entier et ne comporte pas dajout effectu
frauduleusement (dbordement sur un fragment, trou entre fragments).

Analyse globale
Cette analyse se place un degr dabstraction suprieur lanalyse des fragments
mais cette fois-ci cest le contexte des connexions qui est vis. La technologie
"Statefull Inspection" base sur la mmorisation du contexte utilisateur permet une
vrification du contenu des paquets transitant par le firewall.

Filtrage (ASQ Dynamic Filtering)
Le firewall NetASQ est de type "Statefull Inspection". Cette technologie permet la
conservation des contextes de connexions. Lintrt est de pouvoir vrifier le trafic
non plus au niveau paquet mais au niveau connexion. Ainsi une attaque se basant
sur des paquets sains mais qui, runis, se rvlent dangereux, sera dtecte par un
tel firewall. De plus cette technologie analyse le contenu des paquets la vole et
sans interruption de liaison ce qui lui assure de meilleures performances.
Pour optimiser le filtrage mis en place dans le cadre dune politique de scurit,
NetASQ a dvelopp un algorithme nomm SKIP. Lors de lanalyse des rgles, celui-
ci regroupe celles qui se suivent et qui ont un critre commun ( partir de trois
rgles). Le but est de sauter lvaluation de plusieurs rgles qui contiennent un
critre liminatoire. Etant donn le critre liminatoire, lvaluation de ces rgles
serait inutile (elle remontera forcment une rponse ngative).

27
Analyse des protocoles applicatifs
Lanalyse est base sur une vrification de la conformit entre lutilisation du
protocole et sa norme. Cette norme est dfinie par des standards tels que les RFCs.
En identifiant un tel trafic, il est possible alors daffiner les dcisions prises lors de la
mise en place dune politique de scurit. Cette mthode est trs puissante car elle
permet de se prvenir dattaques connues mais aussi inconnues. En effet tout trafic
ne rpondant pas aux spcifications des normes sera bloqu par cette analyse. De
plus, il est intressant de remarquer que cette analyse pourra bloquer des attaques
bases sur des schmas dont la signature est connue mais qui ont t lgrement
modifis pour tromper justement les systmes de dtection uniquement bass sur la
signature.
NetASQ associe cette analyse du protocole, une analyse applicative. Cette analyse
vise tablir une cohrence entre len-tte du paquet et la section de donnes de
celui-ci.


La conjugaison de lensemble de ces analyses fait de lASQ un puissant analyseur
temps rel de trafic sans pour autant affecter les performances globales dun firewall
NetASQ.


4.4 Bilan


Il serait illusoire de penser que les IPS constituent la parade ultime aux intrusions.
Dune part, parce que le problme de la scurit informatique existera toujours, une
personne mal intentionne , persvrante et comptente trouvera toujours un moyen
de contourner, tt ou tard les protections mises en place.
Dautre part, car les IPS mettent en uvre des technologies immatures et qui nont
pas encore faites leurs preuves. Beaucoup dadministrateurs hsitent encore les
intgrer dans leur rseaux fautes dinformations et de connaissance de leur
fonctionnement.
De plus la diversit des technologies et des stratgies pouvant tre utilises au sein
des IPS rend impossible la dfinition dun standard de fait. Il est, ds lors, ncessaire
de les apprhender travers un dialogue approfondi avec leurs concepteurs (et
souvent intgrateurs) afin dvaluer la solution la plus approprie aux cas
dutilisations.

Mme si de plus en plus de constructeurs commencent sintresser la protection
de protocoles varies, la plupart des IPS du march sont encore largement orientes
autour du port 80 et souvent inefficaces contre des attaques ports sur dautres
protocoles que le http.

A la mode, les IPS sont prsents sous de nombreuses formes, on retrouve ainsi
normment de solutions "tout en un" pouvant mler pare-feu, VPN, IDS et anti-
virus. Certains pouvant mme y intgrer des fonctions anti-spams. Il faut alors faire
28
attention la mise en uvre car lutilisation de certains anti-virus heuristiques, par
exemple, peut faire chuter dramatiquement les performances.
Leffet marketing est trs important, il est lorigine des IPS, on prendra donc garde
de bien tudier un produit et les personnes qui lont conues avant de lintgrer dans
sa politique de scurit.
29
Conclusion
Cette tude nous a permis de dcouvrir les systmes de dtection dintrusion.
Il nous est paru vident que ces systmes sont prsent indispensables aux
entreprises afin dassurer leur scurit informatique.
Cependant, nous avons pu constater galement que les produits existants ne sont
pas encore suffisamment fiables (notamment en ce qui concerne les faux positifs et
faux ngatifs) et qils restent lourds administrer.

Les IPS, qui tentent de pallier en partie ces problmes, ne sont pas encore
suffisamment efficaces pour tre utiliss dans un contexte de production. Ils sont
actuellement surtout utiliss dans des environnements de tests afin dvaluer leur
fiabilit. Ils manquent galement dun principe de fonctionnement "normalis",
comme il en existe pour les IDS.

Nanmoins, ces technologies sont amenes se dvelopper dans les prochaines
annes, du fait des besoins de scurit croissants des entreprises et de lvolution
des technologies qui permet un fonctionnement plus efficace des systmes de
dtection et de prvention dintrusion.

De plus, les constructeurs de systmes de scurit ont tendance intgrer les IDS et
IPS directement dans les firewalls, de faon renforcer la coopration entre ces
quipements de scurit complmentaires.

Lavenir des technologies de scurit rseau est peut-tre dans une intgration plus
pousse des diffrents outils disponibles pour assurer la scurit dun rseau, car
ladministration de la scurit dune entreprise est une tche de plus en plus
complexe et tendue, alors que les besoins en scurit ne font que crotre.

30
Sources :
-www.securityfocus.com
-www.01net.com
-www.linuxsecurity.com
-www.linuxfocus.org
-www.z0rglub.com/piratage/
-www.secway.fr
-les pages de man
Karen Kent Frederick (laboration dune signature) :
http://www.securityfocus.com/infocus/1524
http://www.securityfocus.com/infocus/1534
http://www.securityfocus.com/infocus/1544

Jason Larsen and Jed Haile (contournement de linterruption de session) :
http://www.securityfocus.com/infocus/1540