Académique Documents
Professionnel Documents
Culture Documents
RESPONSABLES
AUTEUR
Diala ABIHAIDAR
INTRODUCTION ..................................................................................................................................2
1. LES IDS...............................................................................................................................................3
1.1.
1.2.
1.3.
1.4.
2.
3.
CONCLUSION .....................................................................................................................................15
BIBLIOGRAPHIE ...............................................................................................................................16
ANNEXE A OUTILS UTILISES DANS OSSIM ..................................................................................17
ANNEXE B CARACTERISATION DUNE MACHINE PAR OSSIM .....................................................18
Introduction
De nos jours, le monde de la communication et du multimdia est en perptuelle
mutation. De nouvelles technologies mergentes, telles la Voix sur IP, Internet, email,
intranet, extranet et le commerce Business to Business , forcent les entreprises ouvrir
leurs portes informatiques au reste du monde afin de rester comptitives. Malheureusement,
cette ouverture vers lextrieur augmente sensiblement les risques lis la scurit de
lentreprise.
Assurer la scurit informatique revient garantir lintgrit et la confidentialit des
donnes, la disponibilit, la non rpudiation auxquelles sajoute lauthentification si on
considre la scurit sur lensemble du rseau informatique. Tout systme informatique peut
tre la cible dune menace qui cherchera exploiter ses vulnrabilits. Une tape danalyse
complte du systme protger doit tre faite pour dtecter ses vulnrabilits et prendre
certaines contre-mesures indispensables pour la prvention des attaques malveillantes. La
deuxime tape consiste en une surveillance dite dynamique qui revient surveiller le rseau,
une fois la prvention faite, pour dtecter dventuelles intrusions. Dans le cadre de
lobservation des intrusions sur un rseau informatique il savre vident quil est ncessaire
dautomatiser la tche vu lnorme volume de donnes traiter. Ceci est confi aux outils de
dtections dintrusions (IDS, Intrusion Detection System). Cependant force est de constater
que de nombreuses intrusions sont non dtectes ou bien certaines sont dtectes alors
quelles ne compromettent pas le systme en question. Les IDS prsentent certainement des
lacunes que lon cherche depuis toujours combler. Une corrlation dalerte peut paratre une
solution pour rduire le nombre de fausses alertes. Une connaissance cartographique peut
parfois apporter des informations exploitables par le processus de corrlation.
Cette tude bibliographique est divise en trois grandes parties. La premire
consistera tudier les IDS pour voir pourquoi ils savrent insuffisants pour une gestion
optimale de la scurit du rseau. La deuxime partie traitera de la cartographie. Les
diffrentes techniques et les diffrents outils de cartographie seront tudis pour montrer leurs
avantages et leurs points faibles ainsi que les diffrentes informations quils sont capables de
fournir sur le rseau. La dernire partie sera consacre la corrlation dalertes ; une
prsentation rapide des mthodes existantes dbouchera sur les perspectives.
1. Les IDS
Les IDS sont des outils automatiques de surveillance de trafic destins dtecter toute
activit anormale ou suspecte suppose tre une tentative de violation de la politique de
scurit mise en uvre. Les IDS sont classs sous deux catgories : les HIDS (Host based
Intrusion Detection System) et les NIDS (Network based Intrusion Detection System). Les
HIDS assurent la scurit au niveau des machines htes. Ils dtectent tout accs ou
modifications non autoriss de fichiers. Ils utilisent des modules logiciels implants sur les
machines htes surveiller qui lisent les fichiers de log pour collecter les informations utiles
dans des traces daudit. Les NIDS quant eux assurent la scurit des rseaux en enregistrant
des donnes observes sur le trafic rseau. Ils ncessitent des machines ddies places dans
des endroits bien prcis ( la sortie dun firewall, devant un serveur Web). Ils capturent et
lisent les paquets IP circulant sur le rseau (Sniffing).
1.1.
Nous avons vu que le rle principal de lIDS est de dtecter des intrusions. Reste savoir
comment il va pouvoir le faire, en dautres termes quest-ce quun IDS cherchera savoir.
Deux approches de dtections existent [2]: lapproche comportementale et lapproche par
scnario.
Lapproche comportementale se base sur lide de profil dun utilisateur (ou groupe
dutilisateurs). Un profil dutilisateur est vu comme tant le trafic rseau relatif, la taille de
donnes changes, le nombre de connexions par jour tablies par cet utilisateur ou vers cet
utilisateur Cette approche consiste comparer le profil de ce dernier un profil dfini au
pralable correspondant un comportement normal et enregistr dans une base de
comportements dans le but de dtecter des dviations notables. Cette approche cherche donc
dtecter une anomalie de comportement.
La deuxime approche consiste analyser les traces daudit systme ou les donnes sur le
rseau pour dtecter des comportements interdits. Ces derniers sont reprs par certains
motifs ou signatures relatifs des attaques connues et enregistres dans une base de
signatures dattaques. Cette approche cherche donc dtecter des manifestations dattaques.
La rponse des IDS suite une dtection dintrusion peut tre de deux sortes. Elle peut
correspondre une simple alerte, notification envoye pour le personnel responsable via un
message dalerte sur une console, une mise jour de rapport dattaques Cest une rponse
passive. Mais il est aussi possible que lIDS rponde en exerant une action spcifique
comme par exemple dconnecter un utilisateur, fermer des ports, reconfigurer un firewall
Cest une forme active de rponse et nous avons tendance parler dIPS (Intrusion
Prevention System).
1.2.
On peut dj noter quelques faits concernant les deux approches prcdentes surtout en ce
qui concerne les alertes gnres. Ces deux approches peuvent donner lieu des faux positifs
et des faux ngatifs. Les faux positifs sont la dtection dune intrusion en labsence de celle
ci. Les faux ngatifs sillustrent par le fait que le systme na pas dtect une intrusion qui a
eu lieu.
Avec lapproche comportementale, il est fort probable de dclencher un grand nombre de
faux positifs. En effet les comportements qualifis de normaux sont gnralement appris par
le module par une simple observation. Il peut y avoir une dviation normale du systme sans
que celle-ci reprsente une intrusion potentielle mais lIDS va dclencher une alerte (faux
positif). De mme un attaquant peut taler son attaque dans le temps pour quelle corresponde
un comportement normal appris par le module. Ceci est source de faux ngatifs.
Le problme avec la deuxime approche est quelle se base sur une bonne dfinition de la
politique de scurit et une prise en compte de toutes les attaques possibles puisque toute
1.3.
Un autre aspect de comparaison des IDS est la mthode de dtection employe par ces
diffrents outils. En ce qui concerne lapproche par scnario, la majeure partie des IDS
prsents sur le march se contentent dune analyse paquet par paquet sans prendre en
considration quune attaque peut tre distribue sur plusieurs paquets. La dtection
dintrusion dans ce cas consiste chercher lexistence dune certaine signature dattaque dans
un paquet ; si cette dernire existe une alerte est dclenche sinon le paquet est accept et un
autre paquet est analys. Cette mthode est qualifie de stateless puisquelle ne garde pas
dinformation sur ltat des diffrents paquets analyss. Par contre une approche dite
stateful consiste garder des traces de chaque paquet analys mme si ce dernier ne
comporte pas une signature dattaque. Plusieurs informations relatives aux paquets (valeurs
des champs de lentte, certaines informations prsentes dans le contenu du paquet) sont
collectes au fur et mesure de lanalyse et ceci durant une fentre temporelle fixe (120
secondes dans certains exemples [19]). Ces informations seront exploites pour grouper les
paquets selon les sessions auxquelles ils appartiennent. Les diffrents groupes seront ensuite
analyss pour dtecter dventuel scnario dattaques. Les IDS employant cette mthode sont
dits SIDS (Stateful Intrusion Detection System). Ils ont lavantage de pouvoir dtecter des
attaques (TearDrop Attack, Loki Information Tunneling Attack [19]) difficilement dtectables
par un IDS dit stateless . Lapport de cette mthode de dtection tant la rduction du
nombre des faux ngatifs puisque de nouvelles attaques sont dsormais dtectables.
1.4.
Lautre problme auxquels on sintresse de nos jours est de trouver un moyen de rduire
le nombre dalertes. La meilleure faon de le faire est de corrler les diffrentes alertes
gnres par les dtecteurs dintrusions. De plus, les alertes gnres par les IDS peuvent tre
conformes aux signatures dfinies et illustrent des attaques sans pour autant que ces dernires
ne soient effectives. Prenons lexemple dune machine Unix avec un serveur Web Apache et
un IDS signalant une attaque sur Microsoft IIS. Cette attaque na pas rellement deffet sur la
machine. On dfinit un degr de fiabilit associ une alerte dIDS qui illustre quel point on
est certain sa rception, de lexistence dune attaque potentielle. Il est vident que si lIDS
nest pas trs fiable ceci implique lexistence de pas mal de faux positifs.
Ce genre de faux positifs gnrs par les IDS peut tre rduit si ces derniers ont une
meilleure connaissance des quipements du rseau. Il existe des modules de cartographie
quon dtaillera ci-aprs capables de connatre ce genre dinformation exploitable pour une
rduction du taux de fausses alertes. Ceci est lun des buts de la cartographie de rseaux.
2.3.1. NeVO
NeVO (Network Vulnerability Observer) est un outil commercial en versions Windows
et UNIX. A la manire dun IDS, NeVO fait de lcoute passive sur le rseau en observant les
paquets qui y circulent. Il identifie les protocoles de communication utiliss entre les
diffrents quipements, les applications qui tournent sur chacun ainsi que les vulnrabilits
existantes qui peuvent tre exploites. Il identifie les Web proxies et les traite en tant que tels.
Il tablit pour chaque serveur une liste de tous les ports actifs et les observe pour
enregistrer les machines qui ont dialogu avec lui via ce port ainsi que le service accd.
NeVO a lavantage dobserver des sessions compltes tout au long du temps et plusieurs
sessions en parallle. Chaque session est observe pendant toute sa dure jusqu ce quune
attaque soit dtecte. Il est par contre vident que le plus vulnrable des serveurs ne peut tre
dtect par NeVO que sil existe une communication tablie avec lui. Ceci est un
inconvnient non seulement de NeVO mais de tout outil dcoute passive puisquil nmet
aucun paquet et se contente dobserver le rseau. NeVO, en observant les paquets SYN, peut
fournir des informations concernant le type dOS existant sur les machines actives du rseau.
Un des avantages de NeVO comme de tout autre outil passif est quil peut dtecter les
vulnrabilits non seulement du ct du serveur -comme le font les outils actifs- mais aussi du
ct client. Il permet de dtecter les applications (le browser Web par exemple Internet
Explorer) qui existent du ct client et identifie les vulnrabilits correspondantes. Ceci est
fait grce un mcanisme de signature bas sur des expressions rgulires regex
appliques aux paquets et qui permettent une recherche de motif (pattern matching) relatif
une vulnrabilit connue. Des exemples de signatures existent dans la rfrence [4]. Avec ces
expressions on a la possibilit dobserver des paquets corrls entre eux (requte/rponse).
Suite la dtection dun certain motif dans un paquet il est possible de chercher un autre
motif dans des paquets qui lont prcd. Comme NeVO a la caractristique de faire une
tude multi vnementielle, il est dit stateful .
2.3.3. Snort
Snort est un NIDS tlchargeable gratuitement et qui peut tourner sur toutes les
plateformes (Linux, BSD, Solaris/Sun et MAC OS...) [13]. Facile installer et mettre en
uvre, Snort va faire de lcoute passive du rseau et gnrer des fichiers logs . Il est bas
sur libpcap qui enregistre les donnes circulant sur le rseau en mode promiscous. Il utilise
des rgles de dtection dintrusion trs simples bases sur des signatures pour faire du
pattern matching . Snort a la caractristique de pouvoir non seulement analyser les enttes
des paquets mais aussi les donnes de la couche applicative ce qui le dote du pouvoir de
dtection dattaque du type dbordement du buffer ou scanning CGI. Il fournit des
fonctionnalits dalerte en temps rel dues la simplicit de ses rgles. Il fait une analyse de
protocole et peut faire de la prise dempreinte dOS.
2.3.4. EttercapNG
EttercapNG tourne sur Windows, FreeBSD, Solaris, MAC OS, Linux Cest un outil
gratuit trs utilis et facilement tlchargeable donc la porte de tous [5]. EttercapNG peut
dcouvrir et identifier des htes de faon active ou en se contentant dune coute passive du
rseau. Dans son mode passif il peut dterminer les machines actives du rseau, les diffrents
OS en exploitant les paquets SYN et SYN+ACK, les ports ouverts (paquet SYN+ACK) et les
versions de services hbergs par les serveurs, la nature de la machine hte (simple hte,
routeur, passerelle) et mme une distance estime en nombre de hops jusqu la machine.
Sa recherche de motifs se fait avec des expressions rgulires regex . En mode actif il
envoie des requtes ARP pour toute adresse IP du rseau (en regardant une adresse IP et le
netmask) et reoit toutes les rponses. Par consquent il tablit la liste des machines actives
du rseau. Ainsi il est possible didentifier mme les machines qui nont pas encore dialogu.
EttercapNG est dot dun cache DNS pour la collecte des informations sur les noms des
machines acquises en mode passif.
Une caractristique dEttercap est sa possibilit dintercepter des paquets mis, les
exploiter pour en tirer le maximum dinformation et mme les modifier. Pour comprendre
comment ceci est possible, il faut noter que ARP est un protocole qui comme tout outil
informatique contient des vulnrabilits. Une machine accepte de recevoir une rponse ARP
mme si elle na pas demand de requtes et insre la rponse dans sa table ARP. Ettercap va
exploiter ceci pour envoyer des rponses ARP des machines quil veut intercepter en
prcisant chacune ladresse MAC qui est relative la machine sur laquelle il tourne. Il fait
ceci des deux cts et maintient la correspondance MAC/IP pour pouvoir renvoyer les
2.3.6. Nessus
Le projet Nessus a dmarr en 1998, sous la direction de Renaud Deraison qui
voulait fournir un outil de balayage puissant, gratuit et facile grer. Nessus est un outil qui
emploie une mthode active pour la cartographie du rseau et le balayage des ports.
Lavantage vident dune telle approche est labondance dinformations recueillie par le
systme, linconvnient est le surplus de trafic inutile sur le rseau. Deux versions existent
pour cet outil, lune pour les systmes bass sur Unix (Mac OS X, FreeBSD, Linux, Solaris,
etc..) et une autre pour les plateformes Windows, appele NeWT (NeWT 2.0). Il est utile de
mentionner que la version Windows, bien quelle soit gratuite, nest cependant ni transfrable
ni sous licenciable et nest destine qu un usage strictement personnel. Nessus est le seul
outil offrir la possibilit de faire des contrles de scurit locaux, en plus des contrles
distance conventionnels. Cette caractristique se rsume en la capacit de Nessus, partir de
sa version 2.1, de se connecter sur le hte distance. Il peut ainsi valuer les patchs manquant
sur une plateforme donne et les dernires mises jour disponibles pour protger le systme.
Nessus a aussi lavantage de faire de la reconnaissance de services intelligente (Smart Service
Recognition) : Nessus ne part pas du principe que les outils cibls respectent les numros de
port dsigns par lIANA, ce qui veut dire quil peut reprer un serveur FTP sexcutant sur
un port non standard ou un serveur Web utilisant un port autre que 80. Nessus a t le premier
outil offrir cette possibilit et a t maintes fois copi depuis. Une autre caractristique trs
utile de Nessus est le recensement de tuples de service. Si un hte excute plusieurs instances
dun mme service, Nessus identifiera et testera chaque instance de ce service
2.3.7. Scotty/Tkined
Scotty/Tkined est un outil permettant la surveillance de rseau en utilisant des API
(Application Programming Interface) de haut niveau [17]. Linnovation de ce programme se
trouve dans le fait quil est base de Tcl (Tool Command Language), ce qui facilite sa
portabilit sur tous genres de plateformes. Il se scinde en deux packages principaux : le
premier, Tnm Tcl Extension, fournit laccs aux sources dinformation de gestion de rseau.
Le second, Tkined (Tcl/tK-based Interactive Network EDitor), est lditeur de rseau,
fournissant un environnement graphique facile grer et comprendre la fois. Tnm Tcl
Extension supporte les protocoles suivants:
1.
2.
3.
4.
5.
6.
7.
2.3.8. Nmap
Nmap (Network Mapper) est un outil gratuit [9], disponible sous licence GNU GPL,
servant lexploration de rseaux et laudit scuritaire. Il utilise une mthode active de
recherche dinformations. Cet outil est aussi bien adapt des tests sur des centaines de
2.3.10. P0f
P0f est un outil de prise dempreinte passive qui propose quatre modes diffrents de
fingerprinting [10]:
Incoming connection fingerprinting (SYN mode, mode par dfaut): pour
identifier lOS install sur un hte qui se connecte notre plateforme,
Outgoing connection fingerprinting (SYN+ACK mode): pour dterminer le
systme dexploitation de lhte sur lequel on se connecte,
Outgoing connection refused fingerprinting (RST+ mode): pour une prise
dempreinte dun systme qui rejette notre trafic,
Established connection fingerprinting (stray ACK mode): pour examiner des
sessions en cours sans interfrence de sa part.
10
2.3.11. OSSIM
OSSIM (Open Source Security Information Management) illustre une mise en uvre
de la cartographie pour amliorer la dtection dintrusions. Son principal atout est que OSSIM
nest pas un outil en tant que tel mais regroupe un grand nombre doutils open source
existants pour offrir une meilleure gestion de la scurit du rseau. OSSIM offre un
environnement centralis de monitorat et de gestion de toutes les informations dlivres par
les diffrents outils quil gre. Avec OSSIM il est possible de dfinir des rgles de scurit
relatives la politique de scurit adopte, de connatre la cartographie du rseau et de
corrler les diffrents outils pour optimiser la supervision (rduire les faux positifs par
exemple). On cherche exploiter les caractristiques des diffrents outils dj existants pour
collecter le plus dinformation ncessaire pour une meilleure vision du rseau. OSSIM
garantit linteroprabilit des diffrents outils.
Il possde trois caractristiques principales :
Intgration : OSSIM regroupe et intgre sur une mme plateforme plusieurs outils de
scurit (Snort, Nessus, POf, Nmap) (voir Annexe A) offrant des fonctionnalits de
gestion de rseau (audit, pattern matching, dtection danomalies)
Corrlation : OSSIM offre la possibilit de corrler les alertes et de rduire par
consquent le nombre de faux positifs.
Analyse de vulnrabilits : OSSIM offre des fonctionnalits qui permettent une bonne
inspection des mesures de scurit du rseau. Lusage de Nessus par exemple va
permettre OSSIM de faire un inventaire de toutes les vulnrabilits existantes et donner
une ide sur la situation du rseau.
OSSIM est capable de fournir sur chaque quipement les informations suivantes : OS,
adresse MAC, nom Netbios ou DNS, ports ouverts ainsi que versions et type de services sur
ces ports et enfin des informations sur lusage du rseau (le trafic par connexion, par
jour)(Voir Annexe B). Toutes ces informations sont collectes de faon active et passive. Il
peut aussi dtecter automatiquement tout changement de ces diffrents paramtres et le
signale si ncessaire.
11
Console
interface Web
Capteurs
IDS, dtection
danomalie, monitorat temps rel
12
3.1.
Plusieurs techniques de corrlation ont t mises en place durant les dernires annes.
Une de ces techniques est celle utilise dans le dtecteur EMERALD et dite corrlation
bayesienne [20] qui repose sur lagrgation. Cette approche consiste dgager des similarits
entre les diffrents attributs communs un sous ensemble dalertes. Ces attributs sont
ladresse de lattaquant, ladresse de la cible, lidentifiant de la sonde gnrant lalerte, la date
doccurrence et le type dattaque. Une mta-alerte est ensuite cre. Elle aura comme attributs
lunion des diffrents attributs des alertes de lensemble constitu par les alertes considres
similaires. Linconvnient de cette mthode est que daprs la dfinition des types dattaques,
une alerte ne peut appartenir qu un seul type dattaque. En plus aucune information sur la
13
3.2.
Les perspectives
Daprs cette brve description des techniques existantes on peut dj noter quil
existe toujours des lacunes dans chacune de ces mthodes. Ces lacunes pourraient tre
combles si dautres informations plus prcises sur les diffrents systmes du rseau peuvent
tre recueillies.
On peut mme se demander si on ne pouvait pas descendre un rang dans la dtection
dintrusion. Au lieu de chercher corrler des alertes pourquoi ne pas optimiser le processus
de dtection lui-mme en essayant de faire un suivi des activits dun attaquant dans le temps.
Ceci est dj vu dans ce que lon a appel lapproche stateful de la dtection. Ce qui ne va
pas sans problme de stockage de donnes mais pourra, en dfinissant les signatures ou les
scnarii de faon y corrler des informations en provenance des outils de cartographie,
rduire peut-tre le nombre dalertes gnres. Le problme est que lattaquant pourra essayer
de faire exploser la sonde stateful en initialisant un grand nombre dattaques sans jamais les
terminer, un peu comme dans un syn-flooding.
14
Conclusion
Actuellement la demande en matire de scurit est de plus en plus importante. Les
attaques quant elles, sont devenues invitables et les outils de dtection prsentent certaines
limites. La tendance optimiser ces derniers va de pair avec la recherche de nouvelles sources
de donnes exploitables.
La corrlation dalertes est un domaine prometteur. Beaucoup de travaux sont
actuellement en cours pour laborer de nouvelles mthodes et de nouveaux outils permettant
doptimiser le processus de dtection dintrusions. Un autre domaine de recherche est en_train
de progresser, celui de la cartographie de rseaux qui, on lespre, va venir en aide aux
techniques de corrlation dalertes.
Cest dans cette voie de recherche que va seffectuer notre stage avec lespoir de
pouvoir apporter des rponses certaines questions qui se posent toujours dans ce domaine
15
Bibliographie
[1]
[2]
[3]
[4]
[5]
[6]
[7]
[8]
[9]
[10]
[11]
[12]
[13]
[14]
[15]
[16]
[17]
[18]
[19]
[20]
[21]
[22]
16
ANNEXES
Annexe A Outils utiliss dans OSSIM
17
Linux
18
19