Vous êtes sur la page 1sur 52

Master RSI (M2) Année scolaire: 2020/2021

Sécurité informatique

Chapitre5: les systèmes de détection et de prévention d’intrusions

Pr. M. ZAYDI
Système de détection/prévention
d’intrusion
1. Les IDS:
1. Définitions et vocabulaires:
2. Catégories d’IDSs;
a. Détection basée sur l’hôte (HIDS);
b. Détections basée sur les application (ABIDS);
c. Détection basée sur les réseaux (NIDS);
2. Fonctionnement d’un IDS:
a. Modes de détections;
b. Réponses des IDS;
3. Les IPS
4. Les honeypot
5. Mise en place d’un IDS: SNORT:
c. Architecture;
d. Fonctionnement;
e. Mise en place (TP).
Les IDS: définitions
Définition 1:

Un système de détection d’intrusion (ou IDS : Intrusion Detection System) est un

mécanisme destiné à repérer des activités anormales ou suspectes sur la cible

analysée (un réseau ou un hôte).

Il permet ainsi d’avoir une action de prévention sur les risques d’intrusion.

Définition 2:

Il s'agit d'un équipement permettant de surveiller l'activité d'un réseau ou d'un

hôte donné, afin de détecter toute tentative d'intrusion et éventuellement de

réagir à cette tentative.


Les IDS: définitions
Qu’est ce qu’une intrusion?

 Il s'agit d'une action ayant pour but de compromettre; sur un système


d'information :
 la confidentialité;
 l'intégrité;
 la disponibilité;
 l'imputabilité.
 Cette action peut :
 avoir réussi;
 avoir échoué;
 être en cours;
 être une simple phase préparatoire.
 Le système d'information visé peut être :
 un réseau;
 une machine, un système d'exploitation;
 une application.
Les IDS: vocabulaires

 Faux positif:

 fausse alerte levée par l'IDS.

 Faux négatif:

 attaque (au sens large) qui n'a pas été repérée par l'IDS.

 Signature d'attaque: Une signature d'attaque est un motif (patron de

comportement) représentant toute l'information concernant une attaque

connue.

 Sonde :composant de l'architecture IDS qui collecte les informations

brutes
Catégories d’IDS

Les différents types d’IDS:


À cause de la diversité des attaques que mettent en œuvre les attaquants, la
détection d’intrusion peut se faire à plusieurs niveaux.
Il existe donc différents types d’IDS :

• Les systèmes de détection d’intrusions "réseaux" (NIDS);


• Les systèmes de détection d’intrusions de type hôte (HIDS);
• Les systèmes de détection d’intrusions de type application (ABIDS);
• Les systèmes de détection d’intrusions hybrides;
• Les systèmes de prévention d’intrusions (IPS).
Catégories d’IDS: Basée sur l’hôte HIDS

IDS hôte (Host-Based IDS):

 Surveille l’état de la sécurité au niveau des


hôtes:

• analysent exclusivement l'information


concernant cet hôte;
• Analyse des journaux systèmes
• Analyses des appels systèmes
• Vérification de l’intégrité des systèmes
de fichier
• Exemple: Tripwire, WATCH,
DragonSquire, Tiger, Security
Manager..
Catégories d’IDS: Basée sur l’hôte HIDS

IDS hôte (Host-Based IDS):


Catégories d’IDS: Basée sur les
applications ABIDS

 Les IDS basés sur les applications sont un sous-groupe des IDS hôtes(HIDS).

 Ils contrôlent l'interaction entre un utilisateur et un programme en ajoutant des fichiers de


log afin de fournir de plus amples informations sur les activités d'une application
particulière.

 Un ABIDS se situe au niveau de la communication entre un utilisateur et l'application


surveillée.

 L'avantage de cet IDS est qu'il lui est possible de détecter et d'empêcher des commandes
particulières dont l'utilisateur pourrait se servir avec le programme et de surveiller chaque
transaction entre l'utilisateur et l'application.

 Les données sont décodées dans un contexte connu, leur analyse est donc plus fine et
précise.

 Ce type d'IDS est utile pour surveiller l'activité d'une application très sensible, mais son
utilisation s'effectue en général en association avec un HIDS. Il faudra dans ce cas contrôler
le taux d'utilisation CPU des IDS afin de ne pas compromettre les performances de la
machine.
Catégories d’IDS: Basée sur le réseau

IDS réseau:
• Le rôle essentiel d'un IDS réseau est l'analyse et
l'interprétation des paquets circulant sur ce réseau.
• analyser de manière passive les flux en transit sur le réseau
et détecter les intrusions en temps réel.

 Surveille le trafic réseau

o Sonde qui écoute le réseau +


moteur d’analyse
o Approche par détection d ’anomalie
ou par signature
o Exemple: SNORT (l’objet du 2ème
atelier)
Catégories d’IDS: Basée sur le réseau

IDS réseau:
Catégories d’IDS: Basée sur le réseau Les
sondes (1/2)

• Le rôle essentiel d'un NIDS est l'analyse et l'interprétation des paquets circulant
sur ce réseau.
• L'implantation d'un NIDS sur un réseau se fait de la façon suivante :
des capteurs sont placés aux endroits stratégiques du réseau et génèrent des
alertes une fois qu'ils détectent une attaque.

• Ces alertes sont envoyées à une console sécurisée, qui les analyse et les
traite éventuellement.

• Cette console est généralement située sur un réseau isolé, qui relie
uniquement les capteurs et la console.
Catégories d’IDS: Basée sur le réseau Les
sondes (2/2)

 Les capteurs placés sur le réseau sont placés en mode furtif , de façon à être
invisibles aux autres machines.
 Carte réseau est configurée en mode "promiscuous", c'est à dire le mode
dans lequel la carte réseau lit l'ensemble du trafic est confus.
 Aucune adresse IP n'est configurée.

 Un capteur possède en général deux cartes réseaux, une, placée en mode furtif
sur le réseau, l'autre permettant de le connecter à la console de sécurité.

 leur invisibilité sur le réseau, rendent beaucoup plus difficile de les attaquer et
de savoir qu'un IDS est utilisé sur ce réseau.
Catégories d’IDS: Basée sur le réseau Les
sondes (2/2)
 Carte réseau est configurée en mode "promiscuous", c'est à dire le mode
dans lequel la carte réseau lit l'ensemble du trafic est confus.

1. Il faut installer le paquet bridge-utils.

Activer le mode promiscuous

#ifconfig eth0 promisc

Désactiver le mode promiscuous

#ifconfig eth0 -promisc


Les IDS: Choix du placement

Le placement des IDS dépend de la politique de sécurité définie dans le


réseau.
il existe des positions qu'on peut qualifier de standards, par
exemple il serait intéressant de placer des IDS :

 Dans la zone démilitarisée (attaques contre les systèmes publics);


 Dans le (ou les) réseau(x) privé(s) (intrusions vers ou depuis le réseau
interne) .
 Sur la patte extérieure du firewall (détection de signes d'attaques
parmi tout le trafic entrant et sortant, avant que n'importe quelle
protection intervienne).
Catégories d’IDS: Basée sur le réseau
Placement des sondes

Il est possible de placer les capteurs à différents endroits, en fonction de ce que l'on souhaite
observer. Les capteurs peuvent être placés avant (1) ou après (2) le pare-feu, ou encore
dans une zone DMZ (3) (demilitarized zone).
Les modes de positionnement des NIDS

En coupure

INTERNET
Firewall
Routeur
IDS Network

 Ici il a une faiblesse d'architecture, si la


sonde tombe (par exemple à cause d'une
attaque de dénis de service) c'est tout le
réseau qui tombe.
Les modes de positionnement des NIDS

En recopie

 la sonde analyse aussi bien le réseau que


en mode coupure sauf que si elle tombe
due à une attaque cela ne pose aucun
problème à l'architecture réseau.
 Et la sonde étant passive cette solution
est la meilleure.
Système de détection d’intrusion:
Hybrides

 Généralement utilisés dans un environnement décentralisé, ils permettent de


réunir les informations de diverses sondes placées sur le réseau.
 Leur appellation « hybride » provient du fait qu’ils sont capables de réunir
aussi bien des informations provenant d’un système HIDS qu’un NIDS.
 L’exemple le plus connu dans le monde Open-Source est Prelude.
 Ce framework permet de stocker dans une base de données des alertes
provenant de différents systèmes relativement variés.
 Utilisant Snort comme NIDS, et d’autres logiciels tels que Samhain en
tant que HIDS, il permet de combiner des outils puissants tous ensemble
pour permettre une visualisation centralisée des attaques.
Mode de fonctionnement d’un IDS
Mode 1:Reconnaissance de signature (approche par scénario ):
utilise des signatures d'attaques (ensemble de caractéristiques permettant
d'identifier une activité intrusive : une chaîne alphanumérique, une taille de
paquet inhabituelle, une trame formatée de manière suspecte…).
• Méthode basée sur une reconnaissance de caractères
• si Evenement matche Signature alors Alerte
• Facile à implémenter, pour tout type d'IDS
• L'efficacité de ces IDS est liée à la gestion de la base de signatures
 mise à jour
 nombre de règles
 signatures suffisamment précises
• Exemples :
• trouver le motif /winnt/system32/cmd.exe dans une requête HTTP
• trouver le motif FAILED su for root dans un log système.
Mode de fonctionnement d’un IDS

Mode 1:Reconnaissance de signature (approche par scénario ):


Mode de fonctionnement d’un IDS

Mode 1:Reconnaissance de signature (approche par scénario ):

Analyse protocolaire:

 Cette méthode se base sur une vérification de la conformité des flux, ainsi que
sur l’observation des champs et paramètres suspects dans les paquets.
 L’analyse protocolaire est souvent implémentée par un ensemble de
préprocesseurs (programmes ou plug-in), où chaque préprocesseur est chargé
d’analyser un protocole particulier (FTP, HTTP, ICMP, ...).
 Du fait de la présence de tous ces préprocesseurs, les performances dans un tel
système s’en voient fortement dégradées (occupation du processeur).
 L’intérêt fort de l’analyse protocolaire est qu’elle permet de détecter des
attaques inconnues, contrairement au pattern matching qui doit connaître
l’attaque pour pouvoir la détecter.
Mode de fonctionnement d’un IDS

2.1 Reconnaissance de signature (1/2):


Mode de fonctionnement d’un IDS

2.1 Reconnaissance de signature (1/2):

Capture

 La capture sert à la récupération


du trafic réseau.
 se fait en temps réel.
 Son mode de fonctionnement est
de copier tout paquet arrivant au
niveau de la couche liaison de
données du système d'exploitation.
Mode de fonctionnement d’un IDS

2.1 Reconnaissance de signature (1/2):

Signatures
 Les bibliothèques de signatures rendent la
démarche d'analyse similaire à celle de
l’antivirus quand celles ci s'appuient sur
des signatures d'attaques.
 le NIDS est efficace s'il connaît l'attaque,
mais inefficace dans le cas contraire.
 Les outils à base de signatures requièrent
des mises à jour très régulières.
 Les NIDS ont pour avantage d'être des
systèmes temps réel et ont la possibilité de
découvrir des attaques ciblant plusieurs
machines à la fois.
Mode de fonctionnement d’un IDS

2.1 Reconnaissance de signature (1/2):


 Avantages
 simplicité de mise en œuvre;
 rapidité du diagnostic;
 précision (en fonction des règles);
 identification du procédé d'attaque:
 procédé
 cible(s)
 source(s)
 Inconvénients
 ne détecte que les attaques connues de la base de signatures;
 maintenance de la base;
 techniques d'évasion possibles dès lors que les signatures sont connues;
Mode de fonctionnement d’un IDS

Mode2: Détection d’intrusion par anomalie:

• Détecter des anomalies par rapport à un profil « de trafic


habituel »;
• détecter une intrusion en fonction du comportement passé de
l'utilisateur;
• dresser un profil utilisateur à partir de ses habitudes et
déclencher une alerte lorsque des événements hors profil se
produisent;
• Technique appliquée à des utilisateurs, à des applications et à des
services;
Mode de fonctionnement d’un IDS

Type2: Détection d’intrusion par anomalie:

Illustration de l'approche comportementale


Mode de fonctionnement d’un IDS

Type2: Détection d’intrusion par anomalie:


Métriques d'apprentissage :

 la charge CPU,

 le volume de données échangées,

 le temps de connexion sur des ressources,

 la répartition statistique des protocoles et applications utilisés,

 volume des échanges réseau;

 commandes usuelles d'un utilisateur

 les heures de connexion…


Mode de fonctionnement d’un IDS

Type2: Détection d’intrusion par anomalie (1/2):

• La détection d'intrusion comportementale;

• Modélisation du système : création d'un profil normal;

phase d'apprentissage pour définir ce profil;

la détection d'intrusion consistera à déceler un écart suspect entre le


comportement du réseau et son profil;

Repose sur des outils de complexités diverses

 seuils;

 statistiques;

 méthodes probabilistes;
Mode de fonctionnement d’un IDS

Type2: Détection d’intrusion par anomalie (1/2):

méthodes probabilistes:

Considérons le cas d'un utilisateur qui se connecte sur la page d'acceuil du


site Web de l’ONCF afin de consulter un horaire de train :

 Nous allons observer une connexion sur le port 80 du serveur Web de


l’ONCF
 www.oncf.com 80
 Il y a une forte probabilité (0,90) que cette demande de connexion soit
suivie de la requête suivante :
 GET http://www.oncf.com/HTTP/1.0
 On peut de même estimer que celle-ci aura toutes les chances (0,80)
d'être suivie de : HTTP/1.1 200 OK
 On prévoit quelle est la probabilité d’avoir un évènement après un
autre. Si ce n’est pas ça la plupart du temps, on peut avoir un doute…
Mode de fonctionnement d’un IDS

Type2: Détection d’intrusion par anomalie (1/2):

Statistiques:

 l'idée est de quantifier de manière fine toute une série de paramètres

liés à l'utilisateur tels que :

 le taux d'occupation de la mémoire

 l'utilisation des processeurs

 la valeur de la charge réseau

 le nombre d'accès à l'Intranet par jour, etc..


Mode de fonctionnement d’un IDS

2.2 Détection d’intrusion par anomalie (2/2):


• Avantages:
permet la détection d'attaques non connues a priori;
facilite la création de règles adaptées à ces attaques;
Inconvénients
les faux positifs sont relativement nombreux;
générer un profil est complexe;
durée de la phase d'apprentissage;
activité saine du système durant cette phase ?
en cas d'alerte, un diagnostic précis est souvent nécessaire pour identifier clairement
l'attaque.
 Détecter les comportements anormaux des utilisateurs:
o Comparer des statistiques sur le comportement observé d’un système aux statistiques
attendues ( correspondant à un comportement normal);
o Envoyer une alarme si les statistiques observées dépassent un seuil.
 Exemple: Nombre de tentative de login échoué.
Les IDS: architecture

 Un IDS est constitué d’un sniffer couplé avec un moteur qui analyse le

trafic selon des règles.

 Ces règles décrivent un trafic à signaler.

 L’IDS peut analyser les couches ci-après:

 Couche Réseau (IP, ICMP);

 Couche Transport (TCP, UDP);

 Couche Application (HTTP, Telnet).


Les réponses d’IDS Passives

 La réponse passive d'un IDS consiste à enregistrer les intrusions détectées


dans un fichier de log qui sera analysé par le responsable de sécurité.

 Certains IDS permettent de logger l'ensemble d'une connexion identifiée


comme malveillante.

 Ce type de réponse permet de remédier aux failles de sécurité pour empêcher


les attaques enregistrées de se reproduire, mais elle n'empêche pas
directement une attaque de se produire.
Les réponses d’IDS actives

• La réponse active, a pour but de stopper une attaque au moment de sa détection.

o Deux techniques : la reconfiguration du firewall et l'interruption


d'une connexion TCP

1. La reconfiguration du firewall permet de bloquer le trafic malveillant au niveau


du firewall, en fermant le port utilisé ou en interdisant l'adresse de l'attaquant.
2. Interrompre une session établie entre un attaquant et sa machine cible, de façon
à empêcher le transfert de données ou la modification du système attaqué.
• l'IDS envoie un paquet TCP reset aux deux extrémités de la connexion (cible
et attaquant). Un paquet TCP reset a le flag RST de positionné, ce qui
indique une déconnexion de la part de l'autre extrémité de la connexion.
Les systèmes de prévention
d’intrusions(IPS)

Définition :

Ensemble de composants logiciels et matériels dont la fonction

principale est d’empêcher toute activité suspecte détectée au sein d’un

système.

Les IPS sont des outils aux fonctions « actives », qui en plus de détecter

une intrusion, tentent de la bloquer.


Les systèmes de prévention
d’intrusions(IPS)

Stratégies de prévention d’intrusions :


 host-based memory and process protection : surveille
l’exécution des processus et les tue s’ils ont l’air dangereux. Cette
technologie est utilisée dans les KIPS (Kernel Intrusion Prevention
System).
 session interception / session sniping : termine une session
TCP avec la commande TCP Reset : « RST ». Ceci est utilisé dans les
NIPS.
 gateway intrusion detection : si un système NIPS est placé en
tant que routeur, il bloque le trafic ; sinon il envoie des messages à
d’autres routeurs pour modifier leur liste d’accès.
IPS: inconvénients (1/2)

Il bloque toute activité qui lui semble suspecte. Or, il est impossible d’assurer une
fiabilité à 100% dans l’identification des attaques. Un IPS peut donc
malencontreusement bloquer du trafic inoffensif.
Exemple :
1. un IPS peut détecter une tentative de déni de service alors qu’il s’agit d’une
période chargée en trafic. Les faux positifs sont donc très dangereux pour
les IPS.
2. Un attaquant peut utiliser sa fonctionnalité de blocage pour mettre hors service
un système. Un individu mal intentionné qui attaque un système protégé par un
IPS, tout en spoofant son adresse IP. Si l’adresse IP spoofée est celle d’un noeud
important du réseau, les conséquences seront catastrophiques. Pour palier ce
problème, de nombreux IPS disposent des « white lists », c-à-d des listes d’adresses
réseaux qu’il ne faut en aucun cas bloquer.
IPS: inconvénients (2/2)

3. à chaque blocage d’attaque, il montre sa présence.

Un attaquant tentera de trouver une faille dans celui-ci afin réintégrer son

attaque... mais cette fois en passant inaperçu.

• les IDS passifs sont souvent préférés aux administrateurs, Cependant, il est

intéressant de noter que plusieurs IDS (Snort, RealSecure, Dragon, ...) ont

été dotés d’une fonctionnalité de réaction automatique à certains types

d’attaques.
Honeypot

 est une ressource du système d'information qui est


expressément mise en place pour attirer et piéger les
personnes qui tentent de pénétrer le réseau d'une
organisation;

 elle n'a aucune activité autorisée, n'a aucune valeur de


production, et tout trafic vers elle est susceptible de
constituer une enquête, une attaque ou un compromis ;

 un pot de miel peut enregistrer les tentatives d'accès au port


ou surveiller les frappes de touches d'un attaquant, ce qui
peut constituer une alerte précoce d'une attaque plus
concertée.
Honeypot: types

Honeypots de production :

 Il déroute les attaques orientées vers les différents services de production du


système, en les attirant vers lui.
 Ainsi les honeypots de production réduisent le risque, en renforçant la sécurité
qui est assurée par les autres mécanismes de sécurité comme les firewalls, les
IDS (systèmes de détections d’intrusions), etc.

· Honeypots de recherche :

 Ce sont des honeypots dont le souci n’est pas de sécuriser un système


particulier.
 Ils sont introduits dans un environnement de recherche pour comprendre et
étudier les attaquants et leur façon de procéder. Les renseignements tirés vont
servir pour améliorer les techniques de protection contre ces attaques.
Atelier 2

Mise en place de de la sonde SNORT


SNORT

SNORT est NIDS disponible sous licence GNU, son code source est accessible et
modifiable à partir de l’URL : « http://www.snort.org »
SNORT permet d’analyser le trafic réseau de type IP, il peut être configuré pour
fonctionner en trois modes :
• le mode sniffer : dans ce mode, SNORT lit les paquets circulant sur le réseau et
les affiche d’une façon continue sur l’écran ;
• Le mode « packet logger » : dans ce mode SNORT journalise le trafic réseau
dans des répertoires sur le disque ;
• le mode détecteur d’intrusion réseau (NIDS) : dans ce mode, SNORT analyse
le trafic du réseau, compare ce trafic à des règles déjà définies par l’utilisateur et
établi des actions à exécuter ;
le mode Prévention des intrusion réseau (IPS), c’est SNORT-inline.
Positionnement de SNORT dans le réseau
Architecture SNORT

Figure 1. Architecture de SNORT


Architecture SNORT

Un noyau de base : (PacketDecoder) au démarrage, ce noyau charge un


ensemble de règles, Les compile, les optimise et les classe. Durant l’exécution, le rôle
principal du noyau est la capture des paquets.

Une série de pré–processeurs: (Detection Engine) ces derniers améliorent


les possibilités de SNORT en matière d’analyse et de recomposition du trafic
capturé. Ils reçoivent les paquets directement capturés et décodés, les retravaillent
éventuellement puis les fournissent au moteur de recherche des signatures pour les
comparer avec la base des signatures.

Une série de « Detection plugins »: Ces analyses se composent principalement


de comparaison entre les différents champs des headers des protocoles (IP,
ICMP,TCP et UDP) par rapport à des valeurs précises.

Une série de « output plugins »: permet de traiter cette intrusion de plusieurs


manières envoie vers un fichier log, envoie d’un message d’alerte vers un serveur
syslog, stocker cette intrusion dans une base de données MYSQL.
SNORT: fonctionnement
Les règles SNORT

Les règles de SNORT sont composées de deux parties distinctes :


le header et les options
 Le header permet de spécifier le type d’alerte à générer (alert, log et
pass) et d’indiquer les champs de base nécessaires au filtrage : le
protocole ainsi que les adresses IP et ports sources et destination.

 Les options, spécifiées entre parenthèses, permettent d’affiner l’analyse,


en décomposant la signature en différentes valeurs à observer parmi
certains Champs du header ou parmi les données.
Les règles SNORT
Les règles SNORT

Exemple de règle :

Alert tcp any any -> 192.168.1.0/24 80 (flags :A ;\content : “passwd”; msg: “detection
de `passwd’ “ ;)

Cette règle permet de générer un message d’alerte “detection de passwd” lorsque le trafic
à destination d’une machine du réseau local 192.168.1.0/24 vers le port 80, contient la
chaîne « passwd » (spécifié par l’utilisation du mot-clé « content »), et que le flag ACK du
header TCP est activé (flags : A).
Exercice: placer les composants de sécurité dans l’architecture

Indice: il s’agit de deux sites interconnectés


par Internet

Vous aimerez peut-être aussi