25/02/2013

Intrusion Detection System
• Les réseaux avec Firewalls (ZBF)  ne sont pas 
protégés contre les attaques des scripts et 
Network Intrusion Detection  activités malicieuses,
Systems • Détection et protection contre les attaques 

ILY
HD A
contre les réseaux
IPS - IDS • Trois types d'attaques réseau

LE NC
– la reconnaissance
– L'accès
– Déni de service

ID AB I
BE LA
CH AS SR
BTS –SRI    ‐ LAK ‐ CASABLANCA 2

RA K C BTS
Intrusion detection/Prevention 
Promiscuous‐Mode Protection: IDS
System (IDS/IPS)
1
– Le système de détection ou prévention des intrusions  A network device sends copies
of packets to the sensor for analysis.
(IDS/IPS) est un logiciel ou un matériel conçu pour 
surveiller, analyser et répondre aux événements qui 
LA
2
se produisent dans un réseaux informatique et qui  If the traffic matches a signature,
the signature fires.
ont éventuellement des signes de violation des  Switch
politiques de sécurité de l’entreprise.
– Les incidents de violations peuvent être des 
32
tentatives indésirables d’accès, de manipulation ou  The sensor can send an alarm
to a management console and
de désactivation du système informatique,  take a response action such as Sensor
resetting the connection.
principalement via un autre réseau, tels que 
l'Internet. Management 
System
Target

BTS –SRI    ‐ LAK ‐ CASABLANCA 3 BTS –SRI    ‐ LAK ‐ CASABLANCA 4

BTS –SRI - LAK - CASABLANCA 1

 25/02/2013

Inline‐Mode Protection: IPS IDS vs IPS
IDS IPS
Intrusion Detection Intrusion Prevention
System System
Position Dans  Connecter au réseau Inline sur le trafic 
The sensor resides in the le réseau Reçoit seulement une  Toutes las paquets passent
data forwarding path.
copie des paquets pour  par IPS

ILY
HD A
analyse 
Latences  ‐ Pas de latences  ou délai  Oui – Il y a une latences et 

LE NC
An alert can be
Sensor
Délais  pour le trafic un délai pour le trafic
If a packet triggers a
sent to the
management console.
signature, it can be DoS Non pas de Risque de  Oui pour DoS car il est en 
dropped before it
reaches its target. Déni de services ligne avec le trafic

ID AB I
BE LA
Peut il arrêter Pas directement  Oui – Il est en ligne et 

CH AS SR
Management  Target les attaques arrête directement le 
System
5 BTS –SRI    ‐ LAK ‐ CASABLANCA trafic   malicieux 6
BTS –SRI    ‐ LAK ‐ CASABLANCA

RA K C BTS
Types d’Intrusion Detection Systems Network‐Based Intrusion Detection
• Network‐Based Intrusion Detection Systems
– Connecter au réseau pour analyser le flux de données, Corporate
network
– Un seul IDS sensor peut surveiller plusieurs hôtes
LA
Sensor
– NIDS sensors se présente en deux formes 
Sensor
• Appliance: Il se compose de capteur matériel  Firewall
spécialisé et de logiciels dédiés. Le matériel se compose  Untrusted
de carte réseaux spécialisées NIC, de processeurs et les  network
disques durs afin de capturer efficacement le trafic et 
effectuer des analyses.
– Examples: Cisco IDS 4200 series, IBM Real Secure Network
• Software:  Sensor software est installer sur le serveur et connecté  Management  WWW DNS
System
au  réseau  afin d’analyser et superviser le trafic. server server
– Examples: Snort, Bro, Untangle

BTS –SRI    ‐ LAK ‐ CASABLANCA 7 BTS –SRI    ‐ LAK ‐ CASABLANCA 8

BTS –SRI - LAK - CASABLANCA 2

 25/02/2013

IDS/IPS ‐ Appliances Cisco IOS Intrusion Prevention

System (IPS)
• Cisco IOS Intrusion Prevention System (IPS) est 
en ligne, la fonction d'inspection approfondie 
des paquets qui atténue efficacement un large 
éventail d'attaques sur réseau. 

ILY
HD A
• Cisco IOS IPS fournit au réseau une 

LE NC
intelligence pour identifier avec précision et 
classer, arrêter ou bloquer, le trafic malveillant 
en temps réel.

ID AB I
BE LA
CH AS SR
Cisco IPS 4270 Sensor

BTS –SRI    ‐ LAK ‐ CASABLANCA 9 BTS –SRI    ‐ LAK ‐ CASABLANCA 10

RA K C BTS
Cisco Intrusion Detection System Services 
Cisco Module IPS sensor LA Module (IDSM‐2) – Switch 6500

BTS –SRI    ‐ LAK ‐ CASABLANCA 11 BTS –SRI    ‐ LAK ‐ CASABLANCA 12

BTS –SRI - LAK - CASABLANCA 3

 25/02/2013

Host based intrusion detection  Host‐Based Intrusion Detection
Systems ‐ HIPS
• Host based intrusion detection Systems Agent Agent
Corporate
– Software (Agents) installed on computers to  network
monitor input and output packets from device Firewall
Untrusted
– It performs log analysis, file integrity checking,  network

ILY
HD A
policy monitoring, rootkit detection, real‐time  Agent Agent Agent Agent

alerting and active response. Agent Agent

LE NC
WWW  DNS server
– Examples: server
HIPS dans les serveurs va décrypter les paquets venant de
• Cisco Security Agent (CSA) , OSSEC, Tripwire
l’extérieur ( paquets crypter sous SSL) et qui peuvent être des

ID AB I
BE LA
scripts malicieux ou attaque,

CH AS SR
HIPS demande au système d’exploitation de ne pas exécuter ces
BTS –SRI    ‐ LAK ‐ CASABLANCA 13
paquets BTS –SRI    ‐
dans Le cas d’attaque,
LAK ‐ CASABLANCA 14

RA K C BTS
Types d’alerte de IPS Méthodes de détection:  Signatures 
• Connaitre les caractéristiques de l’attaque,
Alerte Désignation  • Signature des Virus, Worm …
FAUSSE POSITIVE C’est un trafic valide mais  • Efficacité = Mise à jour quotidienne des signatures
considéré par IPS comme trafic  • compare les paquets à une base de données de signatures de 
LA
malicieux (MAUVAIS) menaces malveillantes connues .
FAUSSE NEGATIVE  C’est un trafic NON valide ET  • De la même façon la plupart des logiciels antivirus détecte les 
MALVEILLANT mais VU par IPS  logiciels malveillants. 
comme trafic VALIDE . – Examples: Cisco Sensors 4200 series, Snort
VRAIE POSITIVE Mauvais trafic Mais BLOQUÉ • Détection de plus d’alertes faux‐positives 
• Impossible de détecter menaces ZERO‐DAY dont les signatures 
VRAIE NEGATIVE  Bon trafic  et il PASSE ne sont pas disponibles

BTS –SRI    ‐ LAK ‐ CASABLANCA 15 BTS –SRI    ‐ LAK ‐ CASABLANCA 16

BTS –SRI - LAK - CASABLANCA 4

 25/02/2013

Méthodes de détection
Signature basées détection d’intrusion 
Polices de sécurité
• Signatures
– C’est ensemble de Patterns  pertinentes au activités  • Les polices de sécurité sont prédéfinie par 
typiques  d’intrusions, lorsq’elles sont matcher, elle  l’administrateur du réseau,
génèrent une alarme,
• Types de Signature • Si une police de sécurité est détectée par IPS, 
– Atomic—Déclenchement contenu dans un seul  il placera une alerte et des logs,

ILY
HD A
paquet
• Exemple : Verification du pattern “/etc/passwd “ dans 
– Exemple : Pour éviter un SYN FLOOD attaque DoS, 

LE NC
le trafic  le serveur le peux répondre, au maximum à 80 
– Composite— Déclenchement contenu dans une série  connexions TCP.
de paquets,
– Si IPS  détecte un dépassement, il place une 

ID AB I
BE LA
alerte.

CH AS SR
BTS –SRI    ‐ LAK ‐ CASABLANCA 17 BTS –SRI    ‐ LAK ‐ CASABLANCA 18

RA K C BTS
Méthodes de détection
SYN Flood Basé sur les anomalies 
• Profil de détection basée sur d'intrusion ou 
d'anomalie 
– Surveiller le trafic réseau et le comparer à une base 
d’une utilisation normale de référence 
• Bande passante, des protocoles, des ports et des 
LA
dispositifs  de connexion et autre…
– Avertir l'administrateur ou l'utilisateur lorsque le trafic 
est détectée et il est anormal, ou sensiblement 
différente.
– Exemple: Snort plug‐in SPADE (Statistical Packet Anomaly 
Detection Engine )
– Permettre un nombre important de faux positifs

BTS –SRI    ‐ LAK ‐ CASABLANCA 19 BTS –SRI    ‐ LAK ‐ CASABLANCA 20

BTS –SRI - LAK - CASABLANCA 5

 25/02/2013

IDS and IPS Deployment Considerations IDS and IPS Deployment Comparison
Inside
– Deploy an IDS sensor in areas where you cannot 
Attacker
deploy an inline device or where you do not plan 
to use deny actions.
Internet
– Deploy an IPS sensor in those areas where you 

ILY
HD A
need and plan to use deny actions. 
Sensor on Outside: Sensor on Inside:

LE NC
• Sees all traffic destined for  • Sees only traffic permitted 
your network by firewall
• Has high probability of raising  • Has lower probability of false 
false alarms (false positives) alarms (false positives)

ID AB I
BE LA
CH AS SR
• Does not detect internal  • Requires immediate 
BTS –SRI    ‐ LAK ‐ CASABLANCA 21
attacks response to alarms 22
BTS –SRI    ‐ LAK ‐ CASABLANCA

RA K C BTS
IDS and IPS deployment example in an 
Network based IDS and IPS Deployment  
Enterprise Network
Branch
Switch
Firewall Router Corporate
Switch
Network
NM-CIDS
LA
IPS Sensor

Untrusted
IDS Network Router Firewall
Switch
Sensor Untrusted
Management Network
Server Sensor

Corporate
Network Sensor

Management
Server
DMZ
WWW DNS Agent Agent
Server Server
WWW DNS
BTS –SRI    ‐ LAK ‐ CASABLANCA DMZ 23 BTS –SRI    ‐ LAK ‐ CASABLANCA Server Server 24

BTS –SRI - LAK - CASABLANCA 6

 25/02/2013

Cisco IDS Family Snort

600 • Open source, freely available software except for rules
• Installed as dedicated server on Windows and Linux, 
250 IDSM‐2 Solaris operating systems
Performance (Mbps)

IDS 4255 • Placed as network sensor in a network

ILY
HD A
200 IPS 4240 • Rules are set of instructions defined to take certain 
action after matching some sort of signatures (atomic 

LE NC
or composite)
80
AIP‐SSM
• Example:
45 • alert tcp $HOME_NET any ‐> $EXTERNAL_NET any 
IPS 4215
(content:"uk.youtube.com”;msg:"someone visited YouTube";)

ID AB I
NM‐CIDS

BE LA
CH AS SR
10/100/1000 TX
10/100/1000 TX 10/100 TX 10/100/1000 TX 10/100/1000 TX Switched/1000
1000 SX

Network Media BTS –SRI    ‐ LAK ‐ CASABLANCA 26

RA K C BTS
IDS/IPS Vulnerabilities
Snort Modes
• Sniffer Mode • Cisco IPS Packet Handling DoS ‐
• In July 2006, a DoS vulnerability was discovered on Cisco
• Used to sniff traffic from network IPS 4200 series models which were running version 5.1
• Traffic will be captured using libpcap or winpcap. software.
LA
• Traffic will be captured directly from the sensor . 
• Snort Rule Matching Backtrack DoS ‐
• Logger Mode • Snort versions 1.8 through 2.6 had a DoS vulnerability ,
• Simple logging into a file. Two possible formats are Binary and ASCII. found on January 11, 2007 which can exploit Snort's rule
matching algorithm by using a crafted packet. This could
• Logging into a Database (eg. MySQL) cause the algorithm to slow down to the point where
• Can be used for creating the normal traffic profile detection may become unavailable. Snort was quick to
release version 2.6.1 which corrected this issue.
• Intrusion Detection / Prevention
• The rules will be used in this mode of snort to detect unwanted activity 

BTS –SRI    ‐ LAK ‐ CASABLANCA 27 BTS –SRI    ‐ LAK ‐ CASABLANCA 28

BTS –SRI - LAK - CASABLANCA 7

 25/02/2013

How to protect IDS?
Unified Threat Management (UTM)
• Don't run any service on your IDS sensor. • Unified Threat Management (UTM) is a 
network device that have many features in 
• The platform on which you are running IDS should be one box, including:
patched with the latest releases from your vendor. – IDS, IPS, Firewall, Spyware, Anti Spam , Anti 
Phishing 
• Configure the IDS machine so that it does not – Anti Virus, Content (www) Filter, VPN

ILY
HD A
respond to ping (ICMP Echo‐type) packets. – Example: Untangle, Watchguard

LE NC
– Untangle Demo: 
• User accounts should not be created except those http://www.untangle.com/video_overview/
that are absolutely necessary.

ID AB I
BE LA
CH AS SR
BTS –SRI    ‐ LAK ‐ CASABLANCA 29 BTS –SRI    ‐ LAK ‐ CASABLANCA 30

RA K C BTS
Summary
• Intrusion detection system (IDS) is software or hardware designed to 
monitor, analyze  and respond to network traffic .
– Can be classified as Profile or Signature based intrusion detection.
• Signatures can be defined as Atomic or Composite.
– Can be available as Host or Network based Intrusion detection .
LA
– IDS is used as promiscuous mode protection in DMZ
– IPS is used as Inline mode protection for securing internal network
– Cisco 4200 series IDS and IPS sensors offer rich set of features for ISD 
and IPS
– Snort is an open source, free IDS and can operate in sniff , logging and 
Intrusion detection/prevention modes. Snort uses rules to analyze 
traffic.
– IDS/IPS software can be vulnerable to exploits so run patched version, 
and shutdown unnecessary services.
• Unified Threat Management (UTM) is a network device that have many 
features in one box. E.g, Untangle, Watchguard.

BTS –SRI    ‐ LAK ‐ CASABLANCA 31

BTS –SRI - LAK - CASABLANCA 8