Académique Documents
Professionnel Documents
Culture Documents
IDS - S NORT
1
Min. Déf. - ESCC - DGER
2
CREC - Pôle STD - Unité de Recherche - M ACCLIA
(patrice.parraud,yvann.bassement)@st-cyr.terre-net.defense.gouv.fr
Novembre 2016
I Approche Comportementale
Apprentissage (Profils) - Détection - Comportement
Différentes Méthodes :
I Pattern Matching : recherche de motifs
I Détection d’anomalies : déviation par rapport à un
comportement normal
I Contrôle d’intégrité : somme de contrôle et comparaison
I Analyse de protocole : conformité des flus et analyse des
champs et paramêtres des paquets
I Analyse heuristique : analyse intelligente pour détecter
une activité suspecte
Pattern Matching
Méthode Probabiliste
Méthode Statistique
I http://www.snort.org/
I le plus utilisé avec une excellente réputation
I analyse du trafic réseau en temps réel
I différentes technologies de détection d’intrusions (protocolaire, pattern
matching)
I détection de nombreux types d’attaques (buffer overflows, scans de
ports, furtifs, attaques CGI, sondes SMB, tentatives de fingerprinting
d’OS, ...)
I langage de règles
I moteur de détection utilisant une architecture modulaire de plugins
I 3 modes de fonctionnement : sniffer de paquets, logger de paquets et
système de détection/prévention d’intrusions.
I Configuration : snort.conf
I Réseaux ou Interfaces surveillés : variable HOME NET
,→ serveurs DHCP, DNS, ... : IP dans variables
DHCP SERVERS, DNS SERVERS ...
I Ports de services : variables HTTP PORTS ...
I Dossier contenant les fichiers de règles : la variable
RULE PATH
I Inclusion de fichiers de règles : les directives include
I Les règles
I fichiers de règles (officielles, crées)
,→ dossier rules de S NORT
I format d’une règle :
Header ¡Options¿
I format de l’entête :
action protocole adresse1 port1 direction adresse2 port2
I exemple de règle
alert tcp any any -> $HTTP SERVERS
$HTTP PORTS (msg:"WEBATTACKS /bin/ls
command attempt"; uricontent:"/bin/ls";
nocase; classtype:web-application-attack;)
une alerte quand un paquet provient d’un couple (adresse :port) quelconque à destination des serveurs
HTTP définis dans snort.conf, et contient la chaı̂ne ”/bin/ls” dans l’URI. Le message de l’alerte sera
”WEB-ATTACKS /bin/ls command attempt” Cette attaque sera classée dans la classe
web-application-attack
I http://www.bro-ids.org/
I Fonctionnalités
I langage de script B RO règles de détection et d’action
I utilisation d’expressions régulières motifs des signatures
I possibilité d’éxécuter des programmes tiers après détection
différents types d’actions
I compatibilité avec les règles S NORT snort2bro
I possibilité d’utiliser G NU PG (Gnu Privacy Gard) chiffrer
et signer les rapports
I envoi de rapports d’alerte par mail
B RO
+ possibilité d’utiliser des règles S NORT (convertisseur snort2bro)
+ forte customisation IDS très difficile à détecter
+ langage de script puissant et adapté à la détection d’intrusion
+ de nombreuses fonctionnalités
+ cryptage et signature électronique des rapports
+ rapport périodique résumant les alertes
+ configuration très simple (script interactif)
+ fichiers d’alertes très faciles à parser de manière automatisée
- projet maintenu par des chercheurs réactivité moyenne et produit peu adapté
- fichiers d’alertes difficilement analysables
- peu d’informations dans les rapports d’alertes
- documentation incomplète
- aucune Interface Graphique disponible
- pas de support natif pour enregistrer les alertes dans une base de donnèes
I http://www.la-samhna.de/samhain/
I Fonctions supplémentaires (/Ossec) :
I stockage des alertes dans une BDD
I chiffrement des communications client/serveur
I console de visualisation web
I Installation
I Serveur puis Client
I authentification du Client par une clef
I Configuration
I quasi opérationnel
I spécifier le niveau de détection :
variable ExportSeverity dans /etc/samhainrc
I http://www.rootkit.nl/projects/rootkit hunter.html
I Détecteur de rootkits
I fichiers binaires système
I fichiers de configuration
I UID 0 : root
I ouverture de ports
I Utilisation : /usr/local/bin/rkhunter -c -sk
I http://www.lids.org/
I Patch à appliquer au noyau Unix
I Sécurité du noyau et Contrôle d’accès ressources
systèmes
I Activation ,→ toute opération système (administration
réseau, mémoire, lecture/écriture) est impossible
I Sécurité optimale mais complexe à configurer
I Détecter un IDS
I Techniques d’Insertion
I Techniques d’Evasion
I Fragmentation IP
I Ecrasement de fragments
I TimeOut de fragmentation
I Découpage de sessions TCP
I Cheksum erroné
Insérer des données qui seront ignorées par l’IDS sans gêner
l’attaque.
I Evasion HTTP
I Shell-code polymorphique