Faculté des Sciences de Bizerte (FSB)

Université de Carthage

Sécurité Informatique
M1 INFO
SYSTEMES DE DETECTION ET DE
PREVENTION D’INTRUSION

Nizar Ben Neji

2015 / 2016
Faculté des Sciences de Bizerte (FSB) – Université de Carthage
 Plan
Introduction
Mécanismes d’anti-intrusion
Qualités des IDS/IPS
Niveau d’analyse
Détection d’intrusion
Approches
Familles d’IDS
Systèmes de Détection d’Intrusion Réseaux
Composition d’un NIDS
Emplacements
Mode de déploiement
Systèmes de Détection d’Intrusion Machines
Principe de fonctionnement
Déploiement
Security Information and Event Management (SIEM)
Systèmes de Prévention d’intrusion
Nizar Ben Neji Faculté des Sciences de Bizerte (FSB) – Université de Carthage 1
 Introduction
Qu’est ce qu’une intrusion?
• Existence des failles conduit à l’intrusion?
Trouver et réparer toutes les failles n’est pas possible pour des
raisons techniques et économiques;
Failles inconnues et inévitables;
Systèmes vulnérables face aux utilisateurs légitimes.
• L’intrusion est le fait de pénétrer d’une
manière illégale dans un espace physique ou
logique;
• L’intrusion logique est l’accès d’une manière
illégale à des ressources et la prise de contrôle à
distance (totale ou partielle);
• La détection d’intrusion consiste à découvrir ou identifier l’utilisation
d’un système informatique à d’autres fins que celles prévues;
NB: Détecter l’existence d’un virus ne veux pas dire savoir comment le virus a
été introduit au niveau du système.

Nizar Ben Neji Faculté des Sciences de Bizerte (FSB) – Université de Carthage 2
 Introduction
Mécanismes d’anti-intrusion
• Il y a deux types de sécurité:
o Active: agir sur le flux entrant (autorisation et interdiction) comme le
cas des Parefeux
o Passive: ne pas agir sur le flux entrant, tenter de reconnaitre les flux
hostiles et suspectes et faire des actions postérieures comme le cas
des IDSs

• Les techniques d’anti-intrusion:

o Préemption
o Prévention
o Dissuasion
o Détection
o Déflection
o Contre-mesures

Nizar Ben Neji Faculté des Sciences de Bizerte (FSB) – Université de Carthage 3
 Mécanismes d’Anti-intrusion
• Préemption: prendre les mesures nécessaires pour rendre les intrusions
moins susceptibles de se dérouler s’il y a des signes clairs qu’il va y avoir
intrusion (Etre alerté par des organismes officiels comme les CERTs
(Computer Emergency Response Team), Remarquer des étapes
exploratoires d’une intrusion par exemple le balayage des ports (port
scanning) qui permet de détecter les ports ouverts et les logiciels
écoutant qui sont utilisés,…
• Prévention: concevoir, implémenter et configurer le système
correctement pour que les intrusions ne puissent pas avoir lieu (sans
signes)
• Dissuasion: Pousser un cybercriminel à s’intéresser à d’autres systèmes
par le camouflage (cacher ou dévaluer le système), la mise en garde
(informer les utilisateurs qu’il y aura des pénalités en cas d’activité
illégale observée), Paranoïa (donner l’impression à l’utilisateur qu’il est
surveillé) et la mise en place des obstacles (augmenter la qualité
d’efforts et de temps entre les divers tentatives d’attaques)
Nizar Ben Neji Faculté des Sciences de Bizerte (FSB) – Université de Carthage 4
 Mécanismes d’Anti-intrusion
• Détection: Différencier entre utilisation normal du système et suspecte
et cette différenciation se fait en temps réel ou comme étant une analyse
postérieure. La détection doit être couplée avec un dispositif de contre
mesures pour palier à la lenteur humaine.
• Déflection: Faire croire à un cybermalfaiteur qu’il a réussi à accéder au
système alors qu’il a été redirigé dans un environnement préparé et
contrôlé (honeypot ou pot de miel) qui a pour but d’:
• Identifier l’intrus,
• Observer son comportement et les outils qu’il est en train d’utiliser
pour pouvoir identifier la ou les vulnérabilités
• Contre-mesures: Rendre le système capable de réagir de façon
autonome aux tentatives d’intrusions puisque c’est difficile d’avoir du
personnel dévoué 24/7 à la réponse aux intrusions (par exemple bloquer
un compte après 3 tentatives infructueuses).

Nizar Ben Neji Faculté des Sciences de Bizerte (FSB) – Université de Carthage 5
 Qualité des IDS / IPS
• Exactitude de la détection permet de minimiser les faux positifs
• Complétude de la détection permet de détecter les attaques connues et
non connues
• Performance de la détection permet de garantir la rapidité de la
détection en temps réel et surtout dans le contexte du haut débit, il est
possible de diviser le trafic entre plusieurs IDS ou IPS

Niveau d’analyse
• Un IDS / IPS peut analyser:
Couche Réseau
Couche Transport (TCP, UDP)
Couche Application (HTTP, Telnet, Mail, …)

Nizar Ben Neji Faculté des Sciences de Bizerte (FSB) – Université de Carthage 8
 Détection d’Intrusion
Approches
• Approches de détection d’intrusion:
o Approche par scénario: Rechercher les signatures connues
d’attaques. Elle est une approche de détection sans état (ou
stateless) car elle ne tient pas compte du comportement de
l’utilisateur. Les signatures sont des faiblesses théoriques connues
et des intrusions précédentes: recherche de motifs connus et
analyse protocolaire (vérifier la conformité par rapport aux RFC).
Efficacité de cette approche dépend de la couverture de tous les
abus possibles et de la mise à jour de la base de données des
signatures.
o Approche comportementale: Vérifier le comportement de la
machine est il normal ou non après apprentissage? (Utilisation du
processeur, de la mémoire, nombre d’accès à une ressource, …).
Comportement actuel de l’utilisateur, de l’application ou du
système est-il cohérent avec son comportement passé?
Avantage: Possibilité de détecter les attaques non connues.
Nizar Ben Neji Faculté des Sciences de Bizerte (FSB) – Université de Carthage 6
 Détection d’Intrusion
Familles d’IDS
• Il existe 3 grandes familles distinctes d’IDS (Intrusion Detection System):
o NIDS (Network Based Intrusion Detection System) se place sur un
segment du réseau et surveille le flux clair (ou qui peut être
décrypter) qui passe.
o HIDS (Host-based Intrusion Detection System), qui surveille l'état de
la sécurité au niveau des hôtes (machines, serveurs…) et des
équipements réseau en analysant les fichiers logs et en testant
l’intégrité des fichiers système.
o IDS hybrides, qui utilise les NIDS et les HIDS comme des senseurs
(sondes) pour remonter les alertes vers un système centralisé qui va
faire la corrélation.

Nizar Ben Neji Faculté des Sciences de Bizerte (FSB) – Université de Carthage 7
 Système de Détection d’Intrusion Réseaux
Composition d’un NIDS

1. Capture est la récupération en temps réel du trafic réseau et le trafic capturé n’est pas
forcément le trafic analysé.
PCAP (Packet Capture) est une interface de programmation permettant de capturer le trafic
réseaux (libcap et Wincap): Tcpdump, Snort, gns3, Wireshark, …
2. Base de de données de signatures qui doit être régulièrement mis à jour
3. Alertes sont généralement journalisées et|ou envoyées (système (appels SNMP) ou utilisateur
(SMS, Mail, Interface…)) et peuvent être décrites par l’NIDS selon un langage normalisé qui
s’appelle IDMEF (Intrusion Detection Message Exchange Format) définit par la RFC 4765 pour
permettre une visualisation simple ultérieurement par d’autres outils comme les SIEMs
(Security Information and Event Management) qui permettent la gestion et la corrélation des
logs qui signifie relier plusieurs événements à une même cause.
4. L’étape analyse comporte la défragmentation des paquets, la recherche de motifs et la
dissection protocolaire ou encore l’analyse comportementale

Nizar Ben Neji Faculté des Sciences de Bizerte (FSB) – Université de Carthage 9
 Système de Détection d’Intrusion Réseaux
Déploiement d’un NIDS

1. Tout le trafic entre Internet et le réseau interne ou la DMZ est analysé et le trafic entre le
réseau interne et la DMZ est invisible pour l’IDS. De plus mettre un senseur à cette position
génère des fichiers de log complets, mais trop complexes à analyser.
2. Seul le trafic entre la DMZ et internet ou le réseau interne est analysé. De plus, placer un
senseur à cet emplacement nous permet de détecter les attaques non filtré par le pare-feu et
donc minimise le trafic réseau à analyser. Cependant le trafic entre le réseau interne et
internet n’est pas visible pour l’IDS.
3. Analyse du trafic sur le réseau interne et la détection des attaques provenant du réseau
interne.
Remarque: Les emplacements 2 et 3 servent à décongestionner l’IDS.
Nizar Ben Neji Faculté des Sciences de Bizerte (FSB) – Université de Carthage 10
 Système de Détection d’Intrusion Réseaux
Mode de déploiement

En mode coupure

En mode recopie de port

Remarque: 1. Le mode en recopie de port est plus efficace car il permet d’éviter les attaques de
type Dos qui ciblent le NIDS lui-même.
2. Au niveau de la politique de sécurité du réseau qu’on définit l’emplacement des NIDS.
Nizar Ben Neji Faculté des Sciences de Bizerte (FSB) – Université de Carthage 11
 Système de Détection d’Intrusion Machine
Concept d’un HIDS
• HIDS agit comme un daemon au niveau de la machine cherchant une
activité suspecte:
Analysant le flux entrant et sortant (Analyse de motifs),
Remarque: il peut analyser le flux crypté
Analysant l’activité locale des utilisateurs (Analyser les processus,
Surveiller les appels systèmes et les commandes exécutées),
Surveillant l’intégrité du système de fichiers, des fichiers systèmes et
des fichiers logs (utilisation des hash signés).
Exemple: Analyse de la base de registre (windows) ou des Loadable
Kernel Modules (LKMs) (Linux)
• Exemple de HIDS Opensource: Tripwire, Samhain, OSSEC et Aide

Nizar Ben Neji Faculté des Sciences de Bizerte (FSB) – Université de Carthage 12
 Système de Détection d’Intrusion Machine
Concept d’un HIDS
Remarque:
• Les HIDS doivent être installé sur des systèmes sains et il ne sont pas
efficaces s’ils sont installés sur des systèmes déjà infectés
• Les HIDS sont gourmand en terme de ressources (mémoire et processeur)
ils utilisent généralement les ressources du système
• Les administrateurs ont toujours besoin de HIDS spécifiques pour des
systèmes spécifiques
• KIDS (Kernel Intrusion Detection System) fait partie de la famille des HIDS
et son rôle est de détecter les intrusions au niveau du noyau du système
d’exploitation de la machine à protéger. KIPS (Kernel Intrusion Prevention
System) bloque tout accès suspect au système

Nizar Ben Neji Faculté des Sciences de Bizerte (FSB) – Université de Carthage 13
 Système de Détection d’Intrusion Machine
Déploiement d’un HIDS

Nizar Ben Neji Faculté des Sciences de Bizerte (FSB) – Université de Carthage 14
 Security Information and Event
Management
Principe

SIEM est l’élément qui va recevoir toutes les

remontées d’informations des sondes NIDS et
HIDS. Il fera ensuite entrer en jeu la corrélation afin
de pouvoir interpréter de manière plus globale ces
informations pour pouvoir retracer des incidents.

Nizar Ben Neji Faculté des Sciences de Bizerte (FSB) – Université de Carthage 15
 Système de Prévention d’Intrusion
Principe
• IPS est un IDS actif, il gère les mêmes tâches qu’un IDS, sauf qu’il mène
des actions pour contrer les tentatives d’intrusion;
• IPS montre toujours sa présence pas comme les IDS qui agissent
discrètement, il peut fermer les ports et les bloquer les adresses sources
des attaques;
• IPS bloque toutes les activités suspectes donc un pirate peut utiliser cette
fonctionnalité pour mettre un système hors service;
• Types d’IPS:
Les HIPS (Host-based Intrusion Prevention System) qui sont des IPS
permettant de surveiller le poste de travail à travers différentes
techniques: processus, drivers, .dll, ….
Les NIPS (Network Intrusion Prevention System) sont des IPS
permettant de surveiller le trafic réseau, ils peuvent prendre des
mesures telles que terminer une session TCP. WIPS (Wireless
Intrusion Prevention System) est utilisée pour la protection des
réseaux sans-fil.
Nizar Ben Neji Faculté des Sciences de Bizerte (FSB) – Université de Carthage 16
 Système de Prévention d’Intrusion
Actions / Réponses

Réponse Type
Générer une alarme Passive
Activer un archivage Passive
Suspendre des processus malveillants Active
Terminer une session Active
Créer des fichiers de sauvegarde Passive
Bloquer le compte d’un utilisateur Active
Bloquer une adresse IP Active
Déconnecter la machine du réseau Active
Générer un rapport Passive
Avertir l’utilisateur Active
Forcer une nouvelle authentification Active
Arrêter la machine Active
Nizar Ben Neji Faculté des Sciences de Bizerte (FSB) – Université de Carthage 17