Académique Documents
Professionnel Documents
Culture Documents
1
Motivations
■ Les Firewalls ne protègent pas contre les abus et les accès
non autorisés à l’intérieur d’un périmètre de sécurité.
■ Nécessité de contrôler les abus à l’intérieur des règles d’accès
■ Un trafic TCP 80 autorisé à passer peut véhiculer des attaques non
détectables par les Firewalls.
■ Un utilisateur autorisé à se connecter à distance, est capable de
d’augmenter son privilège en exploitant une vulnérabilité.
■ Les techniques et les outils d’intrusions ne cessent de se
sophistiquer.
■ Nécessité d’automatiser le processus de détection d’intrusions.
■ Nécessité de collecter les traces d’intrusions pour servir
comme preuve.
■ Nécessité de détecter les attaques ayant réussi à surpasser
les mécanismes de sécurité déployés.
Motivations
Activité
Modèle
de Composante de
détection détection
Alarmes
Notification
évènement
Capteur Analyseur Réponse
(sensor)
Alerte
Politique de
sécurité Manager
Administrateur
■ False Positives
■ L’IDS considère une activité légitime comme
malveillante (erreur d’interprétation)
■ False Negatives
■ L’IDS considère une activité malveillante comme
légitime
pattern
matching
Motifs
intrusion
(Patterns)
d’intrusions
activités
Intrusion
probable
Ensemble de
mesures sur les
activités
■ Fin de la session
Kill the
TCP Reset session
Tuer la session
Block
Blocking attacker
De
Bloquer l’@ IP Deny
ny
de l’intrus
Réponse active
Sonde Sonde
Sonde
■ Insertion et Evasion
■ Ambiguïté dans l’interprétation des champs des
entêtes.
■ Ambiguïté dans la gestion des options dans les
entêtes.
■ Ambiguïté dans le rassemblement des fragments
et des segments.
🡺 L’IDS accepte ou rejette les paquets et les
segments, d’une façon différente aux machines.
🡺 L’IDS et la machine cible obtiennent des vus
différentes des données reçues
Attaque d’insertion
■ Le NIDS accepte des paquets que la machine
destinataire rejette ou ne reçoit pas
Exemple: Attaque par TTL
U S E R r X o o t
U S E R r o o t
5 hops 10 hops
U S E R r TTL=15 U S E R r
X TTL=8
X
o t o o t
Un TTL petit pour o TTL=15
rejeté (TTL
s’assurer que le paquet NIDS expiré)
ne parviendra pas à
destination
Attaque d’évasion