Académique Documents
Professionnel Documents
Culture Documents
1. Types d'IDS/IPS
On identifie différents types de systèmes de détection et de prévention d'intrusions :
IDS hybrides
On peut citer "Prelude" comme système hybride.
Faux positif
On parle de "faux positif " lorsque un paquet anodin (ne consistuant aucune menace réelle)
est détecté comme tentative d'intrusion.
Faux négatif
On parle de faux négatif lorsqu'une tentative d'intrusion n'est pas détectée.
3. Détection d'intrusions
Un système de détection d'intrusions cherchera à différencier un flux normal d'une attaque.
Nous allons ici décrire les deux types d'approches existants pour la détection des
intrusions : l'approche par scénarios et l'approche comportementale.
Analyse de protocoles :
Cette méthode permettra de vérifier que les protocoles sont utilisés en conformité avec les
normes.
Par exemple, la technique du « Ping of death » consiste à forger des paquets ICMP Echo
Request ayant une longueur de données supérieure à la taille maximale. Ce paquet sera alors
fragmenté en une multitude de paquets. Le destinataire doit réassembler ces paquets, et se
crash souvent car ce type de réassemblage est souvent mal implémenté. Cette technique est
maintenant ancienne et les firewalls ne laissent généralement pas passer ces paquets.
Analyse heuristique
L'analyse heuristique consiste à définir des valeurs seuil pour certaines caractéristiques.Par
exemple, si le nombre de sessions sur une machine dépasse un seuil défini, on détectera cela
comme une intrusion.
Approche comportementale
On effectue dans cette méthode une détection d'intrusions en fonction du comportement
passé de l’utilisateur. Exemple de métriques : charge CPU, volumes de données échangées,
heures de connexion, répartition statistiques des protocoles utilisés, etc.
Cette approche consiste donc à dresser un profil de l'utilisateur. Pour faire cela, on aura une
période d'apprentissage pendant laquelle le système enregistrera les actions courantes de
l'utilisateur. On devinera facilement que cela comporte une faille : si un pirate est déjà présent
lors de la phase d'apprentissage, ses actions seront considérées normales pour le système.
De plus, on pourra fixer des limites de fluctuation du profil de l'utilisateur. Ainsi, un pirate pour
essayer d'influer sur le profil de l'utilisateur par de minimes variances, qui au bout d'un certain
temps, aura ont modifié le profil de l'utilisateur à souhait pour pouvoir mener l'attaque sans
être détecté.
Approche probabiliste
On aura dans ce cas la représentation d’une utilisation courante d’une application ou d ’un
protocole.
Par exemple, dans le cas d'une connexion sur le port 80 d'une machine, on aura une probabilité
de 0,9 d'avoir un GET, ainsi qu'une probabilité de 0.8 que la réponse à ce GET soit un HTTP 200
OK.
Tripwire
Ce logiciel calcule les empruntes (MD5, SHA, etc.) des fichiers spécifiés une première fois, puis
vérifiera à des intervales de temps réguliers (via le cron) que l'emprunte actuelle de chacun des
fichiers correspond bien à celle calculée précédemment. L'administrateur maintient une base
de référence des fichiers à analyser. La robustesse de Tripwire réside dans le fait que les fichiers
de fichiers de configuration et la base de données de référence de TripWire sont eux aussi
analysés.
Pour toute modification, les empreintes des fichiers de configuration et de la base de données
seront donc recalculées.
LogSurfer
Logsurfer lui va analyser les fichiers de journaux (logs) d'une machine et va tenter de
reconnaitre une signature d'intrusion à l'aide d'expressions régulières (ou regex).
Lorsqu'une intrusion sera détectée, plusieurs actions seront possibles :
• Alerter l'administrateur
• Exécuter une commande
• Ouvrir un contexte (sauvegarde de lignes répondant à un certain critère).
D'autres H-IDS/H-IPS
Parmi la multitude de HIDS/HIPS, on peut aussi citer Tripwire, Logsufer, Swatch, Nocol, Osiris,
Prelude (Hybride), Entercept, Okena (Cisco), ServerLock, etc.
Un peu d'histoire
Historiquement TCPDump représente le premier NIDS. Le principe de fonctionnement d'un
NIDS est basé sur le fait qu’une interface de la machine faisant office de NIDS aura une
interface en mode « promiscious », faisant remonter tous les paquets qu'elle voit transiter sur
le réseau, même si ces derniers ne sont pas à destination de la machine elle même.
Lorsqu'une intrusion sera détectée, le NIDS enverra un avertissement à l’administrateur (par
Syslog, logfile, mail etc).
Quelques caractéristiques :
> Open source
> Peu couteux en ressources
> Pas d’interface graphique
De base, Snort ne possède pas d'interface graphique. Cependant, il existe un grand nombre d'interface
graphique développées par des organismes tiers, le plus souvent en utilisant la technologie Php/Mysql.
> Grande base de signatures mise à jour
> Gestion du réassemblage
Analyse protocolaire (ex:ping of death) et pattern matching
> 3 modes de fonctionnement :
Sniffer de paquets
Loggueur de paquets
Détection / Prévention d’intrusions
> Langage de description des règles
Options de règle
La syntaxe des options d'une règle est la suivante :
(mot_clé:valeur;mot_clé2:valeur2;…)
15 mots clés sont disponibles : ack, msg, flags, réacs, resp, content-list, …
msg
Description de la règle
ack
Teste le champ d’acquittement TCP pour une valeur donnée
Exemple : (flags:A;ack:0;msg:"NMap TCP ping")
TTL
Teste la valeur du TTL (time to live)
Exemple : (alert tcp any any -> any any(msg: “Traceroute";TTL:1)
resp
Met en œuvre des réponses flexibles
Exemple : (alert tcp any any -> 192.168.0.1/24 1524 (flags:S; resp:rst_all; msg: "Root shell
backdoor attempt";)
Valeur : rst_all - envoie des paquets TCP_RST dans les deux directions
react
Réponse active (block, msg) sur connexions HTTP.
Exemple : (alert tcp any any <> 192.168.0.1/24 80 (content-list: "adults"; msg: “Adult sites";
react: block,msg)
Exemple :
alert tcp any any -> 192.168.1.0/24 21 (content: "USER root"; nocase;msg: "Tentative
d'accès au FTP pour l'utilisateur root";)
Mise en pratique
Créer des règles locales de type :
action protocole src_ip src_port direction dst_ip dst_port (options)
1. Créer la régle qui detecte les pings sur votre ids
Alert icmp any any 192.168.0.245/24 80 (msg : « Mon IDS Se fait pinguer » ; SID : 10000)
2. Détecter les pings de votre reseau (netid)
Alert icmp any any 192.168.0.0/24 any (msg : « Mon Reseau Local Se fait pinguer » ;
SID : 10001)
3. Détecter les trames extérieures à votre réseau
On n'attend pas de règles optimisées. Les règles en tcp ou http sont équivalentes.
a) Les lignes concernées sont les lignes 3 à 6 du tableau des IoC.
D'autres N-IDS/N-IPS
Parmi la multitude de NIDS/NIPS, on peut aussi citer WatchGuard, NetScreen, TopLayer, etc.
Quelques techniques
Déni de service contre un IDS
Un pirate pourra essayer d'effectuer un DoS sur l'IDS pour qu'il ne puisse plus remplir
pleinement son rôle.
Shellcode
Il s'agit là d'une technique permettra de faire du débordement de la pile. En général, un pirate
utilisera plusieurs instructions assembleur NOP pour pouvoir atteindre des zones mémoires. Il
pourra alors remplacer les instructions NOP par d'autres instructions n'altérant pas le
fonctionnement de son programme, et qui ne seront pas détectées.
• Intrusions de réseau
• Violations de données
Suricata est un outil puissant qui peut être utilisé pour protéger les réseaux contre un large
éventail de menaces. Il est facile à installer et à configurer, et il est livré avec un ensemble
complet de fonctionnalités. Suricata est un bon choix pour les organisations de toutes tailles.
9. Suricata Caractéristiques
Suricata est livré avec un ensemble complet de fonctionnalités, y compris :
• Prise en charge d'un large éventail de protocoles
• Haute performance
• Packs de règles Suricata : Les packs de règles Suricata peuvent être achetés pour
ajouter un support pour des signatures de menaces supplémentaires.
• Flux de renseignements sur les menaces : Les flux de renseignements sur les menaces
peuvent être achetés pour fournir des renseignements en temps réel sur les menaces
émergentes.
Conclusion
Suricata est un puissant outil IDS/IPS qui peut être utilisé pour protéger les réseaux contre un
large éventail de menaces. Suricata est facile à installer et à configurer, et il est livré avec un
ensemble complet de fonctionnalités. Suricata est un bon choix pour les organisations de
toutes tailles.
• Évolutif : Suricata peut être mis à l'échelle pour répondre aux besoins des plus grandes
organisations.
• Fiable : Suricata a été utilisé par des organisations de toutes tailles pendant des années
avec beaucoup de succès.
• Securisé : Suricata est un outil sécurisé qui est régulièrement mis à jour avec de
nouvelles fonctionnalités et des correctifs de sécurité.
Si vous recherchez un outil IDS/IPS puissant, facile à utiliser et évolutif, Suricata est une bonne
option à considérer.
Mettre à jour
Installer le paquet
Avertissement
Vérification