Ids Ips

Les IDS et IPS Open Source
Alexandre MARTIN Jonathan BRIFFAUT
Plan
Prsentation Gnrale des IDS Les diffrents type dIDS Les mthodes de dtection Prsentation Gnrale des IPS Ou placer un IDS / IPS ? Outils Open Source (Aspect Pratique)
SNORT Prelude-IDS BRO
Master 2 Informatique - ASR 2
Prsentation gnrale des IDS
Master 2 Informatique - ASR
Quest-ce quun IDS ?

LIDS (Intrusion Detection System)
Surveiller Contrler Dtecter
Le systme de dtection dintrusion est en voie de devenir un composant critique dune architecture de scurit informatique
Justificatif
Nombre de failles levs:
3273 nouvelles entre Janvier et Juillet 2007
Cot dune attaque est lev:

Code Red/Nimda est estim 3.2 Milliards $ par Computer Economics
Les outils pour lancer les attaques sont facilement disponibles et exploitables
De quoi est constitu un IDS?

Un IDS est essentiellement un sniffer coupl avec un moteur qui analyse le trafic selon des rgles Ces rgles dcrivent un trafic signaler LIDS peut analyser
Couche Rseau (IP, ICMP) Couche Transport (TCP, UDP) Couche Application (HTTP, Telnet)
Selon le type de trafic, lIDS accomplit certaines actions

Vocabulaire
Faux-Positif
Fausse alerte leve par lids
Faux-ngatif
Attaque qui na pas t repr par lIDS
Evasion
Technique utilise pour dissimuler une attaque et faire en sorte quelle ne soit pas dcele par lIDS
Sonde :
Composant de larchitecture IDS qui collecte les informations brutes
Actions dun IDS

Journaliser lvnement
Source dinformation et vision des menaces courantes
Avertir un systme avec un message

Exemple: appel SNMP
Avertir un humain avec un message

Courrier lectronique, SMS, interface web, etc.
Amorcer certaines actions sur un rseau ou hte

Exemple: mettre fin une connexion rseau, ralentir le dbit des connexions, etc. (rle actif)
Aprs la Dtection
Comprendre lattaque en cours
Recueillir le maximum dinformation
Cibles Sources Procd
Archiver, tracer : Corrlation avec dautre vnements Prparer une rponse :

Sur le court terme : black-listage Sur le long terme : application de patches, action en justice
Les diffrents types DIDS
10
Les types dIDS

Il existe deux types dIDS :
HIDS (Host IDS) NIDS (Network IDS )
11
Le Host IDS
Bas dans un ordinateur hte HIDS permet de surveiller le systme et les applications
Les journaux systmes, de contrler l'accs aux appels systmes, de vrifier l'intgrit des systmes de fichiers
Le HIDS accs des composants nonaccessibles sur le rseau

Exemple: la base de registre de Windows
Ne surveille quun seul hte

Le Network IDS
Un sonde place dans le rseau
Surveille lensemble du rseau Capture et analyse tout le trafic Recherche de paquets suspects
Contenu des donnes Adresses IP ou MAC source ou destination
Envoi dalertes
HIDS et NIDS
Chacun rpond des besoins spcifiques HIDS particulirement efficaces pour dterminer si un hte est contamin NIDS permet de surveiller lensemble dun rseau HIDS qui est restreint un hte
Les mthodes de dtection
15
Les mthodes de dtection

2 approches principales pour les IDS:
Par signature Comportementale
Dtection danomalie Vrification dintgrit
16
Mthodes de dtection : Par Signature

Par signature:
Bas sur la reconnaissances de schmas dj connus Utilisation dexpressions rgulires Les signatures dattaques connues sont stockes dans une base; et chaque vnement est compar au contenu de cette base
Si correspondance lalerte est leve
Lattaque doit tre connue pour tre dtecte Peu de faux-positifs


Mthode la plus simple, bas sur :
Si EVENEMENT matche SIGNATURE Alors ALERTE
Facile implmenter pour tout type dIDS Lefficacit des ids est lie la gestion de leur base de signatures
MAJ Nombre de rgles Signatures suffisamment prcises
Exemples
Trouver le motif /winnt/system32/cmd.exe dans une requte http Trouver le motif failed su for root dans un log systme

Recherche de motif (pattern matching) Diffrents algorithmes
Ceux pour envoyer les ngatifs
E2XB
Ceux pour peu de signature

BOYER MOORE Knuth-Morris-Pratt (KMP).
Nombreuse Signature :
AHO-CORASICK AUTOMATE DETERMINISTE A*X A = alphabet X ensemble fini de mots rechercher

Avantage
Simplicit de mise en uvre Rapidit de diagnostic Prcision (en fonction des rgles) Identification du procd dattaque
Procd Cibles Sources Outils
Inconvnients
Ne dtecte que les attaques connues Maintenance de la base Techniques dvasion possibles ds lors que les signatures sont connues
20
Mthodes de dtection : Par anomalie

Base sur le comportement normal du systme Une dviation par rapport ce comportement est considre suspecte Le comportement doit tre modlis : on dfinit alors un profil Une attaque peut tre dtecte sans tre pralablement connue
21

Modlisation du systme : cration dun profil normal
Phase dapprentissage Dtecter une intrusion consiste a dtecter un cart Exemple de profil :
Volumes des changes rseau Appels systmes dune application Commandes usuelles dun utilisateur
Repose sur des outils de complexit diverses

Seuils Statistique Mthodes probabilistes Etc.
Complexit de limplmentation et du dploiement


Avantages
Permet la dtection dattaque inconnue Facilite la cration de rgles adaptes ces attaques Difficile tromper
Inconvnients
Les faux-positifs sont nombreux Gnrer un profil est complexe
Dure de la phase dapprentissage Activit saine du systme durant cette phase ?
Diagnostics long et prcis en cas dalerte
23
Mthodes de dtection : Par intgrit

Vrification dintgrit
Gnration dune somme de contrle sur des fichiers dun systme Une comparaison est alors effectue avec une somme de contrle de rfrence Exemple : une page web Mthode couramment employe par les HIDS
Points ngatifs des IDS

Technologie complexe Ncessite un degr dexpertise lev Long optimiser Rputer pour gnrer de fausses alertes Encore immature
Prsentation gnrale des IPS
26
Les IPS
IPS = Intrusion Prevention System
Mieux vaut prvenir que gurir
Constat :
On suppose pourvoir dtecter une intrusion Pourquoi alors, ne pas la bloquer, lliminer ?
IDS vers IPS

Terme la base plutt marketing Techniquement :
Un IPS est un IDS qui ajoute des fonctionnalits de blocage pour une anomalie trouve IDS devient actif => IPS
27
Les IPS : SUITE

Objectifs :
Interrompre une connexion Ralentir la connexion Blacklister les sources
Moyens :
Rgle Firewall QoS Intervention applicatif (Proxy)
28
IPS : suite
Avantages
Attaque bloque immdiatement
Inconvnients
Les faux-positifs Peut paralyser le rseau
29
O placer un IDS IPS ?
30
Placer un IDS
Dpend de ce que lont veut ?
Voir les attaques (HoneyPot)
Connaitre les failles de scurit
surveiller les attaques sur un rseau :

Extrieur Intrieur
31
O placer un IDS IPS

Position ( 1 ): Dtection de toutes les attaques Problmes Log trop complet analyse trop complexe : bon pour un Honeypot (pot de miel) Position ( 2 ): Placer dans la DMZ Dtecte les attaques non filtrer par le par feu Complexe Non bnigne log clair . Position ( 3 ): Comme 2 + Attaque interne Judicieux car 80% des attaques sont de lintrieur Trojans Virus Etc.
32
Un autre IDS particulier: le Honeypot

Ordinateur ou programme volontairement vulnrable destin attirer et piger les pirates But:
Occuper le pirate Dcouvrir de nouvelles attaques Garder le maximum de traces de lattaque
Les 2 types Honeypot

Faible interaction:
Les plus simple (ex: Honeyd) mulation de services sans rel systme sous-jacent
Forte interaction:
Utilisation dun rel systme dexploitation plus ou moins scuris
Fonctionnement de Honeyd
Dmon qui cr plusieurs htes virtuels sur le rseau Simule lexistence de services actifs sur les htes virtuels Les informations sur lOS simul sont issues dun fichier dempreinte nmap Toutes les connexions entrantes et sortantes sont enregistres
Les Honeypots
Littrature:
Virtual Honeypots: From Botnet Tracking to Intrusion Detection
Niels Provos, Thorsten Holz
36
Aspect pratique
Etude de diffrents outils OpenSource
Snort
Fonctionnement et mise en place
Bro
Comparaison avec snort Fonctionnement et Mise en place
Prelude-IDS
Gnralit
Snort (NIDS)
IDS open source Conu en 1998 par Marty Roesh rachet par SourceFire Le plus rpandu
+ 2 000 000 de tlchargements
MAJ Temps rel

(OINKMAster) Payant via SourceFire
Sinon attendre version de mise jour
Bleeding gratuit , CERT

Snort
Fonctionnalit
Permet dinteragir avec le firewall pour bloquer des intrusion (IPS) snort natif, snort-inline, autres plugins Possibilit de crer ses propres rgles et plugins Ne permet pas lenvoi demail ou SMS pour avertir
Utilisation dautre logiciel en complment
LogSurfer ou Swatch
Installation
Binaire/sources (Au choix)
Snort : Constitution
Modulaire
Dcodeur De Paquets (Packet decoder) Prprocesseurs (Preprocessors) Moteur De Dtection (Detection Engine)
ALGO : AHO-CORASICK
Systme d'alerte et d'enregistrement de log (Logging and Alerting System) Modules De Sortie (Output Module) : Possibilit denregistrer les logs dans une BDD (MYSQL/PSQL)
Snort : Constitution
Configuration sous Unix
/etc/snort/snort.conf
1 Configuration des variables pour le rseau
Configuration des reseaux a couter Configuration des services logguer (http/dns/etc)
2 Configuration des pr-processeurs 3 Configuration des plugins de sortie

Mysql/psql/ecran/etc
4 Choix des rgles utiliser
/etc/snort/rules (ensemble des signatures)

Les rgles Snort

Exemples de rgles:
Pour dtecter les tentatives de login sous l'utilisateur root, pour le protocole ftp (port 21):
alert tcp any any -> 192.168.1.0/24 21 (content: "USER root"; nocase; msg: "FTP root user access attempt";)
Tentative daccs des sites non autoriss:

alert tcp any any <> 192.168.1.0/24 any (content-list: "adults"; msg: "Adults list access attempt"; react: block;)
42
Snort et les interfaces Graphiques

ACID/BASE
Permet de voir les log dans une BDD Catgorise Lien vers failles de scurit
43
Base
44
Le NIDS Bro
NIDS Open Source
Dvelopp par Berkeley (Chercheurs) Langage de script propre Bro Utilisation dexpression rgulires dans les signatures Possibilit dexcuter des programmes tiers aprs dtection dintrusion
Exemple: reconfigurer un routeur
Compatible avec les rgles Snort

Grce snort2bro
Dynamic Protocol Detection

Le fonctionnement de Bro
Architecture en 3 couches:
Module Packet Capture: sniffe le trafic rseau et lenvoie la couche suprieure Module Event Engine: Analyse les flux et les paquets Module Policy Layer: utilise les scripts Bro pour traiter les vnements et appliquer les politiques
Signature Bro
Exemple de Signature Bro:
signature sid-1327 { ip-proto == tcp src-ip != local_nets dst-ip == local_nets dst-port == 22 event "EXPLOIT ssh CRC32 overflow" tcp-state established,originator payload /\x00\x01\x57\x00\x00\x00\x18/ payload /.{7}\xFF\xFF\xFF\xFF\x00\x00/ }
Comparatif Snort - Bro

Avantages Snort + nouvelles rgles trs rgulirement proposes + nombreux plugins, frontends, consoles de management, ... + mise en uvre basique rapide + beaucoup de documentations + fichiers d'alertes trs complets (header des paquets, lien vers description de l'attaque, ...) - configuration essentiellement par dition de fichiers texte - de nombreuses fonctionnalits payantes Bro + forte customisation -> IDS trs difficile dtecter par un pirate + langage de script puissant + configuration trs simple grce un script interactif
Inconvnients
-fichiers d'alertes pas trs comprhensibles -peu d'informations dans les rapports d'alertes -documentation incomplte -aucune interface graphique
48
Prelude-IDS (Hybride)
IDS hybride 1998:
NIDS : NetWork Intrusion Detection System ; HIDS : Host based Intrusion Detection System LML : Log Monitoring Lackey.
Standard IDMEF (Intrusion Detection Message Exchange Format) Possibilit de stocker les logs dans une BDD
MYSQL/PSQL
Supporte :
SNORT / NESSUS et + de 30 analyseurs de logs
Documentation diffuse et peu abondante

Framework
Une bibliothque de gnration de messages IDMEF gestionnaire dvnements un analyseur de logs et dune console de visualisation des alertes.
50
Fonctionnement
Les capteurs remontent des alertes un manager Prelude.
Snort Syslog Prelude lml
Le manager : Collecte les alertes Transforme les alertes au format de Prelude en un format lisible Permet des contre-mesures une attaque La communication entre les diffrents programmes se fait au format IDMEF (Intrusion Detection Message Exchange Format). Utilisation du format XML car trs gnrique comme format
Prelude-IDS
Composition Libprelude (la librairie Prelude) : la base
Gestion de la connexion et communication entre composants Interface permettant l'intgration de plugins
Prelude-LML (la sonde locale)

Alerte locale Base sur l'application des objets Pour la surveillance des systmes Unix : syslog Windows : ntsyslog. Prelude-Manager (le contrleur) Prelude-manager centralise les messages des sondes rseaux et locales, et les traduit en alertes. responsable de la centralisation et de la journalisation
52
Configuration
Installation de lensemble du framework Configuration du manager
/etc/prelude-manager/prelude-manager.conf
Configuration de lml
/etc/prelude-lml/prelude-lml.conf
Configurationde prelude
/etc/prelude/default/
Client.conf Idmef-client.conf Global.conf
Ajout de sonde : exemple snort

prelude-admin register snort "idmef:w" x.x.x.x --uid=0 --gid=0
53
Prelude-IDS
Frontend
Prewikka (officiel) Php-frontend (mort) Perl Frontend Prelude (Austre)
54
Conclusion
IDS/IPS en plein Essor Algorithme de recherche de signature Outils essentiels
pour surveiller un rseau Pour connaitre les attaques
Attention
Faille de scurit sur IDS IPS pas encore mature
Bibliographie
http://dbprog.developpez.com/securite/ids/ Cours CEA (Vincent Glaume) Wikipedia.org Ecriture de rgles:
http://www.groar.org/trad/snort/snortfaq/writing_snort_rules.html https://trac.prelude-ids.org/wiki/PreludeHandbook
http://lehmann.free.fr/

Ids Ips

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Ids Ips

Transféré par

Droits d'auteur :

Formats disponibles

Les IDS et IPS Open Source

Alexandre MARTIN Jonathan BRIFFAUT

Prsentation gnrale des IDS

Master 2 Informatique - ASR

Quest-ce quun IDS ?

Cot dune attaque est lev:

De quoi est constitu un IDS?

Selon le type de trafic, lIDS accomplit certaines actions

Actions dun IDS

Avertir un systme avec un message

Avertir un humain avec un message

Amorcer certaines actions sur un rseau ou hte

Archiver, tracer : Corrlation avec dautre vnements Prparer une rponse :

Master 2 Informatique - ASR

Les diffrents types DIDS

Master 2 Informatique - ASR

Les types dIDS

Master 2 Informatique - ASR

Le HIDS accs des composants nonaccessibles sur le rseau

Ne surveille quun seul hte

Les mthodes de dtection

Master 2 Informatique - ASR

Les mthodes de dtection

Master 2 Informatique - ASR

Mthodes de dtection : Par Signature

Lattaque doit tre connue pour tre dtecte Peu de faux-positifs

Mthodes de dtection : Par Signature

Mthodes de dtection : Par Signature

Ceux pour peu de signature

Mthodes de dtection : Par Signature

Master 2 Informatique - ASR

Mthodes de dtection : Par anomalie

Master 2 Informatique - ASR

Mthodes de dtection : Par anomalie

Repose sur des outils de complexit diverses

Complexit de limplmentation et du dploiement

Mthodes de dtection : Par anomalie

Diagnostics long et prcis en cas dalerte

Master 2 Informatique - ASR

Mthodes de dtection : Par intgrit

Points ngatifs des IDS

Prsentation gnrale des IPS

Master 2 Informatique - ASR

IDS vers IPS

Master 2 Informatique - ASR

Les IPS : SUITE

Master 2 Informatique - ASR

Master 2 Informatique - ASR

O placer un IDS IPS ?

Master 2 Informatique - ASR

surveiller les attaques sur un rseau :

Master 2 Informatique - ASR

O placer un IDS IPS

Master 2 Informatique - ASR

Un autre IDS particulier: le Honeypot

Les 2 types Honeypot

Master 2 Informatique - ASR

MAJ Temps rel

Bleeding gratuit , CERT

2 Configuration des pr-processeurs 3 Configuration des plugins de sortie

4 Choix des rgles utiliser

/etc/snort/rules (ensemble des signatures)

Les rgles Snort