Académique Documents
Professionnel Documents
Culture Documents
Claude Duvallet
Universit du Havre UFR Sciences et Techniques Courriel : Claude.Duvallet@gmail.com
Introduction et contexte Les diffrents types dIDS Les mthodes de dtection Principes gnraux et dploiement
Plan de la prsentation
Introduction et contexte Les diffrents types dIDS Les mthodes de dtection Principes gnraux et dploiement
Introduction et contexte Les diffrents types dIDS Les mthodes de dtection Principes gnraux et dploiement
Introduction Historique
Introduction
Dtection dattaques : an de dtecter les attaques que peut subir un systme, il est ncessaire de disposer dun logiciel spcialis dont le rle sera de surveiller les donnes qui transistent sur ce systme et et qui serait capable de ragir si des donnes semblent suspectes. Les logiciels qui sont les plus mme deffectuer cette tche sont les systmes de dtection dintrusion : les IDS. Dnition Un systme de dtection dintrusion (ou IDS : Intrusion Detection System) est un mcanisme destin reprer des activits anormales ou suspectes sur la cible analyse (un rseau ou un hte). Il permet ainsi davoir une action de prvention sur les risques dintrusion. (source : wikipdia).
Introduction et contexte Les diffrents types dIDS Les mthodes de dtection Principes gnraux et dploiement
Introduction Historique
Historique
Les premiers systmes de dtection dinstrusions ont t initis par larme amricaine puis par des entreprises. Plus tard, des projets open-source ont t lancs comme Snort ou Prelude. Des produits commerciaux ont aussi vu le jour par le biais dentreprises spcialises en scurit informatique : Internet Security Systems, *symantec, Cisco Systems, ...
Introduction et contexte Les diffrents types dIDS Les mthodes de dtection Principes gnraux et dploiement
Les systmes de dtection dintrusions Les systmes de prvention dintrusions Les pare-feux
Introduction et contexte Les diffrents types dIDS Les mthodes de dtection Principes gnraux et dploiement
Les systmes de dtection dintrusions Les systmes de prvention dintrusions Les pare-feux
Introduction et contexte Les diffrents types dIDS Les mthodes de dtection Principes gnraux et dploiement
Les systmes de dtection dintrusions Les systmes de prvention dintrusions Les pare-feux
Objectif : analyser de manire passive les ux en transit sur le rseau et dtecter les intrusions en temps rel. Un NIDS coute donc tout le trac rseau, puis lanalyse et gnre des alertes si des paquets semblent dangereux. Les NIDS sont les IDS plus intressants et les plus utiles du fait de lomniprsence des rseaux dans notre vie quotidienne.
Introduction et contexte Les diffrents types dIDS Les mthodes de dtection Principes gnraux et dploiement
Les systmes de dtection dintrusions Les systmes de prvention dintrusions Les pare-feux
Introduction et contexte Les diffrents types dIDS Les mthodes de dtection Principes gnraux et dploiement
Les systmes de dtection dintrusions Les systmes de prvention dintrusions Les pare-feux
Introduction et contexte Les diffrents types dIDS Les mthodes de dtection Principes gnraux et dploiement
Les systmes de dtection dintrusions Les systmes de prvention dintrusions Les pare-feux
Introduction et contexte Les diffrents types dIDS Les mthodes de dtection Principes gnraux et dploiement
Les systmes de dtection dintrusions Les systmes de prvention dintrusions Les pare-feux
Le deuxime inconvnient est quun pirate peut utiliser sa fonctionnalit de blocage pour mettre hors service un systme.
Prenons lexemple dun individu mal intentionn qui attaque un systme protg par un IPS, tout en spoofant son adresse IP. Si ladresse IP spoofe est celle dun nud important du rseau, les consquences seront catastrophiques. Pour palier ce problme, de nombreux IPS disposent des white lists , c--d des listes dadresses rseaux quil ne faut en aucun cas bloquer.
Claude Duvallet 11/42 Les systmes de dtection dintrusion rseau
Introduction et contexte Les diffrents types dIDS Les mthodes de dtection Principes gnraux et dploiement
Les systmes de dtection dintrusions Les systmes de prvention dintrusions Les pare-feux
Introduction et contexte Les diffrents types dIDS Les mthodes de dtection Principes gnraux et dploiement
Les systmes de dtection dintrusions Les systmes de prvention dintrusions Les pare-feux
Introduction et contexte Les diffrents types dIDS Les mthodes de dtection Principes gnraux et dploiement
Les systmes de dtection dintrusions Les systmes de prvention dintrusions Les pare-feux
Kernel Intrusion Detection Systems/Kernel Intrusion Prevention Systems Le KIPS peut galement interdire lOS dexcuter un appel systme qui ouvrirait un shell de commandes. Puisquun KIPS analyse les appels systmes, il ralentit lexcution. Cest pourquoi ce sont des solutions rarement utilises sur des serveurs souvent sollicits. Exemple de KIPS : SecureIIS, qui est une surcouche du serveur IIS de Microsoft.
Introduction et contexte Les diffrents types dIDS Les mthodes de dtection Principes gnraux et dploiement
Les systmes de dtection dintrusions Les systmes de prvention dintrusions Les pare-feux
Les pare-feux
Les pare-feux ne sont pas des IDS proprement parler mais ils permettent galement de stopper des attaques. Les pare-feux sont bass sur des rgles statiques an de contrler laccs des ux. Ils travaillent en gnral au niveau des couches basses du modle OSI (jusquau niveau 4), ce qui est insufsant pour stopper une intrusion. Par exemple, lors de lexploitation dune faille dun serveur Web, le ux HTTP sera autoris par le pare-feu puisquil nest pas capable de vrier ce que contiennent les paquets.
Introduction et contexte Les diffrents types dIDS Les mthodes de dtection Principes gnraux et dploiement
Les systmes de dtection dintrusions Les systmes de prvention dintrusions Les pare-feux
Les pare-feux de type proxy : Le pare-feu sintercale dans la session et analyse linformation an de vrier que les changes protocolaires sont conformes aux normes.
Claude Duvallet 16/42 Les systmes de dtection dintrusion rseau
Introduction et contexte Les diffrents types dIDS Les mthodes de dtection Principes gnraux et dploiement
partir de ces questions, nous pouvons tudier le fonctionnement interne dun IDS. Deux techniques principales sont mises en place dans la dtection dattaques :
La premire consiste dtecter des signatures dattaques connues dans les paquets circulant sur le rseau. La seconde, consiste quant elle, dtecter une activit suspecte dans le comportement de lutilisateur.
Introduction et contexte Les diffrents types dIDS Les mthodes de dtection Principes gnraux et dploiement
Cette technique sappuie sur la connaissance des techniques utilises par les attaquants pour dduire des scnarios typiques. Elle ne tient pas compte des actions passes de lutilisateur et utilise des signatures dattaques
ensemble de caractristiques permettant didentier une activit intrusive :
une chane alphanumrique, une taille de paquet inhabituelle, une trame formate de manire suspecte, ...
Introduction et contexte Les diffrents types dIDS Les mthodes de dtection Principes gnraux et dploiement
Pour les IDS utilisant cette mthode, il est ncessaire dadapter la base de signatures en fonction du systme protger.
Claude Duvallet 19/42 Les systmes de dtection dintrusion rseau
Introduction et contexte Les diffrents types dIDS Les mthodes de dtection Principes gnraux et dploiement
Le principe de cette mthode est le mme que prcdemment mais les signatures des attaques voluent dynamiquement. LIDS est de ce fait dot de fonctionnalits dadaptation et dapprentissage.
Introduction et contexte Les diffrents types dIDS Les mthodes de dtection Principes gnraux et dploiement
Analyse de protocoles
Cette mthode se base sur une vrication de la conformit (par rapport aux RFC) des ux, ainsi que sur lobservation des champs et paramtres suspects dans les paquets. Cependant, les diteurs de logiciels et les constructeurs respectent rarement la lettre les RFC et cette mthode nest pas toujours trs performante. Lanalyse protocolaire est souvent implmente par un ensemble de prprocesseurs, o chaque prprocesseur est charg danalyser un protocole particulier (FTP, HTTP, ICMP, ...). Du fait de la prsence de tous ces prprocesseurs, les performances dans un tel systme sen voient fortement dgrades. Lintrt fort de lanalyse protocolaire est quelle permet de dtecter des attaques inconnues, contrairement au pattern matching qui doit connatre lattaque pour pouvoir la dtecter.
Claude Duvallet 21/42 Les systmes de dtection dintrusion rseau
Introduction et contexte Les diffrents types dIDS Les mthodes de dtection Principes gnraux et dploiement
Le but de cette mthode est, par une analyse intelligente, de dtecter une activit suspecte ou toute autre anomalie. Par exemple : une analyse heuristique permet de gnrer une alarme quand le nombre de sessions destination dun port donn dpasse un seuil dans un intervalle de temps prdni.
Introduction et contexte Les diffrents types dIDS Les mthodes de dtection Principes gnraux et dploiement
Lapproche comportementale
Cette technique consiste dtecter une intrusion en fonction du comportement pass de lutilisateur. Pour cela, il faut pralablement dresser un prol utilisateur partir de ses habitudes et dclencher une alerte lorsque des vnements hors prol se produisent. Cette technique peut tre applique non seulement des utilisateurs mais aussi des applications et services. Plusieurs mtriques sont possibles : la charge CPU, le volume de donnes changes, le temps de connexion sur des ressources, la rpartition statistique des protocoles et applications utiliss, les heures de connexion, ...
Introduction et contexte Les diffrents types dIDS Les mthodes de dtection Principes gnraux et dploiement
ltablissement du prol doit tre souple an quil ny ait pas trop de fausses alertes :
le pirate peut discrtement intervenir pour modier le prol de lutilisateur an dobtenir aprs plusieurs jours ou semaines, un prol qui lui permettra de mettre en place son attaque sans quelle ne soit dtecte.
Introduction et contexte Les diffrents types dIDS Les mthodes de dtection Principes gnraux et dploiement
Approche statistique :
Le but est de quantier les paramtres lis lutilisateur : taux doccupation de la mmoire, utilisation des processeurs, valeur de la charge rseau, nombre daccs lIntranet par jour, vitesse de frappe au clavier, sites les plus visits, ... Elle nest actuellement prsente que dans le domaine de la recherche, o les chercheurs utilisent des rseaux neuronaux et la fouille de donnes pour tenter davoir des rsultats convaincants.
Claude Duvallet 25/42 Les systmes de dtection dintrusion rseau
Introduction et contexte Les diffrents types dIDS Les mthodes de dtection Principes gnraux et dploiement
Introduction et contexte Les diffrents types dIDS Les mthodes de dtection Principes gnraux et dploiement
Un NIDS nest pas sufsant pour assurer la scurit. Il faut aussi effectuer les actions habituelles :
les systmes et applications doivent tre mises jour rgulirement (mises jour de scurit). les systmes utilisant internet doivent tre dans un rseau isol (DMZ). chaque utilisateur doit tre averti de importance de la scurit de ses mots de passe. les services qui ne sont pas utiliss doivent tre dsactivs.
Le dploiement dun IDS doit tenir compte du systme dexploitation et les rgles doivent tre correctement congures par rapport celui-ci. Lemplacement des sondes est trs important : i.e. lendroit o lon capture le trafc rseau. Il faut penser scuriser les sondes et les logs dalerte.
Claude Duvallet 27/42 Les systmes de dtection dintrusion rseau
Introduction et contexte Les diffrents types dIDS Les mthodes de dtection Principes gnraux et dploiement
Principe de prcaution
Il faut congurer correctement lIDS pour quil ninonde pas les rapport dalertes avec des faux positifs.
ils peuvent rendre les rapports dalertes long analyser. les administrateurs passeront beaucoup de temps distinguer les faux positifs des vritables intrusions.
Il faut aussi veiller ce que lIDS ne gnre pas de faux ngatifs. Les dbits actuels des rseaux augementent de plus en plus et donc les IDS ont de plus en plus de paquets traiter et analyser.
Introduction et contexte Les diffrents types dIDS Les mthodes de dtection Principes gnraux et dploiement
capture de la trame par linterface en mode promiscuit (promiscous mode). analyse de la trame et ltrage ventuel en bas niveau. dtection de la prsence de fragments ou non et passage ventuel un moteur de reconstruction. transfert de la trame vers le systme dexploitation. ltrage ventuel. applications de divers prprocesseurs en fonction du type de requte an de contrer des techniques dvasion dattaques (voir plus loin). passage vers le moteur danalyse (protocole, pattern matching, statistique, ...).
Claude Duvallet 29/42 Les systmes de dtection dintrusion rseau
2 3
4 5 6
Introduction et contexte Les diffrents types dIDS Les mthodes de dtection Principes gnraux et dploiement
Rpartition de charges et amlioration des performances sparer les ux et mettre en place plusieurs sondes. Lutilisation de plusieurs sondes ncessite la corrlation des informations par le biais de plusieurs actions :
agrgation : rassembler les informations des diffrentes sondes. fusion : fusionner en supprimant les doublons (mme attaque dtecte par plusieurs sondes). corrlation : dnir un motif commun, cest--dire interprter une suite dvnements et les rsumer.
Les outils
Les outils
Tcpdump : outil en ligne de commande permettant dcouter le rseau. Ethereal ou Wireshark : logiciel open-source permettant la capture et lanalyse de trafc rseau en mode graphique. Snort : systme de dtection dintrusion libre publi sous licence GNU GPL. lorigine crit par Martin Roesch, il appartient actuellement Sourcere. ACID (Analysis Console for Intrusion Databases) : outil daministration dun IDS permettant de se connecter la base de donnes de SNORT.
Les outils
Lancement de tcpdump
Il est prfrable de lancer TCPdump en mode super utilisateur car il passe votre interface rseau en "promiscuous mode" ce qui ncessite certain privilges. "promiscuous mode" signie que votre interface va accepter tous les paquets IP, mme ceux qui ne lui sont pas destins. Vous pouvez lancer tcpdump sans option :
Les outils
Interprtation de tcpdump
TCPdump gnre une ligne par paquet IP. Avec les options par dfaut, une ligne ressemble :
10 :27 :46.931012 IP aci-claude.1844 > recher-dns.recherche.domain
Les outils
11 :52 :16.126791 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto : UDP (17), length : 146) recher-dns.recherche.domain > aci-claude.1850 : 38664* 1/1/1 165.30.17.172.in-addr.arpa.
-vv
11 :53 :50.173426 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto : UDP (17), length : 146) recher-dns.recherche.domain > aci-claude.1850 : 27392* q : PTR ? 203.30.17.172.in-addr.arpa. 1/1/1 203.30.17.172.in-addr.arpa.[|domain]
-vvv
...
13 :43 :28.699404 IP (tos 0x0, ttl 255, id 0, offset 0, flags [DF], proto : UDP (17), length : 73) aci-claude.mdns > 224.0.0.251.mdns : 0 PTR ? 255.255.17.172.in-addr.arpa. (45) E..I..@....p...&.........5.0.............255.255.17.172.in-addr.arpa.
Claude Duvallet 34/42 Les systmes de dtection dintrusion rseau
Les outils
tcpdump host www.google.fr 14 :11 :20.438496 IP aci-claude.45050 > fx-in-f103.google.com.www : . ack 6753 win 5774 <nop,nop,timestamp 176188646 2732389773>
En fonction de ladresse de destination uniquement :
tcpdump dst www.google.fr 14 :20 :41.950306 IP aci-claude.46051 > fx-in-f99.google.com.www : . ack 6836 win 5774 <nop,nop,timestamp 176329020 3755286292>
En fonction de port utilis :
tcpdump port http 14 :30 :18.440969 IP aci-claude.40621 > sebulba.privatedns.com.www : P 4245 :4958(713) ack 100806 win 16022 <nop,nop,timestamp 176473139 2858750850
En fonction de protocole utilis :
tcpdump proto TCP 14 :38 :52.774942 IP aci-claude.30961 > scott.univ-lehavre.fr.ssh : . 18488273 :18489721(1448) ack 10896 win 2516 <nop,nop,timestamp 176601720 707031894>
Claude Duvallet 35/42 Les systmes de dtection dintrusion rseau
Les outils
14 :46 :50.672227 IP 172.17.20.38.30961 > 193.52.167.215.22 : . 14770137 :14771585(1448) ack 8832 win 2516 <nop,nop,timestamp 176721191 707509879>
-i : force lutilisation dune interface (par exemple : -i eth0)
...
man tcpdump : pour obtenir plus dinformation sur les diffrentes options de tcpdump.
Les outils
Lancement de Wireshark
Au moment du lancement de Wireshark, vous obtenez lcran suivant :
Les outils
Pour dmarrer la capture, il vous faut slectionner dabord une interface dans le menu Capture/Interface.
Les outils
Options de capture
Vous pouvez modier les options de capture en pressant le bouton Option :
Les outils
Lancement de la capture
Pour lancer la capture, il suft de presser Start :
Pour arrter la capture et charger celle-ci dans Wireshark, il suft de presser Stop :
Les outils
Analyse de la capture
Vous pouvez ensuite analyser le rsultat de la capture :
Les outils
Installation de Snort
Installer les paquets Snort. Installer le support mysql pour Snort. Installer ACID.