Les IDS et IPS

Par SOUFIANE MAKHLOUFI

Plan
 Les IDS
 Présentation générale des IDS
 Les différents type d’IDS
 Les méthodes de détection
 Les IPS
 Présentation générale des IPS
 Ou placer un IPS?
 Cisco IPS (Sensors)
 La gestion des IPS cisco
 Utilisation de l’SDM Cisco
 la configuration de base d’un IOS IPS avec CLI
Présentation générale des IDS
Qu’est-ce qu’un IDS?
 L’IDS(intrusion detection system)
 Surveiller
 Contrôler
 Détecter
 Le système de détection d’intrusion
est en voie de devenir un composant
critique d’une architecture de sécurité
informatique
justification
 Nombre de failles élevés:
 3273 nouvelles entre janvier et juillet
2009
 Coût d’une attaque est élevé
 Image de marque
 Investissement
 Les outils pour attaquer sont
disponible et gratuit (nmap,netcut,..)
De quoi est constitué un IDS?
 Un IDS est essentiellement un sniffer couplé
avec un moteur qui analyse le trafic selon des
règles
 Ces règles décrivent un trafic à signaler
 L’IDS peut analyser
 Couche réseau (IP,ICMP)

 Couche transport (TCP,UDP)

 Couche Application (HTTP,Telnet)

 Selon le type de trafic, l’IDS accomplit

certaines actions.
Vocabulaire
 Faux-positif
 Fausse alerte levée par l’IDS
 Faux-négatif
 Attaque qui n’a pas été repéré par l’IDS
 Evasion
 Technique de (fraude) utilisée pour dissimuler
une attaque et faire en sorte qu’elle ne soit pas
détecter par l’IDS
 Sonde
 Composant de l’architecture IDS qui collecte
les informations brutes
Action d’un IDS
 Journaliser l’événement
 Source d’information et vision des menaces
courantes
 Avertir un système avec un message
 Exemple:appel SNMP
 Avertir un humain avec un message
 Courrier électronique,sms,interface web,….
 Amorcer certaines actions sur un réseau ou
hôte
 Exemple:mettre fin à une connexion
réseau,ralentir le débit des connexions,etc
Après la détection
 Comprendre l’attaque en cours
 Rassembler le maximum d’information

-cibles
-sources
-procédé (l’action)
 Archiver,tracer:corrélation avec d’autre
événements
 Préparer une réponse:

-sur le court terme : black-listage

-sur le long terme:application de
patches,ajout d’une règle au niveau du FW
Les différents types d’IDS
Les types d’IDS
 Il existe deux types d’IDS
-HIDS (Host IDS)
-NIDS (network IDS)
Le host IDS
 Ne surveille qu’un seul hote
 HIDS permet de surveiller le système et les
applications
-les journaux systèmes,
-de vérifier l’intégrité des systèmes de
fichiers.
 Le HIDS à accès à des composants non
accessibles sur le réseau
-exemple: la base de registre de windows
Le network IDS
 Un sonde placée dans le réseau
-surveille l’ensemble du réseau
-capture et analyse tout le trafic
-recherche de paquets suspects
 Contenu des données
 Adresse ip ou mac source et destination
 …
-Envoi d’alertes
Les méthodes de détection
Les méthodes de détection
 2 approches principales pour les IDS
-par signature
-comportementale
• Détection d’anomalie
• Vérification d’intégrité
Méthode de détection: par signature

 Les signatures d’attaques connues sont

stockées dans une base;et chaque
événement est comparé au contenu de
cette base
-si correspondance l’alerte est levée
 L’attaque doit être connue pour être
détectée
 Peu de faux-positifs
Méthode de détection: par
signature
 Facile a implémenter pour tout type
D’IDS
 L’efficacité des ids est liée à la
gestion de leur base de signatures
-MAJ
-Nombre de règles
-signatures suffisamment précises
exp:trouver le ‘motif/winnt/system32/cmd.exe’ dans une requête http
Méthode de détection: par
signature
 Avantage
-simplicité de mise en oeuvre
-rapidité de diagnostic
-précision (en fonction des règles)
 Inconvénients

-ne détecte que les attaques connues

-maintenance de la base
Méthode de détection:par anomalie
 Basée sur le comportement ‘normal’
du système
 Une déviation par rapport à ce
comportement est considérée
suspecte
 Le comportement doit être
modélisé:on définit alors un profil
 Une attaque peut être détectée sans
être préalablement connue
Méthode de détection:par anomalie
 Modélisation du système:création
d’un profil normal
-phase d’apprentissage
-exemple de profil:
• volumes des échanges réseau
• Appels systèmes d’une application
• Commandes usuelles d’un utilisateur
Méthode de détection:par anomalie
 Avantages
-permet la détection d’attaque inconnue
-facilite la création de règles adaptées a ces attaques
-difficile à tromper
 inconvénients
-les faux positifs sont nombreux
-diagnostics long et précis en cas d’alerte
-générer un profil est complexe
*durée de la phase d’apprentissage
*activité saine du système durent cette phase?
Méthode de détection :par intégrité
 Vérification d’intégrité
-génération d’une somme de contrôle
sur des fichiers d’un système
- une comparaison et alors effectuée
avec une somme de contrôle de
référence
-exemple :une page web
-méthode couramment employée par
les HIDS
Points négatifs des IDS

 Technologie complexe
 Nécessite un degré d’expertise élevé
 Long à optimiser
 Réputer pour générer de fausses
alertes
Présentation générale des IPS
Les IPS
 IPS= intrusion prevention system
-mieux vaut prévenir que guérir
 Constat:
-on suppose pouvoir détecter une intrusion, pourquoi
alors ne pas la bloquer,l’éliminer?
 IDS vers IPS
-terme à la base plutôt marketing
-techniquement:
• Un IPS est un IDS qui ajoute des fonctionnalités de
blocage pour une anomalie trouvée
• IDS devient actif IPS
Les IPS suite

 Objectifs:
-interrompre une connexion
-ralentir la connexion
-blacklister les sources
 Moyens:

-règle firewall
-QOS
-intervention applicatif (proxy)
Ou placer un IPS?
Cisco IPS (Sensors)

 Cisco proposes deux types d’IPS

-Cisco IPS 4200 Series capteurs
d'appareils
-Cisco IOS IPS capteurs
Cisco IPS 4200 Series capteurs
d'appareils
 Les principales caractéristiques des
capteurs d'appareils Cisco IPS 4200
Series sont indiqués dans le Tableau
suivant :
Cisco IOS IPS capteurs
 Certaines versions du logiciel Cisco IOS
intègrent la détection et la prévention
d'intrusions
 le routeur déployé avec ce IOS est connu
sous le nom d'un capteur de routeur.
 C’est a partir de la version IOS 12.0 (5) T
ou plus
 Déployer avec les gammes cisco 830, 1700,
1800, 2600, 2800, 3600, 3800, 7100, 7200
et 7500 ou plus
Cisco IOS IPS capteurs
 Vous pouvez utilisé toutes les
signatures disponibles sur le capteur
d'appareil (4200 Series )
 Vous pouvez également télécharger
les fichiers de signatures SDF en
fonction de la capacité ram de votre
routeur
La gestion des IPS cisco
 IPS Device Manager
-Chaque capteur est livré avec le
périphérique IPS Manager (IDM). Ce
logiciel vous permet de configurer le
capteur via une interface graphique.
L’Utilisation de IDM, permet
également d’analyser les événements
qui se produisent sur le capteur et
lancer manuellement le blocage IP.
La gestion des IPS cisco
 CiscoWorks Management Center for
IPS Sensors
-IPS MC vous permet de configurer et
de gérer des centaines de sondes IPS
au sein de votre réseau,c’est un
système de gestion unique pour les
IPS.
Utilisation de l’SDM Cisco
 SDM ( Security Device Manager ) est
l'interface d'administration graphique
des services de sécurité d'un routeur
Cisco IOS PIX Firewall. Cette interface
rend plus conviviale le paramétrage
des éléments de sécurité. Les wizards
dont cette interface dispose
permettent d'effectuer des
configurations rapidement et sans
erreur
Utilisation de l’SDM Cisco
 l'accès à cette interface n'est pas
toujours activé par défaut
 Il faux activé le service http dans le
routeur
 Il faux installer JAVA
 Il faux autoriser l’ouverture des
fenêtres popup dans votre navigateur
 Modifier les paramètres d’exécution
dans java avec ce valeur -Xmx300m
la configuration de base d’un IOS
IPS avec CLI
 1-Entrer dans le mode de configuration global
yourname#conf t
 2-Tout d'abord, configurer le routeur pour activer la
sécurité Device Event Exchange (SDEE) notification
d'événement.
yourname(config)#ip ips notify sdee
 3-Ensuite, créez un nom de la règle IPS qui sera
utilisé pour associer aux interfaces.
yourname(config)# ip ips name myips
 4-Configuration de l'emplacement IPS fichier vers
lequel Cisco IOS IPS système lit les signatures. Dans
notre exemple, c'est le fichier flash: 128MB.sdf.
la configuration de base d’un IOS
IPS avec CLI
yourname(config)# ip ips sdf location
flash:128MB.sdf
 5-L’activation de ips sur l’interface du
routeur et sur le trafic entrant
yourname(config)#interface fastEthernet 0
yourname(config-if)#ip ips myips in
 6-Ensuite le fichier sdf va s’extraire au
niveau de ips pour intégrer des nouvelles
signatures
 7-Activation de IPS pour le traffic sortant

yourname(config-if)#ip ips myips out

TP installation d’un SDM