Transcript securit

Institut Supérieur de Comptabilité
et d’Administration des Entreprises
SECURITE DU SYSTEME
D’INFORMATION (SSI)
2010-2011 1
systèmes de détection d'intrusions
IDS
• On appelle IDS (Intrusion Detection System) un
mécanisme écoutant le trafic réseau de
manière furtive afin de repérer des activités
anormales ou suspectes et permettant ainsi
d'avoir une action de prévention sur les
risques d'intrusion
• Il existe deux grandes familles distinctes d’IDS :
• Les N-IDS (Network Intrusion Detection System), ils assurent la
sécurité au niveau du réseau.
• Les H-IDS (Host Intrusion Detection System), ils assurent la
sécurité au niveau des hôtes.
• Un N-IDS nécessite un matériel dédié et constitue un système
capable de contrôler les paquets circulant sur un ou plusieurs lien(s)
réseau dans le but de découvrir si un acte malveillant ou anormal a
lieu. Le N-IDS place une ou plusieurs cartes d’interface réseau du
système dédié en mode promiscuité (promiscuous mode), elles sont
alors en mode « furtif » afin qu’elles n’aient pas d’adresse IP. Elles
n’ont pas non plus de pile de protocole attachée. Il est fréquent de
trouver plusieurs IDS sur les différentes parties du réseau et en
particulier de placer une sonde à l'extérieur du réseau afin d'étudier
les tentatives d'attaques ainsi qu'une sonde en interne pour analyser
les requêtes ayant traversé le pare-feu ou bien menée depuis
l'intérieur.
• Le H-IDS réside sur un hôte particulier et la
gamme de ces logiciels couvre donc une grande
partie des systèmes d’exploitation tels que
Windows, Solaris, Linux, HP-UX, Aix, etc…
Le H-IDS se comporte comme un démon ou un
service standard sur un système hôte.
Traditionnellement, le H-IDS analyse des
informations particulières dans les journaux de
logs (syslogs, messages, lastlog, wtmp…) et aussi
capture les paquets réseaux entrant/sortant de
l’hôte pour y déceler des signaux d’intrusions
(Déni de Services, Backdoors, chevaux de troie,
tentatives d’accès non autorisés, execution de
codes malicieux, attaques par débordement de
buffeurs…).
• Le trafic réseau est généralement constitué de
datagrammes IP. Un N-IDS est capable de
capturer les paquets lorsqu’ils circulent sur les
liaisons physiques sur lesquelles il est
connecté.
• Un N-IDS consiste en une pile TCP/IP qui
réassemble les datagrammes IP et les
connexions TCP pour reconnaitre les
intrusions.
Principe de Fonctionnement des Detecteurs d’Intrusion (NIDS)
N IDS
Internet
SANS LES RETARDER
•Contrôle des attaques infiltrées à travers les flux
permis via le firewall (Web, Chat..)
Rôle d’un N IDS
– Sans gêner les flux légitimes (se place en mode de sniffage sur le réseau):
 détecter toute tentative d’attaque, en observant qu’un scénario d’attaque est en
cours ET
 La bloquer, si c’est un NIDS actif (cas de toutes les solutions commerciales et quelques
solutions open-source) + Peut interractivement modifier les régles de filtrage du
Firewall, pour bloquer l’adresse d’un attaquant externe, au niveau du Firewall externe.
 Alerter et Logger + Peut interactivement modifier les règles de filtrage du Firewall, pour
toutes les solutions Open-source
Il peut aussi être utilisé pour détecter toute violation de la politique de sécurité (tel que des utilisations non
autorisées de systèmes/services OU mauvaises utilisations de systèmes/services... )
6
Détecteurs d’intrusions : Emplacements
Le placement des NIDS va dépendre de la politique de sécurité, mais il serait
opportun de
– coupler des IDS avec chaque Firewall extrene : Dans la zone démilitarisée,
surtout « publiques » (sderveur Web/messagerie, ..)
– Dans le (ou les) réseau privé, pour Controller les intrusions internes
(ou depuis le réseau externe),
– Eventuellement : Sur la patte extérieure du firewall (NIDS passif), afin
de détecter de maniére précoce des signes d'attaques sur le Firewall
externe.
NIDS
Internet
NIDS
NIDS
7
Les différentes actions des IDS
• Reconfiguration d’équipement tierces (firewall, ACL
sur routeurs) : Ordre envoyé par le N-IDS à un
équipement tierce (filtreur de paquets, pare-feu) pour
une reconfiguration immédiate dans le but de bloquer
un intrus source d’intrusions. Cette reconfiguration est
possible par passage des informations détaillant une
alerte (en tête(s) de paquet(s)).
• Envoi d’une trap SNMP à un hyperviseur tierce : Envoi
de l’alerte (et le détail des informations la constituant)
sous format d’un datagramme SNMP à une console
tierce comme HP OpenView, Tivoli,
• Envoi d’un e-mail à un ou plusieurs utilisateurs :
Envoi d’un e-mail à une ou plusieurs boîtes au
lettre pour notifier d’une intrusion sérieuse
• Journalisation (log) de l’attaque : Sauvegarde des
détails de l’alerte dans une base de données
centrale comme par exemple les informations
suivantes: timestamp, @IP de l’intrus, @IP de la
cible, protocole utilisé, …
• Sauvegarde des paquets suspicieux : Sauvegarde
de l’ensemble des paquets réseaux (raw packets)
capturés et/ou seul(s) les paquets qui ont
déclenchés une alerte.
• Démarrage d’une application : Lancement
d'un programme extérieur pour exécuter une
action spécifique (envoi d’un message sms,
émission d’une alerte auditive…).
• Envoi d’un "ResetKill" : Construction d'un
paquet TCP FIN pour forcer la fin d’une
connexion (uniquement valable sur des
techniques d’intrusions utilisant le protocole
de transport TCP).
• Notification visuelle de l’alerte : Affichage de
l’alerte dans une ou plusieurs console(s) de
management
Catégories de Détecteurs d’intrusions :IDS et IPS
•
On peut classer les IDS suivant deux catégories :
– Les IDS « Classiques », basés sur les signatures (traces d’attaques connues).
Inconvénients :
 Ne reconnaissent que les signatures d’attaques présentes dans leur base de
signature (bibliothèque), qui doivent être mis à jour réguliérement.
Avantages : très efficaces, contre les attaques connues.
– IDS comportementaux, dits aussi IPS (Intrusion Prevention Systems) :
• Les IPS ne se basent pas uniquement sur les signatures, mais essayent de détecter
(et bloquer) toute activité, sortant de la normale.
Avantages : Permettent de détecter des attaques non encore connues.
Inconvénients :
 Génèrent beaucoup de fausses alertes (dites « false positives »), correspondant à
des activités non intrusives.
De plus, leur mise en œuvre comprend toujours une phase d'apprentissage, réservée
aux initiés.
11
IPS/IDS
• L’IPS est un Système de Prévention/Protection contre les intrusions
et non plus seulement de reconnaissance et de signalisation des
intrusions comme la plupart des IDS le sont. La principale différence
entre un IDS (réseau) et un IPS (réseau) tient principalement en 2
caractéristiques :
• le positionnement en coupure sur le réseau de l’IPS et non plus
seulement en écoute sur le réseau pour l’IDS (traditionnellement
positionné comme un sniffer sur le réseau).
• la possibilité de bloquer immédiatement les intrusions et ce quel
que soit le type de protocole de transport utilisé et sans
reconfiguration d’un équipement tierce, ce qui induit que l’IPS est
constitué en natif d’une technique de filtrage de paquets et de
moyens de bloquages (drop connection, drop offending packets,
block intruder, …)
PROTECTION “MINIMALE” des frontiéres d’un Réseau
= Firewall + N-IDS
Network- IDS
Internet
Firewall
13