Title: SSI
1SSI
2Plan
- Déroulement dune attaque
- Rendre impossible lintrusion
- Le problème dextension des privilèges
- Lutter contre la compromission
- Surveiller les systèmes contre les portes
dérobées et les rootkits
3Schéma classique dune attaque
Collecte dinformations
Repérage des failles
Balayage
Intrusion
Compromission
Extension des privilèges
Nettoyage des traces
Porte dérobée
4Recherche dinformations
- La récupération d'informations sur le système
- Préalable à toute attaque.
- rassembler le maximum d'informations sur le
réseau cible - Adressage IP, Noms de domaine, Protocoles de
réseau, Services activés, Architecture des
serveurs, etc. - Consultation de bases publiques
- En connaissant l'adresse IP publique d'une des
machines du réseau ou bien tout simplement le nom
de domaine, on est potentiellement capable de
connaître l'adressage du réseau tout entier - http//www.iana.net
- http//www.ripe.net pour l'Europe
- http//www.arin.net pour les Etats-Unis
- Consultation de moteurs de recherche
- informations sur la structure d'une entreprise,
le nom de ses principaux produits, voire le nom
de certains personnels. - Ingénierie sociale
5Scanner le réseau
- Balayage du réseau
- déterminer quelles sont les adresses IP actives,
les ports ouverts, et le système d'exploitation
utilisé. - Exemple Nmap, reconnu comme un outil
indispensable. - agit en envoyant des paquets TCP et/ou UDP à un
ensemble de machines sur un réseau, puis il
analyse les réponses. - Selon l'allure des paquets TCP reçus, il lui est
possible de déterminer le système d'exploitation
distant pour chaque machine scannée. - Les mappeurs passifs
- n'envoient pas de paquets ils sont donc
indétectable par les IDS. - Enfin, certains outils permettent de capturer les
connexions X. Ce système a pour caractéristique
de pouvoir utiliser l'affichage des stations
présentes sur le réseau, afin d'étudier ce qui
est affiché sur les écrans et éventuellement
d'intercepter les touches saisies par les
utilisateurs des machines vulnérables. - Lecture de bannières
6Repérer les failles
- Le repérage des failles
- Les deux principaux scanneurs de failles Nessus
et SAINT - certains organismes, en particulier les CERT
(Computer Emergency Response Team), sont chargés
de capitaliser les vulnérabilités et de fédérer
les informations concernant les problèmes de
sécurité.
7Lintrusion
- L'intrusion
- Pour pouvoir s'introduire dans le réseau, le
pirate a besoin d'accéder à des comptes valides
sur les machines qu'il a recensées. - Pour ce faire, plusieurs méthodes sont utilisées
par les pirates - L'ingénierie sociale.
- La consultation de l'annuaire ou bien des
services de messagerie ou de partage de fichiers,
permettant de trouver des noms d'utilisateurs
valides - Les attaques par force brute.
8Extension des privilèges
- Extension de privilèges
- Une fois loger sur un ou plusieurs comptes peu
protégés, on va chercher à augmenter ses
privilèges en obtenant l'accès root. - Il lui est ainsi possible d'installer un sniffer.
Grâce à cette technique, le pirate peut espérer
récupérer les couples identifiants/mots de passe
lui permettant d'accéder à des comptes possédant
des privilèges étendus sur d'autres machines. - Dès qu'un accès root a été obtenu sur une
machine, l'attaquant a la possibilité d'examiner
le réseau à la recherche d'informations
supplémentaires.
9La compromission
- Compromission
- Grâce aux étapes précédentes, le pirate a pu
dresser une cartographie complète du réseau, des
machines s'y trouvant, de leurs failles et
possède un accès root sur au moins l'une
d'entre-elles. Il lui est alors possible
d'étendre encore son action en exploitant les
relations d'approbation existant entre les
différentes machines.
10La fin de lattaque
- Porte dérobée
- installer une application afin de créer
artificiellement une faille de sécurité pour
revenir plus facilement - Nettoyage des traces
- effacer les traces de son passage en supprimant
les fichiers qu'il a créés et en nettoyant les
fichiers de logs des machines dans lesquelles il
s'est introduit. - il existe des rootkits permettant de remplacer
les outils d'administration du système par des
versions modifiées afin de masquer la présence du
pirate sur le système. - En effet, si l'administrateur se connecte en même
temps que le pirate, il est susceptible de
remarquer les services que le pirate a lancé ou
tout simplement qu'une autre personne
11Objectifs à atteindre
- Objectifs de sécuriser un réseau
- Rendre impossible lintrusion
- Extension des privilèges
- Lutter contre la compromission
- Surveiller les systèmes contre les portes
dérobées et les rootkits
12Plan
- Déroulement dune attaque
- Rendre impossible lintrusion
- Le problème dextension des privilèges
- Lutter contre la compromission
- Surveiller les systèmes contre les portes
dérobées et les rootkits
13Rendre lintrusion impossible
- Nécessite une architecture sécurisée
- le coeur d'une telle architecture est basée sur
un firewall. - but sécuriser au maximum le LAN, détecter les
tentatives d'intrusion et y parer au mieux
possible. - De plus, il peut permettre de restreindre l'accès
vers Internet. - Le firewall véritable contrôle sur le trafic
réseau - Il analyse, sécurise et gére le trafic,
- Interdit une utilisation non souhaitée du réseau
(MSN) - Empêche une personne sans autorisation d'accéder
à ce réseau de données.
14Architecture
Postes clients
Firewall
Internet
Serveur(s)
15Architecture
Postes clients
Firewall
Firewall
Serveur(s)
16Architecture
Postes clients
Firewall
Serveur(s)
17Le filtrage simple de paquets (Stateless)
- Le principe.
- C'est la méthode la plus simple, elle opère au
niveau de la couche réseau et transport du modèle
OSI. - La plupart des routeurs permettent d'effectuer du
filtrage simple de paquet - L'adresse IP Source/Destination.
- Le numéro de port Source/Destination.
- Et bien sur le protocole de niveau 3 ou 4.
- Cela nécessite de configurer le Firewall ou le
routeur par des règles de filtrages, généralement
appelées des ACL (Access Control Lists).
18Le filtrage simple de paquets (Stateless)
- Les limites.
- Le premier problème vient du fait que
l'administrateur réseau est rapidement contraint
à autoriser un trop grand nombre d'accès, pour
que le Firewall offre une réelle protection. - Par exemple, pour autoriser les connexions à
Internet à partir du réseau privé,
l'administrateur devra accepter toutes les
connexions TCP provenant de l'Internet avec un
port supérieur à 1024. - Définir des ACL sur des routeurs supportant un
débit important n'est pas sans répercussion sur
le débit lui-même. - Enfin, ce type de filtrage ne résiste pas à
certaines attaques de type IP Spoofing / IP
Flooding, la mutilation de paquet, ou encore
certaines attaques de type DoS
19Le filtrage de paquets avec état (Stateful)
- Le Principe.
- amélioration par rapport au filtrage simple,
- Conservation de la trace des sessions et des
connexions dans des tables d'états internes au
Firewall. - Le Firewall prend alors ses décisions en fonction
des états de connexions, et peut réagir dans le
cas de situations protocolaires anormales. - permet aussi de se protéger face à certains types
d'attaques DoS.
20Le filtrage de paquets avec état (Stateful)
- Exemple sur les connexions Internet, on va
autoriser l'établissement des connexions à la
demande, - On a pas besoin de garder tous les ports gt à 1024
ouverts. - Pour les protocoles UDP et ICMP, il n'y a pas de
mode connecté. - La solution consiste à autoriser pendant un
certain délai les réponses légitimes aux paquets
envoyés.
21Le filtrage de paquets avec état (Stateful)
- Les paquets ICMP sont normalement bloqués par le
Firewall, qui doit en garder les traces. - Cependant, il n'est pas nécessaire de bloquer les
paquets ICMP de type 3 (destination inaccessible)
et 4 (ralentissement de la source) qui ne sont
pas utilisables par un attaquant. - On peut donc choisir de les laisser passer, suite
à l'échec d'une connexion TCP ou après l'envoi
d'un paquet UDP.
22Le filtrage de paquets avec état (Stateful)
- Pour le protocole FTP (et les protocoles
fonctionnant de la même façon), c'est plus
délicat puisqu'il va faut gérer l'état de deux
connexions. - le protocole FTP, gère un canal de contrôle
établi par le client, et un canal de données
établi par le serveur. Le Firewall devra donc
laisser passer le flux de données établi par le
serveur. - Ce qui implique que le Firewall connaisse le
protocole FTP, et tous les protocoles
fonctionnant sur le même principe. Cette
technique est connue sous le nom de filtrage
dynamique (Stateful Inspection).
23Le filtrage de paquets avec état (Stateful)
- Les limites.
- il convient de s'assurer que les deux techniques
sont bien implémentées par les Firewalls. - Ensuite une fois que l'accès à un service a été
autorisé, il n'y a aucun contrôle effectué sur
les requêtes et réponses des clients et serveurs.
- Un serveur HTTP pourra donc être attaqué
impunément. - Les protocoles maisons utilisant plusieurs flux
de données ne passeront pas, puisque le système
de filtrage dynamique n'aura pas connaissance du
protocole.
24Le filtrage applicatif
- également nommé pare-feu de type proxy.
- Le principe
- Le filtrage applicatif est comme son nom
l'indique réalisé au niveau de la couche
Application. - Pour cela, il faut bien sûr pouvoir extraire les
données du protocole de niveau 7 pour les
étudier. Les requêtes sont traitées par des
processus dédiés, par exemple une requête de type
HTTP sera filtrée par un processus proxy HTTP. Le
pare-feu rejettera toutes les requêtes qui ne
sont pas conformes aux spécifications du
protocole. Cela implique que le pare-feu proxy
connaisse toutes les règles protocolaires des
protocoles qu'il doit filtrer.
25Le filtrage applicatif
- Les limites
- Le premier problème qui se pose est la finesse du
filtrage réalisé par le proxy. - Il est extrêmement difficile de pouvoir réaliser
un filtrage qui ne laisse rien passer, vu le
nombre de protocoles de niveau 7. - En outre le fait de devoir connaître les règles
protocolaires de chaque protocole filtré pose des
problèmes d'adaptabilité à de nouveaux protocoles
ou des protocoles maisons. - Mais il est indéniable que le filtrage applicatif
apporte plus de sécurité que le filtrage de
paquet avec état, mais cela se paie en
performance.
26Que choisir ?
- Tout d'abord, il faut nuancer la supériorité du
filtrage applicatif par rapport à la technologie
Stateful. - les proxys doivent être paramétrés suffisamment
finement pour limiter le champ d'action des
attaquants, ce qui nécessite une bonne
connaissance des protocoles autorisés à traverser
le firewall. - Ensuite un proxy est plus susceptible de
présenter une faille de sécurité permettant à un
pirate d'en prendre le contrôle, et de lui donner
un accès sans restriction à tout le système
d'information
27Que choisir ?
- il faut protéger le proxy par un Firewall de type
Stateful Inspection. - Il vaut mieux éviter d'installer les deux types
de filtrage sur le même Firewall, car la
compromission de l'un entraîne la compromission
de l'autre. Enfin cette technique permet
également de se protéger contre l'ARP spoofing
28Les firewall bridge
- Ces derniers sont relativement répandus.
- Ils agissent comme de vrais câbles réseau avec la
fonction de filtrage en plus, d'où leur
appellation de firewall. - Leurs interfaces ne possèdent pas d'adresse Ip,
- ne font que transférer les paquets d'une
interface a une autre en leur appliquant les
règles prédéfinies. - Cette absence est particulièrement utile,
- le firewall est indétectable pour un hacker
lambda. - Il ne répondra jamais à une requête ARP.
- Ses adresses Mac ne circuleront jamais sur le
réseau, et il sera totalement invisible sur le
réseau. - rend impossible toute attaque dirigée directement
contre le lui aucun paquet ne sera traité comme
étant sa propre destination. - Donc, la seule façon de le contourner est de
passer outre ses règles de drop. Toute attaque
devra donc faire avec ses règles, et essayer
de les contourner.
29Les firewall bridge
- Ces firewalls se trouvent typiquement sur les
switchs. - Avantages.
- Impossible de l'éviter
- Peu coûteux
- Inconvénients.
- Possibilité de le contourner
- il suffit de passer outre ses règles
- Configuration souvent contraignante
- Les fonctionnalités présentes sont très basiques
(filtrage sur adresse IP, port, le plus souvent
en Stateless).
30Les firewall matériels
- Se trouvent souvent sur des routeurs
- ont une intégration parfaite avec le matériel.
- configuration est souvent ardue (les plus
anciens), mais - leur avantage est que leur interaction avec les
autres fonctionnalités du routeur est simplifiée
de par leur présence sur le même équipement
réseau. - Souvent relativement peu flexibles en terme de
configuration, - peu vulnérables aux attaques, car présent dans le
routeur. - De plus, étant souvent très liés au matériel,
l'accès à leur code est assez difficile, et le
constructeur a produit des système de codes
signés afin d'authentifier le logiciel (système
RSA ou assimilés). Ce système n'est implanté que
dans les firewalls haut de gamme, car cela évite
un remplacement du logiciel par un autre non
produit par le fabricant, ou toute modification
de ce dernier, rendant ainsi le firewall très sûr.
31Les firewall matériels
- Son administration est souvent plus aisée que les
firewall bridges, les grandes marques de routeurs
utilisant cet argument comme argument de vente. - Leur niveau de sécurité est de plus très bon,
sauf découverte de faille éventuelle comme tout
firewall. - Néanmoins, il faut savoir que l'on est totalement
dépendant du constructeur du matériel pour cette
mise à jour, ce qui peut être, dans certains cas,
assez contraignant. - Enfin, seules les spécificités prévues par le
constructeur du matériel sont implémentées. - Cette dépendance induit que si une possibilité
nous intéresse sur un firewall d'une autre
marque, son utilisation est impossible. Il faut
donc bien déterminer à l'avance ses besoin et
choisir le constructeur du routeur avec soin.
32Les firewall matériels
- Avantages.
- Intégré au matériel réseau
- Administration relativement simple
- Bon niveau de sécurité
- Inconvénients.
- Dépendant du constructeur pour les mises à jour
- Souvent peu flexibles.
33Les firewall logiciels
- on peut les classer en plusieurs catégories
- Les firewalls personnels.
- Souvent commerciaux, ont pour but de sécuriser un
ordinateur particulier, et non pas un groupe
d'ordinateurs. - ils peuvent être contraignants et quelque fois
très peu sécurisés. - En effet, ils s'orientent plus vers la simplicité
d'utilisation plutôt que vers l'exhaustivité,
afin de rester accessible à l'utilisateur final.
34Les firewall logiciels
- Avantages
- Sécurité en bout de chaîne (le poste client)
- Personnalisable assez facilement
- Inconvénients.
- Facilement contournable
- Difficiles a départager.
- Les différents firewalls
- Exemple freeware
- ZoneAlarm de ZoneLabs
- Kerio de Kerio
- Outpost d'Agnitum Ltd
- Sygate Personal Firewall de Sygate Technologies
Inc
35Les firewall logiciels
- A noter qu'avec la mise à jour de Win Xp Sp2. Le
firewall inclus dans le système demande à être
mis en route par défaut ! - mais il ne contrôle que les données entrantes pas
les sortantes. - Les firewalls plus sérieux
- Tournant généralement sous linux, car cet OS
offre une sécurité réseau plus élevée et un
contrôle plus adéquat, ils ont généralement pour
but d'avoir le même comportement que les
firewalls matériels des routeurs, à ceci prêt
qu'ils sont configurables à la main. - Le plus courant est iptables (anciennement
ipchains), qui utilise directement le noyau
linux. Toute fonctionnalité des firewalls de
routeurs est potentiellement réalisable sur une
telle plateforme
36Les firewall logiciels
- Avantages.
- Personnalisables
- Niveau de sécurité très bon
- Inconvénients.
- Nécessite une administration système
supplémentaire
37Les firewall logiciels
- Une grande faille
- ils n'utilisent pas la couche bas réseau.
- Il suffit donc de passer outre le noyau en ce qui
concerne la récupération de ces paquets, en
utilisant une librairie spéciale, pour récupérer
les paquets qui auraient été normalement
droppés par le firewall. - Néanmoins, cette faille induit de s'introduire
sur l'ordinateur en question pour y faire des
modifications... chose qui induit déjà une
intrusion dans le réseau, ou une prise de
contrôle physique de l'ordinateur, ce qui est
déjà Synonyme d'inefficacité de la part du
firewall.
38Configuration théorique des défenses
- Configuration d'un firewall élément clef de
lefficacité. - Un firewall mal configuré peut être tout aussi
efficace... qu'aucun firewall du tout. - Il existe deux politiques de configurations de
base - Tout autoriser sauf ce qui est dangereux
- cette méthode est beaucoup trop laxiste.
- En effet, cela laisse toute latitude à
l'imagination des intrus de s'exprimer. Et à
moins d'avoir tout prévu de façon exhaustive, on
laissera forcément des portes ouvertes, des
failles béantes dans notre système. - A éviter absolument.
39Configuration théorique des défenses
- Tout interdire sauf ce dont on a besoin et ce en
quoi on a confiance - cette politique est beaucoup plus sécuritaire.
- En effet, les services sont examinés avant d'être
autorisés à passer le firewall, et sont donc tous
soumis à un examen plus ou moins approfondi. - Ainsi, pas de mauvaise surprise sur un service
que l'on pensait ne pas avoir installé, plus
d'oubli - tout service autorisé est explicitement déclaré
dans le firewall.
40Configuration théorique des défenses
- Cette politique s'accompagne de la création de
deux zones - une zone interne et l'extérieur.
- On peut considérer que tout ce qui est dans notre
réseau local est autorisé, sans prendre de trop
gros risques le firewall est là pour nous
protéger des attaques extérieures, pas des
attaques internes pour lesquelles il ne peut
rien. - Cette facette peut changer suivant la politique
de l'entreprise (interdire l'accès à certains,
jeux, etc.). - La zone externe est par contre considérée comme
non sûre , et donc toute requête envoyée sur un
service non explicitement déclaré comme
accessible de l'extérieur sera interceptée et
ignorée. - La configuration de la DMZ est ici très
importante, - et sa gestion aussi.
41Configuration théorique des défenses
- Cette politique s'accompagne de plusieurs points
à noter - Plus de services sont ouverts, plus vulnérable
est le système. - C'est logique, car plus le nombre de logiciels
accessibles de l'extérieur est grand, plus le
risque qu'un intrus exploite ces dits logiciels
pour s'introduire dans le système est important. - C'est ainsi que, par exemple, si on utilise un
serveur Web qui interface déjà le serveur de base
de donnée, il est inutile d'autoriser le trafic
entrant vers le serveur de base de données... vu
que le serveur Web joue le rôle d'interface. - Suivant la politique de l'entreprise, l'accès ou
non à certains services peut être bloqué dans les
deux sens. - Cela peut servir, par exemple, à empêcher le jeu
en ligne, ou autres activités que l'entreprise ne
désire pas voir se dérouler sur ses propres
infrastructures.
42Configuration théorique des défenses
- Certains protocoles sont assez difficiles à
autoriser, notamment le FTP. Le comportement du
protocole FTP est assez atypique et mérite que
l'on s'y attarde. - Le fonctionnement du FTP prévoit que ce soit le
serveur qui initie la connexion sur le client
pour lui transmettre le fichier. - Par exemple
- Le client demande le fichier index.txt
- Le serveur envoie un message au client accepte
la connexion sur le port 2563 - Le client attend une connexion sur ce port et
renvoie un ACK au serveur - Le serveur initie la connexion et lance le
transfert de données.
43Configuration théorique des défenses
- Ce comportement implique que le serveur, dans la
zone externe , initie une connexion sur un
port choisi par lui-même sur le client. Or, nous
lavons interdit. Il y a donc deux solutions - Interdire le FTP.
- Forcer le client à utiliser la commande PASV, qui
indique que le serveur doit adopter un
comportement passif, et accepter la connexion du
client sur un port spécifié par ce dernier. C'est
donc le client qui initiera la connexion, et
donc, la connexion sera autorisée par le
firewall. Avec la commande PASV, l'échange se
passe donc ainsi - Le client envoie la commande PASV
- Le serveur répond avec l'adresse et le port sur
lequel le client peut se connecter - Le client demande le fichier index.txt (RETR
index.txt) - Le serveur envoie un reçu et attend la connexion
du client - Le client se connecte et reçoit le fichier
- La configuration efficace d'un firewall n'est pas
chose évidente, - et implique une grande rigueur, la moindre
erreur ouvrant - une brèche exploitable par les hackers.
44Ipcop
- Firewall Open Source
- Initialement basé sur SmoothWall
- Avantages
- Distribution spécifique gain en sécurité
- Légère en théorie prévue pour être installée
sur des machines recyclées - En pratique minimum de 256 Mo de Ram si add-on et
600 MHz - Add-ons nombreux, ils permettent de
personnaliser la configuration facilement - Administration par interface web
45Ipcop
- Inconvénients
- Configuration par défaut ne permet pas de gérer
les flux sortants - Configuration délicate si plus dun serveur par
service dans la DMZ - Firewall Tri-résidant
46Ipcop
- Présentation
- Firewall utilisé dans les réseaux de PME
- Par défaut permet
- Filtrage réseau par IPTable
- serveur DHCP
- client NTP et serveur NTP
- sonde de détection d'intrusions sur TOUS les
réseaux - Réseau Privé Virtuel (RPV ou VPN)
- serveur mandataire Web et DNS
- NAT/PAT
- Lissage de traffic
- Mise à jour automatique
- administration de la machine par une interface
web sécurisée avec - l'affichage des performances (graphiques)
- la visualisation des journaux d'évènement
47Ipcop
- Identification des réseaux
- Rouge Internet
- Orange DMZ
- Vert LAN
- Bleu wifi (ou second LAN)
48Ipcop
- Traffic par défaut
- Rouge gt IPCOP fermé
- Rouge gt Vert fermé
- Rouge gt Orange fermé
- Orange gt IPCOP fermé
- Orange gt Vert fermé
- Orange gt Rouge ouvert
- Vert gt IPCOP ouvert
- Vert gt Orange ouvert
- Vert gt Rouge ouvert
49Ipcop
- Add-ons
- Permettent de réaliser facilement différentes
tâches en sintégrant dans linterface graphique
- Principaux
- Gestion du proxy, filtrage dURL, Gestion des
flux sortants, filtrage du flux entrant (avec
antivirus), Qualité de service, Protection du
firewall contre les attaques, Création de
nouveaux graphiques
50Ipcop
- SquidGuard
- Schéma fonctionnel
51Ipcop
52Ipcop
53Ipcop
54Ipcop
55Ipcop
- Guardian
- Protection du firewall en assurant une meilleure
gestion des règles SNORT. - Bloque le scan des ports
- Blocage dadresses IP automatiquement ou
manuellement
56Ipcop
- BlockOutTraffic (BOT)
- Bloque tout le trafic laisser ouvert par Ipcop
- Interface Graphique pour créer les règles de
contrôle du trafic - Principales caractéristiques
- Intégration transparente au GUI dIPCop
- Contrôle du trafic envoyé et traversant le
pare-feu - Restriction du trafic au niveau MAC, IP et des
cartes d'interface - Regroupement d'adresses
- Création de services personnalisés
- Regroupement de services
- Règles basées sur les heures d'utilisation
- Contrôle du niveau de complexité des journaux du
pare-feu
57Ipcop
58Ipcop
- Copfilter
- paserelle antivirus et antispam
- filtre les flux HTTP, FTP, SMTP, POP3
- antivirus
- Clams par défaut mais peut utiliser F-prot ou AVG
- anti-spam
- Spamassassin
- Filtre Bayesien, SURBL, DNSBL, Razor, DCC, and
SARE Spam Rulesets - Élimine les pubs et pop-up en html
59Ipcop
60Ipcop
61Ipcop
62Ipcop
63Ipcop
64Ipcop
65Plan
- Déroulement dune attaque
- Rendre impossible lintrusion
- Le problème dextension des privilèges
- Lutter contre la compromission
- Surveiller les systèmes contre les portes
dérobées et les rootkits
66Extension des privilèges
- Politique de gestion des comptes et des mots de
passe - Nombre de caractères
- Durée de validité dun mot de passe
- Gestion des employés temporaires
67Plan
- Déroulement dune attaque
- Rendre impossible lintrusion
- Le problème dextension des privilèges
- Lutter contre la compromission
- Surveiller les systèmes contre les portes
dérobées et les rootkits
68Lutter contre la compromission
- Rendre impossible linterception de nouveau
compte - Utilisation de protocoles sécurisés sur le LAN
- Exemple SSL pour le mail
- Détecter une intrusion et agir
- IDS et IPS
69IDS-IPS
- Quest ce quun IDS ?
- IDS Intrusion Detection System
- mécanisme destiné à repérer des activités
anormales ou suspectes sur la cible analysée - un réseau ou un hôte.
- Il permet ainsi d'avoir une action de prévention
sur les risques d'intrusion.
70IDS-IPS
- Deux principes de détection d'intrusion
- Systèmes neuronaux
- se basent sur la détection d'anomalies, après une
période d'apprentissage d'un flux normal - Systèmes à base de signatures
- s'appuient sur des empruntes d'attaques afin de
détecter l'intrusion (pattern matching, approche
par scénarii).
71IDS-IPS
- Systèmes neuronaux
- Approche comportementale
- Analyser si un utilisateur a eu un comportement
anormal par rapport à son habitude. - Par exemple, la secrétaire qui se connecte la
nuit à certaines heures, en plus de la journée. - Il se base pour cela sur un modèle statistique
des variables seront définies (ici la plage
horaire des connections de la secrétaire par
jour), et représenteront le profil type
(comportement normal) d'un utilisateur.
72IDS-IPS
- Avantages et ses inconvénients
- L'approche comportementale
- permet de détecter des attaques inconnues.
- Elle ne nécessite pas non plus de construction de
base d'attaques, et donc d'un suivi de cette
base, - mais peut-etre victime de faux positifs
- l'IDS détecte des attaques qui n'en sont pas.
- Pour l'approche par scénarios, c'est l'inverse.
- L'IDS se base sur des attaques connues pour
effectuer son analyse, mais il est difficile de
maintenir cette base de signatures.
73IDS-IPS
- Cibles analysées
- Les N-IDS (Network Based Intrusion Detection
System), qui surveillent l'état de la sécurité au
niveau du réseau. - approche par scénario
74IDS-IPS
- Les H-IDS (HostBased Intrusion Detection System),
qui surveillent l'état de la sécurité au niveau
des hôtes. - Approche comportementale
75IDS-IPS
- Un autre type d'H-IDS cherche les intrusions dans
le noyau (kernel) du système, et les
modifications qui y sont apportées. Certains
appellent cette technique analyse protocolaire
. Très rapide, elle ne nécessite pas de
recherche dans une base de signature. Exemples de
contrôles pour Windows ...
76IDS-IPS
- Stack-Based IDS
- Dernière génération dIDS
- Basé sur la pile TCP/IP
- Analyse le paquet dans toute les couches du
modèle OSI - Analyse le trafic entrant et sortant
- Permet de détecter lattaque avant lapplication
77IDS-IPS
- Points fort dun N-IDS
- Coût dutilisation
- Analyse de paquets temps réel
- Permet lidentification de lattaquant
- Complète le firewall
- Indépendant de lOS
78IDS-IPS
- Points fort dun H-IDS
- Permet de savoir si lattaque à réussi ou pas
- Surveiller les activités dun OS (log, fichiers
consultés, modifications de droits admin ) - Surveiller des points particuliers (dll, base de
registres) - Proche du temps réel (temps réel si Stack- based
IDS) - Pas de matériel supplémentaire
79IDS-IPS
- H-IDS et N-IDS se complémentent
80IDS-IPS
81IDS-IPS
- Snort N-IDS
- Snort est un système de détection d'intrusion
open source sous licence GPL. - À l'origine écrit par Martin Roesch, il
appartient actuellement à Sourcefire - Le plus utilisé au monde
- Possibilité de souscrire gratuitement pour
maintenir les listes à jour 5 jours après leur
parution
82IDS-IPS
- H-IDS
- AIDE
- DarkSpy
- FCheck
- IceSword
- Integrit
- Nabou
- OSSEC
- Osiris
- Samhain
- Tripwire
83IDS-IPS
- IPS
- Ensemble de technologies de sécurité
- But Anticiper et stopper les attaques
- Principe de fonctionnement Symétrie avec IDS
- Host IPS Network IPS,
- Analyse des contextes de connexion,
- Automatisation d'analyse des logs,
- Coupure des connexions suspectes,
84Plan
- Déroulement dune attaque
- Rendre impossible lintrusion
- Le problème dextension des privilèges
- Lutter contre la compromission
- Surveiller les systèmes contre les portes
dérobées et les rootkits
85Lutter contre les rootkits
- Lutter contre les rootkits
- Exemple F-Secure a publié un petit logiciel
gratuit BlackLight