Scribd Logo
Importer

Bienvenue sur Scribd !

  • 48 vues

    5 - IDS (Tchi Drive)

    Transféré par

    شهاب الدين
    Ce document décrit les systèmes de détection d'intrusion (IDS) et leurs différents types, notamment les systèmes de détection d'intrusion réseau (NIDS), les systèmes de détection d'intrusion hôte (HIDS), les systèmes hybrides, et les systèmes de prévention d'intrusion (IPS).

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd

    5 - IDS (Tchi Drive)

    Transféré par

    شهاب الدين
    48 vues29 pages
    Ce document décrit les systèmes de détection d'intrusion (IDS) et leurs différents types, notamment les systèmes de détection d'intrusion réseau (NIDS), les systèmes de détection d'intrusion hôte (HIDS), les systèmes hybrides, et les systèmes de prévention d'intrusion (IPS).

    Titre original

    5_IDS (Tchi drive)

    Copyright

    © © All Rights Reserved

    Formats disponibles

    PDF, TXT ou lisez en ligne sur Scribd

    Avez-vous trouvé ce document utile ?

    Ce contenu est-il inapproprié ?

    Ce document décrit les systèmes de détection d'intrusion (IDS) et leurs différents types, notamment les systèmes de détection d'intrusion réseau (NIDS), les systèmes de détection d'intrusion hôte (HIDS), les systèmes hybrides, et les systèmes de prévention d'intrusion (IPS).

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
    Télécharger au format pdf ou txt
    48 vues29 pages

    5 - IDS (Tchi Drive)

    Transféré par

    شهاب الدين
    Ce document décrit les systèmes de détection d'intrusion (IDS) et leurs différents types, notamment les systèmes de détection d'intrusion réseau (NIDS), les systèmes de détection d'intrusion hôte (HIDS), les systèmes hybrides, et les systèmes de prévention d'intrusion (IPS).

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
    Télécharger au format pdf ou txt
    sur 29

    Sécurité des Réseaux et Internet 1

    (SRI)

    IDS

    Dr. C. M. BENTAOUZA M1 ReSys – Sécurité des Réseaux et Internet – SRI - Dr. C. M. BENTAOUZA

    [email protected]

    https://sites.google.com/site/coursbentaouza
    2

    M1 ReSys – Sécurité des Réseaux et Internet – SRI - Dr. C. M. BENTAOUZA

    Définition d’intrusion

    • Intrusion : nous appellerons intrusion toute


    utilisation d’un système informatique à des fins
    autres que celles prévues, généralement dues à
    l’acquisition de privilèges de façon illégitime.

    • L’intrus est généralement vu comme une personne


    étrangère au système informatique qui a réussi à en
    prendre le contrôle, mais les statistiques montrent que
    les utilisations abusives (du détournement de
    ressources à l’espionnage industriel) proviennent le
    plus fréquemment de personnes internes ayant déjà
    un accès au système.
    3

    M1 ReSys – Sécurité des Réseaux et Internet – SRI - Dr. C. M. BENTAOUZA

    Définition détection d’intrusions

    • Détection d’intrusions : la détection d’intrusions


    consiste à analyser les informations collectées par
    les mécanismes d’audit de sécurité, à la recherche
    d’éventuelles attaques.

    • Bien qu’il soit possible d’étendre le principe, nous


    nous concentrerons sur les systèmes informatiques.
    Les méthodes de détection d’intrusion diffèrent sur la
    manière d’analyser le journal d’audits.
    4

    M1 ReSys – Sécurité des Réseaux et Internet – SRI - Dr. C. M. BENTAOUZA

    Historique

    • Les premiers systèmes de détection d’instrusions ont


    été initiés par l’armée américaine puis par des
    entreprises.

    • Plus tard, des projets open-source ont été lancés


    comme Snort ou Prelude.

    • Des produits commerciaux ont aussi vu le jour par le


    biais d’entreprises spécialisées en sécurité
    informatique : Internet Security Systems, symantec,
    Cisco Systems, ...
    5

    IDS M1 ReSys – Sécurité des Réseaux et Internet – SRI - Dr. C. M. BENTAOUZA

    • IDS (Intrusion Detection System) un mécanisme


    écoutant le trafic réseau et générant des alertes .
    • dont le rôle serait de surveiller les données qui
    transitent sur ce système, et qui serait capable de
    réagir si des données semblent suspectes.
    ▫ Les N-IDS (Network Based Intrusion Detection System),
    ils assurent la sécurité au niveau du réseau.
    ▫ Les H-IDS (Host Based Intrusion Detection System), ils
    assurent la sécurité au niveau des hôtes.
    ▫ Exemple: SNORT (hids), Prelude (tous)
    6

    M1 ReSys – Sécurité des Réseaux et Internet – SRI - Dr. C. M. BENTAOUZA

    Fonctions de détection

    • des techniques de sondage (balayage de ports,


    fingerprinting),

    • des tentatives de compromission de systèmes,

    • des activités suspectes internes,

    • des activités virales,

    • des audits de fichiers journaux (logs).


    7

    M1 ReSys – Sécurité des Réseaux et Internet – SRI - Dr. C. M. BENTAOUZA

    Deux notions fondamentales :

    • Faux positifs : une alerte provenant d’un IDS qui


    ne correspond pas à une attaque réelle.

    • Faux négatifs : une intrusion réelle qui n’a pas été


    détectée.
    8

    M1 ReSys – Sécurité des Réseaux et Internet – SRI - Dr. C. M. BENTAOUZA

    Type
    • À cause de la diversité des attaques que mettent en œuvre
    les pirates, la détection d’instrusion doit se faire à
    plusieurs niveaux.

    • Il existe donc différents types d’IDS :

    ▫ Les systèmes de détection d’intrusions (IDS)


    ▫ Les systèmes de détection d’intrusions "réseaux" (NIDS)
    ▫ Les systèmes de détection d’intrusions de type hôte (HIDS)
    ▫ Les systèmes de détection d’intrusions hybrides
    ▫ Les systèmes de prévention d’intrusions (IPS)
    ▫ Les systèmes de prévention d’intrusions "noyau" (KIDS/KIPS)
    9

    M1 ReSys – Sécurité des Réseaux et Internet – SRI - Dr. C. M. BENTAOUZA

    NIDS

    • Objectif : analyser de manière passive les flux en


    transit sur le réseau et détecter les intrusions en
    temps réel.

    • Un NIDS écoute donc tout le trafic réseau, puis


    l’analyse et génère des alertes si des paquets semblent
    dangereux.

    • Les NIDS sont les IDS plus intéressants et les plus


    utiles du fait de l’omniprésence des réseaux dans
    notre vie quotidienne.
    10

    M1 ReSys – Sécurité des Réseaux et Internet – SRI - Dr. C. M. BENTAOUZA


    11

    M1 ReSys – Sécurité des Réseaux et Internet – SRI - Dr. C. M. BENTAOUZA

    HIDS

    • Un HIDS se base sur une unique machine, n’analysant cette


    fois plus le trafic réseau mais l’activité se passant sur cette
    machine.

    • Il analyse en temps réel les flux relatifs à une machine ainsi


    que les journaux.

    • Un HIDS a besoin d’un système sain pour vérifier l’intégrité


    des donnés.

    NB:
    ▫ Si le système a été compromis par un pirate, le HIDS ne sera
    plus efficace.
     Pour parer à ces attaques, il existe des KIDS (Kernel Intrusion
    Detection System) et KIPS (Kernel Intrusion Prevention System)
    qui sont fortement liés au noyau.
    12

    M1 ReSys – Sécurité des Réseaux et Internet – SRI - Dr. C. M. BENTAOUZA


    13

    M1 ReSys – Sécurité des Réseaux et Internet – SRI - Dr. C. M. BENTAOUZA

    IDS Hybride

    • Leur appellation « hybride » provient du fait qu’ils


    sont capables de réunir aussi bien des informations
    provenant d’un système HIDS qu’un NIDS.

    • L’exemple le plus connu dans le monde Open-Source


    est Prelude.
    ▫ Ce framework permet de stocker dans une base de
    données des alertes provenant de différents systèmes
    relativement variés.
    ▫ Utilisant Snort comme NIDS, et d’autres logiciels tels que
    Samhain en tant que HIDS, il permet de combiner des
    outils puissants tous ensemble pour permettre une
    visualisation centralisée des attaques.
    14

    M1 ReSys – Sécurité des Réseaux et Internet – SRI - Dr. C. M. BENTAOUZA

    IPS

    • IPS (Intrusion Prevention System) en remplacement des


    IDS « traditionnels ».

    • L’IPS est un Système de Prévention/Protection contre


    les intrusions et non plus de reconnaissance des
    intrusions.

    • IPS n’est pas un sniffer comme IDS mais la possibilité


    de bloquer immédiatement les intrusions.
    15

    M1 ReSys – Sécurité des Réseaux et Internet – SRI - Dr. C. M. BENTAOUZA

    NB IPS

    • Les IPS ne sont pas la solution parfaite.

    • Il bloque toute activité qui lui semble suspecte.


    ▫ impossible d’assurer une fiabilité à 100% dans l’identification
    des attaques.
    ▫ faux positifs sont donc très dangereux pour les IPS
    • IPS est peu discret car à chaque blocage d’attaque, il
    montre sa présence.
    • Un pirate peut utiliser sa fonctionnalité de blocage pour
    mettre hors service un système.
     Pour palier ce problème, de nombreux IPS disposent des « white
    lists », c-à-d des listes d’adresses réseaux qu’il ne faut en aucun
    cas bloquer.
    16

    M1 ReSys – Sécurité des Réseaux et Internet – SRI - Dr. C. M. BENTAOUZA

    KIDS & KIPS


    • Dans le cadre du HIDS, l’utilisation d’un détecteur d’intrusions au
    niveau noyau peut s’avérer parfois nécessaire pour sécuriser une
    station.

    • Exemple d’un serveur web : il serait dangereux qu’un accès en


    lecture/écriture dans d’autres répertoires que celui consultable via
    http, soit autorisé. Cela pourrait nuire à l’intégrité du système.

    • Grâce à un KIPS, tout accès suspect peut être bloqué directement par le
    noyau, empêchant ainsi toute modification dangereuse pour le
    système.

    • Le KIPS peut reconnaître des motifs caractéristiques du débordement


    de mémoire, et peut ainsi interdire l’exécution du code.
    17

    M1 ReSys – Sécurité des Réseaux et Internet – SRI - Dr. C. M. BENTAOUZA

    KIDS & KIPS


    • Kernel Intrusion Detection Systems/Kernel Intrusion
    Prevention Systems

    • Le KIPS peut également interdire l’OS d’exécuter un


    appel système qui ouvrirait un shell de commandes.

    • Puisqu’un KIPS analyse les appels systèmes, il ralentit


    l’exécution. C’est pourquoi ce sont des solutions
    rarement utilisées sur des serveurs souvent sollicités.

    • Exemple de KIPS : SecureIIS, qui est une surcouche du


    serveur IIS de Microsoft.
    19

    M1 ReSys – Sécurité des Réseaux et Internet – SRI - Dr. C. M. BENTAOUZA


    20

    M1 ReSys – Sécurité des Réseaux et Internet – SRI - Dr. C. M. BENTAOUZA

    Questions

    • Comprendre les systèmes de détection


    d’intrusions nécessite de se poser les questions :

    ▫ Comment une intrusion est elle détectée par un tel


    système ?
    ▫ Quel critère différencie un flux contenant une
    attaque d’un flux normal ?

     Á partir de ces questions, nous pouvons étudier le


    fonctionnement interne d’un IDS.
    21

    M1 ReSys – Sécurité des Réseaux et Internet – SRI - Dr. C. M. BENTAOUZA

    Techniques principales

    • Deux techniques principales sont mises en place dans


    la détection d’attaques :

    ▫ La première consiste à détecter des signatures


    d’attaques connues dans les paquets circulant sur le
    réseau.
    ▫ La seconde, consiste quant à elle, à détecter une activité
    suspecte dans le comportement de l’utilisateur.

     Ces deux techniques, aussi différentes soient-elles, peuvent


    être combinées au sein d’un même système afin d’accroître
    la sécurité.
    22

    M1 ReSys – Sécurité des Réseaux et Internet – SRI - Dr. C. M. BENTAOUZA

    L’approche par scénario

    • Cette technique s’appuie sur la connaissance des


    techniques utilisées par les attaquants pour déduire
    des scénarios typiques.

    • Elle ne tient pas compte des actions passées de


    l’utilisateur et utilise des signatures d’attaques

    ▫ ensemble de caractéristiques permettant d’identifier


    une activité intrusive :
     une chaîne alphanumérique,
     une taille de paquet inhabituelle,
     une trame formatée de manière suspecte, ...
    23

    M1 ReSys – Sécurité des Réseaux et Internet – SRI - Dr. C. M. BENTAOUZA

    Pattern matching (Recherche de motifs)

    • La méthode la plus connue et la plus à facile à


    comprendre.

    • Elle se base sur la recherche de motifs (chaînes de


    caractères ou suite d’octets) au sein du flux de
    données.

    • L’IDS comporte une base de signatures où chaque


    signature contient les protocole et port utilisés par
    l’attaque ainsi que le motif qui permettra de
    reconnaître les paquets suspects.
    24

    M1 ReSys – Sécurité des Réseaux et Internet – SRI - Dr. C. M. BENTAOUZA

    Pattern matching

    • Le principal inconvénient de cette méthode est que seules les attaques


    reconnues par les signatures seront détectées.

    ▫ Il est donc nécessaire de mettre à jour régulièrement le base de signatures.

    • Un autre inconvénient est que les motifs sont en général fixes.

    ▫ Or, une attaque n’est pas toujours identique à 100%.

    ▫ Le moindre octet différent par rapport à la signature provoquera la non


    détection de l’attaque.

    • Pour les IDS utilisant cette méthode, il est nécessaire d’adapter la base
    de signatures en fonction du système à protéger.
    25

    M1 ReSys – Sécurité des Réseaux et Internet – SRI - Dr. C. M. BENTAOUZA

    Recherche de motifs dynamiques

    • Le principe de cette méthode est le même que


    précédemment mais les signatures des attaques
    évoluent dynamiquement.

    • L’IDS est de ce fait doté de fonctionnalités


    d’adaptation et d’apprentissage.
    26

    M1 ReSys – Sécurité des Réseaux et Internet – SRI - Dr. C. M. BENTAOUZA

    Analyse protocolaires

    • Cette méthode se base sur une vérification de la conformité (par


    rapport aux RFC) des flux, ainsi que sur l’observation des
    champs et paramètres suspects dans les paquets.
    • Cependant, les éditeurs de logiciels et les constructeurs
    respectent rarement à la lettre les RFC et cette méthode n’est
    pas toujours très performante.
    • L’analyse protocolaire est souvent implémentée par un
    ensemble de préprocesseurs, où chaque préprocesseur est
    chargé d’analyser un protocole particulier (FTP, HTTP, ICMP, ...).
    • Du fait de la présence de tous ces préprocesseurs, les
    performances dans un tel système s’en voient fortement
    dégradées.
    • L’intérêt fort de l’analyse protocolaire est qu’elle permet de
    détecter des attaques inconnues, contrairement au pattern
    matching qui doit connaître l’attaque pour pouvoir la détecter.
    30

    DMZ

    M1 ReSys – Sécurité des Réseaux et Internet – SRI - Dr. C. M. BENTAOUZA


    31

    • « zone démilitarisée » (notée DMZ : Demilitarized Zone)


    M1 ReSys – Sécurité des Réseaux et Internet – SRI - Dr. C. M. BENTAOUZA

    • est un sous-réseau isolé par un pare-feu.


    • Le sous réseau contient (serveur web, un serveur de
    messagerie, un serveur FTP public, etc.)
    • La politique de sécurité mise en œuvre sur la DMZ est la
    suivante :

    • Traffic du réseau externe vers la DMZ autorisé ;


    • Traffic du réseau externe vers le réseau interne interdit ;
    • Traffic du réseau interne vers la DMZ autorisé ;
    • Traffic du réseau interne vers le réseau externe autorisé ;
    32

    M1 ReSys – Sécurité des Réseaux et Internet – SRI - Dr. C. M. BENTAOUZA


    33

    M1 ReSys – Sécurité des Réseaux et Internet – SRI - Dr. C. M. BENTAOUZA

    Vous aimerez peut-être aussi