Les IDS et IPS Open Source

Alexandre MARTIN Jonathan BRIFFAUT

Plan
Prsentation Gnrale des IDS Les diffrents type dIDS Les mthodes de dtection Prsentation Gnrale des IPS Ou placer un IDS / IPS ? Outils Open Source (Aspect Pratique)
SNORT Prelude-IDS BRO
Master 2 Informatique - ASR 2

Prsentation gnrale des IDS

Master 2 Informatique - ASR

Quest-ce quun IDS ?

LIDS (Intrusion Detection System)
Surveiller Contrler Dtecter

Le systme de dtection dintrusion est en voie de devenir un composant critique dune architecture de scurit informatique
Master 2 Informatique - ASR 4

Justificatif
Nombre de failles levs:
3273 nouvelles entre Janvier et Juillet 2007

Cot dune attaque est lev:

Code Red/Nimda est estim 3.2 Milliards $ par Computer Economics

Les outils pour lancer les attaques sont facilement disponibles et exploitables
Master 2 Informatique - ASR 5

De quoi est constitu un IDS?

Un IDS est essentiellement un sniffer coupl avec un moteur qui analyse le trafic selon des rgles Ces rgles dcrivent un trafic signaler LIDS peut analyser
Couche Rseau (IP, ICMP) Couche Transport (TCP, UDP) Couche Application (HTTP, Telnet)

Selon le type de trafic, lIDS accomplit certaines actions

Master 2 Informatique - ASR 6

Vocabulaire
Faux-Positif
Fausse alerte leve par lids

Faux-ngatif
Attaque qui na pas t repr par lIDS

Evasion
Technique utilise pour dissimuler une attaque et faire en sorte quelle ne soit pas dcele par lIDS

Sonde :
Composant de larchitecture IDS qui collecte les informations brutes
Master 2 Informatique - ASR 7

Actions dun IDS

Journaliser lvnement
Source dinformation et vision des menaces courantes

Avertir un systme avec un message

Exemple: appel SNMP

Avertir un humain avec un message

Courrier lectronique, SMS, interface web, etc.

Amorcer certaines actions sur un rseau ou hte

Exemple: mettre fin une connexion rseau, ralentir le dbit des connexions, etc. (rle actif)
Master 2 Informatique - ASR 8

Aprs la Dtection
Comprendre lattaque en cours
Recueillir le maximum dinformation
Cibles Sources Procd

Archiver, tracer : Corrlation avec dautre vnements Prparer une rponse :

Sur le court terme : black-listage Sur le long terme : application de patches, action en justice

Master 2 Informatique - ASR

Les diffrents types DIDS

Master 2 Informatique - ASR

10

Les types dIDS

Il existe deux types dIDS :
HIDS (Host IDS) NIDS (Network IDS )

Master 2 Informatique - ASR

11

Le Host IDS
Bas dans un ordinateur hte HIDS permet de surveiller le systme et les applications
Les journaux systmes, de contrler l'accs aux appels systmes, de vrifier l'intgrit des systmes de fichiers

Le HIDS accs des composants nonaccessibles sur le rseau

Exemple: la base de registre de Windows

Ne surveille quun seul hte

Master 2 Informatique - ASR 12

Le Network IDS
Un sonde place dans le rseau
Surveille lensemble du rseau Capture et analyse tout le trafic Recherche de paquets suspects
Contenu des donnes Adresses IP ou MAC source ou destination

Envoi dalertes
Master 2 Informatique - ASR 13

HIDS et NIDS
Chacun rpond des besoins spcifiques HIDS particulirement efficaces pour dterminer si un hte est contamin NIDS permet de surveiller lensemble dun rseau HIDS qui est restreint un hte
Master 2 Informatique - ASR 14

Les mthodes de dtection

Master 2 Informatique - ASR

15

Les mthodes de dtection

2 approches principales pour les IDS:
Par signature Comportementale
Dtection danomalie Vrification dintgrit

Master 2 Informatique - ASR

16

Mthodes de dtection : Par Signature

Par signature:
Bas sur la reconnaissances de schmas dj connus Utilisation dexpressions rgulires Les signatures dattaques connues sont stockes dans une base; et chaque vnement est compar au contenu de cette base
Si correspondance lalerte est leve

Lattaque doit tre connue pour tre dtecte Peu de faux-positifs

Master 2 Informatique - ASR 17

Mthodes de dtection : Par Signature

Mthode la plus simple, bas sur :
Si EVENEMENT matche SIGNATURE Alors ALERTE

Facile implmenter pour tout type dIDS Lefficacit des ids est lie la gestion de leur base de signatures
MAJ Nombre de rgles Signatures suffisamment prcises

Exemples
Trouver le motif /winnt/system32/cmd.exe dans une requte http Trouver le motif failed su for root dans un log systme
Master 2 Informatique - ASR 18

Mthodes de dtection : Par Signature

Recherche de motif (pattern matching) Diffrents algorithmes
Ceux pour envoyer les ngatifs
E2XB

Ceux pour peu de signature

BOYER MOORE Knuth-Morris-Pratt (KMP).

Nombreuse Signature :
AHO-CORASICK AUTOMATE DETERMINISTE A*X A = alphabet X ensemble fini de mots rechercher
Master 2 Informatique - ASR 19

Mthodes de dtection : Par Signature

Avantage
Simplicit de mise en uvre Rapidit de diagnostic Prcision (en fonction des rgles) Identification du procd dattaque
Procd Cibles Sources Outils

Inconvnients
Ne dtecte que les attaques connues Maintenance de la base Techniques dvasion possibles ds lors que les signatures sont connues

Master 2 Informatique - ASR

20

Mthodes de dtection : Par anomalie

Base sur le comportement normal du systme Une dviation par rapport ce comportement est considre suspecte Le comportement doit tre modlis : on dfinit alors un profil Une attaque peut tre dtecte sans tre pralablement connue

Master 2 Informatique - ASR

21

Mthodes de dtection : Par anomalie

Modlisation du systme : cration dun profil normal
Phase dapprentissage Dtecter une intrusion consiste a dtecter un cart Exemple de profil :
Volumes des changes rseau Appels systmes dune application Commandes usuelles dun utilisateur

Repose sur des outils de complexit diverses

Seuils Statistique Mthodes probabilistes Etc.

Complexit de limplmentation et du dploiement

Master 2 Informatique - ASR 22

Mthodes de dtection : Par anomalie

Avantages
Permet la dtection dattaque inconnue Facilite la cration de rgles adaptes ces attaques Difficile tromper

Inconvnients
Les faux-positifs sont nombreux Gnrer un profil est complexe
Dure de la phase dapprentissage Activit saine du systme durant cette phase ?

Diagnostics long et prcis en cas dalerte

Master 2 Informatique - ASR

23

Mthodes de dtection : Par intgrit

Vrification dintgrit
Gnration dune somme de contrle sur des fichiers dun systme Une comparaison est alors effectue avec une somme de contrle de rfrence Exemple : une page web Mthode couramment employe par les HIDS
Master 2 Informatique - ASR 24

Points ngatifs des IDS

Technologie complexe Ncessite un degr dexpertise lev Long optimiser Rputer pour gnrer de fausses alertes Encore immature
Master 2 Informatique - ASR 25

Prsentation gnrale des IPS

Master 2 Informatique - ASR

26

Les IPS
IPS = Intrusion Prevention System
Mieux vaut prvenir que gurir

Constat :
On suppose pourvoir dtecter une intrusion Pourquoi alors, ne pas la bloquer, lliminer ?

IDS vers IPS

Terme la base plutt marketing Techniquement :
Un IPS est un IDS qui ajoute des fonctionnalits de blocage pour une anomalie trouve IDS devient actif => IPS

Master 2 Informatique - ASR

27

Les IPS : SUITE

Objectifs :
Interrompre une connexion Ralentir la connexion Blacklister les sources

Moyens :
Rgle Firewall QoS Intervention applicatif (Proxy)

Master 2 Informatique - ASR

28

IPS : suite
Avantages
Attaque bloque immdiatement

Inconvnients
Les faux-positifs Peut paralyser le rseau

Master 2 Informatique - ASR

29

O placer un IDS IPS ?

Master 2 Informatique - ASR

30

Placer un IDS
Dpend de ce que lont veut ?
Voir les attaques (HoneyPot)
Connaitre les failles de scurit

surveiller les attaques sur un rseau :

Extrieur Intrieur

Master 2 Informatique - ASR

31

O placer un IDS IPS

Position ( 1 ): Dtection de toutes les attaques Problmes Log trop complet analyse trop complexe : bon pour un Honeypot (pot de miel) Position ( 2 ): Placer dans la DMZ Dtecte les attaques non filtrer par le par feu Complexe Non bnigne log clair . Position ( 3 ): Comme 2 + Attaque interne Judicieux car 80% des attaques sont de lintrieur Trojans Virus Etc.

Master 2 Informatique - ASR

32

Un autre IDS particulier: le Honeypot

Ordinateur ou programme volontairement vulnrable destin attirer et piger les pirates But:
Occuper le pirate Dcouvrir de nouvelles attaques Garder le maximum de traces de lattaque
Master 2 Informatique - ASR 33

Les 2 types Honeypot

Faible interaction:
Les plus simple (ex: Honeyd) mulation de services sans rel systme sous-jacent

Forte interaction:
Utilisation dun rel systme dexploitation plus ou moins scuris
Master 2 Informatique - ASR 34

Fonctionnement de Honeyd
Dmon qui cr plusieurs htes virtuels sur le rseau Simule lexistence de services actifs sur les htes virtuels Les informations sur lOS simul sont issues dun fichier dempreinte nmap Toutes les connexions entrantes et sortantes sont enregistres
Master 2 Informatique - ASR 35

Les Honeypots
Littrature:
Virtual Honeypots: From Botnet Tracking to Intrusion Detection
Niels Provos, Thorsten Holz

Master 2 Informatique - ASR

36

Aspect pratique
Etude de diffrents outils OpenSource
Snort
Fonctionnement et mise en place

Bro
Comparaison avec snort Fonctionnement et Mise en place

Prelude-IDS
Gnralit
Master 2 Informatique - ASR 37

Snort (NIDS)
IDS open source Conu en 1998 par Marty Roesh rachet par SourceFire Le plus rpandu
+ 2 000 000 de tlchargements

MAJ Temps rel

(OINKMAster) Payant via SourceFire
Sinon attendre version de mise jour

Bleeding gratuit , CERT

Master 2 Informatique - ASR 38

Snort
Fonctionnalit
Permet dinteragir avec le firewall pour bloquer des intrusion (IPS) snort natif, snort-inline, autres plugins Possibilit de crer ses propres rgles et plugins Ne permet pas lenvoi demail ou SMS pour avertir
Utilisation dautre logiciel en complment
LogSurfer ou Swatch

Installation
Binaire/sources (Au choix)
Master 2 Informatique - ASR 39

Snort : Constitution
Modulaire
Dcodeur De Paquets (Packet decoder) Prprocesseurs (Preprocessors) Moteur De Dtection (Detection Engine)
ALGO : AHO-CORASICK

Systme d'alerte et d'enregistrement de log (Logging and Alerting System) Modules De Sortie (Output Module) : Possibilit denregistrer les logs dans une BDD (MYSQL/PSQL)
Master 2 Informatique - ASR 40

Snort : Constitution
Configuration sous Unix
/etc/snort/snort.conf
1 Configuration des variables pour le rseau
Configuration des reseaux a couter Configuration des services logguer (http/dns/etc)

2 Configuration des pr-processeurs 3 Configuration des plugins de sortie

Mysql/psql/ecran/etc

4 Choix des rgles utiliser

/etc/snort/rules (ensemble des signatures)

Master 2 Informatique - ASR 41

Les rgles Snort

Exemples de rgles:
Pour dtecter les tentatives de login sous l'utilisateur root, pour le protocole ftp (port 21):
alert tcp any any -> 192.168.1.0/24 21 (content: "USER root"; nocase; msg: "FTP root user access attempt";)

Tentative daccs des sites non autoriss:

alert tcp any any <> 192.168.1.0/24 any (content-list: "adults"; msg: "Adults list access attempt"; react: block;)

Master 2 Informatique - ASR

42

Snort et les interfaces Graphiques

ACID/BASE
Permet de voir les log dans une BDD Catgorise Lien vers failles de scurit

Master 2 Informatique - ASR

43

Base

Master 2 Informatique - ASR

44

Le NIDS Bro
NIDS Open Source
Dvelopp par Berkeley (Chercheurs) Langage de script propre Bro Utilisation dexpression rgulires dans les signatures Possibilit dexcuter des programmes tiers aprs dtection dintrusion
Exemple: reconfigurer un routeur

Compatible avec les rgles Snort

Grce snort2bro

Dynamic Protocol Detection

Master 2 Informatique - ASR 45

Le fonctionnement de Bro
Architecture en 3 couches:
Module Packet Capture: sniffe le trafic rseau et lenvoie la couche suprieure Module Event Engine: Analyse les flux et les paquets Module Policy Layer: utilise les scripts Bro pour traiter les vnements et appliquer les politiques
Master 2 Informatique - ASR 46

Signature Bro
Exemple de Signature Bro:
signature sid-1327 { ip-proto == tcp src-ip != local_nets dst-ip == local_nets dst-port == 22 event "EXPLOIT ssh CRC32 overflow" tcp-state established,originator payload /\x00\x01\x57\x00\x00\x00\x18/ payload /.{7}\xFF\xFF\xFF\xFF\x00\x00/ }
Master 2 Informatique - ASR 47

Comparatif Snort - Bro

Avantages Snort + nouvelles rgles trs rgulirement proposes + nombreux plugins, frontends, consoles de management, ... + mise en uvre basique rapide + beaucoup de documentations + fichiers d'alertes trs complets (header des paquets, lien vers description de l'attaque, ...) - configuration essentiellement par dition de fichiers texte - de nombreuses fonctionnalits payantes Bro + forte customisation -> IDS trs difficile dtecter par un pirate + langage de script puissant + configuration trs simple grce un script interactif

Inconvnients

-fichiers d'alertes pas trs comprhensibles -peu d'informations dans les rapports d'alertes -documentation incomplte -aucune interface graphique

Master 2 Informatique - ASR

48

Prelude-IDS (Hybride)
IDS hybride 1998:
NIDS : NetWork Intrusion Detection System ; HIDS : Host based Intrusion Detection System LML : Log Monitoring Lackey.

Standard IDMEF (Intrusion Detection Message Exchange Format) Possibilit de stocker les logs dans une BDD
MYSQL/PSQL

Supporte :
SNORT / NESSUS et + de 30 analyseurs de logs

Documentation diffuse et peu abondante

Master 2 Informatique - ASR 49

Prelude-IDS (Hybride)
Framework
Une bibliothque de gnration de messages IDMEF gestionnaire dvnements un analyseur de logs et dune console de visualisation des alertes.

Master 2 Informatique - ASR

50

Prelude-IDS (Hybride)
Fonctionnement
Les capteurs remontent des alertes un manager Prelude.
Snort Syslog Prelude lml

Le manager : Collecte les alertes Transforme les alertes au format de Prelude en un format lisible Permet des contre-mesures une attaque La communication entre les diffrents programmes se fait au format IDMEF (Intrusion Detection Message Exchange Format). Utilisation du format XML car trs gnrique comme format
Master 2 Informatique - ASR 51

Prelude-IDS
Composition Libprelude (la librairie Prelude) : la base
Gestion de la connexion et communication entre composants Interface permettant l'intgration de plugins

Prelude-LML (la sonde locale)

Alerte locale Base sur l'application des objets Pour la surveillance des systmes Unix : syslog Windows : ntsyslog. Prelude-Manager (le contrleur) Prelude-manager centralise les messages des sondes rseaux et locales, et les traduit en alertes. responsable de la centralisation et de la journalisation

Master 2 Informatique - ASR

52

Prelude-IDS (Hybride)
Configuration
Installation de lensemble du framework Configuration du manager
/etc/prelude-manager/prelude-manager.conf

Configuration de lml
/etc/prelude-lml/prelude-lml.conf

Configurationde prelude
/etc/prelude/default/
Client.conf Idmef-client.conf Global.conf

Ajout de sonde : exemple snort

prelude-admin register snort "idmef:w" x.x.x.x --uid=0 --gid=0

Master 2 Informatique - ASR

53

Prelude-IDS
Frontend
Prewikka (officiel) Php-frontend (mort) Perl Frontend Prelude (Austre)

Master 2 Informatique - ASR

54

Conclusion
IDS/IPS en plein Essor Algorithme de recherche de signature Outils essentiels
pour surveiller un rseau Pour connaitre les attaques

Attention
Faille de scurit sur IDS IPS pas encore mature
Master 2 Informatique - ASR 55

Bibliographie
http://dbprog.developpez.com/securite/ids/ Cours CEA (Vincent Glaume) Wikipedia.org Ecriture de rgles:
http://www.groar.org/trad/snort/snortfaq/writing_snort_rules.html https://trac.prelude-ids.org/wiki/PreludeHandbook

http://lehmann.free.fr/
Master 2 Informatique - ASR 56