Les systèmes de détections d'intrusions
Par Pierre le jeudi 2 août 2007, 18:59 - Sécurité - Lien permanent
Voici un aperçu en ce qui concerne les systèmes de détections d'intrusions
Introduction
Un système de détection d’intrusion (IDS) a pour but de détecter, d’analyser du trafic sur l’ordinateur cible. Il permet d’avoir une prévention sur des tentatives d’intrusion dans votre réseau. Cet article a pour but de vous expliquer le fonctionnement des IDS et pourquoi en utiliser un alors qu’il ne s’agit que d’un outil de détection et non de répressions.
Les système de détection d’intrusion (IDS)
Les IDS sont des outils écoutant le trafic du réseau de façon furtive afin de repérer d’éventuelles activités anormales sur le réseau. Cela afin de pouvoir prévenir d’éventuel attaques. Les IDS ne sont en aucun cas des outils de protection ou de répressions contre les attaques pour cela parallèlement au IDS, il existe les systèmes de prévention/protection d’intrusion IPS qui est positionné en coupure sur le réseau et non en écoute. Il peut quand à lui directement bloquer les intrusions.
Les IDS sont de deux types :
- Les N-IDS (Network Based Intrusion Detection System), ils interviennent au niveau du réseau.
- Les H-IDS (Host Based Intrusion Detection System), ils interviennent au niveau des hôtes.
Les N-IDS
Les N-IDS réagit comme antivirus c’est-à-dire qu’il scanne les paquets afin d’y déceler une signature d’attaques connu ou partiellement connu se trouvant dans sa bibliothèques. Ils ne sont donc efficace que s’ils connaissent l’attaque dans le cas contraire, ils ne servent strictement à rien c’est pour cela qu’il doit être maintenu à jour continuellement.
Les N-IDS sont placés sur différente partie du réseau en tant que sonde, ils peuvent utiliser une ou plusieurs cartes réseaux en mode promiscuous « furtif », la carte réseau n’a donc aucune IP. Placé à l’extérieur, elle permet de rechercher des tentatives d’attaques et à l’intérieur de repérer les attaques réussit ayant traversé le pare-feu afin d’en apprendre les signatures.
Techniques de détections
Le trafic réseau est constitué de datagramme IP, les N-IDS récupère les paquets circulant sur la liaison physique à laquelle il est connecté et à l’aide de la pile TCP/IP dont il est composé réassemble les datagrammes IP et connexion TCP. Il peut ensuite appliquer différentes techniques tels que :
- Pattern matching : La plus ancienne des méthodes de détection d’intrusions. Elle consiste en la détection d’une intrusion en examinant une séquence d’octet caractéristique d’une signature du paquet.
- Vérification de la pile protocolaire : Détecte les « Ping-Of-Death et TCP Stealth Scanning » qui pour attaquer une machine viole les protocole IP, TCP, UDP et ICMP.
- Vérification des protocoles applicatifs : teste les comportements protocolaires invalides, elle est plus efficace que la précédente car elle élimine en partie les fausses alerte.
- Ou encore le pattern matching stateful, l’audit de trafic réseau …
Les différentes actions d’un N-IDS lors d’une détection
- Reconfiguration d’un équipement tierces : Le N-IDS envoie un ordre de reconfiguration au pare-feu, routeur (acl) ou autre équipement dans le but de bloquer l’intrusion. Cet reconfiguration est faite par passage des informations en tête de paquets.
- Envoi de courriel: lors d’une intrusion un ou plusieurs courriels sont envoyés aux boites spécifier
- Journalistisation d’une intrusion : Sauvegarde d’une alerte.
- Sauvegarde des paquets suspicieux : Sauvegarde des paquets qui ont déclenché une alerte.
- Démarrage d’une application : lors d’une alerte on peut demander le démarrage d’une application qui a un but spécifique.
- « ResetKill » : Envoi d’un paquet TCP FIN qui force l’arrêt de la connexion.
- Notification de l’alerte : Affichage de l’alerte.
Exemple de N-IDS : Snort, Bro.
Les H-IDS
Les H-IDS effectue une analyse comportementale, travaillant comme un démon ou un service sur l’hôte, il tente de détecter une activité anormale sur ce dernier. Ceci en analysant l’activité de la machine (processus, nombre d’utilisateur, ressources…), de l’utilisateur (heure, temps de connexion, son activité sur la machine) les informations des logs (syslogs, messages, …), sur le réseau (capture des paquets entrant et sortant tentant de l’analyser et de trouver des signaux d’intrusions : Backdoors, chevaux de troie, Déni de service …). De plus le H-IDS est complémentaire au N-IDS car c’est lui qui gère les équipements terminaux, la remontée des alertes au système, par le biais du H-IDS la surveillance du réseau et des équipements est centralisée.
Exemple de H-IDS : IceSword, Tripwire, Fcheck, Osiris
Maintenant que nous avons vu à quoi sert et comment fonctionne les différents type d’IDS, nous allons aborder la question de pourquoi un IDS alors qu’il ne fait que regarder et que j’ai mon pare-feu qui bloque les tentatives d’intrusions.
IDS et Pare-feu
Les pare-feu sont considérés comme un des mécanismes clé au niveau de la sécurité d’un réseau. De nos jours, la simple implémentation d’un serveur web ou d’un ordinateur à Internet sans pare-feu est considérée comme très dangereux. Une mauvaise administration de ce dernier contribue surtout à laisser des portes ouvertes sur vos machines plutôt que de vous protéger. De plus malgré que vous soyez attentif à la configuration de votre pare-feu des vulnérabilités sont régulièrement découvertes sur ces derniers. Néanmoins avec un pare-feu convenablement conçu, bien configuré et mise à jour, les pare-feu sont difficilement pénétrable. La plupart des pirates expérimentés le savent et chercheront à le contourner en exploitant les chemins de confiance et les vulnérabilités de sécurité du système. Le pirate cherchera un moyen de passer le pare-feu d’en trouver les failles, pour cela il a besoin de récolter des informations sur votre réseau. Pour lui rien de plus facile, chaque pare-feu du marché a une empreinte spécifique avec un simple balayage de port, la capture de quelques bannières, il pourra déterminer le type, la version, les règles d’un quelconque pare-feu. Après avoir effectué une telle opération, il sera en mesure de cartographier votre pare-feu, y déceler les failles et les exploiter.
Par défaut, les IDS détecteront les balayages directs dits également balayage bruyant. Il est qualifié de bruyant car il scanne une série de port et il est donc facilement détectable par un IDS. Un pirate averti essayera de ne pas se faire remarquer, il essayera pour cela de scanner les ports de manière aléatoire ou encore en utilisant une technique appelé balayage distribués consistant à faire scanner un nombre de port aléatoirement par plusieurs machines aillant des adresses IP différentes pour ne pas se faire remarquer. Il faut donc pour cela améliorés un maximum la sensibilité de votre IDS toutefois le sondage ponctuel d’un port est indétectable pour un IDS. Dans ce cas présent, l’IDS permettrait d’avoir une vue sur une tentative de récoltes d’informations et de tentatives de détection de votre pare-feu par le pirate, moins le pirate en sait sur votre système plus il aura du mal à vous attaquer.
Conclusion
En matière de sécurité, il ne faut pas seulement se dire on est protégé mais surtout jusqu’à quand seront nous protéger. Le but étant de toujours avoir une longueur d’avance sur ce que le pirate pourrait tenter. Une utilisation convenable d’un IDS permettant de surveiller tout autour de notre mur de sécurité qu’aucun intrus ne s’approche pour déceler les failles dans cette dernière, si des anomalies sont découvertes, elles peuvent être alors traiter de la meilleure manière qui soit afin de pouvoir comprendre et mieux se protéger de cet éventuel agresseur.