re161 ids : intrusion detection system le trafic habituel qui entre dans votre réseau sert à :...
TRANSCRIPT
RE16 1
IDS : Intrusion Detection System
Le trafic habituel qui entre dans votre réseau sert à :• Résoudre des requêtes DNS• Accéder à des pages web• La messagerie SMTP• …
Un certain pourcentage du trafic sert en fait à des actions malicieuses :
• Reconnaître quelles sont les ressources disponibles sur votre réseau
• Lancer une attaque de type « déni de service » pour la disponibilité de vos serveurs
• Ouvrir une « back door » dans votre réseau
RE16 2
IDS : Intrusion Detection System
Un IDS est normalement capable de détecter ce genre de trafic…
• L’IDS sert d’abord à déterminer si des attaques arrivent sur votre réseau.
• Les attaques classiques arriveront en premier• Un IDS « standard » est suffisant dans la phase d’observation• Il va permettre de savoir ce qui arrive sur votre réseau : 10
reconnaissances par jour ? 1000 reconnaissances par jour ?• Si vous êtes l’objet d’attaques fréquentes et variées, un IDS
dernier modèle va être indispensable…
RE16 3
Les 2 types d’IDS
• Analogy based IDSCapture du trafic pendant une période de temps hugée représentative
Compare ensuite les propriétés (statistiques, temporelles, …) du trafic courant à cette mesure de référence
Détecte de nouvelles attaques sans mise à jour du système Génère beaucoup de fausses alertes dans le cas où la forme du
trafic évoue dans le temps
RE16 4
Les 2 types d’IDS
• Signature based IDSComparaison du trafic à une base de signatures, en regardant les en-
têtes et la charge utile des paquets Beaucoup moins de fausses alarmes Incapable de détecter de nouvelles attaques sans une mise à jour
régulière de la base des signatures
RE16 5
IDS : placement
L’IDS peut être exécuté par :
• Le firewall filtrant• Un équipement spécialisé qui va alors agir sur les
filtres du firewall. Cet équipement doit être placé en série ou en sonde à l’entrée du réseau
• Cet équipement doit avoir de bonnes capacités de traitement car il vérifie tous les flux !
• Sur un serveur particulier pour protéger ce serveur• Peut aussi être compliqué quand il y a beaucoup
de serveurs
Networ-based
IDS (NIDS)
Host-based
IDS (HIDS)
RE16 6
IDS : placement
L’IDS peut être placé de deux manières :
• In-line : en série– Inspecte forcément tout le trafic– Peut directement agir sur le trafic
par filtrage
• Passive Monitiring : passif ou sonde
– N’est pas obligé de tout inspecter– Fait agir le routeur ou la firewall
(retard)
IDS
IDS
HUB
RE16 7
IDS : placement
DMZ
Routeur filtrantFirewallRouteur interne
IDSIDS
• En tête de réseau, on compare ce que détecte l’IDS sur le lien public, avec ce qu’il détecte après le premier filtrage
• Si il y a des VPNs sur le firewall, le premier IDS ne verra rien dans les paquets cryptés
• Il faut donc en utiliser un autre avant le réseau interne• Le coût peut être très élevé
RE16 8
IDS : logiciel + matériel
RE16 9
IDS : logiciels
Computer Associates : eTrust® Secure Content Manager
RE16 10
IDS : mise en garde
Mise en garde :
• Les IDS sont des systèmes « jeunes » dont la fiabilité n’est pas totale
Cela ne doit en aucun être l’unique moyen de protection Un firewall correctement installé doit utiliser tous les outils
déjà vus dans ce cours
Les IDS peuvent :• Indiquer des attaques qui n’en sont pas (fausses détections)• Ne pas détecter de vraies attaques (absence de détection)
RE16 11
IDS : actions
Un IDS peut avoir plusieurs actions :
• Générer des alarmes sans bloquer les paquets• Mettre fin « poliment » aux sessions suspectes• Bloquer les sessions suspectes
Des alarmes sont générées dans tous les cas !
RE16 12
IDS : signatures
Un IDS cherche l’apparition de séquences particulières dans :
• Les en-têtes (type « context »)• La charge utile des paquets (type « content »)
• Un paquet (type « atomic »)• Une série de paquets (type « compound »)• Une série de paquets appartenant à des sessions différentes
(type « compound »)
RE16 13
IDS : signatures
Les attaques connues sont rangées en plusieurs catégories :
• Information : tout ce qui peut en fait être considéré comme « normal » sur le réseau comme les « echo request ICMP »
• Reconnaissance : requêtes vers des ressources qui ne sont normalement pas disponibles– Ping sweeps, DNS queries, port scanning
• Access : tout ce qui a pour but de prendre le contrôle d’une machine de votre réseau– Requêtes particulières, exploitation des défauts des systèmes
d’exploitation
• Denial of Service : tout ce qui a pour but de diminuer les performances d’une machine, voire de la rendre indisponible– TCP SYN floods, ping of death, smurf, fraggle trinoo, …
RE16 14
IDS : signatures
Ordre de grandeur :
• Sur les derniers IOS cisco, plus de 1640 signatures sont reconnues !
• Cisco%20IOS%20IPS%20Supported%20Signature%20List%A0%20%5BCisco%20IOS%20Intrusion%20Prevention%20System%20(IPS)%5D%20-%20Cisco%20Systems.mht
• cdccont_0900aecd8039e2e4.pdf• Top 10 de attaques les plus fréquentes :
mailto:MySDN-Security@Cisco%20-%20Cisco%20Systems.mht