Embed Size (px)
DESCRIPTION
present a solution for VoIP security
Citation preview
Chapitre 2
I- Systegraveme de deacutetection drsquointrusion
On appelle IDS (Intrusion Detection System) un meacutecanisme eacutecoutant le trafic reacuteseau de maniegravere
furtive afin de repeacuterer des activiteacutes anormales ou suspectes et permettant ainsi davoir une action
de preacutevention sur les risques dintrusion
Les quatre modules importants drsquoun IDS sont la journalisation lrsquoanalyse lrsquoaction et la gestion
Journalisation Enregistrement des eacutevegravenements dans un fichier comme lrsquoarriveacutee drsquoun paquet ou
une tentative de connexion
Analyse Analyse des journaux afin drsquoidentifier des motifs (patterns) parmi la quantiteacute importante
de donneacutees que lrsquoIDS a recueillie Il existe deux principales meacutethodes drsquoanalyse sur la base de
signatures drsquoattaques et par la deacutetection drsquoanomalie
Action Preacutevenir le personnel lorsqursquoune situation dangereuse est deacutetecteacutee par lrsquoactivation drsquoune
alarme
Gestion Les IDS doivent ecirctre configureacutes mis agrave jour et geacutereacutes activement de diffeacuterentes maniegraveres
On peut comparer un IDS agrave une cameacutera de seacutecuriteacute dans un bacirctiment Il deacutetecte des intrusions en
temps reacuteel et enregistre des bandes qui peuvent ecirctre eacutetudieacutees apregraves un incident Mais il est
insuffisant pour garantir agrave lui seul la seacutecuriteacute du reacuteseau Crsquoest un eacuteleacutement parmi drsquoautres de
lrsquoarchitecture de seacutecuriteacute
I1 Les Types drsquoIDS
Il existe deux grandes familles distinctes drsquoIDS
Les NIDS (Network Based Intrusion Detection System) ils assurent la seacutecuriteacute au niveau du
reacuteseau
Les HIDS (Host Based Intrusion Detection System) ils assurent la seacutecuriteacute au niveau des hocirctes
I11 Network IDS
Un NIDS neacutecessite un mateacuteriel deacutedieacute et constitue un systegraveme capable de controcircler les paquets
circulant sur un ou plusieurs lien(s) reacuteseau dans le but de deacutecouvrir si un acte malveillant ou
anormal a lieu Le NIDS place une ou plusieurs cartes drsquointerface reacuteseau du systegraveme deacutedieacute en
Chapitre 2
mode espion1 ceci garantit un fonctionnement en mode furtif qui lui permet de lire et analyser
tous les paquets qui passent par ce lien
La force des NIDS est qursquoils voient tous les paquets passant par un point donneacute du reacuteseau Ces
paquets sont souvent le meilleur diagnostic des attaques Cependant les NIDS possegravedent
certaines vulneacuterabiliteacutes inquieacutetantes
Angles morts Suivant ougrave sont situeacutes les NIDS dans le reacuteseau certaines situations induisent
des angles morts ougrave ils ne peuvent pas laquovoirraquo les paquets Par exemple si seuls les NIDS
situeacutes entre le firewall et lrsquoInternet sont utiliseacutes le reacuteseau interne entier est un gigantesque
angle mort
Donneacutees chiffreacutees De mecircme que les firewalls les NIDS ne peuvent pas lire les donneacutees
chiffreacutees Ils peuvent scanner les parties non chiffreacutees (en geacuteneacuteral entecircte IP ajouteacute) drsquoun
paquet chiffreacute mais cela ne fournit que des informations limiteacutees
I12 Host IDS
Le HIDS reacuteside sur un hocircte particulier et est installeacute comme un agent Il se comporte comme un
deacutemon (daemon) ou un service standard sur un systegraveme hocircte Traditionnellement le HIDS
analyse des informations particuliegraveres dans les fichiers de log pour deacutetecter nrsquoimporte quelle
activiteacute drsquointrus Ce systegraveme de deacutetection capture aussi les paquets reacuteseaux entrantsortant de
lrsquohocircte pour y deacuteceler des signes drsquointrusions et alerte quand quelque chose srsquoest produit
Les HIDS sont inteacuteressants car mecircme si lrsquoordinateur est situeacute dans un angle mort du reacuteseau ils
peuvent recueillir les donneacutees le concernant
De plus seules les donneacutees relatives agrave lrsquoordinateur sur lequel le HIDS est installeacute sont recueillies
ce qui simplifie lrsquoanalyse
Les HIDS ont deux faiblesses principales En premier lieu ils ont une vision limiteacutee de ce qui se
passe sur le reacuteseau Cette vision limiteacutee qui leur permet drsquoecirctre speacutecifiques les empecircche drsquoavoir
une vision drsquoensemble
---------------------------------
1 Une carte reacuteseau peut ecirctre mise en mode espion pour recevoir tout le trafic qui est envoyeacute sur le segment de reacuteseau sur laquelle elle se trouve Cela permet de renifler (sniff) ce qui se passe sur le reacuteseau Si la carte reacuteseau nest pas en mode espion elle rejette tout le trafic qui ne lui est pas destineacute
Chapitre 2
En second lieu les HIDS peuvent ecirctre victimes drsquoattaques Srsquoils sont situeacutes sur lrsquoordinateur
compromis par lrsquoattaquant leurs fichiers peuvent ecirctre effaceacutes ou modifieacutes
I2 Les techniques de deacutetection
Les systegravemes de deacutetection dintrusion se divisent en deux principales cateacutegories les systegravemes de
deacutetection baseacutes sur la signature et les systegravemes de deacutetection danomalie
En effet les intrus ont des signatures comme les virus qui peuvent ecirctre deacutetecteacutees par des
logiciels adeacutequats Il faut essayer de trouver tous les paquets de donneacutees qui contiennent les
signatures ou anomalies connues lieacutees aux intrusions ou au protocole Internet Baseacute sur un
ensemble de signatures et de regravegles le systegraveme de deacutetection peut trouver et loguer lactiviteacute
suspecte et produire des alertes Les IDS neacutecessitent des mises agrave jour de signatures pour deacutetecter
les nouveaux types dattaques
La deacutetection dintrusion baseacutee sur la deacutetection danomalie consiste agrave comparer les scheacutemas
drsquoeacuteveacutenements en cours pris dans leur ensemble aux scheacutemas drsquoeacuteveacutenements habituels pris dans
leur ensemble Il est par exemple utiles drsquoanalyser de pregraves des situations comme multiples eacutechecs
de connexion utilisateur acceacutedant agrave des fichiers systegravemes critiques modification des fichiers
exeacutecutables Cette meacutethode est puissante car elle permet drsquoidentifier des attaques inhabituelles
Cependant il est difficile de distinguer ce qui est normal de ce qui ne lrsquoest pas car les scheacutemas
drsquoactiviteacutes varient largement drsquoun systegraveme reacuteel agrave un autre
Habituellement un systegraveme de deacutetection dintrusion capture des donneacutees du reacuteseau et applique ses
regravegles agrave ces donneacutees ou deacutetecte des anomalies
I3 Les diffeacuterentes actions des IDS
Les IDS peuvent deacuteclencher des alarmes automatiques et proposer un dispositif drsquoanalyse
interactive afin drsquoaider lrsquoadministrateur de la seacutecuriteacute agrave identifier des motifs dans les journaux
Les principales meacutethodes utiliseacutees pour signaler les intrusions sont les suivantes
- Envoi drsquoun e-mail agrave un ou plusieurs utilisateurs pour notifier drsquoune intrusion seacuterieuse
- Journalisation (log) de lrsquoattaque sauvegarde des deacutetails de lrsquoalerte dans une base de donneacutees
centrale comme par exemple des informations telles que lrsquoadresse IP de lrsquointrus adresse IP de la
cible protocole utiliseacute
Chapitre 2
- Sauvegarde des paquets suspects sauvegarde de lrsquoensemble des paquets reacuteseaux captureacutes etou
uniquement les paquets qui ont deacuteclencheacute une alerte
- Deacutemarrage drsquoune application lancement dun programme exteacuterieur pour exeacutecuter une action
speacutecifique (envoi drsquoun message sms eacutemission drsquoune alerte auditivehellip)
- Notification visuelle de lrsquoalerte affichage de lrsquoalerte dans une ou plusieurs console(s) de
management
De nombreux IDS peuvent effectuer des actions limiteacutees dans le cas de certains scheacutemas
drsquoeacuteveacutenements sans intervention humaine Le plus souvent les NIDS utilisent cette capaciteacute pour
deacutejouer des attaques de deacuteni de service Si lrsquoattaque provient drsquoune adresse IP unique par
exemple il est possible de bloquer cette adresse automatiquement De leur cocircteacute les HIDS
peuvent empecirccher les utilisateurs drsquoaccomplir certaines actions
Cependant les actions automatiseacutees doivent ecirctre extrecircmement limiteacutees car la plupart des scheacutemas
indiquent uniquement des activiteacutes suspectes et non des actions assureacutement malveillantes
I4 Ougrave placer lrsquoIDS dans une topologie reacuteseau
Selon la topologie reacuteseau on peut placer des systegravemes de deacutetection dintrusion agrave un ou plusieurs
endroits Ceci deacutependent eacutegalement de quels types dactiviteacutes dintrusion on souhaite deacutetecter
interne externe ou les deux Par exemple si lrsquoentreprise veut uniquement deacutetecter les activiteacutes
dintrusion externes et qursquoil y a seulement un routeur relieacute agrave Internet le meilleur endroit pour un
systegraveme de deacutetection dintrusion peut ecirctre juste apregraves le routeur ou le firewall Srsquoil a plusieurs
connections agrave Internet on peut placer un IDS agrave chaque point dentreacutee
Cependant si on veut eacutegalement deacutetecter les menaces internes on peut placer un IDS dans chaque
segment de reacuteseau
Dans de nombreux cas il nrsquoest pas neacutecessaire davoir un IDS dans tous les segments de reacuteseau et
on peut se limiter seulement aux secteurs sensibles du reacuteseau Notez que plus il y a de systegravemes
de deacutetection dintrusion plus il y a de travail et plus il y a de coucircts dentretien La figure suivante
montre les endroits typiques ougrave on peut placer un systegraveme de deacutetection dintrusion
Chapitre 2
Figure I1-Endroits typiques pour un IDS reacuteseau (NIDS)
1048766 Location 1 dans la zone deacutemilitariseacutee (DMZ) Voir les attaques qui visent surtout les
serveurs de services de lrsquoentreprise
1048766 Location 2 entre le firewall externe et lrsquoInternet Permet drsquoanalyser au mieux les
attaques lanceacutees contre lrsquoentreprise
1048766 Location 3 agrave chaque segment du reacuteseau LrsquoIDS situeacute agrave cet endroit se concentre plus
sur les charges intrusives plus dangereuses qui passent agrave travers le firewall
1048766 Location 4 plus pregraves des sous-reacuteseaux sensibles permet de deacutetecter les attaques
visant des ressources ou des systegravemes critiques Par exemple des serveurs de comptes
sensibles
Une nouvelle famille drsquooutils de seacutecuriteacute est apparue sur le reacuteseau les systegravemes de preacutevention
des intrusions (IPS Intrusion Prevention System)
Chapitre 2
II- Systegraveme de Preacutevention drsquointrusionUn systegraveme de preacutevention drsquointrusion est un dispositif (mateacuteriel ou logiciel) capable de
deacutetecter des attaques connues et inconnues et de les empecirccher decirctre reacuteussies
Un IPS nrsquoest pas un observateur il fait partie inteacutegrante du reacuteseau Il est placeacute en ligne et
examine tous les paquets entrants ou sortants LrsquoIPS a eacuteteacute deacuteveloppeacute de maniegravere agrave prendre les
mesures neacutecessaires pour contrer les intrusions deacutetectables avec preacutecision Il surveille le trafic
et intervient activement par limitation ou suppression du trafic jugeacute hostile par interruption
des sessions suspectes ou par drsquoautres mesures en reacuteaction agrave une attaque Il reacutealise un
ensemble drsquoanalyses de deacutetection non seulement sur chaque paquet individuel mais
eacutegalement sur les motifs du reacuteseau en visualisant chaque transaction dans le contexte de
celles qui preacuteceacutedent ou qui suivent
En geacuteneacuteral les quatre modules principaux qui composent un IPS sont
- Normalisation du trafic (Traffic normalizer)
- Scanner de service (Service scanner)
- Moteur de deacutetection (Detection engine)
- Traffic shaper
Le traffic normalizer surveille le trafic analyse les paquets et exeacutecute les mesures de base
contre les attaques comme le blocage drsquoadresse IP Le trafic analyseacute est ensuite passeacute au
moteur de deacutetection et au scanner de service Ce dernier construit une table de reacutefeacuterence
classifiant les informations afin drsquoaider le traffic shaper agrave mieux geacuterer le flux de ces
informations Le moteur de deacutetection compare les scheacutemas drsquoeacuteveacutenements en cours avec ceux
contenus dans la table de reacutefeacuterence
II1 Les Types drsquoIPS
Il existe actuellement deux cateacutegories de produit IPS
Les NIPS (Network Intrusion Prevention System) un logiciel ou un mateacuteriel deacutedieacute connecteacute
directement agrave un segment du reacuteseau et qui protegravege tous les systegravemes rattacheacutes agrave ce segment
Les HIPS (Host Intrusion Prevention System) un programme systegraveme installeacute directement sur
lrsquoordinateur agrave proteacuteger
Chapitre 2
II11 Network IPS
Le Network IPS (NIPS) combine les caracteacuteristiques drsquoun IDS standard et drsquoun firewall Il est
parfois qualifieacute comme eacutetant la prochaine geacuteneacuteration de firewall le firewall agrave laquoinspection en
profondeur (deep inspection)raquo
Comme avec un firewall le NIPS a au moins deux interfaces reacuteseau une interne et une
externe Les paquets arrivent agrave lune ou lautre des deux interfaces puis sont passeacutes au moteur
de deacutetection Jusqursquoici lrsquoIPS fonctionne comme un IDS crsquoest-agrave-dire qursquoil deacutetermine si oui ou
non le paquet est malveillant Cependant sil en deacutetecte en plus de deacuteclencher une alerte il
rejettera le paquet et marquera cette session laquosuspecteraquo
Quand les paquets restants qui composent cette session particuliegravere arriveront agrave lrsquoIPS ils
seront jeteacutes immeacutediatement Les paquets propres sont passeacutes agrave travers la deuxiegraveme interface
pour atteindre leur destination preacutevue
Les NIPS sont deacuteployeacutes en ligne avec le segment du reacuteseau agrave proteacuteger De ce fait toutes les
donneacutees qui circulent entre le segment proteacutegeacute et le reste du reacuteseau doivent passer par le
NIPS Degraves quun paquet suspect est deacutetecteacute - et avant quil soit passeacute agrave linterface interne et au
reacuteseau proteacutegeacute- il peut ecirctre rejeteacute En plus de cela au moment ougrave la session a eacuteteacute marqueacutee
comme laquosuspecteraquo tous les paquets suivants qui font partie de cette session peuvent ecirctre
eacutegalement rejeteacute avec un eacuteventuel traitement additionnel Quelques produits envoient par
exemple un Reset TCP ou un message ICMP Unreachable agrave la machine attaquante
Comme le trafic traverse lrsquoIPS il est inspecteacute pour veacuterifier la preacutesence dune attaque Le NIPS
peut employer lrsquoapproche de deacutetection baseacutee sur les signatures drsquoattaque Une diffeacuterence
principale cependant est qursquoil emploie des signatures qui sont baseacutees sur des vulneacuterabiliteacutes et
non pas sur les exploits2 En utilisant des signatures sur des vulneacuterabiliteacutes le NIPS peut
ajouter une protection (promettante) avant que des exploits reacuteels ne soient libeacutereacutes dans la
nature
Un NIPS deacuteclenche tout comme un NIDS des alarmes face aux attaques mais le contenu de
lrsquoalarme est diffeacuterent Crsquoest plutocirct une notification indiquant laquotel ou tel trafic a eacuteteacute deacutetecteacute en
train dessayer dattaquer ce systegraveme et a eacuteteacute bloqueacuteraquo
----------------------------------
2 Un exploit tire profit dune faiblesse dans un systegraveme afin de lentailler Les exploits sont la racine de la culture dintrus
Chapitre 2
Est-ce quavec des alarmes de ce type une intervention humaine est neacutecessaire
Dans un environnement ougrave la seacutecuriteacute est primordiale la reacuteponse est plutocirct oui Une
intervention humaine est neacutecessaire pour veacuterifier lrsquointervention automatiseacutee et aussi pour
recueillir les indices de sorte quils puissent ecirctre employeacutes pour se proteacuteger contre de futures
attaques ou pour identifier une plus grande menace
Dans la plupart des environnements ougrave la seacutecuriteacute est un souci et non pas une prioriteacute aucune
intervention humaine nrsquoest vraiment neacutecessaire
Les avantages drsquoun network IPS
- Un seul point de controcircle pour le trafic peut proteacuteger des milliers de systegravemes situeacutes en
aval du dispositif Ceci permet agrave une organisation de mesurer sa solution rapidement et de
fournir la flexibiliteacute requise pour reacutepondre aux changements constants de larchitecture reacuteseau
- Le deacuteploiement devient facile car un seul dispositif IPS peut proteacuteger des centaines de
systegravemes
- Il fournit une vue plus large de lenvironnement de menaces telles que les balayages
sondeshellip Avoir une vision strateacutegique de lenvironnement de menaces permet agrave la gestion de
seacutecuriteacute de sadapter agrave un changement de perspective
- Il protegravege les autres dispositifs du reacuteseau toutes les attaques ne sont pas dirigeacutees que contre
les systegravemes doteacutes drsquoun systegraveme dexploitation Par exemple les routeurs firewalls
concentrateurs VPN serveurs drsquoimprimantes etc sont tous vulneacuterables et exigent une
protection
- Il protegravege des attaques reacuteseaux DoS DDos SYN flood etc Travailler au niveau du reacuteseau
permet agrave un NIPS de proteacuteger contre ces types dattaques
II12 Host IPS
Le HIPS est un programme qui reacuteside sur un systegraveme tel que serveurs postes de travail ou
portables
Le trafic venant ou sortant de ce systegraveme particulier est inspecteacute et les activiteacutes au niveau des
applications et du systegraveme dexploitation peuvent ecirctre examineacutees afin de trouver des signes
dune attaque Un HIPS peut deacutetecter les attaques qui visent la machine et arrecircter le processus
malveillant avant quil ne sexeacutecute On peut donc consideacuterer le HIPS comme eacutetant plus un
moniteur de systegraveme drsquoexploitation ou moniteur drsquoapplication
Le HIPS nexige plus quun service geacutenegravere une notation deacuteveacutenement (event log) ou des
changements dans des fichiers systegravemes avant drsquoagir Crsquoest la nouveauteacute de cet outil
Chapitre 2
Quand une attaque est deacutetecteacutee le logiciel bloque lattaque soit au niveau de lrsquointerface
reacuteseau soit en envoyant des commandes agrave lapplication ou au systegraveme dexploitation darrecircter
lrsquoaction lanceacutee par lattaque
La meacutethode de deacutetection varie selon le fabricant mais la plus utiliseacutee est lrsquoapproche baseacutee sur
des regravegles
Un HIPS possegravede une liste preacutedeacutefinie de regravegle eacutetablie par le fabriquant et livreacutee avec le
produit Ces regravegles savent comment un systegraveme dexploitation ou une application devrait se
laquocomporterraquo Si lapplication initie une action suspecte une des regravegles est deacuteclencheacutee et le
processus est tueacute avant mecircme quil ait pu nuire au systegraveme
Par exemple les attaques par buffer overflow peuvent ecirctre empecirccheacutees en interdisant
lexeacutecution du programme malveillant inseacutereacute dans lespace adresse exploiteacute par lattaque Ou
encore les tentatives dinstallation de back door via une application comme Internet Explorer
sont bloqueacutes en arrecirctant et en refusant la commande write file commande provenant de lrsquoIE
Drsquoautres systegravemes HIPS emploient lrsquoapproche ldquosurveillancerdquo ou ldquoobservationrdquo Un agent
HIPS tourne sur la machine et se concentre sur les eacuteveacutenements drsquoun systegraveme drsquoexploitation en
observant tous les appels systegraveme les entreacutees de la base de registre et les services des
communications
Enfin lapproche hybride est aussi utiliseacutee Un HIPS hybride peut employer une combinaison
de regravegles controcircle de lrsquoactiviteacute des applications et les signatures pour deacutetecter une attaque
Lavantage principal de ce type de systegravemes est la capaciteacute didentifier absolument les attaques
connues
Les systegravemes baseacutes sur les regravegles ou ceux qui adoptent lrsquoapproche laquosurveillanceraquo peuvent ne
deacutecouvrir que les actions suspectes actions qui sont arrecircteacutees bien-sucircr
Les avantages drsquoun Host IPS
Un logiciel installeacute directement sur le systegraveme le protegravege contre une attaque mais en plus le
protegravege des reacutesultats dune attaque en empecircchant un programme drsquoeacutecrire dans un fichier ou
un utilisateur drsquoaugmenter son privilegravege etchellip
- Protegravege les systegravemes mobiles contre lattaque quand ils sont hors du reacuteseau proteacutegeacute Les
ordinateurs portables sont le vecteur principal de vers dans un reacuteseau proteacutegeacute Installer un
NIPS avec un systegraveme mobile nest pas une solution pratique
- Protegravege des attaques locales le personnel avec un accegraves physique agrave un systegraveme peut lancer
des attaques locales en exeacutecutant des programmes introduits par une disquette ou un CD etc
Chapitre 2
Ces attaques se concentrent souvent sur lrsquoaugmentation des privilegraveges de lutilisateur en root
ou administrator afin de compromettre facilement dautres systegravemes dans le reacuteseau
- Garantir une laquoderniegravere ligne de deacutefenseraquo contre les attaques qui ont pu se soustraire agrave
dautres outils de seacutecuriteacute Un potentiel systegraveme victime lui-mecircme est un dernier point de
deacutefense disponible pour lrsquoadministrateur de la seacutecuriteacute afin de se proteacuteger des violations du
systegraveme
- Empecircche lattaque interne ou labus des dispositifs situeacutes sur le mecircme segment du reacuteseau le
NIPS assure uniquement une protection des donneacutees qui se deacuteplacent entre diffeacuterents
segments Les attaques lanceacutees entre les systegravemes situeacutes sur le mecircme segment ne peuvent ecirctre
contreacutees qursquoavec le HIPS
- Protegravege des attaques chiffreacutees quand le flux de donneacutees chiffreacutees srsquoarrecircte au systegraveme
proteacutegeacute Le HIPS examine ces donneacutees etou le comportement apregraves que ces donneacutees chiffreacutees
ont eacuteteacute deacutechiffreacutees sur le systegraveme
- Indeacutependant de larchitecture reacuteseau
Comme le HIPS intercepte toutes les requecirctes destineacutees au systegraveme quil protegravege il doit
respecter une certaine condition preacutealable il doit ecirctre tregraves fiable ne doit pas avoir un impact
neacutegatif sur la performance du systegraveme et ne doit pas bloquer le trafic reconnu comme
leacutegitime
II2 Les techniques de deacutetection
La premiegravere eacutetape pour arrecircter les attaques et eacuteviter les intrusions consiste agrave les deacutetecter
Plusieurs meacutethodes de deacutetection sont applicables
1) Lrsquoanalyse de protocole crsquoest une deacutetection drsquoanomalie de protocole LrsquoIPS controcircle la
conformiteacute agrave la norme du protocole donneacute Avec cette meacutethode la recherche drsquoune activiteacute
drsquointrusion est plus cibleacutee et donc plus efficace
2) Correspondance de motifs (pattern matching) le trafic est scruteacute pour deacuteterminer les
signatures des motifs drsquoattaque connus Le systegraveme analyse chaque paquet Cette meacutethode
peut ecirctre stateful crsquoest-agrave-dire que le systegraveme examine le contexte et lrsquoemplacement de la
signature LrsquoIPS conserve la trace de lrsquoeacutetat de connexion avec lrsquoentiteacute exteacuterieure et eacutevaluera le
contexte plus large de toutes les transactions eacutetablies au cours de la connexion Cette meacutethode
ne permet de deacutetecter que les attaques connues et seulement si la liste des signatures
drsquoattaques est reacuteguliegraverement actualiseacutee
Chapitre 2
3) Comportementale deacutetection baseacutee sur le comportement (behaviour based detection) LrsquoIPS
tente de deacutecouvrir des activiteacutes laquoanormalesraquo en observant le comportement du systegraveme et des
utilisateurs Apregraves une phase drsquoapprentissage lrsquoIPS dispose drsquoun modegravele du laquocomportement
normalraquo du systegraveme et de ses utilisateurs SI lrsquoIPS constate que lrsquoactiviteacute courante srsquoeacuteloigne
trop du comportement normal il prenne une mesure Cette meacutethode a lrsquoavantage de pouvoir
deacutetecter des tentatives drsquoexploitation de vulneacuterabiliteacutes jusque lagrave inconnues
II3 Ougrave placer lrsquoIPS dans une topologie reacuteseau
Figure II-1 ndash Endroits typiques pour un IPS reacuteseau (NIPS)
1 Derriegravere le firewall peacuterimegravetre de reacuteseau et la fin de tout reacuteseau VPN
2 Entre le firewall peacuterimegravetre de reacuteseau et les serveurs placeacutes dans la DMZ tels que le serveur
web et les serveurs de-mailhellip
3 Devant les serveurs internes critiques tels que les serveurs dapplication
4 Devant les principaux workgroups drsquoun deacutepartement
44 Les diffeacuterentes faccedilons de reacutealiser un IPS
Il existe 5 diffeacuterentes faccedilons de reacutealiser un systegraveme de preacutevention drsquointrusion agrave savoir le
NIDS en ligne (inline NIDS) les firewallsIDS applicatifs (application-based firewallsIDS)
les commutateurs de la couche 7 (layer 7 switches) les IDS reacuteseaux applicatifs (network-
based application IDSs) et les applications trompeuses (deceptive applications)
Chapitre 2
III ndash La diffeacuterence entre la Deacutetection et la Preacutevention
Un IDS (reacuteseau) et un IPS (reacuteseau) se diffegraverent principalement par 2 caracteacuteristiques
- Le positionnement sur le reacuteseau (traditionnellement lrsquoIDS est positionneacute comme un sniffer)
- La possibiliteacute de bloquer immeacutediatement les intrusions et ce quel que soit le type de
protocole de transport utiliseacute sans reconfiguration drsquoun eacutequipement tiers LrsquoIPS est constitueacute
drsquoune technique de filtrage de paquets et de moyens de blocage (drop connection drop
offending packets block intruder hellip)
Mais on peut eacutegalement ajouter le deacuteterminisme Les IDS peuvent (et devraient) utiliser des
meacutethodes non deacuteterministes pour laquopreacutedireraquo toute sorte de menace ou une menace potentielle
du trafic existant Ces meacutethodes se composent de lanalyse statistique du volume de trafic des
modegraveles de trafic et des activiteacutes anormales Mais tout ceci nrsquoest destineacute qursquoagrave celui qui veut
savoir ce qui se passe sur son reacuteseau et rien de plus En revanche un IPS doit ecirctre
deacuteterministe ndash juste exact - dans toutes ses deacutecisions afin dexeacutecuter sa fonction de
laquonettoyeurraquo de trafic Un dispositif IPS nest pas censeacute prendre des risques ou reacuteagir avec une
certaine technique dlaquointuitionraquo Il est supposeacute fonctionner tout le temps faire un controcircle
drsquoaccegraves du reacuteseau et prendre des deacutecisions Les firewalls ont fourni la premiegravere approche
deacuteterministe du controcircle daccegraves du reacuteseau
III-1 IDS
Les systegravemes de deacutetection dintrusion ont eacuteteacute deacuteveloppeacutes pour identifier le trafic hostile et
envoyer des alertes Ils ne font rien pour arrecircter une attaque Ils sont deacuteployeacutes hors ligne et
possegravedent lrsquoavantage de ne pas pouvoir causer eux-mecircmes de panne de reacuteseau
La nature passive drsquoun IDS le positionne bien pour identifier
- Les attaques connues par lintermeacutediaire des signatures et des regravegles
- Les variations de volume et de direction de trafic en utilisant des regravegles complexes et une
analyse statistique
- Les variations de modegravele de trafic de communication en utilisant lanalyse des flux
Chapitre 2
- La deacutetection dune activiteacute suspecte en utilisant lanalyse de flux les techniques
statistiques et la deacutetection danomalie
Mais cette passiviteacute ne donne pas que des avantages On reproche eacutegalement agrave un IDS
Deacutetection uniquement sans preacutevention Comme ils sont placeacutes en dehors du reacuteseau les
NIDS peuvent difficilement avoir une incidence sur le trafic Les NIDS sont geacuteneacuteralement
impuissants pour arrecircter ou mecircme contrer une attaque en cours
Dureacutee de reacutecupeacuteration du systegraveme importante La neacutecessiteacute drsquoune intervention manuelle
de mecircme que la quantiteacute consideacuterable de donneacutees agrave scruter entraicircne une reacuteaction lente face agrave
une attaque ou une intrusion
Fausses alarmes Les NIDS confondent parfois un trafic inoffensif avec une attaque ce sont
les laquofaux positifsraquo Ces erreurs demandent souvent un temps consideacuterable pour controcircler les
paquets en question et deacuteterminer que le systegraveme NIDS srsquoest trompeacute Dans drsquoautres
circonstances le NIDS identifie correctement un motif de trafic particulier qui correspond agrave
une signature mais la structure srsquoavegravere en fait normale pour lorganisation en question
Donneacutees des journaux trop importantes Un NIDS doit geacuteneacuterer des journaux de compte-
rendu drsquoactiviteacute anormale ou douteuse sur le reacuteseau Les responsables de la seacutecuriteacute doivent
passer du temps agrave examiner ces journaux pour deacuteterminer ce qui srsquoest passeacute et les actions agrave
entreprendre
Difficulteacutes de deacuteploiement Les solutions NIDS doivent ecirctre placeacutees agrave toutes les entreacutees des
systegravemes et serveurs de lrsquoentreprise ecirctre correctement configureacutees et reacuteguliegraverement mises agrave
jour Mais plus le niveau des menaces augmente plus le deacuteploiement des IDS prend de
lrsquoampleur et on constate que la quantiteacute dheure neacutecessaire pour analyser les logs et pour
reacutepondre aux incidents (geacuterer et reacuteparer) devient trop importante
Les solutions traditionnelles comme le firewall et les anti-virus ne peuvent pas faire face agrave la
nouvelle geacuteneacuteration de menaces Une solution qui protegravege les informations au moment
opportun sans attendre une nouvelle creacuteation et distribution de signatures est neacutecessaire
III-2 IPS
Les solutions de preacutevention dintrusion sont mises en place pour traiter
- Les applications non deacutesireacutees les attaques cheval de Troie contre les reacuteseaux priveacutes et
les applications en utilisant des regravegles deacuteterministes et des listes de controcircle daccegraves
Chapitre 2
- Les attaques DoS ou DDoS comme les SYN et ICMP Flooding en utilisant un
algorithme de filtrage agrave seuil
- Les abus drsquoapplication et les manipulations de protocole -attaques connues et inconnues
contre HTTP ftp DNS smtp etc- en utilisant des regravegles de protocole dapplication et des
signatures
- Les attaques de surcharge ou drsquoabus dapplication en utilisant des limites de
consommation de ressource baseacutees sur des seuils
Ces systegravemes possegravedent les avantages suivants
Blocage rapide des intrusions Un eacuteveacutenement drsquointrusion est le deacutebut drsquoun processus
drsquoatteinte aux ressources informatiques drsquoune entreprise sans parler des responsabiliteacutes
juridiques potentielles En intervenant degraves la deacutetection un IPS bloque rapidement lrsquointrusion
et minimise la dureacutee totale avant que le reacuteseau ne revienne agrave la normale
Deacutetection preacutecise et fiable A lrsquoaide de plusieurs meacutethodes de deacutetection et en tirant parti de
sa position en ligne lrsquoIPS peut deacutetecter les attaques et intrusions avec une preacutecision et une
fiabiliteacute supeacuterieures
Moins deacutependant des signatures et davantage des meacutethodes intelligentes de deacutetection lrsquoIPS
geacutenegravere beaucoup moins de fausses alarmes Ainsi le temps et les efforts de lrsquoentreprise sont
exclusivement concentreacutes sur les veacuteritables menaces
Preacutevention active Alors qursquoun NIDS avertit simplement de la preacutesence drsquoun trafic suspect
ou anormal un IPS peut lancer divers meacutecanismes de reacuteaction
Le tableau suivant reacutesume les diffeacuterentes caracteacuteristiques drsquoun IPS et drsquoun IDS
Chapitre 2
Deacutetection drsquointrusion Preacutevention drsquointrusion
HIDS
Pour
- Peut deacutetecter lutilisation drsquoun systegraveme qui
viole la politique de seacutecuriteacute de lrsquoentreprise
- Peut alerter sur des changements au niveau
du systegraveme tels qursquoune importante
modification de fichier
Contre
- Le coucirct du deacuteploiement et de la gestion est
eacuteleveacute puisque chaque hocircte doit ecirctre eacutequipeacute et
une politique doit ecirctre deacuteveloppeacutee
- La plupart des fabricants de HIDS ne
construisent pas un produit destineacute aux
postes de travail ainsi seuls les serveurs sont
proteacutegeacutes
- La deacutetection est geacuteneacuteralement a posteriori
dans la courbe de reacuteponse Une deacutetection
reacuteussie vient dune tentative reacuteussie dattaque
HIPS
Pour
- Assure une protection contre les attaques
inconnues
- Exige peu ou aucune mise agrave jour de seacutecuriteacute
dans une peacuteriode annuelle
- Empecircche les attaques de sexeacutecuter sur une
machine au niveau noyau plutocirct que de
deacutetecter les reacutesultats dune attaque reacuteussie
Contre
- Le coucirct de tout le systegraveme peut ecirctre eacuteleveacute
puisquun agent est neacutecessaire pour chaque
serveur etou poste de travail critique
- Le temps de deacuteploiement afin drsquoeacutequiper
chaque serveurposte de travail peut ecirctre
long
- Le produit neacutecessite un ajustement apregraves
linstallation initiale pour ecirctre un outil de
seacutecuriteacute parfaitement fonctionnel
- Peut arrecircter des applications leacutegitimes en
cas de mauvais ajustement De nouvelles
applications ont peut-ecirctre besoin drsquoecirctre
examineacutees par les HIPS avant quelles soient
deacuteployeacutees
Chapitre 2
NIDS
Pour
- Les systegravemes baseacutes sur la deacutetection
drsquoanomalie peuvent deacutetecter une attaque
mecircme sur les systegravemes qui emploient le
cryptage (ils ne voient pas les exploits ils
voient la circulation anormale reacutesultant dune
attaque reacuteussie)
- Lrsquoobservation du trafic avec un systegraveme
baseacute sur des regravegles peut aider agrave imposer une
utilisation du reacuteseau en respectant la
politique de lrsquoentreprise
Contre
- Le coucirct du facteur humain est eacuteleveacute pour
surveiller les eacuteveacutenements et pour reacutepondre
aux incidents
- Agrave moins quun plan de reacuteponse ne soit
conccedilu et mis en place lrsquoIDS fournit peu ou
aucune seacutecuriteacute
- Un deacuteploiement reacuteussi demande un
important ajustement de lrsquoIDS pour reacuteduire
au minimum les faux positifs
NIPS
Pour
- Peut arrecircter la propagation des vers si
deacuteployeacute correctement sans arrecircter le trafic
- Protegravege contre de nouvelles attaques avant
que le code dexploit soit sorti (dans la
plupart des cas)
- Reacuteduira le coucirct de la reacuteponse aux incidents
(puisque la plupart des reacuteponses aux
incidents sont automatiques)
Contre
- Le coucirct du deacuteploiement NIPS au sein dun
reacuteseau peut ecirctre important
- Puisque les NIPS sont un dispositif inteacutegreacute
au reacuteseau ils creacuteent un point de deacutefaillance
bien quil y ait des meacutethodes pour traiter ce
problegraveme Lapproche la plus commune est
dajouter des eacuteleacutements redondants sachant
que tout le trafic de reacuteseau traverse le NIPS
- Un NIPS neacutecessite toujours des mises agrave jour
de seacutecuriteacute pour ecirctre vraiment efficace
Chapitre 2
IV - La protection par preacutevention
Lrsquoobjectif principal de cette partie est de preacutesenter un moyen de protection contre les attaques
au niveau du protocole applicatif
On distingue deux types drsquoattaques applicatives
- Les attaques qui ne respectent pas le protocole applicatif qui enfreignent les regravegles lieacutees
agrave ce protocole ou qui se caracteacuterisent par un usage laquoanormalraquo de celui-ci
- Les attaques qui respectent le protocole applicatif et qui ne peuvent donc pas ecirctre
deacutetecteacutees par une analyse protocolaire
Lrsquoanalyse protocolaire appeleacutee aussi deacutetection drsquoanomalie de protocole est justement la
technique de preacutevention drsquointrusion utiliseacutee dans le cadre de ce travail Il srsquoagit drsquoune analyse
des paquets circulant sur le reacuteseau ayant pour but de deacutecoder le protocole applicatif utiliseacute et
de controcircler la conformiteacute de lrsquoutilisation de la RFC Le systegraveme de preacutevention effectue ce
qursquoon appelle une analyse applicative laquotemps reacuteelraquo En effet le flux est recomposeacute et analyseacute
laquoagrave la voleacuteeraquo Cette analyse nrsquoest plus faite dans une application qui srsquoexeacutecute au-dessus du
systegraveme drsquoexploitation mais directement dans le noyau du systegraveme drsquoexploitation
Cette technique possegravede lrsquoavantage drsquoecirctre une technique proactive4 Elle permet de bloquer
des attaques non connues simplement parce qursquoelles deacuterogent agrave la RFC Mais crsquoest une
technique non geacuteneacuterique qui nrsquoest efficace que pour le protocole analyseacute
La protection par lrsquoIPS est une solution destineacutee agrave toutes les entreprises qui ont deacuteployeacute un
service de VoIP comme montre la figure suivante
Figure IV-1 - Reacuteseaux dentreprise avec un service de teacuteleacutephonie IP
------------------------------------------------------------
4 Qui fonctionne de maniegravere dynamique par anticipation
Chapitre 2
Le reacuteseau drsquoentreprise est en geacuteneacuteral constitueacute de deux sections le reacuteseau interne (LAN) et la
zone deacutemilitariseacutee (DMZ) La DMZ est connecteacutee au reacuteseau public agrave travers le firewall
externe et comporte diffeacuterents serveurs accessibles depuis lrsquoexteacuterieur tels que le serveur web
e-mail DNS (Domain Name Server) etc Le reacuteseau interne est connecteacute agrave la DMZ par un
autre firewall
Chaque dispositif de seacutecuriteacute est utiliseacute dans le but de se proteacuteger drsquoune menace particuliegravere
De plus ils possegravedent tous un point faible Ainsi crsquoest seulement en combinant les diffeacuterentes
techniques qursquoon arrive reacuteellement agrave une protection optimale Les firewalls sont la barriegravere de
trafic ils laissent passer ou non les trafics entrant selon leur politique Les IDS sont le
moniteur de trafic ils observent lrsquoactiviteacute du reacuteseau et consignent ce qui est suspect Ils
peuvent deacutetecter les menaces qui ont pu eacutechapper au firewall et les notifient Les IPS
fournissent les mesures preacuteventives et les commandes utiles pour combattre de nouvelles
menaces
IV-1 LrsquoIPS par Snort Inline
Ce travail impleacutemente un NIDS en ligne (Inline NIDS) meacutethode choisie pour la reacutealisation
de lrsquoIPS
Qursquoest-ce qui a motiveacute ce choix
Lrsquoobjectif eacutetait de reacutealiser un IPS pour le protocole SIP en respectant dans la mesure du
possible les impeacuteratifs
bull Ne pas toucher la topologie du reacuteseau existant
bull Inteacutegrer une solution totalement transparente crsquoest-agrave-dire ne rien toucher au systegraveme de
protection deacutejagrave deacuteployeacute
bull Avoir une solution la moins coucircteuse possible
Le dernier point conduit tout de suite agrave une solution open source Il existe dans le domaine des
logiciels libres un IPS Snort Inline qui est une version modifieacutee du ceacutelegravebre IDS Snort Celui-
ci constituera la base de lrsquoIPS SIP
Des fonctionnaliteacutes permettant drsquoinspecter le trafic SIP lui seront ajouteacutees
Chapitre 2
IV-1-1 Bregraveve preacutesentation de Snort Inline
Snort Inline est un systegraveme de preacutevention drsquointrusion Il exploite toutes les fonctionnaliteacutes
drsquoorigine de Snort telles que le deacutecodage le reacuteassemblage des paquetshellip Il utilise eacutegalement
les mecircmes composants que Snort tels que les preacuteprocesseurs de flux Par contre Snort Inline
utilise iptables et ip_queue5 pour lrsquoacquisition et le transfert des paquets
Iptables est configureacute comme un firewall normal Il prend tous les paquets entrants et les
transmet agrave Snort Inline Ce dernier a un moteur de deacutetection dintrusion inteacutegreacute qui analyse les
paquets reccedilus et transmet uniquement les paquets jugeacutes non hostiles au reacuteseau interne
Lrsquohocircte Snort Inline doit reacutesider entre la source et la destination des paquets pour que tout le
trafic passe par lrsquoordinateur qui heacuteberge Snort Inline
IV-1-2 Les composants
En geacuteneacuteral Snort Inline est diviseacute en plusieurs composants
bull Deacutecodeur de paquet (Packet decoder)
bull Preacuteprocesseurs (Preprocessors)
bull Moteur de deacutetection (Detection Engine)
bull Systegraveme dalerte et denregistrement de log (Logging and Alerting System)
Et eacuteventuellement des Modules de sortie (Output Module)
Ces composants travaillent ensemble pour deacutetecter des attaques particuliegraveres La figure
suivante montre comment ces composants sont organiseacutes
-----------------------------------------
5 Ip_queue est un module du noyau responsable de passer les paquets depuis le target QUEUE dans lespace noyau pour une application qui se trouve dans lespace utilisateur
Chapitre 2
Figure IV-2- Les diffeacuterents composants de Snort Inline
Chaque paquet de donneacutees passe par le deacutecodeur de paquet Sur son chemin vers les modules
de sortie il est soit rejeteacute soit logueacute
IV-1-2-1 Le deacutecodeur de paquet
Le deacutecodeur de paquet reacutecupegravere les paquets des diffeacuterentes interfaces reacuteseaux et les preacutepare
pour passer dans le preacuteprocesseur ou pour ecirctre envoyeacutes au moteur de deacutetection Les interfaces
peuvent ecirctre Ethernet SLIP (Serial Line Internet Protocol) PPP (Point to Point Protocol)hellip
Le deacutecodeur de paquet se compose drsquoune seacuterie de deacutecodeurs speacutecialiseacutes chacun dans un
eacuteleacutement de protocole speacutecifique
Figure IV-3 - Deacutecodeur de paquet
Chapitre 2
Le deacutecodeur de paquet transforme les eacuteleacutements du protocole (par exemple les entecirctes LLC
Ethernet IP TCP UDP hellip) speacutecifiques en une structure de donneacutees interne
IV-1-2-2 Les preacuteprocesseurs
Les preacuteprocesseurs sont des composants ou plug-ins Ils peuvent ecirctre utiliseacutes avec Snort Inline
pour laquoarrangerraquo ou laquomodifierraquo les paquets avant que le moteur de deacutetection ne fasse ses
opeacuterations pour deacutecouvrir si le paquet est utiliseacute par un intrus Certains preacuteprocesseurs
effectuent eacutegalement une deacutetection pour trouver des anomalies dans les entecirctes de paquet et
produisent des alertes ou des logs
IV-1-2-3 Le moteur de deacutetection
Le moteur de deacutetection est la partie la plus importante Son rocircle est de deacutetecter srsquoil existe une
activiteacute dintrusion possible dans un paquet Le moteur de deacutetection utilise des regravegles dans ce
but Les regravegles sont lues dans les structures ou les chaicircnes de donneacutees internes ougrave elles sont
associeacutees avec chaque paquet Si un paquet correspond agrave une des regravegles une action approprieacutee
est effectueacutee Le paquet est par exemple rejeteacute et un log est noteacute
IV-1-3- Les modes
LrsquoIPS peut ecirctre deacuteployeacute en deux modes
IV-1-3-1 Mode NAT
En mode NAT le reacuteseau est diviseacute en deux parties la partie publique et la partie priveacutee Le
cocircteacute public du reacuteseau est seacutepareacute du cocircteacute priveacute par lIPS LIPS exeacutecute la configuration NAT il
eacutetablit une correspondance de toutes les adresses publiques agrave son interface publique Ensuite il
les traduit agrave leurs adresses priveacutees correspondantes
IV-1-3- 2 Mode Bridge
En mode bridge lIPS agit en tant que pont entre le reacuteseau public et le reacuteseau priveacute Le mode
pont est furtif En effet le dispositif devient non deacutetectable puisqursquoil ne possegravede pas drsquoadresse
IP Il est donc plus sucircr ce qui en fait le mode recommandeacute
Chapitre 2
IV-1-4- Les regravegles
Snort Inline est eacutequipeacute de reacuteponses de preacutevention des intrusions qui prennent la forme
drsquoactions de regravegles classiques
IV-1-4- 1 Drop
La regravegle drop indiquera agrave iptables de rejeter le paquet et drsquoenvoyer un TCP reset si le
protocole est TCP ou un ICMP port unreachable si le protocole est UDP et de loguer le
paquet par lintermeacutediaire des moyens habituels de Snort
Figure IV-4 - Snort Inline drop mode
Quand des paquets sont lus par Snort Inline dans le target QUEUE drsquoiptables les meta-
donneacutees etou la charge utile (payload) du paquet sont compareacutees agrave lensemble des regravegles de
Snort Inline Si le paquet a eacuteteacute identifieacute comme eacutetant un paquet malveillant contenant un
certain type de signature dexploit Snort Inline deacutetermine ce quil va devenir Il se base sur les
regravegles preacutedeacutefinies pour prendre sa deacutecision Si on a deacutefini des regravegles drop alors le paquet sera
rejeteacute Cette deacutecision est passeacutee agrave iptables qui va la mettre en oeuvre
IV-1-4- 2 Sdrop
La regravegle sdrop indiquera agrave iptables de rejeter le paquet et drsquoenvoyer un reset mais aucun log
nrsquoest eacutecrit
Chapitre 2
Il existe deux options sur la faccedilon drsquoenvoyer un reset
bull On peut toujours utiliser un raw socket6 crsquoest le comportement par deacutefaut de Snort Inline
Dans ce cas on doit avoir une interface qui possegravede une adresse IP assigneacutee Sil ny a pas
une interface avec une adresse IP valide avec accegraves agrave la source du paquet le paquet sera
logueacute mais le reset ne sera jamais envoyeacute sur le reacuteseau
bull On peut eacutegalement effectuer des resets par lintermeacutediaire dun dispositif physique en
utilisant iptables On utilise le nom INDEV fourni par ip_queue comme interface sur
laquelle on envoie le reset Il nrsquoest plus neacutecessaire qursquoune adresse IP soit preacutesente sur le
pont il demeure donc furtif
------------------------------------------6 Un raw socket est un socket avec un pouvoir laquosupeacuterieurraquo il permet deacutecrire ou de lire des paquets sur une interface reacuteseau avec les paramegravetres souhaiteacutes cest-agrave-dire quil aura la possibiliteacute de modifier lentecircte dun paquet pour ensuite lenvoyer avec les options de ce mecircme entecircte modifieacutees (adresse IP source flag TCP etc)
Chapitre 2
mode espion1 ceci garantit un fonctionnement en mode furtif qui lui permet de lire et analyser
tous les paquets qui passent par ce lien
La force des NIDS est qursquoils voient tous les paquets passant par un point donneacute du reacuteseau Ces
paquets sont souvent le meilleur diagnostic des attaques Cependant les NIDS possegravedent
certaines vulneacuterabiliteacutes inquieacutetantes
Angles morts Suivant ougrave sont situeacutes les NIDS dans le reacuteseau certaines situations induisent
des angles morts ougrave ils ne peuvent pas laquovoirraquo les paquets Par exemple si seuls les NIDS
situeacutes entre le firewall et lrsquoInternet sont utiliseacutes le reacuteseau interne entier est un gigantesque
angle mort
Donneacutees chiffreacutees De mecircme que les firewalls les NIDS ne peuvent pas lire les donneacutees
chiffreacutees Ils peuvent scanner les parties non chiffreacutees (en geacuteneacuteral entecircte IP ajouteacute) drsquoun
paquet chiffreacute mais cela ne fournit que des informations limiteacutees
I12 Host IDS
Le HIDS reacuteside sur un hocircte particulier et est installeacute comme un agent Il se comporte comme un
deacutemon (daemon) ou un service standard sur un systegraveme hocircte Traditionnellement le HIDS
analyse des informations particuliegraveres dans les fichiers de log pour deacutetecter nrsquoimporte quelle
activiteacute drsquointrus Ce systegraveme de deacutetection capture aussi les paquets reacuteseaux entrantsortant de
lrsquohocircte pour y deacuteceler des signes drsquointrusions et alerte quand quelque chose srsquoest produit
Les HIDS sont inteacuteressants car mecircme si lrsquoordinateur est situeacute dans un angle mort du reacuteseau ils
peuvent recueillir les donneacutees le concernant
De plus seules les donneacutees relatives agrave lrsquoordinateur sur lequel le HIDS est installeacute sont recueillies
ce qui simplifie lrsquoanalyse
Les HIDS ont deux faiblesses principales En premier lieu ils ont une vision limiteacutee de ce qui se
passe sur le reacuteseau Cette vision limiteacutee qui leur permet drsquoecirctre speacutecifiques les empecircche drsquoavoir
une vision drsquoensemble
---------------------------------
1 Une carte reacuteseau peut ecirctre mise en mode espion pour recevoir tout le trafic qui est envoyeacute sur le segment de reacuteseau sur laquelle elle se trouve Cela permet de renifler (sniff) ce qui se passe sur le reacuteseau Si la carte reacuteseau nest pas en mode espion elle rejette tout le trafic qui ne lui est pas destineacute
Chapitre 2
En second lieu les HIDS peuvent ecirctre victimes drsquoattaques Srsquoils sont situeacutes sur lrsquoordinateur
compromis par lrsquoattaquant leurs fichiers peuvent ecirctre effaceacutes ou modifieacutes
I2 Les techniques de deacutetection
Les systegravemes de deacutetection dintrusion se divisent en deux principales cateacutegories les systegravemes de
deacutetection baseacutes sur la signature et les systegravemes de deacutetection danomalie
En effet les intrus ont des signatures comme les virus qui peuvent ecirctre deacutetecteacutees par des
logiciels adeacutequats Il faut essayer de trouver tous les paquets de donneacutees qui contiennent les
signatures ou anomalies connues lieacutees aux intrusions ou au protocole Internet Baseacute sur un
ensemble de signatures et de regravegles le systegraveme de deacutetection peut trouver et loguer lactiviteacute
suspecte et produire des alertes Les IDS neacutecessitent des mises agrave jour de signatures pour deacutetecter
les nouveaux types dattaques
La deacutetection dintrusion baseacutee sur la deacutetection danomalie consiste agrave comparer les scheacutemas
drsquoeacuteveacutenements en cours pris dans leur ensemble aux scheacutemas drsquoeacuteveacutenements habituels pris dans
leur ensemble Il est par exemple utiles drsquoanalyser de pregraves des situations comme multiples eacutechecs
de connexion utilisateur acceacutedant agrave des fichiers systegravemes critiques modification des fichiers
exeacutecutables Cette meacutethode est puissante car elle permet drsquoidentifier des attaques inhabituelles
Cependant il est difficile de distinguer ce qui est normal de ce qui ne lrsquoest pas car les scheacutemas
drsquoactiviteacutes varient largement drsquoun systegraveme reacuteel agrave un autre
Habituellement un systegraveme de deacutetection dintrusion capture des donneacutees du reacuteseau et applique ses
regravegles agrave ces donneacutees ou deacutetecte des anomalies
I3 Les diffeacuterentes actions des IDS
Les IDS peuvent deacuteclencher des alarmes automatiques et proposer un dispositif drsquoanalyse
interactive afin drsquoaider lrsquoadministrateur de la seacutecuriteacute agrave identifier des motifs dans les journaux
Les principales meacutethodes utiliseacutees pour signaler les intrusions sont les suivantes
- Envoi drsquoun e-mail agrave un ou plusieurs utilisateurs pour notifier drsquoune intrusion seacuterieuse
- Journalisation (log) de lrsquoattaque sauvegarde des deacutetails de lrsquoalerte dans une base de donneacutees
centrale comme par exemple des informations telles que lrsquoadresse IP de lrsquointrus adresse IP de la
cible protocole utiliseacute
Chapitre 2
- Sauvegarde des paquets suspects sauvegarde de lrsquoensemble des paquets reacuteseaux captureacutes etou
uniquement les paquets qui ont deacuteclencheacute une alerte
- Deacutemarrage drsquoune application lancement dun programme exteacuterieur pour exeacutecuter une action
speacutecifique (envoi drsquoun message sms eacutemission drsquoune alerte auditivehellip)
- Notification visuelle de lrsquoalerte affichage de lrsquoalerte dans une ou plusieurs console(s) de
management
De nombreux IDS peuvent effectuer des actions limiteacutees dans le cas de certains scheacutemas
drsquoeacuteveacutenements sans intervention humaine Le plus souvent les NIDS utilisent cette capaciteacute pour
deacutejouer des attaques de deacuteni de service Si lrsquoattaque provient drsquoune adresse IP unique par
exemple il est possible de bloquer cette adresse automatiquement De leur cocircteacute les HIDS
peuvent empecirccher les utilisateurs drsquoaccomplir certaines actions
Cependant les actions automatiseacutees doivent ecirctre extrecircmement limiteacutees car la plupart des scheacutemas
indiquent uniquement des activiteacutes suspectes et non des actions assureacutement malveillantes
I4 Ougrave placer lrsquoIDS dans une topologie reacuteseau
Selon la topologie reacuteseau on peut placer des systegravemes de deacutetection dintrusion agrave un ou plusieurs
endroits Ceci deacutependent eacutegalement de quels types dactiviteacutes dintrusion on souhaite deacutetecter
interne externe ou les deux Par exemple si lrsquoentreprise veut uniquement deacutetecter les activiteacutes
dintrusion externes et qursquoil y a seulement un routeur relieacute agrave Internet le meilleur endroit pour un
systegraveme de deacutetection dintrusion peut ecirctre juste apregraves le routeur ou le firewall Srsquoil a plusieurs
connections agrave Internet on peut placer un IDS agrave chaque point dentreacutee
Cependant si on veut eacutegalement deacutetecter les menaces internes on peut placer un IDS dans chaque
segment de reacuteseau
Dans de nombreux cas il nrsquoest pas neacutecessaire davoir un IDS dans tous les segments de reacuteseau et
on peut se limiter seulement aux secteurs sensibles du reacuteseau Notez que plus il y a de systegravemes
de deacutetection dintrusion plus il y a de travail et plus il y a de coucircts dentretien La figure suivante
montre les endroits typiques ougrave on peut placer un systegraveme de deacutetection dintrusion
Chapitre 2
Figure I1-Endroits typiques pour un IDS reacuteseau (NIDS)
1048766 Location 1 dans la zone deacutemilitariseacutee (DMZ) Voir les attaques qui visent surtout les
serveurs de services de lrsquoentreprise
1048766 Location 2 entre le firewall externe et lrsquoInternet Permet drsquoanalyser au mieux les
attaques lanceacutees contre lrsquoentreprise
1048766 Location 3 agrave chaque segment du reacuteseau LrsquoIDS situeacute agrave cet endroit se concentre plus
sur les charges intrusives plus dangereuses qui passent agrave travers le firewall
1048766 Location 4 plus pregraves des sous-reacuteseaux sensibles permet de deacutetecter les attaques
visant des ressources ou des systegravemes critiques Par exemple des serveurs de comptes
sensibles
Une nouvelle famille drsquooutils de seacutecuriteacute est apparue sur le reacuteseau les systegravemes de preacutevention
des intrusions (IPS Intrusion Prevention System)
Chapitre 2
II- Systegraveme de Preacutevention drsquointrusionUn systegraveme de preacutevention drsquointrusion est un dispositif (mateacuteriel ou logiciel) capable de
deacutetecter des attaques connues et inconnues et de les empecirccher decirctre reacuteussies
Un IPS nrsquoest pas un observateur il fait partie inteacutegrante du reacuteseau Il est placeacute en ligne et
examine tous les paquets entrants ou sortants LrsquoIPS a eacuteteacute deacuteveloppeacute de maniegravere agrave prendre les
mesures neacutecessaires pour contrer les intrusions deacutetectables avec preacutecision Il surveille le trafic
et intervient activement par limitation ou suppression du trafic jugeacute hostile par interruption
des sessions suspectes ou par drsquoautres mesures en reacuteaction agrave une attaque Il reacutealise un
ensemble drsquoanalyses de deacutetection non seulement sur chaque paquet individuel mais
eacutegalement sur les motifs du reacuteseau en visualisant chaque transaction dans le contexte de
celles qui preacuteceacutedent ou qui suivent
En geacuteneacuteral les quatre modules principaux qui composent un IPS sont
- Normalisation du trafic (Traffic normalizer)
- Scanner de service (Service scanner)
- Moteur de deacutetection (Detection engine)
- Traffic shaper
Le traffic normalizer surveille le trafic analyse les paquets et exeacutecute les mesures de base
contre les attaques comme le blocage drsquoadresse IP Le trafic analyseacute est ensuite passeacute au
moteur de deacutetection et au scanner de service Ce dernier construit une table de reacutefeacuterence
classifiant les informations afin drsquoaider le traffic shaper agrave mieux geacuterer le flux de ces
informations Le moteur de deacutetection compare les scheacutemas drsquoeacuteveacutenements en cours avec ceux
contenus dans la table de reacutefeacuterence
II1 Les Types drsquoIPS
Il existe actuellement deux cateacutegories de produit IPS
Les NIPS (Network Intrusion Prevention System) un logiciel ou un mateacuteriel deacutedieacute connecteacute
directement agrave un segment du reacuteseau et qui protegravege tous les systegravemes rattacheacutes agrave ce segment
Les HIPS (Host Intrusion Prevention System) un programme systegraveme installeacute directement sur
lrsquoordinateur agrave proteacuteger
Chapitre 2
II11 Network IPS
Le Network IPS (NIPS) combine les caracteacuteristiques drsquoun IDS standard et drsquoun firewall Il est
parfois qualifieacute comme eacutetant la prochaine geacuteneacuteration de firewall le firewall agrave laquoinspection en
profondeur (deep inspection)raquo
Comme avec un firewall le NIPS a au moins deux interfaces reacuteseau une interne et une
externe Les paquets arrivent agrave lune ou lautre des deux interfaces puis sont passeacutes au moteur
de deacutetection Jusqursquoici lrsquoIPS fonctionne comme un IDS crsquoest-agrave-dire qursquoil deacutetermine si oui ou
non le paquet est malveillant Cependant sil en deacutetecte en plus de deacuteclencher une alerte il
rejettera le paquet et marquera cette session laquosuspecteraquo
Quand les paquets restants qui composent cette session particuliegravere arriveront agrave lrsquoIPS ils
seront jeteacutes immeacutediatement Les paquets propres sont passeacutes agrave travers la deuxiegraveme interface
pour atteindre leur destination preacutevue
Les NIPS sont deacuteployeacutes en ligne avec le segment du reacuteseau agrave proteacuteger De ce fait toutes les
donneacutees qui circulent entre le segment proteacutegeacute et le reste du reacuteseau doivent passer par le
NIPS Degraves quun paquet suspect est deacutetecteacute - et avant quil soit passeacute agrave linterface interne et au
reacuteseau proteacutegeacute- il peut ecirctre rejeteacute En plus de cela au moment ougrave la session a eacuteteacute marqueacutee
comme laquosuspecteraquo tous les paquets suivants qui font partie de cette session peuvent ecirctre
eacutegalement rejeteacute avec un eacuteventuel traitement additionnel Quelques produits envoient par
exemple un Reset TCP ou un message ICMP Unreachable agrave la machine attaquante
Comme le trafic traverse lrsquoIPS il est inspecteacute pour veacuterifier la preacutesence dune attaque Le NIPS
peut employer lrsquoapproche de deacutetection baseacutee sur les signatures drsquoattaque Une diffeacuterence
principale cependant est qursquoil emploie des signatures qui sont baseacutees sur des vulneacuterabiliteacutes et
non pas sur les exploits2 En utilisant des signatures sur des vulneacuterabiliteacutes le NIPS peut
ajouter une protection (promettante) avant que des exploits reacuteels ne soient libeacutereacutes dans la
nature
Un NIPS deacuteclenche tout comme un NIDS des alarmes face aux attaques mais le contenu de
lrsquoalarme est diffeacuterent Crsquoest plutocirct une notification indiquant laquotel ou tel trafic a eacuteteacute deacutetecteacute en
train dessayer dattaquer ce systegraveme et a eacuteteacute bloqueacuteraquo
----------------------------------
2 Un exploit tire profit dune faiblesse dans un systegraveme afin de lentailler Les exploits sont la racine de la culture dintrus
Chapitre 2
Est-ce quavec des alarmes de ce type une intervention humaine est neacutecessaire
Dans un environnement ougrave la seacutecuriteacute est primordiale la reacuteponse est plutocirct oui Une
intervention humaine est neacutecessaire pour veacuterifier lrsquointervention automatiseacutee et aussi pour
recueillir les indices de sorte quils puissent ecirctre employeacutes pour se proteacuteger contre de futures
attaques ou pour identifier une plus grande menace
Dans la plupart des environnements ougrave la seacutecuriteacute est un souci et non pas une prioriteacute aucune
intervention humaine nrsquoest vraiment neacutecessaire
Les avantages drsquoun network IPS
- Un seul point de controcircle pour le trafic peut proteacuteger des milliers de systegravemes situeacutes en
aval du dispositif Ceci permet agrave une organisation de mesurer sa solution rapidement et de
fournir la flexibiliteacute requise pour reacutepondre aux changements constants de larchitecture reacuteseau
- Le deacuteploiement devient facile car un seul dispositif IPS peut proteacuteger des centaines de
systegravemes
- Il fournit une vue plus large de lenvironnement de menaces telles que les balayages
sondeshellip Avoir une vision strateacutegique de lenvironnement de menaces permet agrave la gestion de
seacutecuriteacute de sadapter agrave un changement de perspective
- Il protegravege les autres dispositifs du reacuteseau toutes les attaques ne sont pas dirigeacutees que contre
les systegravemes doteacutes drsquoun systegraveme dexploitation Par exemple les routeurs firewalls
concentrateurs VPN serveurs drsquoimprimantes etc sont tous vulneacuterables et exigent une
protection
- Il protegravege des attaques reacuteseaux DoS DDos SYN flood etc Travailler au niveau du reacuteseau
permet agrave un NIPS de proteacuteger contre ces types dattaques
II12 Host IPS
Le HIPS est un programme qui reacuteside sur un systegraveme tel que serveurs postes de travail ou
portables
Le trafic venant ou sortant de ce systegraveme particulier est inspecteacute et les activiteacutes au niveau des
applications et du systegraveme dexploitation peuvent ecirctre examineacutees afin de trouver des signes
dune attaque Un HIPS peut deacutetecter les attaques qui visent la machine et arrecircter le processus
malveillant avant quil ne sexeacutecute On peut donc consideacuterer le HIPS comme eacutetant plus un
moniteur de systegraveme drsquoexploitation ou moniteur drsquoapplication
Le HIPS nexige plus quun service geacutenegravere une notation deacuteveacutenement (event log) ou des
changements dans des fichiers systegravemes avant drsquoagir Crsquoest la nouveauteacute de cet outil
Chapitre 2
Quand une attaque est deacutetecteacutee le logiciel bloque lattaque soit au niveau de lrsquointerface
reacuteseau soit en envoyant des commandes agrave lapplication ou au systegraveme dexploitation darrecircter
lrsquoaction lanceacutee par lattaque
La meacutethode de deacutetection varie selon le fabricant mais la plus utiliseacutee est lrsquoapproche baseacutee sur
des regravegles
Un HIPS possegravede une liste preacutedeacutefinie de regravegle eacutetablie par le fabriquant et livreacutee avec le
produit Ces regravegles savent comment un systegraveme dexploitation ou une application devrait se
laquocomporterraquo Si lapplication initie une action suspecte une des regravegles est deacuteclencheacutee et le
processus est tueacute avant mecircme quil ait pu nuire au systegraveme
Par exemple les attaques par buffer overflow peuvent ecirctre empecirccheacutees en interdisant
lexeacutecution du programme malveillant inseacutereacute dans lespace adresse exploiteacute par lattaque Ou
encore les tentatives dinstallation de back door via une application comme Internet Explorer
sont bloqueacutes en arrecirctant et en refusant la commande write file commande provenant de lrsquoIE
Drsquoautres systegravemes HIPS emploient lrsquoapproche ldquosurveillancerdquo ou ldquoobservationrdquo Un agent
HIPS tourne sur la machine et se concentre sur les eacuteveacutenements drsquoun systegraveme drsquoexploitation en
observant tous les appels systegraveme les entreacutees de la base de registre et les services des
communications
Enfin lapproche hybride est aussi utiliseacutee Un HIPS hybride peut employer une combinaison
de regravegles controcircle de lrsquoactiviteacute des applications et les signatures pour deacutetecter une attaque
Lavantage principal de ce type de systegravemes est la capaciteacute didentifier absolument les attaques
connues
Les systegravemes baseacutes sur les regravegles ou ceux qui adoptent lrsquoapproche laquosurveillanceraquo peuvent ne
deacutecouvrir que les actions suspectes actions qui sont arrecircteacutees bien-sucircr
Les avantages drsquoun Host IPS
Un logiciel installeacute directement sur le systegraveme le protegravege contre une attaque mais en plus le
protegravege des reacutesultats dune attaque en empecircchant un programme drsquoeacutecrire dans un fichier ou
un utilisateur drsquoaugmenter son privilegravege etchellip
- Protegravege les systegravemes mobiles contre lattaque quand ils sont hors du reacuteseau proteacutegeacute Les
ordinateurs portables sont le vecteur principal de vers dans un reacuteseau proteacutegeacute Installer un
NIPS avec un systegraveme mobile nest pas une solution pratique
- Protegravege des attaques locales le personnel avec un accegraves physique agrave un systegraveme peut lancer
des attaques locales en exeacutecutant des programmes introduits par une disquette ou un CD etc
Chapitre 2
Ces attaques se concentrent souvent sur lrsquoaugmentation des privilegraveges de lutilisateur en root
ou administrator afin de compromettre facilement dautres systegravemes dans le reacuteseau
- Garantir une laquoderniegravere ligne de deacutefenseraquo contre les attaques qui ont pu se soustraire agrave
dautres outils de seacutecuriteacute Un potentiel systegraveme victime lui-mecircme est un dernier point de
deacutefense disponible pour lrsquoadministrateur de la seacutecuriteacute afin de se proteacuteger des violations du
systegraveme
- Empecircche lattaque interne ou labus des dispositifs situeacutes sur le mecircme segment du reacuteseau le
NIPS assure uniquement une protection des donneacutees qui se deacuteplacent entre diffeacuterents
segments Les attaques lanceacutees entre les systegravemes situeacutes sur le mecircme segment ne peuvent ecirctre
contreacutees qursquoavec le HIPS
- Protegravege des attaques chiffreacutees quand le flux de donneacutees chiffreacutees srsquoarrecircte au systegraveme
proteacutegeacute Le HIPS examine ces donneacutees etou le comportement apregraves que ces donneacutees chiffreacutees
ont eacuteteacute deacutechiffreacutees sur le systegraveme
- Indeacutependant de larchitecture reacuteseau
Comme le HIPS intercepte toutes les requecirctes destineacutees au systegraveme quil protegravege il doit
respecter une certaine condition preacutealable il doit ecirctre tregraves fiable ne doit pas avoir un impact
neacutegatif sur la performance du systegraveme et ne doit pas bloquer le trafic reconnu comme
leacutegitime
II2 Les techniques de deacutetection
La premiegravere eacutetape pour arrecircter les attaques et eacuteviter les intrusions consiste agrave les deacutetecter
Plusieurs meacutethodes de deacutetection sont applicables
1) Lrsquoanalyse de protocole crsquoest une deacutetection drsquoanomalie de protocole LrsquoIPS controcircle la
conformiteacute agrave la norme du protocole donneacute Avec cette meacutethode la recherche drsquoune activiteacute
drsquointrusion est plus cibleacutee et donc plus efficace
2) Correspondance de motifs (pattern matching) le trafic est scruteacute pour deacuteterminer les
signatures des motifs drsquoattaque connus Le systegraveme analyse chaque paquet Cette meacutethode
peut ecirctre stateful crsquoest-agrave-dire que le systegraveme examine le contexte et lrsquoemplacement de la
signature LrsquoIPS conserve la trace de lrsquoeacutetat de connexion avec lrsquoentiteacute exteacuterieure et eacutevaluera le
contexte plus large de toutes les transactions eacutetablies au cours de la connexion Cette meacutethode
ne permet de deacutetecter que les attaques connues et seulement si la liste des signatures
drsquoattaques est reacuteguliegraverement actualiseacutee
Chapitre 2
3) Comportementale deacutetection baseacutee sur le comportement (behaviour based detection) LrsquoIPS
tente de deacutecouvrir des activiteacutes laquoanormalesraquo en observant le comportement du systegraveme et des
utilisateurs Apregraves une phase drsquoapprentissage lrsquoIPS dispose drsquoun modegravele du laquocomportement
normalraquo du systegraveme et de ses utilisateurs SI lrsquoIPS constate que lrsquoactiviteacute courante srsquoeacuteloigne
trop du comportement normal il prenne une mesure Cette meacutethode a lrsquoavantage de pouvoir
deacutetecter des tentatives drsquoexploitation de vulneacuterabiliteacutes jusque lagrave inconnues
II3 Ougrave placer lrsquoIPS dans une topologie reacuteseau
Figure II-1 ndash Endroits typiques pour un IPS reacuteseau (NIPS)
1 Derriegravere le firewall peacuterimegravetre de reacuteseau et la fin de tout reacuteseau VPN
2 Entre le firewall peacuterimegravetre de reacuteseau et les serveurs placeacutes dans la DMZ tels que le serveur
web et les serveurs de-mailhellip
3 Devant les serveurs internes critiques tels que les serveurs dapplication
4 Devant les principaux workgroups drsquoun deacutepartement
44 Les diffeacuterentes faccedilons de reacutealiser un IPS
Il existe 5 diffeacuterentes faccedilons de reacutealiser un systegraveme de preacutevention drsquointrusion agrave savoir le
NIDS en ligne (inline NIDS) les firewallsIDS applicatifs (application-based firewallsIDS)
les commutateurs de la couche 7 (layer 7 switches) les IDS reacuteseaux applicatifs (network-
based application IDSs) et les applications trompeuses (deceptive applications)
Chapitre 2
III ndash La diffeacuterence entre la Deacutetection et la Preacutevention
Un IDS (reacuteseau) et un IPS (reacuteseau) se diffegraverent principalement par 2 caracteacuteristiques
- Le positionnement sur le reacuteseau (traditionnellement lrsquoIDS est positionneacute comme un sniffer)
- La possibiliteacute de bloquer immeacutediatement les intrusions et ce quel que soit le type de
protocole de transport utiliseacute sans reconfiguration drsquoun eacutequipement tiers LrsquoIPS est constitueacute
drsquoune technique de filtrage de paquets et de moyens de blocage (drop connection drop
offending packets block intruder hellip)
Mais on peut eacutegalement ajouter le deacuteterminisme Les IDS peuvent (et devraient) utiliser des
meacutethodes non deacuteterministes pour laquopreacutedireraquo toute sorte de menace ou une menace potentielle
du trafic existant Ces meacutethodes se composent de lanalyse statistique du volume de trafic des
modegraveles de trafic et des activiteacutes anormales Mais tout ceci nrsquoest destineacute qursquoagrave celui qui veut
savoir ce qui se passe sur son reacuteseau et rien de plus En revanche un IPS doit ecirctre
deacuteterministe ndash juste exact - dans toutes ses deacutecisions afin dexeacutecuter sa fonction de
laquonettoyeurraquo de trafic Un dispositif IPS nest pas censeacute prendre des risques ou reacuteagir avec une
certaine technique dlaquointuitionraquo Il est supposeacute fonctionner tout le temps faire un controcircle
drsquoaccegraves du reacuteseau et prendre des deacutecisions Les firewalls ont fourni la premiegravere approche
deacuteterministe du controcircle daccegraves du reacuteseau
III-1 IDS
Les systegravemes de deacutetection dintrusion ont eacuteteacute deacuteveloppeacutes pour identifier le trafic hostile et
envoyer des alertes Ils ne font rien pour arrecircter une attaque Ils sont deacuteployeacutes hors ligne et
possegravedent lrsquoavantage de ne pas pouvoir causer eux-mecircmes de panne de reacuteseau
La nature passive drsquoun IDS le positionne bien pour identifier
- Les attaques connues par lintermeacutediaire des signatures et des regravegles
- Les variations de volume et de direction de trafic en utilisant des regravegles complexes et une
analyse statistique
- Les variations de modegravele de trafic de communication en utilisant lanalyse des flux
Chapitre 2
- La deacutetection dune activiteacute suspecte en utilisant lanalyse de flux les techniques
statistiques et la deacutetection danomalie
Mais cette passiviteacute ne donne pas que des avantages On reproche eacutegalement agrave un IDS
Deacutetection uniquement sans preacutevention Comme ils sont placeacutes en dehors du reacuteseau les
NIDS peuvent difficilement avoir une incidence sur le trafic Les NIDS sont geacuteneacuteralement
impuissants pour arrecircter ou mecircme contrer une attaque en cours
Dureacutee de reacutecupeacuteration du systegraveme importante La neacutecessiteacute drsquoune intervention manuelle
de mecircme que la quantiteacute consideacuterable de donneacutees agrave scruter entraicircne une reacuteaction lente face agrave
une attaque ou une intrusion
Fausses alarmes Les NIDS confondent parfois un trafic inoffensif avec une attaque ce sont
les laquofaux positifsraquo Ces erreurs demandent souvent un temps consideacuterable pour controcircler les
paquets en question et deacuteterminer que le systegraveme NIDS srsquoest trompeacute Dans drsquoautres
circonstances le NIDS identifie correctement un motif de trafic particulier qui correspond agrave
une signature mais la structure srsquoavegravere en fait normale pour lorganisation en question
Donneacutees des journaux trop importantes Un NIDS doit geacuteneacuterer des journaux de compte-
rendu drsquoactiviteacute anormale ou douteuse sur le reacuteseau Les responsables de la seacutecuriteacute doivent
passer du temps agrave examiner ces journaux pour deacuteterminer ce qui srsquoest passeacute et les actions agrave
entreprendre
Difficulteacutes de deacuteploiement Les solutions NIDS doivent ecirctre placeacutees agrave toutes les entreacutees des
systegravemes et serveurs de lrsquoentreprise ecirctre correctement configureacutees et reacuteguliegraverement mises agrave
jour Mais plus le niveau des menaces augmente plus le deacuteploiement des IDS prend de
lrsquoampleur et on constate que la quantiteacute dheure neacutecessaire pour analyser les logs et pour
reacutepondre aux incidents (geacuterer et reacuteparer) devient trop importante
Les solutions traditionnelles comme le firewall et les anti-virus ne peuvent pas faire face agrave la
nouvelle geacuteneacuteration de menaces Une solution qui protegravege les informations au moment
opportun sans attendre une nouvelle creacuteation et distribution de signatures est neacutecessaire
III-2 IPS
Les solutions de preacutevention dintrusion sont mises en place pour traiter
- Les applications non deacutesireacutees les attaques cheval de Troie contre les reacuteseaux priveacutes et
les applications en utilisant des regravegles deacuteterministes et des listes de controcircle daccegraves
Chapitre 2
- Les attaques DoS ou DDoS comme les SYN et ICMP Flooding en utilisant un
algorithme de filtrage agrave seuil
- Les abus drsquoapplication et les manipulations de protocole -attaques connues et inconnues
contre HTTP ftp DNS smtp etc- en utilisant des regravegles de protocole dapplication et des
signatures
- Les attaques de surcharge ou drsquoabus dapplication en utilisant des limites de
consommation de ressource baseacutees sur des seuils
Ces systegravemes possegravedent les avantages suivants
Blocage rapide des intrusions Un eacuteveacutenement drsquointrusion est le deacutebut drsquoun processus
drsquoatteinte aux ressources informatiques drsquoune entreprise sans parler des responsabiliteacutes
juridiques potentielles En intervenant degraves la deacutetection un IPS bloque rapidement lrsquointrusion
et minimise la dureacutee totale avant que le reacuteseau ne revienne agrave la normale
Deacutetection preacutecise et fiable A lrsquoaide de plusieurs meacutethodes de deacutetection et en tirant parti de
sa position en ligne lrsquoIPS peut deacutetecter les attaques et intrusions avec une preacutecision et une
fiabiliteacute supeacuterieures
Moins deacutependant des signatures et davantage des meacutethodes intelligentes de deacutetection lrsquoIPS
geacutenegravere beaucoup moins de fausses alarmes Ainsi le temps et les efforts de lrsquoentreprise sont
exclusivement concentreacutes sur les veacuteritables menaces
Preacutevention active Alors qursquoun NIDS avertit simplement de la preacutesence drsquoun trafic suspect
ou anormal un IPS peut lancer divers meacutecanismes de reacuteaction
Le tableau suivant reacutesume les diffeacuterentes caracteacuteristiques drsquoun IPS et drsquoun IDS
Chapitre 2
Deacutetection drsquointrusion Preacutevention drsquointrusion
HIDS
Pour
- Peut deacutetecter lutilisation drsquoun systegraveme qui
viole la politique de seacutecuriteacute de lrsquoentreprise
- Peut alerter sur des changements au niveau
du systegraveme tels qursquoune importante
modification de fichier
Contre
- Le coucirct du deacuteploiement et de la gestion est
eacuteleveacute puisque chaque hocircte doit ecirctre eacutequipeacute et
une politique doit ecirctre deacuteveloppeacutee
- La plupart des fabricants de HIDS ne
construisent pas un produit destineacute aux
postes de travail ainsi seuls les serveurs sont
proteacutegeacutes
- La deacutetection est geacuteneacuteralement a posteriori
dans la courbe de reacuteponse Une deacutetection
reacuteussie vient dune tentative reacuteussie dattaque
HIPS
Pour
- Assure une protection contre les attaques
inconnues
- Exige peu ou aucune mise agrave jour de seacutecuriteacute
dans une peacuteriode annuelle
- Empecircche les attaques de sexeacutecuter sur une
machine au niveau noyau plutocirct que de
deacutetecter les reacutesultats dune attaque reacuteussie
Contre
- Le coucirct de tout le systegraveme peut ecirctre eacuteleveacute
puisquun agent est neacutecessaire pour chaque
serveur etou poste de travail critique
- Le temps de deacuteploiement afin drsquoeacutequiper
chaque serveurposte de travail peut ecirctre
long
- Le produit neacutecessite un ajustement apregraves
linstallation initiale pour ecirctre un outil de
seacutecuriteacute parfaitement fonctionnel
- Peut arrecircter des applications leacutegitimes en
cas de mauvais ajustement De nouvelles
applications ont peut-ecirctre besoin drsquoecirctre
examineacutees par les HIPS avant quelles soient
deacuteployeacutees
Chapitre 2
NIDS
Pour
- Les systegravemes baseacutes sur la deacutetection
drsquoanomalie peuvent deacutetecter une attaque
mecircme sur les systegravemes qui emploient le
cryptage (ils ne voient pas les exploits ils
voient la circulation anormale reacutesultant dune
attaque reacuteussie)
- Lrsquoobservation du trafic avec un systegraveme
baseacute sur des regravegles peut aider agrave imposer une
utilisation du reacuteseau en respectant la
politique de lrsquoentreprise
Contre
- Le coucirct du facteur humain est eacuteleveacute pour
surveiller les eacuteveacutenements et pour reacutepondre
aux incidents
- Agrave moins quun plan de reacuteponse ne soit
conccedilu et mis en place lrsquoIDS fournit peu ou
aucune seacutecuriteacute
- Un deacuteploiement reacuteussi demande un
important ajustement de lrsquoIDS pour reacuteduire
au minimum les faux positifs
NIPS
Pour
- Peut arrecircter la propagation des vers si
deacuteployeacute correctement sans arrecircter le trafic
- Protegravege contre de nouvelles attaques avant
que le code dexploit soit sorti (dans la
plupart des cas)
- Reacuteduira le coucirct de la reacuteponse aux incidents
(puisque la plupart des reacuteponses aux
incidents sont automatiques)
Contre
- Le coucirct du deacuteploiement NIPS au sein dun
reacuteseau peut ecirctre important
- Puisque les NIPS sont un dispositif inteacutegreacute
au reacuteseau ils creacuteent un point de deacutefaillance
bien quil y ait des meacutethodes pour traiter ce
problegraveme Lapproche la plus commune est
dajouter des eacuteleacutements redondants sachant
que tout le trafic de reacuteseau traverse le NIPS
- Un NIPS neacutecessite toujours des mises agrave jour
de seacutecuriteacute pour ecirctre vraiment efficace
Chapitre 2
IV - La protection par preacutevention
Lrsquoobjectif principal de cette partie est de preacutesenter un moyen de protection contre les attaques
au niveau du protocole applicatif
On distingue deux types drsquoattaques applicatives
- Les attaques qui ne respectent pas le protocole applicatif qui enfreignent les regravegles lieacutees
agrave ce protocole ou qui se caracteacuterisent par un usage laquoanormalraquo de celui-ci
- Les attaques qui respectent le protocole applicatif et qui ne peuvent donc pas ecirctre
deacutetecteacutees par une analyse protocolaire
Lrsquoanalyse protocolaire appeleacutee aussi deacutetection drsquoanomalie de protocole est justement la
technique de preacutevention drsquointrusion utiliseacutee dans le cadre de ce travail Il srsquoagit drsquoune analyse
des paquets circulant sur le reacuteseau ayant pour but de deacutecoder le protocole applicatif utiliseacute et
de controcircler la conformiteacute de lrsquoutilisation de la RFC Le systegraveme de preacutevention effectue ce
qursquoon appelle une analyse applicative laquotemps reacuteelraquo En effet le flux est recomposeacute et analyseacute
laquoagrave la voleacuteeraquo Cette analyse nrsquoest plus faite dans une application qui srsquoexeacutecute au-dessus du
systegraveme drsquoexploitation mais directement dans le noyau du systegraveme drsquoexploitation
Cette technique possegravede lrsquoavantage drsquoecirctre une technique proactive4 Elle permet de bloquer
des attaques non connues simplement parce qursquoelles deacuterogent agrave la RFC Mais crsquoest une
technique non geacuteneacuterique qui nrsquoest efficace que pour le protocole analyseacute
La protection par lrsquoIPS est une solution destineacutee agrave toutes les entreprises qui ont deacuteployeacute un
service de VoIP comme montre la figure suivante
Figure IV-1 - Reacuteseaux dentreprise avec un service de teacuteleacutephonie IP
------------------------------------------------------------
4 Qui fonctionne de maniegravere dynamique par anticipation
Chapitre 2
Le reacuteseau drsquoentreprise est en geacuteneacuteral constitueacute de deux sections le reacuteseau interne (LAN) et la
zone deacutemilitariseacutee (DMZ) La DMZ est connecteacutee au reacuteseau public agrave travers le firewall
externe et comporte diffeacuterents serveurs accessibles depuis lrsquoexteacuterieur tels que le serveur web
e-mail DNS (Domain Name Server) etc Le reacuteseau interne est connecteacute agrave la DMZ par un
autre firewall
Chaque dispositif de seacutecuriteacute est utiliseacute dans le but de se proteacuteger drsquoune menace particuliegravere
De plus ils possegravedent tous un point faible Ainsi crsquoest seulement en combinant les diffeacuterentes
techniques qursquoon arrive reacuteellement agrave une protection optimale Les firewalls sont la barriegravere de
trafic ils laissent passer ou non les trafics entrant selon leur politique Les IDS sont le
moniteur de trafic ils observent lrsquoactiviteacute du reacuteseau et consignent ce qui est suspect Ils
peuvent deacutetecter les menaces qui ont pu eacutechapper au firewall et les notifient Les IPS
fournissent les mesures preacuteventives et les commandes utiles pour combattre de nouvelles
menaces
IV-1 LrsquoIPS par Snort Inline
Ce travail impleacutemente un NIDS en ligne (Inline NIDS) meacutethode choisie pour la reacutealisation
de lrsquoIPS
Qursquoest-ce qui a motiveacute ce choix
Lrsquoobjectif eacutetait de reacutealiser un IPS pour le protocole SIP en respectant dans la mesure du
possible les impeacuteratifs
bull Ne pas toucher la topologie du reacuteseau existant
bull Inteacutegrer une solution totalement transparente crsquoest-agrave-dire ne rien toucher au systegraveme de
protection deacutejagrave deacuteployeacute
bull Avoir une solution la moins coucircteuse possible
Le dernier point conduit tout de suite agrave une solution open source Il existe dans le domaine des
logiciels libres un IPS Snort Inline qui est une version modifieacutee du ceacutelegravebre IDS Snort Celui-
ci constituera la base de lrsquoIPS SIP
Des fonctionnaliteacutes permettant drsquoinspecter le trafic SIP lui seront ajouteacutees
Chapitre 2
IV-1-1 Bregraveve preacutesentation de Snort Inline
Snort Inline est un systegraveme de preacutevention drsquointrusion Il exploite toutes les fonctionnaliteacutes
drsquoorigine de Snort telles que le deacutecodage le reacuteassemblage des paquetshellip Il utilise eacutegalement
les mecircmes composants que Snort tels que les preacuteprocesseurs de flux Par contre Snort Inline
utilise iptables et ip_queue5 pour lrsquoacquisition et le transfert des paquets
Iptables est configureacute comme un firewall normal Il prend tous les paquets entrants et les
transmet agrave Snort Inline Ce dernier a un moteur de deacutetection dintrusion inteacutegreacute qui analyse les
paquets reccedilus et transmet uniquement les paquets jugeacutes non hostiles au reacuteseau interne
Lrsquohocircte Snort Inline doit reacutesider entre la source et la destination des paquets pour que tout le
trafic passe par lrsquoordinateur qui heacuteberge Snort Inline
IV-1-2 Les composants
En geacuteneacuteral Snort Inline est diviseacute en plusieurs composants
bull Deacutecodeur de paquet (Packet decoder)
bull Preacuteprocesseurs (Preprocessors)
bull Moteur de deacutetection (Detection Engine)
bull Systegraveme dalerte et denregistrement de log (Logging and Alerting System)
Et eacuteventuellement des Modules de sortie (Output Module)
Ces composants travaillent ensemble pour deacutetecter des attaques particuliegraveres La figure
suivante montre comment ces composants sont organiseacutes
-----------------------------------------
5 Ip_queue est un module du noyau responsable de passer les paquets depuis le target QUEUE dans lespace noyau pour une application qui se trouve dans lespace utilisateur
Chapitre 2
Figure IV-2- Les diffeacuterents composants de Snort Inline
Chaque paquet de donneacutees passe par le deacutecodeur de paquet Sur son chemin vers les modules
de sortie il est soit rejeteacute soit logueacute
IV-1-2-1 Le deacutecodeur de paquet
Le deacutecodeur de paquet reacutecupegravere les paquets des diffeacuterentes interfaces reacuteseaux et les preacutepare
pour passer dans le preacuteprocesseur ou pour ecirctre envoyeacutes au moteur de deacutetection Les interfaces
peuvent ecirctre Ethernet SLIP (Serial Line Internet Protocol) PPP (Point to Point Protocol)hellip
Le deacutecodeur de paquet se compose drsquoune seacuterie de deacutecodeurs speacutecialiseacutes chacun dans un
eacuteleacutement de protocole speacutecifique
Figure IV-3 - Deacutecodeur de paquet
Chapitre 2
Le deacutecodeur de paquet transforme les eacuteleacutements du protocole (par exemple les entecirctes LLC
Ethernet IP TCP UDP hellip) speacutecifiques en une structure de donneacutees interne
IV-1-2-2 Les preacuteprocesseurs
Les preacuteprocesseurs sont des composants ou plug-ins Ils peuvent ecirctre utiliseacutes avec Snort Inline
pour laquoarrangerraquo ou laquomodifierraquo les paquets avant que le moteur de deacutetection ne fasse ses
opeacuterations pour deacutecouvrir si le paquet est utiliseacute par un intrus Certains preacuteprocesseurs
effectuent eacutegalement une deacutetection pour trouver des anomalies dans les entecirctes de paquet et
produisent des alertes ou des logs
IV-1-2-3 Le moteur de deacutetection
Le moteur de deacutetection est la partie la plus importante Son rocircle est de deacutetecter srsquoil existe une
activiteacute dintrusion possible dans un paquet Le moteur de deacutetection utilise des regravegles dans ce
but Les regravegles sont lues dans les structures ou les chaicircnes de donneacutees internes ougrave elles sont
associeacutees avec chaque paquet Si un paquet correspond agrave une des regravegles une action approprieacutee
est effectueacutee Le paquet est par exemple rejeteacute et un log est noteacute
IV-1-3- Les modes
LrsquoIPS peut ecirctre deacuteployeacute en deux modes
IV-1-3-1 Mode NAT
En mode NAT le reacuteseau est diviseacute en deux parties la partie publique et la partie priveacutee Le
cocircteacute public du reacuteseau est seacutepareacute du cocircteacute priveacute par lIPS LIPS exeacutecute la configuration NAT il
eacutetablit une correspondance de toutes les adresses publiques agrave son interface publique Ensuite il
les traduit agrave leurs adresses priveacutees correspondantes
IV-1-3- 2 Mode Bridge
En mode bridge lIPS agit en tant que pont entre le reacuteseau public et le reacuteseau priveacute Le mode
pont est furtif En effet le dispositif devient non deacutetectable puisqursquoil ne possegravede pas drsquoadresse
IP Il est donc plus sucircr ce qui en fait le mode recommandeacute
Chapitre 2
IV-1-4- Les regravegles
Snort Inline est eacutequipeacute de reacuteponses de preacutevention des intrusions qui prennent la forme
drsquoactions de regravegles classiques
IV-1-4- 1 Drop
La regravegle drop indiquera agrave iptables de rejeter le paquet et drsquoenvoyer un TCP reset si le
protocole est TCP ou un ICMP port unreachable si le protocole est UDP et de loguer le
paquet par lintermeacutediaire des moyens habituels de Snort
Figure IV-4 - Snort Inline drop mode
Quand des paquets sont lus par Snort Inline dans le target QUEUE drsquoiptables les meta-
donneacutees etou la charge utile (payload) du paquet sont compareacutees agrave lensemble des regravegles de
Snort Inline Si le paquet a eacuteteacute identifieacute comme eacutetant un paquet malveillant contenant un
certain type de signature dexploit Snort Inline deacutetermine ce quil va devenir Il se base sur les
regravegles preacutedeacutefinies pour prendre sa deacutecision Si on a deacutefini des regravegles drop alors le paquet sera
rejeteacute Cette deacutecision est passeacutee agrave iptables qui va la mettre en oeuvre
IV-1-4- 2 Sdrop
La regravegle sdrop indiquera agrave iptables de rejeter le paquet et drsquoenvoyer un reset mais aucun log
nrsquoest eacutecrit
Chapitre 2
Il existe deux options sur la faccedilon drsquoenvoyer un reset
bull On peut toujours utiliser un raw socket6 crsquoest le comportement par deacutefaut de Snort Inline
Dans ce cas on doit avoir une interface qui possegravede une adresse IP assigneacutee Sil ny a pas
une interface avec une adresse IP valide avec accegraves agrave la source du paquet le paquet sera
logueacute mais le reset ne sera jamais envoyeacute sur le reacuteseau
bull On peut eacutegalement effectuer des resets par lintermeacutediaire dun dispositif physique en
utilisant iptables On utilise le nom INDEV fourni par ip_queue comme interface sur
laquelle on envoie le reset Il nrsquoest plus neacutecessaire qursquoune adresse IP soit preacutesente sur le
pont il demeure donc furtif
------------------------------------------6 Un raw socket est un socket avec un pouvoir laquosupeacuterieurraquo il permet deacutecrire ou de lire des paquets sur une interface reacuteseau avec les paramegravetres souhaiteacutes cest-agrave-dire quil aura la possibiliteacute de modifier lentecircte dun paquet pour ensuite lenvoyer avec les options de ce mecircme entecircte modifieacutees (adresse IP source flag TCP etc)
Chapitre 2
En second lieu les HIDS peuvent ecirctre victimes drsquoattaques Srsquoils sont situeacutes sur lrsquoordinateur
compromis par lrsquoattaquant leurs fichiers peuvent ecirctre effaceacutes ou modifieacutes
I2 Les techniques de deacutetection
Les systegravemes de deacutetection dintrusion se divisent en deux principales cateacutegories les systegravemes de
deacutetection baseacutes sur la signature et les systegravemes de deacutetection danomalie
En effet les intrus ont des signatures comme les virus qui peuvent ecirctre deacutetecteacutees par des
logiciels adeacutequats Il faut essayer de trouver tous les paquets de donneacutees qui contiennent les
signatures ou anomalies connues lieacutees aux intrusions ou au protocole Internet Baseacute sur un
ensemble de signatures et de regravegles le systegraveme de deacutetection peut trouver et loguer lactiviteacute
suspecte et produire des alertes Les IDS neacutecessitent des mises agrave jour de signatures pour deacutetecter
les nouveaux types dattaques
La deacutetection dintrusion baseacutee sur la deacutetection danomalie consiste agrave comparer les scheacutemas
drsquoeacuteveacutenements en cours pris dans leur ensemble aux scheacutemas drsquoeacuteveacutenements habituels pris dans
leur ensemble Il est par exemple utiles drsquoanalyser de pregraves des situations comme multiples eacutechecs
de connexion utilisateur acceacutedant agrave des fichiers systegravemes critiques modification des fichiers
exeacutecutables Cette meacutethode est puissante car elle permet drsquoidentifier des attaques inhabituelles
Cependant il est difficile de distinguer ce qui est normal de ce qui ne lrsquoest pas car les scheacutemas
drsquoactiviteacutes varient largement drsquoun systegraveme reacuteel agrave un autre
Habituellement un systegraveme de deacutetection dintrusion capture des donneacutees du reacuteseau et applique ses
regravegles agrave ces donneacutees ou deacutetecte des anomalies
I3 Les diffeacuterentes actions des IDS
Les IDS peuvent deacuteclencher des alarmes automatiques et proposer un dispositif drsquoanalyse
interactive afin drsquoaider lrsquoadministrateur de la seacutecuriteacute agrave identifier des motifs dans les journaux
Les principales meacutethodes utiliseacutees pour signaler les intrusions sont les suivantes
- Envoi drsquoun e-mail agrave un ou plusieurs utilisateurs pour notifier drsquoune intrusion seacuterieuse
- Journalisation (log) de lrsquoattaque sauvegarde des deacutetails de lrsquoalerte dans une base de donneacutees
centrale comme par exemple des informations telles que lrsquoadresse IP de lrsquointrus adresse IP de la
cible protocole utiliseacute
Chapitre 2
- Sauvegarde des paquets suspects sauvegarde de lrsquoensemble des paquets reacuteseaux captureacutes etou
uniquement les paquets qui ont deacuteclencheacute une alerte
- Deacutemarrage drsquoune application lancement dun programme exteacuterieur pour exeacutecuter une action
speacutecifique (envoi drsquoun message sms eacutemission drsquoune alerte auditivehellip)
- Notification visuelle de lrsquoalerte affichage de lrsquoalerte dans une ou plusieurs console(s) de
management
De nombreux IDS peuvent effectuer des actions limiteacutees dans le cas de certains scheacutemas
drsquoeacuteveacutenements sans intervention humaine Le plus souvent les NIDS utilisent cette capaciteacute pour
deacutejouer des attaques de deacuteni de service Si lrsquoattaque provient drsquoune adresse IP unique par
exemple il est possible de bloquer cette adresse automatiquement De leur cocircteacute les HIDS
peuvent empecirccher les utilisateurs drsquoaccomplir certaines actions
Cependant les actions automatiseacutees doivent ecirctre extrecircmement limiteacutees car la plupart des scheacutemas
indiquent uniquement des activiteacutes suspectes et non des actions assureacutement malveillantes
I4 Ougrave placer lrsquoIDS dans une topologie reacuteseau
Selon la topologie reacuteseau on peut placer des systegravemes de deacutetection dintrusion agrave un ou plusieurs
endroits Ceci deacutependent eacutegalement de quels types dactiviteacutes dintrusion on souhaite deacutetecter
interne externe ou les deux Par exemple si lrsquoentreprise veut uniquement deacutetecter les activiteacutes
dintrusion externes et qursquoil y a seulement un routeur relieacute agrave Internet le meilleur endroit pour un
systegraveme de deacutetection dintrusion peut ecirctre juste apregraves le routeur ou le firewall Srsquoil a plusieurs
connections agrave Internet on peut placer un IDS agrave chaque point dentreacutee
Cependant si on veut eacutegalement deacutetecter les menaces internes on peut placer un IDS dans chaque
segment de reacuteseau
Dans de nombreux cas il nrsquoest pas neacutecessaire davoir un IDS dans tous les segments de reacuteseau et
on peut se limiter seulement aux secteurs sensibles du reacuteseau Notez que plus il y a de systegravemes
de deacutetection dintrusion plus il y a de travail et plus il y a de coucircts dentretien La figure suivante
montre les endroits typiques ougrave on peut placer un systegraveme de deacutetection dintrusion
Chapitre 2
Figure I1-Endroits typiques pour un IDS reacuteseau (NIDS)
1048766 Location 1 dans la zone deacutemilitariseacutee (DMZ) Voir les attaques qui visent surtout les
serveurs de services de lrsquoentreprise
1048766 Location 2 entre le firewall externe et lrsquoInternet Permet drsquoanalyser au mieux les
attaques lanceacutees contre lrsquoentreprise
1048766 Location 3 agrave chaque segment du reacuteseau LrsquoIDS situeacute agrave cet endroit se concentre plus
sur les charges intrusives plus dangereuses qui passent agrave travers le firewall
1048766 Location 4 plus pregraves des sous-reacuteseaux sensibles permet de deacutetecter les attaques
visant des ressources ou des systegravemes critiques Par exemple des serveurs de comptes
sensibles
Une nouvelle famille drsquooutils de seacutecuriteacute est apparue sur le reacuteseau les systegravemes de preacutevention
des intrusions (IPS Intrusion Prevention System)
Chapitre 2
II- Systegraveme de Preacutevention drsquointrusionUn systegraveme de preacutevention drsquointrusion est un dispositif (mateacuteriel ou logiciel) capable de
deacutetecter des attaques connues et inconnues et de les empecirccher decirctre reacuteussies
Un IPS nrsquoest pas un observateur il fait partie inteacutegrante du reacuteseau Il est placeacute en ligne et
examine tous les paquets entrants ou sortants LrsquoIPS a eacuteteacute deacuteveloppeacute de maniegravere agrave prendre les
mesures neacutecessaires pour contrer les intrusions deacutetectables avec preacutecision Il surveille le trafic
et intervient activement par limitation ou suppression du trafic jugeacute hostile par interruption
des sessions suspectes ou par drsquoautres mesures en reacuteaction agrave une attaque Il reacutealise un
ensemble drsquoanalyses de deacutetection non seulement sur chaque paquet individuel mais
eacutegalement sur les motifs du reacuteseau en visualisant chaque transaction dans le contexte de
celles qui preacuteceacutedent ou qui suivent
En geacuteneacuteral les quatre modules principaux qui composent un IPS sont
- Normalisation du trafic (Traffic normalizer)
- Scanner de service (Service scanner)
- Moteur de deacutetection (Detection engine)
- Traffic shaper
Le traffic normalizer surveille le trafic analyse les paquets et exeacutecute les mesures de base
contre les attaques comme le blocage drsquoadresse IP Le trafic analyseacute est ensuite passeacute au
moteur de deacutetection et au scanner de service Ce dernier construit une table de reacutefeacuterence
classifiant les informations afin drsquoaider le traffic shaper agrave mieux geacuterer le flux de ces
informations Le moteur de deacutetection compare les scheacutemas drsquoeacuteveacutenements en cours avec ceux
contenus dans la table de reacutefeacuterence
II1 Les Types drsquoIPS
Il existe actuellement deux cateacutegories de produit IPS
Les NIPS (Network Intrusion Prevention System) un logiciel ou un mateacuteriel deacutedieacute connecteacute
directement agrave un segment du reacuteseau et qui protegravege tous les systegravemes rattacheacutes agrave ce segment
Les HIPS (Host Intrusion Prevention System) un programme systegraveme installeacute directement sur
lrsquoordinateur agrave proteacuteger
Chapitre 2
II11 Network IPS
Le Network IPS (NIPS) combine les caracteacuteristiques drsquoun IDS standard et drsquoun firewall Il est
parfois qualifieacute comme eacutetant la prochaine geacuteneacuteration de firewall le firewall agrave laquoinspection en
profondeur (deep inspection)raquo
Comme avec un firewall le NIPS a au moins deux interfaces reacuteseau une interne et une
externe Les paquets arrivent agrave lune ou lautre des deux interfaces puis sont passeacutes au moteur
de deacutetection Jusqursquoici lrsquoIPS fonctionne comme un IDS crsquoest-agrave-dire qursquoil deacutetermine si oui ou
non le paquet est malveillant Cependant sil en deacutetecte en plus de deacuteclencher une alerte il
rejettera le paquet et marquera cette session laquosuspecteraquo
Quand les paquets restants qui composent cette session particuliegravere arriveront agrave lrsquoIPS ils
seront jeteacutes immeacutediatement Les paquets propres sont passeacutes agrave travers la deuxiegraveme interface
pour atteindre leur destination preacutevue
Les NIPS sont deacuteployeacutes en ligne avec le segment du reacuteseau agrave proteacuteger De ce fait toutes les
donneacutees qui circulent entre le segment proteacutegeacute et le reste du reacuteseau doivent passer par le
NIPS Degraves quun paquet suspect est deacutetecteacute - et avant quil soit passeacute agrave linterface interne et au
reacuteseau proteacutegeacute- il peut ecirctre rejeteacute En plus de cela au moment ougrave la session a eacuteteacute marqueacutee
comme laquosuspecteraquo tous les paquets suivants qui font partie de cette session peuvent ecirctre
eacutegalement rejeteacute avec un eacuteventuel traitement additionnel Quelques produits envoient par
exemple un Reset TCP ou un message ICMP Unreachable agrave la machine attaquante
Comme le trafic traverse lrsquoIPS il est inspecteacute pour veacuterifier la preacutesence dune attaque Le NIPS
peut employer lrsquoapproche de deacutetection baseacutee sur les signatures drsquoattaque Une diffeacuterence
principale cependant est qursquoil emploie des signatures qui sont baseacutees sur des vulneacuterabiliteacutes et
non pas sur les exploits2 En utilisant des signatures sur des vulneacuterabiliteacutes le NIPS peut
ajouter une protection (promettante) avant que des exploits reacuteels ne soient libeacutereacutes dans la
nature
Un NIPS deacuteclenche tout comme un NIDS des alarmes face aux attaques mais le contenu de
lrsquoalarme est diffeacuterent Crsquoest plutocirct une notification indiquant laquotel ou tel trafic a eacuteteacute deacutetecteacute en
train dessayer dattaquer ce systegraveme et a eacuteteacute bloqueacuteraquo
----------------------------------
2 Un exploit tire profit dune faiblesse dans un systegraveme afin de lentailler Les exploits sont la racine de la culture dintrus
Chapitre 2
Est-ce quavec des alarmes de ce type une intervention humaine est neacutecessaire
Dans un environnement ougrave la seacutecuriteacute est primordiale la reacuteponse est plutocirct oui Une
intervention humaine est neacutecessaire pour veacuterifier lrsquointervention automatiseacutee et aussi pour
recueillir les indices de sorte quils puissent ecirctre employeacutes pour se proteacuteger contre de futures
attaques ou pour identifier une plus grande menace
Dans la plupart des environnements ougrave la seacutecuriteacute est un souci et non pas une prioriteacute aucune
intervention humaine nrsquoest vraiment neacutecessaire
Les avantages drsquoun network IPS
- Un seul point de controcircle pour le trafic peut proteacuteger des milliers de systegravemes situeacutes en
aval du dispositif Ceci permet agrave une organisation de mesurer sa solution rapidement et de
fournir la flexibiliteacute requise pour reacutepondre aux changements constants de larchitecture reacuteseau
- Le deacuteploiement devient facile car un seul dispositif IPS peut proteacuteger des centaines de
systegravemes
- Il fournit une vue plus large de lenvironnement de menaces telles que les balayages
sondeshellip Avoir une vision strateacutegique de lenvironnement de menaces permet agrave la gestion de
seacutecuriteacute de sadapter agrave un changement de perspective
- Il protegravege les autres dispositifs du reacuteseau toutes les attaques ne sont pas dirigeacutees que contre
les systegravemes doteacutes drsquoun systegraveme dexploitation Par exemple les routeurs firewalls
concentrateurs VPN serveurs drsquoimprimantes etc sont tous vulneacuterables et exigent une
protection
- Il protegravege des attaques reacuteseaux DoS DDos SYN flood etc Travailler au niveau du reacuteseau
permet agrave un NIPS de proteacuteger contre ces types dattaques
II12 Host IPS
Le HIPS est un programme qui reacuteside sur un systegraveme tel que serveurs postes de travail ou
portables
Le trafic venant ou sortant de ce systegraveme particulier est inspecteacute et les activiteacutes au niveau des
applications et du systegraveme dexploitation peuvent ecirctre examineacutees afin de trouver des signes
dune attaque Un HIPS peut deacutetecter les attaques qui visent la machine et arrecircter le processus
malveillant avant quil ne sexeacutecute On peut donc consideacuterer le HIPS comme eacutetant plus un
moniteur de systegraveme drsquoexploitation ou moniteur drsquoapplication
Le HIPS nexige plus quun service geacutenegravere une notation deacuteveacutenement (event log) ou des
changements dans des fichiers systegravemes avant drsquoagir Crsquoest la nouveauteacute de cet outil
Chapitre 2
Quand une attaque est deacutetecteacutee le logiciel bloque lattaque soit au niveau de lrsquointerface
reacuteseau soit en envoyant des commandes agrave lapplication ou au systegraveme dexploitation darrecircter
lrsquoaction lanceacutee par lattaque
La meacutethode de deacutetection varie selon le fabricant mais la plus utiliseacutee est lrsquoapproche baseacutee sur
des regravegles
Un HIPS possegravede une liste preacutedeacutefinie de regravegle eacutetablie par le fabriquant et livreacutee avec le
produit Ces regravegles savent comment un systegraveme dexploitation ou une application devrait se
laquocomporterraquo Si lapplication initie une action suspecte une des regravegles est deacuteclencheacutee et le
processus est tueacute avant mecircme quil ait pu nuire au systegraveme
Par exemple les attaques par buffer overflow peuvent ecirctre empecirccheacutees en interdisant
lexeacutecution du programme malveillant inseacutereacute dans lespace adresse exploiteacute par lattaque Ou
encore les tentatives dinstallation de back door via une application comme Internet Explorer
sont bloqueacutes en arrecirctant et en refusant la commande write file commande provenant de lrsquoIE
Drsquoautres systegravemes HIPS emploient lrsquoapproche ldquosurveillancerdquo ou ldquoobservationrdquo Un agent
HIPS tourne sur la machine et se concentre sur les eacuteveacutenements drsquoun systegraveme drsquoexploitation en
observant tous les appels systegraveme les entreacutees de la base de registre et les services des
communications
Enfin lapproche hybride est aussi utiliseacutee Un HIPS hybride peut employer une combinaison
de regravegles controcircle de lrsquoactiviteacute des applications et les signatures pour deacutetecter une attaque
Lavantage principal de ce type de systegravemes est la capaciteacute didentifier absolument les attaques
connues
Les systegravemes baseacutes sur les regravegles ou ceux qui adoptent lrsquoapproche laquosurveillanceraquo peuvent ne
deacutecouvrir que les actions suspectes actions qui sont arrecircteacutees bien-sucircr
Les avantages drsquoun Host IPS
Un logiciel installeacute directement sur le systegraveme le protegravege contre une attaque mais en plus le
protegravege des reacutesultats dune attaque en empecircchant un programme drsquoeacutecrire dans un fichier ou
un utilisateur drsquoaugmenter son privilegravege etchellip
- Protegravege les systegravemes mobiles contre lattaque quand ils sont hors du reacuteseau proteacutegeacute Les
ordinateurs portables sont le vecteur principal de vers dans un reacuteseau proteacutegeacute Installer un
NIPS avec un systegraveme mobile nest pas une solution pratique
- Protegravege des attaques locales le personnel avec un accegraves physique agrave un systegraveme peut lancer
des attaques locales en exeacutecutant des programmes introduits par une disquette ou un CD etc
Chapitre 2
Ces attaques se concentrent souvent sur lrsquoaugmentation des privilegraveges de lutilisateur en root
ou administrator afin de compromettre facilement dautres systegravemes dans le reacuteseau
- Garantir une laquoderniegravere ligne de deacutefenseraquo contre les attaques qui ont pu se soustraire agrave
dautres outils de seacutecuriteacute Un potentiel systegraveme victime lui-mecircme est un dernier point de
deacutefense disponible pour lrsquoadministrateur de la seacutecuriteacute afin de se proteacuteger des violations du
systegraveme
- Empecircche lattaque interne ou labus des dispositifs situeacutes sur le mecircme segment du reacuteseau le
NIPS assure uniquement une protection des donneacutees qui se deacuteplacent entre diffeacuterents
segments Les attaques lanceacutees entre les systegravemes situeacutes sur le mecircme segment ne peuvent ecirctre
contreacutees qursquoavec le HIPS
- Protegravege des attaques chiffreacutees quand le flux de donneacutees chiffreacutees srsquoarrecircte au systegraveme
proteacutegeacute Le HIPS examine ces donneacutees etou le comportement apregraves que ces donneacutees chiffreacutees
ont eacuteteacute deacutechiffreacutees sur le systegraveme
- Indeacutependant de larchitecture reacuteseau
Comme le HIPS intercepte toutes les requecirctes destineacutees au systegraveme quil protegravege il doit
respecter une certaine condition preacutealable il doit ecirctre tregraves fiable ne doit pas avoir un impact
neacutegatif sur la performance du systegraveme et ne doit pas bloquer le trafic reconnu comme
leacutegitime
II2 Les techniques de deacutetection
La premiegravere eacutetape pour arrecircter les attaques et eacuteviter les intrusions consiste agrave les deacutetecter
Plusieurs meacutethodes de deacutetection sont applicables
1) Lrsquoanalyse de protocole crsquoest une deacutetection drsquoanomalie de protocole LrsquoIPS controcircle la
conformiteacute agrave la norme du protocole donneacute Avec cette meacutethode la recherche drsquoune activiteacute
drsquointrusion est plus cibleacutee et donc plus efficace
2) Correspondance de motifs (pattern matching) le trafic est scruteacute pour deacuteterminer les
signatures des motifs drsquoattaque connus Le systegraveme analyse chaque paquet Cette meacutethode
peut ecirctre stateful crsquoest-agrave-dire que le systegraveme examine le contexte et lrsquoemplacement de la
signature LrsquoIPS conserve la trace de lrsquoeacutetat de connexion avec lrsquoentiteacute exteacuterieure et eacutevaluera le
contexte plus large de toutes les transactions eacutetablies au cours de la connexion Cette meacutethode
ne permet de deacutetecter que les attaques connues et seulement si la liste des signatures
drsquoattaques est reacuteguliegraverement actualiseacutee
Chapitre 2
3) Comportementale deacutetection baseacutee sur le comportement (behaviour based detection) LrsquoIPS
tente de deacutecouvrir des activiteacutes laquoanormalesraquo en observant le comportement du systegraveme et des
utilisateurs Apregraves une phase drsquoapprentissage lrsquoIPS dispose drsquoun modegravele du laquocomportement
normalraquo du systegraveme et de ses utilisateurs SI lrsquoIPS constate que lrsquoactiviteacute courante srsquoeacuteloigne
trop du comportement normal il prenne une mesure Cette meacutethode a lrsquoavantage de pouvoir
deacutetecter des tentatives drsquoexploitation de vulneacuterabiliteacutes jusque lagrave inconnues
II3 Ougrave placer lrsquoIPS dans une topologie reacuteseau
Figure II-1 ndash Endroits typiques pour un IPS reacuteseau (NIPS)
1 Derriegravere le firewall peacuterimegravetre de reacuteseau et la fin de tout reacuteseau VPN
2 Entre le firewall peacuterimegravetre de reacuteseau et les serveurs placeacutes dans la DMZ tels que le serveur
web et les serveurs de-mailhellip
3 Devant les serveurs internes critiques tels que les serveurs dapplication
4 Devant les principaux workgroups drsquoun deacutepartement
44 Les diffeacuterentes faccedilons de reacutealiser un IPS
Il existe 5 diffeacuterentes faccedilons de reacutealiser un systegraveme de preacutevention drsquointrusion agrave savoir le
NIDS en ligne (inline NIDS) les firewallsIDS applicatifs (application-based firewallsIDS)
les commutateurs de la couche 7 (layer 7 switches) les IDS reacuteseaux applicatifs (network-
based application IDSs) et les applications trompeuses (deceptive applications)
Chapitre 2
III ndash La diffeacuterence entre la Deacutetection et la Preacutevention
Un IDS (reacuteseau) et un IPS (reacuteseau) se diffegraverent principalement par 2 caracteacuteristiques
- Le positionnement sur le reacuteseau (traditionnellement lrsquoIDS est positionneacute comme un sniffer)
- La possibiliteacute de bloquer immeacutediatement les intrusions et ce quel que soit le type de
protocole de transport utiliseacute sans reconfiguration drsquoun eacutequipement tiers LrsquoIPS est constitueacute
drsquoune technique de filtrage de paquets et de moyens de blocage (drop connection drop
offending packets block intruder hellip)
Mais on peut eacutegalement ajouter le deacuteterminisme Les IDS peuvent (et devraient) utiliser des
meacutethodes non deacuteterministes pour laquopreacutedireraquo toute sorte de menace ou une menace potentielle
du trafic existant Ces meacutethodes se composent de lanalyse statistique du volume de trafic des
modegraveles de trafic et des activiteacutes anormales Mais tout ceci nrsquoest destineacute qursquoagrave celui qui veut
savoir ce qui se passe sur son reacuteseau et rien de plus En revanche un IPS doit ecirctre
deacuteterministe ndash juste exact - dans toutes ses deacutecisions afin dexeacutecuter sa fonction de
laquonettoyeurraquo de trafic Un dispositif IPS nest pas censeacute prendre des risques ou reacuteagir avec une
certaine technique dlaquointuitionraquo Il est supposeacute fonctionner tout le temps faire un controcircle
drsquoaccegraves du reacuteseau et prendre des deacutecisions Les firewalls ont fourni la premiegravere approche
deacuteterministe du controcircle daccegraves du reacuteseau
III-1 IDS
Les systegravemes de deacutetection dintrusion ont eacuteteacute deacuteveloppeacutes pour identifier le trafic hostile et
envoyer des alertes Ils ne font rien pour arrecircter une attaque Ils sont deacuteployeacutes hors ligne et
possegravedent lrsquoavantage de ne pas pouvoir causer eux-mecircmes de panne de reacuteseau
La nature passive drsquoun IDS le positionne bien pour identifier
- Les attaques connues par lintermeacutediaire des signatures et des regravegles
- Les variations de volume et de direction de trafic en utilisant des regravegles complexes et une
analyse statistique
- Les variations de modegravele de trafic de communication en utilisant lanalyse des flux
Chapitre 2
- La deacutetection dune activiteacute suspecte en utilisant lanalyse de flux les techniques
statistiques et la deacutetection danomalie
Mais cette passiviteacute ne donne pas que des avantages On reproche eacutegalement agrave un IDS
Deacutetection uniquement sans preacutevention Comme ils sont placeacutes en dehors du reacuteseau les
NIDS peuvent difficilement avoir une incidence sur le trafic Les NIDS sont geacuteneacuteralement
impuissants pour arrecircter ou mecircme contrer une attaque en cours
Dureacutee de reacutecupeacuteration du systegraveme importante La neacutecessiteacute drsquoune intervention manuelle
de mecircme que la quantiteacute consideacuterable de donneacutees agrave scruter entraicircne une reacuteaction lente face agrave
une attaque ou une intrusion
Fausses alarmes Les NIDS confondent parfois un trafic inoffensif avec une attaque ce sont
les laquofaux positifsraquo Ces erreurs demandent souvent un temps consideacuterable pour controcircler les
paquets en question et deacuteterminer que le systegraveme NIDS srsquoest trompeacute Dans drsquoautres
circonstances le NIDS identifie correctement un motif de trafic particulier qui correspond agrave
une signature mais la structure srsquoavegravere en fait normale pour lorganisation en question
Donneacutees des journaux trop importantes Un NIDS doit geacuteneacuterer des journaux de compte-
rendu drsquoactiviteacute anormale ou douteuse sur le reacuteseau Les responsables de la seacutecuriteacute doivent
passer du temps agrave examiner ces journaux pour deacuteterminer ce qui srsquoest passeacute et les actions agrave
entreprendre
Difficulteacutes de deacuteploiement Les solutions NIDS doivent ecirctre placeacutees agrave toutes les entreacutees des
systegravemes et serveurs de lrsquoentreprise ecirctre correctement configureacutees et reacuteguliegraverement mises agrave
jour Mais plus le niveau des menaces augmente plus le deacuteploiement des IDS prend de
lrsquoampleur et on constate que la quantiteacute dheure neacutecessaire pour analyser les logs et pour
reacutepondre aux incidents (geacuterer et reacuteparer) devient trop importante
Les solutions traditionnelles comme le firewall et les anti-virus ne peuvent pas faire face agrave la
nouvelle geacuteneacuteration de menaces Une solution qui protegravege les informations au moment
opportun sans attendre une nouvelle creacuteation et distribution de signatures est neacutecessaire
III-2 IPS
Les solutions de preacutevention dintrusion sont mises en place pour traiter
- Les applications non deacutesireacutees les attaques cheval de Troie contre les reacuteseaux priveacutes et
les applications en utilisant des regravegles deacuteterministes et des listes de controcircle daccegraves
Chapitre 2
- Les attaques DoS ou DDoS comme les SYN et ICMP Flooding en utilisant un
algorithme de filtrage agrave seuil
- Les abus drsquoapplication et les manipulations de protocole -attaques connues et inconnues
contre HTTP ftp DNS smtp etc- en utilisant des regravegles de protocole dapplication et des
signatures
- Les attaques de surcharge ou drsquoabus dapplication en utilisant des limites de
consommation de ressource baseacutees sur des seuils
Ces systegravemes possegravedent les avantages suivants
Blocage rapide des intrusions Un eacuteveacutenement drsquointrusion est le deacutebut drsquoun processus
drsquoatteinte aux ressources informatiques drsquoune entreprise sans parler des responsabiliteacutes
juridiques potentielles En intervenant degraves la deacutetection un IPS bloque rapidement lrsquointrusion
et minimise la dureacutee totale avant que le reacuteseau ne revienne agrave la normale
Deacutetection preacutecise et fiable A lrsquoaide de plusieurs meacutethodes de deacutetection et en tirant parti de
sa position en ligne lrsquoIPS peut deacutetecter les attaques et intrusions avec une preacutecision et une
fiabiliteacute supeacuterieures
Moins deacutependant des signatures et davantage des meacutethodes intelligentes de deacutetection lrsquoIPS
geacutenegravere beaucoup moins de fausses alarmes Ainsi le temps et les efforts de lrsquoentreprise sont
exclusivement concentreacutes sur les veacuteritables menaces
Preacutevention active Alors qursquoun NIDS avertit simplement de la preacutesence drsquoun trafic suspect
ou anormal un IPS peut lancer divers meacutecanismes de reacuteaction
Le tableau suivant reacutesume les diffeacuterentes caracteacuteristiques drsquoun IPS et drsquoun IDS
Chapitre 2
Deacutetection drsquointrusion Preacutevention drsquointrusion
HIDS
Pour
- Peut deacutetecter lutilisation drsquoun systegraveme qui
viole la politique de seacutecuriteacute de lrsquoentreprise
- Peut alerter sur des changements au niveau
du systegraveme tels qursquoune importante
modification de fichier
Contre
- Le coucirct du deacuteploiement et de la gestion est
eacuteleveacute puisque chaque hocircte doit ecirctre eacutequipeacute et
une politique doit ecirctre deacuteveloppeacutee
- La plupart des fabricants de HIDS ne
construisent pas un produit destineacute aux
postes de travail ainsi seuls les serveurs sont
proteacutegeacutes
- La deacutetection est geacuteneacuteralement a posteriori
dans la courbe de reacuteponse Une deacutetection
reacuteussie vient dune tentative reacuteussie dattaque
HIPS
Pour
- Assure une protection contre les attaques
inconnues
- Exige peu ou aucune mise agrave jour de seacutecuriteacute
dans une peacuteriode annuelle
- Empecircche les attaques de sexeacutecuter sur une
machine au niveau noyau plutocirct que de
deacutetecter les reacutesultats dune attaque reacuteussie
Contre
- Le coucirct de tout le systegraveme peut ecirctre eacuteleveacute
puisquun agent est neacutecessaire pour chaque
serveur etou poste de travail critique
- Le temps de deacuteploiement afin drsquoeacutequiper
chaque serveurposte de travail peut ecirctre
long
- Le produit neacutecessite un ajustement apregraves
linstallation initiale pour ecirctre un outil de
seacutecuriteacute parfaitement fonctionnel
- Peut arrecircter des applications leacutegitimes en
cas de mauvais ajustement De nouvelles
applications ont peut-ecirctre besoin drsquoecirctre
examineacutees par les HIPS avant quelles soient
deacuteployeacutees
Chapitre 2
NIDS
Pour
- Les systegravemes baseacutes sur la deacutetection
drsquoanomalie peuvent deacutetecter une attaque
mecircme sur les systegravemes qui emploient le
cryptage (ils ne voient pas les exploits ils
voient la circulation anormale reacutesultant dune
attaque reacuteussie)
- Lrsquoobservation du trafic avec un systegraveme
baseacute sur des regravegles peut aider agrave imposer une
utilisation du reacuteseau en respectant la
politique de lrsquoentreprise
Contre
- Le coucirct du facteur humain est eacuteleveacute pour
surveiller les eacuteveacutenements et pour reacutepondre
aux incidents
- Agrave moins quun plan de reacuteponse ne soit
conccedilu et mis en place lrsquoIDS fournit peu ou
aucune seacutecuriteacute
- Un deacuteploiement reacuteussi demande un
important ajustement de lrsquoIDS pour reacuteduire
au minimum les faux positifs
NIPS
Pour
- Peut arrecircter la propagation des vers si
deacuteployeacute correctement sans arrecircter le trafic
- Protegravege contre de nouvelles attaques avant
que le code dexploit soit sorti (dans la
plupart des cas)
- Reacuteduira le coucirct de la reacuteponse aux incidents
(puisque la plupart des reacuteponses aux
incidents sont automatiques)
Contre
- Le coucirct du deacuteploiement NIPS au sein dun
reacuteseau peut ecirctre important
- Puisque les NIPS sont un dispositif inteacutegreacute
au reacuteseau ils creacuteent un point de deacutefaillance
bien quil y ait des meacutethodes pour traiter ce
problegraveme Lapproche la plus commune est
dajouter des eacuteleacutements redondants sachant
que tout le trafic de reacuteseau traverse le NIPS
- Un NIPS neacutecessite toujours des mises agrave jour
de seacutecuriteacute pour ecirctre vraiment efficace
Chapitre 2
IV - La protection par preacutevention
Lrsquoobjectif principal de cette partie est de preacutesenter un moyen de protection contre les attaques
au niveau du protocole applicatif
On distingue deux types drsquoattaques applicatives
- Les attaques qui ne respectent pas le protocole applicatif qui enfreignent les regravegles lieacutees
agrave ce protocole ou qui se caracteacuterisent par un usage laquoanormalraquo de celui-ci
- Les attaques qui respectent le protocole applicatif et qui ne peuvent donc pas ecirctre
deacutetecteacutees par une analyse protocolaire
Lrsquoanalyse protocolaire appeleacutee aussi deacutetection drsquoanomalie de protocole est justement la
technique de preacutevention drsquointrusion utiliseacutee dans le cadre de ce travail Il srsquoagit drsquoune analyse
des paquets circulant sur le reacuteseau ayant pour but de deacutecoder le protocole applicatif utiliseacute et
de controcircler la conformiteacute de lrsquoutilisation de la RFC Le systegraveme de preacutevention effectue ce
qursquoon appelle une analyse applicative laquotemps reacuteelraquo En effet le flux est recomposeacute et analyseacute
laquoagrave la voleacuteeraquo Cette analyse nrsquoest plus faite dans une application qui srsquoexeacutecute au-dessus du
systegraveme drsquoexploitation mais directement dans le noyau du systegraveme drsquoexploitation
Cette technique possegravede lrsquoavantage drsquoecirctre une technique proactive4 Elle permet de bloquer
des attaques non connues simplement parce qursquoelles deacuterogent agrave la RFC Mais crsquoest une
technique non geacuteneacuterique qui nrsquoest efficace que pour le protocole analyseacute
La protection par lrsquoIPS est une solution destineacutee agrave toutes les entreprises qui ont deacuteployeacute un
service de VoIP comme montre la figure suivante
Figure IV-1 - Reacuteseaux dentreprise avec un service de teacuteleacutephonie IP
------------------------------------------------------------
4 Qui fonctionne de maniegravere dynamique par anticipation
Chapitre 2
Le reacuteseau drsquoentreprise est en geacuteneacuteral constitueacute de deux sections le reacuteseau interne (LAN) et la
zone deacutemilitariseacutee (DMZ) La DMZ est connecteacutee au reacuteseau public agrave travers le firewall
externe et comporte diffeacuterents serveurs accessibles depuis lrsquoexteacuterieur tels que le serveur web
e-mail DNS (Domain Name Server) etc Le reacuteseau interne est connecteacute agrave la DMZ par un
autre firewall
Chaque dispositif de seacutecuriteacute est utiliseacute dans le but de se proteacuteger drsquoune menace particuliegravere
De plus ils possegravedent tous un point faible Ainsi crsquoest seulement en combinant les diffeacuterentes
techniques qursquoon arrive reacuteellement agrave une protection optimale Les firewalls sont la barriegravere de
trafic ils laissent passer ou non les trafics entrant selon leur politique Les IDS sont le
moniteur de trafic ils observent lrsquoactiviteacute du reacuteseau et consignent ce qui est suspect Ils
peuvent deacutetecter les menaces qui ont pu eacutechapper au firewall et les notifient Les IPS
fournissent les mesures preacuteventives et les commandes utiles pour combattre de nouvelles
menaces
IV-1 LrsquoIPS par Snort Inline
Ce travail impleacutemente un NIDS en ligne (Inline NIDS) meacutethode choisie pour la reacutealisation
de lrsquoIPS
Qursquoest-ce qui a motiveacute ce choix
Lrsquoobjectif eacutetait de reacutealiser un IPS pour le protocole SIP en respectant dans la mesure du
possible les impeacuteratifs
bull Ne pas toucher la topologie du reacuteseau existant
bull Inteacutegrer une solution totalement transparente crsquoest-agrave-dire ne rien toucher au systegraveme de
protection deacutejagrave deacuteployeacute
bull Avoir une solution la moins coucircteuse possible
Le dernier point conduit tout de suite agrave une solution open source Il existe dans le domaine des
logiciels libres un IPS Snort Inline qui est une version modifieacutee du ceacutelegravebre IDS Snort Celui-
ci constituera la base de lrsquoIPS SIP
Des fonctionnaliteacutes permettant drsquoinspecter le trafic SIP lui seront ajouteacutees
Chapitre 2
IV-1-1 Bregraveve preacutesentation de Snort Inline
Snort Inline est un systegraveme de preacutevention drsquointrusion Il exploite toutes les fonctionnaliteacutes
drsquoorigine de Snort telles que le deacutecodage le reacuteassemblage des paquetshellip Il utilise eacutegalement
les mecircmes composants que Snort tels que les preacuteprocesseurs de flux Par contre Snort Inline
utilise iptables et ip_queue5 pour lrsquoacquisition et le transfert des paquets
Iptables est configureacute comme un firewall normal Il prend tous les paquets entrants et les
transmet agrave Snort Inline Ce dernier a un moteur de deacutetection dintrusion inteacutegreacute qui analyse les
paquets reccedilus et transmet uniquement les paquets jugeacutes non hostiles au reacuteseau interne
Lrsquohocircte Snort Inline doit reacutesider entre la source et la destination des paquets pour que tout le
trafic passe par lrsquoordinateur qui heacuteberge Snort Inline
IV-1-2 Les composants
En geacuteneacuteral Snort Inline est diviseacute en plusieurs composants
bull Deacutecodeur de paquet (Packet decoder)
bull Preacuteprocesseurs (Preprocessors)
bull Moteur de deacutetection (Detection Engine)
bull Systegraveme dalerte et denregistrement de log (Logging and Alerting System)
Et eacuteventuellement des Modules de sortie (Output Module)
Ces composants travaillent ensemble pour deacutetecter des attaques particuliegraveres La figure
suivante montre comment ces composants sont organiseacutes
-----------------------------------------
5 Ip_queue est un module du noyau responsable de passer les paquets depuis le target QUEUE dans lespace noyau pour une application qui se trouve dans lespace utilisateur
Chapitre 2
Figure IV-2- Les diffeacuterents composants de Snort Inline
Chaque paquet de donneacutees passe par le deacutecodeur de paquet Sur son chemin vers les modules
de sortie il est soit rejeteacute soit logueacute
IV-1-2-1 Le deacutecodeur de paquet
Le deacutecodeur de paquet reacutecupegravere les paquets des diffeacuterentes interfaces reacuteseaux et les preacutepare
pour passer dans le preacuteprocesseur ou pour ecirctre envoyeacutes au moteur de deacutetection Les interfaces
peuvent ecirctre Ethernet SLIP (Serial Line Internet Protocol) PPP (Point to Point Protocol)hellip
Le deacutecodeur de paquet se compose drsquoune seacuterie de deacutecodeurs speacutecialiseacutes chacun dans un
eacuteleacutement de protocole speacutecifique
Figure IV-3 - Deacutecodeur de paquet
Chapitre 2
Le deacutecodeur de paquet transforme les eacuteleacutements du protocole (par exemple les entecirctes LLC
Ethernet IP TCP UDP hellip) speacutecifiques en une structure de donneacutees interne
IV-1-2-2 Les preacuteprocesseurs
Les preacuteprocesseurs sont des composants ou plug-ins Ils peuvent ecirctre utiliseacutes avec Snort Inline
pour laquoarrangerraquo ou laquomodifierraquo les paquets avant que le moteur de deacutetection ne fasse ses
opeacuterations pour deacutecouvrir si le paquet est utiliseacute par un intrus Certains preacuteprocesseurs
effectuent eacutegalement une deacutetection pour trouver des anomalies dans les entecirctes de paquet et
produisent des alertes ou des logs
IV-1-2-3 Le moteur de deacutetection
Le moteur de deacutetection est la partie la plus importante Son rocircle est de deacutetecter srsquoil existe une
activiteacute dintrusion possible dans un paquet Le moteur de deacutetection utilise des regravegles dans ce
but Les regravegles sont lues dans les structures ou les chaicircnes de donneacutees internes ougrave elles sont
associeacutees avec chaque paquet Si un paquet correspond agrave une des regravegles une action approprieacutee
est effectueacutee Le paquet est par exemple rejeteacute et un log est noteacute
IV-1-3- Les modes
LrsquoIPS peut ecirctre deacuteployeacute en deux modes
IV-1-3-1 Mode NAT
En mode NAT le reacuteseau est diviseacute en deux parties la partie publique et la partie priveacutee Le
cocircteacute public du reacuteseau est seacutepareacute du cocircteacute priveacute par lIPS LIPS exeacutecute la configuration NAT il
eacutetablit une correspondance de toutes les adresses publiques agrave son interface publique Ensuite il
les traduit agrave leurs adresses priveacutees correspondantes
IV-1-3- 2 Mode Bridge
En mode bridge lIPS agit en tant que pont entre le reacuteseau public et le reacuteseau priveacute Le mode
pont est furtif En effet le dispositif devient non deacutetectable puisqursquoil ne possegravede pas drsquoadresse
IP Il est donc plus sucircr ce qui en fait le mode recommandeacute
Chapitre 2
IV-1-4- Les regravegles
Snort Inline est eacutequipeacute de reacuteponses de preacutevention des intrusions qui prennent la forme
drsquoactions de regravegles classiques
IV-1-4- 1 Drop
La regravegle drop indiquera agrave iptables de rejeter le paquet et drsquoenvoyer un TCP reset si le
protocole est TCP ou un ICMP port unreachable si le protocole est UDP et de loguer le
paquet par lintermeacutediaire des moyens habituels de Snort
Figure IV-4 - Snort Inline drop mode
Quand des paquets sont lus par Snort Inline dans le target QUEUE drsquoiptables les meta-
donneacutees etou la charge utile (payload) du paquet sont compareacutees agrave lensemble des regravegles de
Snort Inline Si le paquet a eacuteteacute identifieacute comme eacutetant un paquet malveillant contenant un
certain type de signature dexploit Snort Inline deacutetermine ce quil va devenir Il se base sur les
regravegles preacutedeacutefinies pour prendre sa deacutecision Si on a deacutefini des regravegles drop alors le paquet sera
rejeteacute Cette deacutecision est passeacutee agrave iptables qui va la mettre en oeuvre
IV-1-4- 2 Sdrop
La regravegle sdrop indiquera agrave iptables de rejeter le paquet et drsquoenvoyer un reset mais aucun log
nrsquoest eacutecrit
Chapitre 2
Il existe deux options sur la faccedilon drsquoenvoyer un reset
bull On peut toujours utiliser un raw socket6 crsquoest le comportement par deacutefaut de Snort Inline
Dans ce cas on doit avoir une interface qui possegravede une adresse IP assigneacutee Sil ny a pas
une interface avec une adresse IP valide avec accegraves agrave la source du paquet le paquet sera
logueacute mais le reset ne sera jamais envoyeacute sur le reacuteseau
bull On peut eacutegalement effectuer des resets par lintermeacutediaire dun dispositif physique en
utilisant iptables On utilise le nom INDEV fourni par ip_queue comme interface sur
laquelle on envoie le reset Il nrsquoest plus neacutecessaire qursquoune adresse IP soit preacutesente sur le
pont il demeure donc furtif
------------------------------------------6 Un raw socket est un socket avec un pouvoir laquosupeacuterieurraquo il permet deacutecrire ou de lire des paquets sur une interface reacuteseau avec les paramegravetres souhaiteacutes cest-agrave-dire quil aura la possibiliteacute de modifier lentecircte dun paquet pour ensuite lenvoyer avec les options de ce mecircme entecircte modifieacutees (adresse IP source flag TCP etc)
Chapitre 2
- Sauvegarde des paquets suspects sauvegarde de lrsquoensemble des paquets reacuteseaux captureacutes etou
uniquement les paquets qui ont deacuteclencheacute une alerte
- Deacutemarrage drsquoune application lancement dun programme exteacuterieur pour exeacutecuter une action
speacutecifique (envoi drsquoun message sms eacutemission drsquoune alerte auditivehellip)
- Notification visuelle de lrsquoalerte affichage de lrsquoalerte dans une ou plusieurs console(s) de
management
De nombreux IDS peuvent effectuer des actions limiteacutees dans le cas de certains scheacutemas
drsquoeacuteveacutenements sans intervention humaine Le plus souvent les NIDS utilisent cette capaciteacute pour
deacutejouer des attaques de deacuteni de service Si lrsquoattaque provient drsquoune adresse IP unique par
exemple il est possible de bloquer cette adresse automatiquement De leur cocircteacute les HIDS
peuvent empecirccher les utilisateurs drsquoaccomplir certaines actions
Cependant les actions automatiseacutees doivent ecirctre extrecircmement limiteacutees car la plupart des scheacutemas
indiquent uniquement des activiteacutes suspectes et non des actions assureacutement malveillantes
I4 Ougrave placer lrsquoIDS dans une topologie reacuteseau
Selon la topologie reacuteseau on peut placer des systegravemes de deacutetection dintrusion agrave un ou plusieurs
endroits Ceci deacutependent eacutegalement de quels types dactiviteacutes dintrusion on souhaite deacutetecter
interne externe ou les deux Par exemple si lrsquoentreprise veut uniquement deacutetecter les activiteacutes
dintrusion externes et qursquoil y a seulement un routeur relieacute agrave Internet le meilleur endroit pour un
systegraveme de deacutetection dintrusion peut ecirctre juste apregraves le routeur ou le firewall Srsquoil a plusieurs
connections agrave Internet on peut placer un IDS agrave chaque point dentreacutee
Cependant si on veut eacutegalement deacutetecter les menaces internes on peut placer un IDS dans chaque
segment de reacuteseau
Dans de nombreux cas il nrsquoest pas neacutecessaire davoir un IDS dans tous les segments de reacuteseau et
on peut se limiter seulement aux secteurs sensibles du reacuteseau Notez que plus il y a de systegravemes
de deacutetection dintrusion plus il y a de travail et plus il y a de coucircts dentretien La figure suivante
montre les endroits typiques ougrave on peut placer un systegraveme de deacutetection dintrusion
Chapitre 2
Figure I1-Endroits typiques pour un IDS reacuteseau (NIDS)
1048766 Location 1 dans la zone deacutemilitariseacutee (DMZ) Voir les attaques qui visent surtout les
serveurs de services de lrsquoentreprise
1048766 Location 2 entre le firewall externe et lrsquoInternet Permet drsquoanalyser au mieux les
attaques lanceacutees contre lrsquoentreprise
1048766 Location 3 agrave chaque segment du reacuteseau LrsquoIDS situeacute agrave cet endroit se concentre plus
sur les charges intrusives plus dangereuses qui passent agrave travers le firewall
1048766 Location 4 plus pregraves des sous-reacuteseaux sensibles permet de deacutetecter les attaques
visant des ressources ou des systegravemes critiques Par exemple des serveurs de comptes
sensibles
Une nouvelle famille drsquooutils de seacutecuriteacute est apparue sur le reacuteseau les systegravemes de preacutevention
des intrusions (IPS Intrusion Prevention System)
Chapitre 2
II- Systegraveme de Preacutevention drsquointrusionUn systegraveme de preacutevention drsquointrusion est un dispositif (mateacuteriel ou logiciel) capable de
deacutetecter des attaques connues et inconnues et de les empecirccher decirctre reacuteussies
Un IPS nrsquoest pas un observateur il fait partie inteacutegrante du reacuteseau Il est placeacute en ligne et
examine tous les paquets entrants ou sortants LrsquoIPS a eacuteteacute deacuteveloppeacute de maniegravere agrave prendre les
mesures neacutecessaires pour contrer les intrusions deacutetectables avec preacutecision Il surveille le trafic
et intervient activement par limitation ou suppression du trafic jugeacute hostile par interruption
des sessions suspectes ou par drsquoautres mesures en reacuteaction agrave une attaque Il reacutealise un
ensemble drsquoanalyses de deacutetection non seulement sur chaque paquet individuel mais
eacutegalement sur les motifs du reacuteseau en visualisant chaque transaction dans le contexte de
celles qui preacuteceacutedent ou qui suivent
En geacuteneacuteral les quatre modules principaux qui composent un IPS sont
- Normalisation du trafic (Traffic normalizer)
- Scanner de service (Service scanner)
- Moteur de deacutetection (Detection engine)
- Traffic shaper
Le traffic normalizer surveille le trafic analyse les paquets et exeacutecute les mesures de base
contre les attaques comme le blocage drsquoadresse IP Le trafic analyseacute est ensuite passeacute au
moteur de deacutetection et au scanner de service Ce dernier construit une table de reacutefeacuterence
classifiant les informations afin drsquoaider le traffic shaper agrave mieux geacuterer le flux de ces
informations Le moteur de deacutetection compare les scheacutemas drsquoeacuteveacutenements en cours avec ceux
contenus dans la table de reacutefeacuterence
II1 Les Types drsquoIPS
Il existe actuellement deux cateacutegories de produit IPS
Les NIPS (Network Intrusion Prevention System) un logiciel ou un mateacuteriel deacutedieacute connecteacute
directement agrave un segment du reacuteseau et qui protegravege tous les systegravemes rattacheacutes agrave ce segment
Les HIPS (Host Intrusion Prevention System) un programme systegraveme installeacute directement sur
lrsquoordinateur agrave proteacuteger
Chapitre 2
II11 Network IPS
Le Network IPS (NIPS) combine les caracteacuteristiques drsquoun IDS standard et drsquoun firewall Il est
parfois qualifieacute comme eacutetant la prochaine geacuteneacuteration de firewall le firewall agrave laquoinspection en
profondeur (deep inspection)raquo
Comme avec un firewall le NIPS a au moins deux interfaces reacuteseau une interne et une
externe Les paquets arrivent agrave lune ou lautre des deux interfaces puis sont passeacutes au moteur
de deacutetection Jusqursquoici lrsquoIPS fonctionne comme un IDS crsquoest-agrave-dire qursquoil deacutetermine si oui ou
non le paquet est malveillant Cependant sil en deacutetecte en plus de deacuteclencher une alerte il
rejettera le paquet et marquera cette session laquosuspecteraquo
Quand les paquets restants qui composent cette session particuliegravere arriveront agrave lrsquoIPS ils
seront jeteacutes immeacutediatement Les paquets propres sont passeacutes agrave travers la deuxiegraveme interface
pour atteindre leur destination preacutevue
Les NIPS sont deacuteployeacutes en ligne avec le segment du reacuteseau agrave proteacuteger De ce fait toutes les
donneacutees qui circulent entre le segment proteacutegeacute et le reste du reacuteseau doivent passer par le
NIPS Degraves quun paquet suspect est deacutetecteacute - et avant quil soit passeacute agrave linterface interne et au
reacuteseau proteacutegeacute- il peut ecirctre rejeteacute En plus de cela au moment ougrave la session a eacuteteacute marqueacutee
comme laquosuspecteraquo tous les paquets suivants qui font partie de cette session peuvent ecirctre
eacutegalement rejeteacute avec un eacuteventuel traitement additionnel Quelques produits envoient par
exemple un Reset TCP ou un message ICMP Unreachable agrave la machine attaquante
Comme le trafic traverse lrsquoIPS il est inspecteacute pour veacuterifier la preacutesence dune attaque Le NIPS
peut employer lrsquoapproche de deacutetection baseacutee sur les signatures drsquoattaque Une diffeacuterence
principale cependant est qursquoil emploie des signatures qui sont baseacutees sur des vulneacuterabiliteacutes et
non pas sur les exploits2 En utilisant des signatures sur des vulneacuterabiliteacutes le NIPS peut
ajouter une protection (promettante) avant que des exploits reacuteels ne soient libeacutereacutes dans la
nature
Un NIPS deacuteclenche tout comme un NIDS des alarmes face aux attaques mais le contenu de
lrsquoalarme est diffeacuterent Crsquoest plutocirct une notification indiquant laquotel ou tel trafic a eacuteteacute deacutetecteacute en
train dessayer dattaquer ce systegraveme et a eacuteteacute bloqueacuteraquo
----------------------------------
2 Un exploit tire profit dune faiblesse dans un systegraveme afin de lentailler Les exploits sont la racine de la culture dintrus
Chapitre 2
Est-ce quavec des alarmes de ce type une intervention humaine est neacutecessaire
Dans un environnement ougrave la seacutecuriteacute est primordiale la reacuteponse est plutocirct oui Une
intervention humaine est neacutecessaire pour veacuterifier lrsquointervention automatiseacutee et aussi pour
recueillir les indices de sorte quils puissent ecirctre employeacutes pour se proteacuteger contre de futures
attaques ou pour identifier une plus grande menace
Dans la plupart des environnements ougrave la seacutecuriteacute est un souci et non pas une prioriteacute aucune
intervention humaine nrsquoest vraiment neacutecessaire
Les avantages drsquoun network IPS
- Un seul point de controcircle pour le trafic peut proteacuteger des milliers de systegravemes situeacutes en
aval du dispositif Ceci permet agrave une organisation de mesurer sa solution rapidement et de
fournir la flexibiliteacute requise pour reacutepondre aux changements constants de larchitecture reacuteseau
- Le deacuteploiement devient facile car un seul dispositif IPS peut proteacuteger des centaines de
systegravemes
- Il fournit une vue plus large de lenvironnement de menaces telles que les balayages
sondeshellip Avoir une vision strateacutegique de lenvironnement de menaces permet agrave la gestion de
seacutecuriteacute de sadapter agrave un changement de perspective
- Il protegravege les autres dispositifs du reacuteseau toutes les attaques ne sont pas dirigeacutees que contre
les systegravemes doteacutes drsquoun systegraveme dexploitation Par exemple les routeurs firewalls
concentrateurs VPN serveurs drsquoimprimantes etc sont tous vulneacuterables et exigent une
protection
- Il protegravege des attaques reacuteseaux DoS DDos SYN flood etc Travailler au niveau du reacuteseau
permet agrave un NIPS de proteacuteger contre ces types dattaques
II12 Host IPS
Le HIPS est un programme qui reacuteside sur un systegraveme tel que serveurs postes de travail ou
portables
Le trafic venant ou sortant de ce systegraveme particulier est inspecteacute et les activiteacutes au niveau des
applications et du systegraveme dexploitation peuvent ecirctre examineacutees afin de trouver des signes
dune attaque Un HIPS peut deacutetecter les attaques qui visent la machine et arrecircter le processus
malveillant avant quil ne sexeacutecute On peut donc consideacuterer le HIPS comme eacutetant plus un
moniteur de systegraveme drsquoexploitation ou moniteur drsquoapplication
Le HIPS nexige plus quun service geacutenegravere une notation deacuteveacutenement (event log) ou des
changements dans des fichiers systegravemes avant drsquoagir Crsquoest la nouveauteacute de cet outil
Chapitre 2
Quand une attaque est deacutetecteacutee le logiciel bloque lattaque soit au niveau de lrsquointerface
reacuteseau soit en envoyant des commandes agrave lapplication ou au systegraveme dexploitation darrecircter
lrsquoaction lanceacutee par lattaque
La meacutethode de deacutetection varie selon le fabricant mais la plus utiliseacutee est lrsquoapproche baseacutee sur
des regravegles
Un HIPS possegravede une liste preacutedeacutefinie de regravegle eacutetablie par le fabriquant et livreacutee avec le
produit Ces regravegles savent comment un systegraveme dexploitation ou une application devrait se
laquocomporterraquo Si lapplication initie une action suspecte une des regravegles est deacuteclencheacutee et le
processus est tueacute avant mecircme quil ait pu nuire au systegraveme
Par exemple les attaques par buffer overflow peuvent ecirctre empecirccheacutees en interdisant
lexeacutecution du programme malveillant inseacutereacute dans lespace adresse exploiteacute par lattaque Ou
encore les tentatives dinstallation de back door via une application comme Internet Explorer
sont bloqueacutes en arrecirctant et en refusant la commande write file commande provenant de lrsquoIE
Drsquoautres systegravemes HIPS emploient lrsquoapproche ldquosurveillancerdquo ou ldquoobservationrdquo Un agent
HIPS tourne sur la machine et se concentre sur les eacuteveacutenements drsquoun systegraveme drsquoexploitation en
observant tous les appels systegraveme les entreacutees de la base de registre et les services des
communications
Enfin lapproche hybride est aussi utiliseacutee Un HIPS hybride peut employer une combinaison
de regravegles controcircle de lrsquoactiviteacute des applications et les signatures pour deacutetecter une attaque
Lavantage principal de ce type de systegravemes est la capaciteacute didentifier absolument les attaques
connues
Les systegravemes baseacutes sur les regravegles ou ceux qui adoptent lrsquoapproche laquosurveillanceraquo peuvent ne
deacutecouvrir que les actions suspectes actions qui sont arrecircteacutees bien-sucircr
Les avantages drsquoun Host IPS
Un logiciel installeacute directement sur le systegraveme le protegravege contre une attaque mais en plus le
protegravege des reacutesultats dune attaque en empecircchant un programme drsquoeacutecrire dans un fichier ou
un utilisateur drsquoaugmenter son privilegravege etchellip
- Protegravege les systegravemes mobiles contre lattaque quand ils sont hors du reacuteseau proteacutegeacute Les
ordinateurs portables sont le vecteur principal de vers dans un reacuteseau proteacutegeacute Installer un
NIPS avec un systegraveme mobile nest pas une solution pratique
- Protegravege des attaques locales le personnel avec un accegraves physique agrave un systegraveme peut lancer
des attaques locales en exeacutecutant des programmes introduits par une disquette ou un CD etc
Chapitre 2
Ces attaques se concentrent souvent sur lrsquoaugmentation des privilegraveges de lutilisateur en root
ou administrator afin de compromettre facilement dautres systegravemes dans le reacuteseau
- Garantir une laquoderniegravere ligne de deacutefenseraquo contre les attaques qui ont pu se soustraire agrave
dautres outils de seacutecuriteacute Un potentiel systegraveme victime lui-mecircme est un dernier point de
deacutefense disponible pour lrsquoadministrateur de la seacutecuriteacute afin de se proteacuteger des violations du
systegraveme
- Empecircche lattaque interne ou labus des dispositifs situeacutes sur le mecircme segment du reacuteseau le
NIPS assure uniquement une protection des donneacutees qui se deacuteplacent entre diffeacuterents
segments Les attaques lanceacutees entre les systegravemes situeacutes sur le mecircme segment ne peuvent ecirctre
contreacutees qursquoavec le HIPS
- Protegravege des attaques chiffreacutees quand le flux de donneacutees chiffreacutees srsquoarrecircte au systegraveme
proteacutegeacute Le HIPS examine ces donneacutees etou le comportement apregraves que ces donneacutees chiffreacutees
ont eacuteteacute deacutechiffreacutees sur le systegraveme
- Indeacutependant de larchitecture reacuteseau
Comme le HIPS intercepte toutes les requecirctes destineacutees au systegraveme quil protegravege il doit
respecter une certaine condition preacutealable il doit ecirctre tregraves fiable ne doit pas avoir un impact
neacutegatif sur la performance du systegraveme et ne doit pas bloquer le trafic reconnu comme
leacutegitime
II2 Les techniques de deacutetection
La premiegravere eacutetape pour arrecircter les attaques et eacuteviter les intrusions consiste agrave les deacutetecter
Plusieurs meacutethodes de deacutetection sont applicables
1) Lrsquoanalyse de protocole crsquoest une deacutetection drsquoanomalie de protocole LrsquoIPS controcircle la
conformiteacute agrave la norme du protocole donneacute Avec cette meacutethode la recherche drsquoune activiteacute
drsquointrusion est plus cibleacutee et donc plus efficace
2) Correspondance de motifs (pattern matching) le trafic est scruteacute pour deacuteterminer les
signatures des motifs drsquoattaque connus Le systegraveme analyse chaque paquet Cette meacutethode
peut ecirctre stateful crsquoest-agrave-dire que le systegraveme examine le contexte et lrsquoemplacement de la
signature LrsquoIPS conserve la trace de lrsquoeacutetat de connexion avec lrsquoentiteacute exteacuterieure et eacutevaluera le
contexte plus large de toutes les transactions eacutetablies au cours de la connexion Cette meacutethode
ne permet de deacutetecter que les attaques connues et seulement si la liste des signatures
drsquoattaques est reacuteguliegraverement actualiseacutee
Chapitre 2
3) Comportementale deacutetection baseacutee sur le comportement (behaviour based detection) LrsquoIPS
tente de deacutecouvrir des activiteacutes laquoanormalesraquo en observant le comportement du systegraveme et des
utilisateurs Apregraves une phase drsquoapprentissage lrsquoIPS dispose drsquoun modegravele du laquocomportement
normalraquo du systegraveme et de ses utilisateurs SI lrsquoIPS constate que lrsquoactiviteacute courante srsquoeacuteloigne
trop du comportement normal il prenne une mesure Cette meacutethode a lrsquoavantage de pouvoir
deacutetecter des tentatives drsquoexploitation de vulneacuterabiliteacutes jusque lagrave inconnues
II3 Ougrave placer lrsquoIPS dans une topologie reacuteseau
Figure II-1 ndash Endroits typiques pour un IPS reacuteseau (NIPS)
1 Derriegravere le firewall peacuterimegravetre de reacuteseau et la fin de tout reacuteseau VPN
2 Entre le firewall peacuterimegravetre de reacuteseau et les serveurs placeacutes dans la DMZ tels que le serveur
web et les serveurs de-mailhellip
3 Devant les serveurs internes critiques tels que les serveurs dapplication
4 Devant les principaux workgroups drsquoun deacutepartement
44 Les diffeacuterentes faccedilons de reacutealiser un IPS
Il existe 5 diffeacuterentes faccedilons de reacutealiser un systegraveme de preacutevention drsquointrusion agrave savoir le
NIDS en ligne (inline NIDS) les firewallsIDS applicatifs (application-based firewallsIDS)
les commutateurs de la couche 7 (layer 7 switches) les IDS reacuteseaux applicatifs (network-
based application IDSs) et les applications trompeuses (deceptive applications)
Chapitre 2
III ndash La diffeacuterence entre la Deacutetection et la Preacutevention
Un IDS (reacuteseau) et un IPS (reacuteseau) se diffegraverent principalement par 2 caracteacuteristiques
- Le positionnement sur le reacuteseau (traditionnellement lrsquoIDS est positionneacute comme un sniffer)
- La possibiliteacute de bloquer immeacutediatement les intrusions et ce quel que soit le type de
protocole de transport utiliseacute sans reconfiguration drsquoun eacutequipement tiers LrsquoIPS est constitueacute
drsquoune technique de filtrage de paquets et de moyens de blocage (drop connection drop
offending packets block intruder hellip)
Mais on peut eacutegalement ajouter le deacuteterminisme Les IDS peuvent (et devraient) utiliser des
meacutethodes non deacuteterministes pour laquopreacutedireraquo toute sorte de menace ou une menace potentielle
du trafic existant Ces meacutethodes se composent de lanalyse statistique du volume de trafic des
modegraveles de trafic et des activiteacutes anormales Mais tout ceci nrsquoest destineacute qursquoagrave celui qui veut
savoir ce qui se passe sur son reacuteseau et rien de plus En revanche un IPS doit ecirctre
deacuteterministe ndash juste exact - dans toutes ses deacutecisions afin dexeacutecuter sa fonction de
laquonettoyeurraquo de trafic Un dispositif IPS nest pas censeacute prendre des risques ou reacuteagir avec une
certaine technique dlaquointuitionraquo Il est supposeacute fonctionner tout le temps faire un controcircle
drsquoaccegraves du reacuteseau et prendre des deacutecisions Les firewalls ont fourni la premiegravere approche
deacuteterministe du controcircle daccegraves du reacuteseau
III-1 IDS
Les systegravemes de deacutetection dintrusion ont eacuteteacute deacuteveloppeacutes pour identifier le trafic hostile et
envoyer des alertes Ils ne font rien pour arrecircter une attaque Ils sont deacuteployeacutes hors ligne et
possegravedent lrsquoavantage de ne pas pouvoir causer eux-mecircmes de panne de reacuteseau
La nature passive drsquoun IDS le positionne bien pour identifier
- Les attaques connues par lintermeacutediaire des signatures et des regravegles
- Les variations de volume et de direction de trafic en utilisant des regravegles complexes et une
analyse statistique
- Les variations de modegravele de trafic de communication en utilisant lanalyse des flux
Chapitre 2
- La deacutetection dune activiteacute suspecte en utilisant lanalyse de flux les techniques
statistiques et la deacutetection danomalie
Mais cette passiviteacute ne donne pas que des avantages On reproche eacutegalement agrave un IDS
Deacutetection uniquement sans preacutevention Comme ils sont placeacutes en dehors du reacuteseau les
NIDS peuvent difficilement avoir une incidence sur le trafic Les NIDS sont geacuteneacuteralement
impuissants pour arrecircter ou mecircme contrer une attaque en cours
Dureacutee de reacutecupeacuteration du systegraveme importante La neacutecessiteacute drsquoune intervention manuelle
de mecircme que la quantiteacute consideacuterable de donneacutees agrave scruter entraicircne une reacuteaction lente face agrave
une attaque ou une intrusion
Fausses alarmes Les NIDS confondent parfois un trafic inoffensif avec une attaque ce sont
les laquofaux positifsraquo Ces erreurs demandent souvent un temps consideacuterable pour controcircler les
paquets en question et deacuteterminer que le systegraveme NIDS srsquoest trompeacute Dans drsquoautres
circonstances le NIDS identifie correctement un motif de trafic particulier qui correspond agrave
une signature mais la structure srsquoavegravere en fait normale pour lorganisation en question
Donneacutees des journaux trop importantes Un NIDS doit geacuteneacuterer des journaux de compte-
rendu drsquoactiviteacute anormale ou douteuse sur le reacuteseau Les responsables de la seacutecuriteacute doivent
passer du temps agrave examiner ces journaux pour deacuteterminer ce qui srsquoest passeacute et les actions agrave
entreprendre
Difficulteacutes de deacuteploiement Les solutions NIDS doivent ecirctre placeacutees agrave toutes les entreacutees des
systegravemes et serveurs de lrsquoentreprise ecirctre correctement configureacutees et reacuteguliegraverement mises agrave
jour Mais plus le niveau des menaces augmente plus le deacuteploiement des IDS prend de
lrsquoampleur et on constate que la quantiteacute dheure neacutecessaire pour analyser les logs et pour
reacutepondre aux incidents (geacuterer et reacuteparer) devient trop importante
Les solutions traditionnelles comme le firewall et les anti-virus ne peuvent pas faire face agrave la
nouvelle geacuteneacuteration de menaces Une solution qui protegravege les informations au moment
opportun sans attendre une nouvelle creacuteation et distribution de signatures est neacutecessaire
III-2 IPS
Les solutions de preacutevention dintrusion sont mises en place pour traiter
- Les applications non deacutesireacutees les attaques cheval de Troie contre les reacuteseaux priveacutes et
les applications en utilisant des regravegles deacuteterministes et des listes de controcircle daccegraves
Chapitre 2
- Les attaques DoS ou DDoS comme les SYN et ICMP Flooding en utilisant un
algorithme de filtrage agrave seuil
- Les abus drsquoapplication et les manipulations de protocole -attaques connues et inconnues
contre HTTP ftp DNS smtp etc- en utilisant des regravegles de protocole dapplication et des
signatures
- Les attaques de surcharge ou drsquoabus dapplication en utilisant des limites de
consommation de ressource baseacutees sur des seuils
Ces systegravemes possegravedent les avantages suivants
Blocage rapide des intrusions Un eacuteveacutenement drsquointrusion est le deacutebut drsquoun processus
drsquoatteinte aux ressources informatiques drsquoune entreprise sans parler des responsabiliteacutes
juridiques potentielles En intervenant degraves la deacutetection un IPS bloque rapidement lrsquointrusion
et minimise la dureacutee totale avant que le reacuteseau ne revienne agrave la normale
Deacutetection preacutecise et fiable A lrsquoaide de plusieurs meacutethodes de deacutetection et en tirant parti de
sa position en ligne lrsquoIPS peut deacutetecter les attaques et intrusions avec une preacutecision et une
fiabiliteacute supeacuterieures
Moins deacutependant des signatures et davantage des meacutethodes intelligentes de deacutetection lrsquoIPS
geacutenegravere beaucoup moins de fausses alarmes Ainsi le temps et les efforts de lrsquoentreprise sont
exclusivement concentreacutes sur les veacuteritables menaces
Preacutevention active Alors qursquoun NIDS avertit simplement de la preacutesence drsquoun trafic suspect
ou anormal un IPS peut lancer divers meacutecanismes de reacuteaction
Le tableau suivant reacutesume les diffeacuterentes caracteacuteristiques drsquoun IPS et drsquoun IDS
Chapitre 2
Deacutetection drsquointrusion Preacutevention drsquointrusion
HIDS
Pour
- Peut deacutetecter lutilisation drsquoun systegraveme qui
viole la politique de seacutecuriteacute de lrsquoentreprise
- Peut alerter sur des changements au niveau
du systegraveme tels qursquoune importante
modification de fichier
Contre
- Le coucirct du deacuteploiement et de la gestion est
eacuteleveacute puisque chaque hocircte doit ecirctre eacutequipeacute et
une politique doit ecirctre deacuteveloppeacutee
- La plupart des fabricants de HIDS ne
construisent pas un produit destineacute aux
postes de travail ainsi seuls les serveurs sont
proteacutegeacutes
- La deacutetection est geacuteneacuteralement a posteriori
dans la courbe de reacuteponse Une deacutetection
reacuteussie vient dune tentative reacuteussie dattaque
HIPS
Pour
- Assure une protection contre les attaques
inconnues
- Exige peu ou aucune mise agrave jour de seacutecuriteacute
dans une peacuteriode annuelle
- Empecircche les attaques de sexeacutecuter sur une
machine au niveau noyau plutocirct que de
deacutetecter les reacutesultats dune attaque reacuteussie
Contre
- Le coucirct de tout le systegraveme peut ecirctre eacuteleveacute
puisquun agent est neacutecessaire pour chaque
serveur etou poste de travail critique
- Le temps de deacuteploiement afin drsquoeacutequiper
chaque serveurposte de travail peut ecirctre
long
- Le produit neacutecessite un ajustement apregraves
linstallation initiale pour ecirctre un outil de
seacutecuriteacute parfaitement fonctionnel
- Peut arrecircter des applications leacutegitimes en
cas de mauvais ajustement De nouvelles
applications ont peut-ecirctre besoin drsquoecirctre
examineacutees par les HIPS avant quelles soient
deacuteployeacutees
Chapitre 2
NIDS
Pour
- Les systegravemes baseacutes sur la deacutetection
drsquoanomalie peuvent deacutetecter une attaque
mecircme sur les systegravemes qui emploient le
cryptage (ils ne voient pas les exploits ils
voient la circulation anormale reacutesultant dune
attaque reacuteussie)
- Lrsquoobservation du trafic avec un systegraveme
baseacute sur des regravegles peut aider agrave imposer une
utilisation du reacuteseau en respectant la
politique de lrsquoentreprise
Contre
- Le coucirct du facteur humain est eacuteleveacute pour
surveiller les eacuteveacutenements et pour reacutepondre
aux incidents
- Agrave moins quun plan de reacuteponse ne soit
conccedilu et mis en place lrsquoIDS fournit peu ou
aucune seacutecuriteacute
- Un deacuteploiement reacuteussi demande un
important ajustement de lrsquoIDS pour reacuteduire
au minimum les faux positifs
NIPS
Pour
- Peut arrecircter la propagation des vers si
deacuteployeacute correctement sans arrecircter le trafic
- Protegravege contre de nouvelles attaques avant
que le code dexploit soit sorti (dans la
plupart des cas)
- Reacuteduira le coucirct de la reacuteponse aux incidents
(puisque la plupart des reacuteponses aux
incidents sont automatiques)
Contre
- Le coucirct du deacuteploiement NIPS au sein dun
reacuteseau peut ecirctre important
- Puisque les NIPS sont un dispositif inteacutegreacute
au reacuteseau ils creacuteent un point de deacutefaillance
bien quil y ait des meacutethodes pour traiter ce
problegraveme Lapproche la plus commune est
dajouter des eacuteleacutements redondants sachant
que tout le trafic de reacuteseau traverse le NIPS
- Un NIPS neacutecessite toujours des mises agrave jour
de seacutecuriteacute pour ecirctre vraiment efficace
Chapitre 2
IV - La protection par preacutevention
Lrsquoobjectif principal de cette partie est de preacutesenter un moyen de protection contre les attaques
au niveau du protocole applicatif
On distingue deux types drsquoattaques applicatives
- Les attaques qui ne respectent pas le protocole applicatif qui enfreignent les regravegles lieacutees
agrave ce protocole ou qui se caracteacuterisent par un usage laquoanormalraquo de celui-ci
- Les attaques qui respectent le protocole applicatif et qui ne peuvent donc pas ecirctre
deacutetecteacutees par une analyse protocolaire
Lrsquoanalyse protocolaire appeleacutee aussi deacutetection drsquoanomalie de protocole est justement la
technique de preacutevention drsquointrusion utiliseacutee dans le cadre de ce travail Il srsquoagit drsquoune analyse
des paquets circulant sur le reacuteseau ayant pour but de deacutecoder le protocole applicatif utiliseacute et
de controcircler la conformiteacute de lrsquoutilisation de la RFC Le systegraveme de preacutevention effectue ce
qursquoon appelle une analyse applicative laquotemps reacuteelraquo En effet le flux est recomposeacute et analyseacute
laquoagrave la voleacuteeraquo Cette analyse nrsquoest plus faite dans une application qui srsquoexeacutecute au-dessus du
systegraveme drsquoexploitation mais directement dans le noyau du systegraveme drsquoexploitation
Cette technique possegravede lrsquoavantage drsquoecirctre une technique proactive4 Elle permet de bloquer
des attaques non connues simplement parce qursquoelles deacuterogent agrave la RFC Mais crsquoest une
technique non geacuteneacuterique qui nrsquoest efficace que pour le protocole analyseacute
La protection par lrsquoIPS est une solution destineacutee agrave toutes les entreprises qui ont deacuteployeacute un
service de VoIP comme montre la figure suivante
Figure IV-1 - Reacuteseaux dentreprise avec un service de teacuteleacutephonie IP
------------------------------------------------------------
4 Qui fonctionne de maniegravere dynamique par anticipation
Chapitre 2
Le reacuteseau drsquoentreprise est en geacuteneacuteral constitueacute de deux sections le reacuteseau interne (LAN) et la
zone deacutemilitariseacutee (DMZ) La DMZ est connecteacutee au reacuteseau public agrave travers le firewall
externe et comporte diffeacuterents serveurs accessibles depuis lrsquoexteacuterieur tels que le serveur web
e-mail DNS (Domain Name Server) etc Le reacuteseau interne est connecteacute agrave la DMZ par un
autre firewall
Chaque dispositif de seacutecuriteacute est utiliseacute dans le but de se proteacuteger drsquoune menace particuliegravere
De plus ils possegravedent tous un point faible Ainsi crsquoest seulement en combinant les diffeacuterentes
techniques qursquoon arrive reacuteellement agrave une protection optimale Les firewalls sont la barriegravere de
trafic ils laissent passer ou non les trafics entrant selon leur politique Les IDS sont le
moniteur de trafic ils observent lrsquoactiviteacute du reacuteseau et consignent ce qui est suspect Ils
peuvent deacutetecter les menaces qui ont pu eacutechapper au firewall et les notifient Les IPS
fournissent les mesures preacuteventives et les commandes utiles pour combattre de nouvelles
menaces
IV-1 LrsquoIPS par Snort Inline
Ce travail impleacutemente un NIDS en ligne (Inline NIDS) meacutethode choisie pour la reacutealisation
de lrsquoIPS
Qursquoest-ce qui a motiveacute ce choix
Lrsquoobjectif eacutetait de reacutealiser un IPS pour le protocole SIP en respectant dans la mesure du
possible les impeacuteratifs
bull Ne pas toucher la topologie du reacuteseau existant
bull Inteacutegrer une solution totalement transparente crsquoest-agrave-dire ne rien toucher au systegraveme de
protection deacutejagrave deacuteployeacute
bull Avoir une solution la moins coucircteuse possible
Le dernier point conduit tout de suite agrave une solution open source Il existe dans le domaine des
logiciels libres un IPS Snort Inline qui est une version modifieacutee du ceacutelegravebre IDS Snort Celui-
ci constituera la base de lrsquoIPS SIP
Des fonctionnaliteacutes permettant drsquoinspecter le trafic SIP lui seront ajouteacutees
Chapitre 2
IV-1-1 Bregraveve preacutesentation de Snort Inline
Snort Inline est un systegraveme de preacutevention drsquointrusion Il exploite toutes les fonctionnaliteacutes
drsquoorigine de Snort telles que le deacutecodage le reacuteassemblage des paquetshellip Il utilise eacutegalement
les mecircmes composants que Snort tels que les preacuteprocesseurs de flux Par contre Snort Inline
utilise iptables et ip_queue5 pour lrsquoacquisition et le transfert des paquets
Iptables est configureacute comme un firewall normal Il prend tous les paquets entrants et les
transmet agrave Snort Inline Ce dernier a un moteur de deacutetection dintrusion inteacutegreacute qui analyse les
paquets reccedilus et transmet uniquement les paquets jugeacutes non hostiles au reacuteseau interne
Lrsquohocircte Snort Inline doit reacutesider entre la source et la destination des paquets pour que tout le
trafic passe par lrsquoordinateur qui heacuteberge Snort Inline
IV-1-2 Les composants
En geacuteneacuteral Snort Inline est diviseacute en plusieurs composants
bull Deacutecodeur de paquet (Packet decoder)
bull Preacuteprocesseurs (Preprocessors)
bull Moteur de deacutetection (Detection Engine)
bull Systegraveme dalerte et denregistrement de log (Logging and Alerting System)
Et eacuteventuellement des Modules de sortie (Output Module)
Ces composants travaillent ensemble pour deacutetecter des attaques particuliegraveres La figure
suivante montre comment ces composants sont organiseacutes
-----------------------------------------
5 Ip_queue est un module du noyau responsable de passer les paquets depuis le target QUEUE dans lespace noyau pour une application qui se trouve dans lespace utilisateur
Chapitre 2
Figure IV-2- Les diffeacuterents composants de Snort Inline
Chaque paquet de donneacutees passe par le deacutecodeur de paquet Sur son chemin vers les modules
de sortie il est soit rejeteacute soit logueacute
IV-1-2-1 Le deacutecodeur de paquet
Le deacutecodeur de paquet reacutecupegravere les paquets des diffeacuterentes interfaces reacuteseaux et les preacutepare
pour passer dans le preacuteprocesseur ou pour ecirctre envoyeacutes au moteur de deacutetection Les interfaces
peuvent ecirctre Ethernet SLIP (Serial Line Internet Protocol) PPP (Point to Point Protocol)hellip
Le deacutecodeur de paquet se compose drsquoune seacuterie de deacutecodeurs speacutecialiseacutes chacun dans un
eacuteleacutement de protocole speacutecifique
Figure IV-3 - Deacutecodeur de paquet
Chapitre 2
Le deacutecodeur de paquet transforme les eacuteleacutements du protocole (par exemple les entecirctes LLC
Ethernet IP TCP UDP hellip) speacutecifiques en une structure de donneacutees interne
IV-1-2-2 Les preacuteprocesseurs
Les preacuteprocesseurs sont des composants ou plug-ins Ils peuvent ecirctre utiliseacutes avec Snort Inline
pour laquoarrangerraquo ou laquomodifierraquo les paquets avant que le moteur de deacutetection ne fasse ses
opeacuterations pour deacutecouvrir si le paquet est utiliseacute par un intrus Certains preacuteprocesseurs
effectuent eacutegalement une deacutetection pour trouver des anomalies dans les entecirctes de paquet et
produisent des alertes ou des logs
IV-1-2-3 Le moteur de deacutetection
Le moteur de deacutetection est la partie la plus importante Son rocircle est de deacutetecter srsquoil existe une
activiteacute dintrusion possible dans un paquet Le moteur de deacutetection utilise des regravegles dans ce
but Les regravegles sont lues dans les structures ou les chaicircnes de donneacutees internes ougrave elles sont
associeacutees avec chaque paquet Si un paquet correspond agrave une des regravegles une action approprieacutee
est effectueacutee Le paquet est par exemple rejeteacute et un log est noteacute
IV-1-3- Les modes
LrsquoIPS peut ecirctre deacuteployeacute en deux modes
IV-1-3-1 Mode NAT
En mode NAT le reacuteseau est diviseacute en deux parties la partie publique et la partie priveacutee Le
cocircteacute public du reacuteseau est seacutepareacute du cocircteacute priveacute par lIPS LIPS exeacutecute la configuration NAT il
eacutetablit une correspondance de toutes les adresses publiques agrave son interface publique Ensuite il
les traduit agrave leurs adresses priveacutees correspondantes
IV-1-3- 2 Mode Bridge
En mode bridge lIPS agit en tant que pont entre le reacuteseau public et le reacuteseau priveacute Le mode
pont est furtif En effet le dispositif devient non deacutetectable puisqursquoil ne possegravede pas drsquoadresse
IP Il est donc plus sucircr ce qui en fait le mode recommandeacute
Chapitre 2
IV-1-4- Les regravegles
Snort Inline est eacutequipeacute de reacuteponses de preacutevention des intrusions qui prennent la forme
drsquoactions de regravegles classiques
IV-1-4- 1 Drop
La regravegle drop indiquera agrave iptables de rejeter le paquet et drsquoenvoyer un TCP reset si le
protocole est TCP ou un ICMP port unreachable si le protocole est UDP et de loguer le
paquet par lintermeacutediaire des moyens habituels de Snort
Figure IV-4 - Snort Inline drop mode
Quand des paquets sont lus par Snort Inline dans le target QUEUE drsquoiptables les meta-
donneacutees etou la charge utile (payload) du paquet sont compareacutees agrave lensemble des regravegles de
Snort Inline Si le paquet a eacuteteacute identifieacute comme eacutetant un paquet malveillant contenant un
certain type de signature dexploit Snort Inline deacutetermine ce quil va devenir Il se base sur les
regravegles preacutedeacutefinies pour prendre sa deacutecision Si on a deacutefini des regravegles drop alors le paquet sera
rejeteacute Cette deacutecision est passeacutee agrave iptables qui va la mettre en oeuvre
IV-1-4- 2 Sdrop
La regravegle sdrop indiquera agrave iptables de rejeter le paquet et drsquoenvoyer un reset mais aucun log
nrsquoest eacutecrit
Chapitre 2
Il existe deux options sur la faccedilon drsquoenvoyer un reset
bull On peut toujours utiliser un raw socket6 crsquoest le comportement par deacutefaut de Snort Inline
Dans ce cas on doit avoir une interface qui possegravede une adresse IP assigneacutee Sil ny a pas
une interface avec une adresse IP valide avec accegraves agrave la source du paquet le paquet sera
logueacute mais le reset ne sera jamais envoyeacute sur le reacuteseau
bull On peut eacutegalement effectuer des resets par lintermeacutediaire dun dispositif physique en
utilisant iptables On utilise le nom INDEV fourni par ip_queue comme interface sur
laquelle on envoie le reset Il nrsquoest plus neacutecessaire qursquoune adresse IP soit preacutesente sur le
pont il demeure donc furtif
------------------------------------------6 Un raw socket est un socket avec un pouvoir laquosupeacuterieurraquo il permet deacutecrire ou de lire des paquets sur une interface reacuteseau avec les paramegravetres souhaiteacutes cest-agrave-dire quil aura la possibiliteacute de modifier lentecircte dun paquet pour ensuite lenvoyer avec les options de ce mecircme entecircte modifieacutees (adresse IP source flag TCP etc)
Chapitre 2
Figure I1-Endroits typiques pour un IDS reacuteseau (NIDS)
1048766 Location 1 dans la zone deacutemilitariseacutee (DMZ) Voir les attaques qui visent surtout les
serveurs de services de lrsquoentreprise
1048766 Location 2 entre le firewall externe et lrsquoInternet Permet drsquoanalyser au mieux les
attaques lanceacutees contre lrsquoentreprise
1048766 Location 3 agrave chaque segment du reacuteseau LrsquoIDS situeacute agrave cet endroit se concentre plus
sur les charges intrusives plus dangereuses qui passent agrave travers le firewall
1048766 Location 4 plus pregraves des sous-reacuteseaux sensibles permet de deacutetecter les attaques
visant des ressources ou des systegravemes critiques Par exemple des serveurs de comptes
sensibles
Une nouvelle famille drsquooutils de seacutecuriteacute est apparue sur le reacuteseau les systegravemes de preacutevention
des intrusions (IPS Intrusion Prevention System)
Chapitre 2
II- Systegraveme de Preacutevention drsquointrusionUn systegraveme de preacutevention drsquointrusion est un dispositif (mateacuteriel ou logiciel) capable de
deacutetecter des attaques connues et inconnues et de les empecirccher decirctre reacuteussies
Un IPS nrsquoest pas un observateur il fait partie inteacutegrante du reacuteseau Il est placeacute en ligne et
examine tous les paquets entrants ou sortants LrsquoIPS a eacuteteacute deacuteveloppeacute de maniegravere agrave prendre les
mesures neacutecessaires pour contrer les intrusions deacutetectables avec preacutecision Il surveille le trafic
et intervient activement par limitation ou suppression du trafic jugeacute hostile par interruption
des sessions suspectes ou par drsquoautres mesures en reacuteaction agrave une attaque Il reacutealise un
ensemble drsquoanalyses de deacutetection non seulement sur chaque paquet individuel mais
eacutegalement sur les motifs du reacuteseau en visualisant chaque transaction dans le contexte de
celles qui preacuteceacutedent ou qui suivent
En geacuteneacuteral les quatre modules principaux qui composent un IPS sont
- Normalisation du trafic (Traffic normalizer)
- Scanner de service (Service scanner)
- Moteur de deacutetection (Detection engine)
- Traffic shaper
Le traffic normalizer surveille le trafic analyse les paquets et exeacutecute les mesures de base
contre les attaques comme le blocage drsquoadresse IP Le trafic analyseacute est ensuite passeacute au
moteur de deacutetection et au scanner de service Ce dernier construit une table de reacutefeacuterence
classifiant les informations afin drsquoaider le traffic shaper agrave mieux geacuterer le flux de ces
informations Le moteur de deacutetection compare les scheacutemas drsquoeacuteveacutenements en cours avec ceux
contenus dans la table de reacutefeacuterence
II1 Les Types drsquoIPS
Il existe actuellement deux cateacutegories de produit IPS
Les NIPS (Network Intrusion Prevention System) un logiciel ou un mateacuteriel deacutedieacute connecteacute
directement agrave un segment du reacuteseau et qui protegravege tous les systegravemes rattacheacutes agrave ce segment
Les HIPS (Host Intrusion Prevention System) un programme systegraveme installeacute directement sur
lrsquoordinateur agrave proteacuteger
Chapitre 2
II11 Network IPS
Le Network IPS (NIPS) combine les caracteacuteristiques drsquoun IDS standard et drsquoun firewall Il est
parfois qualifieacute comme eacutetant la prochaine geacuteneacuteration de firewall le firewall agrave laquoinspection en
profondeur (deep inspection)raquo
Comme avec un firewall le NIPS a au moins deux interfaces reacuteseau une interne et une
externe Les paquets arrivent agrave lune ou lautre des deux interfaces puis sont passeacutes au moteur
de deacutetection Jusqursquoici lrsquoIPS fonctionne comme un IDS crsquoest-agrave-dire qursquoil deacutetermine si oui ou
non le paquet est malveillant Cependant sil en deacutetecte en plus de deacuteclencher une alerte il
rejettera le paquet et marquera cette session laquosuspecteraquo
Quand les paquets restants qui composent cette session particuliegravere arriveront agrave lrsquoIPS ils
seront jeteacutes immeacutediatement Les paquets propres sont passeacutes agrave travers la deuxiegraveme interface
pour atteindre leur destination preacutevue
Les NIPS sont deacuteployeacutes en ligne avec le segment du reacuteseau agrave proteacuteger De ce fait toutes les
donneacutees qui circulent entre le segment proteacutegeacute et le reste du reacuteseau doivent passer par le
NIPS Degraves quun paquet suspect est deacutetecteacute - et avant quil soit passeacute agrave linterface interne et au
reacuteseau proteacutegeacute- il peut ecirctre rejeteacute En plus de cela au moment ougrave la session a eacuteteacute marqueacutee
comme laquosuspecteraquo tous les paquets suivants qui font partie de cette session peuvent ecirctre
eacutegalement rejeteacute avec un eacuteventuel traitement additionnel Quelques produits envoient par
exemple un Reset TCP ou un message ICMP Unreachable agrave la machine attaquante
Comme le trafic traverse lrsquoIPS il est inspecteacute pour veacuterifier la preacutesence dune attaque Le NIPS
peut employer lrsquoapproche de deacutetection baseacutee sur les signatures drsquoattaque Une diffeacuterence
principale cependant est qursquoil emploie des signatures qui sont baseacutees sur des vulneacuterabiliteacutes et
non pas sur les exploits2 En utilisant des signatures sur des vulneacuterabiliteacutes le NIPS peut
ajouter une protection (promettante) avant que des exploits reacuteels ne soient libeacutereacutes dans la
nature
Un NIPS deacuteclenche tout comme un NIDS des alarmes face aux attaques mais le contenu de
lrsquoalarme est diffeacuterent Crsquoest plutocirct une notification indiquant laquotel ou tel trafic a eacuteteacute deacutetecteacute en
train dessayer dattaquer ce systegraveme et a eacuteteacute bloqueacuteraquo
----------------------------------
2 Un exploit tire profit dune faiblesse dans un systegraveme afin de lentailler Les exploits sont la racine de la culture dintrus
Chapitre 2
Est-ce quavec des alarmes de ce type une intervention humaine est neacutecessaire
Dans un environnement ougrave la seacutecuriteacute est primordiale la reacuteponse est plutocirct oui Une
intervention humaine est neacutecessaire pour veacuterifier lrsquointervention automatiseacutee et aussi pour
recueillir les indices de sorte quils puissent ecirctre employeacutes pour se proteacuteger contre de futures
attaques ou pour identifier une plus grande menace
Dans la plupart des environnements ougrave la seacutecuriteacute est un souci et non pas une prioriteacute aucune
intervention humaine nrsquoest vraiment neacutecessaire
Les avantages drsquoun network IPS
- Un seul point de controcircle pour le trafic peut proteacuteger des milliers de systegravemes situeacutes en
aval du dispositif Ceci permet agrave une organisation de mesurer sa solution rapidement et de
fournir la flexibiliteacute requise pour reacutepondre aux changements constants de larchitecture reacuteseau
- Le deacuteploiement devient facile car un seul dispositif IPS peut proteacuteger des centaines de
systegravemes
- Il fournit une vue plus large de lenvironnement de menaces telles que les balayages
sondeshellip Avoir une vision strateacutegique de lenvironnement de menaces permet agrave la gestion de
seacutecuriteacute de sadapter agrave un changement de perspective
- Il protegravege les autres dispositifs du reacuteseau toutes les attaques ne sont pas dirigeacutees que contre
les systegravemes doteacutes drsquoun systegraveme dexploitation Par exemple les routeurs firewalls
concentrateurs VPN serveurs drsquoimprimantes etc sont tous vulneacuterables et exigent une
protection
- Il protegravege des attaques reacuteseaux DoS DDos SYN flood etc Travailler au niveau du reacuteseau
permet agrave un NIPS de proteacuteger contre ces types dattaques
II12 Host IPS
Le HIPS est un programme qui reacuteside sur un systegraveme tel que serveurs postes de travail ou
portables
Le trafic venant ou sortant de ce systegraveme particulier est inspecteacute et les activiteacutes au niveau des
applications et du systegraveme dexploitation peuvent ecirctre examineacutees afin de trouver des signes
dune attaque Un HIPS peut deacutetecter les attaques qui visent la machine et arrecircter le processus
malveillant avant quil ne sexeacutecute On peut donc consideacuterer le HIPS comme eacutetant plus un
moniteur de systegraveme drsquoexploitation ou moniteur drsquoapplication
Le HIPS nexige plus quun service geacutenegravere une notation deacuteveacutenement (event log) ou des
changements dans des fichiers systegravemes avant drsquoagir Crsquoest la nouveauteacute de cet outil
Chapitre 2
Quand une attaque est deacutetecteacutee le logiciel bloque lattaque soit au niveau de lrsquointerface
reacuteseau soit en envoyant des commandes agrave lapplication ou au systegraveme dexploitation darrecircter
lrsquoaction lanceacutee par lattaque
La meacutethode de deacutetection varie selon le fabricant mais la plus utiliseacutee est lrsquoapproche baseacutee sur
des regravegles
Un HIPS possegravede une liste preacutedeacutefinie de regravegle eacutetablie par le fabriquant et livreacutee avec le
produit Ces regravegles savent comment un systegraveme dexploitation ou une application devrait se
laquocomporterraquo Si lapplication initie une action suspecte une des regravegles est deacuteclencheacutee et le
processus est tueacute avant mecircme quil ait pu nuire au systegraveme
Par exemple les attaques par buffer overflow peuvent ecirctre empecirccheacutees en interdisant
lexeacutecution du programme malveillant inseacutereacute dans lespace adresse exploiteacute par lattaque Ou
encore les tentatives dinstallation de back door via une application comme Internet Explorer
sont bloqueacutes en arrecirctant et en refusant la commande write file commande provenant de lrsquoIE
Drsquoautres systegravemes HIPS emploient lrsquoapproche ldquosurveillancerdquo ou ldquoobservationrdquo Un agent
HIPS tourne sur la machine et se concentre sur les eacuteveacutenements drsquoun systegraveme drsquoexploitation en
observant tous les appels systegraveme les entreacutees de la base de registre et les services des
communications
Enfin lapproche hybride est aussi utiliseacutee Un HIPS hybride peut employer une combinaison
de regravegles controcircle de lrsquoactiviteacute des applications et les signatures pour deacutetecter une attaque
Lavantage principal de ce type de systegravemes est la capaciteacute didentifier absolument les attaques
connues
Les systegravemes baseacutes sur les regravegles ou ceux qui adoptent lrsquoapproche laquosurveillanceraquo peuvent ne
deacutecouvrir que les actions suspectes actions qui sont arrecircteacutees bien-sucircr
Les avantages drsquoun Host IPS
Un logiciel installeacute directement sur le systegraveme le protegravege contre une attaque mais en plus le
protegravege des reacutesultats dune attaque en empecircchant un programme drsquoeacutecrire dans un fichier ou
un utilisateur drsquoaugmenter son privilegravege etchellip
- Protegravege les systegravemes mobiles contre lattaque quand ils sont hors du reacuteseau proteacutegeacute Les
ordinateurs portables sont le vecteur principal de vers dans un reacuteseau proteacutegeacute Installer un
NIPS avec un systegraveme mobile nest pas une solution pratique
- Protegravege des attaques locales le personnel avec un accegraves physique agrave un systegraveme peut lancer
des attaques locales en exeacutecutant des programmes introduits par une disquette ou un CD etc
Chapitre 2
Ces attaques se concentrent souvent sur lrsquoaugmentation des privilegraveges de lutilisateur en root
ou administrator afin de compromettre facilement dautres systegravemes dans le reacuteseau
- Garantir une laquoderniegravere ligne de deacutefenseraquo contre les attaques qui ont pu se soustraire agrave
dautres outils de seacutecuriteacute Un potentiel systegraveme victime lui-mecircme est un dernier point de
deacutefense disponible pour lrsquoadministrateur de la seacutecuriteacute afin de se proteacuteger des violations du
systegraveme
- Empecircche lattaque interne ou labus des dispositifs situeacutes sur le mecircme segment du reacuteseau le
NIPS assure uniquement une protection des donneacutees qui se deacuteplacent entre diffeacuterents
segments Les attaques lanceacutees entre les systegravemes situeacutes sur le mecircme segment ne peuvent ecirctre
contreacutees qursquoavec le HIPS
- Protegravege des attaques chiffreacutees quand le flux de donneacutees chiffreacutees srsquoarrecircte au systegraveme
proteacutegeacute Le HIPS examine ces donneacutees etou le comportement apregraves que ces donneacutees chiffreacutees
ont eacuteteacute deacutechiffreacutees sur le systegraveme
- Indeacutependant de larchitecture reacuteseau
Comme le HIPS intercepte toutes les requecirctes destineacutees au systegraveme quil protegravege il doit
respecter une certaine condition preacutealable il doit ecirctre tregraves fiable ne doit pas avoir un impact
neacutegatif sur la performance du systegraveme et ne doit pas bloquer le trafic reconnu comme
leacutegitime
II2 Les techniques de deacutetection
La premiegravere eacutetape pour arrecircter les attaques et eacuteviter les intrusions consiste agrave les deacutetecter
Plusieurs meacutethodes de deacutetection sont applicables
1) Lrsquoanalyse de protocole crsquoest une deacutetection drsquoanomalie de protocole LrsquoIPS controcircle la
conformiteacute agrave la norme du protocole donneacute Avec cette meacutethode la recherche drsquoune activiteacute
drsquointrusion est plus cibleacutee et donc plus efficace
2) Correspondance de motifs (pattern matching) le trafic est scruteacute pour deacuteterminer les
signatures des motifs drsquoattaque connus Le systegraveme analyse chaque paquet Cette meacutethode
peut ecirctre stateful crsquoest-agrave-dire que le systegraveme examine le contexte et lrsquoemplacement de la
signature LrsquoIPS conserve la trace de lrsquoeacutetat de connexion avec lrsquoentiteacute exteacuterieure et eacutevaluera le
contexte plus large de toutes les transactions eacutetablies au cours de la connexion Cette meacutethode
ne permet de deacutetecter que les attaques connues et seulement si la liste des signatures
drsquoattaques est reacuteguliegraverement actualiseacutee
Chapitre 2
3) Comportementale deacutetection baseacutee sur le comportement (behaviour based detection) LrsquoIPS
tente de deacutecouvrir des activiteacutes laquoanormalesraquo en observant le comportement du systegraveme et des
utilisateurs Apregraves une phase drsquoapprentissage lrsquoIPS dispose drsquoun modegravele du laquocomportement
normalraquo du systegraveme et de ses utilisateurs SI lrsquoIPS constate que lrsquoactiviteacute courante srsquoeacuteloigne
trop du comportement normal il prenne une mesure Cette meacutethode a lrsquoavantage de pouvoir
deacutetecter des tentatives drsquoexploitation de vulneacuterabiliteacutes jusque lagrave inconnues
II3 Ougrave placer lrsquoIPS dans une topologie reacuteseau
Figure II-1 ndash Endroits typiques pour un IPS reacuteseau (NIPS)
1 Derriegravere le firewall peacuterimegravetre de reacuteseau et la fin de tout reacuteseau VPN
2 Entre le firewall peacuterimegravetre de reacuteseau et les serveurs placeacutes dans la DMZ tels que le serveur
web et les serveurs de-mailhellip
3 Devant les serveurs internes critiques tels que les serveurs dapplication
4 Devant les principaux workgroups drsquoun deacutepartement
44 Les diffeacuterentes faccedilons de reacutealiser un IPS
Il existe 5 diffeacuterentes faccedilons de reacutealiser un systegraveme de preacutevention drsquointrusion agrave savoir le
NIDS en ligne (inline NIDS) les firewallsIDS applicatifs (application-based firewallsIDS)
les commutateurs de la couche 7 (layer 7 switches) les IDS reacuteseaux applicatifs (network-
based application IDSs) et les applications trompeuses (deceptive applications)
Chapitre 2
III ndash La diffeacuterence entre la Deacutetection et la Preacutevention
Un IDS (reacuteseau) et un IPS (reacuteseau) se diffegraverent principalement par 2 caracteacuteristiques
- Le positionnement sur le reacuteseau (traditionnellement lrsquoIDS est positionneacute comme un sniffer)
- La possibiliteacute de bloquer immeacutediatement les intrusions et ce quel que soit le type de
protocole de transport utiliseacute sans reconfiguration drsquoun eacutequipement tiers LrsquoIPS est constitueacute
drsquoune technique de filtrage de paquets et de moyens de blocage (drop connection drop
offending packets block intruder hellip)
Mais on peut eacutegalement ajouter le deacuteterminisme Les IDS peuvent (et devraient) utiliser des
meacutethodes non deacuteterministes pour laquopreacutedireraquo toute sorte de menace ou une menace potentielle
du trafic existant Ces meacutethodes se composent de lanalyse statistique du volume de trafic des
modegraveles de trafic et des activiteacutes anormales Mais tout ceci nrsquoest destineacute qursquoagrave celui qui veut
savoir ce qui se passe sur son reacuteseau et rien de plus En revanche un IPS doit ecirctre
deacuteterministe ndash juste exact - dans toutes ses deacutecisions afin dexeacutecuter sa fonction de
laquonettoyeurraquo de trafic Un dispositif IPS nest pas censeacute prendre des risques ou reacuteagir avec une
certaine technique dlaquointuitionraquo Il est supposeacute fonctionner tout le temps faire un controcircle
drsquoaccegraves du reacuteseau et prendre des deacutecisions Les firewalls ont fourni la premiegravere approche
deacuteterministe du controcircle daccegraves du reacuteseau
III-1 IDS
Les systegravemes de deacutetection dintrusion ont eacuteteacute deacuteveloppeacutes pour identifier le trafic hostile et
envoyer des alertes Ils ne font rien pour arrecircter une attaque Ils sont deacuteployeacutes hors ligne et
possegravedent lrsquoavantage de ne pas pouvoir causer eux-mecircmes de panne de reacuteseau
La nature passive drsquoun IDS le positionne bien pour identifier
- Les attaques connues par lintermeacutediaire des signatures et des regravegles
- Les variations de volume et de direction de trafic en utilisant des regravegles complexes et une
analyse statistique
- Les variations de modegravele de trafic de communication en utilisant lanalyse des flux
Chapitre 2
- La deacutetection dune activiteacute suspecte en utilisant lanalyse de flux les techniques
statistiques et la deacutetection danomalie
Mais cette passiviteacute ne donne pas que des avantages On reproche eacutegalement agrave un IDS
Deacutetection uniquement sans preacutevention Comme ils sont placeacutes en dehors du reacuteseau les
NIDS peuvent difficilement avoir une incidence sur le trafic Les NIDS sont geacuteneacuteralement
impuissants pour arrecircter ou mecircme contrer une attaque en cours
Dureacutee de reacutecupeacuteration du systegraveme importante La neacutecessiteacute drsquoune intervention manuelle
de mecircme que la quantiteacute consideacuterable de donneacutees agrave scruter entraicircne une reacuteaction lente face agrave
une attaque ou une intrusion
Fausses alarmes Les NIDS confondent parfois un trafic inoffensif avec une attaque ce sont
les laquofaux positifsraquo Ces erreurs demandent souvent un temps consideacuterable pour controcircler les
paquets en question et deacuteterminer que le systegraveme NIDS srsquoest trompeacute Dans drsquoautres
circonstances le NIDS identifie correctement un motif de trafic particulier qui correspond agrave
une signature mais la structure srsquoavegravere en fait normale pour lorganisation en question
Donneacutees des journaux trop importantes Un NIDS doit geacuteneacuterer des journaux de compte-
rendu drsquoactiviteacute anormale ou douteuse sur le reacuteseau Les responsables de la seacutecuriteacute doivent
passer du temps agrave examiner ces journaux pour deacuteterminer ce qui srsquoest passeacute et les actions agrave
entreprendre
Difficulteacutes de deacuteploiement Les solutions NIDS doivent ecirctre placeacutees agrave toutes les entreacutees des
systegravemes et serveurs de lrsquoentreprise ecirctre correctement configureacutees et reacuteguliegraverement mises agrave
jour Mais plus le niveau des menaces augmente plus le deacuteploiement des IDS prend de
lrsquoampleur et on constate que la quantiteacute dheure neacutecessaire pour analyser les logs et pour
reacutepondre aux incidents (geacuterer et reacuteparer) devient trop importante
Les solutions traditionnelles comme le firewall et les anti-virus ne peuvent pas faire face agrave la
nouvelle geacuteneacuteration de menaces Une solution qui protegravege les informations au moment
opportun sans attendre une nouvelle creacuteation et distribution de signatures est neacutecessaire
III-2 IPS
Les solutions de preacutevention dintrusion sont mises en place pour traiter
- Les applications non deacutesireacutees les attaques cheval de Troie contre les reacuteseaux priveacutes et
les applications en utilisant des regravegles deacuteterministes et des listes de controcircle daccegraves
Chapitre 2
- Les attaques DoS ou DDoS comme les SYN et ICMP Flooding en utilisant un
algorithme de filtrage agrave seuil
- Les abus drsquoapplication et les manipulations de protocole -attaques connues et inconnues
contre HTTP ftp DNS smtp etc- en utilisant des regravegles de protocole dapplication et des
signatures
- Les attaques de surcharge ou drsquoabus dapplication en utilisant des limites de
consommation de ressource baseacutees sur des seuils
Ces systegravemes possegravedent les avantages suivants
Blocage rapide des intrusions Un eacuteveacutenement drsquointrusion est le deacutebut drsquoun processus
drsquoatteinte aux ressources informatiques drsquoune entreprise sans parler des responsabiliteacutes
juridiques potentielles En intervenant degraves la deacutetection un IPS bloque rapidement lrsquointrusion
et minimise la dureacutee totale avant que le reacuteseau ne revienne agrave la normale
Deacutetection preacutecise et fiable A lrsquoaide de plusieurs meacutethodes de deacutetection et en tirant parti de
sa position en ligne lrsquoIPS peut deacutetecter les attaques et intrusions avec une preacutecision et une
fiabiliteacute supeacuterieures
Moins deacutependant des signatures et davantage des meacutethodes intelligentes de deacutetection lrsquoIPS
geacutenegravere beaucoup moins de fausses alarmes Ainsi le temps et les efforts de lrsquoentreprise sont
exclusivement concentreacutes sur les veacuteritables menaces
Preacutevention active Alors qursquoun NIDS avertit simplement de la preacutesence drsquoun trafic suspect
ou anormal un IPS peut lancer divers meacutecanismes de reacuteaction
Le tableau suivant reacutesume les diffeacuterentes caracteacuteristiques drsquoun IPS et drsquoun IDS
Chapitre 2
Deacutetection drsquointrusion Preacutevention drsquointrusion
HIDS
Pour
- Peut deacutetecter lutilisation drsquoun systegraveme qui
viole la politique de seacutecuriteacute de lrsquoentreprise
- Peut alerter sur des changements au niveau
du systegraveme tels qursquoune importante
modification de fichier
Contre
- Le coucirct du deacuteploiement et de la gestion est
eacuteleveacute puisque chaque hocircte doit ecirctre eacutequipeacute et
une politique doit ecirctre deacuteveloppeacutee
- La plupart des fabricants de HIDS ne
construisent pas un produit destineacute aux
postes de travail ainsi seuls les serveurs sont
proteacutegeacutes
- La deacutetection est geacuteneacuteralement a posteriori
dans la courbe de reacuteponse Une deacutetection
reacuteussie vient dune tentative reacuteussie dattaque
HIPS
Pour
- Assure une protection contre les attaques
inconnues
- Exige peu ou aucune mise agrave jour de seacutecuriteacute
dans une peacuteriode annuelle
- Empecircche les attaques de sexeacutecuter sur une
machine au niveau noyau plutocirct que de
deacutetecter les reacutesultats dune attaque reacuteussie
Contre
- Le coucirct de tout le systegraveme peut ecirctre eacuteleveacute
puisquun agent est neacutecessaire pour chaque
serveur etou poste de travail critique
- Le temps de deacuteploiement afin drsquoeacutequiper
chaque serveurposte de travail peut ecirctre
long
- Le produit neacutecessite un ajustement apregraves
linstallation initiale pour ecirctre un outil de
seacutecuriteacute parfaitement fonctionnel
- Peut arrecircter des applications leacutegitimes en
cas de mauvais ajustement De nouvelles
applications ont peut-ecirctre besoin drsquoecirctre
examineacutees par les HIPS avant quelles soient
deacuteployeacutees
Chapitre 2
NIDS
Pour
- Les systegravemes baseacutes sur la deacutetection
drsquoanomalie peuvent deacutetecter une attaque
mecircme sur les systegravemes qui emploient le
cryptage (ils ne voient pas les exploits ils
voient la circulation anormale reacutesultant dune
attaque reacuteussie)
- Lrsquoobservation du trafic avec un systegraveme
baseacute sur des regravegles peut aider agrave imposer une
utilisation du reacuteseau en respectant la
politique de lrsquoentreprise
Contre
- Le coucirct du facteur humain est eacuteleveacute pour
surveiller les eacuteveacutenements et pour reacutepondre
aux incidents
- Agrave moins quun plan de reacuteponse ne soit
conccedilu et mis en place lrsquoIDS fournit peu ou
aucune seacutecuriteacute
- Un deacuteploiement reacuteussi demande un
important ajustement de lrsquoIDS pour reacuteduire
au minimum les faux positifs
NIPS
Pour
- Peut arrecircter la propagation des vers si
deacuteployeacute correctement sans arrecircter le trafic
- Protegravege contre de nouvelles attaques avant
que le code dexploit soit sorti (dans la
plupart des cas)
- Reacuteduira le coucirct de la reacuteponse aux incidents
(puisque la plupart des reacuteponses aux
incidents sont automatiques)
Contre
- Le coucirct du deacuteploiement NIPS au sein dun
reacuteseau peut ecirctre important
- Puisque les NIPS sont un dispositif inteacutegreacute
au reacuteseau ils creacuteent un point de deacutefaillance
bien quil y ait des meacutethodes pour traiter ce
problegraveme Lapproche la plus commune est
dajouter des eacuteleacutements redondants sachant
que tout le trafic de reacuteseau traverse le NIPS
- Un NIPS neacutecessite toujours des mises agrave jour
de seacutecuriteacute pour ecirctre vraiment efficace
Chapitre 2
IV - La protection par preacutevention
Lrsquoobjectif principal de cette partie est de preacutesenter un moyen de protection contre les attaques
au niveau du protocole applicatif
On distingue deux types drsquoattaques applicatives
- Les attaques qui ne respectent pas le protocole applicatif qui enfreignent les regravegles lieacutees
agrave ce protocole ou qui se caracteacuterisent par un usage laquoanormalraquo de celui-ci
- Les attaques qui respectent le protocole applicatif et qui ne peuvent donc pas ecirctre
deacutetecteacutees par une analyse protocolaire
Lrsquoanalyse protocolaire appeleacutee aussi deacutetection drsquoanomalie de protocole est justement la
technique de preacutevention drsquointrusion utiliseacutee dans le cadre de ce travail Il srsquoagit drsquoune analyse
des paquets circulant sur le reacuteseau ayant pour but de deacutecoder le protocole applicatif utiliseacute et
de controcircler la conformiteacute de lrsquoutilisation de la RFC Le systegraveme de preacutevention effectue ce
qursquoon appelle une analyse applicative laquotemps reacuteelraquo En effet le flux est recomposeacute et analyseacute
laquoagrave la voleacuteeraquo Cette analyse nrsquoest plus faite dans une application qui srsquoexeacutecute au-dessus du
systegraveme drsquoexploitation mais directement dans le noyau du systegraveme drsquoexploitation
Cette technique possegravede lrsquoavantage drsquoecirctre une technique proactive4 Elle permet de bloquer
des attaques non connues simplement parce qursquoelles deacuterogent agrave la RFC Mais crsquoest une
technique non geacuteneacuterique qui nrsquoest efficace que pour le protocole analyseacute
La protection par lrsquoIPS est une solution destineacutee agrave toutes les entreprises qui ont deacuteployeacute un
service de VoIP comme montre la figure suivante
Figure IV-1 - Reacuteseaux dentreprise avec un service de teacuteleacutephonie IP
------------------------------------------------------------
4 Qui fonctionne de maniegravere dynamique par anticipation
Chapitre 2
Le reacuteseau drsquoentreprise est en geacuteneacuteral constitueacute de deux sections le reacuteseau interne (LAN) et la
zone deacutemilitariseacutee (DMZ) La DMZ est connecteacutee au reacuteseau public agrave travers le firewall
externe et comporte diffeacuterents serveurs accessibles depuis lrsquoexteacuterieur tels que le serveur web
e-mail DNS (Domain Name Server) etc Le reacuteseau interne est connecteacute agrave la DMZ par un
autre firewall
Chaque dispositif de seacutecuriteacute est utiliseacute dans le but de se proteacuteger drsquoune menace particuliegravere
De plus ils possegravedent tous un point faible Ainsi crsquoest seulement en combinant les diffeacuterentes
techniques qursquoon arrive reacuteellement agrave une protection optimale Les firewalls sont la barriegravere de
trafic ils laissent passer ou non les trafics entrant selon leur politique Les IDS sont le
moniteur de trafic ils observent lrsquoactiviteacute du reacuteseau et consignent ce qui est suspect Ils
peuvent deacutetecter les menaces qui ont pu eacutechapper au firewall et les notifient Les IPS
fournissent les mesures preacuteventives et les commandes utiles pour combattre de nouvelles
menaces
IV-1 LrsquoIPS par Snort Inline
Ce travail impleacutemente un NIDS en ligne (Inline NIDS) meacutethode choisie pour la reacutealisation
de lrsquoIPS
Qursquoest-ce qui a motiveacute ce choix
Lrsquoobjectif eacutetait de reacutealiser un IPS pour le protocole SIP en respectant dans la mesure du
possible les impeacuteratifs
bull Ne pas toucher la topologie du reacuteseau existant
bull Inteacutegrer une solution totalement transparente crsquoest-agrave-dire ne rien toucher au systegraveme de
protection deacutejagrave deacuteployeacute
bull Avoir une solution la moins coucircteuse possible
Le dernier point conduit tout de suite agrave une solution open source Il existe dans le domaine des
logiciels libres un IPS Snort Inline qui est une version modifieacutee du ceacutelegravebre IDS Snort Celui-
ci constituera la base de lrsquoIPS SIP
Des fonctionnaliteacutes permettant drsquoinspecter le trafic SIP lui seront ajouteacutees
Chapitre 2
IV-1-1 Bregraveve preacutesentation de Snort Inline
Snort Inline est un systegraveme de preacutevention drsquointrusion Il exploite toutes les fonctionnaliteacutes
drsquoorigine de Snort telles que le deacutecodage le reacuteassemblage des paquetshellip Il utilise eacutegalement
les mecircmes composants que Snort tels que les preacuteprocesseurs de flux Par contre Snort Inline
utilise iptables et ip_queue5 pour lrsquoacquisition et le transfert des paquets
Iptables est configureacute comme un firewall normal Il prend tous les paquets entrants et les
transmet agrave Snort Inline Ce dernier a un moteur de deacutetection dintrusion inteacutegreacute qui analyse les
paquets reccedilus et transmet uniquement les paquets jugeacutes non hostiles au reacuteseau interne
Lrsquohocircte Snort Inline doit reacutesider entre la source et la destination des paquets pour que tout le
trafic passe par lrsquoordinateur qui heacuteberge Snort Inline
IV-1-2 Les composants
En geacuteneacuteral Snort Inline est diviseacute en plusieurs composants
bull Deacutecodeur de paquet (Packet decoder)
bull Preacuteprocesseurs (Preprocessors)
bull Moteur de deacutetection (Detection Engine)
bull Systegraveme dalerte et denregistrement de log (Logging and Alerting System)
Et eacuteventuellement des Modules de sortie (Output Module)
Ces composants travaillent ensemble pour deacutetecter des attaques particuliegraveres La figure
suivante montre comment ces composants sont organiseacutes
-----------------------------------------
5 Ip_queue est un module du noyau responsable de passer les paquets depuis le target QUEUE dans lespace noyau pour une application qui se trouve dans lespace utilisateur
Chapitre 2
Figure IV-2- Les diffeacuterents composants de Snort Inline
Chaque paquet de donneacutees passe par le deacutecodeur de paquet Sur son chemin vers les modules
de sortie il est soit rejeteacute soit logueacute
IV-1-2-1 Le deacutecodeur de paquet
Le deacutecodeur de paquet reacutecupegravere les paquets des diffeacuterentes interfaces reacuteseaux et les preacutepare
pour passer dans le preacuteprocesseur ou pour ecirctre envoyeacutes au moteur de deacutetection Les interfaces
peuvent ecirctre Ethernet SLIP (Serial Line Internet Protocol) PPP (Point to Point Protocol)hellip
Le deacutecodeur de paquet se compose drsquoune seacuterie de deacutecodeurs speacutecialiseacutes chacun dans un
eacuteleacutement de protocole speacutecifique
Figure IV-3 - Deacutecodeur de paquet
Chapitre 2
Le deacutecodeur de paquet transforme les eacuteleacutements du protocole (par exemple les entecirctes LLC
Ethernet IP TCP UDP hellip) speacutecifiques en une structure de donneacutees interne
IV-1-2-2 Les preacuteprocesseurs
Les preacuteprocesseurs sont des composants ou plug-ins Ils peuvent ecirctre utiliseacutes avec Snort Inline
pour laquoarrangerraquo ou laquomodifierraquo les paquets avant que le moteur de deacutetection ne fasse ses
opeacuterations pour deacutecouvrir si le paquet est utiliseacute par un intrus Certains preacuteprocesseurs
effectuent eacutegalement une deacutetection pour trouver des anomalies dans les entecirctes de paquet et
produisent des alertes ou des logs
IV-1-2-3 Le moteur de deacutetection
Le moteur de deacutetection est la partie la plus importante Son rocircle est de deacutetecter srsquoil existe une
activiteacute dintrusion possible dans un paquet Le moteur de deacutetection utilise des regravegles dans ce
but Les regravegles sont lues dans les structures ou les chaicircnes de donneacutees internes ougrave elles sont
associeacutees avec chaque paquet Si un paquet correspond agrave une des regravegles une action approprieacutee
est effectueacutee Le paquet est par exemple rejeteacute et un log est noteacute
IV-1-3- Les modes
LrsquoIPS peut ecirctre deacuteployeacute en deux modes
IV-1-3-1 Mode NAT
En mode NAT le reacuteseau est diviseacute en deux parties la partie publique et la partie priveacutee Le
cocircteacute public du reacuteseau est seacutepareacute du cocircteacute priveacute par lIPS LIPS exeacutecute la configuration NAT il
eacutetablit une correspondance de toutes les adresses publiques agrave son interface publique Ensuite il
les traduit agrave leurs adresses priveacutees correspondantes
IV-1-3- 2 Mode Bridge
En mode bridge lIPS agit en tant que pont entre le reacuteseau public et le reacuteseau priveacute Le mode
pont est furtif En effet le dispositif devient non deacutetectable puisqursquoil ne possegravede pas drsquoadresse
IP Il est donc plus sucircr ce qui en fait le mode recommandeacute
Chapitre 2
IV-1-4- Les regravegles
Snort Inline est eacutequipeacute de reacuteponses de preacutevention des intrusions qui prennent la forme
drsquoactions de regravegles classiques
IV-1-4- 1 Drop
La regravegle drop indiquera agrave iptables de rejeter le paquet et drsquoenvoyer un TCP reset si le
protocole est TCP ou un ICMP port unreachable si le protocole est UDP et de loguer le
paquet par lintermeacutediaire des moyens habituels de Snort
Figure IV-4 - Snort Inline drop mode
Quand des paquets sont lus par Snort Inline dans le target QUEUE drsquoiptables les meta-
donneacutees etou la charge utile (payload) du paquet sont compareacutees agrave lensemble des regravegles de
Snort Inline Si le paquet a eacuteteacute identifieacute comme eacutetant un paquet malveillant contenant un
certain type de signature dexploit Snort Inline deacutetermine ce quil va devenir Il se base sur les
regravegles preacutedeacutefinies pour prendre sa deacutecision Si on a deacutefini des regravegles drop alors le paquet sera
rejeteacute Cette deacutecision est passeacutee agrave iptables qui va la mettre en oeuvre
IV-1-4- 2 Sdrop
La regravegle sdrop indiquera agrave iptables de rejeter le paquet et drsquoenvoyer un reset mais aucun log
nrsquoest eacutecrit
Chapitre 2
Il existe deux options sur la faccedilon drsquoenvoyer un reset
bull On peut toujours utiliser un raw socket6 crsquoest le comportement par deacutefaut de Snort Inline
Dans ce cas on doit avoir une interface qui possegravede une adresse IP assigneacutee Sil ny a pas
une interface avec une adresse IP valide avec accegraves agrave la source du paquet le paquet sera
logueacute mais le reset ne sera jamais envoyeacute sur le reacuteseau
bull On peut eacutegalement effectuer des resets par lintermeacutediaire dun dispositif physique en
utilisant iptables On utilise le nom INDEV fourni par ip_queue comme interface sur
laquelle on envoie le reset Il nrsquoest plus neacutecessaire qursquoune adresse IP soit preacutesente sur le
pont il demeure donc furtif
------------------------------------------6 Un raw socket est un socket avec un pouvoir laquosupeacuterieurraquo il permet deacutecrire ou de lire des paquets sur une interface reacuteseau avec les paramegravetres souhaiteacutes cest-agrave-dire quil aura la possibiliteacute de modifier lentecircte dun paquet pour ensuite lenvoyer avec les options de ce mecircme entecircte modifieacutees (adresse IP source flag TCP etc)
Chapitre 2
II- Systegraveme de Preacutevention drsquointrusionUn systegraveme de preacutevention drsquointrusion est un dispositif (mateacuteriel ou logiciel) capable de
deacutetecter des attaques connues et inconnues et de les empecirccher decirctre reacuteussies
Un IPS nrsquoest pas un observateur il fait partie inteacutegrante du reacuteseau Il est placeacute en ligne et
examine tous les paquets entrants ou sortants LrsquoIPS a eacuteteacute deacuteveloppeacute de maniegravere agrave prendre les
mesures neacutecessaires pour contrer les intrusions deacutetectables avec preacutecision Il surveille le trafic
et intervient activement par limitation ou suppression du trafic jugeacute hostile par interruption
des sessions suspectes ou par drsquoautres mesures en reacuteaction agrave une attaque Il reacutealise un
ensemble drsquoanalyses de deacutetection non seulement sur chaque paquet individuel mais
eacutegalement sur les motifs du reacuteseau en visualisant chaque transaction dans le contexte de
celles qui preacuteceacutedent ou qui suivent
En geacuteneacuteral les quatre modules principaux qui composent un IPS sont
- Normalisation du trafic (Traffic normalizer)
- Scanner de service (Service scanner)
- Moteur de deacutetection (Detection engine)
- Traffic shaper
Le traffic normalizer surveille le trafic analyse les paquets et exeacutecute les mesures de base
contre les attaques comme le blocage drsquoadresse IP Le trafic analyseacute est ensuite passeacute au
moteur de deacutetection et au scanner de service Ce dernier construit une table de reacutefeacuterence
classifiant les informations afin drsquoaider le traffic shaper agrave mieux geacuterer le flux de ces
informations Le moteur de deacutetection compare les scheacutemas drsquoeacuteveacutenements en cours avec ceux
contenus dans la table de reacutefeacuterence
II1 Les Types drsquoIPS
Il existe actuellement deux cateacutegories de produit IPS
Les NIPS (Network Intrusion Prevention System) un logiciel ou un mateacuteriel deacutedieacute connecteacute
directement agrave un segment du reacuteseau et qui protegravege tous les systegravemes rattacheacutes agrave ce segment
Les HIPS (Host Intrusion Prevention System) un programme systegraveme installeacute directement sur
lrsquoordinateur agrave proteacuteger
Chapitre 2
II11 Network IPS
Le Network IPS (NIPS) combine les caracteacuteristiques drsquoun IDS standard et drsquoun firewall Il est
parfois qualifieacute comme eacutetant la prochaine geacuteneacuteration de firewall le firewall agrave laquoinspection en
profondeur (deep inspection)raquo
Comme avec un firewall le NIPS a au moins deux interfaces reacuteseau une interne et une
externe Les paquets arrivent agrave lune ou lautre des deux interfaces puis sont passeacutes au moteur
de deacutetection Jusqursquoici lrsquoIPS fonctionne comme un IDS crsquoest-agrave-dire qursquoil deacutetermine si oui ou
non le paquet est malveillant Cependant sil en deacutetecte en plus de deacuteclencher une alerte il
rejettera le paquet et marquera cette session laquosuspecteraquo
Quand les paquets restants qui composent cette session particuliegravere arriveront agrave lrsquoIPS ils
seront jeteacutes immeacutediatement Les paquets propres sont passeacutes agrave travers la deuxiegraveme interface
pour atteindre leur destination preacutevue
Les NIPS sont deacuteployeacutes en ligne avec le segment du reacuteseau agrave proteacuteger De ce fait toutes les
donneacutees qui circulent entre le segment proteacutegeacute et le reste du reacuteseau doivent passer par le
NIPS Degraves quun paquet suspect est deacutetecteacute - et avant quil soit passeacute agrave linterface interne et au
reacuteseau proteacutegeacute- il peut ecirctre rejeteacute En plus de cela au moment ougrave la session a eacuteteacute marqueacutee
comme laquosuspecteraquo tous les paquets suivants qui font partie de cette session peuvent ecirctre
eacutegalement rejeteacute avec un eacuteventuel traitement additionnel Quelques produits envoient par
exemple un Reset TCP ou un message ICMP Unreachable agrave la machine attaquante
Comme le trafic traverse lrsquoIPS il est inspecteacute pour veacuterifier la preacutesence dune attaque Le NIPS
peut employer lrsquoapproche de deacutetection baseacutee sur les signatures drsquoattaque Une diffeacuterence
principale cependant est qursquoil emploie des signatures qui sont baseacutees sur des vulneacuterabiliteacutes et
non pas sur les exploits2 En utilisant des signatures sur des vulneacuterabiliteacutes le NIPS peut
ajouter une protection (promettante) avant que des exploits reacuteels ne soient libeacutereacutes dans la
nature
Un NIPS deacuteclenche tout comme un NIDS des alarmes face aux attaques mais le contenu de
lrsquoalarme est diffeacuterent Crsquoest plutocirct une notification indiquant laquotel ou tel trafic a eacuteteacute deacutetecteacute en
train dessayer dattaquer ce systegraveme et a eacuteteacute bloqueacuteraquo
----------------------------------
2 Un exploit tire profit dune faiblesse dans un systegraveme afin de lentailler Les exploits sont la racine de la culture dintrus
Chapitre 2
Est-ce quavec des alarmes de ce type une intervention humaine est neacutecessaire
Dans un environnement ougrave la seacutecuriteacute est primordiale la reacuteponse est plutocirct oui Une
intervention humaine est neacutecessaire pour veacuterifier lrsquointervention automatiseacutee et aussi pour
recueillir les indices de sorte quils puissent ecirctre employeacutes pour se proteacuteger contre de futures
attaques ou pour identifier une plus grande menace
Dans la plupart des environnements ougrave la seacutecuriteacute est un souci et non pas une prioriteacute aucune
intervention humaine nrsquoest vraiment neacutecessaire
Les avantages drsquoun network IPS
- Un seul point de controcircle pour le trafic peut proteacuteger des milliers de systegravemes situeacutes en
aval du dispositif Ceci permet agrave une organisation de mesurer sa solution rapidement et de
fournir la flexibiliteacute requise pour reacutepondre aux changements constants de larchitecture reacuteseau
- Le deacuteploiement devient facile car un seul dispositif IPS peut proteacuteger des centaines de
systegravemes
- Il fournit une vue plus large de lenvironnement de menaces telles que les balayages
sondeshellip Avoir une vision strateacutegique de lenvironnement de menaces permet agrave la gestion de
seacutecuriteacute de sadapter agrave un changement de perspective
- Il protegravege les autres dispositifs du reacuteseau toutes les attaques ne sont pas dirigeacutees que contre
les systegravemes doteacutes drsquoun systegraveme dexploitation Par exemple les routeurs firewalls
concentrateurs VPN serveurs drsquoimprimantes etc sont tous vulneacuterables et exigent une
protection
- Il protegravege des attaques reacuteseaux DoS DDos SYN flood etc Travailler au niveau du reacuteseau
permet agrave un NIPS de proteacuteger contre ces types dattaques
II12 Host IPS
Le HIPS est un programme qui reacuteside sur un systegraveme tel que serveurs postes de travail ou
portables
Le trafic venant ou sortant de ce systegraveme particulier est inspecteacute et les activiteacutes au niveau des
applications et du systegraveme dexploitation peuvent ecirctre examineacutees afin de trouver des signes
dune attaque Un HIPS peut deacutetecter les attaques qui visent la machine et arrecircter le processus
malveillant avant quil ne sexeacutecute On peut donc consideacuterer le HIPS comme eacutetant plus un
moniteur de systegraveme drsquoexploitation ou moniteur drsquoapplication
Le HIPS nexige plus quun service geacutenegravere une notation deacuteveacutenement (event log) ou des
changements dans des fichiers systegravemes avant drsquoagir Crsquoest la nouveauteacute de cet outil
Chapitre 2
Quand une attaque est deacutetecteacutee le logiciel bloque lattaque soit au niveau de lrsquointerface
reacuteseau soit en envoyant des commandes agrave lapplication ou au systegraveme dexploitation darrecircter
lrsquoaction lanceacutee par lattaque
La meacutethode de deacutetection varie selon le fabricant mais la plus utiliseacutee est lrsquoapproche baseacutee sur
des regravegles
Un HIPS possegravede une liste preacutedeacutefinie de regravegle eacutetablie par le fabriquant et livreacutee avec le
produit Ces regravegles savent comment un systegraveme dexploitation ou une application devrait se
laquocomporterraquo Si lapplication initie une action suspecte une des regravegles est deacuteclencheacutee et le
processus est tueacute avant mecircme quil ait pu nuire au systegraveme
Par exemple les attaques par buffer overflow peuvent ecirctre empecirccheacutees en interdisant
lexeacutecution du programme malveillant inseacutereacute dans lespace adresse exploiteacute par lattaque Ou
encore les tentatives dinstallation de back door via une application comme Internet Explorer
sont bloqueacutes en arrecirctant et en refusant la commande write file commande provenant de lrsquoIE
Drsquoautres systegravemes HIPS emploient lrsquoapproche ldquosurveillancerdquo ou ldquoobservationrdquo Un agent
HIPS tourne sur la machine et se concentre sur les eacuteveacutenements drsquoun systegraveme drsquoexploitation en
observant tous les appels systegraveme les entreacutees de la base de registre et les services des
communications
Enfin lapproche hybride est aussi utiliseacutee Un HIPS hybride peut employer une combinaison
de regravegles controcircle de lrsquoactiviteacute des applications et les signatures pour deacutetecter une attaque
Lavantage principal de ce type de systegravemes est la capaciteacute didentifier absolument les attaques
connues
Les systegravemes baseacutes sur les regravegles ou ceux qui adoptent lrsquoapproche laquosurveillanceraquo peuvent ne
deacutecouvrir que les actions suspectes actions qui sont arrecircteacutees bien-sucircr
Les avantages drsquoun Host IPS
Un logiciel installeacute directement sur le systegraveme le protegravege contre une attaque mais en plus le
protegravege des reacutesultats dune attaque en empecircchant un programme drsquoeacutecrire dans un fichier ou
un utilisateur drsquoaugmenter son privilegravege etchellip
- Protegravege les systegravemes mobiles contre lattaque quand ils sont hors du reacuteseau proteacutegeacute Les
ordinateurs portables sont le vecteur principal de vers dans un reacuteseau proteacutegeacute Installer un
NIPS avec un systegraveme mobile nest pas une solution pratique
- Protegravege des attaques locales le personnel avec un accegraves physique agrave un systegraveme peut lancer
des attaques locales en exeacutecutant des programmes introduits par une disquette ou un CD etc
Chapitre 2
Ces attaques se concentrent souvent sur lrsquoaugmentation des privilegraveges de lutilisateur en root
ou administrator afin de compromettre facilement dautres systegravemes dans le reacuteseau
- Garantir une laquoderniegravere ligne de deacutefenseraquo contre les attaques qui ont pu se soustraire agrave
dautres outils de seacutecuriteacute Un potentiel systegraveme victime lui-mecircme est un dernier point de
deacutefense disponible pour lrsquoadministrateur de la seacutecuriteacute afin de se proteacuteger des violations du
systegraveme
- Empecircche lattaque interne ou labus des dispositifs situeacutes sur le mecircme segment du reacuteseau le
NIPS assure uniquement une protection des donneacutees qui se deacuteplacent entre diffeacuterents
segments Les attaques lanceacutees entre les systegravemes situeacutes sur le mecircme segment ne peuvent ecirctre
contreacutees qursquoavec le HIPS
- Protegravege des attaques chiffreacutees quand le flux de donneacutees chiffreacutees srsquoarrecircte au systegraveme
proteacutegeacute Le HIPS examine ces donneacutees etou le comportement apregraves que ces donneacutees chiffreacutees
ont eacuteteacute deacutechiffreacutees sur le systegraveme
- Indeacutependant de larchitecture reacuteseau
Comme le HIPS intercepte toutes les requecirctes destineacutees au systegraveme quil protegravege il doit
respecter une certaine condition preacutealable il doit ecirctre tregraves fiable ne doit pas avoir un impact
neacutegatif sur la performance du systegraveme et ne doit pas bloquer le trafic reconnu comme
leacutegitime
II2 Les techniques de deacutetection
La premiegravere eacutetape pour arrecircter les attaques et eacuteviter les intrusions consiste agrave les deacutetecter
Plusieurs meacutethodes de deacutetection sont applicables
1) Lrsquoanalyse de protocole crsquoest une deacutetection drsquoanomalie de protocole LrsquoIPS controcircle la
conformiteacute agrave la norme du protocole donneacute Avec cette meacutethode la recherche drsquoune activiteacute
drsquointrusion est plus cibleacutee et donc plus efficace
2) Correspondance de motifs (pattern matching) le trafic est scruteacute pour deacuteterminer les
signatures des motifs drsquoattaque connus Le systegraveme analyse chaque paquet Cette meacutethode
peut ecirctre stateful crsquoest-agrave-dire que le systegraveme examine le contexte et lrsquoemplacement de la
signature LrsquoIPS conserve la trace de lrsquoeacutetat de connexion avec lrsquoentiteacute exteacuterieure et eacutevaluera le
contexte plus large de toutes les transactions eacutetablies au cours de la connexion Cette meacutethode
ne permet de deacutetecter que les attaques connues et seulement si la liste des signatures
drsquoattaques est reacuteguliegraverement actualiseacutee
Chapitre 2
3) Comportementale deacutetection baseacutee sur le comportement (behaviour based detection) LrsquoIPS
tente de deacutecouvrir des activiteacutes laquoanormalesraquo en observant le comportement du systegraveme et des
utilisateurs Apregraves une phase drsquoapprentissage lrsquoIPS dispose drsquoun modegravele du laquocomportement
normalraquo du systegraveme et de ses utilisateurs SI lrsquoIPS constate que lrsquoactiviteacute courante srsquoeacuteloigne
trop du comportement normal il prenne une mesure Cette meacutethode a lrsquoavantage de pouvoir
deacutetecter des tentatives drsquoexploitation de vulneacuterabiliteacutes jusque lagrave inconnues
II3 Ougrave placer lrsquoIPS dans une topologie reacuteseau
Figure II-1 ndash Endroits typiques pour un IPS reacuteseau (NIPS)
1 Derriegravere le firewall peacuterimegravetre de reacuteseau et la fin de tout reacuteseau VPN
2 Entre le firewall peacuterimegravetre de reacuteseau et les serveurs placeacutes dans la DMZ tels que le serveur
web et les serveurs de-mailhellip
3 Devant les serveurs internes critiques tels que les serveurs dapplication
4 Devant les principaux workgroups drsquoun deacutepartement
44 Les diffeacuterentes faccedilons de reacutealiser un IPS
Il existe 5 diffeacuterentes faccedilons de reacutealiser un systegraveme de preacutevention drsquointrusion agrave savoir le
NIDS en ligne (inline NIDS) les firewallsIDS applicatifs (application-based firewallsIDS)
les commutateurs de la couche 7 (layer 7 switches) les IDS reacuteseaux applicatifs (network-
based application IDSs) et les applications trompeuses (deceptive applications)
Chapitre 2
III ndash La diffeacuterence entre la Deacutetection et la Preacutevention
Un IDS (reacuteseau) et un IPS (reacuteseau) se diffegraverent principalement par 2 caracteacuteristiques
- Le positionnement sur le reacuteseau (traditionnellement lrsquoIDS est positionneacute comme un sniffer)
- La possibiliteacute de bloquer immeacutediatement les intrusions et ce quel que soit le type de
protocole de transport utiliseacute sans reconfiguration drsquoun eacutequipement tiers LrsquoIPS est constitueacute
drsquoune technique de filtrage de paquets et de moyens de blocage (drop connection drop
offending packets block intruder hellip)
Mais on peut eacutegalement ajouter le deacuteterminisme Les IDS peuvent (et devraient) utiliser des
meacutethodes non deacuteterministes pour laquopreacutedireraquo toute sorte de menace ou une menace potentielle
du trafic existant Ces meacutethodes se composent de lanalyse statistique du volume de trafic des
modegraveles de trafic et des activiteacutes anormales Mais tout ceci nrsquoest destineacute qursquoagrave celui qui veut
savoir ce qui se passe sur son reacuteseau et rien de plus En revanche un IPS doit ecirctre
deacuteterministe ndash juste exact - dans toutes ses deacutecisions afin dexeacutecuter sa fonction de
laquonettoyeurraquo de trafic Un dispositif IPS nest pas censeacute prendre des risques ou reacuteagir avec une
certaine technique dlaquointuitionraquo Il est supposeacute fonctionner tout le temps faire un controcircle
drsquoaccegraves du reacuteseau et prendre des deacutecisions Les firewalls ont fourni la premiegravere approche
deacuteterministe du controcircle daccegraves du reacuteseau
III-1 IDS
Les systegravemes de deacutetection dintrusion ont eacuteteacute deacuteveloppeacutes pour identifier le trafic hostile et
envoyer des alertes Ils ne font rien pour arrecircter une attaque Ils sont deacuteployeacutes hors ligne et
possegravedent lrsquoavantage de ne pas pouvoir causer eux-mecircmes de panne de reacuteseau
La nature passive drsquoun IDS le positionne bien pour identifier
- Les attaques connues par lintermeacutediaire des signatures et des regravegles
- Les variations de volume et de direction de trafic en utilisant des regravegles complexes et une
analyse statistique
- Les variations de modegravele de trafic de communication en utilisant lanalyse des flux
Chapitre 2
- La deacutetection dune activiteacute suspecte en utilisant lanalyse de flux les techniques
statistiques et la deacutetection danomalie
Mais cette passiviteacute ne donne pas que des avantages On reproche eacutegalement agrave un IDS
Deacutetection uniquement sans preacutevention Comme ils sont placeacutes en dehors du reacuteseau les
NIDS peuvent difficilement avoir une incidence sur le trafic Les NIDS sont geacuteneacuteralement
impuissants pour arrecircter ou mecircme contrer une attaque en cours
Dureacutee de reacutecupeacuteration du systegraveme importante La neacutecessiteacute drsquoune intervention manuelle
de mecircme que la quantiteacute consideacuterable de donneacutees agrave scruter entraicircne une reacuteaction lente face agrave
une attaque ou une intrusion
Fausses alarmes Les NIDS confondent parfois un trafic inoffensif avec une attaque ce sont
les laquofaux positifsraquo Ces erreurs demandent souvent un temps consideacuterable pour controcircler les
paquets en question et deacuteterminer que le systegraveme NIDS srsquoest trompeacute Dans drsquoautres
circonstances le NIDS identifie correctement un motif de trafic particulier qui correspond agrave
une signature mais la structure srsquoavegravere en fait normale pour lorganisation en question
Donneacutees des journaux trop importantes Un NIDS doit geacuteneacuterer des journaux de compte-
rendu drsquoactiviteacute anormale ou douteuse sur le reacuteseau Les responsables de la seacutecuriteacute doivent
passer du temps agrave examiner ces journaux pour deacuteterminer ce qui srsquoest passeacute et les actions agrave
entreprendre
Difficulteacutes de deacuteploiement Les solutions NIDS doivent ecirctre placeacutees agrave toutes les entreacutees des
systegravemes et serveurs de lrsquoentreprise ecirctre correctement configureacutees et reacuteguliegraverement mises agrave
jour Mais plus le niveau des menaces augmente plus le deacuteploiement des IDS prend de
lrsquoampleur et on constate que la quantiteacute dheure neacutecessaire pour analyser les logs et pour
reacutepondre aux incidents (geacuterer et reacuteparer) devient trop importante
Les solutions traditionnelles comme le firewall et les anti-virus ne peuvent pas faire face agrave la
nouvelle geacuteneacuteration de menaces Une solution qui protegravege les informations au moment
opportun sans attendre une nouvelle creacuteation et distribution de signatures est neacutecessaire
III-2 IPS
Les solutions de preacutevention dintrusion sont mises en place pour traiter
- Les applications non deacutesireacutees les attaques cheval de Troie contre les reacuteseaux priveacutes et
les applications en utilisant des regravegles deacuteterministes et des listes de controcircle daccegraves
Chapitre 2
- Les attaques DoS ou DDoS comme les SYN et ICMP Flooding en utilisant un
algorithme de filtrage agrave seuil
- Les abus drsquoapplication et les manipulations de protocole -attaques connues et inconnues
contre HTTP ftp DNS smtp etc- en utilisant des regravegles de protocole dapplication et des
signatures
- Les attaques de surcharge ou drsquoabus dapplication en utilisant des limites de
consommation de ressource baseacutees sur des seuils
Ces systegravemes possegravedent les avantages suivants
Blocage rapide des intrusions Un eacuteveacutenement drsquointrusion est le deacutebut drsquoun processus
drsquoatteinte aux ressources informatiques drsquoune entreprise sans parler des responsabiliteacutes
juridiques potentielles En intervenant degraves la deacutetection un IPS bloque rapidement lrsquointrusion
et minimise la dureacutee totale avant que le reacuteseau ne revienne agrave la normale
Deacutetection preacutecise et fiable A lrsquoaide de plusieurs meacutethodes de deacutetection et en tirant parti de
sa position en ligne lrsquoIPS peut deacutetecter les attaques et intrusions avec une preacutecision et une
fiabiliteacute supeacuterieures
Moins deacutependant des signatures et davantage des meacutethodes intelligentes de deacutetection lrsquoIPS
geacutenegravere beaucoup moins de fausses alarmes Ainsi le temps et les efforts de lrsquoentreprise sont
exclusivement concentreacutes sur les veacuteritables menaces
Preacutevention active Alors qursquoun NIDS avertit simplement de la preacutesence drsquoun trafic suspect
ou anormal un IPS peut lancer divers meacutecanismes de reacuteaction
Le tableau suivant reacutesume les diffeacuterentes caracteacuteristiques drsquoun IPS et drsquoun IDS
Chapitre 2
Deacutetection drsquointrusion Preacutevention drsquointrusion
HIDS
Pour
- Peut deacutetecter lutilisation drsquoun systegraveme qui
viole la politique de seacutecuriteacute de lrsquoentreprise
- Peut alerter sur des changements au niveau
du systegraveme tels qursquoune importante
modification de fichier
Contre
- Le coucirct du deacuteploiement et de la gestion est
eacuteleveacute puisque chaque hocircte doit ecirctre eacutequipeacute et
une politique doit ecirctre deacuteveloppeacutee
- La plupart des fabricants de HIDS ne
construisent pas un produit destineacute aux
postes de travail ainsi seuls les serveurs sont
proteacutegeacutes
- La deacutetection est geacuteneacuteralement a posteriori
dans la courbe de reacuteponse Une deacutetection
reacuteussie vient dune tentative reacuteussie dattaque
HIPS
Pour
- Assure une protection contre les attaques
inconnues
- Exige peu ou aucune mise agrave jour de seacutecuriteacute
dans une peacuteriode annuelle
- Empecircche les attaques de sexeacutecuter sur une
machine au niveau noyau plutocirct que de
deacutetecter les reacutesultats dune attaque reacuteussie
Contre
- Le coucirct de tout le systegraveme peut ecirctre eacuteleveacute
puisquun agent est neacutecessaire pour chaque
serveur etou poste de travail critique
- Le temps de deacuteploiement afin drsquoeacutequiper
chaque serveurposte de travail peut ecirctre
long
- Le produit neacutecessite un ajustement apregraves
linstallation initiale pour ecirctre un outil de
seacutecuriteacute parfaitement fonctionnel
- Peut arrecircter des applications leacutegitimes en
cas de mauvais ajustement De nouvelles
applications ont peut-ecirctre besoin drsquoecirctre
examineacutees par les HIPS avant quelles soient
deacuteployeacutees
Chapitre 2
NIDS
Pour
- Les systegravemes baseacutes sur la deacutetection
drsquoanomalie peuvent deacutetecter une attaque
mecircme sur les systegravemes qui emploient le
cryptage (ils ne voient pas les exploits ils
voient la circulation anormale reacutesultant dune
attaque reacuteussie)
- Lrsquoobservation du trafic avec un systegraveme
baseacute sur des regravegles peut aider agrave imposer une
utilisation du reacuteseau en respectant la
politique de lrsquoentreprise
Contre
- Le coucirct du facteur humain est eacuteleveacute pour
surveiller les eacuteveacutenements et pour reacutepondre
aux incidents
- Agrave moins quun plan de reacuteponse ne soit
conccedilu et mis en place lrsquoIDS fournit peu ou
aucune seacutecuriteacute
- Un deacuteploiement reacuteussi demande un
important ajustement de lrsquoIDS pour reacuteduire
au minimum les faux positifs
NIPS
Pour
- Peut arrecircter la propagation des vers si
deacuteployeacute correctement sans arrecircter le trafic
- Protegravege contre de nouvelles attaques avant
que le code dexploit soit sorti (dans la
plupart des cas)
- Reacuteduira le coucirct de la reacuteponse aux incidents
(puisque la plupart des reacuteponses aux
incidents sont automatiques)
Contre
- Le coucirct du deacuteploiement NIPS au sein dun
reacuteseau peut ecirctre important
- Puisque les NIPS sont un dispositif inteacutegreacute
au reacuteseau ils creacuteent un point de deacutefaillance
bien quil y ait des meacutethodes pour traiter ce
problegraveme Lapproche la plus commune est
dajouter des eacuteleacutements redondants sachant
que tout le trafic de reacuteseau traverse le NIPS
- Un NIPS neacutecessite toujours des mises agrave jour
de seacutecuriteacute pour ecirctre vraiment efficace
Chapitre 2
IV - La protection par preacutevention
Lrsquoobjectif principal de cette partie est de preacutesenter un moyen de protection contre les attaques
au niveau du protocole applicatif
On distingue deux types drsquoattaques applicatives
- Les attaques qui ne respectent pas le protocole applicatif qui enfreignent les regravegles lieacutees
agrave ce protocole ou qui se caracteacuterisent par un usage laquoanormalraquo de celui-ci
- Les attaques qui respectent le protocole applicatif et qui ne peuvent donc pas ecirctre
deacutetecteacutees par une analyse protocolaire
Lrsquoanalyse protocolaire appeleacutee aussi deacutetection drsquoanomalie de protocole est justement la
technique de preacutevention drsquointrusion utiliseacutee dans le cadre de ce travail Il srsquoagit drsquoune analyse
des paquets circulant sur le reacuteseau ayant pour but de deacutecoder le protocole applicatif utiliseacute et
de controcircler la conformiteacute de lrsquoutilisation de la RFC Le systegraveme de preacutevention effectue ce
qursquoon appelle une analyse applicative laquotemps reacuteelraquo En effet le flux est recomposeacute et analyseacute
laquoagrave la voleacuteeraquo Cette analyse nrsquoest plus faite dans une application qui srsquoexeacutecute au-dessus du
systegraveme drsquoexploitation mais directement dans le noyau du systegraveme drsquoexploitation
Cette technique possegravede lrsquoavantage drsquoecirctre une technique proactive4 Elle permet de bloquer
des attaques non connues simplement parce qursquoelles deacuterogent agrave la RFC Mais crsquoest une
technique non geacuteneacuterique qui nrsquoest efficace que pour le protocole analyseacute
La protection par lrsquoIPS est une solution destineacutee agrave toutes les entreprises qui ont deacuteployeacute un
service de VoIP comme montre la figure suivante
Figure IV-1 - Reacuteseaux dentreprise avec un service de teacuteleacutephonie IP
------------------------------------------------------------
4 Qui fonctionne de maniegravere dynamique par anticipation
Chapitre 2
Le reacuteseau drsquoentreprise est en geacuteneacuteral constitueacute de deux sections le reacuteseau interne (LAN) et la
zone deacutemilitariseacutee (DMZ) La DMZ est connecteacutee au reacuteseau public agrave travers le firewall
externe et comporte diffeacuterents serveurs accessibles depuis lrsquoexteacuterieur tels que le serveur web
e-mail DNS (Domain Name Server) etc Le reacuteseau interne est connecteacute agrave la DMZ par un
autre firewall
Chaque dispositif de seacutecuriteacute est utiliseacute dans le but de se proteacuteger drsquoune menace particuliegravere
De plus ils possegravedent tous un point faible Ainsi crsquoest seulement en combinant les diffeacuterentes
techniques qursquoon arrive reacuteellement agrave une protection optimale Les firewalls sont la barriegravere de
trafic ils laissent passer ou non les trafics entrant selon leur politique Les IDS sont le
moniteur de trafic ils observent lrsquoactiviteacute du reacuteseau et consignent ce qui est suspect Ils
peuvent deacutetecter les menaces qui ont pu eacutechapper au firewall et les notifient Les IPS
fournissent les mesures preacuteventives et les commandes utiles pour combattre de nouvelles
menaces
IV-1 LrsquoIPS par Snort Inline
Ce travail impleacutemente un NIDS en ligne (Inline NIDS) meacutethode choisie pour la reacutealisation
de lrsquoIPS
Qursquoest-ce qui a motiveacute ce choix
Lrsquoobjectif eacutetait de reacutealiser un IPS pour le protocole SIP en respectant dans la mesure du
possible les impeacuteratifs
bull Ne pas toucher la topologie du reacuteseau existant
bull Inteacutegrer une solution totalement transparente crsquoest-agrave-dire ne rien toucher au systegraveme de
protection deacutejagrave deacuteployeacute
bull Avoir une solution la moins coucircteuse possible
Le dernier point conduit tout de suite agrave une solution open source Il existe dans le domaine des
logiciels libres un IPS Snort Inline qui est une version modifieacutee du ceacutelegravebre IDS Snort Celui-
ci constituera la base de lrsquoIPS SIP
Des fonctionnaliteacutes permettant drsquoinspecter le trafic SIP lui seront ajouteacutees
Chapitre 2
IV-1-1 Bregraveve preacutesentation de Snort Inline
Snort Inline est un systegraveme de preacutevention drsquointrusion Il exploite toutes les fonctionnaliteacutes
drsquoorigine de Snort telles que le deacutecodage le reacuteassemblage des paquetshellip Il utilise eacutegalement
les mecircmes composants que Snort tels que les preacuteprocesseurs de flux Par contre Snort Inline
utilise iptables et ip_queue5 pour lrsquoacquisition et le transfert des paquets
Iptables est configureacute comme un firewall normal Il prend tous les paquets entrants et les
transmet agrave Snort Inline Ce dernier a un moteur de deacutetection dintrusion inteacutegreacute qui analyse les
paquets reccedilus et transmet uniquement les paquets jugeacutes non hostiles au reacuteseau interne
Lrsquohocircte Snort Inline doit reacutesider entre la source et la destination des paquets pour que tout le
trafic passe par lrsquoordinateur qui heacuteberge Snort Inline
IV-1-2 Les composants
En geacuteneacuteral Snort Inline est diviseacute en plusieurs composants
bull Deacutecodeur de paquet (Packet decoder)
bull Preacuteprocesseurs (Preprocessors)
bull Moteur de deacutetection (Detection Engine)
bull Systegraveme dalerte et denregistrement de log (Logging and Alerting System)
Et eacuteventuellement des Modules de sortie (Output Module)
Ces composants travaillent ensemble pour deacutetecter des attaques particuliegraveres La figure
suivante montre comment ces composants sont organiseacutes
-----------------------------------------
5 Ip_queue est un module du noyau responsable de passer les paquets depuis le target QUEUE dans lespace noyau pour une application qui se trouve dans lespace utilisateur
Chapitre 2
Figure IV-2- Les diffeacuterents composants de Snort Inline
Chaque paquet de donneacutees passe par le deacutecodeur de paquet Sur son chemin vers les modules
de sortie il est soit rejeteacute soit logueacute
IV-1-2-1 Le deacutecodeur de paquet
Le deacutecodeur de paquet reacutecupegravere les paquets des diffeacuterentes interfaces reacuteseaux et les preacutepare
pour passer dans le preacuteprocesseur ou pour ecirctre envoyeacutes au moteur de deacutetection Les interfaces
peuvent ecirctre Ethernet SLIP (Serial Line Internet Protocol) PPP (Point to Point Protocol)hellip
Le deacutecodeur de paquet se compose drsquoune seacuterie de deacutecodeurs speacutecialiseacutes chacun dans un
eacuteleacutement de protocole speacutecifique
Figure IV-3 - Deacutecodeur de paquet
Chapitre 2
Le deacutecodeur de paquet transforme les eacuteleacutements du protocole (par exemple les entecirctes LLC
Ethernet IP TCP UDP hellip) speacutecifiques en une structure de donneacutees interne
IV-1-2-2 Les preacuteprocesseurs
Les preacuteprocesseurs sont des composants ou plug-ins Ils peuvent ecirctre utiliseacutes avec Snort Inline
pour laquoarrangerraquo ou laquomodifierraquo les paquets avant que le moteur de deacutetection ne fasse ses
opeacuterations pour deacutecouvrir si le paquet est utiliseacute par un intrus Certains preacuteprocesseurs
effectuent eacutegalement une deacutetection pour trouver des anomalies dans les entecirctes de paquet et
produisent des alertes ou des logs
IV-1-2-3 Le moteur de deacutetection
Le moteur de deacutetection est la partie la plus importante Son rocircle est de deacutetecter srsquoil existe une
activiteacute dintrusion possible dans un paquet Le moteur de deacutetection utilise des regravegles dans ce
but Les regravegles sont lues dans les structures ou les chaicircnes de donneacutees internes ougrave elles sont
associeacutees avec chaque paquet Si un paquet correspond agrave une des regravegles une action approprieacutee
est effectueacutee Le paquet est par exemple rejeteacute et un log est noteacute
IV-1-3- Les modes
LrsquoIPS peut ecirctre deacuteployeacute en deux modes
IV-1-3-1 Mode NAT
En mode NAT le reacuteseau est diviseacute en deux parties la partie publique et la partie priveacutee Le
cocircteacute public du reacuteseau est seacutepareacute du cocircteacute priveacute par lIPS LIPS exeacutecute la configuration NAT il
eacutetablit une correspondance de toutes les adresses publiques agrave son interface publique Ensuite il
les traduit agrave leurs adresses priveacutees correspondantes
IV-1-3- 2 Mode Bridge
En mode bridge lIPS agit en tant que pont entre le reacuteseau public et le reacuteseau priveacute Le mode
pont est furtif En effet le dispositif devient non deacutetectable puisqursquoil ne possegravede pas drsquoadresse
IP Il est donc plus sucircr ce qui en fait le mode recommandeacute
Chapitre 2
IV-1-4- Les regravegles
Snort Inline est eacutequipeacute de reacuteponses de preacutevention des intrusions qui prennent la forme
drsquoactions de regravegles classiques
IV-1-4- 1 Drop
La regravegle drop indiquera agrave iptables de rejeter le paquet et drsquoenvoyer un TCP reset si le
protocole est TCP ou un ICMP port unreachable si le protocole est UDP et de loguer le
paquet par lintermeacutediaire des moyens habituels de Snort
Figure IV-4 - Snort Inline drop mode
Quand des paquets sont lus par Snort Inline dans le target QUEUE drsquoiptables les meta-
donneacutees etou la charge utile (payload) du paquet sont compareacutees agrave lensemble des regravegles de
Snort Inline Si le paquet a eacuteteacute identifieacute comme eacutetant un paquet malveillant contenant un
certain type de signature dexploit Snort Inline deacutetermine ce quil va devenir Il se base sur les
regravegles preacutedeacutefinies pour prendre sa deacutecision Si on a deacutefini des regravegles drop alors le paquet sera
rejeteacute Cette deacutecision est passeacutee agrave iptables qui va la mettre en oeuvre
IV-1-4- 2 Sdrop
La regravegle sdrop indiquera agrave iptables de rejeter le paquet et drsquoenvoyer un reset mais aucun log
nrsquoest eacutecrit
Chapitre 2
Il existe deux options sur la faccedilon drsquoenvoyer un reset
bull On peut toujours utiliser un raw socket6 crsquoest le comportement par deacutefaut de Snort Inline
Dans ce cas on doit avoir une interface qui possegravede une adresse IP assigneacutee Sil ny a pas
une interface avec une adresse IP valide avec accegraves agrave la source du paquet le paquet sera
logueacute mais le reset ne sera jamais envoyeacute sur le reacuteseau
bull On peut eacutegalement effectuer des resets par lintermeacutediaire dun dispositif physique en
utilisant iptables On utilise le nom INDEV fourni par ip_queue comme interface sur
laquelle on envoie le reset Il nrsquoest plus neacutecessaire qursquoune adresse IP soit preacutesente sur le
pont il demeure donc furtif
------------------------------------------6 Un raw socket est un socket avec un pouvoir laquosupeacuterieurraquo il permet deacutecrire ou de lire des paquets sur une interface reacuteseau avec les paramegravetres souhaiteacutes cest-agrave-dire quil aura la possibiliteacute de modifier lentecircte dun paquet pour ensuite lenvoyer avec les options de ce mecircme entecircte modifieacutees (adresse IP source flag TCP etc)
Chapitre 2
II11 Network IPS
Le Network IPS (NIPS) combine les caracteacuteristiques drsquoun IDS standard et drsquoun firewall Il est
parfois qualifieacute comme eacutetant la prochaine geacuteneacuteration de firewall le firewall agrave laquoinspection en
profondeur (deep inspection)raquo
Comme avec un firewall le NIPS a au moins deux interfaces reacuteseau une interne et une
externe Les paquets arrivent agrave lune ou lautre des deux interfaces puis sont passeacutes au moteur
de deacutetection Jusqursquoici lrsquoIPS fonctionne comme un IDS crsquoest-agrave-dire qursquoil deacutetermine si oui ou
non le paquet est malveillant Cependant sil en deacutetecte en plus de deacuteclencher une alerte il
rejettera le paquet et marquera cette session laquosuspecteraquo
Quand les paquets restants qui composent cette session particuliegravere arriveront agrave lrsquoIPS ils
seront jeteacutes immeacutediatement Les paquets propres sont passeacutes agrave travers la deuxiegraveme interface
pour atteindre leur destination preacutevue
Les NIPS sont deacuteployeacutes en ligne avec le segment du reacuteseau agrave proteacuteger De ce fait toutes les
donneacutees qui circulent entre le segment proteacutegeacute et le reste du reacuteseau doivent passer par le
NIPS Degraves quun paquet suspect est deacutetecteacute - et avant quil soit passeacute agrave linterface interne et au
reacuteseau proteacutegeacute- il peut ecirctre rejeteacute En plus de cela au moment ougrave la session a eacuteteacute marqueacutee
comme laquosuspecteraquo tous les paquets suivants qui font partie de cette session peuvent ecirctre
eacutegalement rejeteacute avec un eacuteventuel traitement additionnel Quelques produits envoient par
exemple un Reset TCP ou un message ICMP Unreachable agrave la machine attaquante
Comme le trafic traverse lrsquoIPS il est inspecteacute pour veacuterifier la preacutesence dune attaque Le NIPS
peut employer lrsquoapproche de deacutetection baseacutee sur les signatures drsquoattaque Une diffeacuterence
principale cependant est qursquoil emploie des signatures qui sont baseacutees sur des vulneacuterabiliteacutes et
non pas sur les exploits2 En utilisant des signatures sur des vulneacuterabiliteacutes le NIPS peut
ajouter une protection (promettante) avant que des exploits reacuteels ne soient libeacutereacutes dans la
nature
Un NIPS deacuteclenche tout comme un NIDS des alarmes face aux attaques mais le contenu de
lrsquoalarme est diffeacuterent Crsquoest plutocirct une notification indiquant laquotel ou tel trafic a eacuteteacute deacutetecteacute en
train dessayer dattaquer ce systegraveme et a eacuteteacute bloqueacuteraquo
----------------------------------
2 Un exploit tire profit dune faiblesse dans un systegraveme afin de lentailler Les exploits sont la racine de la culture dintrus
Chapitre 2
Est-ce quavec des alarmes de ce type une intervention humaine est neacutecessaire
Dans un environnement ougrave la seacutecuriteacute est primordiale la reacuteponse est plutocirct oui Une
intervention humaine est neacutecessaire pour veacuterifier lrsquointervention automatiseacutee et aussi pour
recueillir les indices de sorte quils puissent ecirctre employeacutes pour se proteacuteger contre de futures
attaques ou pour identifier une plus grande menace
Dans la plupart des environnements ougrave la seacutecuriteacute est un souci et non pas une prioriteacute aucune
intervention humaine nrsquoest vraiment neacutecessaire
Les avantages drsquoun network IPS
- Un seul point de controcircle pour le trafic peut proteacuteger des milliers de systegravemes situeacutes en
aval du dispositif Ceci permet agrave une organisation de mesurer sa solution rapidement et de
fournir la flexibiliteacute requise pour reacutepondre aux changements constants de larchitecture reacuteseau
- Le deacuteploiement devient facile car un seul dispositif IPS peut proteacuteger des centaines de
systegravemes
- Il fournit une vue plus large de lenvironnement de menaces telles que les balayages
sondeshellip Avoir une vision strateacutegique de lenvironnement de menaces permet agrave la gestion de
seacutecuriteacute de sadapter agrave un changement de perspective
- Il protegravege les autres dispositifs du reacuteseau toutes les attaques ne sont pas dirigeacutees que contre
les systegravemes doteacutes drsquoun systegraveme dexploitation Par exemple les routeurs firewalls
concentrateurs VPN serveurs drsquoimprimantes etc sont tous vulneacuterables et exigent une
protection
- Il protegravege des attaques reacuteseaux DoS DDos SYN flood etc Travailler au niveau du reacuteseau
permet agrave un NIPS de proteacuteger contre ces types dattaques
II12 Host IPS
Le HIPS est un programme qui reacuteside sur un systegraveme tel que serveurs postes de travail ou
portables
Le trafic venant ou sortant de ce systegraveme particulier est inspecteacute et les activiteacutes au niveau des
applications et du systegraveme dexploitation peuvent ecirctre examineacutees afin de trouver des signes
dune attaque Un HIPS peut deacutetecter les attaques qui visent la machine et arrecircter le processus
malveillant avant quil ne sexeacutecute On peut donc consideacuterer le HIPS comme eacutetant plus un
moniteur de systegraveme drsquoexploitation ou moniteur drsquoapplication
Le HIPS nexige plus quun service geacutenegravere une notation deacuteveacutenement (event log) ou des
changements dans des fichiers systegravemes avant drsquoagir Crsquoest la nouveauteacute de cet outil
Chapitre 2
Quand une attaque est deacutetecteacutee le logiciel bloque lattaque soit au niveau de lrsquointerface
reacuteseau soit en envoyant des commandes agrave lapplication ou au systegraveme dexploitation darrecircter
lrsquoaction lanceacutee par lattaque
La meacutethode de deacutetection varie selon le fabricant mais la plus utiliseacutee est lrsquoapproche baseacutee sur
des regravegles
Un HIPS possegravede une liste preacutedeacutefinie de regravegle eacutetablie par le fabriquant et livreacutee avec le
produit Ces regravegles savent comment un systegraveme dexploitation ou une application devrait se
laquocomporterraquo Si lapplication initie une action suspecte une des regravegles est deacuteclencheacutee et le
processus est tueacute avant mecircme quil ait pu nuire au systegraveme
Par exemple les attaques par buffer overflow peuvent ecirctre empecirccheacutees en interdisant
lexeacutecution du programme malveillant inseacutereacute dans lespace adresse exploiteacute par lattaque Ou
encore les tentatives dinstallation de back door via une application comme Internet Explorer
sont bloqueacutes en arrecirctant et en refusant la commande write file commande provenant de lrsquoIE
Drsquoautres systegravemes HIPS emploient lrsquoapproche ldquosurveillancerdquo ou ldquoobservationrdquo Un agent
HIPS tourne sur la machine et se concentre sur les eacuteveacutenements drsquoun systegraveme drsquoexploitation en
observant tous les appels systegraveme les entreacutees de la base de registre et les services des
communications
Enfin lapproche hybride est aussi utiliseacutee Un HIPS hybride peut employer une combinaison
de regravegles controcircle de lrsquoactiviteacute des applications et les signatures pour deacutetecter une attaque
Lavantage principal de ce type de systegravemes est la capaciteacute didentifier absolument les attaques
connues
Les systegravemes baseacutes sur les regravegles ou ceux qui adoptent lrsquoapproche laquosurveillanceraquo peuvent ne
deacutecouvrir que les actions suspectes actions qui sont arrecircteacutees bien-sucircr
Les avantages drsquoun Host IPS
Un logiciel installeacute directement sur le systegraveme le protegravege contre une attaque mais en plus le
protegravege des reacutesultats dune attaque en empecircchant un programme drsquoeacutecrire dans un fichier ou
un utilisateur drsquoaugmenter son privilegravege etchellip
- Protegravege les systegravemes mobiles contre lattaque quand ils sont hors du reacuteseau proteacutegeacute Les
ordinateurs portables sont le vecteur principal de vers dans un reacuteseau proteacutegeacute Installer un
NIPS avec un systegraveme mobile nest pas une solution pratique
- Protegravege des attaques locales le personnel avec un accegraves physique agrave un systegraveme peut lancer
des attaques locales en exeacutecutant des programmes introduits par une disquette ou un CD etc
Chapitre 2
Ces attaques se concentrent souvent sur lrsquoaugmentation des privilegraveges de lutilisateur en root
ou administrator afin de compromettre facilement dautres systegravemes dans le reacuteseau
- Garantir une laquoderniegravere ligne de deacutefenseraquo contre les attaques qui ont pu se soustraire agrave
dautres outils de seacutecuriteacute Un potentiel systegraveme victime lui-mecircme est un dernier point de
deacutefense disponible pour lrsquoadministrateur de la seacutecuriteacute afin de se proteacuteger des violations du
systegraveme
- Empecircche lattaque interne ou labus des dispositifs situeacutes sur le mecircme segment du reacuteseau le
NIPS assure uniquement une protection des donneacutees qui se deacuteplacent entre diffeacuterents
segments Les attaques lanceacutees entre les systegravemes situeacutes sur le mecircme segment ne peuvent ecirctre
contreacutees qursquoavec le HIPS
- Protegravege des attaques chiffreacutees quand le flux de donneacutees chiffreacutees srsquoarrecircte au systegraveme
proteacutegeacute Le HIPS examine ces donneacutees etou le comportement apregraves que ces donneacutees chiffreacutees
ont eacuteteacute deacutechiffreacutees sur le systegraveme
- Indeacutependant de larchitecture reacuteseau
Comme le HIPS intercepte toutes les requecirctes destineacutees au systegraveme quil protegravege il doit
respecter une certaine condition preacutealable il doit ecirctre tregraves fiable ne doit pas avoir un impact
neacutegatif sur la performance du systegraveme et ne doit pas bloquer le trafic reconnu comme
leacutegitime
II2 Les techniques de deacutetection
La premiegravere eacutetape pour arrecircter les attaques et eacuteviter les intrusions consiste agrave les deacutetecter
Plusieurs meacutethodes de deacutetection sont applicables
1) Lrsquoanalyse de protocole crsquoest une deacutetection drsquoanomalie de protocole LrsquoIPS controcircle la
conformiteacute agrave la norme du protocole donneacute Avec cette meacutethode la recherche drsquoune activiteacute
drsquointrusion est plus cibleacutee et donc plus efficace
2) Correspondance de motifs (pattern matching) le trafic est scruteacute pour deacuteterminer les
signatures des motifs drsquoattaque connus Le systegraveme analyse chaque paquet Cette meacutethode
peut ecirctre stateful crsquoest-agrave-dire que le systegraveme examine le contexte et lrsquoemplacement de la
signature LrsquoIPS conserve la trace de lrsquoeacutetat de connexion avec lrsquoentiteacute exteacuterieure et eacutevaluera le
contexte plus large de toutes les transactions eacutetablies au cours de la connexion Cette meacutethode
ne permet de deacutetecter que les attaques connues et seulement si la liste des signatures
drsquoattaques est reacuteguliegraverement actualiseacutee
Chapitre 2
3) Comportementale deacutetection baseacutee sur le comportement (behaviour based detection) LrsquoIPS
tente de deacutecouvrir des activiteacutes laquoanormalesraquo en observant le comportement du systegraveme et des
utilisateurs Apregraves une phase drsquoapprentissage lrsquoIPS dispose drsquoun modegravele du laquocomportement
normalraquo du systegraveme et de ses utilisateurs SI lrsquoIPS constate que lrsquoactiviteacute courante srsquoeacuteloigne
trop du comportement normal il prenne une mesure Cette meacutethode a lrsquoavantage de pouvoir
deacutetecter des tentatives drsquoexploitation de vulneacuterabiliteacutes jusque lagrave inconnues
II3 Ougrave placer lrsquoIPS dans une topologie reacuteseau
Figure II-1 ndash Endroits typiques pour un IPS reacuteseau (NIPS)
1 Derriegravere le firewall peacuterimegravetre de reacuteseau et la fin de tout reacuteseau VPN
2 Entre le firewall peacuterimegravetre de reacuteseau et les serveurs placeacutes dans la DMZ tels que le serveur
web et les serveurs de-mailhellip
3 Devant les serveurs internes critiques tels que les serveurs dapplication
4 Devant les principaux workgroups drsquoun deacutepartement
44 Les diffeacuterentes faccedilons de reacutealiser un IPS
Il existe 5 diffeacuterentes faccedilons de reacutealiser un systegraveme de preacutevention drsquointrusion agrave savoir le
NIDS en ligne (inline NIDS) les firewallsIDS applicatifs (application-based firewallsIDS)
les commutateurs de la couche 7 (layer 7 switches) les IDS reacuteseaux applicatifs (network-
based application IDSs) et les applications trompeuses (deceptive applications)
Chapitre 2
III ndash La diffeacuterence entre la Deacutetection et la Preacutevention
Un IDS (reacuteseau) et un IPS (reacuteseau) se diffegraverent principalement par 2 caracteacuteristiques
- Le positionnement sur le reacuteseau (traditionnellement lrsquoIDS est positionneacute comme un sniffer)
- La possibiliteacute de bloquer immeacutediatement les intrusions et ce quel que soit le type de
protocole de transport utiliseacute sans reconfiguration drsquoun eacutequipement tiers LrsquoIPS est constitueacute
drsquoune technique de filtrage de paquets et de moyens de blocage (drop connection drop
offending packets block intruder hellip)
Mais on peut eacutegalement ajouter le deacuteterminisme Les IDS peuvent (et devraient) utiliser des
meacutethodes non deacuteterministes pour laquopreacutedireraquo toute sorte de menace ou une menace potentielle
du trafic existant Ces meacutethodes se composent de lanalyse statistique du volume de trafic des
modegraveles de trafic et des activiteacutes anormales Mais tout ceci nrsquoest destineacute qursquoagrave celui qui veut
savoir ce qui se passe sur son reacuteseau et rien de plus En revanche un IPS doit ecirctre
deacuteterministe ndash juste exact - dans toutes ses deacutecisions afin dexeacutecuter sa fonction de
laquonettoyeurraquo de trafic Un dispositif IPS nest pas censeacute prendre des risques ou reacuteagir avec une
certaine technique dlaquointuitionraquo Il est supposeacute fonctionner tout le temps faire un controcircle
drsquoaccegraves du reacuteseau et prendre des deacutecisions Les firewalls ont fourni la premiegravere approche
deacuteterministe du controcircle daccegraves du reacuteseau
III-1 IDS
Les systegravemes de deacutetection dintrusion ont eacuteteacute deacuteveloppeacutes pour identifier le trafic hostile et
envoyer des alertes Ils ne font rien pour arrecircter une attaque Ils sont deacuteployeacutes hors ligne et
possegravedent lrsquoavantage de ne pas pouvoir causer eux-mecircmes de panne de reacuteseau
La nature passive drsquoun IDS le positionne bien pour identifier
- Les attaques connues par lintermeacutediaire des signatures et des regravegles
- Les variations de volume et de direction de trafic en utilisant des regravegles complexes et une
analyse statistique
- Les variations de modegravele de trafic de communication en utilisant lanalyse des flux
Chapitre 2
- La deacutetection dune activiteacute suspecte en utilisant lanalyse de flux les techniques
statistiques et la deacutetection danomalie
Mais cette passiviteacute ne donne pas que des avantages On reproche eacutegalement agrave un IDS
Deacutetection uniquement sans preacutevention Comme ils sont placeacutes en dehors du reacuteseau les
NIDS peuvent difficilement avoir une incidence sur le trafic Les NIDS sont geacuteneacuteralement
impuissants pour arrecircter ou mecircme contrer une attaque en cours
Dureacutee de reacutecupeacuteration du systegraveme importante La neacutecessiteacute drsquoune intervention manuelle
de mecircme que la quantiteacute consideacuterable de donneacutees agrave scruter entraicircne une reacuteaction lente face agrave
une attaque ou une intrusion
Fausses alarmes Les NIDS confondent parfois un trafic inoffensif avec une attaque ce sont
les laquofaux positifsraquo Ces erreurs demandent souvent un temps consideacuterable pour controcircler les
paquets en question et deacuteterminer que le systegraveme NIDS srsquoest trompeacute Dans drsquoautres
circonstances le NIDS identifie correctement un motif de trafic particulier qui correspond agrave
une signature mais la structure srsquoavegravere en fait normale pour lorganisation en question
Donneacutees des journaux trop importantes Un NIDS doit geacuteneacuterer des journaux de compte-
rendu drsquoactiviteacute anormale ou douteuse sur le reacuteseau Les responsables de la seacutecuriteacute doivent
passer du temps agrave examiner ces journaux pour deacuteterminer ce qui srsquoest passeacute et les actions agrave
entreprendre
Difficulteacutes de deacuteploiement Les solutions NIDS doivent ecirctre placeacutees agrave toutes les entreacutees des
systegravemes et serveurs de lrsquoentreprise ecirctre correctement configureacutees et reacuteguliegraverement mises agrave
jour Mais plus le niveau des menaces augmente plus le deacuteploiement des IDS prend de
lrsquoampleur et on constate que la quantiteacute dheure neacutecessaire pour analyser les logs et pour
reacutepondre aux incidents (geacuterer et reacuteparer) devient trop importante
Les solutions traditionnelles comme le firewall et les anti-virus ne peuvent pas faire face agrave la
nouvelle geacuteneacuteration de menaces Une solution qui protegravege les informations au moment
opportun sans attendre une nouvelle creacuteation et distribution de signatures est neacutecessaire
III-2 IPS
Les solutions de preacutevention dintrusion sont mises en place pour traiter
- Les applications non deacutesireacutees les attaques cheval de Troie contre les reacuteseaux priveacutes et
les applications en utilisant des regravegles deacuteterministes et des listes de controcircle daccegraves
Chapitre 2
- Les attaques DoS ou DDoS comme les SYN et ICMP Flooding en utilisant un
algorithme de filtrage agrave seuil
- Les abus drsquoapplication et les manipulations de protocole -attaques connues et inconnues
contre HTTP ftp DNS smtp etc- en utilisant des regravegles de protocole dapplication et des
signatures
- Les attaques de surcharge ou drsquoabus dapplication en utilisant des limites de
consommation de ressource baseacutees sur des seuils
Ces systegravemes possegravedent les avantages suivants
Blocage rapide des intrusions Un eacuteveacutenement drsquointrusion est le deacutebut drsquoun processus
drsquoatteinte aux ressources informatiques drsquoune entreprise sans parler des responsabiliteacutes
juridiques potentielles En intervenant degraves la deacutetection un IPS bloque rapidement lrsquointrusion
et minimise la dureacutee totale avant que le reacuteseau ne revienne agrave la normale
Deacutetection preacutecise et fiable A lrsquoaide de plusieurs meacutethodes de deacutetection et en tirant parti de
sa position en ligne lrsquoIPS peut deacutetecter les attaques et intrusions avec une preacutecision et une
fiabiliteacute supeacuterieures
Moins deacutependant des signatures et davantage des meacutethodes intelligentes de deacutetection lrsquoIPS
geacutenegravere beaucoup moins de fausses alarmes Ainsi le temps et les efforts de lrsquoentreprise sont
exclusivement concentreacutes sur les veacuteritables menaces
Preacutevention active Alors qursquoun NIDS avertit simplement de la preacutesence drsquoun trafic suspect
ou anormal un IPS peut lancer divers meacutecanismes de reacuteaction
Le tableau suivant reacutesume les diffeacuterentes caracteacuteristiques drsquoun IPS et drsquoun IDS
Chapitre 2
Deacutetection drsquointrusion Preacutevention drsquointrusion
HIDS
Pour
- Peut deacutetecter lutilisation drsquoun systegraveme qui
viole la politique de seacutecuriteacute de lrsquoentreprise
- Peut alerter sur des changements au niveau
du systegraveme tels qursquoune importante
modification de fichier
Contre
- Le coucirct du deacuteploiement et de la gestion est
eacuteleveacute puisque chaque hocircte doit ecirctre eacutequipeacute et
une politique doit ecirctre deacuteveloppeacutee
- La plupart des fabricants de HIDS ne
construisent pas un produit destineacute aux
postes de travail ainsi seuls les serveurs sont
proteacutegeacutes
- La deacutetection est geacuteneacuteralement a posteriori
dans la courbe de reacuteponse Une deacutetection
reacuteussie vient dune tentative reacuteussie dattaque
HIPS
Pour
- Assure une protection contre les attaques
inconnues
- Exige peu ou aucune mise agrave jour de seacutecuriteacute
dans une peacuteriode annuelle
- Empecircche les attaques de sexeacutecuter sur une
machine au niveau noyau plutocirct que de
deacutetecter les reacutesultats dune attaque reacuteussie
Contre
- Le coucirct de tout le systegraveme peut ecirctre eacuteleveacute
puisquun agent est neacutecessaire pour chaque
serveur etou poste de travail critique
- Le temps de deacuteploiement afin drsquoeacutequiper
chaque serveurposte de travail peut ecirctre
long
- Le produit neacutecessite un ajustement apregraves
linstallation initiale pour ecirctre un outil de
seacutecuriteacute parfaitement fonctionnel
- Peut arrecircter des applications leacutegitimes en
cas de mauvais ajustement De nouvelles
applications ont peut-ecirctre besoin drsquoecirctre
examineacutees par les HIPS avant quelles soient
deacuteployeacutees
Chapitre 2
NIDS
Pour
- Les systegravemes baseacutes sur la deacutetection
drsquoanomalie peuvent deacutetecter une attaque
mecircme sur les systegravemes qui emploient le
cryptage (ils ne voient pas les exploits ils
voient la circulation anormale reacutesultant dune
attaque reacuteussie)
- Lrsquoobservation du trafic avec un systegraveme
baseacute sur des regravegles peut aider agrave imposer une
utilisation du reacuteseau en respectant la
politique de lrsquoentreprise
Contre
- Le coucirct du facteur humain est eacuteleveacute pour
surveiller les eacuteveacutenements et pour reacutepondre
aux incidents
- Agrave moins quun plan de reacuteponse ne soit
conccedilu et mis en place lrsquoIDS fournit peu ou
aucune seacutecuriteacute
- Un deacuteploiement reacuteussi demande un
important ajustement de lrsquoIDS pour reacuteduire
au minimum les faux positifs
NIPS
Pour
- Peut arrecircter la propagation des vers si
deacuteployeacute correctement sans arrecircter le trafic
- Protegravege contre de nouvelles attaques avant
que le code dexploit soit sorti (dans la
plupart des cas)
- Reacuteduira le coucirct de la reacuteponse aux incidents
(puisque la plupart des reacuteponses aux
incidents sont automatiques)
Contre
- Le coucirct du deacuteploiement NIPS au sein dun
reacuteseau peut ecirctre important
- Puisque les NIPS sont un dispositif inteacutegreacute
au reacuteseau ils creacuteent un point de deacutefaillance
bien quil y ait des meacutethodes pour traiter ce
problegraveme Lapproche la plus commune est
dajouter des eacuteleacutements redondants sachant
que tout le trafic de reacuteseau traverse le NIPS
- Un NIPS neacutecessite toujours des mises agrave jour
de seacutecuriteacute pour ecirctre vraiment efficace
Chapitre 2
IV - La protection par preacutevention
Lrsquoobjectif principal de cette partie est de preacutesenter un moyen de protection contre les attaques
au niveau du protocole applicatif
On distingue deux types drsquoattaques applicatives
- Les attaques qui ne respectent pas le protocole applicatif qui enfreignent les regravegles lieacutees
agrave ce protocole ou qui se caracteacuterisent par un usage laquoanormalraquo de celui-ci
- Les attaques qui respectent le protocole applicatif et qui ne peuvent donc pas ecirctre
deacutetecteacutees par une analyse protocolaire
Lrsquoanalyse protocolaire appeleacutee aussi deacutetection drsquoanomalie de protocole est justement la
technique de preacutevention drsquointrusion utiliseacutee dans le cadre de ce travail Il srsquoagit drsquoune analyse
des paquets circulant sur le reacuteseau ayant pour but de deacutecoder le protocole applicatif utiliseacute et
de controcircler la conformiteacute de lrsquoutilisation de la RFC Le systegraveme de preacutevention effectue ce
qursquoon appelle une analyse applicative laquotemps reacuteelraquo En effet le flux est recomposeacute et analyseacute
laquoagrave la voleacuteeraquo Cette analyse nrsquoest plus faite dans une application qui srsquoexeacutecute au-dessus du
systegraveme drsquoexploitation mais directement dans le noyau du systegraveme drsquoexploitation
Cette technique possegravede lrsquoavantage drsquoecirctre une technique proactive4 Elle permet de bloquer
des attaques non connues simplement parce qursquoelles deacuterogent agrave la RFC Mais crsquoest une
technique non geacuteneacuterique qui nrsquoest efficace que pour le protocole analyseacute
La protection par lrsquoIPS est une solution destineacutee agrave toutes les entreprises qui ont deacuteployeacute un
service de VoIP comme montre la figure suivante
Figure IV-1 - Reacuteseaux dentreprise avec un service de teacuteleacutephonie IP
------------------------------------------------------------
4 Qui fonctionne de maniegravere dynamique par anticipation
Chapitre 2
Le reacuteseau drsquoentreprise est en geacuteneacuteral constitueacute de deux sections le reacuteseau interne (LAN) et la
zone deacutemilitariseacutee (DMZ) La DMZ est connecteacutee au reacuteseau public agrave travers le firewall
externe et comporte diffeacuterents serveurs accessibles depuis lrsquoexteacuterieur tels que le serveur web
e-mail DNS (Domain Name Server) etc Le reacuteseau interne est connecteacute agrave la DMZ par un
autre firewall
Chaque dispositif de seacutecuriteacute est utiliseacute dans le but de se proteacuteger drsquoune menace particuliegravere
De plus ils possegravedent tous un point faible Ainsi crsquoest seulement en combinant les diffeacuterentes
techniques qursquoon arrive reacuteellement agrave une protection optimale Les firewalls sont la barriegravere de
trafic ils laissent passer ou non les trafics entrant selon leur politique Les IDS sont le
moniteur de trafic ils observent lrsquoactiviteacute du reacuteseau et consignent ce qui est suspect Ils
peuvent deacutetecter les menaces qui ont pu eacutechapper au firewall et les notifient Les IPS
fournissent les mesures preacuteventives et les commandes utiles pour combattre de nouvelles
menaces
IV-1 LrsquoIPS par Snort Inline
Ce travail impleacutemente un NIDS en ligne (Inline NIDS) meacutethode choisie pour la reacutealisation
de lrsquoIPS
Qursquoest-ce qui a motiveacute ce choix
Lrsquoobjectif eacutetait de reacutealiser un IPS pour le protocole SIP en respectant dans la mesure du
possible les impeacuteratifs
bull Ne pas toucher la topologie du reacuteseau existant
bull Inteacutegrer une solution totalement transparente crsquoest-agrave-dire ne rien toucher au systegraveme de
protection deacutejagrave deacuteployeacute
bull Avoir une solution la moins coucircteuse possible
Le dernier point conduit tout de suite agrave une solution open source Il existe dans le domaine des
logiciels libres un IPS Snort Inline qui est une version modifieacutee du ceacutelegravebre IDS Snort Celui-
ci constituera la base de lrsquoIPS SIP
Des fonctionnaliteacutes permettant drsquoinspecter le trafic SIP lui seront ajouteacutees
Chapitre 2
IV-1-1 Bregraveve preacutesentation de Snort Inline
Snort Inline est un systegraveme de preacutevention drsquointrusion Il exploite toutes les fonctionnaliteacutes
drsquoorigine de Snort telles que le deacutecodage le reacuteassemblage des paquetshellip Il utilise eacutegalement
les mecircmes composants que Snort tels que les preacuteprocesseurs de flux Par contre Snort Inline
utilise iptables et ip_queue5 pour lrsquoacquisition et le transfert des paquets
Iptables est configureacute comme un firewall normal Il prend tous les paquets entrants et les
transmet agrave Snort Inline Ce dernier a un moteur de deacutetection dintrusion inteacutegreacute qui analyse les
paquets reccedilus et transmet uniquement les paquets jugeacutes non hostiles au reacuteseau interne
Lrsquohocircte Snort Inline doit reacutesider entre la source et la destination des paquets pour que tout le
trafic passe par lrsquoordinateur qui heacuteberge Snort Inline
IV-1-2 Les composants
En geacuteneacuteral Snort Inline est diviseacute en plusieurs composants
bull Deacutecodeur de paquet (Packet decoder)
bull Preacuteprocesseurs (Preprocessors)
bull Moteur de deacutetection (Detection Engine)
bull Systegraveme dalerte et denregistrement de log (Logging and Alerting System)
Et eacuteventuellement des Modules de sortie (Output Module)
Ces composants travaillent ensemble pour deacutetecter des attaques particuliegraveres La figure
suivante montre comment ces composants sont organiseacutes
-----------------------------------------
5 Ip_queue est un module du noyau responsable de passer les paquets depuis le target QUEUE dans lespace noyau pour une application qui se trouve dans lespace utilisateur
Chapitre 2
Figure IV-2- Les diffeacuterents composants de Snort Inline
Chaque paquet de donneacutees passe par le deacutecodeur de paquet Sur son chemin vers les modules
de sortie il est soit rejeteacute soit logueacute
IV-1-2-1 Le deacutecodeur de paquet
Le deacutecodeur de paquet reacutecupegravere les paquets des diffeacuterentes interfaces reacuteseaux et les preacutepare
pour passer dans le preacuteprocesseur ou pour ecirctre envoyeacutes au moteur de deacutetection Les interfaces
peuvent ecirctre Ethernet SLIP (Serial Line Internet Protocol) PPP (Point to Point Protocol)hellip
Le deacutecodeur de paquet se compose drsquoune seacuterie de deacutecodeurs speacutecialiseacutes chacun dans un
eacuteleacutement de protocole speacutecifique
Figure IV-3 - Deacutecodeur de paquet
Chapitre 2
Le deacutecodeur de paquet transforme les eacuteleacutements du protocole (par exemple les entecirctes LLC
Ethernet IP TCP UDP hellip) speacutecifiques en une structure de donneacutees interne
IV-1-2-2 Les preacuteprocesseurs
Les preacuteprocesseurs sont des composants ou plug-ins Ils peuvent ecirctre utiliseacutes avec Snort Inline
pour laquoarrangerraquo ou laquomodifierraquo les paquets avant que le moteur de deacutetection ne fasse ses
opeacuterations pour deacutecouvrir si le paquet est utiliseacute par un intrus Certains preacuteprocesseurs
effectuent eacutegalement une deacutetection pour trouver des anomalies dans les entecirctes de paquet et
produisent des alertes ou des logs
IV-1-2-3 Le moteur de deacutetection
Le moteur de deacutetection est la partie la plus importante Son rocircle est de deacutetecter srsquoil existe une
activiteacute dintrusion possible dans un paquet Le moteur de deacutetection utilise des regravegles dans ce
but Les regravegles sont lues dans les structures ou les chaicircnes de donneacutees internes ougrave elles sont
associeacutees avec chaque paquet Si un paquet correspond agrave une des regravegles une action approprieacutee
est effectueacutee Le paquet est par exemple rejeteacute et un log est noteacute
IV-1-3- Les modes
LrsquoIPS peut ecirctre deacuteployeacute en deux modes
IV-1-3-1 Mode NAT
En mode NAT le reacuteseau est diviseacute en deux parties la partie publique et la partie priveacutee Le
cocircteacute public du reacuteseau est seacutepareacute du cocircteacute priveacute par lIPS LIPS exeacutecute la configuration NAT il
eacutetablit une correspondance de toutes les adresses publiques agrave son interface publique Ensuite il
les traduit agrave leurs adresses priveacutees correspondantes
IV-1-3- 2 Mode Bridge
En mode bridge lIPS agit en tant que pont entre le reacuteseau public et le reacuteseau priveacute Le mode
pont est furtif En effet le dispositif devient non deacutetectable puisqursquoil ne possegravede pas drsquoadresse
IP Il est donc plus sucircr ce qui en fait le mode recommandeacute
Chapitre 2
IV-1-4- Les regravegles
Snort Inline est eacutequipeacute de reacuteponses de preacutevention des intrusions qui prennent la forme
drsquoactions de regravegles classiques
IV-1-4- 1 Drop
La regravegle drop indiquera agrave iptables de rejeter le paquet et drsquoenvoyer un TCP reset si le
protocole est TCP ou un ICMP port unreachable si le protocole est UDP et de loguer le
paquet par lintermeacutediaire des moyens habituels de Snort
Figure IV-4 - Snort Inline drop mode
Quand des paquets sont lus par Snort Inline dans le target QUEUE drsquoiptables les meta-
donneacutees etou la charge utile (payload) du paquet sont compareacutees agrave lensemble des regravegles de
Snort Inline Si le paquet a eacuteteacute identifieacute comme eacutetant un paquet malveillant contenant un
certain type de signature dexploit Snort Inline deacutetermine ce quil va devenir Il se base sur les
regravegles preacutedeacutefinies pour prendre sa deacutecision Si on a deacutefini des regravegles drop alors le paquet sera
rejeteacute Cette deacutecision est passeacutee agrave iptables qui va la mettre en oeuvre
IV-1-4- 2 Sdrop
La regravegle sdrop indiquera agrave iptables de rejeter le paquet et drsquoenvoyer un reset mais aucun log
nrsquoest eacutecrit
Chapitre 2
Il existe deux options sur la faccedilon drsquoenvoyer un reset
bull On peut toujours utiliser un raw socket6 crsquoest le comportement par deacutefaut de Snort Inline
Dans ce cas on doit avoir une interface qui possegravede une adresse IP assigneacutee Sil ny a pas
une interface avec une adresse IP valide avec accegraves agrave la source du paquet le paquet sera
logueacute mais le reset ne sera jamais envoyeacute sur le reacuteseau
bull On peut eacutegalement effectuer des resets par lintermeacutediaire dun dispositif physique en
utilisant iptables On utilise le nom INDEV fourni par ip_queue comme interface sur
laquelle on envoie le reset Il nrsquoest plus neacutecessaire qursquoune adresse IP soit preacutesente sur le
pont il demeure donc furtif
------------------------------------------6 Un raw socket est un socket avec un pouvoir laquosupeacuterieurraquo il permet deacutecrire ou de lire des paquets sur une interface reacuteseau avec les paramegravetres souhaiteacutes cest-agrave-dire quil aura la possibiliteacute de modifier lentecircte dun paquet pour ensuite lenvoyer avec les options de ce mecircme entecircte modifieacutees (adresse IP source flag TCP etc)
Chapitre 2
Est-ce quavec des alarmes de ce type une intervention humaine est neacutecessaire
Dans un environnement ougrave la seacutecuriteacute est primordiale la reacuteponse est plutocirct oui Une
intervention humaine est neacutecessaire pour veacuterifier lrsquointervention automatiseacutee et aussi pour
recueillir les indices de sorte quils puissent ecirctre employeacutes pour se proteacuteger contre de futures
attaques ou pour identifier une plus grande menace
Dans la plupart des environnements ougrave la seacutecuriteacute est un souci et non pas une prioriteacute aucune
intervention humaine nrsquoest vraiment neacutecessaire
Les avantages drsquoun network IPS
- Un seul point de controcircle pour le trafic peut proteacuteger des milliers de systegravemes situeacutes en
aval du dispositif Ceci permet agrave une organisation de mesurer sa solution rapidement et de
fournir la flexibiliteacute requise pour reacutepondre aux changements constants de larchitecture reacuteseau
- Le deacuteploiement devient facile car un seul dispositif IPS peut proteacuteger des centaines de
systegravemes
- Il fournit une vue plus large de lenvironnement de menaces telles que les balayages
sondeshellip Avoir une vision strateacutegique de lenvironnement de menaces permet agrave la gestion de
seacutecuriteacute de sadapter agrave un changement de perspective
- Il protegravege les autres dispositifs du reacuteseau toutes les attaques ne sont pas dirigeacutees que contre
les systegravemes doteacutes drsquoun systegraveme dexploitation Par exemple les routeurs firewalls
concentrateurs VPN serveurs drsquoimprimantes etc sont tous vulneacuterables et exigent une
protection
- Il protegravege des attaques reacuteseaux DoS DDos SYN flood etc Travailler au niveau du reacuteseau
permet agrave un NIPS de proteacuteger contre ces types dattaques
II12 Host IPS
Le HIPS est un programme qui reacuteside sur un systegraveme tel que serveurs postes de travail ou
portables
Le trafic venant ou sortant de ce systegraveme particulier est inspecteacute et les activiteacutes au niveau des
applications et du systegraveme dexploitation peuvent ecirctre examineacutees afin de trouver des signes
dune attaque Un HIPS peut deacutetecter les attaques qui visent la machine et arrecircter le processus
malveillant avant quil ne sexeacutecute On peut donc consideacuterer le HIPS comme eacutetant plus un
moniteur de systegraveme drsquoexploitation ou moniteur drsquoapplication
Le HIPS nexige plus quun service geacutenegravere une notation deacuteveacutenement (event log) ou des
changements dans des fichiers systegravemes avant drsquoagir Crsquoest la nouveauteacute de cet outil
Chapitre 2
Quand une attaque est deacutetecteacutee le logiciel bloque lattaque soit au niveau de lrsquointerface
reacuteseau soit en envoyant des commandes agrave lapplication ou au systegraveme dexploitation darrecircter
lrsquoaction lanceacutee par lattaque
La meacutethode de deacutetection varie selon le fabricant mais la plus utiliseacutee est lrsquoapproche baseacutee sur
des regravegles
Un HIPS possegravede une liste preacutedeacutefinie de regravegle eacutetablie par le fabriquant et livreacutee avec le
produit Ces regravegles savent comment un systegraveme dexploitation ou une application devrait se
laquocomporterraquo Si lapplication initie une action suspecte une des regravegles est deacuteclencheacutee et le
processus est tueacute avant mecircme quil ait pu nuire au systegraveme
Par exemple les attaques par buffer overflow peuvent ecirctre empecirccheacutees en interdisant
lexeacutecution du programme malveillant inseacutereacute dans lespace adresse exploiteacute par lattaque Ou
encore les tentatives dinstallation de back door via une application comme Internet Explorer
sont bloqueacutes en arrecirctant et en refusant la commande write file commande provenant de lrsquoIE
Drsquoautres systegravemes HIPS emploient lrsquoapproche ldquosurveillancerdquo ou ldquoobservationrdquo Un agent
HIPS tourne sur la machine et se concentre sur les eacuteveacutenements drsquoun systegraveme drsquoexploitation en
observant tous les appels systegraveme les entreacutees de la base de registre et les services des
communications
Enfin lapproche hybride est aussi utiliseacutee Un HIPS hybride peut employer une combinaison
de regravegles controcircle de lrsquoactiviteacute des applications et les signatures pour deacutetecter une attaque
Lavantage principal de ce type de systegravemes est la capaciteacute didentifier absolument les attaques
connues
Les systegravemes baseacutes sur les regravegles ou ceux qui adoptent lrsquoapproche laquosurveillanceraquo peuvent ne
deacutecouvrir que les actions suspectes actions qui sont arrecircteacutees bien-sucircr
Les avantages drsquoun Host IPS
Un logiciel installeacute directement sur le systegraveme le protegravege contre une attaque mais en plus le
protegravege des reacutesultats dune attaque en empecircchant un programme drsquoeacutecrire dans un fichier ou
un utilisateur drsquoaugmenter son privilegravege etchellip
- Protegravege les systegravemes mobiles contre lattaque quand ils sont hors du reacuteseau proteacutegeacute Les
ordinateurs portables sont le vecteur principal de vers dans un reacuteseau proteacutegeacute Installer un
NIPS avec un systegraveme mobile nest pas une solution pratique
- Protegravege des attaques locales le personnel avec un accegraves physique agrave un systegraveme peut lancer
des attaques locales en exeacutecutant des programmes introduits par une disquette ou un CD etc
Chapitre 2
Ces attaques se concentrent souvent sur lrsquoaugmentation des privilegraveges de lutilisateur en root
ou administrator afin de compromettre facilement dautres systegravemes dans le reacuteseau
- Garantir une laquoderniegravere ligne de deacutefenseraquo contre les attaques qui ont pu se soustraire agrave
dautres outils de seacutecuriteacute Un potentiel systegraveme victime lui-mecircme est un dernier point de
deacutefense disponible pour lrsquoadministrateur de la seacutecuriteacute afin de se proteacuteger des violations du
systegraveme
- Empecircche lattaque interne ou labus des dispositifs situeacutes sur le mecircme segment du reacuteseau le
NIPS assure uniquement une protection des donneacutees qui se deacuteplacent entre diffeacuterents
segments Les attaques lanceacutees entre les systegravemes situeacutes sur le mecircme segment ne peuvent ecirctre
contreacutees qursquoavec le HIPS
- Protegravege des attaques chiffreacutees quand le flux de donneacutees chiffreacutees srsquoarrecircte au systegraveme
proteacutegeacute Le HIPS examine ces donneacutees etou le comportement apregraves que ces donneacutees chiffreacutees
ont eacuteteacute deacutechiffreacutees sur le systegraveme
- Indeacutependant de larchitecture reacuteseau
Comme le HIPS intercepte toutes les requecirctes destineacutees au systegraveme quil protegravege il doit
respecter une certaine condition preacutealable il doit ecirctre tregraves fiable ne doit pas avoir un impact
neacutegatif sur la performance du systegraveme et ne doit pas bloquer le trafic reconnu comme
leacutegitime
II2 Les techniques de deacutetection
La premiegravere eacutetape pour arrecircter les attaques et eacuteviter les intrusions consiste agrave les deacutetecter
Plusieurs meacutethodes de deacutetection sont applicables
1) Lrsquoanalyse de protocole crsquoest une deacutetection drsquoanomalie de protocole LrsquoIPS controcircle la
conformiteacute agrave la norme du protocole donneacute Avec cette meacutethode la recherche drsquoune activiteacute
drsquointrusion est plus cibleacutee et donc plus efficace
2) Correspondance de motifs (pattern matching) le trafic est scruteacute pour deacuteterminer les
signatures des motifs drsquoattaque connus Le systegraveme analyse chaque paquet Cette meacutethode
peut ecirctre stateful crsquoest-agrave-dire que le systegraveme examine le contexte et lrsquoemplacement de la
signature LrsquoIPS conserve la trace de lrsquoeacutetat de connexion avec lrsquoentiteacute exteacuterieure et eacutevaluera le
contexte plus large de toutes les transactions eacutetablies au cours de la connexion Cette meacutethode
ne permet de deacutetecter que les attaques connues et seulement si la liste des signatures
drsquoattaques est reacuteguliegraverement actualiseacutee
Chapitre 2
3) Comportementale deacutetection baseacutee sur le comportement (behaviour based detection) LrsquoIPS
tente de deacutecouvrir des activiteacutes laquoanormalesraquo en observant le comportement du systegraveme et des
utilisateurs Apregraves une phase drsquoapprentissage lrsquoIPS dispose drsquoun modegravele du laquocomportement
normalraquo du systegraveme et de ses utilisateurs SI lrsquoIPS constate que lrsquoactiviteacute courante srsquoeacuteloigne
trop du comportement normal il prenne une mesure Cette meacutethode a lrsquoavantage de pouvoir
deacutetecter des tentatives drsquoexploitation de vulneacuterabiliteacutes jusque lagrave inconnues
II3 Ougrave placer lrsquoIPS dans une topologie reacuteseau
Figure II-1 ndash Endroits typiques pour un IPS reacuteseau (NIPS)
1 Derriegravere le firewall peacuterimegravetre de reacuteseau et la fin de tout reacuteseau VPN
2 Entre le firewall peacuterimegravetre de reacuteseau et les serveurs placeacutes dans la DMZ tels que le serveur
web et les serveurs de-mailhellip
3 Devant les serveurs internes critiques tels que les serveurs dapplication
4 Devant les principaux workgroups drsquoun deacutepartement
44 Les diffeacuterentes faccedilons de reacutealiser un IPS
Il existe 5 diffeacuterentes faccedilons de reacutealiser un systegraveme de preacutevention drsquointrusion agrave savoir le
NIDS en ligne (inline NIDS) les firewallsIDS applicatifs (application-based firewallsIDS)
les commutateurs de la couche 7 (layer 7 switches) les IDS reacuteseaux applicatifs (network-
based application IDSs) et les applications trompeuses (deceptive applications)
Chapitre 2
III ndash La diffeacuterence entre la Deacutetection et la Preacutevention
Un IDS (reacuteseau) et un IPS (reacuteseau) se diffegraverent principalement par 2 caracteacuteristiques
- Le positionnement sur le reacuteseau (traditionnellement lrsquoIDS est positionneacute comme un sniffer)
- La possibiliteacute de bloquer immeacutediatement les intrusions et ce quel que soit le type de
protocole de transport utiliseacute sans reconfiguration drsquoun eacutequipement tiers LrsquoIPS est constitueacute
drsquoune technique de filtrage de paquets et de moyens de blocage (drop connection drop
offending packets block intruder hellip)
Mais on peut eacutegalement ajouter le deacuteterminisme Les IDS peuvent (et devraient) utiliser des
meacutethodes non deacuteterministes pour laquopreacutedireraquo toute sorte de menace ou une menace potentielle
du trafic existant Ces meacutethodes se composent de lanalyse statistique du volume de trafic des
modegraveles de trafic et des activiteacutes anormales Mais tout ceci nrsquoest destineacute qursquoagrave celui qui veut
savoir ce qui se passe sur son reacuteseau et rien de plus En revanche un IPS doit ecirctre
deacuteterministe ndash juste exact - dans toutes ses deacutecisions afin dexeacutecuter sa fonction de
laquonettoyeurraquo de trafic Un dispositif IPS nest pas censeacute prendre des risques ou reacuteagir avec une
certaine technique dlaquointuitionraquo Il est supposeacute fonctionner tout le temps faire un controcircle
drsquoaccegraves du reacuteseau et prendre des deacutecisions Les firewalls ont fourni la premiegravere approche
deacuteterministe du controcircle daccegraves du reacuteseau
III-1 IDS
Les systegravemes de deacutetection dintrusion ont eacuteteacute deacuteveloppeacutes pour identifier le trafic hostile et
envoyer des alertes Ils ne font rien pour arrecircter une attaque Ils sont deacuteployeacutes hors ligne et
possegravedent lrsquoavantage de ne pas pouvoir causer eux-mecircmes de panne de reacuteseau
La nature passive drsquoun IDS le positionne bien pour identifier
- Les attaques connues par lintermeacutediaire des signatures et des regravegles
- Les variations de volume et de direction de trafic en utilisant des regravegles complexes et une
analyse statistique
- Les variations de modegravele de trafic de communication en utilisant lanalyse des flux
Chapitre 2
- La deacutetection dune activiteacute suspecte en utilisant lanalyse de flux les techniques
statistiques et la deacutetection danomalie
Mais cette passiviteacute ne donne pas que des avantages On reproche eacutegalement agrave un IDS
Deacutetection uniquement sans preacutevention Comme ils sont placeacutes en dehors du reacuteseau les
NIDS peuvent difficilement avoir une incidence sur le trafic Les NIDS sont geacuteneacuteralement
impuissants pour arrecircter ou mecircme contrer une attaque en cours
Dureacutee de reacutecupeacuteration du systegraveme importante La neacutecessiteacute drsquoune intervention manuelle
de mecircme que la quantiteacute consideacuterable de donneacutees agrave scruter entraicircne une reacuteaction lente face agrave
une attaque ou une intrusion
Fausses alarmes Les NIDS confondent parfois un trafic inoffensif avec une attaque ce sont
les laquofaux positifsraquo Ces erreurs demandent souvent un temps consideacuterable pour controcircler les
paquets en question et deacuteterminer que le systegraveme NIDS srsquoest trompeacute Dans drsquoautres
circonstances le NIDS identifie correctement un motif de trafic particulier qui correspond agrave
une signature mais la structure srsquoavegravere en fait normale pour lorganisation en question
Donneacutees des journaux trop importantes Un NIDS doit geacuteneacuterer des journaux de compte-
rendu drsquoactiviteacute anormale ou douteuse sur le reacuteseau Les responsables de la seacutecuriteacute doivent
passer du temps agrave examiner ces journaux pour deacuteterminer ce qui srsquoest passeacute et les actions agrave
entreprendre
Difficulteacutes de deacuteploiement Les solutions NIDS doivent ecirctre placeacutees agrave toutes les entreacutees des
systegravemes et serveurs de lrsquoentreprise ecirctre correctement configureacutees et reacuteguliegraverement mises agrave
jour Mais plus le niveau des menaces augmente plus le deacuteploiement des IDS prend de
lrsquoampleur et on constate que la quantiteacute dheure neacutecessaire pour analyser les logs et pour
reacutepondre aux incidents (geacuterer et reacuteparer) devient trop importante
Les solutions traditionnelles comme le firewall et les anti-virus ne peuvent pas faire face agrave la
nouvelle geacuteneacuteration de menaces Une solution qui protegravege les informations au moment
opportun sans attendre une nouvelle creacuteation et distribution de signatures est neacutecessaire
III-2 IPS
Les solutions de preacutevention dintrusion sont mises en place pour traiter
- Les applications non deacutesireacutees les attaques cheval de Troie contre les reacuteseaux priveacutes et
les applications en utilisant des regravegles deacuteterministes et des listes de controcircle daccegraves
Chapitre 2
- Les attaques DoS ou DDoS comme les SYN et ICMP Flooding en utilisant un
algorithme de filtrage agrave seuil
- Les abus drsquoapplication et les manipulations de protocole -attaques connues et inconnues
contre HTTP ftp DNS smtp etc- en utilisant des regravegles de protocole dapplication et des
signatures
- Les attaques de surcharge ou drsquoabus dapplication en utilisant des limites de
consommation de ressource baseacutees sur des seuils
Ces systegravemes possegravedent les avantages suivants
Blocage rapide des intrusions Un eacuteveacutenement drsquointrusion est le deacutebut drsquoun processus
drsquoatteinte aux ressources informatiques drsquoune entreprise sans parler des responsabiliteacutes
juridiques potentielles En intervenant degraves la deacutetection un IPS bloque rapidement lrsquointrusion
et minimise la dureacutee totale avant que le reacuteseau ne revienne agrave la normale
Deacutetection preacutecise et fiable A lrsquoaide de plusieurs meacutethodes de deacutetection et en tirant parti de
sa position en ligne lrsquoIPS peut deacutetecter les attaques et intrusions avec une preacutecision et une
fiabiliteacute supeacuterieures
Moins deacutependant des signatures et davantage des meacutethodes intelligentes de deacutetection lrsquoIPS
geacutenegravere beaucoup moins de fausses alarmes Ainsi le temps et les efforts de lrsquoentreprise sont
exclusivement concentreacutes sur les veacuteritables menaces
Preacutevention active Alors qursquoun NIDS avertit simplement de la preacutesence drsquoun trafic suspect
ou anormal un IPS peut lancer divers meacutecanismes de reacuteaction
Le tableau suivant reacutesume les diffeacuterentes caracteacuteristiques drsquoun IPS et drsquoun IDS
Chapitre 2
Deacutetection drsquointrusion Preacutevention drsquointrusion
HIDS
Pour
- Peut deacutetecter lutilisation drsquoun systegraveme qui
viole la politique de seacutecuriteacute de lrsquoentreprise
- Peut alerter sur des changements au niveau
du systegraveme tels qursquoune importante
modification de fichier
Contre
- Le coucirct du deacuteploiement et de la gestion est
eacuteleveacute puisque chaque hocircte doit ecirctre eacutequipeacute et
une politique doit ecirctre deacuteveloppeacutee
- La plupart des fabricants de HIDS ne
construisent pas un produit destineacute aux
postes de travail ainsi seuls les serveurs sont
proteacutegeacutes
- La deacutetection est geacuteneacuteralement a posteriori
dans la courbe de reacuteponse Une deacutetection
reacuteussie vient dune tentative reacuteussie dattaque
HIPS
Pour
- Assure une protection contre les attaques
inconnues
- Exige peu ou aucune mise agrave jour de seacutecuriteacute
dans une peacuteriode annuelle
- Empecircche les attaques de sexeacutecuter sur une
machine au niveau noyau plutocirct que de
deacutetecter les reacutesultats dune attaque reacuteussie
Contre
- Le coucirct de tout le systegraveme peut ecirctre eacuteleveacute
puisquun agent est neacutecessaire pour chaque
serveur etou poste de travail critique
- Le temps de deacuteploiement afin drsquoeacutequiper
chaque serveurposte de travail peut ecirctre
long
- Le produit neacutecessite un ajustement apregraves
linstallation initiale pour ecirctre un outil de
seacutecuriteacute parfaitement fonctionnel
- Peut arrecircter des applications leacutegitimes en
cas de mauvais ajustement De nouvelles
applications ont peut-ecirctre besoin drsquoecirctre
examineacutees par les HIPS avant quelles soient
deacuteployeacutees
Chapitre 2
NIDS
Pour
- Les systegravemes baseacutes sur la deacutetection
drsquoanomalie peuvent deacutetecter une attaque
mecircme sur les systegravemes qui emploient le
cryptage (ils ne voient pas les exploits ils
voient la circulation anormale reacutesultant dune
attaque reacuteussie)
- Lrsquoobservation du trafic avec un systegraveme
baseacute sur des regravegles peut aider agrave imposer une
utilisation du reacuteseau en respectant la
politique de lrsquoentreprise
Contre
- Le coucirct du facteur humain est eacuteleveacute pour
surveiller les eacuteveacutenements et pour reacutepondre
aux incidents
- Agrave moins quun plan de reacuteponse ne soit
conccedilu et mis en place lrsquoIDS fournit peu ou
aucune seacutecuriteacute
- Un deacuteploiement reacuteussi demande un
important ajustement de lrsquoIDS pour reacuteduire
au minimum les faux positifs
NIPS
Pour
- Peut arrecircter la propagation des vers si
deacuteployeacute correctement sans arrecircter le trafic
- Protegravege contre de nouvelles attaques avant
que le code dexploit soit sorti (dans la
plupart des cas)
- Reacuteduira le coucirct de la reacuteponse aux incidents
(puisque la plupart des reacuteponses aux
incidents sont automatiques)
Contre
- Le coucirct du deacuteploiement NIPS au sein dun
reacuteseau peut ecirctre important
- Puisque les NIPS sont un dispositif inteacutegreacute
au reacuteseau ils creacuteent un point de deacutefaillance
bien quil y ait des meacutethodes pour traiter ce
problegraveme Lapproche la plus commune est
dajouter des eacuteleacutements redondants sachant
que tout le trafic de reacuteseau traverse le NIPS
- Un NIPS neacutecessite toujours des mises agrave jour
de seacutecuriteacute pour ecirctre vraiment efficace
Chapitre 2
IV - La protection par preacutevention
Lrsquoobjectif principal de cette partie est de preacutesenter un moyen de protection contre les attaques
au niveau du protocole applicatif
On distingue deux types drsquoattaques applicatives
- Les attaques qui ne respectent pas le protocole applicatif qui enfreignent les regravegles lieacutees
agrave ce protocole ou qui se caracteacuterisent par un usage laquoanormalraquo de celui-ci
- Les attaques qui respectent le protocole applicatif et qui ne peuvent donc pas ecirctre
deacutetecteacutees par une analyse protocolaire
Lrsquoanalyse protocolaire appeleacutee aussi deacutetection drsquoanomalie de protocole est justement la
technique de preacutevention drsquointrusion utiliseacutee dans le cadre de ce travail Il srsquoagit drsquoune analyse
des paquets circulant sur le reacuteseau ayant pour but de deacutecoder le protocole applicatif utiliseacute et
de controcircler la conformiteacute de lrsquoutilisation de la RFC Le systegraveme de preacutevention effectue ce
qursquoon appelle une analyse applicative laquotemps reacuteelraquo En effet le flux est recomposeacute et analyseacute
laquoagrave la voleacuteeraquo Cette analyse nrsquoest plus faite dans une application qui srsquoexeacutecute au-dessus du
systegraveme drsquoexploitation mais directement dans le noyau du systegraveme drsquoexploitation
Cette technique possegravede lrsquoavantage drsquoecirctre une technique proactive4 Elle permet de bloquer
des attaques non connues simplement parce qursquoelles deacuterogent agrave la RFC Mais crsquoest une
technique non geacuteneacuterique qui nrsquoest efficace que pour le protocole analyseacute
La protection par lrsquoIPS est une solution destineacutee agrave toutes les entreprises qui ont deacuteployeacute un
service de VoIP comme montre la figure suivante
Figure IV-1 - Reacuteseaux dentreprise avec un service de teacuteleacutephonie IP
------------------------------------------------------------
4 Qui fonctionne de maniegravere dynamique par anticipation
Chapitre 2
Le reacuteseau drsquoentreprise est en geacuteneacuteral constitueacute de deux sections le reacuteseau interne (LAN) et la
zone deacutemilitariseacutee (DMZ) La DMZ est connecteacutee au reacuteseau public agrave travers le firewall
externe et comporte diffeacuterents serveurs accessibles depuis lrsquoexteacuterieur tels que le serveur web
e-mail DNS (Domain Name Server) etc Le reacuteseau interne est connecteacute agrave la DMZ par un
autre firewall
Chaque dispositif de seacutecuriteacute est utiliseacute dans le but de se proteacuteger drsquoune menace particuliegravere
De plus ils possegravedent tous un point faible Ainsi crsquoest seulement en combinant les diffeacuterentes
techniques qursquoon arrive reacuteellement agrave une protection optimale Les firewalls sont la barriegravere de
trafic ils laissent passer ou non les trafics entrant selon leur politique Les IDS sont le
moniteur de trafic ils observent lrsquoactiviteacute du reacuteseau et consignent ce qui est suspect Ils
peuvent deacutetecter les menaces qui ont pu eacutechapper au firewall et les notifient Les IPS
fournissent les mesures preacuteventives et les commandes utiles pour combattre de nouvelles
menaces
IV-1 LrsquoIPS par Snort Inline
Ce travail impleacutemente un NIDS en ligne (Inline NIDS) meacutethode choisie pour la reacutealisation
de lrsquoIPS
Qursquoest-ce qui a motiveacute ce choix
Lrsquoobjectif eacutetait de reacutealiser un IPS pour le protocole SIP en respectant dans la mesure du
possible les impeacuteratifs
bull Ne pas toucher la topologie du reacuteseau existant
bull Inteacutegrer une solution totalement transparente crsquoest-agrave-dire ne rien toucher au systegraveme de
protection deacutejagrave deacuteployeacute
bull Avoir une solution la moins coucircteuse possible
Le dernier point conduit tout de suite agrave une solution open source Il existe dans le domaine des
logiciels libres un IPS Snort Inline qui est une version modifieacutee du ceacutelegravebre IDS Snort Celui-
ci constituera la base de lrsquoIPS SIP
Des fonctionnaliteacutes permettant drsquoinspecter le trafic SIP lui seront ajouteacutees
Chapitre 2
IV-1-1 Bregraveve preacutesentation de Snort Inline
Snort Inline est un systegraveme de preacutevention drsquointrusion Il exploite toutes les fonctionnaliteacutes
drsquoorigine de Snort telles que le deacutecodage le reacuteassemblage des paquetshellip Il utilise eacutegalement
les mecircmes composants que Snort tels que les preacuteprocesseurs de flux Par contre Snort Inline
utilise iptables et ip_queue5 pour lrsquoacquisition et le transfert des paquets
Iptables est configureacute comme un firewall normal Il prend tous les paquets entrants et les
transmet agrave Snort Inline Ce dernier a un moteur de deacutetection dintrusion inteacutegreacute qui analyse les
paquets reccedilus et transmet uniquement les paquets jugeacutes non hostiles au reacuteseau interne
Lrsquohocircte Snort Inline doit reacutesider entre la source et la destination des paquets pour que tout le
trafic passe par lrsquoordinateur qui heacuteberge Snort Inline
IV-1-2 Les composants
En geacuteneacuteral Snort Inline est diviseacute en plusieurs composants
bull Deacutecodeur de paquet (Packet decoder)
bull Preacuteprocesseurs (Preprocessors)
bull Moteur de deacutetection (Detection Engine)
bull Systegraveme dalerte et denregistrement de log (Logging and Alerting System)
Et eacuteventuellement des Modules de sortie (Output Module)
Ces composants travaillent ensemble pour deacutetecter des attaques particuliegraveres La figure
suivante montre comment ces composants sont organiseacutes
-----------------------------------------
5 Ip_queue est un module du noyau responsable de passer les paquets depuis le target QUEUE dans lespace noyau pour une application qui se trouve dans lespace utilisateur
Chapitre 2
Figure IV-2- Les diffeacuterents composants de Snort Inline
Chaque paquet de donneacutees passe par le deacutecodeur de paquet Sur son chemin vers les modules
de sortie il est soit rejeteacute soit logueacute
IV-1-2-1 Le deacutecodeur de paquet
Le deacutecodeur de paquet reacutecupegravere les paquets des diffeacuterentes interfaces reacuteseaux et les preacutepare
pour passer dans le preacuteprocesseur ou pour ecirctre envoyeacutes au moteur de deacutetection Les interfaces
peuvent ecirctre Ethernet SLIP (Serial Line Internet Protocol) PPP (Point to Point Protocol)hellip
Le deacutecodeur de paquet se compose drsquoune seacuterie de deacutecodeurs speacutecialiseacutes chacun dans un
eacuteleacutement de protocole speacutecifique
Figure IV-3 - Deacutecodeur de paquet
Chapitre 2
Le deacutecodeur de paquet transforme les eacuteleacutements du protocole (par exemple les entecirctes LLC
Ethernet IP TCP UDP hellip) speacutecifiques en une structure de donneacutees interne
IV-1-2-2 Les preacuteprocesseurs
Les preacuteprocesseurs sont des composants ou plug-ins Ils peuvent ecirctre utiliseacutes avec Snort Inline
pour laquoarrangerraquo ou laquomodifierraquo les paquets avant que le moteur de deacutetection ne fasse ses
opeacuterations pour deacutecouvrir si le paquet est utiliseacute par un intrus Certains preacuteprocesseurs
effectuent eacutegalement une deacutetection pour trouver des anomalies dans les entecirctes de paquet et
produisent des alertes ou des logs
IV-1-2-3 Le moteur de deacutetection
Le moteur de deacutetection est la partie la plus importante Son rocircle est de deacutetecter srsquoil existe une
activiteacute dintrusion possible dans un paquet Le moteur de deacutetection utilise des regravegles dans ce
but Les regravegles sont lues dans les structures ou les chaicircnes de donneacutees internes ougrave elles sont
associeacutees avec chaque paquet Si un paquet correspond agrave une des regravegles une action approprieacutee
est effectueacutee Le paquet est par exemple rejeteacute et un log est noteacute
IV-1-3- Les modes
LrsquoIPS peut ecirctre deacuteployeacute en deux modes
IV-1-3-1 Mode NAT
En mode NAT le reacuteseau est diviseacute en deux parties la partie publique et la partie priveacutee Le
cocircteacute public du reacuteseau est seacutepareacute du cocircteacute priveacute par lIPS LIPS exeacutecute la configuration NAT il
eacutetablit une correspondance de toutes les adresses publiques agrave son interface publique Ensuite il
les traduit agrave leurs adresses priveacutees correspondantes
IV-1-3- 2 Mode Bridge
En mode bridge lIPS agit en tant que pont entre le reacuteseau public et le reacuteseau priveacute Le mode
pont est furtif En effet le dispositif devient non deacutetectable puisqursquoil ne possegravede pas drsquoadresse
IP Il est donc plus sucircr ce qui en fait le mode recommandeacute
Chapitre 2
IV-1-4- Les regravegles
Snort Inline est eacutequipeacute de reacuteponses de preacutevention des intrusions qui prennent la forme
drsquoactions de regravegles classiques
IV-1-4- 1 Drop
La regravegle drop indiquera agrave iptables de rejeter le paquet et drsquoenvoyer un TCP reset si le
protocole est TCP ou un ICMP port unreachable si le protocole est UDP et de loguer le
paquet par lintermeacutediaire des moyens habituels de Snort
Figure IV-4 - Snort Inline drop mode
Quand des paquets sont lus par Snort Inline dans le target QUEUE drsquoiptables les meta-
donneacutees etou la charge utile (payload) du paquet sont compareacutees agrave lensemble des regravegles de
Snort Inline Si le paquet a eacuteteacute identifieacute comme eacutetant un paquet malveillant contenant un
certain type de signature dexploit Snort Inline deacutetermine ce quil va devenir Il se base sur les
regravegles preacutedeacutefinies pour prendre sa deacutecision Si on a deacutefini des regravegles drop alors le paquet sera
rejeteacute Cette deacutecision est passeacutee agrave iptables qui va la mettre en oeuvre
IV-1-4- 2 Sdrop
La regravegle sdrop indiquera agrave iptables de rejeter le paquet et drsquoenvoyer un reset mais aucun log
nrsquoest eacutecrit
Chapitre 2
Il existe deux options sur la faccedilon drsquoenvoyer un reset
bull On peut toujours utiliser un raw socket6 crsquoest le comportement par deacutefaut de Snort Inline
Dans ce cas on doit avoir une interface qui possegravede une adresse IP assigneacutee Sil ny a pas
une interface avec une adresse IP valide avec accegraves agrave la source du paquet le paquet sera
logueacute mais le reset ne sera jamais envoyeacute sur le reacuteseau
bull On peut eacutegalement effectuer des resets par lintermeacutediaire dun dispositif physique en
utilisant iptables On utilise le nom INDEV fourni par ip_queue comme interface sur
laquelle on envoie le reset Il nrsquoest plus neacutecessaire qursquoune adresse IP soit preacutesente sur le
pont il demeure donc furtif
------------------------------------------6 Un raw socket est un socket avec un pouvoir laquosupeacuterieurraquo il permet deacutecrire ou de lire des paquets sur une interface reacuteseau avec les paramegravetres souhaiteacutes cest-agrave-dire quil aura la possibiliteacute de modifier lentecircte dun paquet pour ensuite lenvoyer avec les options de ce mecircme entecircte modifieacutees (adresse IP source flag TCP etc)
Chapitre 2
Quand une attaque est deacutetecteacutee le logiciel bloque lattaque soit au niveau de lrsquointerface
reacuteseau soit en envoyant des commandes agrave lapplication ou au systegraveme dexploitation darrecircter
lrsquoaction lanceacutee par lattaque
La meacutethode de deacutetection varie selon le fabricant mais la plus utiliseacutee est lrsquoapproche baseacutee sur
des regravegles
Un HIPS possegravede une liste preacutedeacutefinie de regravegle eacutetablie par le fabriquant et livreacutee avec le
produit Ces regravegles savent comment un systegraveme dexploitation ou une application devrait se
laquocomporterraquo Si lapplication initie une action suspecte une des regravegles est deacuteclencheacutee et le
processus est tueacute avant mecircme quil ait pu nuire au systegraveme
Par exemple les attaques par buffer overflow peuvent ecirctre empecirccheacutees en interdisant
lexeacutecution du programme malveillant inseacutereacute dans lespace adresse exploiteacute par lattaque Ou
encore les tentatives dinstallation de back door via une application comme Internet Explorer
sont bloqueacutes en arrecirctant et en refusant la commande write file commande provenant de lrsquoIE
Drsquoautres systegravemes HIPS emploient lrsquoapproche ldquosurveillancerdquo ou ldquoobservationrdquo Un agent
HIPS tourne sur la machine et se concentre sur les eacuteveacutenements drsquoun systegraveme drsquoexploitation en
observant tous les appels systegraveme les entreacutees de la base de registre et les services des
communications
Enfin lapproche hybride est aussi utiliseacutee Un HIPS hybride peut employer une combinaison
de regravegles controcircle de lrsquoactiviteacute des applications et les signatures pour deacutetecter une attaque
Lavantage principal de ce type de systegravemes est la capaciteacute didentifier absolument les attaques
connues
Les systegravemes baseacutes sur les regravegles ou ceux qui adoptent lrsquoapproche laquosurveillanceraquo peuvent ne
deacutecouvrir que les actions suspectes actions qui sont arrecircteacutees bien-sucircr
Les avantages drsquoun Host IPS
Un logiciel installeacute directement sur le systegraveme le protegravege contre une attaque mais en plus le
protegravege des reacutesultats dune attaque en empecircchant un programme drsquoeacutecrire dans un fichier ou
un utilisateur drsquoaugmenter son privilegravege etchellip
- Protegravege les systegravemes mobiles contre lattaque quand ils sont hors du reacuteseau proteacutegeacute Les
ordinateurs portables sont le vecteur principal de vers dans un reacuteseau proteacutegeacute Installer un
NIPS avec un systegraveme mobile nest pas une solution pratique
- Protegravege des attaques locales le personnel avec un accegraves physique agrave un systegraveme peut lancer
des attaques locales en exeacutecutant des programmes introduits par une disquette ou un CD etc
Chapitre 2
Ces attaques se concentrent souvent sur lrsquoaugmentation des privilegraveges de lutilisateur en root
ou administrator afin de compromettre facilement dautres systegravemes dans le reacuteseau
- Garantir une laquoderniegravere ligne de deacutefenseraquo contre les attaques qui ont pu se soustraire agrave
dautres outils de seacutecuriteacute Un potentiel systegraveme victime lui-mecircme est un dernier point de
deacutefense disponible pour lrsquoadministrateur de la seacutecuriteacute afin de se proteacuteger des violations du
systegraveme
- Empecircche lattaque interne ou labus des dispositifs situeacutes sur le mecircme segment du reacuteseau le
NIPS assure uniquement une protection des donneacutees qui se deacuteplacent entre diffeacuterents
segments Les attaques lanceacutees entre les systegravemes situeacutes sur le mecircme segment ne peuvent ecirctre
contreacutees qursquoavec le HIPS
- Protegravege des attaques chiffreacutees quand le flux de donneacutees chiffreacutees srsquoarrecircte au systegraveme
proteacutegeacute Le HIPS examine ces donneacutees etou le comportement apregraves que ces donneacutees chiffreacutees
ont eacuteteacute deacutechiffreacutees sur le systegraveme
- Indeacutependant de larchitecture reacuteseau
Comme le HIPS intercepte toutes les requecirctes destineacutees au systegraveme quil protegravege il doit
respecter une certaine condition preacutealable il doit ecirctre tregraves fiable ne doit pas avoir un impact
neacutegatif sur la performance du systegraveme et ne doit pas bloquer le trafic reconnu comme
leacutegitime
II2 Les techniques de deacutetection
La premiegravere eacutetape pour arrecircter les attaques et eacuteviter les intrusions consiste agrave les deacutetecter
Plusieurs meacutethodes de deacutetection sont applicables
1) Lrsquoanalyse de protocole crsquoest une deacutetection drsquoanomalie de protocole LrsquoIPS controcircle la
conformiteacute agrave la norme du protocole donneacute Avec cette meacutethode la recherche drsquoune activiteacute
drsquointrusion est plus cibleacutee et donc plus efficace
2) Correspondance de motifs (pattern matching) le trafic est scruteacute pour deacuteterminer les
signatures des motifs drsquoattaque connus Le systegraveme analyse chaque paquet Cette meacutethode
peut ecirctre stateful crsquoest-agrave-dire que le systegraveme examine le contexte et lrsquoemplacement de la
signature LrsquoIPS conserve la trace de lrsquoeacutetat de connexion avec lrsquoentiteacute exteacuterieure et eacutevaluera le
contexte plus large de toutes les transactions eacutetablies au cours de la connexion Cette meacutethode
ne permet de deacutetecter que les attaques connues et seulement si la liste des signatures
drsquoattaques est reacuteguliegraverement actualiseacutee
Chapitre 2
3) Comportementale deacutetection baseacutee sur le comportement (behaviour based detection) LrsquoIPS
tente de deacutecouvrir des activiteacutes laquoanormalesraquo en observant le comportement du systegraveme et des
utilisateurs Apregraves une phase drsquoapprentissage lrsquoIPS dispose drsquoun modegravele du laquocomportement
normalraquo du systegraveme et de ses utilisateurs SI lrsquoIPS constate que lrsquoactiviteacute courante srsquoeacuteloigne
trop du comportement normal il prenne une mesure Cette meacutethode a lrsquoavantage de pouvoir
deacutetecter des tentatives drsquoexploitation de vulneacuterabiliteacutes jusque lagrave inconnues
II3 Ougrave placer lrsquoIPS dans une topologie reacuteseau
Figure II-1 ndash Endroits typiques pour un IPS reacuteseau (NIPS)
1 Derriegravere le firewall peacuterimegravetre de reacuteseau et la fin de tout reacuteseau VPN
2 Entre le firewall peacuterimegravetre de reacuteseau et les serveurs placeacutes dans la DMZ tels que le serveur
web et les serveurs de-mailhellip
3 Devant les serveurs internes critiques tels que les serveurs dapplication
4 Devant les principaux workgroups drsquoun deacutepartement
44 Les diffeacuterentes faccedilons de reacutealiser un IPS
Il existe 5 diffeacuterentes faccedilons de reacutealiser un systegraveme de preacutevention drsquointrusion agrave savoir le
NIDS en ligne (inline NIDS) les firewallsIDS applicatifs (application-based firewallsIDS)
les commutateurs de la couche 7 (layer 7 switches) les IDS reacuteseaux applicatifs (network-
based application IDSs) et les applications trompeuses (deceptive applications)
Chapitre 2
III ndash La diffeacuterence entre la Deacutetection et la Preacutevention
Un IDS (reacuteseau) et un IPS (reacuteseau) se diffegraverent principalement par 2 caracteacuteristiques
- Le positionnement sur le reacuteseau (traditionnellement lrsquoIDS est positionneacute comme un sniffer)
- La possibiliteacute de bloquer immeacutediatement les intrusions et ce quel que soit le type de
protocole de transport utiliseacute sans reconfiguration drsquoun eacutequipement tiers LrsquoIPS est constitueacute
drsquoune technique de filtrage de paquets et de moyens de blocage (drop connection drop
offending packets block intruder hellip)
Mais on peut eacutegalement ajouter le deacuteterminisme Les IDS peuvent (et devraient) utiliser des
meacutethodes non deacuteterministes pour laquopreacutedireraquo toute sorte de menace ou une menace potentielle
du trafic existant Ces meacutethodes se composent de lanalyse statistique du volume de trafic des
modegraveles de trafic et des activiteacutes anormales Mais tout ceci nrsquoest destineacute qursquoagrave celui qui veut
savoir ce qui se passe sur son reacuteseau et rien de plus En revanche un IPS doit ecirctre
deacuteterministe ndash juste exact - dans toutes ses deacutecisions afin dexeacutecuter sa fonction de
laquonettoyeurraquo de trafic Un dispositif IPS nest pas censeacute prendre des risques ou reacuteagir avec une
certaine technique dlaquointuitionraquo Il est supposeacute fonctionner tout le temps faire un controcircle
drsquoaccegraves du reacuteseau et prendre des deacutecisions Les firewalls ont fourni la premiegravere approche
deacuteterministe du controcircle daccegraves du reacuteseau
III-1 IDS
Les systegravemes de deacutetection dintrusion ont eacuteteacute deacuteveloppeacutes pour identifier le trafic hostile et
envoyer des alertes Ils ne font rien pour arrecircter une attaque Ils sont deacuteployeacutes hors ligne et
possegravedent lrsquoavantage de ne pas pouvoir causer eux-mecircmes de panne de reacuteseau
La nature passive drsquoun IDS le positionne bien pour identifier
- Les attaques connues par lintermeacutediaire des signatures et des regravegles
- Les variations de volume et de direction de trafic en utilisant des regravegles complexes et une
analyse statistique
- Les variations de modegravele de trafic de communication en utilisant lanalyse des flux
Chapitre 2
- La deacutetection dune activiteacute suspecte en utilisant lanalyse de flux les techniques
statistiques et la deacutetection danomalie
Mais cette passiviteacute ne donne pas que des avantages On reproche eacutegalement agrave un IDS
Deacutetection uniquement sans preacutevention Comme ils sont placeacutes en dehors du reacuteseau les
NIDS peuvent difficilement avoir une incidence sur le trafic Les NIDS sont geacuteneacuteralement
impuissants pour arrecircter ou mecircme contrer une attaque en cours
Dureacutee de reacutecupeacuteration du systegraveme importante La neacutecessiteacute drsquoune intervention manuelle
de mecircme que la quantiteacute consideacuterable de donneacutees agrave scruter entraicircne une reacuteaction lente face agrave
une attaque ou une intrusion
Fausses alarmes Les NIDS confondent parfois un trafic inoffensif avec une attaque ce sont
les laquofaux positifsraquo Ces erreurs demandent souvent un temps consideacuterable pour controcircler les
paquets en question et deacuteterminer que le systegraveme NIDS srsquoest trompeacute Dans drsquoautres
circonstances le NIDS identifie correctement un motif de trafic particulier qui correspond agrave
une signature mais la structure srsquoavegravere en fait normale pour lorganisation en question
Donneacutees des journaux trop importantes Un NIDS doit geacuteneacuterer des journaux de compte-
rendu drsquoactiviteacute anormale ou douteuse sur le reacuteseau Les responsables de la seacutecuriteacute doivent
passer du temps agrave examiner ces journaux pour deacuteterminer ce qui srsquoest passeacute et les actions agrave
entreprendre
Difficulteacutes de deacuteploiement Les solutions NIDS doivent ecirctre placeacutees agrave toutes les entreacutees des
systegravemes et serveurs de lrsquoentreprise ecirctre correctement configureacutees et reacuteguliegraverement mises agrave
jour Mais plus le niveau des menaces augmente plus le deacuteploiement des IDS prend de
lrsquoampleur et on constate que la quantiteacute dheure neacutecessaire pour analyser les logs et pour
reacutepondre aux incidents (geacuterer et reacuteparer) devient trop importante
Les solutions traditionnelles comme le firewall et les anti-virus ne peuvent pas faire face agrave la
nouvelle geacuteneacuteration de menaces Une solution qui protegravege les informations au moment
opportun sans attendre une nouvelle creacuteation et distribution de signatures est neacutecessaire
III-2 IPS
Les solutions de preacutevention dintrusion sont mises en place pour traiter
- Les applications non deacutesireacutees les attaques cheval de Troie contre les reacuteseaux priveacutes et
les applications en utilisant des regravegles deacuteterministes et des listes de controcircle daccegraves
Chapitre 2
- Les attaques DoS ou DDoS comme les SYN et ICMP Flooding en utilisant un
algorithme de filtrage agrave seuil
- Les abus drsquoapplication et les manipulations de protocole -attaques connues et inconnues
contre HTTP ftp DNS smtp etc- en utilisant des regravegles de protocole dapplication et des
signatures
- Les attaques de surcharge ou drsquoabus dapplication en utilisant des limites de
consommation de ressource baseacutees sur des seuils
Ces systegravemes possegravedent les avantages suivants
Blocage rapide des intrusions Un eacuteveacutenement drsquointrusion est le deacutebut drsquoun processus
drsquoatteinte aux ressources informatiques drsquoune entreprise sans parler des responsabiliteacutes
juridiques potentielles En intervenant degraves la deacutetection un IPS bloque rapidement lrsquointrusion
et minimise la dureacutee totale avant que le reacuteseau ne revienne agrave la normale
Deacutetection preacutecise et fiable A lrsquoaide de plusieurs meacutethodes de deacutetection et en tirant parti de
sa position en ligne lrsquoIPS peut deacutetecter les attaques et intrusions avec une preacutecision et une
fiabiliteacute supeacuterieures
Moins deacutependant des signatures et davantage des meacutethodes intelligentes de deacutetection lrsquoIPS
geacutenegravere beaucoup moins de fausses alarmes Ainsi le temps et les efforts de lrsquoentreprise sont
exclusivement concentreacutes sur les veacuteritables menaces
Preacutevention active Alors qursquoun NIDS avertit simplement de la preacutesence drsquoun trafic suspect
ou anormal un IPS peut lancer divers meacutecanismes de reacuteaction
Le tableau suivant reacutesume les diffeacuterentes caracteacuteristiques drsquoun IPS et drsquoun IDS
Chapitre 2
Deacutetection drsquointrusion Preacutevention drsquointrusion
HIDS
Pour
- Peut deacutetecter lutilisation drsquoun systegraveme qui
viole la politique de seacutecuriteacute de lrsquoentreprise
- Peut alerter sur des changements au niveau
du systegraveme tels qursquoune importante
modification de fichier
Contre
- Le coucirct du deacuteploiement et de la gestion est
eacuteleveacute puisque chaque hocircte doit ecirctre eacutequipeacute et
une politique doit ecirctre deacuteveloppeacutee
- La plupart des fabricants de HIDS ne
construisent pas un produit destineacute aux
postes de travail ainsi seuls les serveurs sont
proteacutegeacutes
- La deacutetection est geacuteneacuteralement a posteriori
dans la courbe de reacuteponse Une deacutetection
reacuteussie vient dune tentative reacuteussie dattaque
HIPS
Pour
- Assure une protection contre les attaques
inconnues
- Exige peu ou aucune mise agrave jour de seacutecuriteacute
dans une peacuteriode annuelle
- Empecircche les attaques de sexeacutecuter sur une
machine au niveau noyau plutocirct que de
deacutetecter les reacutesultats dune attaque reacuteussie
Contre
- Le coucirct de tout le systegraveme peut ecirctre eacuteleveacute
puisquun agent est neacutecessaire pour chaque
serveur etou poste de travail critique
- Le temps de deacuteploiement afin drsquoeacutequiper
chaque serveurposte de travail peut ecirctre
long
- Le produit neacutecessite un ajustement apregraves
linstallation initiale pour ecirctre un outil de
seacutecuriteacute parfaitement fonctionnel
- Peut arrecircter des applications leacutegitimes en
cas de mauvais ajustement De nouvelles
applications ont peut-ecirctre besoin drsquoecirctre
examineacutees par les HIPS avant quelles soient
deacuteployeacutees
Chapitre 2
NIDS
Pour
- Les systegravemes baseacutes sur la deacutetection
drsquoanomalie peuvent deacutetecter une attaque
mecircme sur les systegravemes qui emploient le
cryptage (ils ne voient pas les exploits ils
voient la circulation anormale reacutesultant dune
attaque reacuteussie)
- Lrsquoobservation du trafic avec un systegraveme
baseacute sur des regravegles peut aider agrave imposer une
utilisation du reacuteseau en respectant la
politique de lrsquoentreprise
Contre
- Le coucirct du facteur humain est eacuteleveacute pour
surveiller les eacuteveacutenements et pour reacutepondre
aux incidents
- Agrave moins quun plan de reacuteponse ne soit
conccedilu et mis en place lrsquoIDS fournit peu ou
aucune seacutecuriteacute
- Un deacuteploiement reacuteussi demande un
important ajustement de lrsquoIDS pour reacuteduire
au minimum les faux positifs
NIPS
Pour
- Peut arrecircter la propagation des vers si
deacuteployeacute correctement sans arrecircter le trafic
- Protegravege contre de nouvelles attaques avant
que le code dexploit soit sorti (dans la
plupart des cas)
- Reacuteduira le coucirct de la reacuteponse aux incidents
(puisque la plupart des reacuteponses aux
incidents sont automatiques)
Contre
- Le coucirct du deacuteploiement NIPS au sein dun
reacuteseau peut ecirctre important
- Puisque les NIPS sont un dispositif inteacutegreacute
au reacuteseau ils creacuteent un point de deacutefaillance
bien quil y ait des meacutethodes pour traiter ce
problegraveme Lapproche la plus commune est
dajouter des eacuteleacutements redondants sachant
que tout le trafic de reacuteseau traverse le NIPS
- Un NIPS neacutecessite toujours des mises agrave jour
de seacutecuriteacute pour ecirctre vraiment efficace
Chapitre 2
IV - La protection par preacutevention
Lrsquoobjectif principal de cette partie est de preacutesenter un moyen de protection contre les attaques
au niveau du protocole applicatif
On distingue deux types drsquoattaques applicatives
- Les attaques qui ne respectent pas le protocole applicatif qui enfreignent les regravegles lieacutees
agrave ce protocole ou qui se caracteacuterisent par un usage laquoanormalraquo de celui-ci
- Les attaques qui respectent le protocole applicatif et qui ne peuvent donc pas ecirctre
deacutetecteacutees par une analyse protocolaire
Lrsquoanalyse protocolaire appeleacutee aussi deacutetection drsquoanomalie de protocole est justement la
technique de preacutevention drsquointrusion utiliseacutee dans le cadre de ce travail Il srsquoagit drsquoune analyse
des paquets circulant sur le reacuteseau ayant pour but de deacutecoder le protocole applicatif utiliseacute et
de controcircler la conformiteacute de lrsquoutilisation de la RFC Le systegraveme de preacutevention effectue ce
qursquoon appelle une analyse applicative laquotemps reacuteelraquo En effet le flux est recomposeacute et analyseacute
laquoagrave la voleacuteeraquo Cette analyse nrsquoest plus faite dans une application qui srsquoexeacutecute au-dessus du
systegraveme drsquoexploitation mais directement dans le noyau du systegraveme drsquoexploitation
Cette technique possegravede lrsquoavantage drsquoecirctre une technique proactive4 Elle permet de bloquer
des attaques non connues simplement parce qursquoelles deacuterogent agrave la RFC Mais crsquoest une
technique non geacuteneacuterique qui nrsquoest efficace que pour le protocole analyseacute
La protection par lrsquoIPS est une solution destineacutee agrave toutes les entreprises qui ont deacuteployeacute un
service de VoIP comme montre la figure suivante
Figure IV-1 - Reacuteseaux dentreprise avec un service de teacuteleacutephonie IP
------------------------------------------------------------
4 Qui fonctionne de maniegravere dynamique par anticipation
Chapitre 2
Le reacuteseau drsquoentreprise est en geacuteneacuteral constitueacute de deux sections le reacuteseau interne (LAN) et la
zone deacutemilitariseacutee (DMZ) La DMZ est connecteacutee au reacuteseau public agrave travers le firewall
externe et comporte diffeacuterents serveurs accessibles depuis lrsquoexteacuterieur tels que le serveur web
e-mail DNS (Domain Name Server) etc Le reacuteseau interne est connecteacute agrave la DMZ par un
autre firewall
Chaque dispositif de seacutecuriteacute est utiliseacute dans le but de se proteacuteger drsquoune menace particuliegravere
De plus ils possegravedent tous un point faible Ainsi crsquoest seulement en combinant les diffeacuterentes
techniques qursquoon arrive reacuteellement agrave une protection optimale Les firewalls sont la barriegravere de
trafic ils laissent passer ou non les trafics entrant selon leur politique Les IDS sont le
moniteur de trafic ils observent lrsquoactiviteacute du reacuteseau et consignent ce qui est suspect Ils
peuvent deacutetecter les menaces qui ont pu eacutechapper au firewall et les notifient Les IPS
fournissent les mesures preacuteventives et les commandes utiles pour combattre de nouvelles
menaces
IV-1 LrsquoIPS par Snort Inline
Ce travail impleacutemente un NIDS en ligne (Inline NIDS) meacutethode choisie pour la reacutealisation
de lrsquoIPS
Qursquoest-ce qui a motiveacute ce choix
Lrsquoobjectif eacutetait de reacutealiser un IPS pour le protocole SIP en respectant dans la mesure du
possible les impeacuteratifs
bull Ne pas toucher la topologie du reacuteseau existant
bull Inteacutegrer une solution totalement transparente crsquoest-agrave-dire ne rien toucher au systegraveme de
protection deacutejagrave deacuteployeacute
bull Avoir une solution la moins coucircteuse possible
Le dernier point conduit tout de suite agrave une solution open source Il existe dans le domaine des
logiciels libres un IPS Snort Inline qui est une version modifieacutee du ceacutelegravebre IDS Snort Celui-
ci constituera la base de lrsquoIPS SIP
Des fonctionnaliteacutes permettant drsquoinspecter le trafic SIP lui seront ajouteacutees
Chapitre 2
IV-1-1 Bregraveve preacutesentation de Snort Inline
Snort Inline est un systegraveme de preacutevention drsquointrusion Il exploite toutes les fonctionnaliteacutes
drsquoorigine de Snort telles que le deacutecodage le reacuteassemblage des paquetshellip Il utilise eacutegalement
les mecircmes composants que Snort tels que les preacuteprocesseurs de flux Par contre Snort Inline
utilise iptables et ip_queue5 pour lrsquoacquisition et le transfert des paquets
Iptables est configureacute comme un firewall normal Il prend tous les paquets entrants et les
transmet agrave Snort Inline Ce dernier a un moteur de deacutetection dintrusion inteacutegreacute qui analyse les
paquets reccedilus et transmet uniquement les paquets jugeacutes non hostiles au reacuteseau interne
Lrsquohocircte Snort Inline doit reacutesider entre la source et la destination des paquets pour que tout le
trafic passe par lrsquoordinateur qui heacuteberge Snort Inline
IV-1-2 Les composants
En geacuteneacuteral Snort Inline est diviseacute en plusieurs composants
bull Deacutecodeur de paquet (Packet decoder)
bull Preacuteprocesseurs (Preprocessors)
bull Moteur de deacutetection (Detection Engine)
bull Systegraveme dalerte et denregistrement de log (Logging and Alerting System)
Et eacuteventuellement des Modules de sortie (Output Module)
Ces composants travaillent ensemble pour deacutetecter des attaques particuliegraveres La figure
suivante montre comment ces composants sont organiseacutes
-----------------------------------------
5 Ip_queue est un module du noyau responsable de passer les paquets depuis le target QUEUE dans lespace noyau pour une application qui se trouve dans lespace utilisateur
Chapitre 2
Figure IV-2- Les diffeacuterents composants de Snort Inline
Chaque paquet de donneacutees passe par le deacutecodeur de paquet Sur son chemin vers les modules
de sortie il est soit rejeteacute soit logueacute
IV-1-2-1 Le deacutecodeur de paquet
Le deacutecodeur de paquet reacutecupegravere les paquets des diffeacuterentes interfaces reacuteseaux et les preacutepare
pour passer dans le preacuteprocesseur ou pour ecirctre envoyeacutes au moteur de deacutetection Les interfaces
peuvent ecirctre Ethernet SLIP (Serial Line Internet Protocol) PPP (Point to Point Protocol)hellip
Le deacutecodeur de paquet se compose drsquoune seacuterie de deacutecodeurs speacutecialiseacutes chacun dans un
eacuteleacutement de protocole speacutecifique
Figure IV-3 - Deacutecodeur de paquet
Chapitre 2
Le deacutecodeur de paquet transforme les eacuteleacutements du protocole (par exemple les entecirctes LLC
Ethernet IP TCP UDP hellip) speacutecifiques en une structure de donneacutees interne
IV-1-2-2 Les preacuteprocesseurs
Les preacuteprocesseurs sont des composants ou plug-ins Ils peuvent ecirctre utiliseacutes avec Snort Inline
pour laquoarrangerraquo ou laquomodifierraquo les paquets avant que le moteur de deacutetection ne fasse ses
opeacuterations pour deacutecouvrir si le paquet est utiliseacute par un intrus Certains preacuteprocesseurs
effectuent eacutegalement une deacutetection pour trouver des anomalies dans les entecirctes de paquet et
produisent des alertes ou des logs
IV-1-2-3 Le moteur de deacutetection
Le moteur de deacutetection est la partie la plus importante Son rocircle est de deacutetecter srsquoil existe une
activiteacute dintrusion possible dans un paquet Le moteur de deacutetection utilise des regravegles dans ce
but Les regravegles sont lues dans les structures ou les chaicircnes de donneacutees internes ougrave elles sont
associeacutees avec chaque paquet Si un paquet correspond agrave une des regravegles une action approprieacutee
est effectueacutee Le paquet est par exemple rejeteacute et un log est noteacute
IV-1-3- Les modes
LrsquoIPS peut ecirctre deacuteployeacute en deux modes
IV-1-3-1 Mode NAT
En mode NAT le reacuteseau est diviseacute en deux parties la partie publique et la partie priveacutee Le
cocircteacute public du reacuteseau est seacutepareacute du cocircteacute priveacute par lIPS LIPS exeacutecute la configuration NAT il
eacutetablit une correspondance de toutes les adresses publiques agrave son interface publique Ensuite il
les traduit agrave leurs adresses priveacutees correspondantes
IV-1-3- 2 Mode Bridge
En mode bridge lIPS agit en tant que pont entre le reacuteseau public et le reacuteseau priveacute Le mode
pont est furtif En effet le dispositif devient non deacutetectable puisqursquoil ne possegravede pas drsquoadresse
IP Il est donc plus sucircr ce qui en fait le mode recommandeacute
Chapitre 2
IV-1-4- Les regravegles
Snort Inline est eacutequipeacute de reacuteponses de preacutevention des intrusions qui prennent la forme
drsquoactions de regravegles classiques
IV-1-4- 1 Drop
La regravegle drop indiquera agrave iptables de rejeter le paquet et drsquoenvoyer un TCP reset si le
protocole est TCP ou un ICMP port unreachable si le protocole est UDP et de loguer le
paquet par lintermeacutediaire des moyens habituels de Snort
Figure IV-4 - Snort Inline drop mode
Quand des paquets sont lus par Snort Inline dans le target QUEUE drsquoiptables les meta-
donneacutees etou la charge utile (payload) du paquet sont compareacutees agrave lensemble des regravegles de
Snort Inline Si le paquet a eacuteteacute identifieacute comme eacutetant un paquet malveillant contenant un
certain type de signature dexploit Snort Inline deacutetermine ce quil va devenir Il se base sur les
regravegles preacutedeacutefinies pour prendre sa deacutecision Si on a deacutefini des regravegles drop alors le paquet sera
rejeteacute Cette deacutecision est passeacutee agrave iptables qui va la mettre en oeuvre
IV-1-4- 2 Sdrop
La regravegle sdrop indiquera agrave iptables de rejeter le paquet et drsquoenvoyer un reset mais aucun log
nrsquoest eacutecrit
Chapitre 2
Il existe deux options sur la faccedilon drsquoenvoyer un reset
bull On peut toujours utiliser un raw socket6 crsquoest le comportement par deacutefaut de Snort Inline
Dans ce cas on doit avoir une interface qui possegravede une adresse IP assigneacutee Sil ny a pas
une interface avec une adresse IP valide avec accegraves agrave la source du paquet le paquet sera
logueacute mais le reset ne sera jamais envoyeacute sur le reacuteseau
bull On peut eacutegalement effectuer des resets par lintermeacutediaire dun dispositif physique en
utilisant iptables On utilise le nom INDEV fourni par ip_queue comme interface sur
laquelle on envoie le reset Il nrsquoest plus neacutecessaire qursquoune adresse IP soit preacutesente sur le
pont il demeure donc furtif
------------------------------------------6 Un raw socket est un socket avec un pouvoir laquosupeacuterieurraquo il permet deacutecrire ou de lire des paquets sur une interface reacuteseau avec les paramegravetres souhaiteacutes cest-agrave-dire quil aura la possibiliteacute de modifier lentecircte dun paquet pour ensuite lenvoyer avec les options de ce mecircme entecircte modifieacutees (adresse IP source flag TCP etc)
Chapitre 2
Ces attaques se concentrent souvent sur lrsquoaugmentation des privilegraveges de lutilisateur en root
ou administrator afin de compromettre facilement dautres systegravemes dans le reacuteseau
- Garantir une laquoderniegravere ligne de deacutefenseraquo contre les attaques qui ont pu se soustraire agrave
dautres outils de seacutecuriteacute Un potentiel systegraveme victime lui-mecircme est un dernier point de
deacutefense disponible pour lrsquoadministrateur de la seacutecuriteacute afin de se proteacuteger des violations du
systegraveme
- Empecircche lattaque interne ou labus des dispositifs situeacutes sur le mecircme segment du reacuteseau le
NIPS assure uniquement une protection des donneacutees qui se deacuteplacent entre diffeacuterents
segments Les attaques lanceacutees entre les systegravemes situeacutes sur le mecircme segment ne peuvent ecirctre
contreacutees qursquoavec le HIPS
- Protegravege des attaques chiffreacutees quand le flux de donneacutees chiffreacutees srsquoarrecircte au systegraveme
proteacutegeacute Le HIPS examine ces donneacutees etou le comportement apregraves que ces donneacutees chiffreacutees
ont eacuteteacute deacutechiffreacutees sur le systegraveme
- Indeacutependant de larchitecture reacuteseau
Comme le HIPS intercepte toutes les requecirctes destineacutees au systegraveme quil protegravege il doit
respecter une certaine condition preacutealable il doit ecirctre tregraves fiable ne doit pas avoir un impact
neacutegatif sur la performance du systegraveme et ne doit pas bloquer le trafic reconnu comme
leacutegitime
II2 Les techniques de deacutetection
La premiegravere eacutetape pour arrecircter les attaques et eacuteviter les intrusions consiste agrave les deacutetecter
Plusieurs meacutethodes de deacutetection sont applicables
1) Lrsquoanalyse de protocole crsquoest une deacutetection drsquoanomalie de protocole LrsquoIPS controcircle la
conformiteacute agrave la norme du protocole donneacute Avec cette meacutethode la recherche drsquoune activiteacute
drsquointrusion est plus cibleacutee et donc plus efficace
2) Correspondance de motifs (pattern matching) le trafic est scruteacute pour deacuteterminer les
signatures des motifs drsquoattaque connus Le systegraveme analyse chaque paquet Cette meacutethode
peut ecirctre stateful crsquoest-agrave-dire que le systegraveme examine le contexte et lrsquoemplacement de la
signature LrsquoIPS conserve la trace de lrsquoeacutetat de connexion avec lrsquoentiteacute exteacuterieure et eacutevaluera le
contexte plus large de toutes les transactions eacutetablies au cours de la connexion Cette meacutethode
ne permet de deacutetecter que les attaques connues et seulement si la liste des signatures
drsquoattaques est reacuteguliegraverement actualiseacutee
Chapitre 2
3) Comportementale deacutetection baseacutee sur le comportement (behaviour based detection) LrsquoIPS
tente de deacutecouvrir des activiteacutes laquoanormalesraquo en observant le comportement du systegraveme et des
utilisateurs Apregraves une phase drsquoapprentissage lrsquoIPS dispose drsquoun modegravele du laquocomportement
normalraquo du systegraveme et de ses utilisateurs SI lrsquoIPS constate que lrsquoactiviteacute courante srsquoeacuteloigne
trop du comportement normal il prenne une mesure Cette meacutethode a lrsquoavantage de pouvoir
deacutetecter des tentatives drsquoexploitation de vulneacuterabiliteacutes jusque lagrave inconnues
II3 Ougrave placer lrsquoIPS dans une topologie reacuteseau
Figure II-1 ndash Endroits typiques pour un IPS reacuteseau (NIPS)
1 Derriegravere le firewall peacuterimegravetre de reacuteseau et la fin de tout reacuteseau VPN
2 Entre le firewall peacuterimegravetre de reacuteseau et les serveurs placeacutes dans la DMZ tels que le serveur
web et les serveurs de-mailhellip
3 Devant les serveurs internes critiques tels que les serveurs dapplication
4 Devant les principaux workgroups drsquoun deacutepartement
44 Les diffeacuterentes faccedilons de reacutealiser un IPS
Il existe 5 diffeacuterentes faccedilons de reacutealiser un systegraveme de preacutevention drsquointrusion agrave savoir le
NIDS en ligne (inline NIDS) les firewallsIDS applicatifs (application-based firewallsIDS)
les commutateurs de la couche 7 (layer 7 switches) les IDS reacuteseaux applicatifs (network-
based application IDSs) et les applications trompeuses (deceptive applications)
Chapitre 2
III ndash La diffeacuterence entre la Deacutetection et la Preacutevention
Un IDS (reacuteseau) et un IPS (reacuteseau) se diffegraverent principalement par 2 caracteacuteristiques
- Le positionnement sur le reacuteseau (traditionnellement lrsquoIDS est positionneacute comme un sniffer)
- La possibiliteacute de bloquer immeacutediatement les intrusions et ce quel que soit le type de
protocole de transport utiliseacute sans reconfiguration drsquoun eacutequipement tiers LrsquoIPS est constitueacute
drsquoune technique de filtrage de paquets et de moyens de blocage (drop connection drop
offending packets block intruder hellip)
Mais on peut eacutegalement ajouter le deacuteterminisme Les IDS peuvent (et devraient) utiliser des
meacutethodes non deacuteterministes pour laquopreacutedireraquo toute sorte de menace ou une menace potentielle
du trafic existant Ces meacutethodes se composent de lanalyse statistique du volume de trafic des
modegraveles de trafic et des activiteacutes anormales Mais tout ceci nrsquoest destineacute qursquoagrave celui qui veut
savoir ce qui se passe sur son reacuteseau et rien de plus En revanche un IPS doit ecirctre
deacuteterministe ndash juste exact - dans toutes ses deacutecisions afin dexeacutecuter sa fonction de
laquonettoyeurraquo de trafic Un dispositif IPS nest pas censeacute prendre des risques ou reacuteagir avec une
certaine technique dlaquointuitionraquo Il est supposeacute fonctionner tout le temps faire un controcircle
drsquoaccegraves du reacuteseau et prendre des deacutecisions Les firewalls ont fourni la premiegravere approche
deacuteterministe du controcircle daccegraves du reacuteseau
III-1 IDS
Les systegravemes de deacutetection dintrusion ont eacuteteacute deacuteveloppeacutes pour identifier le trafic hostile et
envoyer des alertes Ils ne font rien pour arrecircter une attaque Ils sont deacuteployeacutes hors ligne et
possegravedent lrsquoavantage de ne pas pouvoir causer eux-mecircmes de panne de reacuteseau
La nature passive drsquoun IDS le positionne bien pour identifier
- Les attaques connues par lintermeacutediaire des signatures et des regravegles
- Les variations de volume et de direction de trafic en utilisant des regravegles complexes et une
analyse statistique
- Les variations de modegravele de trafic de communication en utilisant lanalyse des flux
Chapitre 2
- La deacutetection dune activiteacute suspecte en utilisant lanalyse de flux les techniques
statistiques et la deacutetection danomalie
Mais cette passiviteacute ne donne pas que des avantages On reproche eacutegalement agrave un IDS
Deacutetection uniquement sans preacutevention Comme ils sont placeacutes en dehors du reacuteseau les
NIDS peuvent difficilement avoir une incidence sur le trafic Les NIDS sont geacuteneacuteralement
impuissants pour arrecircter ou mecircme contrer une attaque en cours
Dureacutee de reacutecupeacuteration du systegraveme importante La neacutecessiteacute drsquoune intervention manuelle
de mecircme que la quantiteacute consideacuterable de donneacutees agrave scruter entraicircne une reacuteaction lente face agrave
une attaque ou une intrusion
Fausses alarmes Les NIDS confondent parfois un trafic inoffensif avec une attaque ce sont
les laquofaux positifsraquo Ces erreurs demandent souvent un temps consideacuterable pour controcircler les
paquets en question et deacuteterminer que le systegraveme NIDS srsquoest trompeacute Dans drsquoautres
circonstances le NIDS identifie correctement un motif de trafic particulier qui correspond agrave
une signature mais la structure srsquoavegravere en fait normale pour lorganisation en question
Donneacutees des journaux trop importantes Un NIDS doit geacuteneacuterer des journaux de compte-
rendu drsquoactiviteacute anormale ou douteuse sur le reacuteseau Les responsables de la seacutecuriteacute doivent
passer du temps agrave examiner ces journaux pour deacuteterminer ce qui srsquoest passeacute et les actions agrave
entreprendre
Difficulteacutes de deacuteploiement Les solutions NIDS doivent ecirctre placeacutees agrave toutes les entreacutees des
systegravemes et serveurs de lrsquoentreprise ecirctre correctement configureacutees et reacuteguliegraverement mises agrave
jour Mais plus le niveau des menaces augmente plus le deacuteploiement des IDS prend de
lrsquoampleur et on constate que la quantiteacute dheure neacutecessaire pour analyser les logs et pour
reacutepondre aux incidents (geacuterer et reacuteparer) devient trop importante
Les solutions traditionnelles comme le firewall et les anti-virus ne peuvent pas faire face agrave la
nouvelle geacuteneacuteration de menaces Une solution qui protegravege les informations au moment
opportun sans attendre une nouvelle creacuteation et distribution de signatures est neacutecessaire
III-2 IPS
Les solutions de preacutevention dintrusion sont mises en place pour traiter
- Les applications non deacutesireacutees les attaques cheval de Troie contre les reacuteseaux priveacutes et
les applications en utilisant des regravegles deacuteterministes et des listes de controcircle daccegraves
Chapitre 2
- Les attaques DoS ou DDoS comme les SYN et ICMP Flooding en utilisant un
algorithme de filtrage agrave seuil
- Les abus drsquoapplication et les manipulations de protocole -attaques connues et inconnues
contre HTTP ftp DNS smtp etc- en utilisant des regravegles de protocole dapplication et des
signatures
- Les attaques de surcharge ou drsquoabus dapplication en utilisant des limites de
consommation de ressource baseacutees sur des seuils
Ces systegravemes possegravedent les avantages suivants
Blocage rapide des intrusions Un eacuteveacutenement drsquointrusion est le deacutebut drsquoun processus
drsquoatteinte aux ressources informatiques drsquoune entreprise sans parler des responsabiliteacutes
juridiques potentielles En intervenant degraves la deacutetection un IPS bloque rapidement lrsquointrusion
et minimise la dureacutee totale avant que le reacuteseau ne revienne agrave la normale
Deacutetection preacutecise et fiable A lrsquoaide de plusieurs meacutethodes de deacutetection et en tirant parti de
sa position en ligne lrsquoIPS peut deacutetecter les attaques et intrusions avec une preacutecision et une
fiabiliteacute supeacuterieures
Moins deacutependant des signatures et davantage des meacutethodes intelligentes de deacutetection lrsquoIPS
geacutenegravere beaucoup moins de fausses alarmes Ainsi le temps et les efforts de lrsquoentreprise sont
exclusivement concentreacutes sur les veacuteritables menaces
Preacutevention active Alors qursquoun NIDS avertit simplement de la preacutesence drsquoun trafic suspect
ou anormal un IPS peut lancer divers meacutecanismes de reacuteaction
Le tableau suivant reacutesume les diffeacuterentes caracteacuteristiques drsquoun IPS et drsquoun IDS
Chapitre 2
Deacutetection drsquointrusion Preacutevention drsquointrusion
HIDS
Pour
- Peut deacutetecter lutilisation drsquoun systegraveme qui
viole la politique de seacutecuriteacute de lrsquoentreprise
- Peut alerter sur des changements au niveau
du systegraveme tels qursquoune importante
modification de fichier
Contre
- Le coucirct du deacuteploiement et de la gestion est
eacuteleveacute puisque chaque hocircte doit ecirctre eacutequipeacute et
une politique doit ecirctre deacuteveloppeacutee
- La plupart des fabricants de HIDS ne
construisent pas un produit destineacute aux
postes de travail ainsi seuls les serveurs sont
proteacutegeacutes
- La deacutetection est geacuteneacuteralement a posteriori
dans la courbe de reacuteponse Une deacutetection
reacuteussie vient dune tentative reacuteussie dattaque
HIPS
Pour
- Assure une protection contre les attaques
inconnues
- Exige peu ou aucune mise agrave jour de seacutecuriteacute
dans une peacuteriode annuelle
- Empecircche les attaques de sexeacutecuter sur une
machine au niveau noyau plutocirct que de
deacutetecter les reacutesultats dune attaque reacuteussie
Contre
- Le coucirct de tout le systegraveme peut ecirctre eacuteleveacute
puisquun agent est neacutecessaire pour chaque
serveur etou poste de travail critique
- Le temps de deacuteploiement afin drsquoeacutequiper
chaque serveurposte de travail peut ecirctre
long
- Le produit neacutecessite un ajustement apregraves
linstallation initiale pour ecirctre un outil de
seacutecuriteacute parfaitement fonctionnel
- Peut arrecircter des applications leacutegitimes en
cas de mauvais ajustement De nouvelles
applications ont peut-ecirctre besoin drsquoecirctre
examineacutees par les HIPS avant quelles soient
deacuteployeacutees
Chapitre 2
NIDS
Pour
- Les systegravemes baseacutes sur la deacutetection
drsquoanomalie peuvent deacutetecter une attaque
mecircme sur les systegravemes qui emploient le
cryptage (ils ne voient pas les exploits ils
voient la circulation anormale reacutesultant dune
attaque reacuteussie)
- Lrsquoobservation du trafic avec un systegraveme
baseacute sur des regravegles peut aider agrave imposer une
utilisation du reacuteseau en respectant la
politique de lrsquoentreprise
Contre
- Le coucirct du facteur humain est eacuteleveacute pour
surveiller les eacuteveacutenements et pour reacutepondre
aux incidents
- Agrave moins quun plan de reacuteponse ne soit
conccedilu et mis en place lrsquoIDS fournit peu ou
aucune seacutecuriteacute
- Un deacuteploiement reacuteussi demande un
important ajustement de lrsquoIDS pour reacuteduire
au minimum les faux positifs
NIPS
Pour
- Peut arrecircter la propagation des vers si
deacuteployeacute correctement sans arrecircter le trafic
- Protegravege contre de nouvelles attaques avant
que le code dexploit soit sorti (dans la
plupart des cas)
- Reacuteduira le coucirct de la reacuteponse aux incidents
(puisque la plupart des reacuteponses aux
incidents sont automatiques)
Contre
- Le coucirct du deacuteploiement NIPS au sein dun
reacuteseau peut ecirctre important
- Puisque les NIPS sont un dispositif inteacutegreacute
au reacuteseau ils creacuteent un point de deacutefaillance
bien quil y ait des meacutethodes pour traiter ce
problegraveme Lapproche la plus commune est
dajouter des eacuteleacutements redondants sachant
que tout le trafic de reacuteseau traverse le NIPS
- Un NIPS neacutecessite toujours des mises agrave jour
de seacutecuriteacute pour ecirctre vraiment efficace
Chapitre 2
IV - La protection par preacutevention
Lrsquoobjectif principal de cette partie est de preacutesenter un moyen de protection contre les attaques
au niveau du protocole applicatif
On distingue deux types drsquoattaques applicatives
- Les attaques qui ne respectent pas le protocole applicatif qui enfreignent les regravegles lieacutees
agrave ce protocole ou qui se caracteacuterisent par un usage laquoanormalraquo de celui-ci
- Les attaques qui respectent le protocole applicatif et qui ne peuvent donc pas ecirctre
deacutetecteacutees par une analyse protocolaire
Lrsquoanalyse protocolaire appeleacutee aussi deacutetection drsquoanomalie de protocole est justement la
technique de preacutevention drsquointrusion utiliseacutee dans le cadre de ce travail Il srsquoagit drsquoune analyse
des paquets circulant sur le reacuteseau ayant pour but de deacutecoder le protocole applicatif utiliseacute et
de controcircler la conformiteacute de lrsquoutilisation de la RFC Le systegraveme de preacutevention effectue ce
qursquoon appelle une analyse applicative laquotemps reacuteelraquo En effet le flux est recomposeacute et analyseacute
laquoagrave la voleacuteeraquo Cette analyse nrsquoest plus faite dans une application qui srsquoexeacutecute au-dessus du
systegraveme drsquoexploitation mais directement dans le noyau du systegraveme drsquoexploitation
Cette technique possegravede lrsquoavantage drsquoecirctre une technique proactive4 Elle permet de bloquer
des attaques non connues simplement parce qursquoelles deacuterogent agrave la RFC Mais crsquoest une
technique non geacuteneacuterique qui nrsquoest efficace que pour le protocole analyseacute
La protection par lrsquoIPS est une solution destineacutee agrave toutes les entreprises qui ont deacuteployeacute un
service de VoIP comme montre la figure suivante
Figure IV-1 - Reacuteseaux dentreprise avec un service de teacuteleacutephonie IP
------------------------------------------------------------
4 Qui fonctionne de maniegravere dynamique par anticipation
Chapitre 2
Le reacuteseau drsquoentreprise est en geacuteneacuteral constitueacute de deux sections le reacuteseau interne (LAN) et la
zone deacutemilitariseacutee (DMZ) La DMZ est connecteacutee au reacuteseau public agrave travers le firewall
externe et comporte diffeacuterents serveurs accessibles depuis lrsquoexteacuterieur tels que le serveur web
e-mail DNS (Domain Name Server) etc Le reacuteseau interne est connecteacute agrave la DMZ par un
autre firewall
Chaque dispositif de seacutecuriteacute est utiliseacute dans le but de se proteacuteger drsquoune menace particuliegravere
De plus ils possegravedent tous un point faible Ainsi crsquoest seulement en combinant les diffeacuterentes
techniques qursquoon arrive reacuteellement agrave une protection optimale Les firewalls sont la barriegravere de
trafic ils laissent passer ou non les trafics entrant selon leur politique Les IDS sont le
moniteur de trafic ils observent lrsquoactiviteacute du reacuteseau et consignent ce qui est suspect Ils
peuvent deacutetecter les menaces qui ont pu eacutechapper au firewall et les notifient Les IPS
fournissent les mesures preacuteventives et les commandes utiles pour combattre de nouvelles
menaces
IV-1 LrsquoIPS par Snort Inline
Ce travail impleacutemente un NIDS en ligne (Inline NIDS) meacutethode choisie pour la reacutealisation
de lrsquoIPS
Qursquoest-ce qui a motiveacute ce choix
Lrsquoobjectif eacutetait de reacutealiser un IPS pour le protocole SIP en respectant dans la mesure du
possible les impeacuteratifs
bull Ne pas toucher la topologie du reacuteseau existant
bull Inteacutegrer une solution totalement transparente crsquoest-agrave-dire ne rien toucher au systegraveme de
protection deacutejagrave deacuteployeacute
bull Avoir une solution la moins coucircteuse possible
Le dernier point conduit tout de suite agrave une solution open source Il existe dans le domaine des
logiciels libres un IPS Snort Inline qui est une version modifieacutee du ceacutelegravebre IDS Snort Celui-
ci constituera la base de lrsquoIPS SIP
Des fonctionnaliteacutes permettant drsquoinspecter le trafic SIP lui seront ajouteacutees
Chapitre 2
IV-1-1 Bregraveve preacutesentation de Snort Inline
Snort Inline est un systegraveme de preacutevention drsquointrusion Il exploite toutes les fonctionnaliteacutes
drsquoorigine de Snort telles que le deacutecodage le reacuteassemblage des paquetshellip Il utilise eacutegalement
les mecircmes composants que Snort tels que les preacuteprocesseurs de flux Par contre Snort Inline
utilise iptables et ip_queue5 pour lrsquoacquisition et le transfert des paquets
Iptables est configureacute comme un firewall normal Il prend tous les paquets entrants et les
transmet agrave Snort Inline Ce dernier a un moteur de deacutetection dintrusion inteacutegreacute qui analyse les
paquets reccedilus et transmet uniquement les paquets jugeacutes non hostiles au reacuteseau interne
Lrsquohocircte Snort Inline doit reacutesider entre la source et la destination des paquets pour que tout le
trafic passe par lrsquoordinateur qui heacuteberge Snort Inline
IV-1-2 Les composants
En geacuteneacuteral Snort Inline est diviseacute en plusieurs composants
bull Deacutecodeur de paquet (Packet decoder)
bull Preacuteprocesseurs (Preprocessors)
bull Moteur de deacutetection (Detection Engine)
bull Systegraveme dalerte et denregistrement de log (Logging and Alerting System)
Et eacuteventuellement des Modules de sortie (Output Module)
Ces composants travaillent ensemble pour deacutetecter des attaques particuliegraveres La figure
suivante montre comment ces composants sont organiseacutes
-----------------------------------------
5 Ip_queue est un module du noyau responsable de passer les paquets depuis le target QUEUE dans lespace noyau pour une application qui se trouve dans lespace utilisateur
Chapitre 2
Figure IV-2- Les diffeacuterents composants de Snort Inline
Chaque paquet de donneacutees passe par le deacutecodeur de paquet Sur son chemin vers les modules
de sortie il est soit rejeteacute soit logueacute
IV-1-2-1 Le deacutecodeur de paquet
Le deacutecodeur de paquet reacutecupegravere les paquets des diffeacuterentes interfaces reacuteseaux et les preacutepare
pour passer dans le preacuteprocesseur ou pour ecirctre envoyeacutes au moteur de deacutetection Les interfaces
peuvent ecirctre Ethernet SLIP (Serial Line Internet Protocol) PPP (Point to Point Protocol)hellip
Le deacutecodeur de paquet se compose drsquoune seacuterie de deacutecodeurs speacutecialiseacutes chacun dans un
eacuteleacutement de protocole speacutecifique
Figure IV-3 - Deacutecodeur de paquet
Chapitre 2
Le deacutecodeur de paquet transforme les eacuteleacutements du protocole (par exemple les entecirctes LLC
Ethernet IP TCP UDP hellip) speacutecifiques en une structure de donneacutees interne
IV-1-2-2 Les preacuteprocesseurs
Les preacuteprocesseurs sont des composants ou plug-ins Ils peuvent ecirctre utiliseacutes avec Snort Inline
pour laquoarrangerraquo ou laquomodifierraquo les paquets avant que le moteur de deacutetection ne fasse ses
opeacuterations pour deacutecouvrir si le paquet est utiliseacute par un intrus Certains preacuteprocesseurs
effectuent eacutegalement une deacutetection pour trouver des anomalies dans les entecirctes de paquet et
produisent des alertes ou des logs
IV-1-2-3 Le moteur de deacutetection
Le moteur de deacutetection est la partie la plus importante Son rocircle est de deacutetecter srsquoil existe une
activiteacute dintrusion possible dans un paquet Le moteur de deacutetection utilise des regravegles dans ce
but Les regravegles sont lues dans les structures ou les chaicircnes de donneacutees internes ougrave elles sont
associeacutees avec chaque paquet Si un paquet correspond agrave une des regravegles une action approprieacutee
est effectueacutee Le paquet est par exemple rejeteacute et un log est noteacute
IV-1-3- Les modes
LrsquoIPS peut ecirctre deacuteployeacute en deux modes
IV-1-3-1 Mode NAT
En mode NAT le reacuteseau est diviseacute en deux parties la partie publique et la partie priveacutee Le
cocircteacute public du reacuteseau est seacutepareacute du cocircteacute priveacute par lIPS LIPS exeacutecute la configuration NAT il
eacutetablit une correspondance de toutes les adresses publiques agrave son interface publique Ensuite il
les traduit agrave leurs adresses priveacutees correspondantes
IV-1-3- 2 Mode Bridge
En mode bridge lIPS agit en tant que pont entre le reacuteseau public et le reacuteseau priveacute Le mode
pont est furtif En effet le dispositif devient non deacutetectable puisqursquoil ne possegravede pas drsquoadresse
IP Il est donc plus sucircr ce qui en fait le mode recommandeacute
Chapitre 2
IV-1-4- Les regravegles
Snort Inline est eacutequipeacute de reacuteponses de preacutevention des intrusions qui prennent la forme
drsquoactions de regravegles classiques
IV-1-4- 1 Drop
La regravegle drop indiquera agrave iptables de rejeter le paquet et drsquoenvoyer un TCP reset si le
protocole est TCP ou un ICMP port unreachable si le protocole est UDP et de loguer le
paquet par lintermeacutediaire des moyens habituels de Snort
Figure IV-4 - Snort Inline drop mode
Quand des paquets sont lus par Snort Inline dans le target QUEUE drsquoiptables les meta-
donneacutees etou la charge utile (payload) du paquet sont compareacutees agrave lensemble des regravegles de
Snort Inline Si le paquet a eacuteteacute identifieacute comme eacutetant un paquet malveillant contenant un
certain type de signature dexploit Snort Inline deacutetermine ce quil va devenir Il se base sur les
regravegles preacutedeacutefinies pour prendre sa deacutecision Si on a deacutefini des regravegles drop alors le paquet sera
rejeteacute Cette deacutecision est passeacutee agrave iptables qui va la mettre en oeuvre
IV-1-4- 2 Sdrop
La regravegle sdrop indiquera agrave iptables de rejeter le paquet et drsquoenvoyer un reset mais aucun log
nrsquoest eacutecrit
Chapitre 2
Il existe deux options sur la faccedilon drsquoenvoyer un reset
bull On peut toujours utiliser un raw socket6 crsquoest le comportement par deacutefaut de Snort Inline
Dans ce cas on doit avoir une interface qui possegravede une adresse IP assigneacutee Sil ny a pas
une interface avec une adresse IP valide avec accegraves agrave la source du paquet le paquet sera
logueacute mais le reset ne sera jamais envoyeacute sur le reacuteseau
bull On peut eacutegalement effectuer des resets par lintermeacutediaire dun dispositif physique en
utilisant iptables On utilise le nom INDEV fourni par ip_queue comme interface sur
laquelle on envoie le reset Il nrsquoest plus neacutecessaire qursquoune adresse IP soit preacutesente sur le
pont il demeure donc furtif
------------------------------------------6 Un raw socket est un socket avec un pouvoir laquosupeacuterieurraquo il permet deacutecrire ou de lire des paquets sur une interface reacuteseau avec les paramegravetres souhaiteacutes cest-agrave-dire quil aura la possibiliteacute de modifier lentecircte dun paquet pour ensuite lenvoyer avec les options de ce mecircme entecircte modifieacutees (adresse IP source flag TCP etc)
Chapitre 2
3) Comportementale deacutetection baseacutee sur le comportement (behaviour based detection) LrsquoIPS
tente de deacutecouvrir des activiteacutes laquoanormalesraquo en observant le comportement du systegraveme et des
utilisateurs Apregraves une phase drsquoapprentissage lrsquoIPS dispose drsquoun modegravele du laquocomportement
normalraquo du systegraveme et de ses utilisateurs SI lrsquoIPS constate que lrsquoactiviteacute courante srsquoeacuteloigne
trop du comportement normal il prenne une mesure Cette meacutethode a lrsquoavantage de pouvoir
deacutetecter des tentatives drsquoexploitation de vulneacuterabiliteacutes jusque lagrave inconnues
II3 Ougrave placer lrsquoIPS dans une topologie reacuteseau
Figure II-1 ndash Endroits typiques pour un IPS reacuteseau (NIPS)
1 Derriegravere le firewall peacuterimegravetre de reacuteseau et la fin de tout reacuteseau VPN
2 Entre le firewall peacuterimegravetre de reacuteseau et les serveurs placeacutes dans la DMZ tels que le serveur
web et les serveurs de-mailhellip
3 Devant les serveurs internes critiques tels que les serveurs dapplication
4 Devant les principaux workgroups drsquoun deacutepartement
44 Les diffeacuterentes faccedilons de reacutealiser un IPS
Il existe 5 diffeacuterentes faccedilons de reacutealiser un systegraveme de preacutevention drsquointrusion agrave savoir le
NIDS en ligne (inline NIDS) les firewallsIDS applicatifs (application-based firewallsIDS)
les commutateurs de la couche 7 (layer 7 switches) les IDS reacuteseaux applicatifs (network-
based application IDSs) et les applications trompeuses (deceptive applications)
Chapitre 2
III ndash La diffeacuterence entre la Deacutetection et la Preacutevention
Un IDS (reacuteseau) et un IPS (reacuteseau) se diffegraverent principalement par 2 caracteacuteristiques
- Le positionnement sur le reacuteseau (traditionnellement lrsquoIDS est positionneacute comme un sniffer)
- La possibiliteacute de bloquer immeacutediatement les intrusions et ce quel que soit le type de
protocole de transport utiliseacute sans reconfiguration drsquoun eacutequipement tiers LrsquoIPS est constitueacute
drsquoune technique de filtrage de paquets et de moyens de blocage (drop connection drop
offending packets block intruder hellip)
Mais on peut eacutegalement ajouter le deacuteterminisme Les IDS peuvent (et devraient) utiliser des
meacutethodes non deacuteterministes pour laquopreacutedireraquo toute sorte de menace ou une menace potentielle
du trafic existant Ces meacutethodes se composent de lanalyse statistique du volume de trafic des
modegraveles de trafic et des activiteacutes anormales Mais tout ceci nrsquoest destineacute qursquoagrave celui qui veut
savoir ce qui se passe sur son reacuteseau et rien de plus En revanche un IPS doit ecirctre
deacuteterministe ndash juste exact - dans toutes ses deacutecisions afin dexeacutecuter sa fonction de
laquonettoyeurraquo de trafic Un dispositif IPS nest pas censeacute prendre des risques ou reacuteagir avec une
certaine technique dlaquointuitionraquo Il est supposeacute fonctionner tout le temps faire un controcircle
drsquoaccegraves du reacuteseau et prendre des deacutecisions Les firewalls ont fourni la premiegravere approche
deacuteterministe du controcircle daccegraves du reacuteseau
III-1 IDS
Les systegravemes de deacutetection dintrusion ont eacuteteacute deacuteveloppeacutes pour identifier le trafic hostile et
envoyer des alertes Ils ne font rien pour arrecircter une attaque Ils sont deacuteployeacutes hors ligne et
possegravedent lrsquoavantage de ne pas pouvoir causer eux-mecircmes de panne de reacuteseau
La nature passive drsquoun IDS le positionne bien pour identifier
- Les attaques connues par lintermeacutediaire des signatures et des regravegles
- Les variations de volume et de direction de trafic en utilisant des regravegles complexes et une
analyse statistique
- Les variations de modegravele de trafic de communication en utilisant lanalyse des flux
Chapitre 2
- La deacutetection dune activiteacute suspecte en utilisant lanalyse de flux les techniques
statistiques et la deacutetection danomalie
Mais cette passiviteacute ne donne pas que des avantages On reproche eacutegalement agrave un IDS
Deacutetection uniquement sans preacutevention Comme ils sont placeacutes en dehors du reacuteseau les
NIDS peuvent difficilement avoir une incidence sur le trafic Les NIDS sont geacuteneacuteralement
impuissants pour arrecircter ou mecircme contrer une attaque en cours
Dureacutee de reacutecupeacuteration du systegraveme importante La neacutecessiteacute drsquoune intervention manuelle
de mecircme que la quantiteacute consideacuterable de donneacutees agrave scruter entraicircne une reacuteaction lente face agrave
une attaque ou une intrusion
Fausses alarmes Les NIDS confondent parfois un trafic inoffensif avec une attaque ce sont
les laquofaux positifsraquo Ces erreurs demandent souvent un temps consideacuterable pour controcircler les
paquets en question et deacuteterminer que le systegraveme NIDS srsquoest trompeacute Dans drsquoautres
circonstances le NIDS identifie correctement un motif de trafic particulier qui correspond agrave
une signature mais la structure srsquoavegravere en fait normale pour lorganisation en question
Donneacutees des journaux trop importantes Un NIDS doit geacuteneacuterer des journaux de compte-
rendu drsquoactiviteacute anormale ou douteuse sur le reacuteseau Les responsables de la seacutecuriteacute doivent
passer du temps agrave examiner ces journaux pour deacuteterminer ce qui srsquoest passeacute et les actions agrave
entreprendre
Difficulteacutes de deacuteploiement Les solutions NIDS doivent ecirctre placeacutees agrave toutes les entreacutees des
systegravemes et serveurs de lrsquoentreprise ecirctre correctement configureacutees et reacuteguliegraverement mises agrave
jour Mais plus le niveau des menaces augmente plus le deacuteploiement des IDS prend de
lrsquoampleur et on constate que la quantiteacute dheure neacutecessaire pour analyser les logs et pour
reacutepondre aux incidents (geacuterer et reacuteparer) devient trop importante
Les solutions traditionnelles comme le firewall et les anti-virus ne peuvent pas faire face agrave la
nouvelle geacuteneacuteration de menaces Une solution qui protegravege les informations au moment
opportun sans attendre une nouvelle creacuteation et distribution de signatures est neacutecessaire
III-2 IPS
Les solutions de preacutevention dintrusion sont mises en place pour traiter
- Les applications non deacutesireacutees les attaques cheval de Troie contre les reacuteseaux priveacutes et
les applications en utilisant des regravegles deacuteterministes et des listes de controcircle daccegraves
Chapitre 2
- Les attaques DoS ou DDoS comme les SYN et ICMP Flooding en utilisant un
algorithme de filtrage agrave seuil
- Les abus drsquoapplication et les manipulations de protocole -attaques connues et inconnues
contre HTTP ftp DNS smtp etc- en utilisant des regravegles de protocole dapplication et des
signatures
- Les attaques de surcharge ou drsquoabus dapplication en utilisant des limites de
consommation de ressource baseacutees sur des seuils
Ces systegravemes possegravedent les avantages suivants
Blocage rapide des intrusions Un eacuteveacutenement drsquointrusion est le deacutebut drsquoun processus
drsquoatteinte aux ressources informatiques drsquoune entreprise sans parler des responsabiliteacutes
juridiques potentielles En intervenant degraves la deacutetection un IPS bloque rapidement lrsquointrusion
et minimise la dureacutee totale avant que le reacuteseau ne revienne agrave la normale
Deacutetection preacutecise et fiable A lrsquoaide de plusieurs meacutethodes de deacutetection et en tirant parti de
sa position en ligne lrsquoIPS peut deacutetecter les attaques et intrusions avec une preacutecision et une
fiabiliteacute supeacuterieures
Moins deacutependant des signatures et davantage des meacutethodes intelligentes de deacutetection lrsquoIPS
geacutenegravere beaucoup moins de fausses alarmes Ainsi le temps et les efforts de lrsquoentreprise sont
exclusivement concentreacutes sur les veacuteritables menaces
Preacutevention active Alors qursquoun NIDS avertit simplement de la preacutesence drsquoun trafic suspect
ou anormal un IPS peut lancer divers meacutecanismes de reacuteaction
Le tableau suivant reacutesume les diffeacuterentes caracteacuteristiques drsquoun IPS et drsquoun IDS
Chapitre 2
Deacutetection drsquointrusion Preacutevention drsquointrusion
HIDS
Pour
- Peut deacutetecter lutilisation drsquoun systegraveme qui
viole la politique de seacutecuriteacute de lrsquoentreprise
- Peut alerter sur des changements au niveau
du systegraveme tels qursquoune importante
modification de fichier
Contre
- Le coucirct du deacuteploiement et de la gestion est
eacuteleveacute puisque chaque hocircte doit ecirctre eacutequipeacute et
une politique doit ecirctre deacuteveloppeacutee
- La plupart des fabricants de HIDS ne
construisent pas un produit destineacute aux
postes de travail ainsi seuls les serveurs sont
proteacutegeacutes
- La deacutetection est geacuteneacuteralement a posteriori
dans la courbe de reacuteponse Une deacutetection
reacuteussie vient dune tentative reacuteussie dattaque
HIPS
Pour
- Assure une protection contre les attaques
inconnues
- Exige peu ou aucune mise agrave jour de seacutecuriteacute
dans une peacuteriode annuelle
- Empecircche les attaques de sexeacutecuter sur une
machine au niveau noyau plutocirct que de
deacutetecter les reacutesultats dune attaque reacuteussie
Contre
- Le coucirct de tout le systegraveme peut ecirctre eacuteleveacute
puisquun agent est neacutecessaire pour chaque
serveur etou poste de travail critique
- Le temps de deacuteploiement afin drsquoeacutequiper
chaque serveurposte de travail peut ecirctre
long
- Le produit neacutecessite un ajustement apregraves
linstallation initiale pour ecirctre un outil de
seacutecuriteacute parfaitement fonctionnel
- Peut arrecircter des applications leacutegitimes en
cas de mauvais ajustement De nouvelles
applications ont peut-ecirctre besoin drsquoecirctre
examineacutees par les HIPS avant quelles soient
deacuteployeacutees
Chapitre 2
NIDS
Pour
- Les systegravemes baseacutes sur la deacutetection
drsquoanomalie peuvent deacutetecter une attaque
mecircme sur les systegravemes qui emploient le
cryptage (ils ne voient pas les exploits ils
voient la circulation anormale reacutesultant dune
attaque reacuteussie)
- Lrsquoobservation du trafic avec un systegraveme
baseacute sur des regravegles peut aider agrave imposer une
utilisation du reacuteseau en respectant la
politique de lrsquoentreprise
Contre
- Le coucirct du facteur humain est eacuteleveacute pour
surveiller les eacuteveacutenements et pour reacutepondre
aux incidents
- Agrave moins quun plan de reacuteponse ne soit
conccedilu et mis en place lrsquoIDS fournit peu ou
aucune seacutecuriteacute
- Un deacuteploiement reacuteussi demande un
important ajustement de lrsquoIDS pour reacuteduire
au minimum les faux positifs
NIPS
Pour
- Peut arrecircter la propagation des vers si
deacuteployeacute correctement sans arrecircter le trafic
- Protegravege contre de nouvelles attaques avant
que le code dexploit soit sorti (dans la
plupart des cas)
- Reacuteduira le coucirct de la reacuteponse aux incidents
(puisque la plupart des reacuteponses aux
incidents sont automatiques)
Contre
- Le coucirct du deacuteploiement NIPS au sein dun
reacuteseau peut ecirctre important
- Puisque les NIPS sont un dispositif inteacutegreacute
au reacuteseau ils creacuteent un point de deacutefaillance
bien quil y ait des meacutethodes pour traiter ce
problegraveme Lapproche la plus commune est
dajouter des eacuteleacutements redondants sachant
que tout le trafic de reacuteseau traverse le NIPS
- Un NIPS neacutecessite toujours des mises agrave jour
de seacutecuriteacute pour ecirctre vraiment efficace
Chapitre 2
IV - La protection par preacutevention
Lrsquoobjectif principal de cette partie est de preacutesenter un moyen de protection contre les attaques
au niveau du protocole applicatif
On distingue deux types drsquoattaques applicatives
- Les attaques qui ne respectent pas le protocole applicatif qui enfreignent les regravegles lieacutees
agrave ce protocole ou qui se caracteacuterisent par un usage laquoanormalraquo de celui-ci
- Les attaques qui respectent le protocole applicatif et qui ne peuvent donc pas ecirctre
deacutetecteacutees par une analyse protocolaire
Lrsquoanalyse protocolaire appeleacutee aussi deacutetection drsquoanomalie de protocole est justement la
technique de preacutevention drsquointrusion utiliseacutee dans le cadre de ce travail Il srsquoagit drsquoune analyse
des paquets circulant sur le reacuteseau ayant pour but de deacutecoder le protocole applicatif utiliseacute et
de controcircler la conformiteacute de lrsquoutilisation de la RFC Le systegraveme de preacutevention effectue ce
qursquoon appelle une analyse applicative laquotemps reacuteelraquo En effet le flux est recomposeacute et analyseacute
laquoagrave la voleacuteeraquo Cette analyse nrsquoest plus faite dans une application qui srsquoexeacutecute au-dessus du
systegraveme drsquoexploitation mais directement dans le noyau du systegraveme drsquoexploitation
Cette technique possegravede lrsquoavantage drsquoecirctre une technique proactive4 Elle permet de bloquer
des attaques non connues simplement parce qursquoelles deacuterogent agrave la RFC Mais crsquoest une
technique non geacuteneacuterique qui nrsquoest efficace que pour le protocole analyseacute
La protection par lrsquoIPS est une solution destineacutee agrave toutes les entreprises qui ont deacuteployeacute un
service de VoIP comme montre la figure suivante
Figure IV-1 - Reacuteseaux dentreprise avec un service de teacuteleacutephonie IP
------------------------------------------------------------
4 Qui fonctionne de maniegravere dynamique par anticipation
Chapitre 2
Le reacuteseau drsquoentreprise est en geacuteneacuteral constitueacute de deux sections le reacuteseau interne (LAN) et la
zone deacutemilitariseacutee (DMZ) La DMZ est connecteacutee au reacuteseau public agrave travers le firewall
externe et comporte diffeacuterents serveurs accessibles depuis lrsquoexteacuterieur tels que le serveur web
e-mail DNS (Domain Name Server) etc Le reacuteseau interne est connecteacute agrave la DMZ par un
autre firewall
Chaque dispositif de seacutecuriteacute est utiliseacute dans le but de se proteacuteger drsquoune menace particuliegravere
De plus ils possegravedent tous un point faible Ainsi crsquoest seulement en combinant les diffeacuterentes
techniques qursquoon arrive reacuteellement agrave une protection optimale Les firewalls sont la barriegravere de
trafic ils laissent passer ou non les trafics entrant selon leur politique Les IDS sont le
moniteur de trafic ils observent lrsquoactiviteacute du reacuteseau et consignent ce qui est suspect Ils
peuvent deacutetecter les menaces qui ont pu eacutechapper au firewall et les notifient Les IPS
fournissent les mesures preacuteventives et les commandes utiles pour combattre de nouvelles
menaces
IV-1 LrsquoIPS par Snort Inline
Ce travail impleacutemente un NIDS en ligne (Inline NIDS) meacutethode choisie pour la reacutealisation
de lrsquoIPS
Qursquoest-ce qui a motiveacute ce choix
Lrsquoobjectif eacutetait de reacutealiser un IPS pour le protocole SIP en respectant dans la mesure du
possible les impeacuteratifs
bull Ne pas toucher la topologie du reacuteseau existant
bull Inteacutegrer une solution totalement transparente crsquoest-agrave-dire ne rien toucher au systegraveme de
protection deacutejagrave deacuteployeacute
bull Avoir une solution la moins coucircteuse possible
Le dernier point conduit tout de suite agrave une solution open source Il existe dans le domaine des
logiciels libres un IPS Snort Inline qui est une version modifieacutee du ceacutelegravebre IDS Snort Celui-
ci constituera la base de lrsquoIPS SIP
Des fonctionnaliteacutes permettant drsquoinspecter le trafic SIP lui seront ajouteacutees
Chapitre 2
IV-1-1 Bregraveve preacutesentation de Snort Inline
Snort Inline est un systegraveme de preacutevention drsquointrusion Il exploite toutes les fonctionnaliteacutes
drsquoorigine de Snort telles que le deacutecodage le reacuteassemblage des paquetshellip Il utilise eacutegalement
les mecircmes composants que Snort tels que les preacuteprocesseurs de flux Par contre Snort Inline
utilise iptables et ip_queue5 pour lrsquoacquisition et le transfert des paquets
Iptables est configureacute comme un firewall normal Il prend tous les paquets entrants et les
transmet agrave Snort Inline Ce dernier a un moteur de deacutetection dintrusion inteacutegreacute qui analyse les
paquets reccedilus et transmet uniquement les paquets jugeacutes non hostiles au reacuteseau interne
Lrsquohocircte Snort Inline doit reacutesider entre la source et la destination des paquets pour que tout le
trafic passe par lrsquoordinateur qui heacuteberge Snort Inline
IV-1-2 Les composants
En geacuteneacuteral Snort Inline est diviseacute en plusieurs composants
bull Deacutecodeur de paquet (Packet decoder)
bull Preacuteprocesseurs (Preprocessors)
bull Moteur de deacutetection (Detection Engine)
bull Systegraveme dalerte et denregistrement de log (Logging and Alerting System)
Et eacuteventuellement des Modules de sortie (Output Module)
Ces composants travaillent ensemble pour deacutetecter des attaques particuliegraveres La figure
suivante montre comment ces composants sont organiseacutes
-----------------------------------------
5 Ip_queue est un module du noyau responsable de passer les paquets depuis le target QUEUE dans lespace noyau pour une application qui se trouve dans lespace utilisateur
Chapitre 2
Figure IV-2- Les diffeacuterents composants de Snort Inline
Chaque paquet de donneacutees passe par le deacutecodeur de paquet Sur son chemin vers les modules
de sortie il est soit rejeteacute soit logueacute
IV-1-2-1 Le deacutecodeur de paquet
Le deacutecodeur de paquet reacutecupegravere les paquets des diffeacuterentes interfaces reacuteseaux et les preacutepare
pour passer dans le preacuteprocesseur ou pour ecirctre envoyeacutes au moteur de deacutetection Les interfaces
peuvent ecirctre Ethernet SLIP (Serial Line Internet Protocol) PPP (Point to Point Protocol)hellip
Le deacutecodeur de paquet se compose drsquoune seacuterie de deacutecodeurs speacutecialiseacutes chacun dans un
eacuteleacutement de protocole speacutecifique
Figure IV-3 - Deacutecodeur de paquet
Chapitre 2
Le deacutecodeur de paquet transforme les eacuteleacutements du protocole (par exemple les entecirctes LLC
Ethernet IP TCP UDP hellip) speacutecifiques en une structure de donneacutees interne
IV-1-2-2 Les preacuteprocesseurs
Les preacuteprocesseurs sont des composants ou plug-ins Ils peuvent ecirctre utiliseacutes avec Snort Inline
pour laquoarrangerraquo ou laquomodifierraquo les paquets avant que le moteur de deacutetection ne fasse ses
opeacuterations pour deacutecouvrir si le paquet est utiliseacute par un intrus Certains preacuteprocesseurs
effectuent eacutegalement une deacutetection pour trouver des anomalies dans les entecirctes de paquet et
produisent des alertes ou des logs
IV-1-2-3 Le moteur de deacutetection
Le moteur de deacutetection est la partie la plus importante Son rocircle est de deacutetecter srsquoil existe une
activiteacute dintrusion possible dans un paquet Le moteur de deacutetection utilise des regravegles dans ce
but Les regravegles sont lues dans les structures ou les chaicircnes de donneacutees internes ougrave elles sont
associeacutees avec chaque paquet Si un paquet correspond agrave une des regravegles une action approprieacutee
est effectueacutee Le paquet est par exemple rejeteacute et un log est noteacute
IV-1-3- Les modes
LrsquoIPS peut ecirctre deacuteployeacute en deux modes
IV-1-3-1 Mode NAT
En mode NAT le reacuteseau est diviseacute en deux parties la partie publique et la partie priveacutee Le
cocircteacute public du reacuteseau est seacutepareacute du cocircteacute priveacute par lIPS LIPS exeacutecute la configuration NAT il
eacutetablit une correspondance de toutes les adresses publiques agrave son interface publique Ensuite il
les traduit agrave leurs adresses priveacutees correspondantes
IV-1-3- 2 Mode Bridge
En mode bridge lIPS agit en tant que pont entre le reacuteseau public et le reacuteseau priveacute Le mode
pont est furtif En effet le dispositif devient non deacutetectable puisqursquoil ne possegravede pas drsquoadresse
IP Il est donc plus sucircr ce qui en fait le mode recommandeacute
Chapitre 2
IV-1-4- Les regravegles
Snort Inline est eacutequipeacute de reacuteponses de preacutevention des intrusions qui prennent la forme
drsquoactions de regravegles classiques
IV-1-4- 1 Drop
La regravegle drop indiquera agrave iptables de rejeter le paquet et drsquoenvoyer un TCP reset si le
protocole est TCP ou un ICMP port unreachable si le protocole est UDP et de loguer le
paquet par lintermeacutediaire des moyens habituels de Snort
Figure IV-4 - Snort Inline drop mode
Quand des paquets sont lus par Snort Inline dans le target QUEUE drsquoiptables les meta-
donneacutees etou la charge utile (payload) du paquet sont compareacutees agrave lensemble des regravegles de
Snort Inline Si le paquet a eacuteteacute identifieacute comme eacutetant un paquet malveillant contenant un
certain type de signature dexploit Snort Inline deacutetermine ce quil va devenir Il se base sur les
regravegles preacutedeacutefinies pour prendre sa deacutecision Si on a deacutefini des regravegles drop alors le paquet sera
rejeteacute Cette deacutecision est passeacutee agrave iptables qui va la mettre en oeuvre
IV-1-4- 2 Sdrop
La regravegle sdrop indiquera agrave iptables de rejeter le paquet et drsquoenvoyer un reset mais aucun log
nrsquoest eacutecrit
Chapitre 2
Il existe deux options sur la faccedilon drsquoenvoyer un reset
bull On peut toujours utiliser un raw socket6 crsquoest le comportement par deacutefaut de Snort Inline
Dans ce cas on doit avoir une interface qui possegravede une adresse IP assigneacutee Sil ny a pas
une interface avec une adresse IP valide avec accegraves agrave la source du paquet le paquet sera
logueacute mais le reset ne sera jamais envoyeacute sur le reacuteseau
bull On peut eacutegalement effectuer des resets par lintermeacutediaire dun dispositif physique en
utilisant iptables On utilise le nom INDEV fourni par ip_queue comme interface sur
laquelle on envoie le reset Il nrsquoest plus neacutecessaire qursquoune adresse IP soit preacutesente sur le
pont il demeure donc furtif
------------------------------------------6 Un raw socket est un socket avec un pouvoir laquosupeacuterieurraquo il permet deacutecrire ou de lire des paquets sur une interface reacuteseau avec les paramegravetres souhaiteacutes cest-agrave-dire quil aura la possibiliteacute de modifier lentecircte dun paquet pour ensuite lenvoyer avec les options de ce mecircme entecircte modifieacutees (adresse IP source flag TCP etc)
Chapitre 2
III ndash La diffeacuterence entre la Deacutetection et la Preacutevention
Un IDS (reacuteseau) et un IPS (reacuteseau) se diffegraverent principalement par 2 caracteacuteristiques
- Le positionnement sur le reacuteseau (traditionnellement lrsquoIDS est positionneacute comme un sniffer)
- La possibiliteacute de bloquer immeacutediatement les intrusions et ce quel que soit le type de
protocole de transport utiliseacute sans reconfiguration drsquoun eacutequipement tiers LrsquoIPS est constitueacute
drsquoune technique de filtrage de paquets et de moyens de blocage (drop connection drop
offending packets block intruder hellip)
Mais on peut eacutegalement ajouter le deacuteterminisme Les IDS peuvent (et devraient) utiliser des
meacutethodes non deacuteterministes pour laquopreacutedireraquo toute sorte de menace ou une menace potentielle
du trafic existant Ces meacutethodes se composent de lanalyse statistique du volume de trafic des
modegraveles de trafic et des activiteacutes anormales Mais tout ceci nrsquoest destineacute qursquoagrave celui qui veut
savoir ce qui se passe sur son reacuteseau et rien de plus En revanche un IPS doit ecirctre
deacuteterministe ndash juste exact - dans toutes ses deacutecisions afin dexeacutecuter sa fonction de
laquonettoyeurraquo de trafic Un dispositif IPS nest pas censeacute prendre des risques ou reacuteagir avec une
certaine technique dlaquointuitionraquo Il est supposeacute fonctionner tout le temps faire un controcircle
drsquoaccegraves du reacuteseau et prendre des deacutecisions Les firewalls ont fourni la premiegravere approche
deacuteterministe du controcircle daccegraves du reacuteseau
III-1 IDS
Les systegravemes de deacutetection dintrusion ont eacuteteacute deacuteveloppeacutes pour identifier le trafic hostile et
envoyer des alertes Ils ne font rien pour arrecircter une attaque Ils sont deacuteployeacutes hors ligne et
possegravedent lrsquoavantage de ne pas pouvoir causer eux-mecircmes de panne de reacuteseau
La nature passive drsquoun IDS le positionne bien pour identifier
- Les attaques connues par lintermeacutediaire des signatures et des regravegles
- Les variations de volume et de direction de trafic en utilisant des regravegles complexes et une
analyse statistique
- Les variations de modegravele de trafic de communication en utilisant lanalyse des flux
Chapitre 2
- La deacutetection dune activiteacute suspecte en utilisant lanalyse de flux les techniques
statistiques et la deacutetection danomalie
Mais cette passiviteacute ne donne pas que des avantages On reproche eacutegalement agrave un IDS
Deacutetection uniquement sans preacutevention Comme ils sont placeacutes en dehors du reacuteseau les
NIDS peuvent difficilement avoir une incidence sur le trafic Les NIDS sont geacuteneacuteralement
impuissants pour arrecircter ou mecircme contrer une attaque en cours
Dureacutee de reacutecupeacuteration du systegraveme importante La neacutecessiteacute drsquoune intervention manuelle
de mecircme que la quantiteacute consideacuterable de donneacutees agrave scruter entraicircne une reacuteaction lente face agrave
une attaque ou une intrusion
Fausses alarmes Les NIDS confondent parfois un trafic inoffensif avec une attaque ce sont
les laquofaux positifsraquo Ces erreurs demandent souvent un temps consideacuterable pour controcircler les
paquets en question et deacuteterminer que le systegraveme NIDS srsquoest trompeacute Dans drsquoautres
circonstances le NIDS identifie correctement un motif de trafic particulier qui correspond agrave
une signature mais la structure srsquoavegravere en fait normale pour lorganisation en question
Donneacutees des journaux trop importantes Un NIDS doit geacuteneacuterer des journaux de compte-
rendu drsquoactiviteacute anormale ou douteuse sur le reacuteseau Les responsables de la seacutecuriteacute doivent
passer du temps agrave examiner ces journaux pour deacuteterminer ce qui srsquoest passeacute et les actions agrave
entreprendre
Difficulteacutes de deacuteploiement Les solutions NIDS doivent ecirctre placeacutees agrave toutes les entreacutees des
systegravemes et serveurs de lrsquoentreprise ecirctre correctement configureacutees et reacuteguliegraverement mises agrave
jour Mais plus le niveau des menaces augmente plus le deacuteploiement des IDS prend de
lrsquoampleur et on constate que la quantiteacute dheure neacutecessaire pour analyser les logs et pour
reacutepondre aux incidents (geacuterer et reacuteparer) devient trop importante
Les solutions traditionnelles comme le firewall et les anti-virus ne peuvent pas faire face agrave la
nouvelle geacuteneacuteration de menaces Une solution qui protegravege les informations au moment
opportun sans attendre une nouvelle creacuteation et distribution de signatures est neacutecessaire
III-2 IPS
Les solutions de preacutevention dintrusion sont mises en place pour traiter
- Les applications non deacutesireacutees les attaques cheval de Troie contre les reacuteseaux priveacutes et
les applications en utilisant des regravegles deacuteterministes et des listes de controcircle daccegraves
Chapitre 2
- Les attaques DoS ou DDoS comme les SYN et ICMP Flooding en utilisant un
algorithme de filtrage agrave seuil
- Les abus drsquoapplication et les manipulations de protocole -attaques connues et inconnues
contre HTTP ftp DNS smtp etc- en utilisant des regravegles de protocole dapplication et des
signatures
- Les attaques de surcharge ou drsquoabus dapplication en utilisant des limites de
consommation de ressource baseacutees sur des seuils
Ces systegravemes possegravedent les avantages suivants
Blocage rapide des intrusions Un eacuteveacutenement drsquointrusion est le deacutebut drsquoun processus
drsquoatteinte aux ressources informatiques drsquoune entreprise sans parler des responsabiliteacutes
juridiques potentielles En intervenant degraves la deacutetection un IPS bloque rapidement lrsquointrusion
et minimise la dureacutee totale avant que le reacuteseau ne revienne agrave la normale
Deacutetection preacutecise et fiable A lrsquoaide de plusieurs meacutethodes de deacutetection et en tirant parti de
sa position en ligne lrsquoIPS peut deacutetecter les attaques et intrusions avec une preacutecision et une
fiabiliteacute supeacuterieures
Moins deacutependant des signatures et davantage des meacutethodes intelligentes de deacutetection lrsquoIPS
geacutenegravere beaucoup moins de fausses alarmes Ainsi le temps et les efforts de lrsquoentreprise sont
exclusivement concentreacutes sur les veacuteritables menaces
Preacutevention active Alors qursquoun NIDS avertit simplement de la preacutesence drsquoun trafic suspect
ou anormal un IPS peut lancer divers meacutecanismes de reacuteaction
Le tableau suivant reacutesume les diffeacuterentes caracteacuteristiques drsquoun IPS et drsquoun IDS
Chapitre 2
Deacutetection drsquointrusion Preacutevention drsquointrusion
HIDS
Pour
- Peut deacutetecter lutilisation drsquoun systegraveme qui
viole la politique de seacutecuriteacute de lrsquoentreprise
- Peut alerter sur des changements au niveau
du systegraveme tels qursquoune importante
modification de fichier
Contre
- Le coucirct du deacuteploiement et de la gestion est
eacuteleveacute puisque chaque hocircte doit ecirctre eacutequipeacute et
une politique doit ecirctre deacuteveloppeacutee
- La plupart des fabricants de HIDS ne
construisent pas un produit destineacute aux
postes de travail ainsi seuls les serveurs sont
proteacutegeacutes
- La deacutetection est geacuteneacuteralement a posteriori
dans la courbe de reacuteponse Une deacutetection
reacuteussie vient dune tentative reacuteussie dattaque
HIPS
Pour
- Assure une protection contre les attaques
inconnues
- Exige peu ou aucune mise agrave jour de seacutecuriteacute
dans une peacuteriode annuelle
- Empecircche les attaques de sexeacutecuter sur une
machine au niveau noyau plutocirct que de
deacutetecter les reacutesultats dune attaque reacuteussie
Contre
- Le coucirct de tout le systegraveme peut ecirctre eacuteleveacute
puisquun agent est neacutecessaire pour chaque
serveur etou poste de travail critique
- Le temps de deacuteploiement afin drsquoeacutequiper
chaque serveurposte de travail peut ecirctre
long
- Le produit neacutecessite un ajustement apregraves
linstallation initiale pour ecirctre un outil de
seacutecuriteacute parfaitement fonctionnel
- Peut arrecircter des applications leacutegitimes en
cas de mauvais ajustement De nouvelles
applications ont peut-ecirctre besoin drsquoecirctre
examineacutees par les HIPS avant quelles soient
deacuteployeacutees
Chapitre 2
NIDS
Pour
- Les systegravemes baseacutes sur la deacutetection
drsquoanomalie peuvent deacutetecter une attaque
mecircme sur les systegravemes qui emploient le
cryptage (ils ne voient pas les exploits ils
voient la circulation anormale reacutesultant dune
attaque reacuteussie)
- Lrsquoobservation du trafic avec un systegraveme
baseacute sur des regravegles peut aider agrave imposer une
utilisation du reacuteseau en respectant la
politique de lrsquoentreprise
Contre
- Le coucirct du facteur humain est eacuteleveacute pour
surveiller les eacuteveacutenements et pour reacutepondre
aux incidents
- Agrave moins quun plan de reacuteponse ne soit
conccedilu et mis en place lrsquoIDS fournit peu ou
aucune seacutecuriteacute
- Un deacuteploiement reacuteussi demande un
important ajustement de lrsquoIDS pour reacuteduire
au minimum les faux positifs
NIPS
Pour
- Peut arrecircter la propagation des vers si
deacuteployeacute correctement sans arrecircter le trafic
- Protegravege contre de nouvelles attaques avant
que le code dexploit soit sorti (dans la
plupart des cas)
- Reacuteduira le coucirct de la reacuteponse aux incidents
(puisque la plupart des reacuteponses aux
incidents sont automatiques)
Contre
- Le coucirct du deacuteploiement NIPS au sein dun
reacuteseau peut ecirctre important
- Puisque les NIPS sont un dispositif inteacutegreacute
au reacuteseau ils creacuteent un point de deacutefaillance
bien quil y ait des meacutethodes pour traiter ce
problegraveme Lapproche la plus commune est
dajouter des eacuteleacutements redondants sachant
que tout le trafic de reacuteseau traverse le NIPS
- Un NIPS neacutecessite toujours des mises agrave jour
de seacutecuriteacute pour ecirctre vraiment efficace
Chapitre 2
IV - La protection par preacutevention
Lrsquoobjectif principal de cette partie est de preacutesenter un moyen de protection contre les attaques
au niveau du protocole applicatif
On distingue deux types drsquoattaques applicatives
- Les attaques qui ne respectent pas le protocole applicatif qui enfreignent les regravegles lieacutees
agrave ce protocole ou qui se caracteacuterisent par un usage laquoanormalraquo de celui-ci
- Les attaques qui respectent le protocole applicatif et qui ne peuvent donc pas ecirctre
deacutetecteacutees par une analyse protocolaire
Lrsquoanalyse protocolaire appeleacutee aussi deacutetection drsquoanomalie de protocole est justement la
technique de preacutevention drsquointrusion utiliseacutee dans le cadre de ce travail Il srsquoagit drsquoune analyse
des paquets circulant sur le reacuteseau ayant pour but de deacutecoder le protocole applicatif utiliseacute et
de controcircler la conformiteacute de lrsquoutilisation de la RFC Le systegraveme de preacutevention effectue ce
qursquoon appelle une analyse applicative laquotemps reacuteelraquo En effet le flux est recomposeacute et analyseacute
laquoagrave la voleacuteeraquo Cette analyse nrsquoest plus faite dans une application qui srsquoexeacutecute au-dessus du
systegraveme drsquoexploitation mais directement dans le noyau du systegraveme drsquoexploitation
Cette technique possegravede lrsquoavantage drsquoecirctre une technique proactive4 Elle permet de bloquer
des attaques non connues simplement parce qursquoelles deacuterogent agrave la RFC Mais crsquoest une
technique non geacuteneacuterique qui nrsquoest efficace que pour le protocole analyseacute
La protection par lrsquoIPS est une solution destineacutee agrave toutes les entreprises qui ont deacuteployeacute un
service de VoIP comme montre la figure suivante
Figure IV-1 - Reacuteseaux dentreprise avec un service de teacuteleacutephonie IP
------------------------------------------------------------
4 Qui fonctionne de maniegravere dynamique par anticipation
Chapitre 2
Le reacuteseau drsquoentreprise est en geacuteneacuteral constitueacute de deux sections le reacuteseau interne (LAN) et la
zone deacutemilitariseacutee (DMZ) La DMZ est connecteacutee au reacuteseau public agrave travers le firewall
externe et comporte diffeacuterents serveurs accessibles depuis lrsquoexteacuterieur tels que le serveur web
e-mail DNS (Domain Name Server) etc Le reacuteseau interne est connecteacute agrave la DMZ par un
autre firewall
Chaque dispositif de seacutecuriteacute est utiliseacute dans le but de se proteacuteger drsquoune menace particuliegravere
De plus ils possegravedent tous un point faible Ainsi crsquoest seulement en combinant les diffeacuterentes
techniques qursquoon arrive reacuteellement agrave une protection optimale Les firewalls sont la barriegravere de
trafic ils laissent passer ou non les trafics entrant selon leur politique Les IDS sont le
moniteur de trafic ils observent lrsquoactiviteacute du reacuteseau et consignent ce qui est suspect Ils
peuvent deacutetecter les menaces qui ont pu eacutechapper au firewall et les notifient Les IPS
fournissent les mesures preacuteventives et les commandes utiles pour combattre de nouvelles
menaces
IV-1 LrsquoIPS par Snort Inline
Ce travail impleacutemente un NIDS en ligne (Inline NIDS) meacutethode choisie pour la reacutealisation
de lrsquoIPS
Qursquoest-ce qui a motiveacute ce choix
Lrsquoobjectif eacutetait de reacutealiser un IPS pour le protocole SIP en respectant dans la mesure du
possible les impeacuteratifs
bull Ne pas toucher la topologie du reacuteseau existant
bull Inteacutegrer une solution totalement transparente crsquoest-agrave-dire ne rien toucher au systegraveme de
protection deacutejagrave deacuteployeacute
bull Avoir une solution la moins coucircteuse possible
Le dernier point conduit tout de suite agrave une solution open source Il existe dans le domaine des
logiciels libres un IPS Snort Inline qui est une version modifieacutee du ceacutelegravebre IDS Snort Celui-
ci constituera la base de lrsquoIPS SIP
Des fonctionnaliteacutes permettant drsquoinspecter le trafic SIP lui seront ajouteacutees
Chapitre 2
IV-1-1 Bregraveve preacutesentation de Snort Inline
Snort Inline est un systegraveme de preacutevention drsquointrusion Il exploite toutes les fonctionnaliteacutes
drsquoorigine de Snort telles que le deacutecodage le reacuteassemblage des paquetshellip Il utilise eacutegalement
les mecircmes composants que Snort tels que les preacuteprocesseurs de flux Par contre Snort Inline
utilise iptables et ip_queue5 pour lrsquoacquisition et le transfert des paquets
Iptables est configureacute comme un firewall normal Il prend tous les paquets entrants et les
transmet agrave Snort Inline Ce dernier a un moteur de deacutetection dintrusion inteacutegreacute qui analyse les
paquets reccedilus et transmet uniquement les paquets jugeacutes non hostiles au reacuteseau interne
Lrsquohocircte Snort Inline doit reacutesider entre la source et la destination des paquets pour que tout le
trafic passe par lrsquoordinateur qui heacuteberge Snort Inline
IV-1-2 Les composants
En geacuteneacuteral Snort Inline est diviseacute en plusieurs composants
bull Deacutecodeur de paquet (Packet decoder)
bull Preacuteprocesseurs (Preprocessors)
bull Moteur de deacutetection (Detection Engine)
bull Systegraveme dalerte et denregistrement de log (Logging and Alerting System)
Et eacuteventuellement des Modules de sortie (Output Module)
Ces composants travaillent ensemble pour deacutetecter des attaques particuliegraveres La figure
suivante montre comment ces composants sont organiseacutes
-----------------------------------------
5 Ip_queue est un module du noyau responsable de passer les paquets depuis le target QUEUE dans lespace noyau pour une application qui se trouve dans lespace utilisateur
Chapitre 2
Figure IV-2- Les diffeacuterents composants de Snort Inline
Chaque paquet de donneacutees passe par le deacutecodeur de paquet Sur son chemin vers les modules
de sortie il est soit rejeteacute soit logueacute
IV-1-2-1 Le deacutecodeur de paquet
Le deacutecodeur de paquet reacutecupegravere les paquets des diffeacuterentes interfaces reacuteseaux et les preacutepare
pour passer dans le preacuteprocesseur ou pour ecirctre envoyeacutes au moteur de deacutetection Les interfaces
peuvent ecirctre Ethernet SLIP (Serial Line Internet Protocol) PPP (Point to Point Protocol)hellip
Le deacutecodeur de paquet se compose drsquoune seacuterie de deacutecodeurs speacutecialiseacutes chacun dans un
eacuteleacutement de protocole speacutecifique
Figure IV-3 - Deacutecodeur de paquet
Chapitre 2
Le deacutecodeur de paquet transforme les eacuteleacutements du protocole (par exemple les entecirctes LLC
Ethernet IP TCP UDP hellip) speacutecifiques en une structure de donneacutees interne
IV-1-2-2 Les preacuteprocesseurs
Les preacuteprocesseurs sont des composants ou plug-ins Ils peuvent ecirctre utiliseacutes avec Snort Inline
pour laquoarrangerraquo ou laquomodifierraquo les paquets avant que le moteur de deacutetection ne fasse ses
opeacuterations pour deacutecouvrir si le paquet est utiliseacute par un intrus Certains preacuteprocesseurs
effectuent eacutegalement une deacutetection pour trouver des anomalies dans les entecirctes de paquet et
produisent des alertes ou des logs
IV-1-2-3 Le moteur de deacutetection
Le moteur de deacutetection est la partie la plus importante Son rocircle est de deacutetecter srsquoil existe une
activiteacute dintrusion possible dans un paquet Le moteur de deacutetection utilise des regravegles dans ce
but Les regravegles sont lues dans les structures ou les chaicircnes de donneacutees internes ougrave elles sont
associeacutees avec chaque paquet Si un paquet correspond agrave une des regravegles une action approprieacutee
est effectueacutee Le paquet est par exemple rejeteacute et un log est noteacute
IV-1-3- Les modes
LrsquoIPS peut ecirctre deacuteployeacute en deux modes
IV-1-3-1 Mode NAT
En mode NAT le reacuteseau est diviseacute en deux parties la partie publique et la partie priveacutee Le
cocircteacute public du reacuteseau est seacutepareacute du cocircteacute priveacute par lIPS LIPS exeacutecute la configuration NAT il
eacutetablit une correspondance de toutes les adresses publiques agrave son interface publique Ensuite il
les traduit agrave leurs adresses priveacutees correspondantes
IV-1-3- 2 Mode Bridge
En mode bridge lIPS agit en tant que pont entre le reacuteseau public et le reacuteseau priveacute Le mode
pont est furtif En effet le dispositif devient non deacutetectable puisqursquoil ne possegravede pas drsquoadresse
IP Il est donc plus sucircr ce qui en fait le mode recommandeacute
Chapitre 2
IV-1-4- Les regravegles
Snort Inline est eacutequipeacute de reacuteponses de preacutevention des intrusions qui prennent la forme
drsquoactions de regravegles classiques
IV-1-4- 1 Drop
La regravegle drop indiquera agrave iptables de rejeter le paquet et drsquoenvoyer un TCP reset si le
protocole est TCP ou un ICMP port unreachable si le protocole est UDP et de loguer le
paquet par lintermeacutediaire des moyens habituels de Snort
Figure IV-4 - Snort Inline drop mode
Quand des paquets sont lus par Snort Inline dans le target QUEUE drsquoiptables les meta-
donneacutees etou la charge utile (payload) du paquet sont compareacutees agrave lensemble des regravegles de
Snort Inline Si le paquet a eacuteteacute identifieacute comme eacutetant un paquet malveillant contenant un
certain type de signature dexploit Snort Inline deacutetermine ce quil va devenir Il se base sur les
regravegles preacutedeacutefinies pour prendre sa deacutecision Si on a deacutefini des regravegles drop alors le paquet sera
rejeteacute Cette deacutecision est passeacutee agrave iptables qui va la mettre en oeuvre
IV-1-4- 2 Sdrop
La regravegle sdrop indiquera agrave iptables de rejeter le paquet et drsquoenvoyer un reset mais aucun log
nrsquoest eacutecrit
Chapitre 2
Il existe deux options sur la faccedilon drsquoenvoyer un reset
bull On peut toujours utiliser un raw socket6 crsquoest le comportement par deacutefaut de Snort Inline
Dans ce cas on doit avoir une interface qui possegravede une adresse IP assigneacutee Sil ny a pas
une interface avec une adresse IP valide avec accegraves agrave la source du paquet le paquet sera
logueacute mais le reset ne sera jamais envoyeacute sur le reacuteseau
bull On peut eacutegalement effectuer des resets par lintermeacutediaire dun dispositif physique en
utilisant iptables On utilise le nom INDEV fourni par ip_queue comme interface sur
laquelle on envoie le reset Il nrsquoest plus neacutecessaire qursquoune adresse IP soit preacutesente sur le
pont il demeure donc furtif
------------------------------------------6 Un raw socket est un socket avec un pouvoir laquosupeacuterieurraquo il permet deacutecrire ou de lire des paquets sur une interface reacuteseau avec les paramegravetres souhaiteacutes cest-agrave-dire quil aura la possibiliteacute de modifier lentecircte dun paquet pour ensuite lenvoyer avec les options de ce mecircme entecircte modifieacutees (adresse IP source flag TCP etc)
Chapitre 2
- La deacutetection dune activiteacute suspecte en utilisant lanalyse de flux les techniques
statistiques et la deacutetection danomalie
Mais cette passiviteacute ne donne pas que des avantages On reproche eacutegalement agrave un IDS
Deacutetection uniquement sans preacutevention Comme ils sont placeacutes en dehors du reacuteseau les
NIDS peuvent difficilement avoir une incidence sur le trafic Les NIDS sont geacuteneacuteralement
impuissants pour arrecircter ou mecircme contrer une attaque en cours
Dureacutee de reacutecupeacuteration du systegraveme importante La neacutecessiteacute drsquoune intervention manuelle
de mecircme que la quantiteacute consideacuterable de donneacutees agrave scruter entraicircne une reacuteaction lente face agrave
une attaque ou une intrusion
Fausses alarmes Les NIDS confondent parfois un trafic inoffensif avec une attaque ce sont
les laquofaux positifsraquo Ces erreurs demandent souvent un temps consideacuterable pour controcircler les
paquets en question et deacuteterminer que le systegraveme NIDS srsquoest trompeacute Dans drsquoautres
circonstances le NIDS identifie correctement un motif de trafic particulier qui correspond agrave
une signature mais la structure srsquoavegravere en fait normale pour lorganisation en question
Donneacutees des journaux trop importantes Un NIDS doit geacuteneacuterer des journaux de compte-
rendu drsquoactiviteacute anormale ou douteuse sur le reacuteseau Les responsables de la seacutecuriteacute doivent
passer du temps agrave examiner ces journaux pour deacuteterminer ce qui srsquoest passeacute et les actions agrave
entreprendre
Difficulteacutes de deacuteploiement Les solutions NIDS doivent ecirctre placeacutees agrave toutes les entreacutees des
systegravemes et serveurs de lrsquoentreprise ecirctre correctement configureacutees et reacuteguliegraverement mises agrave
jour Mais plus le niveau des menaces augmente plus le deacuteploiement des IDS prend de
lrsquoampleur et on constate que la quantiteacute dheure neacutecessaire pour analyser les logs et pour
reacutepondre aux incidents (geacuterer et reacuteparer) devient trop importante
Les solutions traditionnelles comme le firewall et les anti-virus ne peuvent pas faire face agrave la
nouvelle geacuteneacuteration de menaces Une solution qui protegravege les informations au moment
opportun sans attendre une nouvelle creacuteation et distribution de signatures est neacutecessaire
III-2 IPS
Les solutions de preacutevention dintrusion sont mises en place pour traiter
- Les applications non deacutesireacutees les attaques cheval de Troie contre les reacuteseaux priveacutes et
les applications en utilisant des regravegles deacuteterministes et des listes de controcircle daccegraves
Chapitre 2
- Les attaques DoS ou DDoS comme les SYN et ICMP Flooding en utilisant un
algorithme de filtrage agrave seuil
- Les abus drsquoapplication et les manipulations de protocole -attaques connues et inconnues
contre HTTP ftp DNS smtp etc- en utilisant des regravegles de protocole dapplication et des
signatures
- Les attaques de surcharge ou drsquoabus dapplication en utilisant des limites de
consommation de ressource baseacutees sur des seuils
Ces systegravemes possegravedent les avantages suivants
Blocage rapide des intrusions Un eacuteveacutenement drsquointrusion est le deacutebut drsquoun processus
drsquoatteinte aux ressources informatiques drsquoune entreprise sans parler des responsabiliteacutes
juridiques potentielles En intervenant degraves la deacutetection un IPS bloque rapidement lrsquointrusion
et minimise la dureacutee totale avant que le reacuteseau ne revienne agrave la normale
Deacutetection preacutecise et fiable A lrsquoaide de plusieurs meacutethodes de deacutetection et en tirant parti de
sa position en ligne lrsquoIPS peut deacutetecter les attaques et intrusions avec une preacutecision et une
fiabiliteacute supeacuterieures
Moins deacutependant des signatures et davantage des meacutethodes intelligentes de deacutetection lrsquoIPS
geacutenegravere beaucoup moins de fausses alarmes Ainsi le temps et les efforts de lrsquoentreprise sont
exclusivement concentreacutes sur les veacuteritables menaces
Preacutevention active Alors qursquoun NIDS avertit simplement de la preacutesence drsquoun trafic suspect
ou anormal un IPS peut lancer divers meacutecanismes de reacuteaction
Le tableau suivant reacutesume les diffeacuterentes caracteacuteristiques drsquoun IPS et drsquoun IDS
Chapitre 2
Deacutetection drsquointrusion Preacutevention drsquointrusion
HIDS
Pour
- Peut deacutetecter lutilisation drsquoun systegraveme qui
viole la politique de seacutecuriteacute de lrsquoentreprise
- Peut alerter sur des changements au niveau
du systegraveme tels qursquoune importante
modification de fichier
Contre
- Le coucirct du deacuteploiement et de la gestion est
eacuteleveacute puisque chaque hocircte doit ecirctre eacutequipeacute et
une politique doit ecirctre deacuteveloppeacutee
- La plupart des fabricants de HIDS ne
construisent pas un produit destineacute aux
postes de travail ainsi seuls les serveurs sont
proteacutegeacutes
- La deacutetection est geacuteneacuteralement a posteriori
dans la courbe de reacuteponse Une deacutetection
reacuteussie vient dune tentative reacuteussie dattaque
HIPS
Pour
- Assure une protection contre les attaques
inconnues
- Exige peu ou aucune mise agrave jour de seacutecuriteacute
dans une peacuteriode annuelle
- Empecircche les attaques de sexeacutecuter sur une
machine au niveau noyau plutocirct que de
deacutetecter les reacutesultats dune attaque reacuteussie
Contre
- Le coucirct de tout le systegraveme peut ecirctre eacuteleveacute
puisquun agent est neacutecessaire pour chaque
serveur etou poste de travail critique
- Le temps de deacuteploiement afin drsquoeacutequiper
chaque serveurposte de travail peut ecirctre
long
- Le produit neacutecessite un ajustement apregraves
linstallation initiale pour ecirctre un outil de
seacutecuriteacute parfaitement fonctionnel
- Peut arrecircter des applications leacutegitimes en
cas de mauvais ajustement De nouvelles
applications ont peut-ecirctre besoin drsquoecirctre
examineacutees par les HIPS avant quelles soient
deacuteployeacutees
Chapitre 2
NIDS
Pour
- Les systegravemes baseacutes sur la deacutetection
drsquoanomalie peuvent deacutetecter une attaque
mecircme sur les systegravemes qui emploient le
cryptage (ils ne voient pas les exploits ils
voient la circulation anormale reacutesultant dune
attaque reacuteussie)
- Lrsquoobservation du trafic avec un systegraveme
baseacute sur des regravegles peut aider agrave imposer une
utilisation du reacuteseau en respectant la
politique de lrsquoentreprise
Contre
- Le coucirct du facteur humain est eacuteleveacute pour
surveiller les eacuteveacutenements et pour reacutepondre
aux incidents
- Agrave moins quun plan de reacuteponse ne soit
conccedilu et mis en place lrsquoIDS fournit peu ou
aucune seacutecuriteacute
- Un deacuteploiement reacuteussi demande un
important ajustement de lrsquoIDS pour reacuteduire
au minimum les faux positifs
NIPS
Pour
- Peut arrecircter la propagation des vers si
deacuteployeacute correctement sans arrecircter le trafic
- Protegravege contre de nouvelles attaques avant
que le code dexploit soit sorti (dans la
plupart des cas)
- Reacuteduira le coucirct de la reacuteponse aux incidents
(puisque la plupart des reacuteponses aux
incidents sont automatiques)
Contre
- Le coucirct du deacuteploiement NIPS au sein dun
reacuteseau peut ecirctre important
- Puisque les NIPS sont un dispositif inteacutegreacute
au reacuteseau ils creacuteent un point de deacutefaillance
bien quil y ait des meacutethodes pour traiter ce
problegraveme Lapproche la plus commune est
dajouter des eacuteleacutements redondants sachant
que tout le trafic de reacuteseau traverse le NIPS
- Un NIPS neacutecessite toujours des mises agrave jour
de seacutecuriteacute pour ecirctre vraiment efficace
Chapitre 2
IV - La protection par preacutevention
Lrsquoobjectif principal de cette partie est de preacutesenter un moyen de protection contre les attaques
au niveau du protocole applicatif
On distingue deux types drsquoattaques applicatives
- Les attaques qui ne respectent pas le protocole applicatif qui enfreignent les regravegles lieacutees
agrave ce protocole ou qui se caracteacuterisent par un usage laquoanormalraquo de celui-ci
- Les attaques qui respectent le protocole applicatif et qui ne peuvent donc pas ecirctre
deacutetecteacutees par une analyse protocolaire
Lrsquoanalyse protocolaire appeleacutee aussi deacutetection drsquoanomalie de protocole est justement la
technique de preacutevention drsquointrusion utiliseacutee dans le cadre de ce travail Il srsquoagit drsquoune analyse
des paquets circulant sur le reacuteseau ayant pour but de deacutecoder le protocole applicatif utiliseacute et
de controcircler la conformiteacute de lrsquoutilisation de la RFC Le systegraveme de preacutevention effectue ce
qursquoon appelle une analyse applicative laquotemps reacuteelraquo En effet le flux est recomposeacute et analyseacute
laquoagrave la voleacuteeraquo Cette analyse nrsquoest plus faite dans une application qui srsquoexeacutecute au-dessus du
systegraveme drsquoexploitation mais directement dans le noyau du systegraveme drsquoexploitation
Cette technique possegravede lrsquoavantage drsquoecirctre une technique proactive4 Elle permet de bloquer
des attaques non connues simplement parce qursquoelles deacuterogent agrave la RFC Mais crsquoest une
technique non geacuteneacuterique qui nrsquoest efficace que pour le protocole analyseacute
La protection par lrsquoIPS est une solution destineacutee agrave toutes les entreprises qui ont deacuteployeacute un
service de VoIP comme montre la figure suivante
Figure IV-1 - Reacuteseaux dentreprise avec un service de teacuteleacutephonie IP
------------------------------------------------------------
4 Qui fonctionne de maniegravere dynamique par anticipation
Chapitre 2
Le reacuteseau drsquoentreprise est en geacuteneacuteral constitueacute de deux sections le reacuteseau interne (LAN) et la
zone deacutemilitariseacutee (DMZ) La DMZ est connecteacutee au reacuteseau public agrave travers le firewall
externe et comporte diffeacuterents serveurs accessibles depuis lrsquoexteacuterieur tels que le serveur web
e-mail DNS (Domain Name Server) etc Le reacuteseau interne est connecteacute agrave la DMZ par un
autre firewall
Chaque dispositif de seacutecuriteacute est utiliseacute dans le but de se proteacuteger drsquoune menace particuliegravere
De plus ils possegravedent tous un point faible Ainsi crsquoest seulement en combinant les diffeacuterentes
techniques qursquoon arrive reacuteellement agrave une protection optimale Les firewalls sont la barriegravere de
trafic ils laissent passer ou non les trafics entrant selon leur politique Les IDS sont le
moniteur de trafic ils observent lrsquoactiviteacute du reacuteseau et consignent ce qui est suspect Ils
peuvent deacutetecter les menaces qui ont pu eacutechapper au firewall et les notifient Les IPS
fournissent les mesures preacuteventives et les commandes utiles pour combattre de nouvelles
menaces
IV-1 LrsquoIPS par Snort Inline
Ce travail impleacutemente un NIDS en ligne (Inline NIDS) meacutethode choisie pour la reacutealisation
de lrsquoIPS
Qursquoest-ce qui a motiveacute ce choix
Lrsquoobjectif eacutetait de reacutealiser un IPS pour le protocole SIP en respectant dans la mesure du
possible les impeacuteratifs
bull Ne pas toucher la topologie du reacuteseau existant
bull Inteacutegrer une solution totalement transparente crsquoest-agrave-dire ne rien toucher au systegraveme de
protection deacutejagrave deacuteployeacute
bull Avoir une solution la moins coucircteuse possible
Le dernier point conduit tout de suite agrave une solution open source Il existe dans le domaine des
logiciels libres un IPS Snort Inline qui est une version modifieacutee du ceacutelegravebre IDS Snort Celui-
ci constituera la base de lrsquoIPS SIP
Des fonctionnaliteacutes permettant drsquoinspecter le trafic SIP lui seront ajouteacutees
Chapitre 2
IV-1-1 Bregraveve preacutesentation de Snort Inline
Snort Inline est un systegraveme de preacutevention drsquointrusion Il exploite toutes les fonctionnaliteacutes
drsquoorigine de Snort telles que le deacutecodage le reacuteassemblage des paquetshellip Il utilise eacutegalement
les mecircmes composants que Snort tels que les preacuteprocesseurs de flux Par contre Snort Inline
utilise iptables et ip_queue5 pour lrsquoacquisition et le transfert des paquets
Iptables est configureacute comme un firewall normal Il prend tous les paquets entrants et les
transmet agrave Snort Inline Ce dernier a un moteur de deacutetection dintrusion inteacutegreacute qui analyse les
paquets reccedilus et transmet uniquement les paquets jugeacutes non hostiles au reacuteseau interne
Lrsquohocircte Snort Inline doit reacutesider entre la source et la destination des paquets pour que tout le
trafic passe par lrsquoordinateur qui heacuteberge Snort Inline
IV-1-2 Les composants
En geacuteneacuteral Snort Inline est diviseacute en plusieurs composants
bull Deacutecodeur de paquet (Packet decoder)
bull Preacuteprocesseurs (Preprocessors)
bull Moteur de deacutetection (Detection Engine)
bull Systegraveme dalerte et denregistrement de log (Logging and Alerting System)
Et eacuteventuellement des Modules de sortie (Output Module)
Ces composants travaillent ensemble pour deacutetecter des attaques particuliegraveres La figure
suivante montre comment ces composants sont organiseacutes
-----------------------------------------
5 Ip_queue est un module du noyau responsable de passer les paquets depuis le target QUEUE dans lespace noyau pour une application qui se trouve dans lespace utilisateur
Chapitre 2
Figure IV-2- Les diffeacuterents composants de Snort Inline
Chaque paquet de donneacutees passe par le deacutecodeur de paquet Sur son chemin vers les modules
de sortie il est soit rejeteacute soit logueacute
IV-1-2-1 Le deacutecodeur de paquet
Le deacutecodeur de paquet reacutecupegravere les paquets des diffeacuterentes interfaces reacuteseaux et les preacutepare
pour passer dans le preacuteprocesseur ou pour ecirctre envoyeacutes au moteur de deacutetection Les interfaces
peuvent ecirctre Ethernet SLIP (Serial Line Internet Protocol) PPP (Point to Point Protocol)hellip
Le deacutecodeur de paquet se compose drsquoune seacuterie de deacutecodeurs speacutecialiseacutes chacun dans un
eacuteleacutement de protocole speacutecifique
Figure IV-3 - Deacutecodeur de paquet
Chapitre 2
Le deacutecodeur de paquet transforme les eacuteleacutements du protocole (par exemple les entecirctes LLC
Ethernet IP TCP UDP hellip) speacutecifiques en une structure de donneacutees interne
IV-1-2-2 Les preacuteprocesseurs
Les preacuteprocesseurs sont des composants ou plug-ins Ils peuvent ecirctre utiliseacutes avec Snort Inline
pour laquoarrangerraquo ou laquomodifierraquo les paquets avant que le moteur de deacutetection ne fasse ses
opeacuterations pour deacutecouvrir si le paquet est utiliseacute par un intrus Certains preacuteprocesseurs
effectuent eacutegalement une deacutetection pour trouver des anomalies dans les entecirctes de paquet et
produisent des alertes ou des logs
IV-1-2-3 Le moteur de deacutetection
Le moteur de deacutetection est la partie la plus importante Son rocircle est de deacutetecter srsquoil existe une
activiteacute dintrusion possible dans un paquet Le moteur de deacutetection utilise des regravegles dans ce
but Les regravegles sont lues dans les structures ou les chaicircnes de donneacutees internes ougrave elles sont
associeacutees avec chaque paquet Si un paquet correspond agrave une des regravegles une action approprieacutee
est effectueacutee Le paquet est par exemple rejeteacute et un log est noteacute
IV-1-3- Les modes
LrsquoIPS peut ecirctre deacuteployeacute en deux modes
IV-1-3-1 Mode NAT
En mode NAT le reacuteseau est diviseacute en deux parties la partie publique et la partie priveacutee Le
cocircteacute public du reacuteseau est seacutepareacute du cocircteacute priveacute par lIPS LIPS exeacutecute la configuration NAT il
eacutetablit une correspondance de toutes les adresses publiques agrave son interface publique Ensuite il
les traduit agrave leurs adresses priveacutees correspondantes
IV-1-3- 2 Mode Bridge
En mode bridge lIPS agit en tant que pont entre le reacuteseau public et le reacuteseau priveacute Le mode
pont est furtif En effet le dispositif devient non deacutetectable puisqursquoil ne possegravede pas drsquoadresse
IP Il est donc plus sucircr ce qui en fait le mode recommandeacute
Chapitre 2
IV-1-4- Les regravegles
Snort Inline est eacutequipeacute de reacuteponses de preacutevention des intrusions qui prennent la forme
drsquoactions de regravegles classiques
IV-1-4- 1 Drop
La regravegle drop indiquera agrave iptables de rejeter le paquet et drsquoenvoyer un TCP reset si le
protocole est TCP ou un ICMP port unreachable si le protocole est UDP et de loguer le
paquet par lintermeacutediaire des moyens habituels de Snort
Figure IV-4 - Snort Inline drop mode
Quand des paquets sont lus par Snort Inline dans le target QUEUE drsquoiptables les meta-
donneacutees etou la charge utile (payload) du paquet sont compareacutees agrave lensemble des regravegles de
Snort Inline Si le paquet a eacuteteacute identifieacute comme eacutetant un paquet malveillant contenant un
certain type de signature dexploit Snort Inline deacutetermine ce quil va devenir Il se base sur les
regravegles preacutedeacutefinies pour prendre sa deacutecision Si on a deacutefini des regravegles drop alors le paquet sera
rejeteacute Cette deacutecision est passeacutee agrave iptables qui va la mettre en oeuvre
IV-1-4- 2 Sdrop
La regravegle sdrop indiquera agrave iptables de rejeter le paquet et drsquoenvoyer un reset mais aucun log
nrsquoest eacutecrit
Chapitre 2
Il existe deux options sur la faccedilon drsquoenvoyer un reset
bull On peut toujours utiliser un raw socket6 crsquoest le comportement par deacutefaut de Snort Inline
Dans ce cas on doit avoir une interface qui possegravede une adresse IP assigneacutee Sil ny a pas
une interface avec une adresse IP valide avec accegraves agrave la source du paquet le paquet sera
logueacute mais le reset ne sera jamais envoyeacute sur le reacuteseau
bull On peut eacutegalement effectuer des resets par lintermeacutediaire dun dispositif physique en
utilisant iptables On utilise le nom INDEV fourni par ip_queue comme interface sur
laquelle on envoie le reset Il nrsquoest plus neacutecessaire qursquoune adresse IP soit preacutesente sur le
pont il demeure donc furtif
------------------------------------------6 Un raw socket est un socket avec un pouvoir laquosupeacuterieurraquo il permet deacutecrire ou de lire des paquets sur une interface reacuteseau avec les paramegravetres souhaiteacutes cest-agrave-dire quil aura la possibiliteacute de modifier lentecircte dun paquet pour ensuite lenvoyer avec les options de ce mecircme entecircte modifieacutees (adresse IP source flag TCP etc)
Chapitre 2
- Les attaques DoS ou DDoS comme les SYN et ICMP Flooding en utilisant un
algorithme de filtrage agrave seuil
- Les abus drsquoapplication et les manipulations de protocole -attaques connues et inconnues
contre HTTP ftp DNS smtp etc- en utilisant des regravegles de protocole dapplication et des
signatures
- Les attaques de surcharge ou drsquoabus dapplication en utilisant des limites de
consommation de ressource baseacutees sur des seuils
Ces systegravemes possegravedent les avantages suivants
Blocage rapide des intrusions Un eacuteveacutenement drsquointrusion est le deacutebut drsquoun processus
drsquoatteinte aux ressources informatiques drsquoune entreprise sans parler des responsabiliteacutes
juridiques potentielles En intervenant degraves la deacutetection un IPS bloque rapidement lrsquointrusion
et minimise la dureacutee totale avant que le reacuteseau ne revienne agrave la normale
Deacutetection preacutecise et fiable A lrsquoaide de plusieurs meacutethodes de deacutetection et en tirant parti de
sa position en ligne lrsquoIPS peut deacutetecter les attaques et intrusions avec une preacutecision et une
fiabiliteacute supeacuterieures
Moins deacutependant des signatures et davantage des meacutethodes intelligentes de deacutetection lrsquoIPS
geacutenegravere beaucoup moins de fausses alarmes Ainsi le temps et les efforts de lrsquoentreprise sont
exclusivement concentreacutes sur les veacuteritables menaces
Preacutevention active Alors qursquoun NIDS avertit simplement de la preacutesence drsquoun trafic suspect
ou anormal un IPS peut lancer divers meacutecanismes de reacuteaction
Le tableau suivant reacutesume les diffeacuterentes caracteacuteristiques drsquoun IPS et drsquoun IDS
Chapitre 2
Deacutetection drsquointrusion Preacutevention drsquointrusion
HIDS
Pour
- Peut deacutetecter lutilisation drsquoun systegraveme qui
viole la politique de seacutecuriteacute de lrsquoentreprise
- Peut alerter sur des changements au niveau
du systegraveme tels qursquoune importante
modification de fichier
Contre
- Le coucirct du deacuteploiement et de la gestion est
eacuteleveacute puisque chaque hocircte doit ecirctre eacutequipeacute et
une politique doit ecirctre deacuteveloppeacutee
- La plupart des fabricants de HIDS ne
construisent pas un produit destineacute aux
postes de travail ainsi seuls les serveurs sont
proteacutegeacutes
- La deacutetection est geacuteneacuteralement a posteriori
dans la courbe de reacuteponse Une deacutetection
reacuteussie vient dune tentative reacuteussie dattaque
HIPS
Pour
- Assure une protection contre les attaques
inconnues
- Exige peu ou aucune mise agrave jour de seacutecuriteacute
dans une peacuteriode annuelle
- Empecircche les attaques de sexeacutecuter sur une
machine au niveau noyau plutocirct que de
deacutetecter les reacutesultats dune attaque reacuteussie
Contre
- Le coucirct de tout le systegraveme peut ecirctre eacuteleveacute
puisquun agent est neacutecessaire pour chaque
serveur etou poste de travail critique
- Le temps de deacuteploiement afin drsquoeacutequiper
chaque serveurposte de travail peut ecirctre
long
- Le produit neacutecessite un ajustement apregraves
linstallation initiale pour ecirctre un outil de
seacutecuriteacute parfaitement fonctionnel
- Peut arrecircter des applications leacutegitimes en
cas de mauvais ajustement De nouvelles
applications ont peut-ecirctre besoin drsquoecirctre
examineacutees par les HIPS avant quelles soient
deacuteployeacutees
Chapitre 2
NIDS
Pour
- Les systegravemes baseacutes sur la deacutetection
drsquoanomalie peuvent deacutetecter une attaque
mecircme sur les systegravemes qui emploient le
cryptage (ils ne voient pas les exploits ils
voient la circulation anormale reacutesultant dune
attaque reacuteussie)
- Lrsquoobservation du trafic avec un systegraveme
baseacute sur des regravegles peut aider agrave imposer une
utilisation du reacuteseau en respectant la
politique de lrsquoentreprise
Contre
- Le coucirct du facteur humain est eacuteleveacute pour
surveiller les eacuteveacutenements et pour reacutepondre
aux incidents
- Agrave moins quun plan de reacuteponse ne soit
conccedilu et mis en place lrsquoIDS fournit peu ou
aucune seacutecuriteacute
- Un deacuteploiement reacuteussi demande un
important ajustement de lrsquoIDS pour reacuteduire
au minimum les faux positifs
NIPS
Pour
- Peut arrecircter la propagation des vers si
deacuteployeacute correctement sans arrecircter le trafic
- Protegravege contre de nouvelles attaques avant
que le code dexploit soit sorti (dans la
plupart des cas)
- Reacuteduira le coucirct de la reacuteponse aux incidents
(puisque la plupart des reacuteponses aux
incidents sont automatiques)
Contre
- Le coucirct du deacuteploiement NIPS au sein dun
reacuteseau peut ecirctre important
- Puisque les NIPS sont un dispositif inteacutegreacute
au reacuteseau ils creacuteent un point de deacutefaillance
bien quil y ait des meacutethodes pour traiter ce
problegraveme Lapproche la plus commune est
dajouter des eacuteleacutements redondants sachant
que tout le trafic de reacuteseau traverse le NIPS
- Un NIPS neacutecessite toujours des mises agrave jour
de seacutecuriteacute pour ecirctre vraiment efficace
Chapitre 2
IV - La protection par preacutevention
Lrsquoobjectif principal de cette partie est de preacutesenter un moyen de protection contre les attaques
au niveau du protocole applicatif
On distingue deux types drsquoattaques applicatives
- Les attaques qui ne respectent pas le protocole applicatif qui enfreignent les regravegles lieacutees
agrave ce protocole ou qui se caracteacuterisent par un usage laquoanormalraquo de celui-ci
- Les attaques qui respectent le protocole applicatif et qui ne peuvent donc pas ecirctre
deacutetecteacutees par une analyse protocolaire
Lrsquoanalyse protocolaire appeleacutee aussi deacutetection drsquoanomalie de protocole est justement la
technique de preacutevention drsquointrusion utiliseacutee dans le cadre de ce travail Il srsquoagit drsquoune analyse
des paquets circulant sur le reacuteseau ayant pour but de deacutecoder le protocole applicatif utiliseacute et
de controcircler la conformiteacute de lrsquoutilisation de la RFC Le systegraveme de preacutevention effectue ce
qursquoon appelle une analyse applicative laquotemps reacuteelraquo En effet le flux est recomposeacute et analyseacute
laquoagrave la voleacuteeraquo Cette analyse nrsquoest plus faite dans une application qui srsquoexeacutecute au-dessus du
systegraveme drsquoexploitation mais directement dans le noyau du systegraveme drsquoexploitation
Cette technique possegravede lrsquoavantage drsquoecirctre une technique proactive4 Elle permet de bloquer
des attaques non connues simplement parce qursquoelles deacuterogent agrave la RFC Mais crsquoest une
technique non geacuteneacuterique qui nrsquoest efficace que pour le protocole analyseacute
La protection par lrsquoIPS est une solution destineacutee agrave toutes les entreprises qui ont deacuteployeacute un
service de VoIP comme montre la figure suivante
Figure IV-1 - Reacuteseaux dentreprise avec un service de teacuteleacutephonie IP
------------------------------------------------------------
4 Qui fonctionne de maniegravere dynamique par anticipation
Chapitre 2
Le reacuteseau drsquoentreprise est en geacuteneacuteral constitueacute de deux sections le reacuteseau interne (LAN) et la
zone deacutemilitariseacutee (DMZ) La DMZ est connecteacutee au reacuteseau public agrave travers le firewall
externe et comporte diffeacuterents serveurs accessibles depuis lrsquoexteacuterieur tels que le serveur web
e-mail DNS (Domain Name Server) etc Le reacuteseau interne est connecteacute agrave la DMZ par un
autre firewall
Chaque dispositif de seacutecuriteacute est utiliseacute dans le but de se proteacuteger drsquoune menace particuliegravere
De plus ils possegravedent tous un point faible Ainsi crsquoest seulement en combinant les diffeacuterentes
techniques qursquoon arrive reacuteellement agrave une protection optimale Les firewalls sont la barriegravere de
trafic ils laissent passer ou non les trafics entrant selon leur politique Les IDS sont le
moniteur de trafic ils observent lrsquoactiviteacute du reacuteseau et consignent ce qui est suspect Ils
peuvent deacutetecter les menaces qui ont pu eacutechapper au firewall et les notifient Les IPS
fournissent les mesures preacuteventives et les commandes utiles pour combattre de nouvelles
menaces
IV-1 LrsquoIPS par Snort Inline
Ce travail impleacutemente un NIDS en ligne (Inline NIDS) meacutethode choisie pour la reacutealisation
de lrsquoIPS
Qursquoest-ce qui a motiveacute ce choix
Lrsquoobjectif eacutetait de reacutealiser un IPS pour le protocole SIP en respectant dans la mesure du
possible les impeacuteratifs
bull Ne pas toucher la topologie du reacuteseau existant
bull Inteacutegrer une solution totalement transparente crsquoest-agrave-dire ne rien toucher au systegraveme de
protection deacutejagrave deacuteployeacute
bull Avoir une solution la moins coucircteuse possible
Le dernier point conduit tout de suite agrave une solution open source Il existe dans le domaine des
logiciels libres un IPS Snort Inline qui est une version modifieacutee du ceacutelegravebre IDS Snort Celui-
ci constituera la base de lrsquoIPS SIP
Des fonctionnaliteacutes permettant drsquoinspecter le trafic SIP lui seront ajouteacutees
Chapitre 2
IV-1-1 Bregraveve preacutesentation de Snort Inline
Snort Inline est un systegraveme de preacutevention drsquointrusion Il exploite toutes les fonctionnaliteacutes
drsquoorigine de Snort telles que le deacutecodage le reacuteassemblage des paquetshellip Il utilise eacutegalement
les mecircmes composants que Snort tels que les preacuteprocesseurs de flux Par contre Snort Inline
utilise iptables et ip_queue5 pour lrsquoacquisition et le transfert des paquets
Iptables est configureacute comme un firewall normal Il prend tous les paquets entrants et les
transmet agrave Snort Inline Ce dernier a un moteur de deacutetection dintrusion inteacutegreacute qui analyse les
paquets reccedilus et transmet uniquement les paquets jugeacutes non hostiles au reacuteseau interne
Lrsquohocircte Snort Inline doit reacutesider entre la source et la destination des paquets pour que tout le
trafic passe par lrsquoordinateur qui heacuteberge Snort Inline
IV-1-2 Les composants
En geacuteneacuteral Snort Inline est diviseacute en plusieurs composants
bull Deacutecodeur de paquet (Packet decoder)
bull Preacuteprocesseurs (Preprocessors)
bull Moteur de deacutetection (Detection Engine)
bull Systegraveme dalerte et denregistrement de log (Logging and Alerting System)
Et eacuteventuellement des Modules de sortie (Output Module)
Ces composants travaillent ensemble pour deacutetecter des attaques particuliegraveres La figure
suivante montre comment ces composants sont organiseacutes
-----------------------------------------
5 Ip_queue est un module du noyau responsable de passer les paquets depuis le target QUEUE dans lespace noyau pour une application qui se trouve dans lespace utilisateur
Chapitre 2
Figure IV-2- Les diffeacuterents composants de Snort Inline
Chaque paquet de donneacutees passe par le deacutecodeur de paquet Sur son chemin vers les modules
de sortie il est soit rejeteacute soit logueacute
IV-1-2-1 Le deacutecodeur de paquet
Le deacutecodeur de paquet reacutecupegravere les paquets des diffeacuterentes interfaces reacuteseaux et les preacutepare
pour passer dans le preacuteprocesseur ou pour ecirctre envoyeacutes au moteur de deacutetection Les interfaces
peuvent ecirctre Ethernet SLIP (Serial Line Internet Protocol) PPP (Point to Point Protocol)hellip
Le deacutecodeur de paquet se compose drsquoune seacuterie de deacutecodeurs speacutecialiseacutes chacun dans un
eacuteleacutement de protocole speacutecifique
Figure IV-3 - Deacutecodeur de paquet
Chapitre 2
Le deacutecodeur de paquet transforme les eacuteleacutements du protocole (par exemple les entecirctes LLC
Ethernet IP TCP UDP hellip) speacutecifiques en une structure de donneacutees interne
IV-1-2-2 Les preacuteprocesseurs
Les preacuteprocesseurs sont des composants ou plug-ins Ils peuvent ecirctre utiliseacutes avec Snort Inline
pour laquoarrangerraquo ou laquomodifierraquo les paquets avant que le moteur de deacutetection ne fasse ses
opeacuterations pour deacutecouvrir si le paquet est utiliseacute par un intrus Certains preacuteprocesseurs
effectuent eacutegalement une deacutetection pour trouver des anomalies dans les entecirctes de paquet et
produisent des alertes ou des logs
IV-1-2-3 Le moteur de deacutetection
Le moteur de deacutetection est la partie la plus importante Son rocircle est de deacutetecter srsquoil existe une
activiteacute dintrusion possible dans un paquet Le moteur de deacutetection utilise des regravegles dans ce
but Les regravegles sont lues dans les structures ou les chaicircnes de donneacutees internes ougrave elles sont
associeacutees avec chaque paquet Si un paquet correspond agrave une des regravegles une action approprieacutee
est effectueacutee Le paquet est par exemple rejeteacute et un log est noteacute
IV-1-3- Les modes
LrsquoIPS peut ecirctre deacuteployeacute en deux modes
IV-1-3-1 Mode NAT
En mode NAT le reacuteseau est diviseacute en deux parties la partie publique et la partie priveacutee Le
cocircteacute public du reacuteseau est seacutepareacute du cocircteacute priveacute par lIPS LIPS exeacutecute la configuration NAT il
eacutetablit une correspondance de toutes les adresses publiques agrave son interface publique Ensuite il
les traduit agrave leurs adresses priveacutees correspondantes
IV-1-3- 2 Mode Bridge
En mode bridge lIPS agit en tant que pont entre le reacuteseau public et le reacuteseau priveacute Le mode
pont est furtif En effet le dispositif devient non deacutetectable puisqursquoil ne possegravede pas drsquoadresse
IP Il est donc plus sucircr ce qui en fait le mode recommandeacute
Chapitre 2
IV-1-4- Les regravegles
Snort Inline est eacutequipeacute de reacuteponses de preacutevention des intrusions qui prennent la forme
drsquoactions de regravegles classiques
IV-1-4- 1 Drop
La regravegle drop indiquera agrave iptables de rejeter le paquet et drsquoenvoyer un TCP reset si le
protocole est TCP ou un ICMP port unreachable si le protocole est UDP et de loguer le
paquet par lintermeacutediaire des moyens habituels de Snort
Figure IV-4 - Snort Inline drop mode
Quand des paquets sont lus par Snort Inline dans le target QUEUE drsquoiptables les meta-
donneacutees etou la charge utile (payload) du paquet sont compareacutees agrave lensemble des regravegles de
Snort Inline Si le paquet a eacuteteacute identifieacute comme eacutetant un paquet malveillant contenant un
certain type de signature dexploit Snort Inline deacutetermine ce quil va devenir Il se base sur les
regravegles preacutedeacutefinies pour prendre sa deacutecision Si on a deacutefini des regravegles drop alors le paquet sera
rejeteacute Cette deacutecision est passeacutee agrave iptables qui va la mettre en oeuvre
IV-1-4- 2 Sdrop
La regravegle sdrop indiquera agrave iptables de rejeter le paquet et drsquoenvoyer un reset mais aucun log
nrsquoest eacutecrit
Chapitre 2
Il existe deux options sur la faccedilon drsquoenvoyer un reset
bull On peut toujours utiliser un raw socket6 crsquoest le comportement par deacutefaut de Snort Inline
Dans ce cas on doit avoir une interface qui possegravede une adresse IP assigneacutee Sil ny a pas
une interface avec une adresse IP valide avec accegraves agrave la source du paquet le paquet sera
logueacute mais le reset ne sera jamais envoyeacute sur le reacuteseau
bull On peut eacutegalement effectuer des resets par lintermeacutediaire dun dispositif physique en
utilisant iptables On utilise le nom INDEV fourni par ip_queue comme interface sur
laquelle on envoie le reset Il nrsquoest plus neacutecessaire qursquoune adresse IP soit preacutesente sur le
pont il demeure donc furtif
------------------------------------------6 Un raw socket est un socket avec un pouvoir laquosupeacuterieurraquo il permet deacutecrire ou de lire des paquets sur une interface reacuteseau avec les paramegravetres souhaiteacutes cest-agrave-dire quil aura la possibiliteacute de modifier lentecircte dun paquet pour ensuite lenvoyer avec les options de ce mecircme entecircte modifieacutees (adresse IP source flag TCP etc)
Chapitre 2
Deacutetection drsquointrusion Preacutevention drsquointrusion
HIDS
Pour
- Peut deacutetecter lutilisation drsquoun systegraveme qui
viole la politique de seacutecuriteacute de lrsquoentreprise
- Peut alerter sur des changements au niveau
du systegraveme tels qursquoune importante
modification de fichier
Contre
- Le coucirct du deacuteploiement et de la gestion est
eacuteleveacute puisque chaque hocircte doit ecirctre eacutequipeacute et
une politique doit ecirctre deacuteveloppeacutee
- La plupart des fabricants de HIDS ne
construisent pas un produit destineacute aux
postes de travail ainsi seuls les serveurs sont
proteacutegeacutes
- La deacutetection est geacuteneacuteralement a posteriori
dans la courbe de reacuteponse Une deacutetection
reacuteussie vient dune tentative reacuteussie dattaque
HIPS
Pour
- Assure une protection contre les attaques
inconnues
- Exige peu ou aucune mise agrave jour de seacutecuriteacute
dans une peacuteriode annuelle
- Empecircche les attaques de sexeacutecuter sur une
machine au niveau noyau plutocirct que de
deacutetecter les reacutesultats dune attaque reacuteussie
Contre
- Le coucirct de tout le systegraveme peut ecirctre eacuteleveacute
puisquun agent est neacutecessaire pour chaque
serveur etou poste de travail critique
- Le temps de deacuteploiement afin drsquoeacutequiper
chaque serveurposte de travail peut ecirctre
long
- Le produit neacutecessite un ajustement apregraves
linstallation initiale pour ecirctre un outil de
seacutecuriteacute parfaitement fonctionnel
- Peut arrecircter des applications leacutegitimes en
cas de mauvais ajustement De nouvelles
applications ont peut-ecirctre besoin drsquoecirctre
examineacutees par les HIPS avant quelles soient
deacuteployeacutees
Chapitre 2
NIDS
Pour
- Les systegravemes baseacutes sur la deacutetection
drsquoanomalie peuvent deacutetecter une attaque
mecircme sur les systegravemes qui emploient le
cryptage (ils ne voient pas les exploits ils
voient la circulation anormale reacutesultant dune
attaque reacuteussie)
- Lrsquoobservation du trafic avec un systegraveme
baseacute sur des regravegles peut aider agrave imposer une
utilisation du reacuteseau en respectant la
politique de lrsquoentreprise
Contre
- Le coucirct du facteur humain est eacuteleveacute pour
surveiller les eacuteveacutenements et pour reacutepondre
aux incidents
- Agrave moins quun plan de reacuteponse ne soit
conccedilu et mis en place lrsquoIDS fournit peu ou
aucune seacutecuriteacute
- Un deacuteploiement reacuteussi demande un
important ajustement de lrsquoIDS pour reacuteduire
au minimum les faux positifs
NIPS
Pour
- Peut arrecircter la propagation des vers si
deacuteployeacute correctement sans arrecircter le trafic
- Protegravege contre de nouvelles attaques avant
que le code dexploit soit sorti (dans la
plupart des cas)
- Reacuteduira le coucirct de la reacuteponse aux incidents
(puisque la plupart des reacuteponses aux
incidents sont automatiques)
Contre
- Le coucirct du deacuteploiement NIPS au sein dun
reacuteseau peut ecirctre important
- Puisque les NIPS sont un dispositif inteacutegreacute
au reacuteseau ils creacuteent un point de deacutefaillance
bien quil y ait des meacutethodes pour traiter ce
problegraveme Lapproche la plus commune est
dajouter des eacuteleacutements redondants sachant
que tout le trafic de reacuteseau traverse le NIPS
- Un NIPS neacutecessite toujours des mises agrave jour
de seacutecuriteacute pour ecirctre vraiment efficace
Chapitre 2
IV - La protection par preacutevention
Lrsquoobjectif principal de cette partie est de preacutesenter un moyen de protection contre les attaques
au niveau du protocole applicatif
On distingue deux types drsquoattaques applicatives
- Les attaques qui ne respectent pas le protocole applicatif qui enfreignent les regravegles lieacutees
agrave ce protocole ou qui se caracteacuterisent par un usage laquoanormalraquo de celui-ci
- Les attaques qui respectent le protocole applicatif et qui ne peuvent donc pas ecirctre
deacutetecteacutees par une analyse protocolaire
Lrsquoanalyse protocolaire appeleacutee aussi deacutetection drsquoanomalie de protocole est justement la
technique de preacutevention drsquointrusion utiliseacutee dans le cadre de ce travail Il srsquoagit drsquoune analyse
des paquets circulant sur le reacuteseau ayant pour but de deacutecoder le protocole applicatif utiliseacute et
de controcircler la conformiteacute de lrsquoutilisation de la RFC Le systegraveme de preacutevention effectue ce
qursquoon appelle une analyse applicative laquotemps reacuteelraquo En effet le flux est recomposeacute et analyseacute
laquoagrave la voleacuteeraquo Cette analyse nrsquoest plus faite dans une application qui srsquoexeacutecute au-dessus du
systegraveme drsquoexploitation mais directement dans le noyau du systegraveme drsquoexploitation
Cette technique possegravede lrsquoavantage drsquoecirctre une technique proactive4 Elle permet de bloquer
des attaques non connues simplement parce qursquoelles deacuterogent agrave la RFC Mais crsquoest une
technique non geacuteneacuterique qui nrsquoest efficace que pour le protocole analyseacute
La protection par lrsquoIPS est une solution destineacutee agrave toutes les entreprises qui ont deacuteployeacute un
service de VoIP comme montre la figure suivante
Figure IV-1 - Reacuteseaux dentreprise avec un service de teacuteleacutephonie IP
------------------------------------------------------------
4 Qui fonctionne de maniegravere dynamique par anticipation
Chapitre 2
Le reacuteseau drsquoentreprise est en geacuteneacuteral constitueacute de deux sections le reacuteseau interne (LAN) et la
zone deacutemilitariseacutee (DMZ) La DMZ est connecteacutee au reacuteseau public agrave travers le firewall
externe et comporte diffeacuterents serveurs accessibles depuis lrsquoexteacuterieur tels que le serveur web
e-mail DNS (Domain Name Server) etc Le reacuteseau interne est connecteacute agrave la DMZ par un
autre firewall
Chaque dispositif de seacutecuriteacute est utiliseacute dans le but de se proteacuteger drsquoune menace particuliegravere
De plus ils possegravedent tous un point faible Ainsi crsquoest seulement en combinant les diffeacuterentes
techniques qursquoon arrive reacuteellement agrave une protection optimale Les firewalls sont la barriegravere de
trafic ils laissent passer ou non les trafics entrant selon leur politique Les IDS sont le
moniteur de trafic ils observent lrsquoactiviteacute du reacuteseau et consignent ce qui est suspect Ils
peuvent deacutetecter les menaces qui ont pu eacutechapper au firewall et les notifient Les IPS
fournissent les mesures preacuteventives et les commandes utiles pour combattre de nouvelles
menaces
IV-1 LrsquoIPS par Snort Inline
Ce travail impleacutemente un NIDS en ligne (Inline NIDS) meacutethode choisie pour la reacutealisation
de lrsquoIPS
Qursquoest-ce qui a motiveacute ce choix
Lrsquoobjectif eacutetait de reacutealiser un IPS pour le protocole SIP en respectant dans la mesure du
possible les impeacuteratifs
bull Ne pas toucher la topologie du reacuteseau existant
bull Inteacutegrer une solution totalement transparente crsquoest-agrave-dire ne rien toucher au systegraveme de
protection deacutejagrave deacuteployeacute
bull Avoir une solution la moins coucircteuse possible
Le dernier point conduit tout de suite agrave une solution open source Il existe dans le domaine des
logiciels libres un IPS Snort Inline qui est une version modifieacutee du ceacutelegravebre IDS Snort Celui-
ci constituera la base de lrsquoIPS SIP
Des fonctionnaliteacutes permettant drsquoinspecter le trafic SIP lui seront ajouteacutees
Chapitre 2
IV-1-1 Bregraveve preacutesentation de Snort Inline
Snort Inline est un systegraveme de preacutevention drsquointrusion Il exploite toutes les fonctionnaliteacutes
drsquoorigine de Snort telles que le deacutecodage le reacuteassemblage des paquetshellip Il utilise eacutegalement
les mecircmes composants que Snort tels que les preacuteprocesseurs de flux Par contre Snort Inline
utilise iptables et ip_queue5 pour lrsquoacquisition et le transfert des paquets
Iptables est configureacute comme un firewall normal Il prend tous les paquets entrants et les
transmet agrave Snort Inline Ce dernier a un moteur de deacutetection dintrusion inteacutegreacute qui analyse les
paquets reccedilus et transmet uniquement les paquets jugeacutes non hostiles au reacuteseau interne
Lrsquohocircte Snort Inline doit reacutesider entre la source et la destination des paquets pour que tout le
trafic passe par lrsquoordinateur qui heacuteberge Snort Inline
IV-1-2 Les composants
En geacuteneacuteral Snort Inline est diviseacute en plusieurs composants
bull Deacutecodeur de paquet (Packet decoder)
bull Preacuteprocesseurs (Preprocessors)
bull Moteur de deacutetection (Detection Engine)
bull Systegraveme dalerte et denregistrement de log (Logging and Alerting System)
Et eacuteventuellement des Modules de sortie (Output Module)
Ces composants travaillent ensemble pour deacutetecter des attaques particuliegraveres La figure
suivante montre comment ces composants sont organiseacutes
-----------------------------------------
5 Ip_queue est un module du noyau responsable de passer les paquets depuis le target QUEUE dans lespace noyau pour une application qui se trouve dans lespace utilisateur
Chapitre 2
Figure IV-2- Les diffeacuterents composants de Snort Inline
Chaque paquet de donneacutees passe par le deacutecodeur de paquet Sur son chemin vers les modules
de sortie il est soit rejeteacute soit logueacute
IV-1-2-1 Le deacutecodeur de paquet
Le deacutecodeur de paquet reacutecupegravere les paquets des diffeacuterentes interfaces reacuteseaux et les preacutepare
pour passer dans le preacuteprocesseur ou pour ecirctre envoyeacutes au moteur de deacutetection Les interfaces
peuvent ecirctre Ethernet SLIP (Serial Line Internet Protocol) PPP (Point to Point Protocol)hellip
Le deacutecodeur de paquet se compose drsquoune seacuterie de deacutecodeurs speacutecialiseacutes chacun dans un
eacuteleacutement de protocole speacutecifique
Figure IV-3 - Deacutecodeur de paquet
Chapitre 2
Le deacutecodeur de paquet transforme les eacuteleacutements du protocole (par exemple les entecirctes LLC
Ethernet IP TCP UDP hellip) speacutecifiques en une structure de donneacutees interne
IV-1-2-2 Les preacuteprocesseurs
Les preacuteprocesseurs sont des composants ou plug-ins Ils peuvent ecirctre utiliseacutes avec Snort Inline
pour laquoarrangerraquo ou laquomodifierraquo les paquets avant que le moteur de deacutetection ne fasse ses
opeacuterations pour deacutecouvrir si le paquet est utiliseacute par un intrus Certains preacuteprocesseurs
effectuent eacutegalement une deacutetection pour trouver des anomalies dans les entecirctes de paquet et
produisent des alertes ou des logs
IV-1-2-3 Le moteur de deacutetection
Le moteur de deacutetection est la partie la plus importante Son rocircle est de deacutetecter srsquoil existe une
activiteacute dintrusion possible dans un paquet Le moteur de deacutetection utilise des regravegles dans ce
but Les regravegles sont lues dans les structures ou les chaicircnes de donneacutees internes ougrave elles sont
associeacutees avec chaque paquet Si un paquet correspond agrave une des regravegles une action approprieacutee
est effectueacutee Le paquet est par exemple rejeteacute et un log est noteacute
IV-1-3- Les modes
LrsquoIPS peut ecirctre deacuteployeacute en deux modes
IV-1-3-1 Mode NAT
En mode NAT le reacuteseau est diviseacute en deux parties la partie publique et la partie priveacutee Le
cocircteacute public du reacuteseau est seacutepareacute du cocircteacute priveacute par lIPS LIPS exeacutecute la configuration NAT il
eacutetablit une correspondance de toutes les adresses publiques agrave son interface publique Ensuite il
les traduit agrave leurs adresses priveacutees correspondantes
IV-1-3- 2 Mode Bridge
En mode bridge lIPS agit en tant que pont entre le reacuteseau public et le reacuteseau priveacute Le mode
pont est furtif En effet le dispositif devient non deacutetectable puisqursquoil ne possegravede pas drsquoadresse
IP Il est donc plus sucircr ce qui en fait le mode recommandeacute
Chapitre 2
IV-1-4- Les regravegles
Snort Inline est eacutequipeacute de reacuteponses de preacutevention des intrusions qui prennent la forme
drsquoactions de regravegles classiques
IV-1-4- 1 Drop
La regravegle drop indiquera agrave iptables de rejeter le paquet et drsquoenvoyer un TCP reset si le
protocole est TCP ou un ICMP port unreachable si le protocole est UDP et de loguer le
paquet par lintermeacutediaire des moyens habituels de Snort
Figure IV-4 - Snort Inline drop mode
Quand des paquets sont lus par Snort Inline dans le target QUEUE drsquoiptables les meta-
donneacutees etou la charge utile (payload) du paquet sont compareacutees agrave lensemble des regravegles de
Snort Inline Si le paquet a eacuteteacute identifieacute comme eacutetant un paquet malveillant contenant un
certain type de signature dexploit Snort Inline deacutetermine ce quil va devenir Il se base sur les
regravegles preacutedeacutefinies pour prendre sa deacutecision Si on a deacutefini des regravegles drop alors le paquet sera
rejeteacute Cette deacutecision est passeacutee agrave iptables qui va la mettre en oeuvre
IV-1-4- 2 Sdrop
La regravegle sdrop indiquera agrave iptables de rejeter le paquet et drsquoenvoyer un reset mais aucun log
nrsquoest eacutecrit
Chapitre 2
Il existe deux options sur la faccedilon drsquoenvoyer un reset
bull On peut toujours utiliser un raw socket6 crsquoest le comportement par deacutefaut de Snort Inline
Dans ce cas on doit avoir une interface qui possegravede une adresse IP assigneacutee Sil ny a pas
une interface avec une adresse IP valide avec accegraves agrave la source du paquet le paquet sera
logueacute mais le reset ne sera jamais envoyeacute sur le reacuteseau
bull On peut eacutegalement effectuer des resets par lintermeacutediaire dun dispositif physique en
utilisant iptables On utilise le nom INDEV fourni par ip_queue comme interface sur
laquelle on envoie le reset Il nrsquoest plus neacutecessaire qursquoune adresse IP soit preacutesente sur le
pont il demeure donc furtif
------------------------------------------6 Un raw socket est un socket avec un pouvoir laquosupeacuterieurraquo il permet deacutecrire ou de lire des paquets sur une interface reacuteseau avec les paramegravetres souhaiteacutes cest-agrave-dire quil aura la possibiliteacute de modifier lentecircte dun paquet pour ensuite lenvoyer avec les options de ce mecircme entecircte modifieacutees (adresse IP source flag TCP etc)
Chapitre 2
NIDS
Pour
- Les systegravemes baseacutes sur la deacutetection
drsquoanomalie peuvent deacutetecter une attaque
mecircme sur les systegravemes qui emploient le
cryptage (ils ne voient pas les exploits ils
voient la circulation anormale reacutesultant dune
attaque reacuteussie)
- Lrsquoobservation du trafic avec un systegraveme
baseacute sur des regravegles peut aider agrave imposer une
utilisation du reacuteseau en respectant la
politique de lrsquoentreprise
Contre
- Le coucirct du facteur humain est eacuteleveacute pour
surveiller les eacuteveacutenements et pour reacutepondre
aux incidents
- Agrave moins quun plan de reacuteponse ne soit
conccedilu et mis en place lrsquoIDS fournit peu ou
aucune seacutecuriteacute
- Un deacuteploiement reacuteussi demande un
important ajustement de lrsquoIDS pour reacuteduire
au minimum les faux positifs
NIPS
Pour
- Peut arrecircter la propagation des vers si
deacuteployeacute correctement sans arrecircter le trafic
- Protegravege contre de nouvelles attaques avant
que le code dexploit soit sorti (dans la
plupart des cas)
- Reacuteduira le coucirct de la reacuteponse aux incidents
(puisque la plupart des reacuteponses aux
incidents sont automatiques)
Contre
- Le coucirct du deacuteploiement NIPS au sein dun
reacuteseau peut ecirctre important
- Puisque les NIPS sont un dispositif inteacutegreacute
au reacuteseau ils creacuteent un point de deacutefaillance
bien quil y ait des meacutethodes pour traiter ce
problegraveme Lapproche la plus commune est
dajouter des eacuteleacutements redondants sachant
que tout le trafic de reacuteseau traverse le NIPS
- Un NIPS neacutecessite toujours des mises agrave jour
de seacutecuriteacute pour ecirctre vraiment efficace
Chapitre 2
IV - La protection par preacutevention
Lrsquoobjectif principal de cette partie est de preacutesenter un moyen de protection contre les attaques
au niveau du protocole applicatif
On distingue deux types drsquoattaques applicatives
- Les attaques qui ne respectent pas le protocole applicatif qui enfreignent les regravegles lieacutees
agrave ce protocole ou qui se caracteacuterisent par un usage laquoanormalraquo de celui-ci
- Les attaques qui respectent le protocole applicatif et qui ne peuvent donc pas ecirctre
deacutetecteacutees par une analyse protocolaire
Lrsquoanalyse protocolaire appeleacutee aussi deacutetection drsquoanomalie de protocole est justement la
technique de preacutevention drsquointrusion utiliseacutee dans le cadre de ce travail Il srsquoagit drsquoune analyse
des paquets circulant sur le reacuteseau ayant pour but de deacutecoder le protocole applicatif utiliseacute et
de controcircler la conformiteacute de lrsquoutilisation de la RFC Le systegraveme de preacutevention effectue ce
qursquoon appelle une analyse applicative laquotemps reacuteelraquo En effet le flux est recomposeacute et analyseacute
laquoagrave la voleacuteeraquo Cette analyse nrsquoest plus faite dans une application qui srsquoexeacutecute au-dessus du
systegraveme drsquoexploitation mais directement dans le noyau du systegraveme drsquoexploitation
Cette technique possegravede lrsquoavantage drsquoecirctre une technique proactive4 Elle permet de bloquer
des attaques non connues simplement parce qursquoelles deacuterogent agrave la RFC Mais crsquoest une
technique non geacuteneacuterique qui nrsquoest efficace que pour le protocole analyseacute
La protection par lrsquoIPS est une solution destineacutee agrave toutes les entreprises qui ont deacuteployeacute un
service de VoIP comme montre la figure suivante
Figure IV-1 - Reacuteseaux dentreprise avec un service de teacuteleacutephonie IP
------------------------------------------------------------
4 Qui fonctionne de maniegravere dynamique par anticipation
Chapitre 2
Le reacuteseau drsquoentreprise est en geacuteneacuteral constitueacute de deux sections le reacuteseau interne (LAN) et la
zone deacutemilitariseacutee (DMZ) La DMZ est connecteacutee au reacuteseau public agrave travers le firewall
externe et comporte diffeacuterents serveurs accessibles depuis lrsquoexteacuterieur tels que le serveur web
e-mail DNS (Domain Name Server) etc Le reacuteseau interne est connecteacute agrave la DMZ par un
autre firewall
Chaque dispositif de seacutecuriteacute est utiliseacute dans le but de se proteacuteger drsquoune menace particuliegravere
De plus ils possegravedent tous un point faible Ainsi crsquoest seulement en combinant les diffeacuterentes
techniques qursquoon arrive reacuteellement agrave une protection optimale Les firewalls sont la barriegravere de
trafic ils laissent passer ou non les trafics entrant selon leur politique Les IDS sont le
moniteur de trafic ils observent lrsquoactiviteacute du reacuteseau et consignent ce qui est suspect Ils
peuvent deacutetecter les menaces qui ont pu eacutechapper au firewall et les notifient Les IPS
fournissent les mesures preacuteventives et les commandes utiles pour combattre de nouvelles
menaces
IV-1 LrsquoIPS par Snort Inline
Ce travail impleacutemente un NIDS en ligne (Inline NIDS) meacutethode choisie pour la reacutealisation
de lrsquoIPS
Qursquoest-ce qui a motiveacute ce choix
Lrsquoobjectif eacutetait de reacutealiser un IPS pour le protocole SIP en respectant dans la mesure du
possible les impeacuteratifs
bull Ne pas toucher la topologie du reacuteseau existant
bull Inteacutegrer une solution totalement transparente crsquoest-agrave-dire ne rien toucher au systegraveme de
protection deacutejagrave deacuteployeacute
bull Avoir une solution la moins coucircteuse possible
Le dernier point conduit tout de suite agrave une solution open source Il existe dans le domaine des
logiciels libres un IPS Snort Inline qui est une version modifieacutee du ceacutelegravebre IDS Snort Celui-
ci constituera la base de lrsquoIPS SIP
Des fonctionnaliteacutes permettant drsquoinspecter le trafic SIP lui seront ajouteacutees
Chapitre 2
IV-1-1 Bregraveve preacutesentation de Snort Inline
Snort Inline est un systegraveme de preacutevention drsquointrusion Il exploite toutes les fonctionnaliteacutes
drsquoorigine de Snort telles que le deacutecodage le reacuteassemblage des paquetshellip Il utilise eacutegalement
les mecircmes composants que Snort tels que les preacuteprocesseurs de flux Par contre Snort Inline
utilise iptables et ip_queue5 pour lrsquoacquisition et le transfert des paquets
Iptables est configureacute comme un firewall normal Il prend tous les paquets entrants et les
transmet agrave Snort Inline Ce dernier a un moteur de deacutetection dintrusion inteacutegreacute qui analyse les
paquets reccedilus et transmet uniquement les paquets jugeacutes non hostiles au reacuteseau interne
Lrsquohocircte Snort Inline doit reacutesider entre la source et la destination des paquets pour que tout le
trafic passe par lrsquoordinateur qui heacuteberge Snort Inline
IV-1-2 Les composants
En geacuteneacuteral Snort Inline est diviseacute en plusieurs composants
bull Deacutecodeur de paquet (Packet decoder)
bull Preacuteprocesseurs (Preprocessors)
bull Moteur de deacutetection (Detection Engine)
bull Systegraveme dalerte et denregistrement de log (Logging and Alerting System)
Et eacuteventuellement des Modules de sortie (Output Module)
Ces composants travaillent ensemble pour deacutetecter des attaques particuliegraveres La figure
suivante montre comment ces composants sont organiseacutes
-----------------------------------------
5 Ip_queue est un module du noyau responsable de passer les paquets depuis le target QUEUE dans lespace noyau pour une application qui se trouve dans lespace utilisateur
Chapitre 2
Figure IV-2- Les diffeacuterents composants de Snort Inline
Chaque paquet de donneacutees passe par le deacutecodeur de paquet Sur son chemin vers les modules
de sortie il est soit rejeteacute soit logueacute
IV-1-2-1 Le deacutecodeur de paquet
Le deacutecodeur de paquet reacutecupegravere les paquets des diffeacuterentes interfaces reacuteseaux et les preacutepare
pour passer dans le preacuteprocesseur ou pour ecirctre envoyeacutes au moteur de deacutetection Les interfaces
peuvent ecirctre Ethernet SLIP (Serial Line Internet Protocol) PPP (Point to Point Protocol)hellip
Le deacutecodeur de paquet se compose drsquoune seacuterie de deacutecodeurs speacutecialiseacutes chacun dans un
eacuteleacutement de protocole speacutecifique
Figure IV-3 - Deacutecodeur de paquet
Chapitre 2
Le deacutecodeur de paquet transforme les eacuteleacutements du protocole (par exemple les entecirctes LLC
Ethernet IP TCP UDP hellip) speacutecifiques en une structure de donneacutees interne
IV-1-2-2 Les preacuteprocesseurs
Les preacuteprocesseurs sont des composants ou plug-ins Ils peuvent ecirctre utiliseacutes avec Snort Inline
pour laquoarrangerraquo ou laquomodifierraquo les paquets avant que le moteur de deacutetection ne fasse ses
opeacuterations pour deacutecouvrir si le paquet est utiliseacute par un intrus Certains preacuteprocesseurs
effectuent eacutegalement une deacutetection pour trouver des anomalies dans les entecirctes de paquet et
produisent des alertes ou des logs
IV-1-2-3 Le moteur de deacutetection
Le moteur de deacutetection est la partie la plus importante Son rocircle est de deacutetecter srsquoil existe une
activiteacute dintrusion possible dans un paquet Le moteur de deacutetection utilise des regravegles dans ce
but Les regravegles sont lues dans les structures ou les chaicircnes de donneacutees internes ougrave elles sont
associeacutees avec chaque paquet Si un paquet correspond agrave une des regravegles une action approprieacutee
est effectueacutee Le paquet est par exemple rejeteacute et un log est noteacute
IV-1-3- Les modes
LrsquoIPS peut ecirctre deacuteployeacute en deux modes
IV-1-3-1 Mode NAT
En mode NAT le reacuteseau est diviseacute en deux parties la partie publique et la partie priveacutee Le
cocircteacute public du reacuteseau est seacutepareacute du cocircteacute priveacute par lIPS LIPS exeacutecute la configuration NAT il
eacutetablit une correspondance de toutes les adresses publiques agrave son interface publique Ensuite il
les traduit agrave leurs adresses priveacutees correspondantes
IV-1-3- 2 Mode Bridge
En mode bridge lIPS agit en tant que pont entre le reacuteseau public et le reacuteseau priveacute Le mode
pont est furtif En effet le dispositif devient non deacutetectable puisqursquoil ne possegravede pas drsquoadresse
IP Il est donc plus sucircr ce qui en fait le mode recommandeacute
Chapitre 2
IV-1-4- Les regravegles
Snort Inline est eacutequipeacute de reacuteponses de preacutevention des intrusions qui prennent la forme
drsquoactions de regravegles classiques
IV-1-4- 1 Drop
La regravegle drop indiquera agrave iptables de rejeter le paquet et drsquoenvoyer un TCP reset si le
protocole est TCP ou un ICMP port unreachable si le protocole est UDP et de loguer le
paquet par lintermeacutediaire des moyens habituels de Snort
Figure IV-4 - Snort Inline drop mode
Quand des paquets sont lus par Snort Inline dans le target QUEUE drsquoiptables les meta-
donneacutees etou la charge utile (payload) du paquet sont compareacutees agrave lensemble des regravegles de
Snort Inline Si le paquet a eacuteteacute identifieacute comme eacutetant un paquet malveillant contenant un
certain type de signature dexploit Snort Inline deacutetermine ce quil va devenir Il se base sur les
regravegles preacutedeacutefinies pour prendre sa deacutecision Si on a deacutefini des regravegles drop alors le paquet sera
rejeteacute Cette deacutecision est passeacutee agrave iptables qui va la mettre en oeuvre
IV-1-4- 2 Sdrop
La regravegle sdrop indiquera agrave iptables de rejeter le paquet et drsquoenvoyer un reset mais aucun log
nrsquoest eacutecrit
Chapitre 2
Il existe deux options sur la faccedilon drsquoenvoyer un reset
bull On peut toujours utiliser un raw socket6 crsquoest le comportement par deacutefaut de Snort Inline
Dans ce cas on doit avoir une interface qui possegravede une adresse IP assigneacutee Sil ny a pas
une interface avec une adresse IP valide avec accegraves agrave la source du paquet le paquet sera
logueacute mais le reset ne sera jamais envoyeacute sur le reacuteseau
bull On peut eacutegalement effectuer des resets par lintermeacutediaire dun dispositif physique en
utilisant iptables On utilise le nom INDEV fourni par ip_queue comme interface sur
laquelle on envoie le reset Il nrsquoest plus neacutecessaire qursquoune adresse IP soit preacutesente sur le
pont il demeure donc furtif
------------------------------------------6 Un raw socket est un socket avec un pouvoir laquosupeacuterieurraquo il permet deacutecrire ou de lire des paquets sur une interface reacuteseau avec les paramegravetres souhaiteacutes cest-agrave-dire quil aura la possibiliteacute de modifier lentecircte dun paquet pour ensuite lenvoyer avec les options de ce mecircme entecircte modifieacutees (adresse IP source flag TCP etc)
Chapitre 2
IV - La protection par preacutevention
Lrsquoobjectif principal de cette partie est de preacutesenter un moyen de protection contre les attaques
au niveau du protocole applicatif
On distingue deux types drsquoattaques applicatives
- Les attaques qui ne respectent pas le protocole applicatif qui enfreignent les regravegles lieacutees
agrave ce protocole ou qui se caracteacuterisent par un usage laquoanormalraquo de celui-ci
- Les attaques qui respectent le protocole applicatif et qui ne peuvent donc pas ecirctre
deacutetecteacutees par une analyse protocolaire
Lrsquoanalyse protocolaire appeleacutee aussi deacutetection drsquoanomalie de protocole est justement la
technique de preacutevention drsquointrusion utiliseacutee dans le cadre de ce travail Il srsquoagit drsquoune analyse
des paquets circulant sur le reacuteseau ayant pour but de deacutecoder le protocole applicatif utiliseacute et
de controcircler la conformiteacute de lrsquoutilisation de la RFC Le systegraveme de preacutevention effectue ce
qursquoon appelle une analyse applicative laquotemps reacuteelraquo En effet le flux est recomposeacute et analyseacute
laquoagrave la voleacuteeraquo Cette analyse nrsquoest plus faite dans une application qui srsquoexeacutecute au-dessus du
systegraveme drsquoexploitation mais directement dans le noyau du systegraveme drsquoexploitation
Cette technique possegravede lrsquoavantage drsquoecirctre une technique proactive4 Elle permet de bloquer
des attaques non connues simplement parce qursquoelles deacuterogent agrave la RFC Mais crsquoest une
technique non geacuteneacuterique qui nrsquoest efficace que pour le protocole analyseacute
La protection par lrsquoIPS est une solution destineacutee agrave toutes les entreprises qui ont deacuteployeacute un
service de VoIP comme montre la figure suivante
Figure IV-1 - Reacuteseaux dentreprise avec un service de teacuteleacutephonie IP
------------------------------------------------------------
4 Qui fonctionne de maniegravere dynamique par anticipation
Chapitre 2
Le reacuteseau drsquoentreprise est en geacuteneacuteral constitueacute de deux sections le reacuteseau interne (LAN) et la
zone deacutemilitariseacutee (DMZ) La DMZ est connecteacutee au reacuteseau public agrave travers le firewall
externe et comporte diffeacuterents serveurs accessibles depuis lrsquoexteacuterieur tels que le serveur web
e-mail DNS (Domain Name Server) etc Le reacuteseau interne est connecteacute agrave la DMZ par un
autre firewall
Chaque dispositif de seacutecuriteacute est utiliseacute dans le but de se proteacuteger drsquoune menace particuliegravere
De plus ils possegravedent tous un point faible Ainsi crsquoest seulement en combinant les diffeacuterentes
techniques qursquoon arrive reacuteellement agrave une protection optimale Les firewalls sont la barriegravere de
trafic ils laissent passer ou non les trafics entrant selon leur politique Les IDS sont le
moniteur de trafic ils observent lrsquoactiviteacute du reacuteseau et consignent ce qui est suspect Ils
peuvent deacutetecter les menaces qui ont pu eacutechapper au firewall et les notifient Les IPS
fournissent les mesures preacuteventives et les commandes utiles pour combattre de nouvelles
menaces
IV-1 LrsquoIPS par Snort Inline
Ce travail impleacutemente un NIDS en ligne (Inline NIDS) meacutethode choisie pour la reacutealisation
de lrsquoIPS
Qursquoest-ce qui a motiveacute ce choix
Lrsquoobjectif eacutetait de reacutealiser un IPS pour le protocole SIP en respectant dans la mesure du
possible les impeacuteratifs
bull Ne pas toucher la topologie du reacuteseau existant
bull Inteacutegrer une solution totalement transparente crsquoest-agrave-dire ne rien toucher au systegraveme de
protection deacutejagrave deacuteployeacute
bull Avoir une solution la moins coucircteuse possible
Le dernier point conduit tout de suite agrave une solution open source Il existe dans le domaine des
logiciels libres un IPS Snort Inline qui est une version modifieacutee du ceacutelegravebre IDS Snort Celui-
ci constituera la base de lrsquoIPS SIP
Des fonctionnaliteacutes permettant drsquoinspecter le trafic SIP lui seront ajouteacutees
Chapitre 2
IV-1-1 Bregraveve preacutesentation de Snort Inline
Snort Inline est un systegraveme de preacutevention drsquointrusion Il exploite toutes les fonctionnaliteacutes
drsquoorigine de Snort telles que le deacutecodage le reacuteassemblage des paquetshellip Il utilise eacutegalement
les mecircmes composants que Snort tels que les preacuteprocesseurs de flux Par contre Snort Inline
utilise iptables et ip_queue5 pour lrsquoacquisition et le transfert des paquets
Iptables est configureacute comme un firewall normal Il prend tous les paquets entrants et les
transmet agrave Snort Inline Ce dernier a un moteur de deacutetection dintrusion inteacutegreacute qui analyse les
paquets reccedilus et transmet uniquement les paquets jugeacutes non hostiles au reacuteseau interne
Lrsquohocircte Snort Inline doit reacutesider entre la source et la destination des paquets pour que tout le
trafic passe par lrsquoordinateur qui heacuteberge Snort Inline
IV-1-2 Les composants
En geacuteneacuteral Snort Inline est diviseacute en plusieurs composants
bull Deacutecodeur de paquet (Packet decoder)
bull Preacuteprocesseurs (Preprocessors)
bull Moteur de deacutetection (Detection Engine)
bull Systegraveme dalerte et denregistrement de log (Logging and Alerting System)
Et eacuteventuellement des Modules de sortie (Output Module)
Ces composants travaillent ensemble pour deacutetecter des attaques particuliegraveres La figure
suivante montre comment ces composants sont organiseacutes
-----------------------------------------
5 Ip_queue est un module du noyau responsable de passer les paquets depuis le target QUEUE dans lespace noyau pour une application qui se trouve dans lespace utilisateur
Chapitre 2
Figure IV-2- Les diffeacuterents composants de Snort Inline
Chaque paquet de donneacutees passe par le deacutecodeur de paquet Sur son chemin vers les modules
de sortie il est soit rejeteacute soit logueacute
IV-1-2-1 Le deacutecodeur de paquet
Le deacutecodeur de paquet reacutecupegravere les paquets des diffeacuterentes interfaces reacuteseaux et les preacutepare
pour passer dans le preacuteprocesseur ou pour ecirctre envoyeacutes au moteur de deacutetection Les interfaces
peuvent ecirctre Ethernet SLIP (Serial Line Internet Protocol) PPP (Point to Point Protocol)hellip
Le deacutecodeur de paquet se compose drsquoune seacuterie de deacutecodeurs speacutecialiseacutes chacun dans un
eacuteleacutement de protocole speacutecifique
Figure IV-3 - Deacutecodeur de paquet
Chapitre 2
Le deacutecodeur de paquet transforme les eacuteleacutements du protocole (par exemple les entecirctes LLC
Ethernet IP TCP UDP hellip) speacutecifiques en une structure de donneacutees interne
IV-1-2-2 Les preacuteprocesseurs
Les preacuteprocesseurs sont des composants ou plug-ins Ils peuvent ecirctre utiliseacutes avec Snort Inline
pour laquoarrangerraquo ou laquomodifierraquo les paquets avant que le moteur de deacutetection ne fasse ses
opeacuterations pour deacutecouvrir si le paquet est utiliseacute par un intrus Certains preacuteprocesseurs
effectuent eacutegalement une deacutetection pour trouver des anomalies dans les entecirctes de paquet et
produisent des alertes ou des logs
IV-1-2-3 Le moteur de deacutetection
Le moteur de deacutetection est la partie la plus importante Son rocircle est de deacutetecter srsquoil existe une
activiteacute dintrusion possible dans un paquet Le moteur de deacutetection utilise des regravegles dans ce
but Les regravegles sont lues dans les structures ou les chaicircnes de donneacutees internes ougrave elles sont
associeacutees avec chaque paquet Si un paquet correspond agrave une des regravegles une action approprieacutee
est effectueacutee Le paquet est par exemple rejeteacute et un log est noteacute
IV-1-3- Les modes
LrsquoIPS peut ecirctre deacuteployeacute en deux modes
IV-1-3-1 Mode NAT
En mode NAT le reacuteseau est diviseacute en deux parties la partie publique et la partie priveacutee Le
cocircteacute public du reacuteseau est seacutepareacute du cocircteacute priveacute par lIPS LIPS exeacutecute la configuration NAT il
eacutetablit une correspondance de toutes les adresses publiques agrave son interface publique Ensuite il
les traduit agrave leurs adresses priveacutees correspondantes
IV-1-3- 2 Mode Bridge
En mode bridge lIPS agit en tant que pont entre le reacuteseau public et le reacuteseau priveacute Le mode
pont est furtif En effet le dispositif devient non deacutetectable puisqursquoil ne possegravede pas drsquoadresse
IP Il est donc plus sucircr ce qui en fait le mode recommandeacute
Chapitre 2
IV-1-4- Les regravegles
Snort Inline est eacutequipeacute de reacuteponses de preacutevention des intrusions qui prennent la forme
drsquoactions de regravegles classiques
IV-1-4- 1 Drop
La regravegle drop indiquera agrave iptables de rejeter le paquet et drsquoenvoyer un TCP reset si le
protocole est TCP ou un ICMP port unreachable si le protocole est UDP et de loguer le
paquet par lintermeacutediaire des moyens habituels de Snort
Figure IV-4 - Snort Inline drop mode
Quand des paquets sont lus par Snort Inline dans le target QUEUE drsquoiptables les meta-
donneacutees etou la charge utile (payload) du paquet sont compareacutees agrave lensemble des regravegles de
Snort Inline Si le paquet a eacuteteacute identifieacute comme eacutetant un paquet malveillant contenant un
certain type de signature dexploit Snort Inline deacutetermine ce quil va devenir Il se base sur les
regravegles preacutedeacutefinies pour prendre sa deacutecision Si on a deacutefini des regravegles drop alors le paquet sera
rejeteacute Cette deacutecision est passeacutee agrave iptables qui va la mettre en oeuvre
IV-1-4- 2 Sdrop
La regravegle sdrop indiquera agrave iptables de rejeter le paquet et drsquoenvoyer un reset mais aucun log
nrsquoest eacutecrit
Chapitre 2
Il existe deux options sur la faccedilon drsquoenvoyer un reset
bull On peut toujours utiliser un raw socket6 crsquoest le comportement par deacutefaut de Snort Inline
Dans ce cas on doit avoir une interface qui possegravede une adresse IP assigneacutee Sil ny a pas
une interface avec une adresse IP valide avec accegraves agrave la source du paquet le paquet sera
logueacute mais le reset ne sera jamais envoyeacute sur le reacuteseau
bull On peut eacutegalement effectuer des resets par lintermeacutediaire dun dispositif physique en
utilisant iptables On utilise le nom INDEV fourni par ip_queue comme interface sur
laquelle on envoie le reset Il nrsquoest plus neacutecessaire qursquoune adresse IP soit preacutesente sur le
pont il demeure donc furtif
------------------------------------------6 Un raw socket est un socket avec un pouvoir laquosupeacuterieurraquo il permet deacutecrire ou de lire des paquets sur une interface reacuteseau avec les paramegravetres souhaiteacutes cest-agrave-dire quil aura la possibiliteacute de modifier lentecircte dun paquet pour ensuite lenvoyer avec les options de ce mecircme entecircte modifieacutees (adresse IP source flag TCP etc)
Chapitre 2
Le reacuteseau drsquoentreprise est en geacuteneacuteral constitueacute de deux sections le reacuteseau interne (LAN) et la
zone deacutemilitariseacutee (DMZ) La DMZ est connecteacutee au reacuteseau public agrave travers le firewall
externe et comporte diffeacuterents serveurs accessibles depuis lrsquoexteacuterieur tels que le serveur web
e-mail DNS (Domain Name Server) etc Le reacuteseau interne est connecteacute agrave la DMZ par un
autre firewall
Chaque dispositif de seacutecuriteacute est utiliseacute dans le but de se proteacuteger drsquoune menace particuliegravere
De plus ils possegravedent tous un point faible Ainsi crsquoest seulement en combinant les diffeacuterentes
techniques qursquoon arrive reacuteellement agrave une protection optimale Les firewalls sont la barriegravere de
trafic ils laissent passer ou non les trafics entrant selon leur politique Les IDS sont le
moniteur de trafic ils observent lrsquoactiviteacute du reacuteseau et consignent ce qui est suspect Ils
peuvent deacutetecter les menaces qui ont pu eacutechapper au firewall et les notifient Les IPS
fournissent les mesures preacuteventives et les commandes utiles pour combattre de nouvelles
menaces
IV-1 LrsquoIPS par Snort Inline
Ce travail impleacutemente un NIDS en ligne (Inline NIDS) meacutethode choisie pour la reacutealisation
de lrsquoIPS
Qursquoest-ce qui a motiveacute ce choix
Lrsquoobjectif eacutetait de reacutealiser un IPS pour le protocole SIP en respectant dans la mesure du
possible les impeacuteratifs
bull Ne pas toucher la topologie du reacuteseau existant
bull Inteacutegrer une solution totalement transparente crsquoest-agrave-dire ne rien toucher au systegraveme de
protection deacutejagrave deacuteployeacute
bull Avoir une solution la moins coucircteuse possible
Le dernier point conduit tout de suite agrave une solution open source Il existe dans le domaine des
logiciels libres un IPS Snort Inline qui est une version modifieacutee du ceacutelegravebre IDS Snort Celui-
ci constituera la base de lrsquoIPS SIP
Des fonctionnaliteacutes permettant drsquoinspecter le trafic SIP lui seront ajouteacutees
Chapitre 2
IV-1-1 Bregraveve preacutesentation de Snort Inline
Snort Inline est un systegraveme de preacutevention drsquointrusion Il exploite toutes les fonctionnaliteacutes
drsquoorigine de Snort telles que le deacutecodage le reacuteassemblage des paquetshellip Il utilise eacutegalement
les mecircmes composants que Snort tels que les preacuteprocesseurs de flux Par contre Snort Inline
utilise iptables et ip_queue5 pour lrsquoacquisition et le transfert des paquets
Iptables est configureacute comme un firewall normal Il prend tous les paquets entrants et les
transmet agrave Snort Inline Ce dernier a un moteur de deacutetection dintrusion inteacutegreacute qui analyse les
paquets reccedilus et transmet uniquement les paquets jugeacutes non hostiles au reacuteseau interne
Lrsquohocircte Snort Inline doit reacutesider entre la source et la destination des paquets pour que tout le
trafic passe par lrsquoordinateur qui heacuteberge Snort Inline
IV-1-2 Les composants
En geacuteneacuteral Snort Inline est diviseacute en plusieurs composants
bull Deacutecodeur de paquet (Packet decoder)
bull Preacuteprocesseurs (Preprocessors)
bull Moteur de deacutetection (Detection Engine)
bull Systegraveme dalerte et denregistrement de log (Logging and Alerting System)
Et eacuteventuellement des Modules de sortie (Output Module)
Ces composants travaillent ensemble pour deacutetecter des attaques particuliegraveres La figure
suivante montre comment ces composants sont organiseacutes
-----------------------------------------
5 Ip_queue est un module du noyau responsable de passer les paquets depuis le target QUEUE dans lespace noyau pour une application qui se trouve dans lespace utilisateur
Chapitre 2
Figure IV-2- Les diffeacuterents composants de Snort Inline
Chaque paquet de donneacutees passe par le deacutecodeur de paquet Sur son chemin vers les modules
de sortie il est soit rejeteacute soit logueacute
IV-1-2-1 Le deacutecodeur de paquet
Le deacutecodeur de paquet reacutecupegravere les paquets des diffeacuterentes interfaces reacuteseaux et les preacutepare
pour passer dans le preacuteprocesseur ou pour ecirctre envoyeacutes au moteur de deacutetection Les interfaces
peuvent ecirctre Ethernet SLIP (Serial Line Internet Protocol) PPP (Point to Point Protocol)hellip
Le deacutecodeur de paquet se compose drsquoune seacuterie de deacutecodeurs speacutecialiseacutes chacun dans un
eacuteleacutement de protocole speacutecifique
Figure IV-3 - Deacutecodeur de paquet
Chapitre 2
Le deacutecodeur de paquet transforme les eacuteleacutements du protocole (par exemple les entecirctes LLC
Ethernet IP TCP UDP hellip) speacutecifiques en une structure de donneacutees interne
IV-1-2-2 Les preacuteprocesseurs
Les preacuteprocesseurs sont des composants ou plug-ins Ils peuvent ecirctre utiliseacutes avec Snort Inline
pour laquoarrangerraquo ou laquomodifierraquo les paquets avant que le moteur de deacutetection ne fasse ses
opeacuterations pour deacutecouvrir si le paquet est utiliseacute par un intrus Certains preacuteprocesseurs
effectuent eacutegalement une deacutetection pour trouver des anomalies dans les entecirctes de paquet et
produisent des alertes ou des logs
IV-1-2-3 Le moteur de deacutetection
Le moteur de deacutetection est la partie la plus importante Son rocircle est de deacutetecter srsquoil existe une
activiteacute dintrusion possible dans un paquet Le moteur de deacutetection utilise des regravegles dans ce
but Les regravegles sont lues dans les structures ou les chaicircnes de donneacutees internes ougrave elles sont
associeacutees avec chaque paquet Si un paquet correspond agrave une des regravegles une action approprieacutee
est effectueacutee Le paquet est par exemple rejeteacute et un log est noteacute
IV-1-3- Les modes
LrsquoIPS peut ecirctre deacuteployeacute en deux modes
IV-1-3-1 Mode NAT
En mode NAT le reacuteseau est diviseacute en deux parties la partie publique et la partie priveacutee Le
cocircteacute public du reacuteseau est seacutepareacute du cocircteacute priveacute par lIPS LIPS exeacutecute la configuration NAT il
eacutetablit une correspondance de toutes les adresses publiques agrave son interface publique Ensuite il
les traduit agrave leurs adresses priveacutees correspondantes
IV-1-3- 2 Mode Bridge
En mode bridge lIPS agit en tant que pont entre le reacuteseau public et le reacuteseau priveacute Le mode
pont est furtif En effet le dispositif devient non deacutetectable puisqursquoil ne possegravede pas drsquoadresse
IP Il est donc plus sucircr ce qui en fait le mode recommandeacute
Chapitre 2
IV-1-4- Les regravegles
Snort Inline est eacutequipeacute de reacuteponses de preacutevention des intrusions qui prennent la forme
drsquoactions de regravegles classiques
IV-1-4- 1 Drop
La regravegle drop indiquera agrave iptables de rejeter le paquet et drsquoenvoyer un TCP reset si le
protocole est TCP ou un ICMP port unreachable si le protocole est UDP et de loguer le
paquet par lintermeacutediaire des moyens habituels de Snort
Figure IV-4 - Snort Inline drop mode
Quand des paquets sont lus par Snort Inline dans le target QUEUE drsquoiptables les meta-
donneacutees etou la charge utile (payload) du paquet sont compareacutees agrave lensemble des regravegles de
Snort Inline Si le paquet a eacuteteacute identifieacute comme eacutetant un paquet malveillant contenant un
certain type de signature dexploit Snort Inline deacutetermine ce quil va devenir Il se base sur les
regravegles preacutedeacutefinies pour prendre sa deacutecision Si on a deacutefini des regravegles drop alors le paquet sera
rejeteacute Cette deacutecision est passeacutee agrave iptables qui va la mettre en oeuvre
IV-1-4- 2 Sdrop
La regravegle sdrop indiquera agrave iptables de rejeter le paquet et drsquoenvoyer un reset mais aucun log
nrsquoest eacutecrit
Chapitre 2
Il existe deux options sur la faccedilon drsquoenvoyer un reset
bull On peut toujours utiliser un raw socket6 crsquoest le comportement par deacutefaut de Snort Inline
Dans ce cas on doit avoir une interface qui possegravede une adresse IP assigneacutee Sil ny a pas
une interface avec une adresse IP valide avec accegraves agrave la source du paquet le paquet sera
logueacute mais le reset ne sera jamais envoyeacute sur le reacuteseau
bull On peut eacutegalement effectuer des resets par lintermeacutediaire dun dispositif physique en
utilisant iptables On utilise le nom INDEV fourni par ip_queue comme interface sur
laquelle on envoie le reset Il nrsquoest plus neacutecessaire qursquoune adresse IP soit preacutesente sur le
pont il demeure donc furtif
------------------------------------------6 Un raw socket est un socket avec un pouvoir laquosupeacuterieurraquo il permet deacutecrire ou de lire des paquets sur une interface reacuteseau avec les paramegravetres souhaiteacutes cest-agrave-dire quil aura la possibiliteacute de modifier lentecircte dun paquet pour ensuite lenvoyer avec les options de ce mecircme entecircte modifieacutees (adresse IP source flag TCP etc)
Chapitre 2
IV-1-1 Bregraveve preacutesentation de Snort Inline
Snort Inline est un systegraveme de preacutevention drsquointrusion Il exploite toutes les fonctionnaliteacutes
drsquoorigine de Snort telles que le deacutecodage le reacuteassemblage des paquetshellip Il utilise eacutegalement
les mecircmes composants que Snort tels que les preacuteprocesseurs de flux Par contre Snort Inline
utilise iptables et ip_queue5 pour lrsquoacquisition et le transfert des paquets
Iptables est configureacute comme un firewall normal Il prend tous les paquets entrants et les
transmet agrave Snort Inline Ce dernier a un moteur de deacutetection dintrusion inteacutegreacute qui analyse les
paquets reccedilus et transmet uniquement les paquets jugeacutes non hostiles au reacuteseau interne
Lrsquohocircte Snort Inline doit reacutesider entre la source et la destination des paquets pour que tout le
trafic passe par lrsquoordinateur qui heacuteberge Snort Inline
IV-1-2 Les composants
En geacuteneacuteral Snort Inline est diviseacute en plusieurs composants
bull Deacutecodeur de paquet (Packet decoder)
bull Preacuteprocesseurs (Preprocessors)
bull Moteur de deacutetection (Detection Engine)
bull Systegraveme dalerte et denregistrement de log (Logging and Alerting System)
Et eacuteventuellement des Modules de sortie (Output Module)
Ces composants travaillent ensemble pour deacutetecter des attaques particuliegraveres La figure
suivante montre comment ces composants sont organiseacutes
-----------------------------------------
5 Ip_queue est un module du noyau responsable de passer les paquets depuis le target QUEUE dans lespace noyau pour une application qui se trouve dans lespace utilisateur
Chapitre 2
Figure IV-2- Les diffeacuterents composants de Snort Inline
Chaque paquet de donneacutees passe par le deacutecodeur de paquet Sur son chemin vers les modules
de sortie il est soit rejeteacute soit logueacute
IV-1-2-1 Le deacutecodeur de paquet
Le deacutecodeur de paquet reacutecupegravere les paquets des diffeacuterentes interfaces reacuteseaux et les preacutepare
pour passer dans le preacuteprocesseur ou pour ecirctre envoyeacutes au moteur de deacutetection Les interfaces
peuvent ecirctre Ethernet SLIP (Serial Line Internet Protocol) PPP (Point to Point Protocol)hellip
Le deacutecodeur de paquet se compose drsquoune seacuterie de deacutecodeurs speacutecialiseacutes chacun dans un
eacuteleacutement de protocole speacutecifique
Figure IV-3 - Deacutecodeur de paquet
Chapitre 2
Le deacutecodeur de paquet transforme les eacuteleacutements du protocole (par exemple les entecirctes LLC
Ethernet IP TCP UDP hellip) speacutecifiques en une structure de donneacutees interne
IV-1-2-2 Les preacuteprocesseurs
Les preacuteprocesseurs sont des composants ou plug-ins Ils peuvent ecirctre utiliseacutes avec Snort Inline
pour laquoarrangerraquo ou laquomodifierraquo les paquets avant que le moteur de deacutetection ne fasse ses
opeacuterations pour deacutecouvrir si le paquet est utiliseacute par un intrus Certains preacuteprocesseurs
effectuent eacutegalement une deacutetection pour trouver des anomalies dans les entecirctes de paquet et
produisent des alertes ou des logs
IV-1-2-3 Le moteur de deacutetection
Le moteur de deacutetection est la partie la plus importante Son rocircle est de deacutetecter srsquoil existe une
activiteacute dintrusion possible dans un paquet Le moteur de deacutetection utilise des regravegles dans ce
but Les regravegles sont lues dans les structures ou les chaicircnes de donneacutees internes ougrave elles sont
associeacutees avec chaque paquet Si un paquet correspond agrave une des regravegles une action approprieacutee
est effectueacutee Le paquet est par exemple rejeteacute et un log est noteacute
IV-1-3- Les modes
LrsquoIPS peut ecirctre deacuteployeacute en deux modes
IV-1-3-1 Mode NAT
En mode NAT le reacuteseau est diviseacute en deux parties la partie publique et la partie priveacutee Le
cocircteacute public du reacuteseau est seacutepareacute du cocircteacute priveacute par lIPS LIPS exeacutecute la configuration NAT il
eacutetablit une correspondance de toutes les adresses publiques agrave son interface publique Ensuite il
les traduit agrave leurs adresses priveacutees correspondantes
IV-1-3- 2 Mode Bridge
En mode bridge lIPS agit en tant que pont entre le reacuteseau public et le reacuteseau priveacute Le mode
pont est furtif En effet le dispositif devient non deacutetectable puisqursquoil ne possegravede pas drsquoadresse
IP Il est donc plus sucircr ce qui en fait le mode recommandeacute
Chapitre 2
IV-1-4- Les regravegles
Snort Inline est eacutequipeacute de reacuteponses de preacutevention des intrusions qui prennent la forme
drsquoactions de regravegles classiques
IV-1-4- 1 Drop
La regravegle drop indiquera agrave iptables de rejeter le paquet et drsquoenvoyer un TCP reset si le
protocole est TCP ou un ICMP port unreachable si le protocole est UDP et de loguer le
paquet par lintermeacutediaire des moyens habituels de Snort
Figure IV-4 - Snort Inline drop mode
Quand des paquets sont lus par Snort Inline dans le target QUEUE drsquoiptables les meta-
donneacutees etou la charge utile (payload) du paquet sont compareacutees agrave lensemble des regravegles de
Snort Inline Si le paquet a eacuteteacute identifieacute comme eacutetant un paquet malveillant contenant un
certain type de signature dexploit Snort Inline deacutetermine ce quil va devenir Il se base sur les
regravegles preacutedeacutefinies pour prendre sa deacutecision Si on a deacutefini des regravegles drop alors le paquet sera
rejeteacute Cette deacutecision est passeacutee agrave iptables qui va la mettre en oeuvre
IV-1-4- 2 Sdrop
La regravegle sdrop indiquera agrave iptables de rejeter le paquet et drsquoenvoyer un reset mais aucun log
nrsquoest eacutecrit
Chapitre 2
Il existe deux options sur la faccedilon drsquoenvoyer un reset
bull On peut toujours utiliser un raw socket6 crsquoest le comportement par deacutefaut de Snort Inline
Dans ce cas on doit avoir une interface qui possegravede une adresse IP assigneacutee Sil ny a pas
une interface avec une adresse IP valide avec accegraves agrave la source du paquet le paquet sera
logueacute mais le reset ne sera jamais envoyeacute sur le reacuteseau
bull On peut eacutegalement effectuer des resets par lintermeacutediaire dun dispositif physique en
utilisant iptables On utilise le nom INDEV fourni par ip_queue comme interface sur
laquelle on envoie le reset Il nrsquoest plus neacutecessaire qursquoune adresse IP soit preacutesente sur le
pont il demeure donc furtif
------------------------------------------6 Un raw socket est un socket avec un pouvoir laquosupeacuterieurraquo il permet deacutecrire ou de lire des paquets sur une interface reacuteseau avec les paramegravetres souhaiteacutes cest-agrave-dire quil aura la possibiliteacute de modifier lentecircte dun paquet pour ensuite lenvoyer avec les options de ce mecircme entecircte modifieacutees (adresse IP source flag TCP etc)
Chapitre 2
Figure IV-2- Les diffeacuterents composants de Snort Inline
Chaque paquet de donneacutees passe par le deacutecodeur de paquet Sur son chemin vers les modules
de sortie il est soit rejeteacute soit logueacute
IV-1-2-1 Le deacutecodeur de paquet
Le deacutecodeur de paquet reacutecupegravere les paquets des diffeacuterentes interfaces reacuteseaux et les preacutepare
pour passer dans le preacuteprocesseur ou pour ecirctre envoyeacutes au moteur de deacutetection Les interfaces
peuvent ecirctre Ethernet SLIP (Serial Line Internet Protocol) PPP (Point to Point Protocol)hellip
Le deacutecodeur de paquet se compose drsquoune seacuterie de deacutecodeurs speacutecialiseacutes chacun dans un
eacuteleacutement de protocole speacutecifique
Figure IV-3 - Deacutecodeur de paquet
Chapitre 2
Le deacutecodeur de paquet transforme les eacuteleacutements du protocole (par exemple les entecirctes LLC
Ethernet IP TCP UDP hellip) speacutecifiques en une structure de donneacutees interne
IV-1-2-2 Les preacuteprocesseurs
Les preacuteprocesseurs sont des composants ou plug-ins Ils peuvent ecirctre utiliseacutes avec Snort Inline
pour laquoarrangerraquo ou laquomodifierraquo les paquets avant que le moteur de deacutetection ne fasse ses
opeacuterations pour deacutecouvrir si le paquet est utiliseacute par un intrus Certains preacuteprocesseurs
effectuent eacutegalement une deacutetection pour trouver des anomalies dans les entecirctes de paquet et
produisent des alertes ou des logs
IV-1-2-3 Le moteur de deacutetection
Le moteur de deacutetection est la partie la plus importante Son rocircle est de deacutetecter srsquoil existe une
activiteacute dintrusion possible dans un paquet Le moteur de deacutetection utilise des regravegles dans ce
but Les regravegles sont lues dans les structures ou les chaicircnes de donneacutees internes ougrave elles sont
associeacutees avec chaque paquet Si un paquet correspond agrave une des regravegles une action approprieacutee
est effectueacutee Le paquet est par exemple rejeteacute et un log est noteacute
IV-1-3- Les modes
LrsquoIPS peut ecirctre deacuteployeacute en deux modes
IV-1-3-1 Mode NAT
En mode NAT le reacuteseau est diviseacute en deux parties la partie publique et la partie priveacutee Le
cocircteacute public du reacuteseau est seacutepareacute du cocircteacute priveacute par lIPS LIPS exeacutecute la configuration NAT il
eacutetablit une correspondance de toutes les adresses publiques agrave son interface publique Ensuite il
les traduit agrave leurs adresses priveacutees correspondantes
IV-1-3- 2 Mode Bridge
En mode bridge lIPS agit en tant que pont entre le reacuteseau public et le reacuteseau priveacute Le mode
pont est furtif En effet le dispositif devient non deacutetectable puisqursquoil ne possegravede pas drsquoadresse
IP Il est donc plus sucircr ce qui en fait le mode recommandeacute
Chapitre 2
IV-1-4- Les regravegles
Snort Inline est eacutequipeacute de reacuteponses de preacutevention des intrusions qui prennent la forme
drsquoactions de regravegles classiques
IV-1-4- 1 Drop
La regravegle drop indiquera agrave iptables de rejeter le paquet et drsquoenvoyer un TCP reset si le
protocole est TCP ou un ICMP port unreachable si le protocole est UDP et de loguer le
paquet par lintermeacutediaire des moyens habituels de Snort
Figure IV-4 - Snort Inline drop mode
Quand des paquets sont lus par Snort Inline dans le target QUEUE drsquoiptables les meta-
donneacutees etou la charge utile (payload) du paquet sont compareacutees agrave lensemble des regravegles de
Snort Inline Si le paquet a eacuteteacute identifieacute comme eacutetant un paquet malveillant contenant un
certain type de signature dexploit Snort Inline deacutetermine ce quil va devenir Il se base sur les
regravegles preacutedeacutefinies pour prendre sa deacutecision Si on a deacutefini des regravegles drop alors le paquet sera
rejeteacute Cette deacutecision est passeacutee agrave iptables qui va la mettre en oeuvre
IV-1-4- 2 Sdrop
La regravegle sdrop indiquera agrave iptables de rejeter le paquet et drsquoenvoyer un reset mais aucun log
nrsquoest eacutecrit
Chapitre 2
Il existe deux options sur la faccedilon drsquoenvoyer un reset
bull On peut toujours utiliser un raw socket6 crsquoest le comportement par deacutefaut de Snort Inline
Dans ce cas on doit avoir une interface qui possegravede une adresse IP assigneacutee Sil ny a pas
une interface avec une adresse IP valide avec accegraves agrave la source du paquet le paquet sera
logueacute mais le reset ne sera jamais envoyeacute sur le reacuteseau
bull On peut eacutegalement effectuer des resets par lintermeacutediaire dun dispositif physique en
utilisant iptables On utilise le nom INDEV fourni par ip_queue comme interface sur
laquelle on envoie le reset Il nrsquoest plus neacutecessaire qursquoune adresse IP soit preacutesente sur le
pont il demeure donc furtif
------------------------------------------6 Un raw socket est un socket avec un pouvoir laquosupeacuterieurraquo il permet deacutecrire ou de lire des paquets sur une interface reacuteseau avec les paramegravetres souhaiteacutes cest-agrave-dire quil aura la possibiliteacute de modifier lentecircte dun paquet pour ensuite lenvoyer avec les options de ce mecircme entecircte modifieacutees (adresse IP source flag TCP etc)
Chapitre 2
Le deacutecodeur de paquet transforme les eacuteleacutements du protocole (par exemple les entecirctes LLC
Ethernet IP TCP UDP hellip) speacutecifiques en une structure de donneacutees interne
IV-1-2-2 Les preacuteprocesseurs
Les preacuteprocesseurs sont des composants ou plug-ins Ils peuvent ecirctre utiliseacutes avec Snort Inline
pour laquoarrangerraquo ou laquomodifierraquo les paquets avant que le moteur de deacutetection ne fasse ses
opeacuterations pour deacutecouvrir si le paquet est utiliseacute par un intrus Certains preacuteprocesseurs
effectuent eacutegalement une deacutetection pour trouver des anomalies dans les entecirctes de paquet et
produisent des alertes ou des logs
IV-1-2-3 Le moteur de deacutetection
Le moteur de deacutetection est la partie la plus importante Son rocircle est de deacutetecter srsquoil existe une
activiteacute dintrusion possible dans un paquet Le moteur de deacutetection utilise des regravegles dans ce
but Les regravegles sont lues dans les structures ou les chaicircnes de donneacutees internes ougrave elles sont
associeacutees avec chaque paquet Si un paquet correspond agrave une des regravegles une action approprieacutee
est effectueacutee Le paquet est par exemple rejeteacute et un log est noteacute
IV-1-3- Les modes
LrsquoIPS peut ecirctre deacuteployeacute en deux modes
IV-1-3-1 Mode NAT
En mode NAT le reacuteseau est diviseacute en deux parties la partie publique et la partie priveacutee Le
cocircteacute public du reacuteseau est seacutepareacute du cocircteacute priveacute par lIPS LIPS exeacutecute la configuration NAT il
eacutetablit une correspondance de toutes les adresses publiques agrave son interface publique Ensuite il
les traduit agrave leurs adresses priveacutees correspondantes
IV-1-3- 2 Mode Bridge
En mode bridge lIPS agit en tant que pont entre le reacuteseau public et le reacuteseau priveacute Le mode
pont est furtif En effet le dispositif devient non deacutetectable puisqursquoil ne possegravede pas drsquoadresse
IP Il est donc plus sucircr ce qui en fait le mode recommandeacute
Chapitre 2
IV-1-4- Les regravegles
Snort Inline est eacutequipeacute de reacuteponses de preacutevention des intrusions qui prennent la forme
drsquoactions de regravegles classiques
IV-1-4- 1 Drop
La regravegle drop indiquera agrave iptables de rejeter le paquet et drsquoenvoyer un TCP reset si le
protocole est TCP ou un ICMP port unreachable si le protocole est UDP et de loguer le
paquet par lintermeacutediaire des moyens habituels de Snort
Figure IV-4 - Snort Inline drop mode
Quand des paquets sont lus par Snort Inline dans le target QUEUE drsquoiptables les meta-
donneacutees etou la charge utile (payload) du paquet sont compareacutees agrave lensemble des regravegles de
Snort Inline Si le paquet a eacuteteacute identifieacute comme eacutetant un paquet malveillant contenant un
certain type de signature dexploit Snort Inline deacutetermine ce quil va devenir Il se base sur les
regravegles preacutedeacutefinies pour prendre sa deacutecision Si on a deacutefini des regravegles drop alors le paquet sera
rejeteacute Cette deacutecision est passeacutee agrave iptables qui va la mettre en oeuvre
IV-1-4- 2 Sdrop
La regravegle sdrop indiquera agrave iptables de rejeter le paquet et drsquoenvoyer un reset mais aucun log
nrsquoest eacutecrit
Chapitre 2
Il existe deux options sur la faccedilon drsquoenvoyer un reset
bull On peut toujours utiliser un raw socket6 crsquoest le comportement par deacutefaut de Snort Inline
Dans ce cas on doit avoir une interface qui possegravede une adresse IP assigneacutee Sil ny a pas
une interface avec une adresse IP valide avec accegraves agrave la source du paquet le paquet sera
logueacute mais le reset ne sera jamais envoyeacute sur le reacuteseau
bull On peut eacutegalement effectuer des resets par lintermeacutediaire dun dispositif physique en
utilisant iptables On utilise le nom INDEV fourni par ip_queue comme interface sur
laquelle on envoie le reset Il nrsquoest plus neacutecessaire qursquoune adresse IP soit preacutesente sur le
pont il demeure donc furtif
------------------------------------------6 Un raw socket est un socket avec un pouvoir laquosupeacuterieurraquo il permet deacutecrire ou de lire des paquets sur une interface reacuteseau avec les paramegravetres souhaiteacutes cest-agrave-dire quil aura la possibiliteacute de modifier lentecircte dun paquet pour ensuite lenvoyer avec les options de ce mecircme entecircte modifieacutees (adresse IP source flag TCP etc)
Chapitre 2
IV-1-4- Les regravegles
Snort Inline est eacutequipeacute de reacuteponses de preacutevention des intrusions qui prennent la forme
drsquoactions de regravegles classiques
IV-1-4- 1 Drop
La regravegle drop indiquera agrave iptables de rejeter le paquet et drsquoenvoyer un TCP reset si le
protocole est TCP ou un ICMP port unreachable si le protocole est UDP et de loguer le
paquet par lintermeacutediaire des moyens habituels de Snort
Figure IV-4 - Snort Inline drop mode
Quand des paquets sont lus par Snort Inline dans le target QUEUE drsquoiptables les meta-
donneacutees etou la charge utile (payload) du paquet sont compareacutees agrave lensemble des regravegles de
Snort Inline Si le paquet a eacuteteacute identifieacute comme eacutetant un paquet malveillant contenant un
certain type de signature dexploit Snort Inline deacutetermine ce quil va devenir Il se base sur les
regravegles preacutedeacutefinies pour prendre sa deacutecision Si on a deacutefini des regravegles drop alors le paquet sera
rejeteacute Cette deacutecision est passeacutee agrave iptables qui va la mettre en oeuvre
IV-1-4- 2 Sdrop
La regravegle sdrop indiquera agrave iptables de rejeter le paquet et drsquoenvoyer un reset mais aucun log
nrsquoest eacutecrit
Chapitre 2
Il existe deux options sur la faccedilon drsquoenvoyer un reset
bull On peut toujours utiliser un raw socket6 crsquoest le comportement par deacutefaut de Snort Inline
Dans ce cas on doit avoir une interface qui possegravede une adresse IP assigneacutee Sil ny a pas
une interface avec une adresse IP valide avec accegraves agrave la source du paquet le paquet sera
logueacute mais le reset ne sera jamais envoyeacute sur le reacuteseau
bull On peut eacutegalement effectuer des resets par lintermeacutediaire dun dispositif physique en
utilisant iptables On utilise le nom INDEV fourni par ip_queue comme interface sur
laquelle on envoie le reset Il nrsquoest plus neacutecessaire qursquoune adresse IP soit preacutesente sur le
pont il demeure donc furtif
------------------------------------------6 Un raw socket est un socket avec un pouvoir laquosupeacuterieurraquo il permet deacutecrire ou de lire des paquets sur une interface reacuteseau avec les paramegravetres souhaiteacutes cest-agrave-dire quil aura la possibiliteacute de modifier lentecircte dun paquet pour ensuite lenvoyer avec les options de ce mecircme entecircte modifieacutees (adresse IP source flag TCP etc)
Chapitre 2
Il existe deux options sur la faccedilon drsquoenvoyer un reset
bull On peut toujours utiliser un raw socket6 crsquoest le comportement par deacutefaut de Snort Inline
Dans ce cas on doit avoir une interface qui possegravede une adresse IP assigneacutee Sil ny a pas
une interface avec une adresse IP valide avec accegraves agrave la source du paquet le paquet sera
logueacute mais le reset ne sera jamais envoyeacute sur le reacuteseau
bull On peut eacutegalement effectuer des resets par lintermeacutediaire dun dispositif physique en
utilisant iptables On utilise le nom INDEV fourni par ip_queue comme interface sur
laquelle on envoie le reset Il nrsquoest plus neacutecessaire qursquoune adresse IP soit preacutesente sur le
pont il demeure donc furtif
------------------------------------------6 Un raw socket est un socket avec un pouvoir laquosupeacuterieurraquo il permet deacutecrire ou de lire des paquets sur une interface reacuteseau avec les paramegravetres souhaiteacutes cest-agrave-dire quil aura la possibiliteacute de modifier lentecircte dun paquet pour ensuite lenvoyer avec les options de ce mecircme entecircte modifieacutees (adresse IP source flag TCP etc)
