Nicolas Baudoin Marion Karle

Ingnieurs2000 2003-2004

NT Rseaux IDS et IPS

Enseignant : Etienne Duris

2003/2004

IR3

Table des matires

Introduction ................................................................................ 3 1. Notions de scurit ................................................................. 4
1.1 Mise en place dune politique de scurit ........................................... 4 1.1.1 Diffrents aspects de la scurit ............................................................ 4 1.1.2 Objectifs.............................................................................................. 5 1.1.3 Outils .................................................................................................. 5 1.2 Les attaques ....................................................................................... 5 1.2.1 Les diffrentes tapes dune attaque ..................................................... 5 1.2.2 Les diffrents types dattaques .............................................................. 6

2. Les IDS .................................................................................... 8

2.1 Les diffrentes sortes dIDS ............................................................... 8 2.1.1 La dtection d'intrusion base sur l'hte................................................. 8 2.1.2 Dtection d'Intrusion base sur une application ...................................... 9 2.1.3 La Dtection d'Intrusion Rseau (NIDS) ............................................... 10 2.1.4 Systme de Dtection d'Intrusion de Nud Rseau (NNIDS) ................. 12 2.2 Mode de fonctionnement dun IDS ................................................... 13 2.2.1 Modes de dtection ............................................................................ 13 2.2.2 Rponse active et passive ................................................................... 16 2.3 Points forts/Points faibles ................................................................ 17 2.3.1 Points forts ........................................................................................ 17 2.3.2 Points faibles ..................................................................................... 19

3. Contourner la rponse active dun IDS ................................. 20 Conclusion ................................................................................. 29 Sources ..................................................................................... 30

Introduction
Lobjectif de ce dossier est de prsenter le concept dIDS (Intrusion Detection System) et dIPS (Intrusion Prevention System). Il sagit de techniques permettant de dtecter les intrusions et ventuellement de les prvenir. Ces techniques sont utilises en association avec tous les lments dune politique de scurit. En effet de plus en plus dentreprises subissent des attaques qui peuvent entraner des pertes consquentes. Le besoin des entreprises en scurit informatique est de plus en plus important, et un lment essentiel dune bonne politique de scurit est lutilisation dun IDS. Cest pourquoi, avant de prsenter les concepts dIDS et dIPS, nous allons tout dabord rappeler quelques notions de scurit concernant la mise en place dune politique de scurit et les attaques quun rseau dentreprise peut subir. Nous prsenterons ensuite le concept dIDS, les diffrents types dIDS, leur mode de fonctionnement Nous verrons alors que ces outils ont certaines limitations en prsentant quelques mthodes de contournement dun IDS. Ceci nous mne aux IPS, censs pallier ces faiblesses, qui seront prsents dans une dernire partie.

1. Notions de scurit
Avant de prsenter le concept dIDS, nous allons tout dabord rappeler quelques notions sur la mise en uvre dune politique de scurit et sur les attaques existantes.

1.1 Mise en place dune politique de scurit

La mise en uvre dune politique de scurit globale est assez difficile, essentiellement par la diversit des aspects considrer. Une politique de scurit peut se dfinir par un certain nombre de caractristiques : les niveaux o elle intervient, les objectifs de cette politique et enfin les outils utiliss pour assurer cette scurit. Chaque aspect diffrent doit tre pris en compte, de faon atteindre les objectifs de scurit dsirs, en utilisant de faon coordonne les diffrents outils disposition. Nous allons tout dabord parler des diffrents aspects dune politique de scurit, avant de dfinir les objectifs viss, puis de voir les outils disponibles pour appliquer cette politique.

1.1.1 Diffrents aspects de la scurit

Une politique de scurit slabore plusieurs niveaux. On va tout dabord scuriser laccs aux donnes de faon logicielle (authentification, contrle dintgrit). On va galement scuriser laccs physique aux donnes : serveurs placs dans des salles blindes (qui empchent les ondes lectro-magntiques dtre captes) avec badge daccs Un aspect trs important pour assurer la scurit des donnes dune entreprise est de sensibiliser les utilisateurs aux notions de scurit, de faon limiter les comportements risque : si tout le monde peut accder aux salles de serveurs, peut imposte quelles soient scurises ! De mme, si les utilisateurs laissent leur mot de passe crit ct de leur PC, son utilit est limite Enfin, il est essentiel pour un responsable de scurit de sinformer continuellement, des nouvelles attaques existantes, des outils disponiblesde faon pouvoir maintenir jour son systme de scurit et combler les brches de scurit qui pourraient exister.

1.1.2 Objectifs
Les objectifs dune politique de scurit sont de garantir la scurit des informations et du rseau de lentreprise. Ces impratifs peuvent tre dfinis plusieurs niveaux : -Disponibilit : les donnes doivent rester accessibles aux utilisateurs (une attaque de type DoS, par exemple, vise empcher les utilisateurs normaux dun service dy accder) -Confidentialit : les donnes ne doivent tre visibles que des personnes habilites pour. -Intgrit : il faut pouvoir garantir que les donnes protges nont pas t modifies par une personne non autorise. -Non rpudiation : on doit pouvoir certifier, quand un fichier a subi des modifications, la personne qui la modifi.

1.1.3 Outils
Pour assurer une bonne protection des donnes dune entreprise, diffrents outils sont disponibles. Ils ont en gnral utiliss ensemble, de faon scuriser les diffrentes failles existantes dns un systme. On va tout dabord utiliser un firewall, qui permet de filtrer le trafic rseau entrant sur le rseau de lentreprise. Les antivirus seront plutt utilis sur les diffrentes machines branches sur le rseau afin de vrifier si des virus ont pu se propager. On dispose galement dagents dauthentification afin de contrler laccs aux donnes et aux ressources. Enfin , ces dernires annes, de plus en plus dentreprises ont mis en place des systmes de dtection dintrusion afin de limiter les attaques sur leurs rseaux. De plus pour transporter les donnes entre diffrentes agences dune mme entreprise, les VPN (Virtual Private Network) sont de plus en plus utiliss, car ils permettent un cryptage des donnes qui transitent sur un rseau public. Tous ces outils sont complmentaires et surveillent un aspect prcis du rseau qui peut tre sensible aux attaques. Nous allons maintenant prsenter rapidement les types dattaques existants.

1.2 Les attaques

1.2.1 Les diffrentes tapes dune attaque
La plupart des attaques, de la plus simple la plus complexe fonctionnent suivant le mme schma :

Identification de la cible : cette tape est indispensable toute attaques organise, elle permet de rcolter un maximum de renseignements sur la cible en utilisant des informations publiques et sans engager dactions hostiles. On peut citer par exemple lutilisation des bases Whois, linterrogation des serveurs DNS,. Le scanning : lobjectif est de complter les informations runies sur une cible vises. Il est ainsi possible dobtenir les adresses IP utilises, les services accessibles de mme quun grand nombre dinformations de topologie dtaille (OS, versions des services, subnet, rgles de firewall.). Il faut noter que certaines techniques de scans particulirement agressives sont susceptibles de mettre mal un rseau et entraner la dfaillance de certains systmes. Lexploitation : Cette tape permet partir des informations recueillies dexploiter les failles identifies sur les lments de la cible, que ce soit au niveau protocolaire, des services et applications ou des systmes dexploitation prsents sur le rseau. La progression : Il est temps pour lattaquant de raliser ce pourquoi il a franchit les prcdentes tapes. Le but ultime tant dlever ses droits vers root (ou system) sur un systme afin de pouvoir y faire tout ce quil souhaite (inspection de la machine, rcupration dinformations, installation de backdoors, nettoyage des traces ,).

1.2.2 Les diffrents types dattaques

Il existe un grand nombre dattaques permettant une personne mal intentionne de sapproprier des ressources, de les bloquer ou de les modifier. Certaines requirent plus de comptences que dautres, en voici quelques unes : Le sniffing Grce un logiciel appel "sniffer", il est possible dintercepter toutes les trames que notre carte reoit et qui ne nous sont pas destines. Si quelquun se connecte par telnet par exemple ce moment-l, son mot de passe transitant en clair sur le net, il sera ais de le lire. De mme, il est facile de savoir tout moment quelles pages web regardent les personnes connectes au rseau, les sessions ftp en cours, les mails en envoi ou rception. Une restriction de cette technique est de se situer sur le mme rseau que la machine cible. LIP spoofing Cette attaque est difficile mettre en uvre et ncessite une bonne connaissance du protocole TCP. Elle consiste, le plus souvent, se faire passer pour une autre machine en falsifiant son adresse IP de manire accder un serveur ayant une "relation de confiance" avec la machine "spoofe". Cette attaque nest intressante que dans la mesure o la machine de confiance dont lattaquant pris lidentit peut accder au serveur cible en tant que root.

Le DoS (Denial of Service) Le DoS est une attaque visant gnrer des arrts de service et donc empcher le bon fonctionnement dun systme. Cette attaque ne permet pas en elle-mme davoir accs des donnes. En gnral, le dni de service va exploiter les faiblesses de larchitecture dun rseau ou dun protocole. Il en existe de plusieurs types comme le flooding, le TCP-SYN flooding, le smurf ou le dbordement de tampon (buffer-overflow). Les programmes cachs ou virus Il existe une grande varit de virus. On ne classe cependant pas les virus daprs leurs dgts mais selon leur mode de propagation et de multiplication. On recense donc les vers (capables de se propager dans le rseau), les troyens (crant des failles dans un systme), Les bombes logiques (se lanant suite un vnement du systme (appel dune primitive, date spciale)). Lingnierie sociale (social engineering) Ce nest pas vraiment une attaque informatique en soit, mais plutt une mthode consistant se faire passer pour quelquun que lon nest pas afin de recueillir des informations confidentielles. Le craquage de mots de passe Cette technique consiste essayer plusieurs mots de passe afin de trouver le bon. Elle peut seffectuer laide dun dictionnaire des mots de passe les plus courants (et de leur variantes), ou par la mthode de brute force (toutes les combinaisons sont essayes jusqu trouver la bonne). Cette technique longue et fastidieuse, souvent peu utilise moins de bnficier de lappui dun trs grand nombre de machines.

2. Les IDS
Tout dabord, IDS signifie Intrusion Detection System. Il sagit dun quipement permettant de surveiller lactivit dun rseau ou dun hte donn, afin de dtecter toute tentative dintrusion et ventuellement de ragir cette tentative. Pour prsenter le concept dIDS, nous allons tout dabord prsenter les diffrentes sortes dIDS, chacun intervenant un niveau diffrent. Nous tudierons ensuite leur mode de fonctionnement, cest dire les modes de dtection utiliss et les rponses apportes par les IDS. Enfin, nous dtaillerons les points forts et les points faibles des IDS.

2.1 Les diffrentes sortes dIDS

Les diffrents IDS se caractrisent par leur domaine de surveillance. Celui-ci peut se situer au niveau dun rseau dentreprise, dune machine hte, dune application Nous allons tout dabord tudier la dtection dintrusion base sur lhte, puis base sur une application, avant de nous intresser aux IDS rseaux, NIDS et NNIDS (Network IDS et Node Network IDS).

2.1.1 La dtection d'intrusion base sur l'hte

Les systmes de dtection d'intrusion bass sur l'hte ou HIDS (Host IDS) analysent exclusivement l'information concernant cet hte. Comme ils n'ont pas contrler le trafic du rseau mais "seulement" les activits d'un hte ils se montrent habituellement plus prcis sur les types d'attaques subies. De plus, l'impact sur la machine concerne est sensible immdiatement, par exemple dans le cas dune attaque russie par un utilisateur. Ces IDS utilisent deux types de sources pour fournir une information sur l'activit de la machine : les logs et les traces d'audit du systme d'exploitation. Chacun a ses avantages : les traces d'audit sont plus prcises et dtailles et fournissent une meilleure information alors que les logs qui ne fournissent que l'information essentielle sont plus petits. Ces derniers peuvent tre mieux contrls et analyss en raison de leur taille, mais certaines attaques peuvent passer inaperues, alors quelles sont dtectables par une analyse des traces daudit. Ce type dIDS possdent un certain nombre davantages : il est possible de constater immdiatement l'impact d'une attaque et donc de mieux ragir. Grce la quantit des informations tudies, il est possible dobserver les activits se droulant sur l'hte avec prcision et doptimiser le systme en fonction des activits observes.

De plus, les HIDS sont extrmement complmentaires des NIDS. En effet, ils permettent de dtecter plus facilement les attaques de type "Cheval de Troie", alors que ce type dattaque est difficilement dtectable par un NIDS. Les HIDS permettent galement de dtecter des attaques impossibles dtecter avec un NIDS, car elles font partie de trafic crypt. Nanmoins, ce type dIDS possde galement ses faiblesses, qui proviennent de ses qualits : du fait de la grande quantit de donnes gnres, ce type dIDS est trs sensible aux attaques de type DoS, qui peuvent faire exploser la taille des fichiers de logs. Un autre inconvnient tient justement la taille des fichiers de rapport dalertes examiner, qui est trs contraignante pour le responsable scurit. La taille des fichiers peut en effet atteindre plusieurs Mgaoctets. Du fait de cette quantit de donnes traiter, ils sont assez gourmand en CPU et peuvent parfois altrer les performances de la machine hte. Enfin, ils ont moins de facilit dtecter les attaques de type hte que les IDS rseaux. Les HIDS sont en gnral placs sur des machines sensibles, susceptibles de subir des attaques et possdant des donnes sensibles pour lentreprise. Les serveurs, web et applicatifs, peuvent notamment tre protgs par un HIDS. Pour finir, voici quelques HIDS connus: Tripwire, WATCH, DragonSquire, Tiger, Security Manager

2.1.2 Dtection d'Intrusion base sur une application

Les IDS bass sur les applications sont un sous-groupe des IDS htes. Ils contrlent l'interaction entre un utilisateur et un programme en ajoutant des fichiers de log afin de fournir de plus amples informations sur les activits dune application particulire. Puisque vous oprez entre un utilisateur et un programme, il est facile de filtrer tout comportement notable. Un ABIDS se situe au niveau de la communication entre un utilisateur et lapplication surveille. Lavantage de cet IDS est quil lui est possible de dtecter et dempcher des commandes particulires dont l'utilisateur pourrait se servir avec le programme et de surveiller chaque transaction entre lutilisateur et lapplication. De plus, les donnes sont dcodes dans un contexte connu, leur analyse est donc plus fine et prcise. Par contre, du fait que cet IDS nagit pas au niveau du noyau, la scurit assure est plus faible, notamment en ce qui concerne les attaques de type "Cheval de Troie". De plus, les fichiers de log gnrs par ce type d'IDS sont des cibles faciles pour les attaquants et ne sont pas aussi srs, par exemple, que les traces d'audit du systme.

Ce type dIDS est utile pour surveiller lactivit dune application trs sensible, mais son utilisation seffectue en gnral en association avec un HIDS. Il faudra dans ce cas contrler le taux dutilisation CPU des IDS afin de ne pas compromettre les performances de la machine.

2.1.3 La Dtection d'Intrusion Rseau (NIDS)

Le rle essentiel d'un IDS rseau est l'analyse et l'interprtation des paquets circulant sur ce rseau. Limplantation dun NIDS sur un rseau se fait de la faon suivante : des capteurs sont placs aux endroits stratgiques du rseau et gnrent des alertes sils dtectent une attaque. Ces alertes sont envoyes une console scurise, qui les analyse et les traite ventuellement. Cette console est gnralement situe sur un rseau isol, qui relie uniquement les capteurs et la console. Les capteurs Les capteurs placs sur le rseau sont placs en mode furtif (ou stealth mode), de faon tre invisibles aux autres machines. Pour cela, leur carte rseau est configure en mode "promiscuous", cest dire le mode dans lequel la carte rseau lit l'ensemble du trafic, de plus aucune adresse IP nest configure. Un capteur possde en gnral deux cartes rseaux, une place en mode furtif sur le rseau, lautre permettant de le connecter la console de scurit. Du fait de leur invisibilit sur le rseau, il est beaucoup plus difficile de les attaquer et de savoir quun IDS est utilis sur ce rseau. Placer les capteurs Il est possible de placer les capteurs diffrents endroits, en fonction de ce que lon souhaite observer. Les capteurs peuvent tre placs avant ou aprs le pare-feu, ou encore dans une zone sensible que lon veut protger spcialement. Si les capteurs se trouvent aprs un pare-feu, il leur est plus facile de dire si le parefeu a t mal configur ou de savoir si une attaque est venue par ce pare-feu. Les capteurs placs derrire un pare-feu ont pour mission de dtecter les intrusions qui nont pas t arrtes par ce dernier. Il sagit dune utilisation courante dun NIDS. Il est galement possible de placer un capteur lextrieur du pare-feu (avant le firewall). Lintrt de cette position est que le capteur peut ainsi recevoir et analyser l'ensemble du trafic d'Internet. Si vous placez le capteur ici, il n'est pas certain que toutes les attaques soient filtres et dtectes. Pourtant, cet emplacement est le prfr de nombreux experts parce qu'il offre l'avantage d'crire dans les logs et d'analyser les attaques (vers le pare-feu...), ainsi l'administrateur voit ce qu'il doit modifier dans la configuration du pare-feu. Les capteurs placs l'extrieur du pare-feu servent dtecter toutes les attaques en direction du rseau, leur tche ici est donc plus de contrler le fonctionnement et

10

la configuration du firewall que dassurer une protection contre toutes les intrusions dtectes (certaines tant traites par le firewall). Il est galement possible de placer un capteur et un autre aprs le firewall. En fait, cette variante runit les deux cas mentionns ci-dessus. Mais elle est trs dangereuse si on configure mal les capteurs et/ou le pare-feu, en effet on ne peut simplement ajouter les avantages des deux cas prcdents cette variante. Les capteurs IDS sont parfois situs lentre de zones du rseau particulirement sensibles (parcs de serveurs, donnes confidentielles), de faon surveiller tout trafic en direction de cette zone. Les avantages des NIDS sont les suivants : les capteurs peuvent tre bien scuriss puisqu'ils se contentent d'observer le trafic et permettent donc une surveillance discrte du rseau, les attaques de type scans sont facilement dtectes, et il est possible de filtrer le trafic. Les NIDS sont trs utiliss et remplissent un rle indispensable, mais ils prsentent nanmoins de nombreuses faiblesses. En effet, la probabilit de faux ngatifs (attaques non dtectes comme telles) est leve et il est difficile de contrler le rseau entier. De plus, ils doivent principalement fonctionner de manire crypte d'o une complication de l'analyse des paquets. Pour finir, l'oppos des IDS bass sur l'hte, ils ne voient pas les impacts d'une attaque Voici quelques exemples de NIDS : NetRanger, Dragon, NFR, Snort, ISSRealSecure. Mme si nous distinguons HIDS et NIDS, la diffrence devient de plus en plus rduite puisque les HIDS possdent maintenant les fonctionnalits de base des NIDS. Des IDS bien connus comme ISS RealSecure se nomment aujourd'hui "IDS hte et rseau". Dans un futur proche la diffrence entre les deux systmes deviendra de plus en plus faible (ces sytmes vont voluer ensemble). Voici un exemple de mise en place dun IDS RealSecure avec des IDS htes et rseaux connects une console de management centrale (sur le schma, les HIDS sont appels RealSecure Server Sensor et les NIDS RealSecure Network Sensor).

11

Exemple darchitecture HIDS/NIDS

2.1.4 Systme de Dtection d'Intrusion de Nud Rseau (NNIDS)

Ce nouveau type dIDS (NNIDS) fonctionne comme les NIDS classiques, c'est--dire vous analysez les paquets du trafic rseau. Mais ceci ne concerne que les paquets destins un noeud du rseau (d'o le nom). Une autre diffrence entre NNIDS et NIDS vient de ce que le NIDS fonctionne en mode "promiscuous", ce qui n'est pas le cas du NNIDS. Celui-ci ntudie que les paquets destination dune adresse ou dune plage dadresse. Puisque tous les paquets ne sont pas analyss, les performances de l'ensemble sont amliores. Ce type dIDS nest pas encore trs rpandu, mais il est de plus en plus utilis pour tudier le comportement de nuds sensibles dun rseau.

De nouveaux types dIDS sont conus actuellement, comme les IDS bass sur la pile, qui tudie la pile dun systme. Le secteur des IDS est en plein dveloppement, le besoin des entreprises en scurit rseaux tant de plus en plus pressant, du fait de la multiplication des attaques.

12

Actuellement, les IDS les plus employs sont les NIDS et HIDS, de plus en plus souvent en association. Les ABIDS restent limits une utilisation pour des applications extrmement sensibles. Les recherches en cours visent galement amliorer les performances des IDS, notamment dans ce qui concerne les faux positifs et faux ngatifs et la complexit dadministration (actuellement il faut souvent une personne ddie la gestion de lIDS). Nous allons prsent nous pencher sur le mode de fonctionnement dun IDS.

2.2 Mode de fonctionnement dun IDS

Il faut distinguer deux aspects dans le fonctionnement dun IDS : le mode de dtection utilis et la rponse apporte par lIDS lors de la dtection dune intrusion. Il existe deux modes de dtection, la dtection danomalies et la reconnaissance de signatures. Deux mmes, deux types de rponses existent, la rponse passive et la rponse active. Il faut noter que les diffrents IDS prsents sur le march ne disposent pas toujours de lensemble des fonctionnalits prsentes ici. Nous allons tout dabord tudier les modes de dtection dun IDS, avant de prsenter les rponses possibles une attaque.

2.2.1 Modes de dtection

Il faut noter que la reconnaissance de signature est le mode de fonctionnement le plus implment par les IDS du march. Cependant, les nouveaux produits tendent combiner les deux mthodes pour affiner la dtection dintrusion. La dtection danomalies Elle consiste dtecter des anomalies par rapport un profil "de trafic habituel". La mise en oeuvre comprend toujours une phase d'apprentissage au cours de laquelle les IDS vont "dcouvrir" le fonctionnement "normal" des lments surveills. Ils sont ainsi en mesure de signaler les divergences par rapport au fonctionnement de rfrence. Les modles comportementaux peuvent tre labors partir d'analyses statistiques. Ils prsentent l'avantage de dtecter des nouveaux types d'attaques. Cependant, de frquents ajustements sont ncessaires afin de faire voluer le modle de rfrence de sorte qu'il reflte l'activit normale des utilisateurs et rduire le nombre de fausses alertes gnres.

13

Dans le cas dHIDS, ce type de dtection peut tre bas sur des information telles que le taux dutilisation CPU, lactivit sur le disque, les horaires de connexion ou dutilisation de certains fichiers (horaires de bureau) La reconnaissance de signature Cette approche consiste rechercher dans l'activit de l'lment surveill les empreintes (ou signatures) d'attaques connues. Ce type d'IDS est purement ractif ; il ne peut dtecter que les attaques dont il possde la signature. De ce fait, il ncessite des mises jour frquentes. De plus, l'efficacit de ce systme de dtection dpend fortement de la prcision de sa base de signature. C'est pourquoi ces systmes sont contourns par les pirates qui utilisent des techniques dites "d'vasion" qui consistent maquiller les attaques utilises. Ces techniques tendent faire varier les signatures des attaques qui ainsi ne sont plus reconnues par l'IDS. Il est possible dlaborer des signatures plus gnriques, qui permettent de dtecter les variantes dune mme attaque, mais cela demande une bonne connaissance des attaques et du rseau, de faon stopper les variantes dune attaque et ne pas gner le trafic normal du rseau Une signature permet de dfinir les caractristiques dune attaque, au niveau des paquet (jusqu TCP ou UDP) ou au niveau protocole (HTTP, FTP). Au niveau paquet, lIDS va analyser les diffrents paramtres de tous les paquets transitant et les comparer avec les signatures dattaques connues. Au niveau protocole, lIDS va vrifier au niveau du protocole si les commandes envoyes sont correctes ou ne contiennent pas dattaque. Cette fonctionnalit a surtout t dveloppe pour HTTP actuellement. Nous allons maintenant tudier un exemple dlaboration de signature trouv sur Internet. Exemple danalyse dune intrusion Il sagit dun cas rel, prsent par Karen Kent Frederick dans ses articles situs sur securityfocus.com. Il sagit de lattaque dun rseau par un rseau de type ver, qui utilisait une attaque de type syn-scan. Les paquets contenant cette attaque avaient les caractristiques suivantes : -Diverses adresses IP sources -TCP port source 21, port destination 21 -Type of service 0 -Numro didentification IP 39426 14

-Flags SYN et FIN positionns -Numros de squence divers -Numros dacquittement divers -Taille de la fentre TCP 1028 On remarque que ce paquet comporte plusieurs caractristiques bizarres : les flags SYN et FIN sont positionns (SYN indique une demande de connexion et FIN une demande de dconnexion), la taille de la fentre est fixe, alors quelle est normalement ngocie en fonction de la quantit de donnes envoyer et de lespace de rception disponible. De plus, les ports source et destination sont les mmes (on dit quils sont rflexifs), ce qui ne se produit pas normalement lors dune connexion ftp. Le flag dacquittement nest pas positionn, pourtant un numro dacquittement est dfini, le numro didentification du paquet est toujours le mme Ce paquet comporte donc de nombreuses caractristiques qui peuvent tre exploites pour former une signature de dtection de cette attaque. On va donc conserver ses caractristiques les plus saillantes afin de limiter le temps danalyse des paquets (en effet, plus il y a de paramtres analyser, plus cette analyse va durer). On va prendre les trois paramtres les plus adapts pour dtecter cette attaque : on va prendre tout dabord les flags SYN et FIN positionns ensemble, car aucun paquet normal de devrait avoir ce type de signalisation. On va galement choisir comme caractristiques le numro didentification IP fixe (39426) et la taille de fentre fixe, galement trs suspects. Voici les caractristiques de la signature : -Uniquement les flags SYN and FIN positionns -Numro didentification IP 39426 -Taille de la fentre TCP 1028 Nous avons donc labor une signature, qui va permettre didentifier toute tentative dattaque de ce type. Dans le cas tudi, cette signature a fonctionn pendant quelques semaines, jusquau jour o une variante de cette attaque est survenue. Ses caractristiques taient trs semblables la premire attaque, mais suffisamment diffrente pour ne pas tre dtecte par la signature. Il tait donc ncessaire dlaborer une nouvelle signature qui permettrait de dtecter les deux attaques ainsi que les variantes qui pourraient survenir. Les diffrences entre le premire et la deuxime attaque taient les suivantes : -Seulement le flag SYN positionn -La taille de la fentre TCP fixe 40 -Port rflexif 53 On labore alors une signature qui reprend la fois les caractristiques de la premire attaque et de la deuxime. 15

Pour cette nouvelle signature, on va prendre une caractristique commune (flag ACK non positionn et valeur dacquittement non nulle) ainsi quune caractristique de chacune des attaques : flags SYN et FIN positionns pour la premire attaque, taille de fentre infrieure un seuil (incluant 40 octets) pour la deuxime. La nouvelle signature prsente les caractristiques suivantes : -Valeur dacquittement non nulle et flag ACK non positionn -Uniquement les flags SYN and FIN positionns -Taille de la fentre TCP en dessous dune certaine valeur Cette signature sest avre performante pour arrter les deux attaques connues et galement arrter une troisime variante sans avoir besoin de modifier la signature prcdemment tablie. Cet exemple nous a sembl trs formateur sur le rle des signatures et leur laboration. Il faut savoir que les sites des vendeurs dIDS proposent des mises jour des signatures en fonction des nouvelles attaques identifies. Nanmoins, plus il y a de signatures diffrentes tester, plus le temps de traitement sera long, lutilisation de signatures plus labores peut donc procurer un gain de temps apprciable. Cependant, une signature mal labore peut ignorer des attaques relles ou identifier du trafic normal comme tant une attaque. Il convient donc de manier llaboration de signatures avec prcaution, et en ayant de bonnes connaissances sur le rseau surveill et les attaques existantes. Une fois une attaque dtecte, un IDS a le choix entre plusieurs types de rponses, que nous allons maintenant dtailler.

2.2.2 Rponse active et passive

Il existe deux types de rponses, suivant les IDS utiliss. La rponse passive est disponible pour tous les IDS, la rponse active est plus ou moins implmente. Rponse passive La rponse passive dun IDS consiste enregistrer les intrusions dtectes dans un fichier de log qui sera analys par le responsable scurit. Certains IDS permettent de logger lensemble dune connexion identifie comme malveillante. Ceci permet de remdier aux failles de scurit pour empcher les attaques enregistres de se reproduire, mais elle nempche pas directement une attaque de se produire. Rponse active La rponse active au contraire a pour but de stopper une attaque au moment de sa dtection. Pour cela on dispose de deux techniques : la reconfiguration du firewall et linterruption dune connexion TCP.

16

La reconfiguration du firewall permet de bloquer le trafic malveillant au niveau du firewall, en fermant le port utilis ou en interdisant ladresse de lattaquant. Cette fonctionnalit dpend du modle de firewall utilis, tous les modles ne permettant pas la reconfiguration par un IDS. De plus ,cette reconfiguration ne peut se faire quen fonction des capacits du firewall. LIDS peut galement interrompre une session tablie entre un attaquant et sa machine cible, de faon empcher le transfert de donnes ou la modification du systme attaqu. Pour cela lIDS envoie un paquet TCP reset aux deux extrmits de la connexion (cible et attaquant). Un paquet TCP reset a le flag RST de positionn, ce qui indique une dconnexion de la part de lautre extrmit de la connexion. Chaque extrmit en tant destinataire, la cible et lattaquant pensent que lautre extrmit sest dconnecte et lattaque est interrompue. Dans le cas dune rponse active, il faut tre sr que le trafic dtect comme malveillant lest rellement, sous peine de dconnecter des utilisateurs normaux. En gnral, les IDS ne ragissent pas activement toutes les alertes. Ils ne rpondent des alertes que quand celles-ci sont positivement certifies comme tant des attaques. Lanalyse des fichiers dalertes gnrs est donc une obligation pour analyser lensemble des attaques dtectes.

2.3 Points forts/Points faibles

Nous allons pour finir cette prsentation des IDS rsumer les points forts et les points faibles de ces quipements.

2.3.1 Points forts

Une surveillance continue et dtaille Dans cette optique, nous nous intressons aux flux valides, mais aussi au flux nonvalides qui transitent sur le rseau dont nous avons la responsabilit. Comment savoir si les rgles d'un firewall sont valides ? Comment savoir le nombre d'attaques subies au cours de la dernire semaine ? Comment diffrencier une surcharge normale du rseau d'une attaque par DoS ? Les IDS vont permettre de rpondre ces questions. Ce sont des sondes en mode promiscuit. Ils peuvent donc analyser tout le trafic (dans le mme domaine de collision), et relever des attaques, alors mme qu'ils n'en sont pas la cible directe. Bien sr, nous voquons ici le fonctionnement des NIDS. Les HIDS vont au contraire tablir une surveillance unique du systme sur lequel ils sont installs. De plus, toutes les alertes sont stockes soit dans un fichier, soit dans une base de donnes, ce qui permet de concevoir un historique, et dtablir des liens entre diffrentes attaques.

17

Ainsi, le responsable scurit n'a pas besoin de surveiller le rseau en permanence pour tre au courant de ce qui se passe. Une attaque de nuit ne passera plus inaperue. Tous les IDS renvoient de nombreuses informations avec une alerte. Le type suppos d'attaque, la source, la destination, ... Tout cela permet un bonne comprhension d'un incident scurit, et en cas de faux-positif, de le dtecter rapidement Un autre point important dans la scurit : nous avons maintenant des outils de filtrage trs intressants qui nous permettent de faire du contrle par protocole (icmp, tcp, udp), par adresse IP, jusqu' du suivi de connexion (couches 3 et 4). Mme si cela carte la plupart des attaques, cela est insuffisant pour se protger des attaques passant par des flux autoriss. Si cela est assez marginal, car difficile mettre en place, l'ouverture de l'informatique au grand public et l'augmentation de ce type de connaissances font qu'il faudra un jour savoir s'en protger efficacement. Modularit de l'architecture Il y a plusieurs solutions pour le positionnement de sondes rseaux. Il peut tre intressant de positionner les sondes pour tudier l'efficacit des protections mises en place. Par exemple dans un rseau se cachant derrire un firewall, nous mettrons une sonde ct extrieur du firewall, et une autre ct intrieur du firewall. La premire sonde permet de dtecter les tentatives d'attaques diriges contre le rseau surveill. La seconde sonde va remonter les attaques (pralablement dtectes par la premire sonde) qui ont russi passer le firewall. On peut ainsi suivre une attaque sur un rseau, voir si elle arrive jusqu' sa victime, en suivant quel parcours, ... Il est aussi intressant de dfinir des primtres de surveillance d'une sonde. Ce sera en gnral suivant un domaine de collision, ou sur des entres uniques vers plusieurs domaines de collision (par exemple l'entre d'un commutateur). Par cette mthode, nous rduisons le nombre de sondes, car il n'y a pas de doublons dans la surveillance d'une partie du rseau. Une alerte n'est remonte qu'une seule fois ce qui allge d'autant l'administration des IDS. Et pour finir, le fait de placer les sondes aprs les protections est plus logique, car le but premier des IDS est d'tudier les intrusions malgr les protections. Les HIDS et les NIDS se compltent Nous avons voqu jusqu'ici principalement le cas des NIDS. Les IDS se cantonnent la surveillance des systmes sur lesquels ils sont hbergs. Mais ils sont extrmement utiles. Par exemple dans le suivi d'une attaque voqu prcdemment, grce aux sondes NIDS, nous pouvons suivre son parcours. Mais quel est l'impact final sur la machine ? Un NIDS ne peut pas rpondre cela, car il ne gre pas les quipements terminaux. C'est ici que le HIDS se rvle utile. De plus, la remonte d'alerte est locale et vers un manager. Ainsi, la surveillance rseau et des quipements terminaux est centralise.

18

2.3.2 Points faibles

Besoin de connaissances en scurit La mise en place de sonde scurit fait appel de bonnes connaissances en scurit. L'installation en elle-mme des logiciels est la porte de n'importe quel informaticien. En revanche l'exploitation des remontes d'alertes ncessite des connaissances plus pointues. Les interfaces fournissent beaucoup d'informations, et permettent des tris facilitant beaucoup le travail, mais l'intervention humaine est toujours indispensable. A partir des remontes d'alertes, quelle mesure prendre ? Est-il utile de relever des alertes dont toutes les machines sont protges? Comment distinguer un faux-positif d'un vritable incident de scurit ? Toutes ces questions et bien dautres doivent se poser au responsable de scurit en charge dun IDS. La configuration, et l'administration des IDS ncessitent beaucoup de temps, et de connaissances. C'est un outil d'aide, qui n'est en aucun cas compltement automatis. Problme de positionnement des sondes La mise en place est importante. Il faut bien dfinir l o placer les sondes. Il ne s'agit pas de mettre une sonde partout o l'on veut surveiller. Il faut tudier les champs de vision des sondes suivant leur placement, si on veut recouper ces champs de vision (pour par exemple faire des doublons de surveillance ou faire un suivi d'attaque), quel dtail d'analyse ( l'entre d'un rseau, ou dans chaque domaine de collision). On dcoupe souvent le rseau global en un LAN, une DMZ, puis Internet. Mais il faut aussi envisager les domaines de collisions, les sous-rseaux, ... Les connaissances rseaux sont importantes. Il faut aussi faire attention comment sont remontes les alertes (passage par un rseau scuris et isol du rseau surveill). Vulnrabilits des sondes NIDS De part leur fonctionnement en mode promiscuit, les sondes sont vulnrables. Elles captent tout le trafic, et mme si un ping flood est ralis sur une autre machine, les sondes NIDS le captureront aussi et donc en subiront les consquences, comme si l'attaque leur tait directement envoye. Les DoS classiques seront donc trs nocifs pour les sondes NIDS.

19

Le point fort de certains IDS qui est d'archiver aussi le contenu des trames ayant leves une alerte, peut aussi s'avrer un point faible. Un hte flood avec un paquet charg de 64000 octets, ou encore des trames de 1500 octets pour les SYN flood vont faire exploser la taille des fichiers de logs des sondes en quelques minutes. C'est une attaque qui porte le nom coke qui consiste saturer le disque dur (http://www.securiteinfo.com/attaques/hacking/coke.shtml). La seule faon de parer cette attaque est de prvoir d'importants espaces de stockages, et grer le stockage des fichiers de logs. Problmes intrinsques la plateforme Beaucoup d'IDS (et plus particulirement les IDS libres) sont des logiciels reposant sur une systme d'exploitation non ddi aux IDS. Ainsi, la faiblesse d'un IDS est lie la faiblesse de la plate-forme. Un mme logiciel sera par exemple plus vulnrable sur un PC Win98 que sur un PC OpenBSD, de part la solidit de la pile IP face aux attaques, ou tout simplement de part la stabilit du systme. La mise en place d'un IDS requiert donc des comptences dans la scurisation de la plate-forme. Une saturation de la mmoire, de la carte rseau, ou du processeur porte atteinte directement au bon fonctionnement de tout le systme et donc du logiciel IDS de la machine. Le problme de ces dysfonctionnements est que si la sonde ne peut plus remplir son rle, le rseau n'en est pas coup pour autant. Le responsable scurit ne peut donc pas voir que, la sonde tant tombe, une partie du rseau n'est plus surveille. Une redondance des surveillances sur certaines zones devrait momentanment rsoudre le problme. Comme nous venons de le voir, les IDS sont des outils indispensables la bonne scurit dun rseau, nanmoins leur utilisation reste complexe et contraignante. Ces outils sont malgr tout fiables et plutt srs, mais il est possible de passer outre aux rponses dun IDS. Cest ce que nous allons voir prsent.

3. Contourner la rponse active dun IDS

Linterruption de session provoque par un IDS peut tre contourne de plusieurs manires. La plupart dentre elles se basent sur le laps de temps qui existe entre la dtection dune attaque et la prise en compte du TCP Reset par la machine cible. Dans le cas o lexploit raliser par un attaquant ne ncessite pas de session interactive, celui-ci pourra simplement positionner le flag PUSH au sein de ses paquets TCP. En gnral, les piles TCP/IP ne dlivrent pas chaque portion de donnes lapplication ds que celles-ci arrivent, cela revient trop cher en terme dinterruption logicielles. La pile accumule les donnes dans un buffer et ds que celui-ci est plein, 20

elle ralise un PUSH du buffer tout entier pour envoyer les donnes en une seule fois. Certaines applications ont besoin de rcuprer les donnes aussi vite quelles arrivent et sont prtes en payer le cot. Dans cette optique, le flag PUSH indique la pile de dlivrer les donnes lapplication aussi vite que possible. Si un attaquant potentiel dsire rcuprer le contenu dun rpertoire, cela ne lui sera pas trs utile car la session aura t interrompue avant que la rponse sa requte ne soit effectue. Par contre, si celui-ci trouve le moyen de copier le fichier hte (par exemple) vers un rpertoire accessible depuis le serveur Web du rseau, il ne soccupera pas de savoir si la session a t interrompue ou non puisque son exploit aura russi, simplement en positionnant le flag PUSH au sein du paquet contenant sa requte. Si lattaquant besoin de conserver la session ouverte, une autre technique reste sa disposition. Lastuce consiste faire en sorte que la machine cible ignore le TCP Reset envoy par lIDS. Ce dernier croira avoir interrompu la session et lattaquant pourra continuer son travail tranquillement. Cette technique utilise le temps ncessaire pour un IDS de capturer le paquet, de dtecter lexploit en cours, de gnrer le TCP Reset et denvoyer celui-ci sur le rseau. Une course contre la montre sengage alors entre lIDS et lattaquant. Pour que la machine cible de lattaquant ignore le TCP Reset de lIDS, il faut que le prochain paquet de la session engage entre lattaquant et la machine cible parvienne sur la machine cible avant le paquet Reset de lIDS. Rappel : La pile TCP travaille sur une fentre. Certaines donnes reues ont dj t envoyes (PUSH) vers lapplication et certaines attendent dans le buffer qui doit tre vid vers lapplication. De plus il existe un espace vide en attente de rception de nouvelles donnes. Ce que lon nomme la fentre nest autre que la runion du buffer et de lespace vide. Seules les donnes prsentes au sein de la fentre peuvent tre traites.

21

La pile TCP maintient galement un pointeur courant (CP) qui pointe sur le prochain fragment de donnes que la pile sattend recevoir. Celui-ci correspond, de plus, au numro dacquittement. Par exemple, si la pile reu 76 octets, le numro dacquittement sera 77. Quand le prochain fragment de donnes arrivera, le pointeur courant sera immdiatement positionn la fin de ce fragment.

Les fragments ne sont pas obligs darriver dans lordre. Un fragment commenant loctet 90 peut arriver avant le fragment commenant loctet 77, il sera copi dans le buffer mais le pointeur courant restera positionn 77 jusqu ce que le fragment dbutant par 77 arrive. A cet instant, le pointeur courant sera dplac vers la fin de tous les fragments reus, et ce en une seule fois

22

Sur la plupart des piles, le RESET doit concider avec le pointeur courant sans quoi le paquet est ignor. En sachant cela, un attaquant peut construire un "paquet suivant" qui mettra en chec le RESET de lIDS. Admettons que lattaque ncessite trois paquets. Lattaquant envoit tout dabord les deux premiers paquets (rappelons que lIDS besoin des trois premiers paquets pour dtecter lattaque). Lattaquant va ensuite construire un quatrime paquet ne contenant aucune donnes menaante au yeux de lIDS et lenvoyer avant le troisime. A ce stade le paquet quatre sera copi dans le buffer ds son arrive mais le pointeur courant restera positionn sur la fin du second paquet. Ds que le troisime paquet arrivera, le pointeur courant sera dplac en une fois vers la fin du quatrime paquet. A larrive du paquet trois, lIDS va gnrer et envoyer un TCP RESET bas sur le paquet trois. Celui-ci sera de toutes faons ignor lors de sa rception par la machine cible puisquil ne concidera pas avec le pointeur courant de celle-ci (positionn sur la fin du paquet quatre).

Pour la mme raison ( le dlai induit par la rponse active de lIDS), il est possible de contourner la mise jour du firewall par lIDS. La mise jour des rgles dun firewall prend habituellement une deux seconde en moyenne, ce qui suffit amplement une personne habile pour sintroduire sur une machine et y installer une "backdoor". Il ne lui reste, alors, plus qu changer dadresse IP pour pouvoir administrer la machine distance. Les fonctions de rponses actives, peuvent savrer efficaces mais ne constituent en aucun cas un moyen sr de scuriser un rseau. Nimporte qui avec un minimum de connaissances sur TCP/IP est capable de contourner les mcanismes mis en jeu.

4. Les IPS
Faute de mouvoir matriser correctement les fausses alertes, la plupart des systmes actuels dIDS sont vous disparatre ou voluer grandement. Lapparition sur le march de la scurit informatique des systmes IPS est trs rcent et rsulte de la ncessit damliorer, encore et toujours, les solutions existantes ayant prouves leurs limites. Les IPS nexistent pas vraiment en tant que technologies bien dfinies mais plutt en tant que concepts que tentent de mettre en uvre les diffrents acteurs du march travers de multiples technologies et solutions de scurit.

23

4.1 Principes de fonctionnement

De lavis des analystes, le concept dIPS ( systmes de prvention des intrusions) vise anticiper les attaques de pirates informatiques ds lors que leur empreinte est connu. Il ne sagit plus seulement de ragir une attaque en cours, mais dempcher que celle-ci puisse seulement dbuter. Un systme IPS est plac en ligne et examine en thorie tous les paquets entrants ou sortants. Il ralise un ensemble danalyses de dtection, non seulement sur chaque paquet individuel, mais galement sur les conversations et motifs du rseau, en visualisant chaque transaction dans le contexte de celles qui prcdent ou qui suivent. Si le systme IPS considre le paquet inoffensif, il le transmet sous forme dun lment traditionnel de couche 2 ou 3 du rseau. Les utilisateurs finaux ne doivent en ressentir aucun effet. Cependant, lorsque le systme IPS dtecte un trafic douteux il doit pouvoir activer un mcanisme de rponse adquat en un temps record. LIPS doit aussi, offrir un moyen de diminuer considrablement lutilisation des ressources humaines ncessaires au bon fonctionnement des IDS. Cela doit aboutir, notamment, une automatisation des fonctions danalyse des logs, mme si ce point demeure encore une tche difficile. La prise de dcision doit ainsi pouvoir tre automatise non seulement grce la reconnaissance de signatures mais aussi, et de plus en plus, grce lutilisation danalyses heuristiques provenant du monde des anti-virus. Deux voies principales sont actuellement explores par les promoteurs dIPS. La premire est lapproche des constructeurs dIDS dont les produits nont que faiblement convaincu le march franais alors quils sont utiliss dans plus dune entreprise sur deux aux Etats-Unis. Comme pour les IDS, les IPS peuvent tre orients Host ou Rseaux. La seconde approche touche les fournisseurs de pare-feu qui commencent intgrer des systmes IPS au sein de leurs matriels qui savent fonctionner "en ligne". Cela passe par exemple par lintgration de signatures et dun contrle des protocoles HTTP, FTP et SMTP, mais aussi pour certains constructeurs de la mise en Asic (Application specific integrated circuit) de leurs IPS afin de sintgrer facilement leurs matriels.

4.2 Comptences requises

Afin de pouvoir prtendre lappellation IPS, il faut que le produit mis en uvre sarticule autour de fonctionnalits essentielles : La comprhension des rseaux IP (les architectures existantes, les protocoles utiliss) et des couches applicatives de niveau 7 doit permettre de dtecter les anomalies protocolaires qui sont synonymes dattaques.

24

La connaissance des serveurs ddis et de leur architecture logicielle afin de les enrichir de nouvelles fonctions et de les scuriser encore plus. La matrise des sondes rseau et lanalyse des logs dans le but de dceler les attaques et dcrire les scripts de commande qui piloteront les firewall. Comprendre les besoins du client afin de consacrer en priorit la politique de dfense aux fonctions vitales du rseaux de lentreprise. Fonctionner vitesse de ligne afin dviter tout effet nfaste sur la performance ou la disponibilit du rseau. Fonctionner en mode "statefull Inspection" dans le but de connatre chaque instant le contexte de lanalyse en cours.

4.3 Exemple dIPS : le moteur ASQ de Netasq

LASQ, moteur de dtection et de prvention dintrusion, est intgr dans toute la gamme des botiers firewalls NetASQ. Anticipant ds sa cration l'volution des technologies de scurit Internet, les laboratoires de Recherche et Dveloppement de NetASQ ont mis au point lASQ ds 1998. Ce moteur intelligent intgre un systme de prvention dintrusion (IPS : Intrusion Prevention System) qui dtecte et limine tout comportement malicieux en temps rel. Ceci fait de chaque firewall NetASQ un outil puissant du rseau capable de protger contre les intrusions sans avoir rajouter dautres lments. Ladministration de la politique de scurit sen trouve grandement simplifie et donc plus performante. Une prvention en temps Rel Lintrt davoir intgr cette technologie directement dans le firewall, est que celui ci se place en coupure sur le trajet des paquets. Contrairement un IDS, qui se contente dmettre des alarmes et denvoyer des commandes RESET toujours trop tard (lattaque est dj passe). Le Firewall NetASQ coupe la connexion avant la transmission des derniers paquets. De ce fait lattaque ne peut sexcuter. Virtualisation des couches OSI LASQ neffectue aucune dsencapsulation proprement parl. En effet la pile IP nest pas remonte. Donc lASQ ralise ses analyses sur un paquet mis en tampon. Ceci signifie que toutes les fonctions de scurit sont ralises au niveau du noyau sans ajout de couche supplmentaire amliorant ainsi les performances. Une fois que toutes les analyses sont ralises, le paquet est transmis linterface sortante. Le contexte de ce paquet est gard en mmoire pour le paquet suivant. Lors du traitement du prochain paquet, lASQ ralisera une analyse du contexte, en

25

plus de lanalyse du format du paquet en lui-mme. Tout paquet mal form est dtruit, tout comme les paquets participant un contexte malicieux. Une analyse plusieurs niveaux Analyse IP Le principe de cette analyse consiste vrifier la conformit du format des paquets et datagrammes en fonction des RFC. Cette analyse permet de vrifier lutilisation correcte et non frauduleuse des protocoles des couches 3 et 4 du modle OSI (rseau et transport). Les failles de scurit de ces protocoles proviennent pour la plupart de limplmentation de la pile TCP/IP. Les comportements analyss ce niveau (analyse IP) sont souvent lis lutilisation doptions peu ou rarement utilises dans les communications Internet. Ces paquets mal forms provoquent des bugs et parfois le crash du systme (Deny of Service). Analyse des fragments Le deuxime type de failles qui peut tre exploit est le squencement des fragments. Lanalyse nest plus effectue au niveau du paquet en lui-mme mais un niveau dabstraction suprieur, le datagramme. Cest dsormais le fragment qui est analys dans son environnement. Cest--dire la cohrence quil y a entre celui-ci et ceux qui suivent, ou qui prcdent. Cette analyse cherche vrifier quen assemblant les fragments le paquet obtenu reste valide. Cest dire quaucun fragment ne se chevauche (recouvrement de fragment), que le paquet soit entier et ne comporte pas dajout effectu frauduleusement (dbordement sur un fragment, trou entre fragments). Analyse globale Cette analyse se place un degr dabstraction suprieur lanalyse des fragments mais cette fois-ci cest le contexte des connexions qui est vis. La technologie "Statefull Inspection" base sur la mmorisation du contexte utilisateur permet une vrification du contenu des paquets transitant par le firewall. Filtrage (ASQ Dynamic Filtering) Le firewall NetASQ est de type "Statefull Inspection". Cette technologie permet la conservation des contextes de connexions. Lintrt est de pouvoir vrifier le trafic non plus au niveau paquet mais au niveau connexion. Ainsi une attaque se basant sur des paquets sains mais qui, runis, se rvlent dangereux, sera dtecte par un tel firewall. De plus cette technologie analyse le contenu des paquets la vole et sans interruption de liaison ce qui lui assure de meilleures performances. Pour optimiser le filtrage mis en place dans le cadre dune politique de scurit, NetASQ a dvelopp un algorithme nomm SKIP. Lors de lanalyse des rgles, celuici regroupe celles qui se suivent et qui ont un critre commun ( partir de trois rgles). Le but est de sauter lvaluation de plusieurs rgles qui contiennent un critre liminatoire. Etant donn le critre liminatoire, lvaluation de ces rgles serait inutile (elle remontera forcment une rponse ngative).

26

Analyse des protocoles applicatifs Lanalyse est base sur une vrification de la conformit entre lutilisation du protocole et sa norme. Cette norme est dfinie par des standards tels que les RFCs. En identifiant un tel trafic, il est possible alors daffiner les dcisions prises lors de la mise en place dune politique de scurit. Cette mthode est trs puissante car elle permet de se prvenir dattaques connues mais aussi inconnues. En effet tout trafic ne rpondant pas aux spcifications des normes sera bloqu par cette analyse. De plus, il est intressant de remarquer que cette analyse pourra bloquer des attaques bases sur des schmas dont la signature est connue mais qui ont t lgrement modifis pour tromper justement les systmes de dtection uniquement bass sur la signature. NetASQ associe cette analyse du protocole, une analyse applicative. Cette analyse vise tablir une cohrence entre len-tte du paquet et la section de donnes de celui-ci. La conjugaison de lensemble de ces analyses fait de lASQ un puissant analyseur temps rel de trafic sans pour autant affecter les performances globales dun firewall NetASQ.

4.4 Bilan
Il serait illusoire de penser que les IPS constituent la parade ultime aux intrusions. Dune part, parce que le problme de la scurit informatique existera toujours, une personne mal intentionne , persvrante et comptente trouvera toujours un moyen de contourner, tt ou tard les protections mises en place. Dautre part, car les IPS mettent en uvre des technologies immatures et qui nont pas encore faites leurs preuves. Beaucoup dadministrateurs hsitent encore les intgrer dans leur rseaux fautes dinformations et de connaissance de leur fonctionnement. De plus la diversit des technologies et des stratgies pouvant tre utilises au sein des IPS rend impossible la dfinition dun standard de fait. Il est, ds lors, ncessaire de les apprhender travers un dialogue approfondi avec leurs concepteurs (et souvent intgrateurs) afin dvaluer la solution la plus approprie aux cas dutilisations. Mme si de plus en plus de constructeurs commencent sintresser la protection de protocoles varies, la plupart des IPS du march sont encore largement orientes autour du port 80 et souvent inefficaces contre des attaques ports sur dautres protocoles que le http. A la mode, les IPS sont prsents sous de nombreuses formes, on retrouve ainsi normment de solutions "tout en un" pouvant mler pare-feu, VPN, IDS et antivirus. Certains pouvant mme y intgrer des fonctions anti-spams. Il faut alors faire

27

attention la mise en uvre car lutilisation de certains anti-virus heuristiques, par exemple, peut faire chuter dramatiquement les performances. Leffet marketing est trs important, il est lorigine des IPS, on prendra donc garde de bien tudier un produit et les personnes qui lont conues avant de lintgrer dans sa politique de scurit.

28

Conclusion
Cette tude nous a permis de dcouvrir les systmes de dtection dintrusion. Il nous est paru vident que ces systmes sont prsent indispensables aux entreprises afin dassurer leur scurit informatique. Cependant, nous avons pu constater galement que les produits existants ne sont pas encore suffisamment fiables (notamment en ce qui concerne les faux positifs et faux ngatifs) et qils restent lourds administrer. Les IPS, qui tentent de pallier en partie ces problmes, ne sont pas encore suffisamment efficaces pour tre utiliss dans un contexte de production. Ils sont actuellement surtout utiliss dans des environnements de tests afin dvaluer leur fiabilit. Ils manquent galement dun principe de fonctionnement "normalis", comme il en existe pour les IDS. Nanmoins, ces technologies sont amenes se dvelopper dans les prochaines annes, du fait des besoins de scurit croissants des entreprises et de lvolution des technologies qui permet un fonctionnement plus efficace des systmes de dtection et de prvention dintrusion. De plus, les constructeurs de systmes de scurit ont tendance intgrer les IDS et IPS directement dans les firewalls, de faon renforcer la coopration entre ces quipements de scurit complmentaires. Lavenir des technologies de scurit rseau est peut-tre dans une intgration plus pousse des diffrents outils disponibles pour assurer la scurit dun rseau, car ladministration de la scurit dune entreprise est une tche de plus en plus complexe et tendue, alors que les besoins en scurit ne font que crotre.

29

Sources :
-www.securityfocus.com -www.01net.com -www.linuxsecurity.com -www.linuxfocus.org -www.z0rglub.com/piratage/ -www.secway.fr -les pages de man Karen Kent Frederick (laboration dune signature) : http://www.securityfocus.com/infocus/1524 http://www.securityfocus.com/infocus/1534 http://www.securityfocus.com/infocus/1544 Jason Larsen and Jed Haile (contournement de linterruption de session) : http://www.securityfocus.com/infocus/1540

30