P r e l u d e I D S t e c h n o l o g i e s

Prsentation de la plateforme IDS Prelude. IDS hybride 2006 Yoann Vandoorselaere, yoann.v@prelude-ids.com
Prsentation de la plateforme IDS Prelude
Systme de Dtection
d'Intrusion Hybride
P r e l u d e I D S t e c h n o l o g i e s
Prsentation de la plateforme IDS Prelude. IDS hybride 2006 Yoann Vandoorselaere, yoann.v@prelude-ids.com
> Dfinition
Un Systme de Dtection d'Intrusion (ou IDS : Intrusion Detection
System) est un mcanisme destin reprer des activits anormales ou
suspectes sur la cible analyse (un rseau ou un hte). Il permet ainsi
d'avoir une action de prvention sur les risques d'intrusion. Wikipedia

Les HIDS (Host Based Intrusion Detection System)

Ils surveillent l'tat de la scurit au niveau des machines (ex : Samhain,
Portsentry, etc.)
> IDS
> Il existe deux grandes familles dIDS...

Les NIDS (Network Based Intrusion Detection System)

Ils surveillent l'tat de la scurit au niveau du rseau (ex : Snort,
Shadow, etc.).
P r e l u d e I D S t e c h n o l o g i e s
Prsentation de la plateforme IDS Prelude. IDS hybride 2006 Yoann Vandoorselaere, yoann.v@prelude-ids.com
> NIDS (Network based IDS)
Les NIDS analysent le trafic rseau. En gnral, ils sont composs :

dune sonde qui "coute" sur le segment de rseau surveiller ; et

dun moteur qui ralise l'analyse du trafic afin de dtecter des signatures
d'attaques ou les divergences face une politique de rfrence.
> Avantage des NIDS

Couverture de l'ensemble du rseau

Support pour la dtection d'un nombre d'attaque consquent

> Inconvnients des NIDS

Taux de faux positifs lev

Analyse des donnes cryptes impossible

Traitement superficiel de l'information (contrainte de performance)

La grande varit de systmes d'exploitation complique le mimtisme de

la part des NIDS
> IDS > NIDS
P r e l u d e I D S t e c h n o l o g i e s
Prsentation de la plateforme IDS Prelude. IDS hybride 2006 Yoann Vandoorselaere, yoann.v@prelude-ids.com
> HIDS (Host based IDS)
Les HIDS analysent le fonctionnement ou l'tat des machines sur
lesquelles ils sont installs dans le but de dtecter des attaques ou
certains tats.
Ils ont pour mission :

d'analyser des journaux systmes,

de contrler l'accs aux appels systmes,

de vrifier l'intgrit des systmes de fichiers, etc.

> Avantages des HIDS

Pas ou peu de faux positifs.

Pas ou peu d'adaptation la politique de scurit en utilisation.

> Inconvnients des HIDS

Complexit du dploiement
> IDS > HIDS
P r e l u d e I D S t e c h n o l o g i e s
Prsentation de la plateforme IDS Prelude. IDS hybride 2006 Yoann Vandoorselaere, yoann.v@prelude-ids.com
> IDS > IDS Hybride
> NIDS ou HIDS : Imparfait, mais complmentaire !
Pour amliorer la scurit des infrastructures, il est apparu
ncessaire de regrouper le traitement des informations en
provenance des NIDS (rseau) et des HIDS (machines) afin de tirer
partie des deux types de dtection d'intrusion la fois.
> Naissance de l'IDS Hybride ( la fois NIDS & HIDS)

Il bnficie la fois des avantages des NIDS et des HIDS

Il permet d'accder une vision globale de l'tat des systmes.

Les sondes HIDS et/ou NIDS sont places en des points stratgiques de
l'infrastructure.
Toutes ces sondes remontent alors des alertes dans un format
standardis vers un concentrateur qui va centraliser et stocker les
donnes.
P r e l u d e I D S t e c h n o l o g i e s
Prsentation de la plateforme IDS Prelude. IDS hybride 2006 Yoann Vandoorselaere, yoann.v@prelude-ids.com
> Avantages des IDS Hybrides

Bnficiant du support des HIDS, ils sont insensibles aux problmes

rencontrs par les NIDS.

Multipliant les rapports d'vnements, leurs capacits de corrlation,

d'tablissement de scnario d'attaques sont bien plus importantes que les
systmes n'analysant qu'un seul type d'information.
> Conditions aux IDS Hybrides :
Adoption d'un language de communication commun toutes les
sondes
C'est ici que l'utilisation d'un standard d'change de messages de
dtection d'intrusion, le standard IDMEF, prend toute son importance.
> IDS > IDS Hybride > Avantages & Conditions

D'autre part, s'il est facile pour un individu malveillant de contourner la

dtection des attaques par une sonde unique, il devient exponentiellement
plus difficile de contourner les protections quand de multiples mcanismes
de protection s'additionnent.
P r e l u d e I D S t e c h n o l o g i e s
Prsentation de la plateforme IDS Prelude. IDS hybride 2006 Yoann Vandoorselaere, yoann.v@prelude-ids.com
> IDMEF (Format d'Echange de Messages de Dtection d'Intrusion)

IDMEF dfinit le format de donnes pour l'mission d'alertes par les Systmes de
Dtection d'Intrusion. Le standard IDMEF a t cr dans le but de permettre
linteroprabilit entre les diffrents IDS.
> Avantage d'IDMEF

L'interoprabilit entre les IDS nous permet d'uniformiser le traitement de diffrents
vnements en provenance de sondes htrognes.
Nous pouvons donc stocker, normaliser, corrler, afficher des donnes en
provenance de sondes htrognes de faon totalement uniforme.
> IDS > IDS Hybride > Standard IDMEF
> Inconvnient d'IDMEF

IDMEF est bas sur le format de description de donnes XML (eXtensible Markup
Language) qui pose un certain nombre de problmes lis la rapidit de traitement
des alertes.
Statut actuel d'IDMEF :
Aprs une longue attente de synchronisation avec l'IANA (Internet Assigned
Numbers Authority) pour l'allocation d'un RFC et d'un numro de port IDXP
(rfrenc depuis le draft IDMEF), IDMEF est finalement officialis ''exprimental''
(publi, stabilis pour implmentation) par le RFC 4765.

Pour cette raison: l'IDS Prelude dont nous allons bientt parler, implmente
une version d'IDMEF reposant sur le langage C. La compatibilit est assure
l'aide d'un module Prelude, capable de convertir une alerte IDMEF-Prelude au
format IDMEF-XML.
P r e l u d e I D S t e c h n o l o g i e s
Prsentation de la plateforme IDS Prelude. IDS hybride 2006 Yoann Vandoorselaere, yoann.v@prelude-ids.com
> Prelude Hybrid IDS
Prelude est hybride, c'est une plateforme IDS Open Source disponible sous
licence GPL.
> IDS > IDS Hybride > Prelude IDS
> Fonctionnalits Prelude

Dtection dIntrusion rseau (NIDS)

Dtection dIntrusion machines (HIDS)

Correlation d'vnements

Scanner de vulnrabilits

Rcupration des alertes depuis routeurs, pares-feu & AntiVirus

Vrification dintgrit des fichiers

Analyse comportementale dindividus malveillants (honeypot),

Etc.
> Plateforme IDS
Prelude est un Systme de Dtection d'Intrusion autonome qui administre
aussi, de faon centralise, lensemble du dispositif de scurit quel que
soit le nombre de composants, leur marque ou leur licence.
P r e l u d e I D S t e c h n o l o g i e s
Prsentation de la plateforme IDS Prelude. IDS hybride 2006 Yoann Vandoorselaere, yoann.v@prelude-ids.com
> IDS > IDS Hybride > Prelude IDS > Systme modulaire et distribu
> Composants du systme

Le concentrateur ou manager Prelude est un serveur haute disponibilit

recevant les messages provenant des diffrentes sondes. Il est capable de
stocker, relayer, ou filtrer ces messages
> Systme distribu
Le systme Prelude est distribu, cest dire, compos de multiples
lments modulables rpartis sur l'ensemble de l'infrastructure.

La bibliothque Prelude, ou libprelude, automatise la communication

scurise (SSL) entre les sondes et les concentrateurs. Elle fournit les
fonctionalits ncessaires l'mission d'vnements IDMEF dans Prelude

La bibliothque PreludeDB, ou libpreludedb, assure l'abstraction pour

l'accs aux bases de donnes contenant des messages IDMEF Prelude

Prewikka, l'interface de visualisation des venements scurit Prelude

Et, les sondes...

L'agent de correlation Prelude, lit les alertes reues par un concentrateur,

et met des alertes de correlations lorsqu'un ensemble d'venements peut
s'associer.
P r e l u d e I D S t e c h n o l o g i e s
Prsentation de la plateforme IDS Prelude. IDS hybride 2006 Yoann Vandoorselaere, yoann.v@prelude-ids.com
> IDS > IDS Hybride > Prelude IDS > Systmes Compatibles
> Exemple de sondes supportes par Prelude

Snort est un NIDS dont l'analyse est base sur des signatures ;

Prelude-LML est une sonde d'analyse de journaux systme, c'est un

HIDS. Il est capable de sinterfacer tout type dapplication mettant des
alertes de scurit dans un journal systme : netfilter, grsecurity, cisco
pix, routeur cisco, vpn cisco, clamav, OpenSSH, honeyd, modsecurity,
nagios, ipfw, Linux-Pam, postfix, proftpd, sendmail, squid, etc ;

Prelude-PFLogger est un systme de remont d'alertes pour les

paquets stopps par le firewall OpenBSD ;

Samhain est un contrleur d'intgrit des fichiers systme ;

Nessus est une sonde d'analyse de l'tat des machines ;

L
e
n
o
m
b
re
d
e
s
o
n
d
e
s
e
s
t p
o
te
n
tie
lle
m
e
n
t illim
it
: to
u
t s
y
s
t
m
e
d
e

s

c
u
rit

a

la

p
o
s
s
ib
ilit

d
'e
x
p
o
rte
r
le
s

l
m
e
n
ts

q
u
'il
d

te
c
te

d
a
n
s

le

s
y
s
t
m
e
P
re
lu
d
e
.

Nepenthes est une solution pour dtecter et collecter les vers et autres
malwares (virus, spyware, cheval de trois, etc) se propageant sur
diffrents systmes

Sancp est un outil conu pour collecter des informations statistiques

concernant l'activit rseau. Il peut tre utilis pour qualifier et notifier un
trafic rseau suspect.
P r e l u d e I D S t e c h n o l o g i e s
Prsentation de la plateforme IDS Prelude. IDS hybride 2006 Yoann Vandoorselaere, yoann.v@prelude-ids.com
> IDS > IDS Hybride > Prelude IDS > Systmes Rendus Compatibles
> Intgration de nouvelles sondes

Via l'utilisation directe de la librairie Prelude (API C, Python et Perl).

Via Prelude-LML (exemple de rgle).

#!/usr/bin/python
import sys, prelude
def add_idmef_object(message, path_str, value_str):
path = prelude.idmef_path_new(path_str)
value = prelude.idmef_value_new_from_path(path, value_str)
prelude.idmef_path_set(path, message, value)
prelude.prelude_init(len(sys.argv), sys.argv)
client = prelude.prelude_client_new("MyDefaultSensorName")
prelude.prelude_client_start(client)
# Create the message
message = prelude.idmef_message_new()
add_idmef_object(message, "alert.classification.text", "Python Alert!")
add_idmef_object(message, "alert.assessment.impact.severity", "medium")
add_idmef_object(message, "alert.assessment.impact.completion", "failed")
add_idmef_object(message, "alert.source(0).node.address(0).address", "10.0.0.1")
add_idmef_object(message, "alert.target(0).node.address(0).address", "10.0.0.2")
# Send and exit.
prelude.prelude_client_send_idmef(client, message)
prelude.idmef_message_destroy(message)
prelude.prelude_client_destroy(client,
prelude.PRELUDE_CLIENT_EXIT_STATUS_SUCCESS)
# PAX: From 1.2.3.4: execution attempt in: /usr/lib/paxtest/shlibtest.so, 25891000-25892000 00001000
# PAX: terminating task: /usr/bin/localedef(localedef):5208, uid/euid: 0/0, EIP: BFF4C330, ESP: BFF4C21C
regex=From (\S+): execution attempt in:; \
add_context=PAX_OVERFLOW_SOURCE; \
source(0).node.address(>>).address = $1; \
silent; last;
regex=terminating task: ([^(]+)\(([^)]+)\):(\d+), uid/euid: (\d+)/(\d+); \
optional_context=PAX_OVERFLOW_SOURCE; \
destroy_context=PAX_OVERFLOW_SOURCE; \
classification.text=Possible buffer overflow; \
id=402; \
revision=2; \
analyzer(0).name=PAX; \
analyzer(0).manufacturer=www.grsecurity.net; \
analyzer(0).class=Memory Violation; \
assessment.impact.completion=failed; \
assessment.impact.type=file; \
assessment.impact.severity=high; \
source(0).process.path = $1; \
source(0).process.name=$2; \
source(0).process.pid=$3; \
source(0).user.category=application; \
source(0).user.user_id(0).type=current-user; \
source(0).user.user_id(0).number=$4; \
source(0).user.user_id(1).type=original-user; \
source(0).user.user_id(1).number=$5; \
assessment.impact.description=A possible buffer overflow occured in $1. You should consider this an
attack against your system.; \
last
P r e l u d e I D S t e c h n o l o g i e s
> Architecture Prelude
> IDS > IDS Hybride > Prelude IDS > Architecture
P r e l u d e I D S t e c h n o l o g i e s
> Scnario d'attaque
> IDS > IDS Hybride > Prelude IDS > Scnario d'attaque
Attaque

Scan

Envoi d'un shellcode

Exploitation d'un dbordement de pile

PaX

etc.
= 'Prelude-acct'
'Prelude-acct' :
Sonde imagine pour l'occasion permettant de surveiller l'utilisation de commandes
sensibles, telles que /ps, w, who, id,/ en fonction des horaires habituels d'utilisation.
Scan et Shellcode
dtcts par le NIDS
Dtection de l'exploitation
par PaX

Utilisation du systme

Effacement de logs
Dtection d'utilisation de
commandes sensibles
une heure inhabituelle
Rapports sur la
modification des
journaux systmes
Centralisation
P r e l u d e I D S t e c h n o l o g i e s
Prsentation de la plateforme IDS Prelude. IDS hybride 2006 Yoann Vandoorselaere, yoann.v@prelude-ids.com
> Conclusions

En uniformisant les donnes mises par les diffrentes sondes ;

En permettant de les stocker ensemble ;

En permettant de les trier et de les corrler ;

...Prelude, au travers du standard IDMEF, permet la multiplication des
formes de dtection employes sur une infrastructure.
La multiplication des sondes et la disponibilit d'un outil centralis
d'analyse rend beaucoup plus difficile pour un individu malveillant de
passer outres les diffrents systmes de protection.
> IDS > IDS Hybride > Conclusions
L'ajout de sondes Prelude au coeur de la distribution AMON
permettrait d'automatiser et de faciliter l'installation de Prelude.
Les utilisateurs AMON bnficieront ainsi de fonctionnalits de
surveillance de l'infrastructure et de ses systmes.
P r e l u d e I D S t e c h n o l o g i e s
Prsentation de la plateforme IDS Prelude. IDS hybride 2006 Yoann Vandoorselaere, yoann.v@prelude-ids.com
> Liens

Projet Prelude : http://www.prelude-ids.org

PreludeIDS Technologies SARL : http://www.prelude-ids.com

Contact : info@prelude-ids.com

Standard IDMEF : http://www.ietf.org/internet-drafts/draft-ietf-idwg-idmef-xml-16.txt

Snort : http://www.snort.org

Samhain : http://la-samhna.de/samhain/

Nessus : http://www.nessus.org

Nepenthes : http://nepenthes.mwcollect.org

Sancp : http://www.metre.net/sancp.html
> IDS > Liens
Merci pour votre
attention...