Scribd
Importer
266 vues33 pages

IDS / IPS: Détecter Et Se Protéger Des Intrusions: PALUD Thibault Exposé IR3

Transféré par

Jean Louis Kacou
Copyright
© © All Rights Reserved
Nous prenons très au sérieux les droits relatifs au contenu. Si vous pensez qu’il s’agit de votre contenu, signalez une atteinte au droit d’auteur ici.
Formats disponibles
Téléchargez aux formats PPTX, PDF, TXT ou lisez en ligne sur Scribd
266 vues33 pages

IDS / IPS: Détecter Et Se Protéger Des Intrusions: PALUD Thibault Exposé IR3

Transféré par

Jean Louis Kacou
Copyright
© © All Rights Reserved
Nous prenons très au sérieux les droits relatifs au contenu. Si vous pensez qu’il s’agit de votre contenu, signalez une atteinte au droit d’auteur ici.
Formats disponibles
Téléchargez aux formats PPTX, PDF, TXT ou lisez en ligne sur Scribd

IDS / IPS : détecter et se protéger

des intrusions
PALUD Thibault
Exposé IR3

19/01/2009 Exposé IR3 1


Introduction
 Des attaques de plus en plus fréquentes
 En 1995, le CERT recensait 2 412 incidents et 137 529 en 2003.

19/01/2009 Exposé IR3 2


Quelques Chiffres
 En 2006, le Computer Emergency Response Team
(CERT) a rapporté 674 235 demandes d'assistance par
mail.
 En 2006 pour 313 entreprises américaines on relève:
52 millions de dollars de perte contre 130 millions en
2005, les plus importantes attaques étant:
 Les Virus (15,7 m$)
 Les accès non autorisés à l'information (10,6 m$)

19/01/2009 Exposé IR3 3


Sommaire
 Intrusion Detection Système (IDS)
 Principes de détection
 Niveaux de détection

 Intrusion Protection Système (IPS)


 Types d’IPS
 Types de réponses aux attaques

 Différence
 IDS/IPS
 IPS/ Firewall

 Solutions IDS/IPS
19/01/2009 Exposé IR3 4
IDS – Détection – Approche par scénario

signature de l’attaque : spécifications propres de l’attaque:
cas HIDS : analyse des actions d’un utilisateur
cas NIDS : vérification du flux d’informations sur le réseau

19/01/2009 Exposé IR3 5


IDS – Détection – Approche par scénario
L’analyse de motif
Simple mais en retard…

Les recherches génériques


Détection dans le code exécutable

Contrôle d’intégrité
Détecter un changement du système

19/01/2009 Exposé IR3 6


IDS – Détection – Approche comportementale
Connaître le comportement normal d’un utilisateur

Dresser les profils d’utilisateurs

Détecter une alerte lors des évènements hors gabarit

19/01/2009 Exposé IR3 7


IDS – Détection – Approche comportementale

Approche probabiliste (bayésienne)


Avantage s:
 Construction du profil simple et dynamique
 Réduction de faux positifs

Inconvénient:
 Risque de déformation progressive du profil par des attaques
Répétées

19/01/2009 Exposé IR3 8


IDS – Détection – Approche comportementale
Approche statistique
Inconvénients:
 Complexité en termes de maintenance
Avantages:
 permet de détecter des attaques inconnues
 habitudes des utilisateurs apprises automatiquement

Autres en étude :
L’immunologie

19/01/2009 Exposé IR3 9


IDS – Détection-Bilan des solutions actuelles

19/01/2009 Exposé IR3 10


IDS – Niveaux – Réseau
Unnetwork­based IDS (NIDS) surveille un réseau.

Positif:
N’affecte pas les performances du réseau
N’est pas visible
Négatif:
Faible devant les attaques de dénis de services
Un point unique de défaillance

19/01/2009 Exposé IR3 11


IDS – Niveaux – Réseau

19/01/2009 Exposé IR3 12


IDS – Niveaux – Réseau
En coupure

INTERNET
Firewall
Routeur
IDS Network

19/01/2009 Exposé IR3 13


IDS – Niveaux – Réseau
En recopie

INTERNET
Firewall
Routeur

IDS Network
En recopie

19/01/2009 Exposé IR3 14


IDS – Niveaux – Système
Host Based IDS (HIDS)

Surveille:
• le traffic réseau entrant/sortant
• Les opérations sur la machine

Lancer comme un processus sur la machine

Positif:
Surveille les intrusions qui s'appliquent uniquement à l'hôte

Négatif:
Utilise la ressource du système
Besoin de HIDS spécifique pour des système spécifique

19/01/2009 Exposé IR3 15


IDS – Niveaux – Système
Détection de compromission de fichiers (contrôle
d’intégrité)

Analyse de la base de registre (windows) ou des LKMs


(Linux)

Analyse et corrélation de logs en provenance de


firewalls hétérogènes

Analyse des flux cryptés (ce que ne peut réaliser un


NIDS !)

19/01/2009 Exposé IR3 16


IDS – Niveaux – Système
IDS Host

IDS Host

INTERNET ROUTEUR

IDS Host

IDS Host
19/01/2009 Exposé IR3 17
IPS
Ensemble de technologies de sécurité
 But
 Anticiper et stopper les attaques

 Principe de fonctionnement
 Symétrie avec IDS -> Host IPS & Network IPS,
 Analyse des contextes de connexion,
 Automatisation d'analyse des logs,
 Coupure des connexions suspectes,

19/01/2009 Exposé IR3 18


IPS – Niveaux – Réseau
Unnetwork­based IPS (NIPS)
Installé en coupure de réseau
Analyse tout le trafic
Protège des attaques communes de DoS et DDoS

Analyse statique des flux


Similaire à l’IDS

Analyse dynamique des flux


Corrélation entre un événement et une signature

19/01/2009 Exposé IR3 19


IPS – Niveaux – Réseau
Positif :
Protection active

Négatif :
Point névralgique du réseau
Faux positifs (risque de blocage de trafic légitime)
Coût
Complexité additionnelle / Exploitation supplémentaire

19/01/2009 Exposé IR3 20


IPS – Niveaux – Système
Host­based IPS (HIPS)
Installé sur chaque machine à protéger (application)

Bloc les trafic anormaux selon plusieurs critères


Lecture / écriture de fichiers protégés
Accès aux ports réseau
Comportements anormaux des applications
Bloc les accès en écriture par exemple, bloc les tentatives de
récupération de droits ROOT
Connexions suspectes (sessions RPC actives anormalement
longues sur des machines distantes, etc.)

Gère les trafics encryptés

19/01/2009 Exposé IR3 21


IPS – Niveaux – Système
Positif :
Faux positifs moins courants
Protège les systèmes des comportements dangereux et
pas seulement du trafic

Négatif :
Coût d'exploitation
Problèmes d'interopérabilité
Problématique lors des mise à jour système

19/01/2009 Exposé IR3 22


En cas d’intrusion ?

Plusieurs actions possibles :

Isolement du système attaqué


Remonté d’informations aux administrateurs
Copie des données
Réponse à l’attaque

19/01/2009 Exposé IR3 23


Réponse Active/Passive
 Active
Génération de paquets pour couper la connexion
Problèmes ?
 Révèle le système de protection
 Authenticité de la source de l’attaque

 Passive (rien vis-à-vis de l’attaquant)


Réaction sans que l’attaquant soit prévenu
 Couplage avec un firewall
Problème de l’authenticité de la source (spoofing))

19/01/2009 Exposé IR3 24


Exemple Problème Réponse Active

19/01/2009 Exposé IR3 25


Différence IDS/IPS

Réponse aux attaques

Plus de limitation par la bande passante

19/01/2009 Exposé IR3 26


Différence IPS/Firewall

Furtivité

Analyse plus vaste

Peu d’IPS libres

Fonction de blocage face à une fonction de filtrage

19/01/2009 Exposé IR3 27


Solution IPS/IDS Propriétaire

19/01/2009 Exposé IR3 28


Solution IPS/IDS Propriétaire

19/01/2009 Exposé IR3 29


Solution IPS/IDS Libre

19/01/2009 Exposé IR3 30


Conclusion
 Problèmes Actuels
 IDS outils pas le plus performants du marché
 Trop de faux positifs.
 Attaques repérées -> morcelée en plusieurs alertes

 Les solutions pour corriger ces problèmes peuvent être :

 Améliorer les algorithmes de base de la détection (baisse des faux


positifs)
 Corréler les alertes (diminuer leur nombre).
 Identifier les scénarios d'attaques complexes.

19/01/2009 Exposé IR3 31


Sources
 Détection et prévention des intrusions par Thierry Evangelista
 IDS / IPS par James E. Thiel, Drexel University
 IDS et IPS au service de la détection d'intrusion
 Par JDNet Solutions (Benchmark Group)
 http://solutions.journaldunet.com/0312/031205_ids_ips.shtml
 Host and Network Intrusion Prevention
 www.mcafee.com/us/_tier2/products/_media/mcafee/wp_host_nip.p
df
 Prévention d’intrusion
 www.hsc.fr/ressources/presentations/csm05-ips/cnet05_ips.pdf
 Snort Users Manual 2.4.0
 www.snort.org/docs/snort_htmanuals/htmanual_2.4/
 Sécurité réseau
 Amélie Désandré, Benjamin Kittler, Romain Loutrel et Thomas
Renaudin.

19/01/2009 Exposé IR3 32


FIN Merci pour votre
attention.

Des questions ??

19/01/2009 Exposé IR3 33

Vous aimerez peut-être aussi