SSI

SSI

IRT03Mickaël Grisel

Mickaël GRISEL – ESAIP 2

Plan Déroulement d’une attaque Rendre impossible l’intrusion Le problème d’extension des privilèges Lutter contre la compromission Surveiller les systèmes contre les portes

dérobées et les rootkits


Schéma classique d’une attaque

Collecte d’informations

Intrusion

Repérage des faillesBalayage

CompromissionExtension des privilèges

Nettoyage des tracesPorte dérobée


Recherche d’informations La récupération d'informations sur le système

– Préalable à toute attaque. • rassembler le maximum d'informations sur le réseau cible : • Adressage IP, Noms de domaine, Protocoles de réseau, Services activés,

Architecture des serveurs, etc. – Consultation de bases publiques

• En connaissant l'adresse IP publique d'une des machines du réseau ou bien tout simplement le nom de domaine, on est potentiellement capable de connaître l'adressage du réseau tout entier :

– http://www.iana.net – http://www.ripe.net pour l'Europe – http://www.arin.net pour les Etats-Unis

– Consultation de moteurs de recherche• informations sur la structure d'une entreprise, le nom de ses principaux

produits, voire le nom de certains personnels.– Ingénierie sociale


Scanner le réseau Balayage du réseau

– déterminer quelles sont les adresses IP actives, les ports ouverts, et le système d'exploitation utilisé.

– Exemple : Nmap, reconnu comme un outil indispensable. • agit en envoyant des paquets TCP et/ou UDP à un ensemble de machines sur

un réseau, puis il analyse les réponses. – Selon l'allure des paquets TCP reçus, il lui est possible de déterminer le système

d'exploitation distant pour chaque machine scannée.

– Les mappeurs passifs• n'envoient pas de paquets : ils sont donc indétectable par les IDS. • Enfin, certains outils permettent de capturer les connexions X. Ce système a

pour caractéristique de pouvoir utiliser l'affichage des stations présentes sur le réseau, afin d'étudier ce qui est affiché sur les écrans et éventuellement d'intercepter les touches saisies par les utilisateurs des machines vulnérables.

– Lecture de bannières


Repérer les failles Le repérage des failles

– Les deux principaux scanneurs de failles : Nessus et SAINT

– certains organismes, en particulier les CERT (Computer Emergency Response Team), sont chargés de capitaliser les vulnérabilités et de fédérer les informations concernant les problèmes de sécurité.


L’intrusion L'intrusion

– Pour pouvoir s'introduire dans le réseau, le pirate a besoin d'accéder à des comptes valides sur les machines qu'il a recensées.

– Pour ce faire, plusieurs méthodes sont utilisées par les pirates :

• L'ingénierie sociale. • La consultation de l'annuaire ou bien des services de

messagerie ou de partage de fichiers, permettant de trouver des noms d'utilisateurs valides

• Les attaques par force brute.


Extension des privilèges Extension de privilèges

– Une fois loger sur un ou plusieurs comptes peu protégés, on va chercher à augmenter ses privilèges en obtenant l'accès root.

– Il lui est ainsi possible d'installer un sniffer. Grâce à cette technique, le pirate peut espérer récupérer les couples identifiants/mots de passe lui permettant d'accéder à des comptes possédant des privilèges étendus sur d'autres machines.

– Dès qu'un accès root a été obtenu sur une machine, l'attaquant a la possibilité d'examiner le réseau à la recherche d'informations supplémentaires.


La compromission Compromission

– Grâce aux étapes précédentes, le pirate a pu dresser une cartographie complète du réseau, des machines s'y trouvant, de leurs failles et possède un accès root sur au moins l'une d'entre-elles. Il lui est alors possible d'étendre encore son action en exploitant les relations d'approbation existant entre les différentes machines.


La fin de l’attaque Porte dérobée

– installer une application afin de créer artificiellement une faille de sécurité pour revenir plus facilement

Nettoyage des traces– effacer les traces de son passage en supprimant les fichiers

qu'il a créés et en nettoyant les fichiers de logs des machines dans lesquelles il s'est introduit.

– il existe des rootkits permettant de remplacer les outils d'administration du système par des versions modifiées afin de masquer la présence du pirate sur le système.

• En effet, si l'administrateur se connecte en même temps que le pirate, il est susceptible de remarquer les services que le pirate a lancé ou tout simplement qu'une autre personne


Objectifs à atteindre Objectifs de sécuriser un réseau

– Rendre impossible l’intrusion– Extension des privilèges– Lutter contre la compromission– Surveiller les systèmes contre les portes dérobées

et les rootkits


Rendre l’intrusion impossible Nécessite une architecture sécurisée

– le coeur d'une telle architecture est basée sur un firewall.

• but : sécuriser au maximum le LAN, détecter les tentatives d'intrusion et y parer au mieux possible.

• De plus, il peut permettre de restreindre l'accès vers Internet.

– Le firewall : véritable contrôle sur le trafic réseau • Il analyse, sécurise et gére le trafic,

– Interdit une utilisation non souhaitée du réseau (MSN)– Empêche une personne sans autorisation d'accéder à ce réseau

de données.


Architecture La plus simple :

Internet

Firewall

Serveur(s)

Postes clients


Architecture Avec DMZ

Serveur(s)

Firewall

Postes clients

Internet

Firewall


Architecture Tri-résidant

Serveur(s)

Firewall

Postes clients

Internet


Le filtrage simple de paquets (Stateless)

Le principe.– C'est la méthode la plus simple, elle opère au niveau de la

couche réseau et transport du modèle OSI. – La plupart des routeurs permettent d'effectuer du filtrage

simple de paquet :• L'adresse IP Source/Destination.• Le numéro de port Source/Destination.• Et bien sur le protocole de niveau 3 ou 4.

– Cela nécessite de configurer le Firewall ou le routeur par des règles de filtrages, généralement appelées des ACL (Access Control Lists).


Le filtrage simple de paquets (Stateless)

Les limites.– Le premier problème vient du fait que l'administrateur réseau

est rapidement contraint à autoriser un trop grand nombre d'accès, pour que le Firewall offre une réelle protection.

• Par exemple, pour autoriser les connexions à Internet à partir du réseau privé, l'administrateur devra accepter toutes les connexions TCP provenant de l'Internet avec un port supérieur à 1024.

– Définir des ACL sur des routeurs supportant un débit important n'est pas sans répercussion sur le débit lui-même.

• Enfin, ce type de filtrage ne résiste pas à certaines attaques de type IP Spoofing / IP Flooding, la mutilation de paquet, ou encore certaines attaques de type DoS


Le filtrage de paquets avec état (Stateful)

Le Principe.– amélioration par rapport au filtrage simple,

• Conservation de la trace des sessions et des connexions dans des tables d'états internes au Firewall.

– Le Firewall prend alors ses décisions en fonction des états de connexions, et peut réagir dans le cas de situations protocolaires anormales.

» permet aussi de se protéger face à certains types d'attaques DoS.



• Exemple sur les connexions Internet, on va autoriser l'établissement des connexions à la demande,

– On a pas besoin de garder tous les ports > à 1024 ouverts. – Pour les protocoles UDP et ICMP, il n'y a pas de mode connecté.

» La solution consiste à autoriser pendant un certain délai les réponses légitimes aux paquets envoyés.



• Les paquets ICMP sont normalement bloqués par le Firewall, qui doit en garder les traces.

– Cependant, il n'est pas nécessaire de bloquer les paquets ICMP de type 3 (destination inaccessible) et 4 (ralentissement de la source) qui ne sont pas utilisables par un attaquant.

– On peut donc choisir de les laisser passer, suite à l'échec d'une connexion TCP ou après l'envoi d'un paquet UDP.



• Pour le protocole FTP (et les protocoles fonctionnant de la même façon), c'est plus délicat puisqu'il va faut gérer l'état de deux connexions.

– le protocole FTP, gère un canal de contrôle établi par le client, et un canal de données établi par le serveur. Le Firewall devra donc laisser passer le flux de données établi par le serveur.

» Ce qui implique que le Firewall connaisse le protocole FTP, et tous les protocoles fonctionnant sur le même principe. Cette technique est connue sous le nom de filtrage dynamique (Stateful Inspection).



Les limites.– il convient de s'assurer que les deux techniques

sont bien implémentées par les Firewalls. – Ensuite une fois que l'accès à un service a été

autorisé, il n'y a aucun contrôle effectué sur les requêtes et réponses des clients et serveurs.

• Un serveur HTTP pourra donc être attaqué impunément. – Les protocoles maisons utilisant plusieurs flux de

données ne passeront pas, puisque le système de filtrage dynamique n'aura pas connaissance du protocole.


Le filtrage applicatif également nommé pare-feu de type proxy. Le principe

– Le filtrage applicatif est comme son nom l'indique réalisé au niveau de la couche Application.

• Pour cela, il faut bien sûr pouvoir extraire les données du protocole de niveau 7 pour les étudier. Les requêtes sont traitées par des processus dédiés, par exemple une requête de type HTTP sera filtrée par un processus proxy HTTP. Le pare-feu rejettera toutes les requêtes qui ne sont pas conformes aux spécifications du protocole. Cela implique que le pare-feu proxy connaisse toutes les règles protocolaires des protocoles qu'il doit filtrer.


Le filtrage applicatif Les limites

– Le premier problème qui se pose est la finesse du filtrage réalisé par le proxy.

• Il est extrêmement difficile de pouvoir réaliser un filtrage qui ne laisse rien passer, vu le nombre de protocoles de niveau 7.

– En outre le fait de devoir connaître les règles protocolaires de chaque protocole filtré pose des problèmes d'adaptabilité à de nouveaux protocoles ou des protocoles maisons.

– Mais il est indéniable que le filtrage applicatif apporte plus de sécurité que le filtrage de paquet avec état, mais cela se paie en performance.


Que choisir ? Tout d'abord, il faut nuancer la supériorité du filtrage

applicatif par rapport à la technologie Stateful. – les proxys doivent être paramétrés suffisamment finement

pour limiter le champ d'action des attaquants, ce qui nécessite une bonne connaissance des protocoles autorisés à traverser le firewall.

– Ensuite un proxy est plus susceptible de présenter une faille de sécurité permettant à un pirate d'en prendre le contrôle, et de lui donner un accès sans restriction à tout le système d'information


Que choisir ? il faut protéger le proxy par un Firewall de type

Stateful Inspection. – Il vaut mieux éviter d'installer les deux types de

filtrage sur le même Firewall, car la compromission de l'un entraîne la compromission de l'autre. Enfin cette technique permet également de se protéger contre l'ARP spoofing


Les firewall bridge Ces derniers sont relativement répandus.

– Ils agissent comme de vrais câbles réseau avec la fonction de filtrage en plus, d'où leur appellation de firewall.

• Leurs interfaces ne possèdent pas d'adresse Ip, – ne font que transférer les paquets d'une interface a une autre en leur

appliquant les règles prédéfinies.– Cette absence est particulièrement utile,

» le firewall est indétectable pour un hacker lambda. » Il ne répondra jamais à une requête ARP. » Ses adresses Mac ne circuleront jamais sur le réseau, et il sera

totalement invisible sur le réseau. » rend impossible toute attaque dirigée directement contre le lui :

aucun paquet ne sera traité comme étant sa propre destination. » Donc, la seule façon de le contourner est de passer outre ses règles

de drop. Toute attaque devra donc « faire » avec ses règles, et essayer de les contourner.


Les firewall bridge– Ces firewalls se trouvent typiquement sur les switchs.

Avantages.– Impossible de l'éviter– Peu coûteux

Inconvénients.– Possibilité de le contourner

• il suffit de passer outre ses règles

– Configuration souvent contraignante– Les fonctionnalités présentes sont très basiques (filtrage sur

adresse IP, port, le plus souvent en Stateless).


Les firewall matériels Se trouvent souvent sur des routeurs

– ont une intégration parfaite avec le matériel.– configuration est souvent ardue (les plus anciens), mais

• leur avantage est que leur interaction avec les autres fonctionnalités du routeur est simplifiée de par leur présence sur le même équipement réseau.

• Souvent relativement peu flexibles en terme de configuration,• peu vulnérables aux attaques, car présent dans le routeur. • De plus, étant souvent très liés au matériel, l'accès à leur code est

assez difficile, et le constructeur a produit des système de codes « signés » afin d'authentifier le logiciel (système RSA ou assimilés). Ce système n'est implanté que dans les firewalls haut de gamme, car cela évite un remplacement du logiciel par un autre non produit par le fabricant, ou toute modification de ce dernier, rendant ainsi le firewall très sûr.


Les firewall matériels– Son administration est souvent plus aisée que les firewall

bridges, les grandes marques de routeurs utilisant cet argument comme argument de vente.

– Leur niveau de sécurité est de plus très bon, sauf découverte de faille éventuelle comme tout firewall.

– Néanmoins, il faut savoir que l'on est totalement dépendant du constructeur du matériel pour cette mise à jour, ce qui peut être, dans certains cas, assez contraignant.

– Enfin, seules les spécificités prévues par le constructeur du matériel sont implémentées.

» Cette dépendance induit que si une possibilité nous intéresse sur un firewall d'une autre marque, son utilisation est impossible. Il faut donc bien déterminer à l'avance ses besoin et choisir le constructeur du routeur avec soin.


Les firewall matériels Avantages.

– Intégré au matériel réseau– Administration relativement simple– Bon niveau de sécurité

Inconvénients.– Dépendant du constructeur pour les mises à jour– Souvent peu flexibles.


Les firewall logicielson peut les classer en plusieurs catégories :

– Les firewalls personnels.• Souvent commerciaux, ont pour but de sécuriser

un ordinateur particulier, et non pas un groupe d'ordinateurs.

–ils peuvent être contraignants et quelque fois très peu sécurisés.

–En effet, ils s'orientent plus vers la simplicité d'utilisation plutôt que vers l'exhaustivité, afin de rester accessible à l'utilisateur final.


Les firewall logiciels– Avantages

• Sécurité en bout de chaîne (le poste client)• Personnalisable assez facilement

– Inconvénients.• Facilement contournable• Difficiles a départager.

– Les différents firewalls• Exemple freeware :

– ZoneAlarm de ZoneLabs– Kerio de Kerio– Outpost d'Agnitum Ltd– Sygate Personal Firewall de Sygate Technologies Inc


Les firewall logiciels• A noter qu'avec la mise à jour de Win Xp Sp2. Le firewall inclus dans

le système demande à être mis en route par défaut !– mais il ne contrôle que les données entrantes pas les sortantes.

– Les firewalls plus « sérieux »• Tournant généralement sous linux, car cet OS offre une sécurité

réseau plus élevée et un contrôle plus adéquat, ils ont généralement pour but d'avoir le même comportement que les firewalls matériels des routeurs, à ceci prêt qu'ils sont configurables à la main.

– Le plus courant est iptables (anciennement ipchains), qui utilise directement le noyau linux. Toute fonctionnalité des firewalls de routeurs est potentiellement réalisable sur une telle plateforme


Les firewall logicielsAvantages.

• Personnalisables• Niveau de sécurité très bon

– Inconvénients.• Nécessite une administration système

supplémentaire


Les firewall logiciels Une grande faille :

– ils n'utilisent pas la couche bas réseau. • Il suffit donc de passer outre le noyau en ce qui concerne

la récupération de ces paquets, en utilisant une librairie spéciale, pour récupérer les paquets qui auraient été normalement « droppés » par le firewall.

• Néanmoins, cette faille induit de s'introduire sur l'ordinateur en question pour y faire des modifications... chose qui induit déjà une intrusion dans le réseau, ou une prise de contrôle physique de l'ordinateur, ce qui est déjà Synonyme d'inefficacité de la part du firewall.


Configuration théorique des défenses Configuration d'un firewall : élément clef de l’efficacité.

– Un firewall mal configuré peut être tout aussi efficace... qu'aucun firewall du tout.

– Il existe deux politiques de configurations de base :• Tout autoriser sauf ce qui est dangereux :

– cette méthode est beaucoup trop laxiste.» En effet, cela laisse toute latitude à l'imagination des intrus de

s'exprimer. Et à moins d'avoir tout prévu de façon exhaustive, on laissera forcément des portes ouvertes, des failles béantes dans notre système.

»A éviter absolument.


Configuration théorique des défenses Tout interdire sauf ce dont on a besoin et ce en quoi

on a confiance : – cette politique est beaucoup plus sécuritaire.

• En effet, les services sont examinés avant d'être autorisés à passer le firewall, et sont donc tous soumis à un examen plus ou moins approfondi.

• Ainsi, pas de mauvaise surprise sur un service que l'on pensait ne pas avoir installé, plus d'oubli :

• tout service autorisé est explicitement déclaré dans le firewall.


Configuration théorique des défenses– Cette politique s'accompagne de la création de

deux zones : • une zone interne et l'extérieur.

– On peut considérer que tout ce qui est dans notre réseau local est autorisé, sans prendre de trop gros risques : le firewall est là pour nous protéger des attaques extérieures, pas des attaques internes pour lesquelles il ne peut rien.

» Cette facette peut changer suivant la politique de l'entreprise (interdire l'accès à certains, jeux, etc.).

– La zone externe est par contre considérée comme « non sûre », et donc toute requête envoyée sur un service non explicitement déclaré comme accessible de l'extérieur sera interceptée et ignorée.

– La configuration de la DMZ est ici très importante, et sa gestion aussi.


Configuration théorique des défenses– Cette politique s'accompagne de plusieurs points à noter :

• Plus de services sont ouverts, plus vulnérable est le système. – C'est logique, car plus le nombre de logiciels accessibles de l'extérieur

est grand, plus le risque qu'un intrus exploite ces dits logiciels pour s'introduire dans le système est important.

» C'est ainsi que, par exemple, si on utilise un serveur Web qui interface déjà le serveur de base de donnée, il est inutile d'autoriser le trafic entrant vers le serveur de base de données... vu que le serveur Web joue le rôle d'interface.

• Suivant la politique de l'entreprise, l'accès ou non à certains services peut être bloqué dans les deux sens.

– Cela peut servir, par exemple, à empêcher le jeu en ligne, ou autres activités que l'entreprise ne désire pas voir se dérouler sur ses propres infrastructures.


Configuration théorique des défenses– Certains protocoles sont assez difficiles à autoriser,

notamment le FTP. Le comportement du protocole FTP est assez atypique et mérite que l'on s'y attarde.

• Le fonctionnement du FTP prévoit que ce soit le serveur qui initie la connexion sur le client pour lui transmettre le fichier.

– Par exemple :» Le client demande le fichier index.txt» Le serveur envoie un message au client « accepte la connexion sur

le port 2563 »» Le client attend une connexion sur ce port et renvoie un ACK au

serveur» Le serveur initie la connexion et lance le transfert de données.


Configuration théorique des défenses• Ce comportement implique que le serveur, dans la zone « externe », initie

une connexion sur un port choisi par lui-même sur le client. Or, nous l’avons interdit. Il y a donc deux solutions :

– Interdire le FTP.– Forcer le client à utiliser la commande PASV, qui indique que le serveur doit

adopter un comportement passif, et accepter la connexion du client sur un port spécifié par ce dernier. C'est donc le client qui initiera la connexion, et donc, la connexion sera autorisée par le firewall. Avec la commande PASV, l'échange se passe donc ainsi :

» Le client envoie la commande PASV» Le serveur répond avec l'adresse et le port sur lequel le client peut se

connecter» Le client demande le fichier index.txt (RETR index.txt)» Le serveur envoie un reçu et attend la connexion du client» Le client se connecte et reçoit le fichier

– La configuration efficace d'un firewall n'est pas chose évidente, et implique une grande rigueur, la moindre erreur ouvrant une brèche exploitable par les hackers.


Ipcop Firewall Open Source

– Initialement basé sur SmoothWall Avantages :

– Distribution spécifique : gain en sécurité– Légère : en théorie prévue pour être installée sur des

machines recyclées• En pratique minimum de 256 Mo de Ram si add-on et 600 MHz

– Add-ons : nombreux, ils permettent de personnaliser la configuration facilement

– Administration par interface web


Ipcop Inconvénients :

– Configuration par défaut ne permet pas de gérer les flux sortants

– Configuration délicate si plus d’un serveur par service dans la DMZ

– Firewall Tri-résidant


Ipcop Présentation :

– Firewall utilisé dans les réseaux de PME– Par défaut permet :

• Filtrage réseau par IPTable ; • serveur DHCP • client NTP et serveur NTP• sonde de détection d'intrusions sur TOUS les réseaux• Réseau Privé Virtuel (RPV ou VPN)• serveur mandataire Web et DNS• NAT/PAT• Lissage de traffic• Mise à jour automatique• administration de la machine par une interface web sécurisée avec :

– l'affichage des performances (graphiques) ; – la visualisation des journaux d'évènement


Ipcop Identification des réseaux

– Rouge : Internet– Orange : DMZ– Vert : LAN– Bleu : wifi (ou second LAN)


Ipcop Traffic par défaut :

– Rouge => IPCOP : fermé – Rouge => Vert : fermé – Rouge => Orange : fermé

– Orange => IPCOP : fermé– Orange => Vert : fermé – Orange => Rouge : ouvert

– Vert => IPCOP : ouvert – Vert => Orange : ouvert – Vert => Rouge : ouvert


Ipcop Add-ons

– Permettent de réaliser facilement différentes tâches en s’intégrant dans l’interface graphique :

– Principaux :• Gestion du proxy, filtrage d’URL, Gestion des flux

sortants, filtrage du flux entrant (avec antivirus), Qualité de service, Protection du firewall contre les attaques, Création de nouveaux graphiques


Ipcop SquidGuard

– Schéma fonctionnel


Ipcop SquidGuard

– Configuration


Ipcop


Ipcop Guardian

– Protection du firewall en assurant une meilleure gestion des règles SNORT.

– Bloque le scan des ports– Blocage d’adresses IP automatiquement ou

manuellement


Ipcop BlockOutTraffic (BOT)

– Bloque tout le trafic laisser ouvert par Ipcop– Interface Graphique pour créer les règles de contrôle du

trafic– Principales caractéristiques

• Intégration transparente au GUI d’IPCop• Contrôle du trafic envoyé et traversant le pare-feu• Restriction du trafic au niveau MAC, IP et des cartes d'interface• Regroupement d'adresses• Création de services personnalisés• Regroupement de services• Règles basées sur les heures d'utilisation• Contrôle du niveau de complexité des journaux du pare-feu


Ipcop


Ipcop Copfilter

– paserelle antivirus et antispam– filtre les flux HTTP, FTP, SMTP, POP3

• antivirus – Clams par défaut mais peut utiliser F-prot ou AVG

• anti-spam – Spamassassin– Filtre Bayesien, SURBL, DNSBL, Razor, DCC, and SARE Spam

Rulesets

• Élimine les pubs et pop-up en html


Ipcop


Extension des privilèges Politique de gestion des comptes et des mots

de passe :– Nombre de caractères– Durée de validité d’un mot de passe– Gestion des employés temporaires– …


Lutter contre la compromission Rendre impossible l’interception de nouveau

compte– Utilisation de protocoles sécurisés sur le LAN

• Exemple : SSL pour le mail Détecter une intrusion et agir

– IDS et IPS


IDS-IPS Qu’est ce qu’un IDS ?

– IDS : Intrusion Detection System– mécanisme destiné à repérer des activités

anormales ou suspectes sur la cible analysée• un réseau ou un hôte.

– Il permet ainsi d'avoir une action de prévention sur les risques d'intrusion.


IDS-IPS Deux principes de détection d'intrusion :

– Systèmes neuronaux : • se basent sur la détection d'anomalies, après une période

d'apprentissage d'un flux normal– Systèmes à base de signatures :

• s'appuient sur des empruntes d'attaques afin de détecter l'intrusion (pattern matching, approche par scénarii).


IDS-IPS Systèmes neuronaux :

– Approche comportementale • Analyser si un utilisateur a eu un comportement anormal

par rapport à son habitude. – Par exemple, la secrétaire qui se connecte la nuit à certaines

heures, en plus de la journée.– Il se base pour cela sur un modèle statistique : des variables

seront définies (ici la plage horaire des connections de la secrétaire par jour), et représenteront le profil type (comportement normal) d'un utilisateur.


IDS-IPS Avantages et ses inconvénients :

– L'approche comportementale • permet de détecter des attaques inconnues.• Elle ne nécessite pas non plus de construction de base

d'attaques, et donc d'un suivi de cette base,• mais peut-etre victime de faux positifs :

– l'IDS détecte des attaques qui n'en sont pas.

• Pour l'approche par scénarios, c'est l'inverse.– L'IDS se base sur des attaques connues pour effectuer son

analyse, mais il est difficile de maintenir cette base de signatures.


IDS-IPS Cibles analysées :

– Les N-IDS (Network Based Intrusion Detection System), qui surveillent l'état de la sécurité au niveau du réseau.

• approche par scénario


IDS-IPS– Les H-IDS (HostBased Intrusion Detection System),

qui surveillent l'état de la sécurité au niveau des hôtes.

• Approche comportementale


IDS-IPS– Un autre type d'H-IDS cherche les intrusions dans

le « noyau » (kernel) du système, et les modifications qui y sont apportées. Certains appellent cette technique « analyse protocolaire ». Très rapide, elle ne nécessite pas de recherche dans une base de signature. Exemples de contrôles pour Windows ...


IDS-IPS Stack-Based IDS

– Dernière génération d’IDS– Basé sur la pile TCP/IP

• Analyse le paquet dans toute les couches du modèle OSI• Analyse le trafic entrant et sortant• Permet de détecter l’attaque avant l’application


IDS-IPS Points fort d’un N-IDS

– Coût d’utilisation– Analyse de paquets : temps réel– Permet l’identification de l’attaquant– Complète le firewall– Indépendant de l’OS


IDS-IPS Points fort d’un H-IDS

– Permet de savoir si l’attaque à réussi ou pas– Surveiller les activités d’un OS (log, fichiers

consultés, modifications de droits admin …)– Surveiller des points particuliers (dll, base de

registres…)– Proche du temps réel (temps réel si Stack- based

IDS)– Pas de matériel supplémentaire


IDS-IPS H-IDS et N-IDS se complémentent


IDS-IPS


IDS-IPS Snort : N-IDS

– Snort est un système de détection d'intrusion open source sous licence GPL.

• À l'origine écrit par Martin Roesch, il appartient actuellement à Sourcefire

• Le plus utilisé au monde• Possibilité de souscrire gratuitement pour maintenir les

listes à jour 5 jours après leur parution


IDS-IPS H-IDS :

– AIDE– DarkSpy– FCheck– IceSword– Integrit– Nabou– OSSEC– Osiris– Samhain– Tripwire


IDS-IPS IPS :

– Ensemble de technologies de sécurité– But : Anticiper et stopper les attaques– Principe de fonctionnement : Symétrie avec IDS

• Host IPS & Network IPS,• Analyse des contextes de connexion,• Automatisation d'analyse des logs,• Coupure des connexions suspectes,


Lutter contre les rootkits Lutter contre les rootkits :

– Exemple : F-Secure a publié un petit logiciel gratuit : BlackLight

SSI

Documents

Transcript of SSI