Page 1

Page 2

PALUD Thibault Expos IR3 19/01/2009Expos IR31

Page 3

Introduction Des attaques de plus en plus frquentes En 1995, le CERT recensait 2 412 incidents et 137 529 en 2003. 19/01/2009 2 Expos IR3

Page 4

Quelques Chiffres En 2006, le Computer Emergency Response Team (CERT) a rapport 674 235 demandes d'assistance par mail. En 2006 pour 313 entreprises amricaines on relve: 52 millions de dollars de perte contre 130 millions en 2005, les plus importantes attaques tant: Les Virus (15,7 m$) Les accs non autoriss l'information (10,6 m$) 19/01/20093Expos IR3

Page 5

Sommaire Intrusion Detection Systme (IDS) Principes de dtection Niveaux de dtection Intrusion Protection Systme (IPS) Types dIPS Types de rponses aux attaques Diffrence IDS/IPS IPS/ Firewall Solutions IDS/IPS 19/01/20094Expos IR3

Page 6

IDS Dtection Approche par scnario signature de lattaque : spcifications propres de lattaque: cas HIDS : analyse des actions dun utilisateur cas NIDS : vrification du ux dinformations sur le rseau 19/01/20095Expos IR3

Page 7

Lanalyse de motif Simple mais en retard Les recherches gnriques Dtection dans le code excutable Contrle dintgrit Dtecter un changement du systme IDS Dtection Approche par scnario 19/01/20096Expos IR3

Page 8

Connatre le comportement normal dun utilisateur Dresser les profils dutilisateurs Dtecter une alerte lors des vnements hors gabarit IDS Dtection Approche comportementale 19/01/20097Expos IR3

Page 9

Approche probabiliste (baysienne) Avantage s: Construction du prol simple et dynamique Rduction de faux positifs Inconvnient: Risque de dformation progressive du prol par des attaques Rptes IDS Dtection Approche comportementale 19/01/20098Expos IR3

Page 10

Approche statistique Inconvnients: Complexit en termes de maintenance Avantages: permet de dtecter des attaques inconnues habitudes des utilisateurs apprises automatiquement Autres en tude : Limmunologie IDS Dtection Approche comportementale 19/01/20099Expos IR3

Page 11

19/01/2009Expos IR310 IDS Dtection-Bilan des solutions actuelles

Page 12

Unnetworkbased IDS (NIDS) surveille un rseau. Positif: Naffecte pas les performances du rseau Nest pas visible Ngatif: Faible devant les attaques de dnis de services Un point unique de dfaillance IDS Niveaux Rseau 19/01/200911Expos IR3

Page 13

IDS Niveaux Rseau 19/01/200912Expos IR3

Page 14

IDS Niveaux Rseau En coupure 19/01/200913Expos IR3

Page 15

IDS Niveaux Rseau En recopie 19/01/200914Expos IR3

Page 16

Host Based IDS (HIDS) Surveille: le traffic rseau entrant/sortant Les oprations sur la machine Lancer comme un processus sur la machine Positif: Surveille les intrusions qui s'appliquent uniquement l'hte Ngatif: Utilise la ressource du systme Besoin de HIDS spcifique pour des systme spcifique IDS Niveaux Systme 19/01/200915Expos IR3

Page 17

Dtection de compromission de fichiers (contrle dintgrit) Analyse de la base de registre (windows) ou des LKMs (Linux) Analyse et corrlation de logs en provenance de firewalls htrognes Analyse des flux crypts (ce que ne peut raliser un NIDS !) IDS Niveaux Systme 19/01/200916Expos IR3

Page 18

IDS Niveaux Systme 19/01/200917Expos IR3

Page 19

Ensemble de technologies de scurit But Anticiper et stopper les attaques Principe de fonctionnement Symtrie avec IDS -> Host IPS & Network IPS, Analyse des contextes de connexion, Automatisation d'analyse des logs, Coupure des connexions suspectes, IPS 19/01/200918Expos IR3

Page 20

Unnetworkbased IPS (NIPS) Install en coupure de rseau Analyse tout le trafic Protge des attaques communes de DoS et DDoS Analyse statique des flux Similaire lIDS Analyse dynamique des flux Corrlation entre un vnement et une signature IPS Niveaux Rseau 19/01/200919Expos IR3

Page 21

Positif : Protection active Ngatif : Point nvralgique du rseau Faux positifs (risque de blocage de trafic lgitime) Cot Complexit additionnelle / Exploitation supplmentaire IPS Niveaux Rseau 19/01/200920Expos IR3

Page 22

Hostbased IPS (HIPS) Install sur chaque machine protger (application) Bloc les trafic anormaux selon plusieurs critres Lecture / criture de fichiers protgs Accs aux ports rseau Comportements anormaux des applications Bloc les accs en criture par exemple, bloc les tentatives de rcupration de droits ROOT Connexions suspectes (sessions RPC actives anormalement longues sur des machines distantes, etc.) Gre les trafics encrypts IPS Niveaux Systme 19/01/200921Expos IR3

Page 23

Positif : Faux positifs moins courants Protge les systmes des comportements dangereux et pas seulement du trafic Ngatif : Cot d'exploitation Problmes d'interoprabilit Problmatique lors des mise jour systme IPS Niveaux Systme 19/01/200922Expos IR3

Page 24

Plusieurs actions possibles : Isolement du systme attaqu Remont dinformations aux administrateurs Copie des donnes Rponse lattaque En cas dintrusion ? 19/01/200923Expos IR3

Page 25

Active Gnration de paquets pour couper la connexion Problmes ? Rvle le systme de protection Authenticit de la source de lattaque Passive (rien vis--vis de lattaquant) Raction sans que lattaquant soit prvenu Couplage avec un firewall Problme de lauthenticit de la source (spoofing)) Rponse Active/Passive 19/01/200924Expos IR3

Page 26

Exemple Problme Rponse Active 19/01/200925Expos IR3

Page 27

Rponse aux attaques Plus de limitation par la bande passante Diffrence IDS/IPS 19/01/200926Expos IR3

Page 28

Furtivit Analyse plus vaste Peu dIPS libres Fonction de blocage face une fonction de filtrage Diffrence IPS/Firewall 19/01/200927Expos IR3

Page 29

Solution IPS/IDS Propritaire 19/01/200928Expos IR3

Page 30

Solution IPS/IDS Propritaire 19/01/200929Expos IR3

Page 31

Solution IPS/IDS Libre 19/01/200930Expos IR3

Page 32

Problmes Actuels IDS outils pas le plus performants du march Trop de faux positifs. Attaques repres -> morcele en plusieurs alertes Les solutions pour corriger ces problmes peuvent tre : Amliorer les algorithmes de base de la dtection (baisse des faux positifs) Corrler les alertes (diminuer leur nombre). Identifier les scnarios d'attaques complexes. 19/01/2009Expos IR331 Conclusion

Page 33

Dtection et prvention des intrusions par Thierry Evangelista IDS / IPS par James E. Thiel, Drexel University IDS et IPS au service de la dtection d'intrusion Par JDNet Solutions (Benchmark Group) http://solutions.journaldunet.com/0312/031205_ids_ips.shtml Host and Network Intrusion Prevention www.mcafee.com/us/_tier2/products/_media/mcafee/wp_host_nip.p df Prvention dintrusion www.hsc.fr/ressources/presentations/csm05-ips/cnet05_ips.pdf Snort Users Manual 2.4.0 www.snort.org/docs/snort_htmanuals/htmanual_2.4/ Scurit rseau Amlie Dsandr, Benjamin Kittler, Romain Loutrel et Thomas Renaudin. Sources 19/01/200932Expos IR3

Page 34

19/01/2009 33 Des questions ?? Merci pour votre attention. Expos IR3 FIN