Scurit des RO Partie 7

Systmes de Dtection d'Intrusion IDS

Anas ABOU EL KALAM anas.abouelkalam@enseeiht.fr

IDS : intro
Quoi ?
Software/Hardware System qui automatise le processus d'analyse des vnements d'un ordinateur/rseau pour y dtecter des signes de problmes de scurit/attaques ayant pour but de compromettre la confidentialit, l'intgrit, la disponibilit . Infrastructure devenu ncessaire pour une organisation/entreprise intrusion=attaquant accde au systme (e.g., via internet) gagnant des droits interdits IDS n'empche pas les intrusions, mais les dtecte Recherche de signature d'attaque => pattern spcifiques indiquant intention suspecte/malicieuse

Pourquoi ?
augmentation du nombre de rseaux et de leurs tailles prvenir les problmes en dcouvrant les attaquants dtecter les attaques et problmes de scurits non encore dtectes/corrigs bug noncorrigs attaque inconnue ou non publie systme impossible mettre jour service/protocol vulnrable aux attaques mais ncessaire erreur dans la configuration de la part de l'utilisateur/administrateur prvenir/empcher/rduire les attaques contrle de qualit de la scurit (grands rseaux) obtenir des informations sur les intrusions, faire des corrections (suite l'intrusion), ...
06/12/07

Anas Abou El Kalam - IDS

IDS : Principales architectures

IDS : intro
Stratgie de contrle
dcrit comment les lments d'un IDS sont contrls/manags Centralis : monitoring et dtection contrl par un seul systme Partiellement distribu : monitoring et dtection contrl par un noeud local avec reporting hirarchis sur 1 ou plusieurs noeuds totalement distribu : monitoring et dtection utilisant approche orient agent. Dcisions prisent localement. Timing Temps entre la capture et l'analyse d'un vnement. IntervalBased (Batch Mode) : non continu, store and analysis RealTime (Continuous) : continu

Type de dtection
Dtection par scnario Dtection d'anomalie
06/12/07 Anas Abou El Kalam - IDS 3 06/12/07 Anas Abou El Kalam - IDS 4

IDS : Techniques de Dtection d'intrusions

Misuse Detection (dtection par scnario)
Connaissance pralable des scnarios d'attaque, dont les occurrences sont dtectes recherche de tout ce qui est connu comme tant mauvais (utilis par les IDS commerciaux) pattern = signature signature-based detection / state-based dtection Systme base de rgles ou base de signature modle :

IDS : Techniques de Dtection d'intrusions

Misuse Detection (dtection par scnario)
diffrents types de langages : Event langages Reporting langages Correlation langages Exploit langages detection langages IDMEF : Intrusion Detection Message Exchange Format CISL : Common Intrusion Specification Language (langage de CIDF : standarisation protocoles et interfaces)

ensemble de sondes produisant un flux d'vnements

une base de signatures un algorithme de recherche de motif composant le flux d'vnements et les signatures pattern matching = automate fini pr/post conditions assertions

algo gntiques/rseaux baysiens

Anas Abou El Kalam - IDS 5

utilisation de langage de description d'attaques STATL : langage for state-based Intrusion detection abstraction du dtail de l'attaque rduit l'inhabilit dtecter les attaques modifies description complte du scnario de l'attaque textbased langage (pas de reprsentation graphique) reprsente une attaque comme une composition d'tats et de transitions centr autour du concept de scnario d'attaques

06/12/07

06/12/07

Anas Abou El Kalam - IDS

IDS : Techniques de Dtection d'intrusions

Misuse Detection (dtection par scnario)
Avantages

IDS : Techniques de Dtection d'intrusions

Anomaly Detection (dtection d'anomalies)
se base sur un profil phase d'apprentissage probabiliste // tatistique // base de rgles // approche immunologique // approche baysienne deux phases : phase d'apprentissage crer un profil phase de dtection dtecte dviation par rapport au profil exploite la dfinition empirique d'un fonctionnement sr et recherche les dviations par rapport cette norme recherche de pattern d'activit anormal partir d'appel systmes ordre, nombre et frquence des invocations/ analyse patterns of system calls Base Profile/SUID profile : execve()/ Daemon profile mthode de reconnaissance similaire la reconnaissance de parole DP Matching pour amliorer la reconnaissance utilisation de profil reprsentant utilisateurs, hosts, network connections, ... recherche de dviations par rapport la normal mesure et techniques utilises : Threshold detection : attributs (%CPU,...) exprim sous forme de borne Statistical measures : apprentissage sur des donnes d'une historique nonnumrique, - IDS 06/12/07 RuleBased measures : quantitAnas Abou El Kalammais des rgles 8 Autre : NN, algorithme gntique, ...

trs efficace pour la dtection sans gnrer trop de fausses alarme taux faible de faux ngatif

peut facilement diagnostiquer une attaque/technique spcifique

autorise l'administrateur a traquer les problme de scurit

Inconvnients

Ne dtecte que les attaques connues

difficile de dtecter les variantes d'une attaque

mis jour, entretien de la base difficile

06/12/07

Anas Abou El Kalam - IDS

IDS : Techniques de Dtection d'intrusions

Anomaly Detection (dtection d'anomalies)
se base sur un profil des comportements normaux des utilisateurs, hosts, connections rseaux, ... exploite la dfinition empirique d'un fonctionnement sr et recherche dviations / cette norme deux phases phase d'apprentissage apprentissage crer un profil techniques probabilistes, statistique, baysienne, etc. phase de dtection dtecte dviation par rapport au profils normaux

IDS : Techniques de Dtection d'intrusions

Anomaly Detection (dtection d'anomalies)

Avantages permet de dtecter les symptmes sans vraiment comprendre l'attaque peut produire des informations qui permettent de dfinir des signatures pour la misuse

detection

recherche de pattern d'activit anormal partir d'appels systmes ordre, nombre et frquence des invocations/ analyse patterns of system calls Base Profile/SUID profile : execve()/ Daemon profile mthode de reconnaissance similaire la reconnaissance de parole

Inconvnients produit un grand nombre de fausses alarmes faux-ngatif si modification lente du comportement en vue d'une attaque paramtres difficiles/longs ajuster dtection difficile lorsque la entre le profile et l'attaque est petite (attaque cach ...) besoin d'un trainingset pour l'apprentissage
Anas Abou El Kalam - IDS 10

mesure et techniques utilises : Threshold detection : attributs (%CPU,...) exprim sous forme de borne Statistical measures : apprentissage sur des donnes d'une historique RuleBased measures : quantit non-numrique, mais des rgles Autre : algorithme gntique, ...

06/12/07

Anas Abou El Kalam - IDS

06/12/07

NIDS : Network IDS

recherche de ces pattern dans le trafic rseau grande partie des IDS commerciaux (se branche sur un switch, ...) ensemble de sensors ou d'Host placs sur le rseau sensors peuvent fonctionner en stealth mode : difficult de dtection utilisation de carte rseau en mode promiscious couter et analyser le trafic en temps rel

NIDS : Network IDS

Avantages monitor un large rseau dploiement peu d'influence sur l'architecture existante peu tre vraiment solide contre les attaques, et rester invisible OS indpendant analyse et rponse Temps Rel pas besoin de dployer un HIDS sur tous les machines

I nconvnients problme/difficult de reconnaissance si le trafic est intense

dtection impossible (difficile) si le flux est chiffr (e.g., par VPN) problme de stabilit avec les packets fragments

06/12/07

Anas Abou El Kalam - IDS

11

06/12/07

Anas Abou El Kalam - IDS

12

HIDS : Host IDS

technique des anne 80 quand les rseaux taient plus petits et moins complexe travail sur les informations collectes sur un ordinateur individuel 3 forme : analyse des logs --> recherche de attack pattern recherche de pattern dans le trafic rseau excute log-based et Stack-Based IDS

HIDS : Host IDS

Avantages
peut dtecter les attaques non visible avec un NIDS dtection mme si le flux rseau est crypt (s'occupe des logs qui sont noncrypt) non affect par les switched networks pas d'ajout hardware vrification d'attaque <=> permet de savoir si l'attaque a abouti ou pas

data source : utilise informations provenant de l'OS Operating system audit trails et system logs analyse spcifique de l'activit d'un systme (monitoring login/logoff, file, admin, ...) peut couter les ports => alerte quand certain port est accder analyse des lments cls : base de registre, dll, espace disque, ... vrification des logs en TR ou priodiquement

Inconvnients
ear RealTime dtection et rponse : du l'analyse des logs (du pass) OS dpendent difficile manager : doit tre fait sur toutes les machines peut tre attaqu et dconnect peut pas dtecter les scans rseau (pas d'intraction entre les HIDS) utilisation des ressources de la machine hte mieux adapt aux systmes rparties (ayant des donnes communes)
Anas Abou El Kalam - IDS 14

06/12/07

Anas Abou El Kalam - IDS

13

06/12/07

Type de rponses pour les IDS

Passive Responses
fournit des informations l'administrateur , qui s'occupe de la rponse IDS commerciaux 2 types : Alarmes et notifications gnrer quand l'attaque est dtecte popup, SMS, mail, ... SNMP Traps and Plugins alarmes et alertes reportes un network management system utilisation de SNMP traps and messages

Type de rponses pour les IDS

Active Responses
rponse automatique en rponse un certain type d'attaques 3 types : Collecter des informations supplmentaires dans un environnement plus ferm augmentation de la sensibilit des logs, du nombre de logs Modifier l'environnement bloquer l'accs l'attaquant (IP) stopper l'attaque injecter TCP reset dans la connexion de l'attaquant reconfigurer routeur et firewall pour bloquer les packets de l'attaquant reconfigurer routeur et firewall pour bloquer les services, ports, protocols isoler la machine : bloquer la connexion, l'interface rseau Effectuer un action contre l'attaquant problme lgal ? utilisation de fausse IP par l'attaquant
Anas Abou El Kalam - IDS 16

06/12/07

Anas Abou El Kalam - IDS

15

06/12/07

Rapports .
Gnration et archives de rapport
gnration de rapport et archive dans une BD, packages (Crystal report)

Outils complmentaires : Vulnerability Analysis or Assessment Systems

Camouflage
camoufler les rponses et alertes de l'IDS pour que l'attaquant ne les voit pas utilisation de canaux privs, chiffrs

determiner les vulnrabilit d'une machine ou d'un rseau essentiellement : batch mode misuse detector Vulnerability Analysis System Process : un ensemble spcifi d'attributs du systme est test le rsultat est stock dans une base scuris il est ensuite compar avec un ensemble de rfrence toute diffrence est identifie et reporte + paralllisation, + encryptage Vulnerability Analysis Types : HostBased Vulnerability Analysis (Prevention System): dterminer vulnrabilits par accs aux sources de data (file, configuration, ...) recherche des vulnrabilits passive NetworkBased Vulnerability Analysis (Prevention System) : ncessite une connexion distance au systme cible tentative d'attaques et de scan du systme cible recherche des vulnrabilits active 2 mdes : Test par exploit // Inference methods (version logiciel, ports ouverts) Avantages : partie importante du security monitoring system systme ne supportant pas les IDS information sur la scurit du systme Dsavantages : OS et applications cibles spcifiques NBVA Osindpendant, mais moins puissant et renvoi plus de faussealarme DOS test peut faire planter le systme test lorsque IDS fonctionne = problmes

06/12/07

Anas Abou El Kalam - IDS

17

06/12/07

Anas Abou El Kalam - IDS

18

Outils complmentaires : Integrity checkers

digest, checksums, ..., compar un BD de rfrences recherche de diffrence => alarmes permet de savoir quoi restaurer aprs une attaque http://www.tripwiresecurity.org

Bien choisir son IDS

1.Besoin et Techniques existantes
Quel est votre OS Spcifications techniques de l'OS Spcifications techniques du systme de scurit actuelle But de l'entreprise, de l'organisation ? degr de formalisation de votre organisation? But, objectif de la scurit : problme prioritaire? subit de nombreuses attaques? utiliser l'IDS pour dfinir de nouveau besoin? utiliser l'IDS pour contrler le rseau? L'existant en matire de scurit comment est elle structur? profession des utilisateurs? policies (potilique) ou autre management provisions? action effectuer lors de la violation de la politique ?

Honey Pot
noncommercial, recherche depuis 80 problmes lgales? honey pot : The secret to a good defense is good offense leurrer un attaquant potentiel, le dtourner des attaquants potentiels : divertir l'attaquant collecter des informations sur les techniques de l'attaquant pousser l'attaquant rester longtemps, le temps de le reprer outils de dtection de prsence d'honeypots existe exemple d'honeypots : honeyd

2. cessits et contraintes
cessit l'extrieur de l'organisation accs public? audit interne? accrditation? rsolution d'attaque? Contraintes budgetaire budget? 06/12/07 Anas Abou El Kalam - IDS administrateur? le droit d'effectuer des modifications suite aux rsultats de l'IDS?

06/12/07

Anas Abou El Kalam - IDS

19

20

Dployer un IDS
1. stratgie de dploiement security policies, plans, procedures doit tre en place combinaison de HIDS et NIDS recommand NIDS install en premier => plus simple d'installation puis HIDS sur machine critique tester de temps en temps les systmes pour amliorer la configuration Honey pots, ..., si assez de connaissance dans ce domaine dans l'organisation

Dployer un IDS
Dployer un HIDS
ajoute un niveau de scurit au NIDS pas sur tous les machines, seulement les plus critiques programmer rgulirement une analyse des rsultats du HIDS

Dployer un NIDS
O mettre le system sensors? derrire un firewall avec accs l'extrieur : voir les attaques de l'extrieur pntrant le rseau souligner les problmes de politiques, performances, ..., du firewall savoir ce qui est attaquer (suivant la position du firewall) si l'attaque n'a pas t reconnu, l'IDS peut reconnatre le trafic sortant devant un firewall avec accs l'extrieur : connatre le nombre, type d'attaques venant de l'extrieur on major network backbones : analyse maximum trafic, mais augmente la possibilit spoffing attacks dtecter action non-autoris de la part des utilisateurs autoris sur les sous-rseaux critiques dtecter les attaques ciblant les systmes et ressources critiques rduire les ressources ncessaires aux IDS 06/12/07 Anas Abou El Kalam - IDS

Stratgie d'alarme bien choisir les types d'alarmes : email, paging, network management protocol traps, ... recommandation : ne pas mettre en service les alarmes avant un certain temps d'adaptation / surveillance / test

06/12/07

Anas Abou El Kalam - IDS

21

22

Avantages & Limitation des IDS

Avantages
Analyser et tudier les vnement systme et les utilisateurs Tester le niveau de scurit d'un systme Connatre l'tat de scurit d'un systme et en connatre les modifications Reconnatre les patterns d'vnement qui correspondent une attaque Reconnatre les patterns d''activit qui correspondent statistiquement une attaque Managing OS audit et logging Alerter les bonnes personnes lors d'une attaque Mesurer la robustesse de la politique de scurit Procurer des informations de base sur la politique de scurit Permettre a des nonexperts de maintenir les systmes

Terminologie
Alerts (events) : warning gnr par l'IDS lorsqu'il dtecte quelquechose de suspect Arach IDS : attack profile database pour crer dynamiquement des signatures (compatible avec beaucoup de NIDS) Blacklist : http://www.kgb.to/ CIDF Common Intrusion Detection Framework : effort de standardisation des IDS CISL Common Intrusion Specification Language : language utilis avec des composants CISL Correlation : mise en commun de plusieurs sources pour mieux en dduire des alertes Enumeration : scan d'un rseau pour en connaitre l'architecture False egatives / Miss : attaque ou vnement non dtect False Positives / False Alarm : attaque, qui n'en est pas une, dtecte Fragementation : packet trop grand est dcoup en fragment Intrusion Detection Working group : dfini formats de donnes et formats d'change de ces donnes Islanding : coup l'accs internet du rseau Load Balancing : un IDS qui redirige le traffic vers d'autres NIDS pou allger sa charge promiscious : permet d evoir les packet d'une interface (normalement visible que par elle) Signatures etwork Grepping/ Pattern Matching Protocol decode/ Analysis Heuristic Anomaly/ Behavioral Signatures Statistical Anomaly Protocol anomaly Stealth Mode : permet un IDS d'tre invisible par rapport aux autres htes
23 06/12/07 Anas Abou El Kalam - IDS 24

Limitations
Ne permet pas de : renforcer certains mcanismes (firewalls, identifications, encryptions, ...) dtecter, reporter, repondre une attaque instantanment dtecter attaques nouvelles ou variantes d'attaques rpondre une attaque complexe automatis tout : pas d'interversion humaine rsister aux attaques contre IDS problmes lis la fidlit de la source d'information bien fonctionner avec switched networks
06/12/07

Anas Abou El Kalam - IDS

Introduction
Systme de dtection d'intrusion rseau (NIDS) Auteur : Martin Roesh (21.12.1998) Version actuelle 1.5.2

Exemple d'IDS SNORT

Logiciel libre de droit Taille des sources faibles Portable sur plusieurs types de plateformes Installation et configuration simples Dtection en temps rel et puissante
Anas Abou El Kalam - IDS 26

Fonctionnalits
Processeur

Portabilit
O.S.

Dtection au niveau des protocoles :

IP
_

X86

SPARC

M68K/PPC

ALPHA

AUTRES

TCP
_

UDP

ICMP

Linux OpenBSD FreeBSD NetBSD Solaris SunOS 4.1.x HP-UX AIX Irix Tru64 MacOS X server

Dtection d'activits anormales

Stealth scan Dcouverte d'empreinte d'OS Code ICMP "invalide" _ . . .

Pr-processeur HTTP (attaque CGI) Dtection des petits fragments Dtection de dnis de service Dtection de dbordement de buffer ...
Anas Abou El Kalam - IDS 27

Anas Abou El Kalam - IDS

28
Source : www.clark.net

Procdure d'installation (2)

Compilation
tar xzvf snort-2.8.0.1.tar.gz cd snort-2.8.0.1 ./configure Vrifier que la librairie libpcap est prsente ftp:/ftp.ee.lbl.gov/libpcap.tar.Z make

Procdure d'installation (3)

Visualisation du rpertoire

Configuration
Modification du fichier de configuration "preprocessor http_decode: 80 443 8080" "var MY_NET 193.51.138.0/24"

Installation
mkdir /tmp/monrep cp snort /tmp/monrep strip /tmp/monrep/snort
Anas Abou cp *.lib /tmp/monrep/ El Kalam - IDS 29

Lancement avec la base standard

./snort <-option> Abou El Kalam - IDS Anas
30

criture de rgles (1)

Langage de description simple et facile utiliser Une rgle doit tre imprativement crite sur une seule ligne La combinaison de rgles est autorise Variables de substitutions acceptes Possibilit de faire rfrence des fichiers de rgles spars
Anas Abou El Kalam - IDS 31

criture de rgles (2)

Exemple de rgle
Alert tcp any any -> 192.16.1.0/24 any (flags:SF; msg:"Possi. SYN FIN scan";)

En-tte de rgle
Alert tcp any any -> 192.168.1.0/24 any

Action de la rgle alert log pass Le protocole tcp udp icmp

Anas Abou El Kalam - IDS

32

 En-tte de rgle (suite)

criture de rgles (3)

criture de rgles (4)

Oprateur de direction
Indique l'orientation du trafic auquel la rgle s'applique
Unidirectionnel "->"
log udp any any -> 194.78.45.0/24 any

L'adresse source et destination alert tcp any any -> 192.168.1.0/24 any any Adresse IP suivi de l'espace d'adressage
193.51.138.0/24

Oprateur de ngation "!"

!193.51.138.0/24

Bidirectionnel "<>"
log 193.51.138.0/24 any <> 194.78.45.0/24 any

Pas de mcanisme par nom de domaine Le port source et destination any alert tcp any any -> 192.168.1.0/24 any Port spcifique Gamme de port avec ":"
1:1024

Options de rgles
(flags:SF; msg:"Possible SYN FIN scan";) Cur du moteur de dtection d'intrusion Combinaison de rgles spares par ";" Sparation du motAbou El Kalamde l'argument par ":" Anas cl et - IDS

Oprateur de Anas Abou El Kalam - IDS ngation "!"

!6000:6010

33

34

criture de rgles (5)

Options de rgles (suite)
msg, logto, minfrag, ttl, id, dsize, content, offset, depth, flags, seq, ack, itype, idecode, nocase, session "minfrag" fixe un seuil de taille minimum pour un paquet fragment.
"content" permet de rechercher un contenu spcifique dans le payload.
(content:"|0909090909090909|"; msg: SMTP exploit.";)

criture de rgles (6)

Rgles avances (suite)
Inclusion de fichiers de rgles externes. "include:<chemin et nom de fichier>"

Ou trouver des rgles

http://www.whitehats.com http://www.snort.rapidnet.com http://www.xanadu.rem.cmu.edu http://www.incident.org/snortdb Anas Abou El Kalam - IDS 36 http://www.spyjurenet.com/linuxrc.org/projects/snort

Rgles avances
Variables de substitutions
"var MY_NET 192.168.1.0/24"
Anas Abou El Kalam - IDS 35

 Implantation

Test (1)

Test (2)
Schma d'implantation
Routeur ARPC
CISCO

Internet

Ralisation des tests sous redhat 6.2 et slackware 7 Machines utilises : 486 DX2 66 - DD 820 Mo - 40 Mo RAM
Pentium II - 120 MHz - DD 6 Go - 64 Mo RAM Pentium III - 500 MHz - DD 8 Go - 128 Mo RAM

F.H. 34 Mb/s Real Secure Snort

DMZ

860 rgles Mthode d'analyse :

Je prends le maximum de rgles, je regarde ce qui remonte dans les logs et j'affine

Snort

Dbit thorique des lignes de test :

10 Mb/s et 100Anas Abou El(34 Mb/s) Mb/s Kalam - IDS
37

Snort Net Ranger Real Secure

CAMPUSEl Kalam - IDS Anas Abou

100 Mb/s 34 Mb/s

PRESIDENCE 38

Rsultat (1)
Enregitrement des logs
Le fichier alert (-d) Un fichier spcifique par attaque (logto) Un rpertoire spcifique (-l) Le rpertoire /var/log/snort (-s) L'enregistrement dans un rpertoire s'effectue par adresse IP de machines sources et/ou destinations

Rsultat (2)
Les logs (suite)
Un fichier par type d'"attaque"

Anas Abou El Kalam - IDS

39

Anas Abou El Kalam - IDS

40

Rsultat (3)
Les logs (suite)
Visualisation des fichiers de log
Rgle :
alert TCP any any -> $MY_NET any (msg:"NMAP TCP ping !"; flags: A; ack: 0;)
date protocole heure port source @IP source port dest @IP dest

Avantages
Ne fait pas tout, mais le fait correctement N'engendre pas de ralentissement du trafic Simplicit d'criture des rgles Nombre de rgles consquent Logiciel libre
Peu onreux Source et signatures accessibles ...

drapeaux temps de vie restant

type de service

nd'ordre dacquittement en hexadcimal nsquence en hexadcimal

Anas Abou El Kalam - IDS

nd'ordre d'identification du paquet

41

Adaptation un contexte spcifique Installation simple et rapide Taille de l'excutable faible (420 Ko) Anas Abou El Kalam - IDS Portable, ...

42

Inconvnients
Ne dtecte pas tout Pas d'interface graphique ss linux Ncessite une veille technologique pour la mise jour des rgles Lecture des logs (snortlog, snortstat, logsurfer ...) Rapport ? criture des rgles gourmandes en temps Vrification de la vracit des rgles

Pas de description des vulnrabilits Majuscule et minuscule

Anas Abou El Kalam - IDS 43