Beruflich Dokumente
Kultur Dokumente
IDS : intro
Quoi ?
Software/Hardware System qui automatise le processus d'analyse des vnements d'un ordinateur/rseau pour y dtecter des signes de problmes de scurit/attaques ayant pour but de compromettre la confidentialit, l'intgrit, la disponibilit . Infrastructure devenu ncessaire pour une organisation/entreprise intrusion=attaquant accde au systme (e.g., via internet) gagnant des droits interdits IDS n'empche pas les intrusions, mais les dtecte Recherche de signature d'attaque => pattern spcifiques indiquant intention suspecte/malicieuse
Pourquoi ?
augmentation du nombre de rseaux et de leurs tailles prvenir les problmes en dcouvrant les attaquants dtecter les attaques et problmes de scurits non encore dtectes/corrigs bug noncorrigs attaque inconnue ou non publie systme impossible mettre jour service/protocol vulnrable aux attaques mais ncessaire erreur dans la configuration de la part de l'utilisateur/administrateur prvenir/empcher/rduire les attaques contrle de qualit de la scurit (grands rseaux) obtenir des informations sur les intrusions, faire des corrections (suite l'intrusion), ...
06/12/07
IDS : intro
Stratgie de contrle
dcrit comment les lments d'un IDS sont contrls/manags Centralis : monitoring et dtection contrl par un seul systme Partiellement distribu : monitoring et dtection contrl par un noeud local avec reporting hirarchis sur 1 ou plusieurs noeuds totalement distribu : monitoring et dtection utilisant approche orient agent. Dcisions prisent localement. Timing Temps entre la capture et l'analyse d'un vnement. IntervalBased (Batch Mode) : non continu, store and analysis RealTime (Continuous) : continu
Type de dtection
Dtection par scnario Dtection d'anomalie
06/12/07 Anas Abou El Kalam - IDS 3 06/12/07 Anas Abou El Kalam - IDS 4
une base de signatures un algorithme de recherche de motif composant le flux d'vnements et les signatures pattern matching = automate fini pr/post conditions assertions
utilisation de langage de description d'attaques STATL : langage for state-based Intrusion detection abstraction du dtail de l'attaque rduit l'inhabilit dtecter les attaques modifies description complte du scnario de l'attaque textbased langage (pas de reprsentation graphique) reprsente une attaque comme une composition d'tats et de transitions centr autour du concept de scnario d'attaques
06/12/07
06/12/07
trs efficace pour la dtection sans gnrer trop de fausses alarme taux faible de faux ngatif
Inconvnients
06/12/07
Avantages permet de dtecter les symptmes sans vraiment comprendre l'attaque peut produire des informations qui permettent de dfinir des signatures pour la misuse
detection
recherche de pattern d'activit anormal partir d'appels systmes ordre, nombre et frquence des invocations/ analyse patterns of system calls Base Profile/SUID profile : execve()/ Daemon profile mthode de reconnaissance similaire la reconnaissance de parole
Inconvnients produit un grand nombre de fausses alarmes faux-ngatif si modification lente du comportement en vue d'une attaque paramtres difficiles/longs ajuster dtection difficile lorsque la entre le profile et l'attaque est petite (attaque cach ...) besoin d'un trainingset pour l'apprentissage
Anas Abou El Kalam - IDS 10
mesure et techniques utilises : Threshold detection : attributs (%CPU,...) exprim sous forme de borne Statistical measures : apprentissage sur des donnes d'une historique RuleBased measures : quantit non-numrique, mais des rgles Autre : algorithme gntique, ...
06/12/07
06/12/07
dtection impossible (difficile) si le flux est chiffr (e.g., par VPN) problme de stabilit avec les packets fragments
06/12/07
11
06/12/07
12
data source : utilise informations provenant de l'OS Operating system audit trails et system logs analyse spcifique de l'activit d'un systme (monitoring login/logoff, file, admin, ...) peut couter les ports => alerte quand certain port est accder analyse des lments cls : base de registre, dll, espace disque, ... vrification des logs en TR ou priodiquement
Inconvnients
ear RealTime dtection et rponse : du l'analyse des logs (du pass) OS dpendent difficile manager : doit tre fait sur toutes les machines peut tre attaqu et dconnect peut pas dtecter les scans rseau (pas d'intraction entre les HIDS) utilisation des ressources de la machine hte mieux adapt aux systmes rparties (ayant des donnes communes)
Anas Abou El Kalam - IDS 14
06/12/07
13
06/12/07
06/12/07
15
06/12/07
Rapports .
Gnration et archives de rapport
gnration de rapport et archive dans une BD, packages (Crystal report)
Camouflage
camoufler les rponses et alertes de l'IDS pour que l'attaquant ne les voit pas utilisation de canaux privs, chiffrs
determiner les vulnrabilit d'une machine ou d'un rseau essentiellement : batch mode misuse detector Vulnerability Analysis System Process : un ensemble spcifi d'attributs du systme est test le rsultat est stock dans une base scuris il est ensuite compar avec un ensemble de rfrence toute diffrence est identifie et reporte + paralllisation, + encryptage Vulnerability Analysis Types : HostBased Vulnerability Analysis (Prevention System): dterminer vulnrabilits par accs aux sources de data (file, configuration, ...) recherche des vulnrabilits passive NetworkBased Vulnerability Analysis (Prevention System) : ncessite une connexion distance au systme cible tentative d'attaques et de scan du systme cible recherche des vulnrabilits active 2 mdes : Test par exploit // Inference methods (version logiciel, ports ouverts) Avantages : partie importante du security monitoring system systme ne supportant pas les IDS information sur la scurit du systme Dsavantages : OS et applications cibles spcifiques NBVA Osindpendant, mais moins puissant et renvoi plus de faussealarme DOS test peut faire planter le systme test lorsque IDS fonctionne = problmes
06/12/07
17
06/12/07
18
Honey Pot
noncommercial, recherche depuis 80 problmes lgales? honey pot : The secret to a good defense is good offense leurrer un attaquant potentiel, le dtourner des attaquants potentiels : divertir l'attaquant collecter des informations sur les techniques de l'attaquant pousser l'attaquant rester longtemps, le temps de le reprer outils de dtection de prsence d'honeypots existe exemple d'honeypots : honeyd
2. cessits et contraintes
cessit l'extrieur de l'organisation accs public? audit interne? accrditation? rsolution d'attaque? Contraintes budgetaire budget? 06/12/07 Anas Abou El Kalam - IDS administrateur? le droit d'effectuer des modifications suite aux rsultats de l'IDS?
06/12/07
19
20
Dployer un IDS
1. stratgie de dploiement security policies, plans, procedures doit tre en place combinaison de HIDS et NIDS recommand NIDS install en premier => plus simple d'installation puis HIDS sur machine critique tester de temps en temps les systmes pour amliorer la configuration Honey pots, ..., si assez de connaissance dans ce domaine dans l'organisation
Dployer un IDS
Dployer un HIDS
ajoute un niveau de scurit au NIDS pas sur tous les machines, seulement les plus critiques programmer rgulirement une analyse des rsultats du HIDS
Dployer un NIDS
O mettre le system sensors? derrire un firewall avec accs l'extrieur : voir les attaques de l'extrieur pntrant le rseau souligner les problmes de politiques, performances, ..., du firewall savoir ce qui est attaquer (suivant la position du firewall) si l'attaque n'a pas t reconnu, l'IDS peut reconnatre le trafic sortant devant un firewall avec accs l'extrieur : connatre le nombre, type d'attaques venant de l'extrieur on major network backbones : analyse maximum trafic, mais augmente la possibilit spoffing attacks dtecter action non-autoris de la part des utilisateurs autoris sur les sous-rseaux critiques dtecter les attaques ciblant les systmes et ressources critiques rduire les ressources ncessaires aux IDS 06/12/07 Anas Abou El Kalam - IDS
Stratgie d'alarme bien choisir les types d'alarmes : email, paging, network management protocol traps, ... recommandation : ne pas mettre en service les alarmes avant un certain temps d'adaptation / surveillance / test
06/12/07
21
22
Terminologie
Alerts (events) : warning gnr par l'IDS lorsqu'il dtecte quelquechose de suspect Arach IDS : attack profile database pour crer dynamiquement des signatures (compatible avec beaucoup de NIDS) Blacklist : http://www.kgb.to/ CIDF Common Intrusion Detection Framework : effort de standardisation des IDS CISL Common Intrusion Specification Language : language utilis avec des composants CISL Correlation : mise en commun de plusieurs sources pour mieux en dduire des alertes Enumeration : scan d'un rseau pour en connaitre l'architecture False egatives / Miss : attaque ou vnement non dtect False Positives / False Alarm : attaque, qui n'en est pas une, dtecte Fragementation : packet trop grand est dcoup en fragment Intrusion Detection Working group : dfini formats de donnes et formats d'change de ces donnes Islanding : coup l'accs internet du rseau Load Balancing : un IDS qui redirige le traffic vers d'autres NIDS pou allger sa charge promiscious : permet d evoir les packet d'une interface (normalement visible que par elle) Signatures etwork Grepping/ Pattern Matching Protocol decode/ Analysis Heuristic Anomaly/ Behavioral Signatures Statistical Anomaly Protocol anomaly Stealth Mode : permet un IDS d'tre invisible par rapport aux autres htes
23 06/12/07 Anas Abou El Kalam - IDS 24
Limitations
Ne permet pas de : renforcer certains mcanismes (firewalls, identifications, encryptions, ...) dtecter, reporter, repondre une attaque instantanment dtecter attaques nouvelles ou variantes d'attaques rpondre une attaque complexe automatis tout : pas d'interversion humaine rsister aux attaques contre IDS problmes lis la fidlit de la source d'information bien fonctionner avec switched networks
06/12/07
Introduction
Systme de dtection d'intrusion rseau (NIDS) Auteur : Martin Roesh (21.12.1998) Version actuelle 1.5.2
Logiciel libre de droit Taille des sources faibles Portable sur plusieurs types de plateformes Installation et configuration simples Dtection en temps rel et puissante
Anas Abou El Kalam - IDS 26
Fonctionnalits
Processeur
Portabilit
O.S.
X86
SPARC
M68K/PPC
ALPHA
AUTRES
TCP
_
UDP
ICMP
Linux OpenBSD FreeBSD NetBSD Solaris SunOS 4.1.x HP-UX AIX Irix Tru64 MacOS X server
Pr-processeur HTTP (attaque CGI) Dtection des petits fragments Dtection de dnis de service Dtection de dbordement de buffer ...
Anas Abou El Kalam - IDS 27
28
Source : www.clark.net
Configuration
Modification du fichier de configuration "preprocessor http_decode: 80 443 8080" "var MY_NET 193.51.138.0/24"
Installation
mkdir /tmp/monrep cp snort /tmp/monrep strip /tmp/monrep/snort
Anas Abou cp *.lib /tmp/monrep/ El Kalam - IDS 29
En-tte de rgle
Alert tcp any any -> 192.168.1.0/24 any
32
L'adresse source et destination alert tcp any any -> 192.168.1.0/24 any any Adresse IP suivi de l'espace d'adressage
193.51.138.0/24
Bidirectionnel "<>"
log 193.51.138.0/24 any <> 194.78.45.0/24 any
Pas de mcanisme par nom de domaine Le port source et destination any alert tcp any any -> 192.168.1.0/24 any Port spcifique Gamme de port avec ":"
1:1024
Options de rgles
(flags:SF; msg:"Possible SYN FIN scan";) Cur du moteur de dtection d'intrusion Combinaison de rgles spares par ";" Sparation du motAbou El Kalamde l'argument par ":" Anas cl et - IDS
33
34
Rgles avances
Variables de substitutions
"var MY_NET 192.168.1.0/24"
Anas Abou El Kalam - IDS 35
Implantation
Test (1)
Test (2)
Schma d'implantation
Routeur ARPC
CISCO
Internet
Ralisation des tests sous redhat 6.2 et slackware 7 Machines utilises : 486 DX2 66 - DD 820 Mo - 40 Mo RAM
Pentium II - 120 MHz - DD 6 Go - 64 Mo RAM Pentium III - 500 MHz - DD 8 Go - 128 Mo RAM
DMZ
Snort
PRESIDENCE 38
Rsultat (1)
Enregitrement des logs
Le fichier alert (-d) Un fichier spcifique par attaque (logto) Un rpertoire spcifique (-l) Le rpertoire /var/log/snort (-s) L'enregistrement dans un rpertoire s'effectue par adresse IP de machines sources et/ou destinations
Rsultat (2)
Les logs (suite)
Un fichier par type d'"attaque"
39
40
Rsultat (3)
Les logs (suite)
Visualisation des fichiers de log
Rgle :
alert TCP any any -> $MY_NET any (msg:"NMAP TCP ping !"; flags: A; ack: 0;)
date protocole heure port source @IP source port dest @IP dest
Avantages
Ne fait pas tout, mais le fait correctement N'engendre pas de ralentissement du trafic Simplicit d'criture des rgles Nombre de rgles consquent Logiciel libre
Peu onreux Source et signatures accessibles ...
type de service
41
Adaptation un contexte spcifique Installation simple et rapide Taille de l'excutable faible (420 Ko) Anas Abou El Kalam - IDS Portable, ...
42
Inconvnients
Ne dtecte pas tout Pas d'interface graphique ss linux Ncessite une veille technologique pour la mise jour des rgles Lecture des logs (snortlog, snortstat, logsurfer ...) Rapport ? criture des rgles gourmandes en temps Vrification de la vracit des rgles