Détection d'attaques : les IDS
Afin de détecter les attaques que peut subir un système, il est nécessaire d’avoir un logiciel spécialisé dont le rôle serait de surveiller les données qui transitent sur ce système, et qui serait capable de réagir si des données semblent suspectes. Plus communément appelé IDS (Intrusion Detection Systems), les systèmes de détection d’intrusions conviennent parfaitement pour réaliser cette tâche.
A l’origine, les premiers systèmes de détection d’intrusions ont été initiés par l’armée américaine, puis par des entreprises. Plus tard, des projets open-source ont été lancés et certains furent couronnés de succès, comme par exemple Snort et Prelude que nous détaillerons par après. Parmi les solutions commerciales, on retrouve les produits des entreprises spécialisées en sécurité informatique telles que Internet Security Systems, Symantec, Cisco Systems, …
1) Les différents types d'IDS
Comme nous l’avons vu, les attaques utilisées par les pirates sont très variées. Certaines utilisent des failles réseaux et d’autres des failles de programmation. Nous pouvons donc facilement comprendre que la détection d’intrusions doit se faire à plusieurs niveaux.
4 RPC (Remote Procedure Call) est un protocole permettant de faire des appels de procédures sur un ordinateur distant à l'aide d'un serveur d'application. Ce protocole est utilisé dans le modèle client-serveur et permet de gérer les différents messages entre ces entités.
Ainsi, il existe différents types d’IDS dont nous détaillons ci-dessous les caractéristiques principales.
i. Les systèmes de détection d’intrusions (IDS)
Définition : ensemble de composants logiciels et matériels dont la fonction principale est de détecter et analyser toute tentative d’effraction (volontaire ou non).
Fonctions : détection des techniques de sondage (balayages de ports, fingerprinting), des tentatives de compromission de systèmes, d’activités suspectes internes, des activités virales ou encore audit des fichiers de journaux (logs).
Remarque : utopiquement, il s’agit d’un système capable de détecter tout type d’attaque.
Certains termes sont souvent employés quand on parle d’IDS :
· Faux positif : une alerte provenant d’un IDS mais qui ne correspond pas à une attaqueréelle.
· Faux négatif : une intrusion réelle qui n’a pas été détectée par l’IDS
ii. Les systèmes de détection d’intrusions « réseaux » (NIDS)
Objectif : analyser de manière passive les flux en transit sur le réseau et détecter les intrusions en temps réel.
Un NIDS écoute donc tout le trafic réseau, puis l’analyse et génère des alertes si des paquets semblent dangereux.
Les NIDS étant les IDS plus intéressants et les plus utiles du fait de l’omniprésence des réseaux dans notre vie quotidienne, ce document se concentrera essentiellement sur ce type d’IDS.
iii. Les systèmes de détection d’intrusions de type hôte (HIDS)
Un HIDS se base sur une unique machine, n’analysant cette fois plus le trafic réseau mais l’activité se passant sur cette machine. Il analyse en temps réel les flux relatifs à une machine ainsi que les journaux.
Un HIDS a besoin d’un système sain pour vérifier l’intégrité des donnés. Si le système a été compromis par un pirate, le HIDS ne sera plus efficace. Pour parer à ces attaques, il existe des KIDS (Kernel Intrusion Detection System) et KIPS (Kernel Intrusion Prevention System) qui sont fortement liés au noyau. Ces types d’IDS sont décrits un peu plus loin.
iv. Les systèmes de détection d’intrusions « hybrides »
Généralement utilisés dans un environnement décentralisé, ils permettent de réunir les informations de diverses sondes placées sur le réseau. Leur appellation « hybride » provient du fait qu’ils sont capables de réunir aussi bien des informations provenant d’un système HIDS qu’un NIDS.
L’exemple le plus connu dans le monde Open-Source est Prelude. Ce framework permet de stocker dans une base de données des alertes provenant de différents systèmes relativement variés. Utilisant Snort comme NIDS, et d’autres logiciels tels que Samhain en tant que HIDS, il permet de combiner des outils puissants tous ensemble pour permettre une visualisation centralisée des attaques.
Remarque : nous parlerons de tous ces produits plus tard dans ce document, en évoquant les spécificités et l’installation de chacun.
v. Les systèmes de prévention d’intrusions (IPS)
Définition : ensemble de composants logiciels et matériels dont la fonction principale est d’empêcher toute activité suspecte détectée au sein d’un système.
Contrairement aux IDS simples, les IPS sont des outils aux fonctions « actives », qui en plus de détecter une intrusion, tentent de la bloquer. Cependant, les IPS ne sont pas la solution parfaite comme on pourrait le penser.
Plusieurs stratégies de prévention d’intrusions existent :
• host-based memory and process protection ■* surveille l'exécution des processus et les tue s'ils ont l'air dangereux (buffer overflow). Cette technologie est utilisée dans les KIPS (Kernel Intrusion Prevention System) que nous décrivons un peu plus loin.
• session interception / session sniping ■* termine une session TCP avec la commande TCP Reset : « RST ». Ceci est utilisé dans les NIPS (Network Intrusion Prevention System).
• gateway intrusion detection ■* si un système NIPS est placé en tant que routeur, il bloque le trafic ; sinon il envoie des messages à d'autres routeurs pour modifier leur liste d'accès.
Un IPS possède de nombreux inconvénients. Le premier est qu’il bloque toute activité qui lui semble suspecte. Or, il est impossible d’assurer une fiabilité à 100% dans l’identification des attaques. Un IPS peut donc malencontreusement bloquer du trafic inoffensif ! Par exemple, un IPS peut détecter une tentative de déni de service alors qu’il s’agit simplement d’une période chargée en trafic. Les faux positifs sont donc très dangereux pour les IPS.
Le deuxième inconvénient est qu’un pirate peut utiliser sa fonctionnalité de blocage pour mettre hors service un système. Prenons l’exemple d’un individu mal intentionné qui attaque un système protégé par un IPS, tout en spoofant son adresse IP. Si l’adresse IP spoofée est celle d’un noeud important du réseau (routeur, service Web, ...), les conséquences seront catastrophiques. Pour palier ce problème, de nombreux IPS disposent des « white lists », c’est-à-dire des listes d’adresses réseaux qu’il ne faut en aucun cas bloquer.
Et enfin, le troisième inconvénient et non le moindre : un IPS est peu discret. En effet, à chaque blocage d’attaque, il montre sa présence. Cela peut paraître anodin, mais si un pirate remarque la présence d’un IPS, il tentera de trouver une faille dans celui-ci afin de réintégrer son attaque... mais cette fois en passant inaperçu.
Voilà pourquoi les IDS passifs sont souvent préférés aux IPS. Cependant, il est intéressant de noter que plusieurs IDS (Ex : Snort, RealSecure, Dragon, ...) ont été dotés d’une fonctionnalité de réaction automatique à certains types d’attaques.
vi. Les systèmes de prévention d’intrusions « kernel » (KIDS/KIPS)
Nous l’évoquions précédemment dans le cadre du HIDS, l’utilisation d’un détecteur d’intrusions au niveau noyau peut s’avérer parfois nécessaire pour sécuriser une station.
Prenons l’exemple d’un serveur web, sur lequel il serait dangereux qu’un accès en lecture/écriture dans d’autres répertoires que celui consultable via http, soit autorisé. En effet, cela pourrait nuire à l’intégrité du système. Grâce à un KIPS, tout accès suspect peut être bloqué directement par le noyau, empêchant ainsi toute modification dangereuse pour le système.
Le KIPS peut reconnaître des motifs caractéristiques du débordement de mémoire, et peut ainsi interdire l’exécution du code. Le KIPS peut également interdire l’OS d’exécuter un appel système qui ouvrirait un shell de commandes.
Puisqu’un KIPS analyse les appels systèmes, il ralentit l’exécution. C’est pourquoi ce sont des solutions rarement utilisées sur des serveurs souvent sollicités.
Exemple de KIPS : SecureIIS, qui est une surcouche du serveur IIS de Microsoft.
vii. Les firewalls
Les firewalls ne sont pas des IDS à proprement parler mais ils permettent également de stopper des attaques. Nous ne pouvions donc pas les ignorer.
Les firewalls sont basés sur des règles statiques afin de contrôler l’accès des flux. Ils travaillent en général au niveau des couches basses du modèle OSI (jusqu’au niveau 4), ce qui est insuffisant pour stopper une intrusion. Par exemple, lors de l’exploitation d’une faille d’un serveur Web, le flux HTTP sera autorisé par le firewall puisqu’il n’est pas capable de vérifier ce que contiennent les paquets.
Il existe trois types de firewalls :
· Les systèmes à filtrage de paquets sans état : analyse les paquets les uns après lesautres, de manière totalement indépendante.
· Les systèmes à maintien d’état (stateful) : vérifient que les paquets appartiennent àune session régulière. Ce type de firewall possède une table d’états où est stocké unsuivi de chaque connexion établie, ce qui permet au firewall de prendre des décisionsadaptées à la situation.
Ces firewalls peuvent cependant être outrepassés en faisant croire que les paquets appartiennent à une session déjà établie.
· Les firewalls de type proxy : Le firewall s’intercale dans la session et analyse l’information afin de vérifier que les échanges protocolaires sont conformes aux normes.
viii. Les technologies complémentaires
Les scanners de vulnérabilités : systèmes dont la fonction est d’énumérer les vulnérabilités présentes sur un système. Ces programmes utilisent une base de vulnérabilités connues (exemple : Nessus).
Les systèmes de leurre : le but est de ralentir la progression d’un attaquant, en générant des fausses réponses telle que renvoyer une fausse bannière du serveur Web utilisé.
Les systèmes de leurre et d’étude (Honeypots) : le pirate est également leurré, mais en plus, toutes ses actions sont enregistrées. Elles seront ensuite étudiées afin de connaître les mécanismes d’intrusion utilisés par le hacker. Il sera ainsi plus facile d’offrir des protections par la suite.
Les systèmes de corrélation et de gestion des intrusions (SIM – Security Information Manager) : centralisent et corrèlent les informations de sécurité provenant de plusieurs sources (IDS, firewalls, routeurs, applications, …). Les alertes sont ainsi plus faciles à analyser.
Les systèmes distribués à tolérance d’intrusion : l’information sensible est répartie à plusieurs endroits géographiques mais des copies de fragments sont archivées sur différents sites pour assurer la disponibilité de l’information. Cependant, si un pirate arrive à s’introduire sur le système, il n’aura qu’une petite partie de l’information et celle-ci lui sera inutile.
2) Les méthodes de détection
Pour bien gérer un système de détection d’intrusions, il est important de comprendre comment celui-ci fonctionne. Une question simple se pose alors : comment une intrusion estelle détectée par un tel système ? Quel critère différencie un flux contenant une attaque d’un flux normal ?
Ces questions nous ont amenés à étudier le fonctionnement interne d’un IDS. De là, nous en avons déduit deux techniques mises en place dans la détection d’attaques. La première consiste à détecter des signatures d’attaques connues dans les paquets circulant sur le réseau. La seconde, consiste quant à elle, à détecter une activité suspecte dans le comportement de l’utilisateur.
Ces deux techniques, aussi différentes soient-elles, peuvent être combinées au sein d’un même système afin d’accroître la sécurité.
i. L’approche par scénario (misuse detection)
Cette technique s’appuie sur la connaissance des techniques utilisées par les attaquants pour déduire des scénarios typiques. Elle ne tient pas compte des actions passées de l’utilisateur et utilise des signatures d’attaques (= ensemble de caractéristiques permettant d’identifier une activité intrusive : une chaîne alphanumérique, une taille de paquet inhabituelle, une trame formatée de manière suspecte, …).
Recherche de motifs (pattern matching)
La méthode la plus connue et la plus à facile à comprendre. Elle se base sur la recherche de motifs (chaînes de caractères ou suite d’octets) au sein du flux de données. L’IDS comporte une base de signatures où chaque signature contient les protocole et port utilisés par l’attaque ainsi que le motif qui permettra de reconnaître les paquets suspects.
Le principal inconvénient de cette méthode est que seules les attaques reconnues par les signatures seront détectées. Il est donc nécessaire de mettre à jour régulièrement le base de signatures.
Un autre inconvénient est que les motifs sont en général fixes. Or une attaque n’est pas toujours identique à 100%. Le moindre octet différent par rapport à la signature provoquera la non détection de l’attaque.
Pour les IDS utilisant cette méthode, il est nécessaire d’adapter la base de signatures en fonction du système à protéger. Cela permet non seulement de diminuer les ressources nécessaires et donc augmenter les performances ; mais également réduire considérablement le nombre de fausses alertes et donc faciliter le travail des administrateurs réseaux qui analyseront les fichiers d’alertes.
Cette technique est également utilisée dans les anti-virus.
Recherche de motifs dynamiques
Le principe de cette méthode est le même que précédemment mais les signatures des attaques évoluent dynamiquement. L’IDS est de ce fait doté de fonctionnalités d’adaptation et d’apprentissage.
Analyse de protocoles :
Cette méthode se base sur une vérification de la conformité (par rapport aux RFC) des flux, ainsi que sur l’observation des champs et paramètres suspects dans les paquets. Cependant, les éditeurs de logiciels et les constructeurs respectent rarement à la lettre les RFC et cette méthode n’est pas toujours très performante.
L’analyse protocolaire est souvent implémentée par un ensemble de préprocesseurs, où chaque préprocesseur est chargé d’analyser un protocole particulier (FTP, HTTP, ICMP, ...). Du fait de la présence de tous ces préprocesseurs, les performances dans un tel système s’en voient fortement dégradées.
L’intérêt fort de l’analyse protocolaire est qu’elle permet de détecter des attaques inconnues, contrairement au pattern matching qui doit connaître l’attaque pour pouvoir la détecter.
Analyse heuristique et détection d’anomalies :
Le but de cette méthode est, par une analyse intelligente, de détecter une activité suspecte ou toute autre anomalie.
Par exemple : une analyse heuristique permet de générer une alarme quand le nombre de sessions à destination d’un port donné dépasse un seuil dans un intervalle de temps prédéfini.
ii. L’approche comportementale (Anomaly Detection)
Cette technique consiste à détecter une intrusion en fonction du comportement passé de l’utilisateur. Pour cela, il faut préalablement dresser un profil utilisateur à partir de ses habitudes et déclencher une alerte lorsque des événements hors profil se produisent.
Cette technique peut être appliquée non seulement à des utilisateurs mais aussi à des applications et services. Plusieurs métriques sont possibles : la charge CPU, le volume de données échangées, le temps de connexion sur des ressources, la répartition statistique des protocoles et applications utilisés, les heures de connexion, …
Cependant elle possède quelques inconvénients :
· peu fiable : tout changement dans les habitudes de l’utilisateur provoque une alerte.
· nécessite une période de non fonctionnement pour mettre en œuvre les mécanismesd’auto-apprentissage : si un pirate attaque pendant ce moment, ses actions serontassimilées à un profil utilisateur, et donc passeront inaperçues lorsque le système dedétection sera complètement mis en place.
· l’établissement du profil doit être souple afin qu’il n’y ait pas trop de fausses alertes : lepirate peut discrètement intervenir pour modifier le profil de l’utilisateur afin d’obtenir après plusieurs jours ou semaines, un profil qui lui permettra de mettre en place son attaque sans qu’elle ne soit détectée.
Plusieurs approches peuvent être utilisées pour la méthode de détection comportementale :
Approche probabiliste
Des probabilités sont établies permettant de représenter une utilisation courante d’une application ou d’un protocole. Toute activité ne respectant pas le modèle probabiliste provoquera la génération d’une alerte.
Exemple : Avec le protocole HTTP, il y a une probabilité de 0.9 qu’une commande GET soit faite après une connexion sur le port 80. Il y a ensuite une probabilité de 0.8 que la réponse à cette commande GET soit « HTTP/1.1 200 OK ».
Approche statistique
Le but est de quantifier les paramètres liés à l’utilisateur : taux d’occupation de la mémoire, utilisation des processeurs, valeur de la charge réseau, nombre d’accès à l’Intranet par jour, vitesse de frappe au clavier, sites les plus visités, …
Cette méthode est très difficile à mettre en place. Elle n’est actuellement présente que dans le domaine de la recherche, où les chercheurs utilisent des réseaux neuronaux et le data mining pour tenter d’avoir des résultats convaincants.
Autres méthodes
D’autres méthodes existent mais ne sont pas encore répandues. Parmi celles-ci, nous pouvons noter :
· L’utilisation de l’immunologie, c’est-à-dire construire un modèle de comportementnormal des services.
· La présentation d’une activité habituelle sous forme de graphe.
iii. Les méthodes répandues
En général, les IDS mélangent les différentes techniques de détection par scénario en proposant du pattern matching, de l’analyse protocolaire et de la détection d’anomalies.
De nombreuses techniques et algorithmes sont utilisés dans la détection d’intrusions :
Pattern Matching ->algorithmes de recherche de motifs (ex : Boyer-Moore) ,
-> algorithmes de comptage ->algorithmes génétiques
Analyse Protocolaire ->conformité aux RFC
Détection d’anomalies-> méthodes heuristiques
Analyse statistique -> modèles statistiques
Analyse probabiliste -> réseaux bayésiens
Autre analyse comportementale -> réseaux de neurones, systèmes experts + data mining, immunologie, graphes, ...
Il est bien sûr impossible de détailler chacun des algorithmes mis en oeuvre dans les IDS. Nous avons cependant dédié le chapitre 6 aux algorithmes de pattern matching.
3) Principes généraux et installation technique
Jusqu'à présent, nous avons vu les types d’IDS existants et les méthodes de détection qu’ils utilisent. Nous allons maintenant détailler une étape importante dans la mise en place d’un IDS : l’installation technique.
Lors de la mise en place d’un système de détection d’intrusions au sein d’un réseau, il est important de le déployer correctement d’une part, mais aussi de comprendre son fonctionnement interne pour pouvoir le configurer efficacement. Toute erreur lors de l’installation d’un IDS pourra le rendre inefficace ou inutilisable.
i. Déploiement d’un NIDS
Il faut tout d’abord prendre conscience qu’un NIDS n'est pas suffisant pour assurer la sécurité. En plus d’installer un NIDS, il ne faudra pas oublier les actions habituelles :
· les systèmes et les applications doivent être mises à jour régulièrement (patches desécurité)
· les systèmes utilisant Internet doivent être dans un réseau isolé (DMZ)
· chaque utilisateur doit être averti de l’importance de la sécurité de ses mots de passe
· les fonctionnalités des services qui ne sont pas utilisées doivent être désactivées.
Lors du déploiement d’un IDS, il faut le configurer correctement : par exemple, si le réseau est sous Windows, les règles destinées à Unix ne sont pas nécessaires. Il faut donc faire une configuration en fonction de l'OS, des applications et du matériel utilisés.
L'emplacement du senseur6 est très important :
. Une zone démilitarisée (DMZ) est un sous-réseau isolé par un pare-feu. Ce sous-réseau contient des machines sesituant entre un réseau interne (LAN) et un réseau externe (typiquement, Internet).
6. Un senseur est une sonde, placée sur le réseau, dont le rôle est d’attraper le trafic circulant sur celui-ci.
• A l'emplacement B, seul le trafic entre les systèmes de la DMZ et Internet est analysé. Le trafic entre le réseau interne et Internet n'est pas analysé. Pour cela, il faudra également placer un senseur au point A.
• A l'emplacement C, le trafic entre Internet et le réseau interne ou la DMZ est analysé. Par contre, le trafic entre le réseau interne et la DMZ est invisible.
Il est impensable de vouloir analyser tout le trafic d’un réseau. Il faut donc donner la priorité aux systèmes à risque : ceux qui offrent des services accessibles par Internet (HTTP, FTP, ...).
De plus, il est souvent préférable de placer le senseur après le firewall du côté interne. Ainsi, seul les flux acceptés par le firewall sont analysés, ce qui réduit fortement la charge de la sonde IDS.
Lors de l’installation d’un NIDS, le choix matériel a également une grande importance. Puisqu’une sonde NIDS doit être capable d’analyser le trafic réseau quelque soit le destinataire, elle devra recevoir elle-même tous les paquets. Pour cela, le NIDS devra jouer le rôle d’un sniffer, mais le matériel réseau pose parfois problème :
• un switch simple (commutateur) : en utilisant un tel équipement, la conversation avec l’IDS est impossible du fait de la nature d’un switch : il commute les paquets directement au destinataire. Il est dès lors impossible d’installer une sonde qui analysera le trafic global.
• un hub (concentrateur) -» la conversation avec l’IDS est possible car les hubs répètent les paquets en les émettant à toutes les machines connectées. Cependant, les hubs sont peu fiables et sont donc à éviter.
• il existe des switches professionnels qui copie le trafic et l'envoie sur un port spécifié (où sera placé le NIDS) : SPAN port (Switch Port Analyzer). Attention : pour ce port, il faudra utiliser une connexion rapide (ex : Gigabits) capable d'analyser entièrement le trafic provenant ou à destination des différents sous réseaux.
Un autre problème doit être pris en considération : lorsque les flux sont cryptés (ex : par SSL, c’est le cas pour les VPN8), il est impossible pour l’IDS de décrypter ces flux. Il faut dans ce cas utiliser un proxy SSL comme illustré ci-dessous.
Nous savons donc maintenant que l’emplacement des sondes et le matériel réseau utilisés sont très importants. Cependant, un autre point ne doit pas être oublié : la sécurisation du senseur et des logs d'alerte. En effet, si la sonde elle-même ou si les alertes qu’elles génèrent ne sont pas sécurisées, un pirate pourrait très bien rendre l’IDS complètement inefficace.
. Un sniffer est une machine écoutant toutes les données circulant sur le réseau.
. Le Réseau privé virtuel (VPN ou Virtual Private Network, en anglais), est une extension des réseaux locaux quiprocure une norme de sécurité en télécommunications.
Pour sécuriser les sondes et les fichiers d’alertes, il est par exemple possible de mettre en place un réseau de management très contrôlé, avec son propre firewall. Ce système sera primordial pour la sécurité du réseau et plusieurs mesures devront être prises pour assurer son fonctionnement :
· Le système d’exploitation du senseur devra tenu à jour
· Un système d’authentification robuste (ex : PKI) pourra être mis en place pourrenforcer la sécurité.
· Tous les mots de passe devront être changés régulièrement
· Il est également possible d’utiliser deux interfaces réseaux pour le senseur : lapremière pour générer les alertes et contrôler le trafic ; et la deuxième, complètementinvisible, en tant que point de monitoring. Ce genre d’interface est communémentappelée stealth interface.
ii. Problèmes techniques
Le premier problème est de configurer correctement l’IDS afin qu’il n’inonde pas les rapports d’alertes avec des faux positifs. La présence de faux positifs semble inoffensive. Or, s’ils sont trop nombreux, les rapports d’alertes seront longs à analyser. Par conséquent, les administrateurs passeront beaucoup de temps à distinguer un faux positif d’une véritable intrusion. Et de plus, en voyant toutes ces fausses alertes, ils auront tendance à minimiser le risque d’attaque.
Bien sûr, il faut également veiller à ce que l’affinement de la configuration ne génère pas des faux négatifs car toute intrusion non détectée peut avoir des conséquences dramatiques.
Le deuxième problème provient des débits actuels sur les réseaux : ces débits augmentent de plus en plus, et les IDS ont de plus en plus de paquets à traiter et à analyser. En plus d’avoir un équipement réseau performant, l’IDS doit utiliser des algorithmes adaptés et optimisés.
Afin de bien comprendre comment améliorer les performances d’un NIDS, il faut comprendre les différentes étapes. Chaque paquet de données traité par l’IDS va subir une suite de traitements :
· capture de la trame par l’interface en mode promiscuité (promiscous mode)
· analyse de la trame et filtrage éventuel en bas niveau
· détection de la présence de fragments ou non et passage éventuel à un moteur dereconstruction
· transfert de la trame vers le système d’exploitation
· filtrage éventuel
· applications de divers préprocesseurs en fonction du type de requête afin de contrerdes techniques d’évasion d’attaques (voir plus loin)
· passage vers le moteur d’analyse (protocole, pattern matching, statistique, …)
Pour améliorer les performances de l’IDS, il peut donc être judicieux de répartir les charges. Par exemple, il est envisageable de séparer les flux à analyser en fonction du protocole de niveau 4 : une sonde pour l’analyse des flux Web, une autre pour l’analyse des flux FTP et une analyse des requêtes SQL.
Un autre problème est la corrélation des informations provenant de plusieurs types de sondes. Voici les actions à réaliser pour regrouper ces informations :
· agrégation : rassembler les informations des différentes sondes
· fusion : fusionner en supprimant les doublons (même attaque détectée par plusieurssondes)
· corrélation : définir un motif commun, c'est-à-dire interpréter une suite d’événementset les résumer
Une corrélation intéressante serait de ne garder que les alertes qui concernent une faille probable du système. Pour cela il faut utiliser un scanner de vulnérabilités par exemple, ou ne pas afficher les alertes concernant IIS si on possède Apache, ce qui entraînera moins de faux positifs.
Néanmoins, l’utilisation d’un scanner de vulnérabilités n’est pas parfaite car il est difficile d’échanger des informations entre un scanner de vulnérabilités et un IDS. Cependant, depuis peu, des consoles de corrélation entre IDS et scanners de vulnérabilités sont proposées (ex : Nevo de Tenable Network Security).
Enfin, un dernier problème est qu’il n’y a aucune interopérabilité entre les différents IDS du marché, mis à part la possibilité d’exporter les informations dans des formats standard. Pourtant, des normes ont été établies, comme nous allons le voir.
iii. Complémentarité des IDS
Nous avons vu qu’il existe plusieurs types d’IDS, dont leur rôle est complètement différent. Plus exactement, leurs rôles sont complémentaires. En effet, un NIDS ne fera qu’analyser le trafic réseau. Mais complété par un HIDS, des intrusions non détectées sur le réseau pourront l’être lorsqu’elles atteindront la machine cible.
En général, un seul NIDS par réseau est suffisant. Mais il est possible de placer des sondes à différents endroits du réseau afin de répartir la charge.
L’idéal pour les HIDS serait d'en déployer sur toutes les machines du parc informatique mais cela n'est rarement fait pour des raisons de coût et d'exploitation. Un compromis souvent choisi est d'installer des agents HIDS sur toutes les machines de la DMZ, ainsi que sur les serveurs importants.
Les KIDS/KIPS ralentissant énormément l’exécution des programmes, ils sont souvent délaissés ou configurés de façon à n’utiliser que les fonctionnalités de base. Pourtant, ils sont les seuls à pouvoir détecter de manière efficace les tentatives de buffer overflows. Ils sont donc très conseillés sur les machines sensibles.
4) Normalisation
Il y a quelques années, un comité du DARPA a défini 4 briques fonctionnelles pour décrire l’architecture globale d’un IDS :
· Générateur d’événements (boîte E) : envoie des événements à la boîte A
· Analyseur d’événements (boîte A) : produit des alertes
· Base de données événementielle (boîte D)
· Système de réponse (boîte R) : réponse en temps réel face aux attaques
Ce comité a aussi défini un langage de description des intrusions (CISL – Common Intrusion Specification Language) qui utilise des expressions verbales (ex : « ouvrir session », « effacer objet », …). Cependant, ce langage n’a jamais été utilisé mais il a inspiré d’autres comités.
L’IDWG (Intrusion Detection Working Group) a effectué la plupart des travaux dans le domaine de la standardisation des IDS :
■* norme IDMEF (Intrusion Detection Message Exchange Format) : définit le format des messages échangés dans un IDS.
■* protocole IDXP (Intrusion Detection eXchange Protocol) : procédures de transport entre les entités de l’IDS.
Selon l’IDWG, un IDS est ensemble de plusieurs senseurs, analyseurs et managers :
C’est un schéma théorique, rarement implémenté de cette façon dans les IDS. La norme IDMEF préconise une représentation en XML des messages où dans chaque message, on retrouve l’ID de l’analyseur, le type d’alerte, l’emplacement (le nœud réseau), le jour et l’heure, l’adresse, la classification de l’attaque, …
5) Techniques anti-IDS
Comme tout système informatique, ou presque, il existe des failles dans les IDS, ou plutôt des techniques qui permettent d’outrepasser ces systèmes sans se faire repérer. Si un pirate détecte la présence d’un IDS, il peut le désactiver, ou mieux encore, générer de fausses attaques pendant qu’il commettra son forfait tranquillement.
Il existe trois catégories d’attaques contre les IDS :
· Attaque par déni de service : rendre l’IDS inopérant en le saturant.
· Attaque par insertion : le pirate, pour éviter d’être repéré, injecte des paquets de leurrequi seront ignorés par le système d’exploitation de la cible mais pris en compte parl’IDS : l’IDS ne détecte rien d’anormal, alors que sur le système cible, l’attaque a bienlieu puisque les paquets superflus sont ignorés.
· Attaque par évasion : il s’agit de la technique inverse à l’attaque par insertion. Ici, desdonnées superflues sont ignorées par l’IDS mais prises en compte par le systèmed’exploitation. Nous détaillons un peu plus loin quelques techniques d’évasion Web.
i. Détecter un IDS
Comme nous l’avons déjà signalé, il est très dangereux que la présence d’un IDS soit remarquée par un pirate. Car dans ce cas, il tentera d’obtenir un maximum d’informations sur l’IDS installé (ex : la version utilisée) pour pouvoir l’outrepasser et attaquer sans se faire remarquer. Voici quelques techniques qui permettent de détecter un IDS :
Usurpation d’adresse MAC : les NIDS mettent l’interface de capture en mode promiscuité (promiscuous mode), il est donc possible de détecter l’IDS en envoyant par exemple un ICMP « echo request » à la machine soupçonnée d’être un NIDS avec une adresses MAC inexistante. Si la machine répond alors elle est en mode promiscuous et peut donc être un NIDS.
Mesure des temps de latence : puisque l’interface est en mode promiscuous, les temps de réponse sont plus longs. Voici une méthode pour exploiter ces temps de latence :
· le pirate génère une série de pings vers l’adresse à tester, puis il mesure et note lestemps de réponses.
· le pirate sature ensuite le réseau en broadcast9 dans le but de ralentir l’IDS, qui recevratous les paquets. Enfin, le pirate réémet la même série de pings en mesurant lesnouveaux temps de réponse. S’ils sont bien plus élevés que les premiers tempsobtenus, il est fort possible que la machine soit en mode promiscous.
Exploiter les mécanismes de réponses actives : Les IPS réagissent à certaines attaques (fermer session, bloquer port, …) mais en faisant cela, ils laissent souvent des empreintes (header des paquets) permettant d’identifier le type d’IPS.
Observation des requêtes DNS : Les IDS génèrent souvent des requêtes DNS lors des alertes. En observant le DNS primaire lors de fausses attaques, on peut détecter qu’il y a un IDS.
ii. Déni de services contre un IDS
Le but est de désactiver l’IDS en saturant ses ressources (ex : SYN Flood ou paquets fragmentés incomplets). L’IDS sera dès lors incapable d’exécuter sa fonctionnalité de détection, et le pirate pourra réaliser son attaque.
iii. Techniques d’insertion
Comme nous l’avons vu, ces techniques consiste à injecter des données supplémentaires de telle sorte que :
· l’IDS les estiment inoffensives
· la cible ne les décode pas
Voici quelques méthodes permettant d’utiliser des techniques d’insertion :
S en utilisant la fragmentation IP qui est gérée de manière différente selon l’OS lors de cas anormaux (ex : recouvrement de paquets) : soit les fragments anciens sont favorisés, soit les nouveaux le sont. Par exemple, il est donc possible que les IDS favorisent les anciens paquets alors que le système d’exploitation utilisé favorise les nouveaux.
9 Le broadcast est un terme anglais (en français on utilise le terme diffusion) définissant une diffusion de données à un ensemble d'ordinateurs connectés à un réseau informatique.
Pour utiliser le recouvrement de fragments (fragmentation overlap), il faut modifier artificiellement les champs « longueur » et « décalage » (offset) des fragments IP.
S en utilisant l’écrasement de fragments (fragmentation overwrite) : même principe que précédemment mais des fragments entiers sont remplacés, et non seulement des parties de paquets.
S en utilisant le timeout de fragmentation : les systèmes conservent en général les fragments pendant 60 secondes pour le réassemblage ; mais les IDS les gardent souvent moins longtemps. On peut donc espacer les fragments dans le temps pour ne pas se faire repérer par l’IDS tout en réalisant une attaque complète sur le système d’exploitation.
S découpage de sessions TCP (session splicing) : la requête TCP est divisée en paquets, tout en modifiant le numéro de séquence pour créer des recouvrements : même principe qu’avec la fragmentation IP + possibilité de timeout (Apache Linux : 5min dans tampon, IIS : 10 min). L’un des outils pour réaliser ce genre d’attaques se nomme fragroute.
S insérer un faux paquet avec checksum erroné : certains IDS ne verront pas l’attaque car peu d’IDS vérifient le checksum. Le système, par contre, rejettera le paquet erroné.
Attention : de nos jours, les routeurs rejettent souvent les paquets erronés ; il faut donc utiliser un autre champ que le checksum, comme par exemple le TTL
iv. Techniques d’évasion
Nous présentons maintenant quelques techniques d’évasion. Pour rappel, ces techniques ont pour but d’insérer des données qui seront ignorées par l’IDS mais qui ne gêneront nullement l’attaque.
· Evasions HTTP : le principe est de modifier la syntaxe des URL mais sans changer la sémantique. La première personne à avoir présenté ce genre d’attaques avait pour pseudonyme Rain Forrest Puppy qui est l’auteur du très célèbre outil Whisker, un scanner de vulnérabilités Web.
Voici quelques exemples d’évasion HTTP qui permettaient à une époque d’outrepasser les signatures de nombreux NIDS, tout en émettant des requêtes HTTP valides. Bien sûr, les NIDS prennent maintenant en compte ces techniques.
■* faire une requête HEAD au lieu de GET.
■* encoder les URL en hexadécimal, cette forme d’encodage étant tout à fait valide selon la RFC du protocole HTTP.
■* simuler la fin d’une requête prématurée avec le caractère de fin de chaîne ou bien avec les caractères de fin de requête HTTP : %0D%0A
■* utiliser des URL longues : certains IDS n’analysaient qu’une partie de l’URL
■* utiliser la syntaxe MS DOS / Windows : remplacer les caractères / par \
■* découper la requête HTTP sur plusieurs paquets
■* remplacer les espaces par des tabulations
• Shellcodes polymorphiques : parmi les attaques décrites précédemment, nous avons vu les tentatives de buffer overflow. Celles-ci peuvent être décomposées en trois grandes parties :
- des instructions pour remplir le buffer. Assez souvent, ce sont des instructionsassembleurs NOP, dont le code est 0x90 sur architecture IA32.
- le shellcode, c’est-à-dire le code qui sera exécuté sur la machine et qui permettra de donner accès à un shell de commandes.
- une adresse de retour de procédure (qui pointe souvent vers les NOP) qui permettra lors du dépassement de buffer d’exécuter le shellcode.
De nombreux IDS sont capables de détecter les tentatives de buffer overflow. La première méthode est de surveiller la présence importante d’instructions NOP. La deuxième est de détecter la chaîne « bin/sh » qui est souvent présente dans les shellcodes pour Unix. La troisième méthode est d’avoir des signatures complètes de shellcodes répandus sur Internet.
Cependant, il est facilement possible de camoufler une tentative de buffer overflow. Voici quelques techniques simples mais efficaces :
- mettre une autre instruction que des NOP pour remplir le buffer (ex : DAA, AAA, XOR, INC, …)
- écrire les instructions par des équivalences, comme par exemple réécrire une instruction « MOV EAX, 0 » par « XOR EAX,EAX » ou bien encore « SUB EAX, EAX » qui auront toutes les trois pour effet de mettre le registre EAX à 0.
- réaliser un cryptage (XOR) du shellcode et ainsi le rendre polymorphique. Dans ce cas, le décodeur et la clé doivent être présents dans le shellcode pour pouvoir le décrypter lors de son exécution chez la victime.
Nous pouvons remarquer qu’il devient très difficile pour un IDS de détecter un shellcode en utilisant des signatures. Le seul moyen efficace est de détecter le buffer overflow lors de son exécution et l’empêcher au dernier moment de lancer un shellcode. Pour cela, seuls les KIPS (Kernel Intrusion Prevention System) se montrent adaptés puisqu’ils surveillent les appels systèmes.
6) Critères de tests d'un IDS
Lors de la mise en place d’un IDS, il est nécessaire de prendre en considération plusieurs critères qui permettront de choisir au mieux l’IDS.
Tester un IDS avec des scanners de vulnérabilité est une mesure nécessaire pour évaluer un IDS, mais est loin d'être suffisante. D'autres critères doivent être pris en compte :
· Méthodes et capacités de détection : estimer le taux de faux positifs et la qualitéd'information fournie par l'IDS.
· Rapidité : tester l'IDS en condition de charge élevée. Il est important de tester cela demanière réaliste, et non pas en utilisant des générateurs de paquets.
· Ouverture : il faut que l'IDS permette de modifier les signatures afin d'éviter certainsfaux positifs, mais aussi d'ajouter de nouvelles signatures spécifiques àl'environnement.
· Résistance aux techniques d'évasion : utiliser des outils tels que Whisker, Nikto,Babelweb, Fragroute ou Mendax pour observer le comportement de l'IDS.
· Architecture logicielle : pour les grandes entreprises, il est intéressant de pouvoirséparer les fonctions d'administration.
· Exploitabilité des données : il faut disposer d'outils permettant de retrouver et analyserfacilement les événements suspects car le volume généré par les IDS est important.
Afin de centraliser les données, il peut être intéressant de disposer de consoles de reporting ou de tableaux de bords.
· Ergonomie : on retrouve différents types d’interfaces dans les IDS. Tout d’abord, lesinterfaces graphiques qui sont adaptées aux particuliers ou aux PME. Ensuite, lesinterfaces de type Web ou encore les interfaces en ligne de commandes réservées auxspécialistes. Dans tous les cas, l’interface doit offrir de nombreuses fonctionnalités.
D'autres critères, comme la réactivité de l'éditeur (mises à jour des signatures, correctifs, …), ou le prix (solution libre ou non) rentrent en jeu. Pour évaluer un IDS, il est intéressant de pondérer chacun de ces critères selon l'importance qu'on leur attribue, et donner une note à l'IDS pour chaque critère.
