mercredi 28 janvier 2015

Les méthodes de détection des intrusions (SNORT)

Introduction


       Les systèmes d'information sont aujourd'hui de plus en plus ouverts sur Internet. Cette ouverture, a priori bénéfique, pose néanmoins un problème majeur : il en découle un nombre croissant d'attaques. La mise en place d’une politique de sécurité autour de ces systèmes est
donc primordiale.
       L’enjeu de la sécurité est devenu plus puissant à cause des pirates et hackers qui scrutent les réseaux privés afin de détecter une petite faille qui pourrait engendrer de graves  conséquences. Mais, malgré les progrès réalisés en ce domaine, celui de la sécurité informatique, on arrive juste à réduire les intrusions et non pas les éliminer.


Définition de l'IDS:



Un système de détection d'intrusion (ou IDS : Intrusion Detection System) est un ensemble de composants logiciels et matériels dont la fonction principale est de détecter et analyser toute tentative d’effraction (volontaire ou non) du réseau sur lequel il est placé. C'est un outil complémentaire aux firewalls, scanneurs de failles et anti virus.



Les IDS systèmes (Host IDS) analysent le fonctionnement et l'état des machines sur lesquels ils sont installés afin de détecter les attaques en se basant sur des démons (tels que syslogd par exemple). L'intégrité des systèmes est alors vérifiée périodiquement et des alertes peuvent êtres levées. 



Les IDS réseaux (Network IDS) analysent en temps réel le trafic qu'ils aspirent à l'aide d'une sonde (carte réseau en mode "promiscuous"). Ensuite, les paquets sont décortiqués puis analysés. En cas, de détection d'intrusion, des alertes peuvent être envoyées.

Pourquoi  a t-on besoin de l'IDS?



ü  le virus "Chernobyl" (CIH) a causé enormément de dégats en attaquant directement les BIOS et disques durs des machines. Pour la seule année 1999, ces dégats s'estimaient à 250 000 dollars, uniquement pour la Corée du Sud.

ü  Dernièrement, le virus Sasser à également prouvé sa virulance en infectant Les machines Microsoft avec une rapidité déconcertante.

Lorsque on observe les chiffres, il est clair que la prudence s'impose pour se protéger afin de minimiser les dégats. c’est pour cela qu’on aura besoin des IDS Pour  :  

- Avoir une  mise à jour quotidienne de la circulation du flux.

- Permettre à un administrateur réseau d’écouter différents endroits au niveau du réseau


Les différents types d'IDS:



Les IDS disposent de deux approches différentes, afin de déceler les intrusions :

Les IDS à signature : Généralement, les IDS réseaux se basent sur un ensemble de signatures qui représentent chacune le profil d'une attaque. Cette approche consiste à rechercher dans l'activité de l'élément surveillé (un flux réseau) les empreintes d'attaques connues, à l'instar des anti virus.
Une signature est habituellement définie comme une séquence d'événements et de conditions relatant une tentative d'intrusion. La reconnaissance est alors basée sur le concept de "pattern matching" (analyse de chaînes de caractères présente dans le paquet, à la recherche de correspondance au sein d'une base de connaissance). Si une attaque est détectée, une alarme peut être remontée (si l'IDS est en mode actif, sinon, il se contente d'archiver l'attaque).

Les IDS comportementaux : Les IDS comporteaux ont pour principale fonction la détection d'anomalie. Leur déploiement nécessite une phase d'apprentissage pendant laquelle l'outil va apprendre le comportement "normal" des fluxs applicatifs présents sur son réseau.
Ainsi, chaque flux et son comportement habituel doivent etre déclarés ; l'IDS se chargera d'émettre une alarme, si un flux anormal est détecté, et ne pourra bien entendu, spécifier la criticité de l'éventuelle attaque.

Mise en place d'un IDS:





Il existe plusieurs endroits stratégiques où il convient de placer un IDS.
Le schéma ci-dessus illustre un réseau local ainsi que les trois positions que peut y prendre un IDS :

Position ( 1 ): Sur cette position, l'IDS va pouvoir détecter l'ensemble des attaques frontales, provenant de l'extérieur, en amont du firewall. Ainsi, beaucoup d'alertes seront remontées ce qui rendra les logs difficilement consultables.

Position ( 2 ): Si l'IDS est placé sur la DMZ (Zone démilitarisée), il détectera les attaques qui n'ont pas été filtrées par le firewall et qui relèvent d'un certain niveau de compétence. Les logs seront ici plus clairs à consulter puisque les attaques bénins ne seront pas recensées.

Position ( 3 ): L'IDS peut ici rendre compte des attaques internes, provenant du réseau local de l'entreprise. Il peut être judicieux d'en placer un à cet endroit étant donné le fait que 80% des attaques proviennent de l'intérieur. De plus, si des trojans ont contaminé le parc informatique (navigation peu méfiante sur internet) il pourront êtres ici facilement identifiés pour être ensuite éradiqués.
Idéalement, on placerait des IDS sur les trois positions puis on délèguerait la consultation des logs à l'application "acid" (http://acidlab.sourceforge.net/) qui permet d'analyser les alertes et d'en présenter clairement les résultats via une interface web complète. Si une seule machine peut être déployée, autant la mettre sur la position 2, cruciale pour le bons fonctionnement des services.

Qu'est ce que SNORT?


SNORT est un open source du système de détection des intrusions de réseau.
 Il a capable d’analyser le trafic sur le réseau en temps réel et des paquets circulant sur le réseau IP.
Il peut exécuter l'analyse de protocole, en cherchant et s’assortant le content et peut être employé pour détecter une variété d'attaques, des tentatives comme des débordements d'amortisseur, des balayages de port de dérobée, des attaques de CGI, des sondes de SMB, des tentative d’empreinte de OS, et beaucoup plus.
SNORT a trois utilisations primaire:

Il peut être employé en tant qu'un renifleur de paquet comme tcpdump
un enregistreur de paquet (utile pour le trafic de réseau corrigeant).
ou comme plein système soufflé de détection d'intrusion de réseau.

Categories: ,