IDS : Intrusion Detection Systems

Précision sur les IDS

Les limites des IDS

Problématique

Par nature, les IDS vont remonter énormément d'alertes, si ils ne sont pas configurés convenablement. L'essentiel réside dans le compromis effectué entre la quantité d'alertes remontés et la finesse de ces dernières. Il faut donc prendre soin d'inclure dans le fichier de configuration le fichier ".rule" nécessaire, en fonction des règles établies par le firewall. Par exemple, si un service est totalement interdit, il est presque inutile d'inclure les signatures associées.

L'art du scann

Dillution temporelle des scanns ...

Les IDS se basent sur certains critères autres que les signatures, afin de détecter les attaques réseaux. Prenons l'exemple d'un scann de port banal ciblant une machine du réseau de l'IDS. Ce dernier sera automatiquement détecté étant donné la fréquence des scanns et une alerte sera remontée. Cependant, les outils de scann disposent de plus en plus d'options et certains, comme "nmap" dispose de précaution (mode "Paranoïd", "Sneaky") qui permettent d'adapter la fréquence de ces scanns, afin de leurrer l'IDS.

Par exemple, l'option -T permet de changer la fréquence des scann afin de passer en dessous du seuil qui déclenche l'adresse. La commande suivante permet d'effectuer des scanns furtifs et discrets: "#nmap -P0 -sS -T Sneaky -p 21, 20 ADDERSS_IP"

Le revers mapping

De même, certaines techniques de scann telles que le "reverse mapping" disposent d'une élaboration accrue. Elle consiste à envoyer des paquets à un ensemble de machines, avec le flag RST positionné à "1". Ainsi, si l'on reçoit en retour le message ICMP "Host Unreachable" d'une machine on sait qu'elle n'est pas présente. Par contre, si l'on ne reçoit rien, il y a de grande chance pour que la machine visée existe. L'outil "hping" (option "-R -c 1 -p IP_MACHINE") permet de telles opérations. Le mauvais trafic peut alors être détecté selon la configuration de snort (car le port source par défaut des paquets générés par snort est 0). En utilisant l'argument -s, on peut éviter d'être reconnu par l'IDS en mettant un port normal).

Inconvénients du mode promiscuous

Par nature, les IDS doivent mettre leur carte réseau en mode "promiscuous" ce qui va leur permettre de recevoir l'intégralité des trames circulant sur le réseau. Ainsi, l'IDS ne générera généralement aucun trafic et se contentera d'aspirer tous les paquets. Cependant, ce mode spécial affranchi la machine de la couche 2 et le filtrage sur les adresse MAC n'est plus activé. Il se peut alors que la machine répondent à certains messages (icmp echo request généré avec l'outil "nemesis"). Si la machine n'est pas en mode "promiscuous", elle ignorera le paquet sinon, elle répondra.

Ce mode génère des accès mémoire et processeur important et il est possible de détecter de telles sondes en comparant les latences de temps de réponse avec celles des machines du même brin LAN (ou proche). Des temps de réponse trop importants sont significatifs d'une activité gourmande en ressources tels que le "sniffing". On pourra alors s'appuyer sur ces données pour valider la présence d'un IDS.

Surchage de l'IDS

Il est aussi possible d'envoyer une quantité importantes d'attaques bénines afin de surcharger les alertes de l'IDS, et ainsi glisser une attaque plus furtive qui aura du mal à être identifiée, si le flot d'informations généré est suffisant.

Scan Zombie

Le "scan zombie" permet de s'appuyer sur une autre machine, afin de leurrer l'IDS sur la provenance de l'attaque. En effet, "nmap" dispose de l'option "-sI" qui permet de forger des paquets adéquates afin de se faire passer pour une autre machine, puis de déterminer le comportement à adopté, en fonction de la réaction de la cible. Dans tous les cas, l'assaillant ne peut être directement découvert par l'IDS.



Valid XHTML 1.0!