Les sondes de sécurité IDS/IPS
Intrusion Protection Système
Présentation IPS
On peut dire qu’un IPS est un IDS étendu qui a pour principale différence
d’intercepter les paquets intrus, il agit et est donc actif au sein du réseau.
Les systèmes IDS et IPS appliquent des méthodes similaires lorsqu'ils essaient de détecter
des intrus ou des attaques sur le réseau. En fait le principe de détection de l’IPS
correspond exactement à celui de l’IDS. Il possède donc généralement soit une base de
données de signatures qui peut être régulièrement mise à jour à mesure que de nouvelles
menaces sont identifiées, soit un système à approche comportementale qui analyse les
différences avec le niveau de fonctionnement normal du réseau qui a été défini par l’
administrateur.
Il y a donc une certaine symétrie entre IPS et IDS.
Une Intrusion Prevention System (IPS) est conçu pour identifier les attaques potentielles et exécuter de façon autonome une contre-mesures pour les empêcher, sans affecter la système d'exploitation normale
Type d'IPS
- Network based IPS (NIPS)
- Analyse statique des flux - Selon les RFC
- Analyse dynamique des flux - Corrélation entre un événement et une signature
- Host Based IPS (HIPS)
- Lecture / écriture de fichiers protégés
- Accès aux ports réseau
- Comportements anormaux des applications
- Bloc les accès en écriture par exemple, bloc les tentatives de récupération de droits ROOT
- Connexions suspectes (sessions RPC actives anormalement longues sur des machines distantes, etc.)
- Récapitulatif
- Positif : - Protection active
- Négatif : - Point névralgique du réseau
- Positif : - Faux positifs moins courants
- Négatif : - Coût d'exploitation
Même principe que le NIDS, à la grande différence comme vous l'aurez compris, il peut
bloquer des flux suspects.
Pour le NIPS, le positionnement en coupure, tel un firewall ou un Proxy, est le seul mode
permettant d’analyser à la volée les données entrantes ou sortantes et de les bloquer.
Le mode recopie de port n'est pas faisable si l'ont veux une intéraction entre le réseau et la sonde.
L'IPS crée donc une faiblesse d'architecture, si un attaquant le découvre il sera simple pour lui de faire tomber le réseau.
Il a deux types d'analyses:
- Selon une base de signatures
Lors de la détection d’une attaque, le système réagit et modifie l’environnement du système attaqué. Cette modification peut être le blocage de certains flux, de certains ports ou l’isolation pure et simple de certains systèmes du réseau.
Le point sensible de ce genre de dispositif de prévention est qu'en cas de faux positif, c'est le trafic du système qui est directement affecté. Les erreurs doivent donc d'être les moins nombreuses possibles car elles ont un impact direct sur la disponibilité des systèmes (sécurité vs. disponibilité).
Même principe que le HIDS, à la grande différence comme vous l'aurez compris, qu'il peut bloquer des trafics anormaux.
Il Bloc les trafic anormaux selon plusieurs critères:
Il gère les trafics encryptés.
NIPS
- Faux positifs (risque de blocage de trafic légitime)
- Coût
- Complexité additionnelle / Exploitation supplémentaire
HIPS
- Protège les systèmes des comportements dangereux et pas seulement du trafic
- Problèmes d'interopérabilité
- Problématique lors des mise à jour système
Type de réponses aux attaques
On a vu en quoi consistait une attaque, ainsi qu'une intrusion au sein d'un SI. D'autre part,
les enjeux de se prémunir contre ces intentions de nuire peuvent s'exprimer en milliers de
dollars par année pour une entreprise.
La DSI (Direction des Systèmes d'Information) d'un établissement pourra mettre en place une
politique de sécurité pour faire face à ces dangers. Deux politiques (pouvant être complémentaire)
seront alors mises en oeuvre :
- Réponse Active
- TCP Reset
- ICMP Network Unreachable
- UDP Port Unreachable
- drop
- Réponse Passive
- Exemple de problème réponse Active
- Récapitulatif
Les réponses actives consistent à répondre directement à une attaque, la plupart du temps en générant des requêtes de fin de connexion vers la source de manière à la contraindre à cesser son activité intrusive sur le champ. Dans le cas de données TCP, ceci se traduit par l’envoi de paquets RST qui marquent la fin d’une session aussi bien vers la source que la destination. Dans le cas des protocoles ICMP ou UDP qui n’implémentent pas de machines d’états, il peut s’avérer plus complexe de marquer une fin de session dans la mesure où la notion même de session n’existe pas. Une méthode couramment utilisée consiste à générer des requêtes ICMP Network Unreachable ou UDP Port Unreachable en espérant que la source reçoive ces requêtes et cesse d’émettre.
Si ces techniques permettent d’interrompre le flux intrusif, elles présentent toutefois des inconvénients majeurs.
Le fait de générer des paquets de réponse à une intrusion peut fournir à l’attaquant d’éventuelles
informations révélant la présence d’un système de protection actif, tel un IPS.
En observant la valeur de certains paramètres des trames de réponse, il est parfois possible de
déduire quel est l’IDS qui les a émit. Je citerai par exemple les cas de Snort qui utilisait
systématiquement un champ TTL de 253 ou de Dragon avec des numéros de séquences incrémentés
de 15 entre 2 trames consécutives. Ces deux problèmes ont été corrigés depuis, mais il en
existe certainement d’autres de même nature sur les IDS et IPS actuels. Si un pirate parvient
à détecter la nature du système utilisé, il peut arriver à le contourner plus facilement.
C’est pourquoi il est souvent préférable de rendre les IDS le plus furtifs possible et de
les cantonner dans un rôle de détection passif.
L'IPS utilise comme je l'ai dit ci-dessus la génération de paquets pour couper la connexion :
Le deuxième problème est l’authenticité de la source de l’attaque (par exemple par le spoofing).
Si l'attaquant usurpe l'identité d'un réseau nécessaire à notre entreprise, cette méthode peut nous
couper du monde (ex : proxy libre ou adresse d’un fai …)
Une des premières solution serait de créer une liste blanche de ce qu'il ne faut absolument pas bloquer.
La liste blanche bloque le paquet suspect mais ne coupe pas le flux
Cette technique consiste à bloquer les flux associés à une activité intrusive sans en informer la source, c'est-à-dire sans générer de paquets spécifiques à destination du pirate. Les réponses passives se traduisent la plupart du temps par des opérations de reconfiguration automatique d’un firewall(snort(NIDS) le fait avec packetfilter(firewall)) afin de bloquer les adresses IP source impliquées dans les intrusions.
Le problème n'est pas le même que la réponse active, n'ayant aucune action vis à vis de l'attaquant celui-ci n'est pas aux courant de la présence de l'IPS. En revanche le problème de l’authenticité de la source de l’attaque est le même. Avec un firewall on a aussi la possiblité de ce couper d'un réseau important.
En effet, si le pirate usurpe une adresse IP sensible telle qu’un routeur d’accès ou un serveur DNS, l’entreprise qui implémente une reconfiguration systématique d’un firewall risque tout simplement de se couper elle-même du monde extérieur.
En cas de spoofing d’adresse IP, le fait de répondre peut générer des effets de bord indésirables.
Considérez le scénario illustré par la figure ci-dessus qui relate une mésaventure arrivée à
la Maison Blanche il y a quelques années.
Après une phase de reconnaissance, un groupe de pirates a réussi à détecter la présence d’un IDS
utilisant des réponses automatiques installé sur le site principal d’une entreprise.
Les pirates ont alors attaqué le site de cette entreprise en le saturant de requêtes UDP distribuées
dont l’adresse IP source était celle d’un serveur de la Maison Blanche.
L’IDS a répondu en générant un grand nombre de paquets de réinitialisation à destination de l’un
des serveurs de la Maison Blanche, qui a croulé sous la charge. L’entreprise qui a servi de base
de rebond a été reconnue responsable de l’attaque contre la Maison Blanche, tant du point de vue
technique que juridique.
Si une intrusion en provenance du réseau externe est détectée, il est possible toutefois de minimiser les risques induits par ces mécanismes de réponse active en n’émettant des paquets de réponse que vers la cible et non pas vers la source. En procédant de cette manière, les flux intrusifs vers la cible sont coupés (de manière impropre toutefois) et le pirate ne peut pas détecter l’IDS.
