Consulting, services, computer engineering. Implementation of technology solutions and support for businesses.

User Rating: 5 / 5

Star ActiveStar ActiveStar ActiveStar ActiveStar Active
 

ips ids definition wiki

ips ids definition wiki : Sécurité des systèmes informatiques

 

> Enjeux pour les entreprises
> Anatomie d’une attaque
> Attaques et Intrusions
> Sécurité active et passive
Les systèmes de détection et de prévention d’intrusion (IDPS)
> Les différents types d’IDS/IPS
> Faux positif et faux négatif
> Détection d’intrusions

Les IDS & IPS en pratique
> HIDS & HIPS (Host Intrusion Detection/Prevention System)
> NIDS & NIPS (Network Intrusion Detection/Prevention System)
> Réactions des IDS/IPS
Contournement des IDS
> Contournement HIDS
> Contournement NIDS
Démo de reconnaissance d’attaque
Bilan

Sécurité des systèmes informatiques

1. Sécurité des systèmes informatiques Enjeux pour les entreprises

> Attaque et intrusion : comportements hostiles dirigés au sein du réseau.
> Confidentialité de l’information
> Intégrité
> Disponibilité
> Non répudiation


1. Sécurité des systèmes informatiques Enjeux pour les entreprises

> Perte de capitaux pour les entreprises.
> Palmarès des systèmes de sécurité mis en œuvre :
1. Firewall.
2. Antivirus.
3. VPN.
4. IDS.


1. Sécurité des systèmes informatiques Anatomie d’une attaque

Collecte d'information
Pénétration du réseau
Infiltration persistée
OBservation des autres ressources disponibles
Attaque

La plupart des attaques, de la plus simple à la plus complexe fonctionnent suivant le même schéma :
Utilisation des bases whois, interrogation des DNS…
Identification de la cible : Adresses IP utilisées
Scanning : Service accessibles
Identification de la cible : Identification des vulnérabilités
Identification de la cible : Installation de backdoors Nettoyage des traces…

> Attaque
Recherche de failles dans le réseau et son exploitation
> Intrusion
Prise de contrôle d’une machine en exploitant une vulnérabilité
>Il existe un grand nombre d’attaques permettant de s’approprier des ressources

> Sécurité active
Filtrer et bloquer des flux (IPS)
> Sécurité passive
Détection/Reconnaissance d’intrusions (IDS)

 

 

 

Consultingit suite fleche 299

 

  

Une question? Posez-la ici

ips ids definition wiki: Les systèmes de détection et de prévention d’intrusions

 

 

H-IDS: Détection d’intrusions sur l’hôte
Analyse exclusivement l’information concernant cet hôte.
Impact sur la machine concernée immédiat
2 type de sources pour suivre l’activité de la machine: log et trace

Avantages: traces sont plus précises et détaillées, logs sont plus petits
Inconvénients: certaines attaques peuvent passer inaperçues.

Avantages des HIDS
Constater immédiatement l’impact d’une attaque
Suivi avec précision de l’activité de l’hôte
Complémentaire avec les NIDS

Faiblesses des HIDS
Très sensibles aux attaques de type DOS
Taille contraignante des fichiers à analyser
Moins de facilité à détecter les attaques de type hôte que les NIDS

Utilisation des HIDS
Principalement sur des machines sensibles
HIDF connus: Tripwire, WATCH, DragonSquire, Tiger, Security Manager…

Application-IDS: Sous groupe des IDS Hôte
Contrôle interaction entre un utilisateur et un programme
Permet de fournir plus d’informations sur l’activité d’une application en particulier.

Avantages: détecter et empécher des commandes particulières
Surveiller chaque transaction entre utilisateur et application
Inconvénients: Sécurité assurée est plus faible.

Usage des Application IDS:
Ce type d’IDS est utile pour surveiller l’activité d’une application très sensible, mais son utilisation s’effectue en général en association avec un HIDS.

N-IDS: Analyse et interprétation des paquets circulant sur ce réseau
Des capteurs sont placés à des endroits stratégique sur le réseau
Les capteurs sont placés en mode furtif
2 type de sources pour suivre l’activité de la machine: log et trace

Placement après un parefeu pour valider qu’il est bien configuré
Placement avant pour recevoir et analyser tout le flux.

Avantages NIDS:
Surveillance discrète du réseau, les attaques de type scan sont facilement détectés
Inconvénients NIDS:
Probabilité de faux négatifs ( attaques non detectées)
Difficile de controler tout le réseau
Fonctionnement en mode crypté principalement ( complexifie l’analyse)

Exemple NIDS:
NetRanger, Dragon, NFR, Snort, ISSRealSecure

NNIDS: Détection d’intrusion de nœud Réseau
Fonctionnement similaire au NIDS
Etudie uniquement les paquets à destination d’une plage d’adresse
Utilisé pour analyser le comportement sensible de certain

Points forts
Surveillance continue et détaillée

Plus besoin de surveiller en permanence le réseau: stockage des logs dans des fichiers ou base de donnée

Modularité de l’architecture: Positionner des sondes à différents endroits pour évaluer l’efficacité des protections en place

HIDS et NIDS se complètent

Points faibles
Besoin de connaissance en sécurité

Problème de positionnement des sondes

Vulnérabilité des sondes NIDS

Problème intrinsèque à la plateforme

IPS: Système de prévention des intrusions:
Vise à anticiper les attaques pirates dès lors que leur empreinte est connu
Automatiser les phases d’analyse de logs
Pouvoir activer un mécanisme de réponse adéquat en un temps record

Il est possible de retrouver les IPS soit dans les IDS ou dans certaines solutions firewall

Compréhension des réseaux IP
Connaissance des serveurs dédiés et de leur architecture logicielle
Maitrise des sondes réseau et l’analyse des logs
Fonctionner à vitesse de ligne
Fonctionner en mode « Statefull Inspection »

Approche comportementale
Détection en fonction du comportement passé de l’utilisateur
Exemple de métriques : charge CPU, volumes de données échangées, heures de connexion, répartition statistiques des protocoles utilisés, etc.

Approche probabiliste
Représentation d’une utilisation courante d’une application ou d ’un protocole.
Approche statistique
Quantification des paramètres liés à l’utilisateur
Utilisation processeurs, mémoire, nombre de connexions sortantes par jour, vitesse de frappe au clavier, sites les plus visités etc.
Difficultés de mise en place
Contrôle d’intégrité
Limites des IDS : remontent énormément d’alertes par défaut

Une question? Posez-la ici

 

 

  

Une question? Posez-la ici

 

 

 

ips ids definition wiki : Les IDS/IPS en pratiques

 

Basé sur l’intégrité du système

> Tripwire
Vérifie les empruntes de fichiers (MD5, SHA, etc.) – périodicité via le cron.
Base de référence des fichiers à analyser
Emprunte des fichiers de configuration et base de données de TripWire
> Logsurfer
Analyse les logs en se basant sur des règles (regex)
Exemples de HIDS :
Tripwire, Logsufer, Swatch, Nocol, Osiris, Prelude (Hybride), etc.

> HIPS bloquent le comportement tels que :
Lecture / écriture de fichiers protégés
Accès à des ports non autorisés
Tentative d'exploitation de débordement de pile (détection de Shellcode)
Accès à certaines zones de la base de registres
Connexions suspectes (sessions RPC actives anormalement longues sur des machines distantes, etc.)

… MAIS couteux, et problème d’interopérabilité.

Exemples de HIPS :
Entercept, Okena (Cisco), ServerLock, etc.

> Open source
> Peu couteux en ressources
> Pas d’interface graphique
> Grande base de signatures mise à jour
> Gestion du réassemblage
> Analyse protocolaire (ex:ping of death) et pattern matching
> 3 modes de fonctionnement :
Sniffer de paquets
Logger de paquets
Détection / Prévention d’intrusions
> Langage de description des règles

> Créer ses propres règles
Syntaxe générale :


Action : alert, log, pass, activate, dynamic
Protocole : tcp/udp/icmp
Options d’une règle :


15 mots clés disponibles
ack,msg, flags, react, resp, content-list, …

> msg
Description de la règle
> flags
Test des drapeaux TCP (ACK, SYN…), opérateur logique (+,*,!)
Exemple : (flags:SF;msg:"SYN FIN scan")
> ack
Teste le champ d’acquittement TCP pour une valeur donnée
Exemple : (flags:A;ack:0;msg:"NMap TCP ping")
> TTL
Teste la valeur du TTL
Exemple : (alert tcp any any -> any any(msg: “Traceroute";TTL:1)

> resp
Met en œuvre des réponses flexibles
Exemple : (alert tcp any any -> 192.168.0.1/24 1524 (flags:S; resp:rst_all; msg: "Root shell backdoor attempt";)
Valeur : rst_all - envoie des paquets TCP_RST dans les deux directions
> react
Réponse active (block, msg) sur connexions HTTP.
Exemple : (alert tcp any any <> 192.168.0.1/24 80 (content-list: "adults"; msg: “Adult sites"; react: block,msg)

Autres actions possibles des IPDS :
> Reconfiguration d’équipements tiers
> Envoi d’un trap SNMP à un agent de supervision
> Envoi d’un E-mail à un ou plusieurs utilisateurs
> Journaliser une attaque
> Sauvegarder les paquets suspicieux
> Démarrage d’une application
> Envoi d’un RST_KILL : construction d’un paquet TCP FIN.
> Notification visuelle d’une alerte.

> Déni de service contre un IDS
> Attaque par insertion
Ajout de paquets superflus
Ex : fragmentation IP et recouvrement de fragments (modification des champs « longueur » et « décalage »).
Ex : Exploiter le Timeout pour le réassemblage (~60s sur machines, <60s sur IDS)
> Attaque par évasion
Ne pas faire détecter le paquet par l’IDS
Ex : modification des chaînes de caractères :
GET /etc/rc.d/../././././/.//./passwd
GET %65%74%63/%70%61%73%73%77%64 (codage en hexadécimal)
URL longues, Remplacer espaces par tabulations, ‘/’ par ‘\’ etc.

Sources
> Wikipédia (http://fr.wikipedia.org)
> Snort (http://www.snort.org)
> Mag-securs (http://www.mag-securs.com/)
> Computer Security Institute (http://www.gocsi.com/)
> Sécurité.org (http://www.securite.org/)
> CGSecurity (http://www.cgsecurity.org)
> Groar : écriture des règles snort (http://www.groar.org/trad/snort/snort-faq/writing_snort_rules.html)
> HSC : consultant en sécurité informatique (www.hsc.fr)

 

 Ce transcript reflète exclusivement l'opinion de ses auteurs et n’engage en aucune façon Consultingit

 

Besoin d'aides avec Linux??