rr_detectionintrusion
TRANSCRIPT
-
8/9/2019 RR_DetectionIntrusion
1/19
Rapport de recherche
Dtection et prvention dintrusion :
prsentation et limites
Nathalie Dagorn1
1 Universit de Nancy1Laboratoire Lorrain de Recherche en Informatique et ses Applications (LORIA)
Campus Scientifique BP 239, F-54506 Vanduvre-ls-Nancy Cedex, [email protected]
http://www.loria.fr/
Rsum. Ce rapport de recherche a pour objectif de fournir (i) une prsentation
gnrale des techniques et familles de dtection et de prvention dintrusion, ainsique (ii) une description pertinente des limites technologiques de chacune dessolutions prsentes. Les rsultats de cette recherche (limites et fonctionnalits desoutils voqus) sont issus la fois dune analyse scrupuleuse de la littrature
spcifique rcente et de retours dexprience dadministrateurs systme.
Mots-cls. Dtection dintrusion, dtection danomalie, dtection dabus, prvention
dintrusion, limites.
Introduction
Aucun systme dinformation nest sr 100% ! Parmi les prceptes connus sur la
scurit informatique se trouve celui nonant que, pour une entreprise connecte
lInternet, le problme aujourdhui nest plus de savoir si elle va se faire attaquer, mais
quandcela va arriver ; une solution possible est alors dessayer de repousser les risques
dans le temps par la mise en uvre de divers moyens destins augmenter le niveau de
scurit. Pour contrer les menaces dintrusion, les entreprises se tournent de plus en plus
vers les solutions de dtection dintrusion, dont les possibilits faramineuses sont vantes
par les socits ditrices de ces logiciels. Mais le dcalage entre le discours commercial et
les possibilits techniques relles de ces produits peut tre important, et les consquences
fcheuses lorsquil sagit de scurit de linformation !
-
8/9/2019 RR_DetectionIntrusion
2/19
Dacceptation courante, lintrusion est dfinie comme laction de sintroduire sansautorisation dans un lieu dont lintrus nest pas propritaire1. Cette dfinition sapplique
galement en informatique lorsquun tiers pntre dans un systme et accde
illgitimement ses donnes. Une intrusion peut rsulter notamment de laction dun
pirate dsireux de nuire aux biens dune organisation, dun ver cherchant assurer sa
propagation, dune attaque automatise, etc. Les attaques dintrusion peuvent tre
rpertories selon trois types :
- les attaques rseau ;- les attaques par portes drobes (backdoors) et canaux de communication cachs
(cover channels) ;
- les attaques sur les services, qui gagnent une importance croissante (de nos jours, peu prs 60% des intrusions se font via le Web [15]).
La dtection dintrusion est tudie depuis plus de vingt-cinq ans2. Les systmes dits
passifs de dtection dintrusion (IDS pourIntrusion Detection Systems) ont t dploysde plus en plus largement, suivis aujourdhui par des systmes dits actifs de prvention
dintrusion (IPS pour Intrusion Prevention Systems). La recherche en dtection (et
prvention) dintrusion est toujours trs active, notamment en raison des volutions
rapides et incessantes dans les technologies de linformation et de la communication.
Ce rapport de recherche prsente une vue densemble des techniques et familles de
dtection et de prvention dintrusion, ainsi que leurs principales limites. Il na pas la
prtention dtre exhaustif ni de rpondre toutes les questions concernant la
dtection/prvention dintrusion, mais simplement de donner un aperu du domaine, de
faon dgager les principales limites technologiques des solutions actuelles. Les
rsultats de cette recherche (limites et fonctionnalits des outils voqus) sont issus la
fois dune analyse scrupuleuse de la littrature spcifique rcente et de retours
dexprience dadministrateurs systme.
1 La dtection dintrusionEn scurit informatique, la dtection d'intrusion est l'acte de dtecter les actions qui
essaient de compromettre la confidentialit, l'intgrit ou la disponibilit d'une ressource.
La dtection d'intrusion peut tre effectue manuellement ou automatiquement. Dans le
processus de dtection d'intrusion manuelle, un analyste humain procde lexamen de
fichiers de logs la recherche de tout signe suspect pouvant indiquer une intrusion. Un
1 INTRUS, -USE adj. et n. XIVe sicle. Emprunt du latin ecclsiastique intrusus, qui s'estintroduit irrgulirement ; illgitime. Personne qui s'introduit quelque part sans avoir qualit pour y
tre admise ou sans y tre invite. (Dictionnaire de lAcadmie Franaise, 9e dition)
INTRUSION n. f. XIVe sicle. Emprunt du latin mdival intrusio, installation non canonique ;occupation par la force. Le fait de s'introduire, contre le droit ou la forme, dans un lieu, dans une
socit ou une compagnie, dans une charge. (Dictionnaire de lAcadmie Franaise, 9e dition)2 Voir notamment le rapport dAnderson [1], le modle de Denning [4], etc.
-
8/9/2019 RR_DetectionIntrusion
3/19
systme qui effectue une dtection d'intrusion automatise est appel systme de dtectiondintrusion (IDS). Lorsquune intrusion est dcouverte par un IDS, les actions typiques
quil peut entreprendre sont par exemple denregistrer linformation pertinente dans un
fichier ou une base de donnes, de gnrer une alerte par e-mail ou un message sur un
pager ou un tlphone mobile. Dterminer quelle est rellement l'intrusion dtecte et
entreprendre certaines actions pour y mettre fin ou l'empcher de se reproduire, ne font
gnralement pas partie du domaine de la dtection d'intrusion. Cependant, quelques
formes de raction automatique peuvent tre implmentes par l'interaction de l'IDS et de
systmes de contrle d'accs tels que les pare-feu.
1.1 Les systmes de dtection dintrusion (IDS)Un systme de dtection d'intrusion est un mcanisme destin reprer des activitsanormales ou suspectes sur la cible analyse (rseau, hte).
Les techniques de dtection dintrusion. Deux techniques de dtection dintrusion sont
gnralement mises en uvre par les IDS courants.
La dtection dabus (misuse detection). Dans la dtection d'abus (aussi appele dtection
de mauvaise utilisation), lIDS analyse linformation recueillie et la compare (pattern
matching, approche par scnarii) avec une base de donnes de signatures (motifs dfinis,
caractristiques explicites) dattaques connues (i.e., qui ont dj t documentes), et toute
activit correspondante est considre comme une attaque (avec diffrents niveaux de
svrit). Un systme de dtection dabus est, par exemple, STAT ( State Transition
Analysis Toolkit) [6].
La dtection danomalie (anomaly detection). La dtection d'anomalie de comportement
est une technique assez ancienne (elle est utilise galement pour dtecter des
comportements suspects en tlphonie, comme le phreaking). Lide principale est de
modliser durant une priode d'apprentissage le comportement normal dun
systme/programme/utilisateur en dfinissant une ligne de conduite (dite baseline ou
profil3), et de considrer ensuite (en phase de dtection) comme suspect tout
comportement inhabituel (les dviations significatives par rapport au modle de
comportement normal). Les modles de dtection danomalie incluent frquemment des
modles statistiques, tels que ceux utiliss dans NIDES (NIDES/STAT) [7] ou Haystack
3 Par exemple, profil de connexion : frquence de login (combien de fois par jour/semaine
lutilisateur se connecte-t-il ?), lieu de login (statistiques sur la connexion distante/locale), etc. Un
profil est donn par une mtrique et un modle statistique. Une mtrique est une variable alatoire Xmodlisant le comportement quantitatif sur une priode de temps. Un modle est utilis pour
dtecter si les nouvelles valeurs de X concordent avec les valeurs de X dj observes (et supposeslgitimes).
-
8/9/2019 RR_DetectionIntrusion
4/19
[14], par exemple. La dtection d'anomalie peut invoquer les fonctionnalits suivantes[11] :
- Dtection de seuil (threshold detection) : des compteurs dlimitent une zone ousont utiliss pour compter combien de fois quelque-chose est excut, ouvert,
dmarr... Cette analyse statique peut tre amliore par la dtection
heuristique de seuil4.
- Dtection base sur des rgles dfinies (rule-based detection) : si l'usage dvie deces rgles, une alarme est dclenche.
- Mesure statique (static measure) : le comportement de l'utilisateur et du systmese conforme une signature prdfinie. Un programme notant l'activit
normale de l'utilisateur pour la dfinition de signatures est souvent inclus.
- Dtection d'anomalie de protocole (protocol anomaly detection) : elle reprsenteun sous-groupe de la dtection d'anomalie. C'est une technique relativement
rcente fonctionnant, la base, comme la dtection d'anomalie. Chaque protocolea une signature prdfinie (voir les RFC correspondantes) ; le but de la dtection
d'anomalie de protocole est de trouver si le comportement du protocole est
conforme celui prdfini ou non. Beaucoup d'attaques sont bases sur l'abus de
protocole ; ce sous-groupe est donc assez important relativement aux IDS.
Dans la pratique, la dtection dabus et la dtection danomalie sont souvent utilises
de faon complmentaire par les IDS (par exemple, EMERALD [12], JiNao [2, 16])5.
Le diagramme en Fig. 1 illustre le fonctionnement dun IDS.
4 Le compteur est dynamique, et non pas initialement fix une valeur statique.5 Des variantes plus ou moins proches de ces techniques existent, par exemple, la dtection basesur une politique ( policy-based detection). Dans ce cas, lIDS effectue la dtection dintrusion en sebasant sur une politique de scurit prdfinie (consiste en une spcification de politique de scuritlogique et un algorithme de validation de trace d'excution) [17]. Une telle approche a le potentield'apporter des amliorations sensibles par rapport la dtection statistique d'anomalie et la
dtection de scnario en termes de fiabilit, dexactitude et de maintenance requise. Idalement, lamaintenance est ncessaire uniquement pour changer la politique spcifie, sans besoin de mise
jour ou de phase d'adaptation. Tout comme la dtection dabus, cette technique se rvle efficacepour dtecter les attaques connues, le taux de fausses alarmes est faible, et le processus est
normalement moins consommateur de ressources informatiques. Malheureusement cette technique
est inefficace pour dtecter des attaques nouvelles ou inhabituelles. Ecrire les rgles de la politiquede dtection peut se rvler trs pnible ; en outre, si ces rgles venaient tre connues delattaquant, elles pourraient tre contournes. La dtection base sur une politique nest pas dtailledans ce rapport introductif.
-
8/9/2019 RR_DetectionIntrusion
5/19
Fig. 1. Fonctionnement d'un IDS
Les familles dIDS et leurs variantes (localisation). Selon l'endroit qu'ils surveillent et
ce qu'ils contrlent (les sources d'information), deux familles principales dIDS sont
usuellement distingues [9, 10] :
IDS rseau (NIDS). Le rle essentiel d'un IDS rseau, appel NIDS (Network-based
Intrusion Detection System), est l'analyse et l'interprtation des paquets circulant sur ce
rseau. Afin de reprer les paquets contenu malicieux caractristique, comme par
exemple /etc/passwd, des signatures sont cres. Des dtecteurs (souvent de simples
htes) sont utiliss pour analyser le trafic et si ncessaire envoyer une alerte
6
. Un IDSrseau travaille sur les trames rseau tous les niveaux (couches rseau, transport,
application). De plus en plus, en dissquant les paquets et en comprenant les protocoles,
il est capable de dtecter des paquets malveillants conus pour outrepasser un pare-feu
aux rgles de filtrage trop laxistes, et de chercher des signes dattaque diffrents endroits
sur le rseau. Quelques exemples de NIDS : NetRanger, NFR, Snort, DTK, ISS
RealSecure7.
Les IDS rseau ont des atouts, par exemple, les dtecteurs peuvent tre bien scuriss
puisqu'ils se contentent d'observer le trafic, les scans sont dtects plus facilement grce
aux signatures, etc. Cependant, les problmes majeurs lis aux NIDS sont de conserver
toujours une bande passante suffisante pour lcoute de lensemble des paquets, et de bien
positionner lIDS pour quil soit efficace.
6
Dans ce contexte, le mode furtif (stealth mode) est souvent choisi, c'est--dire que les capteursagissent de manire invisible, les rendant plus difficiles localiser et atteindre pour un attaquant.7 Resp. http://www.cisco.com; http://www.nfr.net; http://www.snort.org; http://all.net/dtk/dtk.html ;http://www.iss.net/products_services/enterprise_protection/rsnetwork/sensor.php
-
8/9/2019 RR_DetectionIntrusion
6/19
IDS hte (HIDS). Les systmes de dtection d'intrusion bass sur l'hte (poste de travail,
serveur, etc.), ou HIDS ( Host-based IDS), analysent exclusivement l'information
concernant cet hte. Comme ils n'ont pas contrler le trafic du rseau mais seulement
les activits d'un hte, ils se montrent habituellement plus prcis sur les varits
d'attaques. Ces IDS utilisent deux types de sources pour fournir une information sur
l'activit : les logs et les traces d'audit du systme d'exploitation. Chacun a ses avantages :
les traces d'audit sont plus prcises, dtailles et fournissent une meilleure information ;
les logs, qui ne fournissent que l'information essentielle, sont plus petits et peuvent tre
mieux analyss en raison de leur taille. Il nexiste pas de solution unique HIDS couvrant
lensemble des besoins, mais les solutions existantes couvrent chacune un champ
dactivit spcifique, comme lanalyse de logs systme et applicatifs, la vrification de
lintgrit des systmes de fichiers, lanalyse du trafic rseau en direction/provenance de
lhte, le contrle daccs aux appels systme, lactivit sur les ports rseau, etc. Parexemple, le dmon syslog peut tre considr partiellement comme un systme HIDS, car
il permet de consigner certaines activits, et laide dun analyseur comme Swatch8, de
dtecter certaines tentatives dintrusion (comme bad login) ; Tripwire9, centrant son
activit sur lintgrit du systme de fichiers, peut aussi tre vu comme un HIDS ;
Security Manager10, etc.
Les systmes de dtection d'intrusion bass sur l'hte ont certains avantages : l'impact
d'une attaque peut tre constat et permet une meilleure raction, des attaques dans un
trafic chiffr peuvent tre dtectes (impossible avec un IDS rseau), les activits sur
l'hte peuvent tre observes avec prcision, etc. Ils prsentent nanmoins des
inconvnients, parmi lesquels : les scans sont dtects avec moins de facilit ; ils sont plus
vulnrables aux attaques de type DoS ; l'analyse des traces d'audit du systme est trs
contraignante en raison de la taille de ces dernires ; ils consomment beaucoup de
ressources CPU, etc.
Une version d IDS hybride est possible et dsormais supporte par diffrentes offres
commerciales. Mme si la distinction entre HIDS et NIDS est encore courante, certains
HIDS possdent maintenant les fonctionnalits de base des NIDS. Des IDS bien connus
comme ISS RealSecure se nomment aujourd'hui IDS hte et rseau. Dans un futur
proche, la diffrence entre les deux familles devrait sestomper de plus en plus (ces
systmes devraient voluer ensemble). De ces deux familles principales, de nombreuses
variantes sont issues :
IDS de nud rseau (NNIDS). Les systmes de dtection dintrusion de nud rseau
(NNIDS pour Network Node IDS) fonctionnent comme les NIDS classiques, c'est--dire
quils analysent les paquets du trafic rseau, hormis que (i) cela ne concerne que les
8http://swatch.sourceforge.net/9http://www.tripwire.com/10http://www.netiq.com/products/sm/default.asp
-
8/9/2019 RR_DetectionIntrusion
7/19
paquets destins un nud du rseau, et (ii) la diffrence des NIDS classiques, lesNNIDS ne fonctionnent pas en mode promiscuous
11, mais dun autre ct, puisque tous
les paquets ne sont pas vrifis, les performances de l'analyse sont amliores.
IDS bas sur une application (ABIDS). Les IDS bass sur les applications (ABIDS pour
Application-Based IDS) sont un sous-groupe des IDS htes, parfois mentionns
sparment. Ils contrlent l'interaction entre un utilisateur et un programme en ajoutant
des fichiers de logs afin de fournir de plus amples informations sur les activits. Oprant
entre utilisateur et programme, il est facile pour lABIDS de filtrer tout comportement
notable.
Ses principaux avantages sont de travailler en clair (contrairement aux NIDS, par
exemple) d'o une analyse plus facile, et la possibilit de dtecter et dempcher des
commandes particulires dont l'utilisateur pourrait se servir avec le programme. Deux
inconvnients majeurs sont identifis : le peu de chances de dtecter, par exemple, uncheval de Troie (puisque lABIDS n'agit pas dans l'espace du noyau) ; en outre, les
fichiers de logs gnrs par ce type d'IDS sont des cibles faciles pour les attaquants (ils ne
sont pas aussi srs que les traces d'audit du systme, par exemple).
IDS bas sur la pile (SBIDS). Les systmes de dtection d'intrusion bass sur une pile
(SBIDS pour Stack-Based IDS), travaillant troitement avec la pile TCP/IP, octroient la
consultation des paquets lorsquils montent travers les couches OSI et permettent ainsi
lIDS de retirer les paquets de la pile avant que le systme dexploitation ou lapplication
nait eu la possibilit dlaborer la charge virale. LIDS bas sur une pile peut tre
efficace contre certaines formes de chiffrement en retraant les paquets aprs quils aient
t dchiffrs par la pile TCP/IP.
Pot de miel (honeypot). Possdant de nombreuses similitudes avec les IDS, les pots de
miel (traduction littrale de l'expression anglaise honeypot) sont quelquefois considrs
comme faisant partie des IDS. Un pot de miel est un outil informatique (systme, serveur,
programme, etc.), volontairement expos et vulnrable une ou plusieurs failles connues,
destin attirer et piger les pirates, tout en permettant d'observer leur comportement en
pleine action et d'enregistrer leurs mthodes d'attaque pour mieux les tudier, les
comprendre et les anticiper. La tche principale d'un pot de miel consiste analyser le
trafic, c'est--dire informer du dmarrage de certains processus, de la modification de
fichiers... permettant ainsi de crer un profil labor des attaquants potentiels. Tout l'art du
pot de miel consiste remonter jusqu' l'origine de l'attaque, sans que le pirate s'en doute
et que jamais il ne puisse souponner le fait que le site visit ne soit qu'un leurre
(montage). Le rseau interne n'est pas expos puisque le pot de miel est gnralement
plac dans la DMZ (zone dmilitarise). Il existe trois variantes de pots de miel :
11 Le mode promiscuous permet de capturer lensemble des trames circulant sur le rseau.
-
8/9/2019 RR_DetectionIntrusion
8/19
- De prvention : les pots de miel ne sont pas les systmes les plus appropris pourviter les attaques. Comme nous le verrons avec les systmes capitonns, un
pot de miel mal programm et mal configur peut mme faciliter les attaques.
- De dtection: l'un des principaux avantages des pots de miel vient de ce qu'ilsexcellent la dtection d'attaques. Dans ce contexte, ils peuvent surtout analyser
et interprter les logs. Le placement du pot de miel joue un rle dcisif : les
administrateurs ne peuvent tirer bnfice des pots de miel que s'ils sont placs et
configurs correctement. Souvent, ils sont placs entre des serveurs importants
pour dtecter des scans ventuels du rseau entier, ou proximit d'un serveur
essentiel pour dtecter les accs illgaux l'aide d'une redirection de port (si
quelqu'un essaie d'accder au serveur par certains ports, il est redirig vers le pot
de miel, et comme cet accs ne doit pas tre autoris, une alerte est gnre).
- De raction: selon sa configuration, un pot de miel peut ragir aux vnements.De mme, les pots de miel peuvent tre classs en deux sous-catgories : recherche et
production. Les pots de miel de production ont pour objectif de diminuer les risques sur
un rseau alors que ceux de recherche servent obtenir des informations sur les
attaquants.
Attention, les pots de miel ne sont pas totalement lgaux et il convient dtre prudent
dans leur utilisation. Un pot de miel peut tre considr comme une invitation
l'attaque et si l'hte attaqu na pas pris de mesures ractives, cette non-raction peut
tre interprte comme une ngligence. Quelques argumentations judiciaires contre les
pots de miel semblent banales mais il est prfrable de vrifier ce que dit la loi en vigueur
dans le pays dinstallation (en Europe, les pots de miel sont autoriss). Si quelqu'un
attaque un autre rseau partir du rseau du pot de miel et cause des dommages, lentit
qui a install le pot de miel sera considre comme responsable.
Systmes capitonns (padded cell systems). Les systmes capitonns fonctionnent
habituellement avec l'un ou l'autre des systmes abords prcdemment. Si l'IDS utilis
informe d'une attaque, l'attaquant est dirig vers un hte capitonn. Une fois dans cet
hte, il ne peut plus causer de dommages puisque l'environnement est simul (c'est un
leurre). Cet environnement doit tre aussi raliste que possible, autrement dit, l'attaquant
doit penser que son attaque a t couronne de succs. Il est alors possible d'enregistrer,
de suivre et d'analyser toute activit de l'attaquant.
Les systmes capitonns prsentent des inconvnients : dune part leur usage peut
tre illgal (comme pour les pots de miel, ils sont tolrs en Europe) ; dautre part, la mise
en uvre d'un tel systme est assez difficile et rclame des comptences puisque
l'ensemble de l'environnement doit tre simul correctement (si l'administrateur fait une
petite erreur, ce systme peut tre l'origine de nouveaux trous de scurit).
-
8/9/2019 RR_DetectionIntrusion
9/19
1.2 Les limites des IDSHistoriquement, les entreprises et les gouvernements ont t rticents rvler des
informations concernant les attaques sur leurs systmes de peur de perdre la confiance
publique, ou de peur que dautres attaquants exploitent la mme vulnrabilit ou une
vulnrabilit similaire. Aussi les donnes spcifiques et dtailles sur les attaques nont-
elles pas t disponibles jusqu une poque trs rcente. Aujourdhui encore les
entreprises restent rticentes dvoiler ce type de donnes, ce qui ne facilite pas le travail
autour des IDS. La dtection d'intrusion prsente des limites et peut se montrer
impuissante dans certains cas.
Limites gnrales des IDS. Ces limites sappliquent aux techniques de dtection dabus
comme celles de dtection danomalie.
Attaques sur les drapeaux TCP. Les IDS sont vulnrables certaines attaques sur les
drapeaux TCP (TCP flags) [13], comme par exemple :
- envoi dun faux SYN ;- insertion de donnes avec mauvais numro de squence ;- FIN/RST spoofing avec mauvais numro de squence ;- dsynchronisation aprs connexion ;- dsynchronisation avant connexion [SYN (mauvaise somme de contrle +
mauvais numro de squence) puis SYN] ;
- FIN/RST spoofing avec mauvaise somme de contrle ;- Data spoofing avec mauvaise somme de contrle ;- FIN/RST spoofing avec TTL court ;- insertion de donnes avec un TTL court, etc.
Placement de lIDS. Sans entrer dans les dtails, au niveau du placement de lIDS
(implmentation et design), il est intressant de faire de la dtection dintrusion dans la
zone dmilitarise (attaques contre les systmes publics), dans le (ou les) rseau(x)
priv(s) (intrusions vers ou depuis lintrieur) et derrire le pare-feu (dtection des signes
parmi tout le trafic entrant et sortant). Chacun de ces positionnements a ses avantages et
inconvnients. Limportant est de bien identifier les ressources protger (risques
daffaires majeurs) et ce qui est le plus susceptible dtre attaqu [9]. Il convient alors
dimplmenter prcautionneusement lIDS (paramtrage, etc.) en fonction du placement
choisi [13].
Pollution/surcharge. Les IDS peuvent tre pollus ou surchargs, par exemple par la
gnration dun trafic important (le plus difficile et lourd analyser possible). Une
quantit importante d'attaques bnignes peut galement tre envoye afin de surcharger
les alertes de l'IDS [3]. Des consquences possibles de cette surcharge peuvent tre lasaturation de ressources (disque, CPU, mmoire), la perte de paquets, le dni de service
partiel ou total [5].
-
8/9/2019 RR_DetectionIntrusion
10/19
- Consommation de ressources : outre la taille des fichiers de logs (de l'ordre duGo), la dtection d'intrusion est excessivement gourmande en ressources ;
- Perte de paquets (limitation des performances) : les vitesses de transmission sontparfois telles qu'elles dpassent largement la vitesse d'criture des disques durs
les plus rapides du march, ou mme la vitesse de traitement des processeurs. Il
n'est donc pas rare que des paquets ne soient pas reus par lIDS, et que certains
dentre eux soient nanmoins reus par la machine destinataire.
- Vulnrabilit aux dnis de service : un attaquant peut essayer de provoquer undni de service au niveau du systme de dtection d'intrusion, ou pire au niveau
du systme d'exploitation de la machine supportant l'IDS. Une fois l'IDS
dsactiv, l'attaquant peut tenter tout ce qui lui plait. Par exemple, l'attaque Stick
est une tentative de dni de service contre les IDS (en particulier contre ISS
RealSecure) surchargeant de travail l'IDS au point de le dsactiver ou au moins
de le rendre moins efficace.Ainsi une attaque relle furtive glisse dans ce trafic aura du mal tre identifie si le
flot d'informations gnr est suffisant, et risque donc de ne pas tre traite ! Tout outil
permettant de gnrer du trafic peut tre utilis cette fin : SynFlooder, Smurf, Targa,
Tcpreplay, Nmap12, etc. [13].
Contournement/vasion. Les IDS peuvent galement tre contourns ou outrepasss. Dans
le cas dune attaque par vasion, le systme de dtection d'intrusion rejette un paquet qui
sera pourtant accept par la destination [5]. Il se peut, par exemple, qu'une diffrence de
systmes d'exploitation entre la machine supportant l'IDS et la machine surveille fasse
que certains paquets rejets par le systme de dtection d'intrusion soient accepts par la
destination (comme des paquets UDP avec une somme de contrle errone, rejets par la
plupart des systmes d'exploitation sauf les plus anciens) [5].
[3] distingue six techniques de contournement :
- Insertion (ajout de donnes aux flux prsents) : ce peut tre, par exemple,linsertion de paquets avec des TTL courts.
- Elimination : consiste rendre l'IDS inutile ou inexploitable.- Substitution : ce procd change tout ou une partie du contenu incriminable.- Fragmentation (dcouper un contenu ou des oprations) : elle aboutit en gnral
une modification de signature, par exemple lenvoi de deux fragments qui se
recouvrent. Cest le cas par exemple des attaques de type Teardrop13, du
chevauchement des en-ttes (pour modifier l'IP source, le port de destination
au dernier moment), ou encore des attaques au niveau applicatif qui peuvent tre
fragmentes pour leurrer le moteur d'analyse parpattern matching de l'IDS.
12
http://tcpreplay.sourceforge.net ; http://www.insecure.org/nmap/13 Attaque par fragmentation : le principe de l'attaque Teardrop consiste insrer dans des paquets
fragments des informations de dcalage errones. Ainsi, lors du rassemblage il existe des vides oudes recoupements (overlapping), pouvant provoquer une instabilit du systme.
-
8/9/2019 RR_DetectionIntrusion
11/19
- Distribution (rpartition des sources) : la distribution peut permettre une attaquecoordonne (concept prsent et gr, par exemple, dans Shadow Novell
NetWare Crack14 avec loutil Dscan -distributed scanner-).
- Confusion : consiste rendre le contenu incomprhensible.[5] ajoute ces techniques de contournement les attaques temporelles : la dtection
comprenant frquemment une valeur de seuil, l'attaquant peut s'arranger pour dlayer ses
attaques dans le temps en prenant garde ne pas gnrer une activit dpassant les seuils
fixs.
Dautres attaques peuvent tre mises en uvre pour outrepasser les IDS, notamment les
attaques des protocoles bas niveau (IP, TCP), Whisker15 (scannerde vulnrabilits du
protocole de haut niveau http), URL encodes, etc.
En outre, la source dune attaque nest pas toujours identifiable [15] :
- Par exemple, le scan zombie permet de s'appuyer sur une autre machine afin deleurrer l'IDS sur la provenance de l'attaque. En effet, Nmap dispose de l'option -sI qui permet de forger des paquets adquats et de se faire passer pour une autre
machine, puis de dterminer le comportement adopter en fonction de la
raction de la cible. Dans tous les cas, l'assaillant ne peut tre directement
dcouvert par l'IDS [3].
- Attaque dorigine masque : il est possible d'utiliser un relais mal configur ouanonyme sur Internet (option p de Nmap), ou d'utiliser pour chaque requte un
relais http tir alatoirement dans une liste16
, outils hping ou idlescan17
, etc.
- Attaque noye (option decoy de Nmap) en envoyant des paquets similairesmais avec de fausses adresses sources. L'adresse d'origine est une parmi
plusieurs ! [13].
Il existe de nombreuses autres techniques anti-IDS non abordes ici par mesure de
concision. Pour de plus amples dveloppements sur ces techniques, nous renvoyons le
lecteur des analyses telles que [11] ou [5].
Temps de dtection. Le temps de dtection est un lment capital pour un IDS : la
dtection des intrusions se fait-elle en temps rel ou ncessite-t-elle un dlai ? Quel dlai
(quelques jours) ? [13]. Lexprience montre quil faut habituellement un certain laps
de temps afin de dceler ou de reconstituer une attaque (temps danalyse, de raction...)
[9].
Communication caches (cover channels). Les communications caches sont typiquement
des communications entre un pirate et la machine compromise. Par exemple, il est
possible dencapsuler des donnes malicieuses dans des commandes TCP. Les attaques
14 Voir par exemple http://www.tenebril.com/src/info.php?id=130322275 15
Voir http://www.securityfocus.com/tools/727 )16 Option -B 4 : distributed proxy scanning : des listes de plus de 500 relais anonymes sont
disponibles.17 Respectivement http://www.hping.org/; http://www.insecure.org/nmap/idlescan.html
-
8/9/2019 RR_DetectionIntrusion
12/19
par canaux de communication cache (de type Loki, reverse www shell, covert TCP)sont trs difficiles dtecter. A l'heure actuelle, aucune solution n'existe contre ce danger
potentiel, puisque mme l'interception en profondeur est inefficace si la cryptographie est
utilise pour camoufler les donnes en transit. Seule une analyse rigoureuse des
changements sur le disque dur d'une machine associe l'observation ventuelle de trafic
inexpliqu peut permettre de dcouvrir un canal de communication cache en activit [5].
Mode promiscuous. Lutilisation du mode promiscuous prsente quelques inconv-
nients, notamment [3] :
- Rponse involontaire du systme : par nature, les IDS doivent mettre leur carterseau en mode promiscuous afin de pouvoir recevoir l'intgralit des trames
circulant sur le rseau. Ainsi, l'IDS ne gnrera gnralement aucun trafic et se
contentera d'aspirer tous les paquets. Cependant, ce mode spcial dsactive la
couche 2 liaison de la machine (le filtrage sur les adresses MAC n'est plusactiv). Il se peut alors que la machine rponde certains messages (ICMP echo
request gnr avec l'outil Nemesis18).
- Mise en vidence de la prsence dun IDS : le mode promiscuous gnre desaccs mmoire et processeur importants ; il est possible de dtecter de telles
sondes en comparant les latences de temps de rponse avec celles des machines
du mme brin LAN (ou proche). Des temps de rponse trop importants sont
significatifs d'une activit gourmande en ressources telle que le sniffing, validant
possiblement la prsence d'un IDS.
- Lutilisation du mode promiscuous implique dinstaller une sonde par rseaucommut.
Rponse de lIDS. Enfin, des difficults et dsaccords existent sur la rponse donner par
lIDS aux diffrentes attaques, et sur le contenu des retours et actions que lIDS devrait
excuter [13]. Selon ses possibilits intrinsques et sa configuration, un IDS peut tre
passif ou ractif: en tant que systme passif, lIDS dtecte une faille potentielle de
scurit, note l'information et gnre une alerte. En tant que systme ractif, lIDS rpond
l'activit suspecte, par exemple en dconnectant un utilisateur ou en reprogrammant le
pare-feu afin quil bloque le trafic rseau provenant de la source malveillante suspecte.
Aujourdhui, tous les problmes ne sont pas rsolus, les outils commencent apparatre
pour rpondre ces limites et contrer les attaques contre les IDS [13] (mais cest une
boucle infinie, cf conclusion).
Limites spcifiques la dtection dabus. Les principaux dfis actuels de cette
technique sont les suivants.
18http://nemesis.sourceforge.net/
-
8/9/2019 RR_DetectionIntrusion
13/19
Dfinition et maintenance des signatures. Toutes les attaques ne sont pas dtectes, sselonles fonctionnalits du systme, la dfinition de la signature, la mise jour de la base, la
charge du systme, etc. [13] :
- Limites humaines : signatures pas jour ou mal conues [13]. La dtectiondabus a pour impratifs une bonne conception des signatures dattaques et une
mise jour continue de la liste des signatures [3].
- Contexte dutilisation : parfois la technologie est base sur des signatures qui nereposent pas sur le contexte dutilisation. La consquence est double : de
nombreux faux positifs19
et une dgradation importante des performances du
systme.
- Mme si la mthode des signatures de corps (y compris les signatures de chane)semble tre assez sre, il y a moyen de les contourner [11] (voir paragraphe
contournement/vasion ci-dessus).
- Vulnrabilit aux mutations : de par son manque de flexibilit, la dtection parsignatures d'attaques est trs vulnrable aux mutations. Dune part, pour pouvoirdfinir une signature, il faut avoir dj t confront l'attaque considre.
D'autre part, certaines de ces signatures se basent sur des caractristiques
volatiles d'un outil, comme par exemple le port qu'un cheval de Troie ouvre
par dfaut ou la valeur dISN ( Initial Sequence Number) choisie par certains
outils de piratage. Or ces logiciels sont souvent soit hautement configurables, soit
open source donc librement modifiables. Les caractristiques retenues pour
dfinir la signature sont donc fragiles, et les signatures extrmement sensibles
aux mutations [5].
- Faute de dfinition, les nouvelles attaques passent lIDS sans tre dtectes.Faux positifs. Normalement, l'avantage de la dtection d'abus devrait tre un faible taux
de faux positifs (fausses alarmes) puisque les critres des signatures peuvent tre dfinis
de manire prcise [11]. Nanmoins, selon les sources dinformation, on lira quil y a de
peu beaucoup de faux positifs rsultant de cette technique. [9] concilie quil y en a de
moins en moins avec lvolution de la technique mais quil reste encore du travail
faire , notamment concernant :
- La sensibilit/spcificit de lIDS : par nature, les IDS vont remonternormment d'alertes sils ne sont pas configurs convenablement. Toute
lattention doit tre porte la cration des rgles de signature [11]. Le
compromis effectu entre la quantit d'alertes remonte (sensibilit ou
accurancy) et la finesse de ces dernires (spcificit ou precision) est
dterminant [15]. Il faut donc prendre soin d'inclure dans le fichier de
configuration le fichier .rule ncessaire, en fonction des rgles tablies par le
pare-feu. Par exemple, si un service est totalement interdit, il est presque inutile
d'inclure les signatures associes [3].
19 Faux positif : alerte pour une attaque qui n'a pas eu lieu (par opposition faux ngatif : uneattaque a eu lieu mais na pas t dtecte).
-
8/9/2019 RR_DetectionIntrusion
14/19
- La pertinence de l'information (en considrant le taux de faux positifs rsultantdune analyse) [3].
- Le comportement de lIDS : le systme se comporte-t-il bien ? Autrement dit,capture-t-il toutes (ou la plupart) des intrusions ? Capture-t-il des intrusions
relles ? [13]
Limites spcifiques la dtection danomalie. Cette technique comporte elle-aussi de
nombreux problmes complexes rsoudre ; voici les plus couramment voqus.
Apprentissage/configuration de lIDS. Lapprentissage du comportement normal nest
pas ais. Automatiser le raisonnement conduisant penser que le comportement est
dviant par rapport celui connu est une tche difficile. Par contre, cette technique est
applique par dfaut (la plupart du temps) par les administrateurs rseau ou systme :
lorsque quelque-chose parat inhabituel (par exemple, des pics de bande passante, desservices qui tombent, des systmes de fichiers qui se remplissent plus vite qu
laccoutume, etc.), lusage veut que des recherches plus pousses soient entreprises [9].
Par ailleurs, toute anomalie ne correspond pas forcment une attaque, ce peut tre un
changement de comportement de lutilisateur [15] ou un changement de la configuration
du rseau [3]. En rgle gnrale, la convergence vers un modle comportemental
normal est plutt longue [5].
Lors du paramtrage de lIDS, toute la difficult pour une dtection efficace rside
dans le choix des mtriques, des modles de comportement et dans la dfinition des
diffrents profils. Pour toutes ces raisons, les IDS fonctionnant par dtection danomalie
sont reconnus comme tant trs longs et fastidieux configurer [13].
Mme aprs une configuration efficace, rien n'empche un pirate se sachant surveill
de rduquer un tel systme en faisant voluer progressivement son modle de
convergence vers un comportement anormal pour l'analyste, mais tout--fait normal
d'un point de vue statistique [5].
Faux positifs. La dtection danomalie est capable de dtecter les attaques inconnues ;
toutefois, elle nest pas aussi efficace que la dtection dabus pour les attaques connues.
Notamment, un fort taux de faux positifs peut tre rencontr si le paramtrage de lIDS
na pas t ralis avec soin [9].
Vie prive (privacy). Enfin, les IDS bass sur la dtection danomalie de comportement
enregistrent toutes les actions des utilisateurs ; en ce sens, cette technique pose la question
de latteinte la vie prive [15, 13].
Pour tenter de dpasser ces limites (et dautres encore), la dtection danomalie fait
lobjet de nombreuses recherches lheure actuelle.
-
8/9/2019 RR_DetectionIntrusion
15/19
2 La prvention dintrusionLa prvention d'intrusion est un ensemble de technologies de scurit ayant pour but
danticiper et de stopper les attaques [3]. La prvention dintrusion est applique par
quelques IDS rcents et diffre des techniques de dtection d'intrusion dcrites
prcdemment : au lieu d'analyser les logs du trafic, c'est--dire dcouvrir les attaques
aprs qu'elles se soient droules, la prvention d'intrusion essaie de prvenir ces attaques.
L o les systmes de dtection d'intrusion se contentent de donner l'alerte, les systmes
de prvention d'intrusion bloquent le trafic jug dangereux.
2.1 Les systmes de prvention dintrusion (IPS)Le principe de fonctionnement dun IPS est symtrique celui dun IDS (IPS hte et IPSrseau), ajoutant cela lanalyse des contextes de connexion, lautomatisation d'analyse
des logs et la coupure des connexions suspectes. Contrairement aux IDS classiques,
aucune signature n'est utilise pour dtecter les attaques. Avant toute action, une dcision
en temps rel est excute (i.e., l'activit est compare un ensemble de rgles). Si
l'action est conforme l'ensemble de rgles, la permission de lexcuter sera accorde et
l'action sera excute. Si l'action est illgale (c'est--dire si le programme demande des
donnes ou veut les changer alors que cette action ne lui est pas permise), une alarme est
donne. Dans la plupart des cas, les autres dtecteurs du rseau (ou une console centrale)
en seront aussi informs dans le but dempcher les autres ordinateurs d'ouvrir ou
d'excuter des fichiers spcifiques. Le diagramme ci-aprs illustre le fonctionnement dun
IPS.
Fig. 2. Fonctionnement dun IPS [11]
Les IPS fournissent les fonctionnalits suivantes [11] :- La surveillance du comportement d'application se rapproche des IDS bass sur
une application, c'est--dire que le comportement de l'application est analys et
-
8/9/2019 RR_DetectionIntrusion
16/19
not (quelles donnes sont normalement demandes, avec quels programmes elleinteragit, quelles ressources sont requises, etc.).
- La cration de rgles pour l'application : driv de la surveillance ducomportement dapplication, cet ensemble de rgles donne des informations sur
ce que peut faire ou non une application (par exemple, quelles ressources peut-
elle demander ?).
- La fonctionnalit dalerte suite aux violations permet denvoyer une alerte en casde dviation (c'est--dire lorsquune attaque est dtecte). Lalerte peut aller
dune simple entre dans un journal un blocage de ressources, par exemple.
- La corrlation avec d'autres vnements implique un partage d'informations entredes senseurs coopratifs, afin de garantir une meilleure protection contre les
attaques.
- Linterception d'appels au systme : avant qu'un appel au systme (rootkit) soitaccept, il doit tre compltement vrifi (par exemple, quel programme ademand l'appel au systme, sous quelles autorisations d'utilisateur tourne le
processus -root...-, quoi l'appel systme essaie-t-il d'accder, etc.). Cette
fonctionnalit permet la surveillance des essais de modification d'importants
fichiers du systme ou de la configuration.
- Dautres fonctionnalits sont possibles, comme la comprhension des rseaux IP(architecture, protocoles, etc.), la matrise des sondes rseau/analyse des logs, la
dfense des fonctions vitales du rseau, la vitesse d'analyse et un mode stateful
inspection.
La prvention d'intrusion est une technique relativement nouvelle par comparaison aux
autres techniques. Cette approche fait interagir des technologies htrognes : pare-feu,
VPN, IDS, anti-virus, anti-spam, etc.
2.2 Les limites des IPSNanmoins le dcalage entre le concept commercial (cf Cisco : Des rseaux capables de
se dfendre tout seuls , etc.) et la ralit peut tre important ! Un article du Magazine
01net.20
met en lumire que [] pour l'entreprise, un IPS constitue, premire vue, un
investissement pour la scurit plus judicieux qu'un simple IDS. Contrairement celui-ci,
il pourra fonctionner sans une surveillance constante. Autre avantage, un IPS est capable
de stopper des attaques rseau et, surtout, applicatives, les plus courantes aujourd'hui
[] Cependant, si un IDS -qui est passif- peut se permettre de se tromper, un IPS -actif-
n'a pas le droit l'erreur.
Les principales limites et contraintes des IPS ce jour semblent tre leur mise en place
dlicate, leur administration rebutante, la possibilit de bloquer tout le rseau en cas de
20 Article IPS : pour une scurit active de Jrme Saiz, 22/11/2004 (258845), DcisionInformatique 01net., www.01net.com.
-
8/9/2019 RR_DetectionIntrusion
17/19
fausse alerte, ainsi que linexistence dun standard actuel ; lIPS est en quelque sorteencore assimil un concept marketing (buzzword) [3].
Conclusion
De manire gnrale, l'efficacit d'un systme de dtection d'intrusion dpend de sa
configurabilit (possibilit de dfinir et dajouter de nouvelles spcifications d'attaque),
de sa robustesse (rsistance aux dfaillances) et de la faible quantit de faux positifs
(fausses alertes) et de faux ngatifs (attaques non dtectes) qu'il gnre. Les paragraphes
qui prcdent ont pour objectifs la fois dillustrer la technicit des attaques actuelles, de
montrer la complexit d'une dtection d'intrusion et dexpliquer les limites des IDS
actuels. Une lutte entre techniques dintrusion et IDS sest engage, les IDS ayant pour
consquence une plus grande technicit des attaques sur IP, et les attaques actuelles
imposant aux IDS dtre plus complets et plus puissants [13].
Attention toutefois limportance accorde aux IDS ! Selon SecuriteInfo.com
(www.securiteinfo.com), les IDS sont actuellement des produits mrs et aboutis. Ils
continuent d'voluer pour rpondre aux exigences technologiques du moment mais offrent
d'ores et dj un ventail de fonctionnalits capable de satisfaire les besoins de tous les
types d'utilisateurs. Nanmoins, comme tous les outils techniques, ils ont des limites que
seule une analyse humaine peut compenser. A la manire des pare-feu, les dtecteurs
d'intrusion samliorent chaque jour grce l'exprience acquise, mais ils deviennent
aussi de plus en plus sensibles aux erreurs de configuration et de paramtrage. Par
consquent, il est plus que fondamental de former correctement les personnes charges de
la mise en uvre et de l'exploitation des IDS. Malheureusement, il semble que subsiste l
une grande partie de la difficult. A ce jour, aucun outil (Nessus, ISS Internet Scanner,
NetSonar, Cybercop21, etc.) ne permet de remplacer l'tre humain dans un test d'intrusion.Enfin, attention galement aux discours commerciaux ! [15] montre quen ralit, si la
dtection dabus fonctionne aujourdhui plus ou moins correctement (par exemple, Snort),
la dtection danomalie en revanche nest pas encore fiable (autrement dit, elle ne
fonctionne pas).
Si les IDS au niveau rseau ont dj t normment tudis, depuis peu ils le sont
aussi au niveau service ; les articles produits sur les IDS rseau sont assez directement
applicables au niveau service. Un seul et unique modle de dtection danomalie au
niveau service est fiable ce jour22.
Pour conclure ce paragraphe, les IDS/IPS apportent un plus indniable aux rseaux
dans lesquels ils sont placs. Cependant, leurs limites ne permettent pas de garantir une
21
Respectivement http://www.nessus.org/; http://www.iss.net/; http://www.cisco.com/;http://www.mcafee.com/us/products/mcafee/managed_services/cybercop_asap.htm 22 Voir larticle de [8] dcrivant le seul systme IDS sur serveur Web qui fonctionne ce jour (testchez Google).
-
8/9/2019 RR_DetectionIntrusion
18/19
scurit 100%, impossible obtenir. Il faut alors y tendre Le futur de ces outils permettra de combler ces lacunes en vitant les faux positifs (pour les IDS) et en
affinant les restrictions d'accs (pour les IPS) [3].
Rfrences bibliographiques
[1] J.P. Anderson, Computer Security Threat Monitoring and Surveillance,
Technical Report, James P. Anderson Company, Fort Washington, Pennsylvania,
April 1980.
[2] H. Chang, S.F. Wu, Y.F. You, Real-time protocol analysis for detecting link-
state routing protocol, ACM Transactions on Information and System Security,
Vol. 4, N 1, February 2001, pp. 1-36.
[3] F. Cikala, R. Lataix, S. Marmeche, Les IDS/IPS. Intrusion Detection/Prevention
Systems , Prsentation, 2005.
[4] D.E. Denning, An Intrusion-Detection Model,IEEE Transactions on Software
Engineering, Vol. SE-13, N 2, February 1987, pp. 222-232.
[5] M. Huin, Pattern matching et dtection dintrusion, Mmoire DEA Informatique,
Loria, Universit Henri Poincar, Nancy1, 2001.
[6] K. Ilgun, R.A. Kemmerer, P.A. Porras, State transition analysis: a rule-based
intrusion detection approach, IEEE Transactions on Software Engineering, Vol.
21, N 3, March 1995, pp.181-199.
[7] H.S. Javits, A. Valdes, The NIDES statistical component: description andjustification, Technical Report, SRI International, Computer Science Laboratory,
1993.
[8] C. Kruegel, T. Toth, E. Kirda, Service Specific Anomaly Detection for Network
Intrusion Detection, 17th
ACM Symposium on Applied Computing (SAC), ACM
Press, Madrid, Spain, March 2002, pp. 201-208.
[9] F. Meunier, Dtection dintrusions: notions avances de NIDS axes sur le
logiciel ManHunt (Recourse Technologies) ,Rapport, Watch4net, Aot 2002.
[10] K. Mller, IDS - Systmes de Dtection d'Intrusion, Partie I , May 2003,
http://www.linuxfocus.org/Francais/May2003/article292.shtml.
[11] K. Mller, IDS - Systmes de Dtection d'Intrusion, Partie II , July 2003,
http://www.linuxfocus.org/Francais/July2003/article294.shtml.[12] P.A. Porras, P.G. Neumann, EMERALD: Event Monitoring Enabling Response
to Anomaly Live Disturbances, 20th
National Information Systems Security
-
8/9/2019 RR_DetectionIntrusion
19/19
Conference, National Institute of Standards and Technology, Galthersburg,October 1997.
[13] Herve Schauer Consultants, La dtection dintrusion , Prsentation : extrait
du cours scurit TCP/IP du Cabinet HSC, Mars 2000.
[14] S.E. Smaha, Haystack: an intrusion detection system, 4th Aerospace Computer
Security Applications Conference, December 1988.
[15] R. State, Scurit avance des rseaux dynamiques et Scurit des systmes
communicants , cours de Master2 Informatique, Universit Henri Poincar,
Nancy1, Novembre 2005.
[16] S.F. Wu, H.C. Chang, F. Jou, F. Wang, F. Gong, C. Sargor, D. Qu, R. Cleaveland,
JiNao: design and implementation of a scalable intrusion detection system for
the OSPF routing protocol, IEEE Workshop on Information Assurance andSecurity, West Point NY, June 2001, pp.91-99.
[17] J. Zimmermann, L. M, C. Bidan, An Improved Reference Flow Control Model
for Policy-Based Intrusion Detection, 8th European Symposium on Research in
Computer Security (ESORICS), October 2003.