rr_detectionintrusion

8/9/2019 RR_DetectionIntrusion

1/19

Rapport de recherche

Dtection et prvention dintrusion :

prsentation et limites

Nathalie Dagorn1

1 Universit de Nancy1Laboratoire Lorrain de Recherche en Informatique et ses Applications (LORIA)

Campus Scientifique BP 239, F-54506 Vanduvre-ls-Nancy Cedex, [email protected]

http://www.loria.fr/

Rsum. Ce rapport de recherche a pour objectif de fournir (i) une prsentation

gnrale des techniques et familles de dtection et de prvention dintrusion, ainsique (ii) une description pertinente des limites technologiques de chacune dessolutions prsentes. Les rsultats de cette recherche (limites et fonctionnalits desoutils voqus) sont issus la fois dune analyse scrupuleuse de la littrature

spcifique rcente et de retours dexprience dadministrateurs systme.

Mots-cls. Dtection dintrusion, dtection danomalie, dtection dabus, prvention

dintrusion, limites.

Introduction

Aucun systme dinformation nest sr 100% ! Parmi les prceptes connus sur la

scurit informatique se trouve celui nonant que, pour une entreprise connecte

lInternet, le problme aujourdhui nest plus de savoir si elle va se faire attaquer, mais

quandcela va arriver ; une solution possible est alors dessayer de repousser les risques

dans le temps par la mise en uvre de divers moyens destins augmenter le niveau de

scurit. Pour contrer les menaces dintrusion, les entreprises se tournent de plus en plus

vers les solutions de dtection dintrusion, dont les possibilits faramineuses sont vantes

par les socits ditrices de ces logiciels. Mais le dcalage entre le discours commercial et

les possibilits techniques relles de ces produits peut tre important, et les consquences

fcheuses lorsquil sagit de scurit de linformation !


2/19

Dacceptation courante, lintrusion est dfinie comme laction de sintroduire sansautorisation dans un lieu dont lintrus nest pas propritaire1. Cette dfinition sapplique

galement en informatique lorsquun tiers pntre dans un systme et accde

illgitimement ses donnes. Une intrusion peut rsulter notamment de laction dun

pirate dsireux de nuire aux biens dune organisation, dun ver cherchant assurer sa

propagation, dune attaque automatise, etc. Les attaques dintrusion peuvent tre

rpertories selon trois types :

- les attaques rseau ;- les attaques par portes drobes (backdoors) et canaux de communication cachs

(cover channels) ;

- les attaques sur les services, qui gagnent une importance croissante (de nos jours, peu prs 60% des intrusions se font via le Web [15]).

La dtection dintrusion est tudie depuis plus de vingt-cinq ans2. Les systmes dits

passifs de dtection dintrusion (IDS pourIntrusion Detection Systems) ont t dploysde plus en plus largement, suivis aujourdhui par des systmes dits actifs de prvention

dintrusion (IPS pour Intrusion Prevention Systems). La recherche en dtection (et

prvention) dintrusion est toujours trs active, notamment en raison des volutions

rapides et incessantes dans les technologies de linformation et de la communication.

Ce rapport de recherche prsente une vue densemble des techniques et familles de

dtection et de prvention dintrusion, ainsi que leurs principales limites. Il na pas la

prtention dtre exhaustif ni de rpondre toutes les questions concernant la

dtection/prvention dintrusion, mais simplement de donner un aperu du domaine, de

faon dgager les principales limites technologiques des solutions actuelles. Les

rsultats de cette recherche (limites et fonctionnalits des outils voqus) sont issus la

fois dune analyse scrupuleuse de la littrature spcifique rcente et de retours

dexprience dadministrateurs systme.

1 La dtection dintrusionEn scurit informatique, la dtection d'intrusion est l'acte de dtecter les actions qui

essaient de compromettre la confidentialit, l'intgrit ou la disponibilit d'une ressource.

La dtection d'intrusion peut tre effectue manuellement ou automatiquement. Dans le

processus de dtection d'intrusion manuelle, un analyste humain procde lexamen de

fichiers de logs la recherche de tout signe suspect pouvant indiquer une intrusion. Un

1 INTRUS, -USE adj. et n. XIVe sicle. Emprunt du latin ecclsiastique intrusus, qui s'estintroduit irrgulirement ; illgitime. Personne qui s'introduit quelque part sans avoir qualit pour y

tre admise ou sans y tre invite. (Dictionnaire de lAcadmie Franaise, 9e dition)

INTRUSION n. f. XIVe sicle. Emprunt du latin mdival intrusio, installation non canonique ;occupation par la force. Le fait de s'introduire, contre le droit ou la forme, dans un lieu, dans une

socit ou une compagnie, dans une charge. (Dictionnaire de lAcadmie Franaise, 9e dition)2 Voir notamment le rapport dAnderson [1], le modle de Denning [4], etc.


3/19

systme qui effectue une dtection d'intrusion automatise est appel systme de dtectiondintrusion (IDS). Lorsquune intrusion est dcouverte par un IDS, les actions typiques

quil peut entreprendre sont par exemple denregistrer linformation pertinente dans un

fichier ou une base de donnes, de gnrer une alerte par e-mail ou un message sur un

pager ou un tlphone mobile. Dterminer quelle est rellement l'intrusion dtecte et

entreprendre certaines actions pour y mettre fin ou l'empcher de se reproduire, ne font

gnralement pas partie du domaine de la dtection d'intrusion. Cependant, quelques

formes de raction automatique peuvent tre implmentes par l'interaction de l'IDS et de

systmes de contrle d'accs tels que les pare-feu.

1.1 Les systmes de dtection dintrusion (IDS)Un systme de dtection d'intrusion est un mcanisme destin reprer des activitsanormales ou suspectes sur la cible analyse (rseau, hte).

Les techniques de dtection dintrusion. Deux techniques de dtection dintrusion sont

gnralement mises en uvre par les IDS courants.

La dtection dabus (misuse detection). Dans la dtection d'abus (aussi appele dtection

de mauvaise utilisation), lIDS analyse linformation recueillie et la compare (pattern

matching, approche par scnarii) avec une base de donnes de signatures (motifs dfinis,

caractristiques explicites) dattaques connues (i.e., qui ont dj t documentes), et toute

activit correspondante est considre comme une attaque (avec diffrents niveaux de

svrit). Un systme de dtection dabus est, par exemple, STAT ( State Transition

Analysis Toolkit) [6].

La dtection danomalie (anomaly detection). La dtection d'anomalie de comportement

est une technique assez ancienne (elle est utilise galement pour dtecter des

comportements suspects en tlphonie, comme le phreaking). Lide principale est de

modliser durant une priode d'apprentissage le comportement normal dun

systme/programme/utilisateur en dfinissant une ligne de conduite (dite baseline ou

profil3), et de considrer ensuite (en phase de dtection) comme suspect tout

comportement inhabituel (les dviations significatives par rapport au modle de

comportement normal). Les modles de dtection danomalie incluent frquemment des

modles statistiques, tels que ceux utiliss dans NIDES (NIDES/STAT) [7] ou Haystack

3 Par exemple, profil de connexion : frquence de login (combien de fois par jour/semaine

lutilisateur se connecte-t-il ?), lieu de login (statistiques sur la connexion distante/locale), etc. Un

profil est donn par une mtrique et un modle statistique. Une mtrique est une variable alatoire Xmodlisant le comportement quantitatif sur une priode de temps. Un modle est utilis pour

dtecter si les nouvelles valeurs de X concordent avec les valeurs de X dj observes (et supposeslgitimes).


4/19

[14], par exemple. La dtection d'anomalie peut invoquer les fonctionnalits suivantes[11] :

- Dtection de seuil (threshold detection) : des compteurs dlimitent une zone ousont utiliss pour compter combien de fois quelque-chose est excut, ouvert,

dmarr... Cette analyse statique peut tre amliore par la dtection

heuristique de seuil4.

- Dtection base sur des rgles dfinies (rule-based detection) : si l'usage dvie deces rgles, une alarme est dclenche.

- Mesure statique (static measure) : le comportement de l'utilisateur et du systmese conforme une signature prdfinie. Un programme notant l'activit

normale de l'utilisateur pour la dfinition de signatures est souvent inclus.

- Dtection d'anomalie de protocole (protocol anomaly detection) : elle reprsenteun sous-groupe de la dtection d'anomalie. C'est une technique relativement

rcente fonctionnant, la base, comme la dtection d'anomalie. Chaque protocolea une signature prdfinie (voir les RFC correspondantes) ; le but de la dtection

d'anomalie de protocole est de trouver si le comportement du protocole est

conforme celui prdfini ou non. Beaucoup d'attaques sont bases sur l'abus de

protocole ; ce sous-groupe est donc assez important relativement aux IDS.

Dans la pratique, la dtection dabus et la dtection danomalie sont souvent utilises

de faon complmentaire par les IDS (par exemple, EMERALD [12], JiNao [2, 16])5.

Le diagramme en Fig. 1 illustre le fonctionnement dun IDS.

4 Le compteur est dynamique, et non pas initialement fix une valeur statique.5 Des variantes plus ou moins proches de ces techniques existent, par exemple, la dtection basesur une politique ( policy-based detection). Dans ce cas, lIDS effectue la dtection dintrusion en sebasant sur une politique de scurit prdfinie (consiste en une spcification de politique de scuritlogique et un algorithme de validation de trace d'excution) [17]. Une telle approche a le potentield'apporter des amliorations sensibles par rapport la dtection statistique d'anomalie et la

dtection de scnario en termes de fiabilit, dexactitude et de maintenance requise. Idalement, lamaintenance est ncessaire uniquement pour changer la politique spcifie, sans besoin de mise

jour ou de phase d'adaptation. Tout comme la dtection dabus, cette technique se rvle efficacepour dtecter les attaques connues, le taux de fausses alarmes est faible, et le processus est

normalement moins consommateur de ressources informatiques. Malheureusement cette technique

est inefficace pour dtecter des attaques nouvelles ou inhabituelles. Ecrire les rgles de la politiquede dtection peut se rvler trs pnible ; en outre, si ces rgles venaient tre connues delattaquant, elles pourraient tre contournes. La dtection base sur une politique nest pas dtailledans ce rapport introductif.


5/19

Fig. 1. Fonctionnement d'un IDS

Les familles dIDS et leurs variantes (localisation). Selon l'endroit qu'ils surveillent et

ce qu'ils contrlent (les sources d'information), deux familles principales dIDS sont

usuellement distingues [9, 10] :

IDS rseau (NIDS). Le rle essentiel d'un IDS rseau, appel NIDS (Network-based

Intrusion Detection System), est l'analyse et l'interprtation des paquets circulant sur ce

rseau. Afin de reprer les paquets contenu malicieux caractristique, comme par

exemple /etc/passwd, des signatures sont cres. Des dtecteurs (souvent de simples

htes) sont utiliss pour analyser le trafic et si ncessaire envoyer une alerte

6

. Un IDSrseau travaille sur les trames rseau tous les niveaux (couches rseau, transport,

application). De plus en plus, en dissquant les paquets et en comprenant les protocoles,

il est capable de dtecter des paquets malveillants conus pour outrepasser un pare-feu

aux rgles de filtrage trop laxistes, et de chercher des signes dattaque diffrents endroits

sur le rseau. Quelques exemples de NIDS : NetRanger, NFR, Snort, DTK, ISS

RealSecure7.

Les IDS rseau ont des atouts, par exemple, les dtecteurs peuvent tre bien scuriss

puisqu'ils se contentent d'observer le trafic, les scans sont dtects plus facilement grce

aux signatures, etc. Cependant, les problmes majeurs lis aux NIDS sont de conserver

toujours une bande passante suffisante pour lcoute de lensemble des paquets, et de bien

positionner lIDS pour quil soit efficace.

6

Dans ce contexte, le mode furtif (stealth mode) est souvent choisi, c'est--dire que les capteursagissent de manire invisible, les rendant plus difficiles localiser et atteindre pour un attaquant.7 Resp. http://www.cisco.com; http://www.nfr.net; http://www.snort.org; http://all.net/dtk/dtk.html ;http://www.iss.net/products_services/enterprise_protection/rsnetwork/sensor.php


6/19

IDS hte (HIDS). Les systmes de dtection d'intrusion bass sur l'hte (poste de travail,

serveur, etc.), ou HIDS ( Host-based IDS), analysent exclusivement l'information

concernant cet hte. Comme ils n'ont pas contrler le trafic du rseau mais seulement

les activits d'un hte, ils se montrent habituellement plus prcis sur les varits

d'attaques. Ces IDS utilisent deux types de sources pour fournir une information sur

l'activit : les logs et les traces d'audit du systme d'exploitation. Chacun a ses avantages :

les traces d'audit sont plus prcises, dtailles et fournissent une meilleure information ;

les logs, qui ne fournissent que l'information essentielle, sont plus petits et peuvent tre

mieux analyss en raison de leur taille. Il nexiste pas de solution unique HIDS couvrant

lensemble des besoins, mais les solutions existantes couvrent chacune un champ

dactivit spcifique, comme lanalyse de logs systme et applicatifs, la vrification de

lintgrit des systmes de fichiers, lanalyse du trafic rseau en direction/provenance de

lhte, le contrle daccs aux appels systme, lactivit sur les ports rseau, etc. Parexemple, le dmon syslog peut tre considr partiellement comme un systme HIDS, car

il permet de consigner certaines activits, et laide dun analyseur comme Swatch8, de

dtecter certaines tentatives dintrusion (comme bad login) ; Tripwire9, centrant son

activit sur lintgrit du systme de fichiers, peut aussi tre vu comme un HIDS ;

Security Manager10, etc.

Les systmes de dtection d'intrusion bass sur l'hte ont certains avantages : l'impact

d'une attaque peut tre constat et permet une meilleure raction, des attaques dans un

trafic chiffr peuvent tre dtectes (impossible avec un IDS rseau), les activits sur

l'hte peuvent tre observes avec prcision, etc. Ils prsentent nanmoins des

inconvnients, parmi lesquels : les scans sont dtects avec moins de facilit ; ils sont plus

vulnrables aux attaques de type DoS ; l'analyse des traces d'audit du systme est trs

contraignante en raison de la taille de ces dernires ; ils consomment beaucoup de

ressources CPU, etc.

Une version d IDS hybride est possible et dsormais supporte par diffrentes offres

commerciales. Mme si la distinction entre HIDS et NIDS est encore courante, certains

HIDS possdent maintenant les fonctionnalits de base des NIDS. Des IDS bien connus

comme ISS RealSecure se nomment aujourd'hui IDS hte et rseau. Dans un futur

proche, la diffrence entre les deux familles devrait sestomper de plus en plus (ces

systmes devraient voluer ensemble). De ces deux familles principales, de nombreuses

variantes sont issues :

IDS de nud rseau (NNIDS). Les systmes de dtection dintrusion de nud rseau

(NNIDS pour Network Node IDS) fonctionnent comme les NIDS classiques, c'est--dire

quils analysent les paquets du trafic rseau, hormis que (i) cela ne concerne que les

8http://swatch.sourceforge.net/9http://www.tripwire.com/10http://www.netiq.com/products/sm/default.asp


7/19

paquets destins un nud du rseau, et (ii) la diffrence des NIDS classiques, lesNNIDS ne fonctionnent pas en mode promiscuous

11, mais dun autre ct, puisque tous

les paquets ne sont pas vrifis, les performances de l'analyse sont amliores.

IDS bas sur une application (ABIDS). Les IDS bass sur les applications (ABIDS pour

Application-Based IDS) sont un sous-groupe des IDS htes, parfois mentionns

sparment. Ils contrlent l'interaction entre un utilisateur et un programme en ajoutant

des fichiers de logs afin de fournir de plus amples informations sur les activits. Oprant

entre utilisateur et programme, il est facile pour lABIDS de filtrer tout comportement

notable.

Ses principaux avantages sont de travailler en clair (contrairement aux NIDS, par

exemple) d'o une analyse plus facile, et la possibilit de dtecter et dempcher des

commandes particulires dont l'utilisateur pourrait se servir avec le programme. Deux

inconvnients majeurs sont identifis : le peu de chances de dtecter, par exemple, uncheval de Troie (puisque lABIDS n'agit pas dans l'espace du noyau) ; en outre, les

fichiers de logs gnrs par ce type d'IDS sont des cibles faciles pour les attaquants (ils ne

sont pas aussi srs que les traces d'audit du systme, par exemple).

IDS bas sur la pile (SBIDS). Les systmes de dtection d'intrusion bass sur une pile

(SBIDS pour Stack-Based IDS), travaillant troitement avec la pile TCP/IP, octroient la

consultation des paquets lorsquils montent travers les couches OSI et permettent ainsi

lIDS de retirer les paquets de la pile avant que le systme dexploitation ou lapplication

nait eu la possibilit dlaborer la charge virale. LIDS bas sur une pile peut tre

efficace contre certaines formes de chiffrement en retraant les paquets aprs quils aient

t dchiffrs par la pile TCP/IP.

Pot de miel (honeypot). Possdant de nombreuses similitudes avec les IDS, les pots de

miel (traduction littrale de l'expression anglaise honeypot) sont quelquefois considrs

comme faisant partie des IDS. Un pot de miel est un outil informatique (systme, serveur,

programme, etc.), volontairement expos et vulnrable une ou plusieurs failles connues,

destin attirer et piger les pirates, tout en permettant d'observer leur comportement en

pleine action et d'enregistrer leurs mthodes d'attaque pour mieux les tudier, les

comprendre et les anticiper. La tche principale d'un pot de miel consiste analyser le

trafic, c'est--dire informer du dmarrage de certains processus, de la modification de

fichiers... permettant ainsi de crer un profil labor des attaquants potentiels. Tout l'art du

pot de miel consiste remonter jusqu' l'origine de l'attaque, sans que le pirate s'en doute

et que jamais il ne puisse souponner le fait que le site visit ne soit qu'un leurre

(montage). Le rseau interne n'est pas expos puisque le pot de miel est gnralement

plac dans la DMZ (zone dmilitarise). Il existe trois variantes de pots de miel :

11 Le mode promiscuous permet de capturer lensemble des trames circulant sur le rseau.


8/19

- De prvention : les pots de miel ne sont pas les systmes les plus appropris pourviter les attaques. Comme nous le verrons avec les systmes capitonns, un

pot de miel mal programm et mal configur peut mme faciliter les attaques.

- De dtection: l'un des principaux avantages des pots de miel vient de ce qu'ilsexcellent la dtection d'attaques. Dans ce contexte, ils peuvent surtout analyser

et interprter les logs. Le placement du pot de miel joue un rle dcisif : les

administrateurs ne peuvent tirer bnfice des pots de miel que s'ils sont placs et

configurs correctement. Souvent, ils sont placs entre des serveurs importants

pour dtecter des scans ventuels du rseau entier, ou proximit d'un serveur

essentiel pour dtecter les accs illgaux l'aide d'une redirection de port (si

quelqu'un essaie d'accder au serveur par certains ports, il est redirig vers le pot

de miel, et comme cet accs ne doit pas tre autoris, une alerte est gnre).

- De raction: selon sa configuration, un pot de miel peut ragir aux vnements.De mme, les pots de miel peuvent tre classs en deux sous-catgories : recherche et

production. Les pots de miel de production ont pour objectif de diminuer les risques sur

un rseau alors que ceux de recherche servent obtenir des informations sur les

attaquants.

Attention, les pots de miel ne sont pas totalement lgaux et il convient dtre prudent

dans leur utilisation. Un pot de miel peut tre considr comme une invitation

l'attaque et si l'hte attaqu na pas pris de mesures ractives, cette non-raction peut

tre interprte comme une ngligence. Quelques argumentations judiciaires contre les

pots de miel semblent banales mais il est prfrable de vrifier ce que dit la loi en vigueur

dans le pays dinstallation (en Europe, les pots de miel sont autoriss). Si quelqu'un

attaque un autre rseau partir du rseau du pot de miel et cause des dommages, lentit

qui a install le pot de miel sera considre comme responsable.

Systmes capitonns (padded cell systems). Les systmes capitonns fonctionnent

habituellement avec l'un ou l'autre des systmes abords prcdemment. Si l'IDS utilis

informe d'une attaque, l'attaquant est dirig vers un hte capitonn. Une fois dans cet

hte, il ne peut plus causer de dommages puisque l'environnement est simul (c'est un

leurre). Cet environnement doit tre aussi raliste que possible, autrement dit, l'attaquant

doit penser que son attaque a t couronne de succs. Il est alors possible d'enregistrer,

de suivre et d'analyser toute activit de l'attaquant.

Les systmes capitonns prsentent des inconvnients : dune part leur usage peut

tre illgal (comme pour les pots de miel, ils sont tolrs en Europe) ; dautre part, la mise

en uvre d'un tel systme est assez difficile et rclame des comptences puisque

l'ensemble de l'environnement doit tre simul correctement (si l'administrateur fait une

petite erreur, ce systme peut tre l'origine de nouveaux trous de scurit).


9/19

1.2 Les limites des IDSHistoriquement, les entreprises et les gouvernements ont t rticents rvler des

informations concernant les attaques sur leurs systmes de peur de perdre la confiance

publique, ou de peur que dautres attaquants exploitent la mme vulnrabilit ou une

vulnrabilit similaire. Aussi les donnes spcifiques et dtailles sur les attaques nont-

elles pas t disponibles jusqu une poque trs rcente. Aujourdhui encore les

entreprises restent rticentes dvoiler ce type de donnes, ce qui ne facilite pas le travail

autour des IDS. La dtection d'intrusion prsente des limites et peut se montrer

impuissante dans certains cas.

Limites gnrales des IDS. Ces limites sappliquent aux techniques de dtection dabus

comme celles de dtection danomalie.

Attaques sur les drapeaux TCP. Les IDS sont vulnrables certaines attaques sur les

drapeaux TCP (TCP flags) [13], comme par exemple :

- envoi dun faux SYN ;- insertion de donnes avec mauvais numro de squence ;- FIN/RST spoofing avec mauvais numro de squence ;- dsynchronisation aprs connexion ;- dsynchronisation avant connexion [SYN (mauvaise somme de contrle +

mauvais numro de squence) puis SYN] ;

- FIN/RST spoofing avec mauvaise somme de contrle ;- Data spoofing avec mauvaise somme de contrle ;- FIN/RST spoofing avec TTL court ;- insertion de donnes avec un TTL court, etc.

Placement de lIDS. Sans entrer dans les dtails, au niveau du placement de lIDS

(implmentation et design), il est intressant de faire de la dtection dintrusion dans la

zone dmilitarise (attaques contre les systmes publics), dans le (ou les) rseau(x)

priv(s) (intrusions vers ou depuis lintrieur) et derrire le pare-feu (dtection des signes

parmi tout le trafic entrant et sortant). Chacun de ces positionnements a ses avantages et

inconvnients. Limportant est de bien identifier les ressources protger (risques

daffaires majeurs) et ce qui est le plus susceptible dtre attaqu [9]. Il convient alors

dimplmenter prcautionneusement lIDS (paramtrage, etc.) en fonction du placement

choisi [13].

Pollution/surcharge. Les IDS peuvent tre pollus ou surchargs, par exemple par la

gnration dun trafic important (le plus difficile et lourd analyser possible). Une

quantit importante d'attaques bnignes peut galement tre envoye afin de surcharger

les alertes de l'IDS [3]. Des consquences possibles de cette surcharge peuvent tre lasaturation de ressources (disque, CPU, mmoire), la perte de paquets, le dni de service

partiel ou total [5].


10/19

- Consommation de ressources : outre la taille des fichiers de logs (de l'ordre duGo), la dtection d'intrusion est excessivement gourmande en ressources ;

- Perte de paquets (limitation des performances) : les vitesses de transmission sontparfois telles qu'elles dpassent largement la vitesse d'criture des disques durs

les plus rapides du march, ou mme la vitesse de traitement des processeurs. Il

n'est donc pas rare que des paquets ne soient pas reus par lIDS, et que certains

dentre eux soient nanmoins reus par la machine destinataire.

- Vulnrabilit aux dnis de service : un attaquant peut essayer de provoquer undni de service au niveau du systme de dtection d'intrusion, ou pire au niveau

du systme d'exploitation de la machine supportant l'IDS. Une fois l'IDS

dsactiv, l'attaquant peut tenter tout ce qui lui plait. Par exemple, l'attaque Stick

est une tentative de dni de service contre les IDS (en particulier contre ISS

RealSecure) surchargeant de travail l'IDS au point de le dsactiver ou au moins

de le rendre moins efficace.Ainsi une attaque relle furtive glisse dans ce trafic aura du mal tre identifie si le

flot d'informations gnr est suffisant, et risque donc de ne pas tre traite ! Tout outil

permettant de gnrer du trafic peut tre utilis cette fin : SynFlooder, Smurf, Targa,

Tcpreplay, Nmap12, etc. [13].

Contournement/vasion. Les IDS peuvent galement tre contourns ou outrepasss. Dans

le cas dune attaque par vasion, le systme de dtection d'intrusion rejette un paquet qui

sera pourtant accept par la destination [5]. Il se peut, par exemple, qu'une diffrence de

systmes d'exploitation entre la machine supportant l'IDS et la machine surveille fasse

que certains paquets rejets par le systme de dtection d'intrusion soient accepts par la

destination (comme des paquets UDP avec une somme de contrle errone, rejets par la

plupart des systmes d'exploitation sauf les plus anciens) [5].

[3] distingue six techniques de contournement :

- Insertion (ajout de donnes aux flux prsents) : ce peut tre, par exemple,linsertion de paquets avec des TTL courts.

- Elimination : consiste rendre l'IDS inutile ou inexploitable.- Substitution : ce procd change tout ou une partie du contenu incriminable.- Fragmentation (dcouper un contenu ou des oprations) : elle aboutit en gnral

une modification de signature, par exemple lenvoi de deux fragments qui se

recouvrent. Cest le cas par exemple des attaques de type Teardrop13, du

chevauchement des en-ttes (pour modifier l'IP source, le port de destination

au dernier moment), ou encore des attaques au niveau applicatif qui peuvent tre

fragmentes pour leurrer le moteur d'analyse parpattern matching de l'IDS.

12

http://tcpreplay.sourceforge.net ; http://www.insecure.org/nmap/13 Attaque par fragmentation : le principe de l'attaque Teardrop consiste insrer dans des paquets

fragments des informations de dcalage errones. Ainsi, lors du rassemblage il existe des vides oudes recoupements (overlapping), pouvant provoquer une instabilit du systme.


11/19

- Distribution (rpartition des sources) : la distribution peut permettre une attaquecoordonne (concept prsent et gr, par exemple, dans Shadow Novell

NetWare Crack14 avec loutil Dscan -distributed scanner-).

- Confusion : consiste rendre le contenu incomprhensible.[5] ajoute ces techniques de contournement les attaques temporelles : la dtection

comprenant frquemment une valeur de seuil, l'attaquant peut s'arranger pour dlayer ses

attaques dans le temps en prenant garde ne pas gnrer une activit dpassant les seuils

fixs.

Dautres attaques peuvent tre mises en uvre pour outrepasser les IDS, notamment les

attaques des protocoles bas niveau (IP, TCP), Whisker15 (scannerde vulnrabilits du

protocole de haut niveau http), URL encodes, etc.

En outre, la source dune attaque nest pas toujours identifiable [15] :

- Par exemple, le scan zombie permet de s'appuyer sur une autre machine afin deleurrer l'IDS sur la provenance de l'attaque. En effet, Nmap dispose de l'option -sI qui permet de forger des paquets adquats et de se faire passer pour une autre

machine, puis de dterminer le comportement adopter en fonction de la

raction de la cible. Dans tous les cas, l'assaillant ne peut tre directement

dcouvert par l'IDS [3].

- Attaque dorigine masque : il est possible d'utiliser un relais mal configur ouanonyme sur Internet (option p de Nmap), ou d'utiliser pour chaque requte un

relais http tir alatoirement dans une liste16

, outils hping ou idlescan17

, etc.

- Attaque noye (option decoy de Nmap) en envoyant des paquets similairesmais avec de fausses adresses sources. L'adresse d'origine est une parmi

plusieurs ! [13].

Il existe de nombreuses autres techniques anti-IDS non abordes ici par mesure de

concision. Pour de plus amples dveloppements sur ces techniques, nous renvoyons le

lecteur des analyses telles que [11] ou [5].

Temps de dtection. Le temps de dtection est un lment capital pour un IDS : la

dtection des intrusions se fait-elle en temps rel ou ncessite-t-elle un dlai ? Quel dlai

(quelques jours) ? [13]. Lexprience montre quil faut habituellement un certain laps

de temps afin de dceler ou de reconstituer une attaque (temps danalyse, de raction...)

[9].

Communication caches (cover channels). Les communications caches sont typiquement

des communications entre un pirate et la machine compromise. Par exemple, il est

possible dencapsuler des donnes malicieuses dans des commandes TCP. Les attaques

14 Voir par exemple http://www.tenebril.com/src/info.php?id=130322275 15

Voir http://www.securityfocus.com/tools/727 )16 Option -B 4 : distributed proxy scanning : des listes de plus de 500 relais anonymes sont

disponibles.17 Respectivement http://www.hping.org/; http://www.insecure.org/nmap/idlescan.html


12/19

par canaux de communication cache (de type Loki, reverse www shell, covert TCP)sont trs difficiles dtecter. A l'heure actuelle, aucune solution n'existe contre ce danger

potentiel, puisque mme l'interception en profondeur est inefficace si la cryptographie est

utilise pour camoufler les donnes en transit. Seule une analyse rigoureuse des

changements sur le disque dur d'une machine associe l'observation ventuelle de trafic

inexpliqu peut permettre de dcouvrir un canal de communication cache en activit [5].

Mode promiscuous. Lutilisation du mode promiscuous prsente quelques inconv-

nients, notamment [3] :

- Rponse involontaire du systme : par nature, les IDS doivent mettre leur carterseau en mode promiscuous afin de pouvoir recevoir l'intgralit des trames

circulant sur le rseau. Ainsi, l'IDS ne gnrera gnralement aucun trafic et se

contentera d'aspirer tous les paquets. Cependant, ce mode spcial dsactive la

couche 2 liaison de la machine (le filtrage sur les adresses MAC n'est plusactiv). Il se peut alors que la machine rponde certains messages (ICMP echo

request gnr avec l'outil Nemesis18).

- Mise en vidence de la prsence dun IDS : le mode promiscuous gnre desaccs mmoire et processeur importants ; il est possible de dtecter de telles

sondes en comparant les latences de temps de rponse avec celles des machines

du mme brin LAN (ou proche). Des temps de rponse trop importants sont

significatifs d'une activit gourmande en ressources telle que le sniffing, validant

possiblement la prsence d'un IDS.

- Lutilisation du mode promiscuous implique dinstaller une sonde par rseaucommut.

Rponse de lIDS. Enfin, des difficults et dsaccords existent sur la rponse donner par

lIDS aux diffrentes attaques, et sur le contenu des retours et actions que lIDS devrait

excuter [13]. Selon ses possibilits intrinsques et sa configuration, un IDS peut tre

passif ou ractif: en tant que systme passif, lIDS dtecte une faille potentielle de

scurit, note l'information et gnre une alerte. En tant que systme ractif, lIDS rpond

l'activit suspecte, par exemple en dconnectant un utilisateur ou en reprogrammant le

pare-feu afin quil bloque le trafic rseau provenant de la source malveillante suspecte.

Aujourdhui, tous les problmes ne sont pas rsolus, les outils commencent apparatre

pour rpondre ces limites et contrer les attaques contre les IDS [13] (mais cest une

boucle infinie, cf conclusion).

Limites spcifiques la dtection dabus. Les principaux dfis actuels de cette

technique sont les suivants.

18http://nemesis.sourceforge.net/


13/19

Dfinition et maintenance des signatures. Toutes les attaques ne sont pas dtectes, sselonles fonctionnalits du systme, la dfinition de la signature, la mise jour de la base, la

charge du systme, etc. [13] :

- Limites humaines : signatures pas jour ou mal conues [13]. La dtectiondabus a pour impratifs une bonne conception des signatures dattaques et une

mise jour continue de la liste des signatures [3].

- Contexte dutilisation : parfois la technologie est base sur des signatures qui nereposent pas sur le contexte dutilisation. La consquence est double : de

nombreux faux positifs19

et une dgradation importante des performances du

systme.

- Mme si la mthode des signatures de corps (y compris les signatures de chane)semble tre assez sre, il y a moyen de les contourner [11] (voir paragraphe

contournement/vasion ci-dessus).

- Vulnrabilit aux mutations : de par son manque de flexibilit, la dtection parsignatures d'attaques est trs vulnrable aux mutations. Dune part, pour pouvoirdfinir une signature, il faut avoir dj t confront l'attaque considre.

D'autre part, certaines de ces signatures se basent sur des caractristiques

volatiles d'un outil, comme par exemple le port qu'un cheval de Troie ouvre

par dfaut ou la valeur dISN ( Initial Sequence Number) choisie par certains

outils de piratage. Or ces logiciels sont souvent soit hautement configurables, soit

open source donc librement modifiables. Les caractristiques retenues pour

dfinir la signature sont donc fragiles, et les signatures extrmement sensibles

aux mutations [5].

- Faute de dfinition, les nouvelles attaques passent lIDS sans tre dtectes.Faux positifs. Normalement, l'avantage de la dtection d'abus devrait tre un faible taux

de faux positifs (fausses alarmes) puisque les critres des signatures peuvent tre dfinis

de manire prcise [11]. Nanmoins, selon les sources dinformation, on lira quil y a de

peu beaucoup de faux positifs rsultant de cette technique. [9] concilie quil y en a de

moins en moins avec lvolution de la technique mais quil reste encore du travail

faire , notamment concernant :

- La sensibilit/spcificit de lIDS : par nature, les IDS vont remonternormment d'alertes sils ne sont pas configurs convenablement. Toute

lattention doit tre porte la cration des rgles de signature [11]. Le

compromis effectu entre la quantit d'alertes remonte (sensibilit ou

accurancy) et la finesse de ces dernires (spcificit ou precision) est

dterminant [15]. Il faut donc prendre soin d'inclure dans le fichier de

configuration le fichier .rule ncessaire, en fonction des rgles tablies par le

pare-feu. Par exemple, si un service est totalement interdit, il est presque inutile

d'inclure les signatures associes [3].

19 Faux positif : alerte pour une attaque qui n'a pas eu lieu (par opposition faux ngatif : uneattaque a eu lieu mais na pas t dtecte).


14/19

- La pertinence de l'information (en considrant le taux de faux positifs rsultantdune analyse) [3].

- Le comportement de lIDS : le systme se comporte-t-il bien ? Autrement dit,capture-t-il toutes (ou la plupart) des intrusions ? Capture-t-il des intrusions

relles ? [13]

Limites spcifiques la dtection danomalie. Cette technique comporte elle-aussi de

nombreux problmes complexes rsoudre ; voici les plus couramment voqus.

Apprentissage/configuration de lIDS. Lapprentissage du comportement normal nest

pas ais. Automatiser le raisonnement conduisant penser que le comportement est

dviant par rapport celui connu est une tche difficile. Par contre, cette technique est

applique par dfaut (la plupart du temps) par les administrateurs rseau ou systme :

lorsque quelque-chose parat inhabituel (par exemple, des pics de bande passante, desservices qui tombent, des systmes de fichiers qui se remplissent plus vite qu

laccoutume, etc.), lusage veut que des recherches plus pousses soient entreprises [9].

Par ailleurs, toute anomalie ne correspond pas forcment une attaque, ce peut tre un

changement de comportement de lutilisateur [15] ou un changement de la configuration

du rseau [3]. En rgle gnrale, la convergence vers un modle comportemental

normal est plutt longue [5].

Lors du paramtrage de lIDS, toute la difficult pour une dtection efficace rside

dans le choix des mtriques, des modles de comportement et dans la dfinition des

diffrents profils. Pour toutes ces raisons, les IDS fonctionnant par dtection danomalie

sont reconnus comme tant trs longs et fastidieux configurer [13].

Mme aprs une configuration efficace, rien n'empche un pirate se sachant surveill

de rduquer un tel systme en faisant voluer progressivement son modle de

convergence vers un comportement anormal pour l'analyste, mais tout--fait normal

d'un point de vue statistique [5].

Faux positifs. La dtection danomalie est capable de dtecter les attaques inconnues ;

toutefois, elle nest pas aussi efficace que la dtection dabus pour les attaques connues.

Notamment, un fort taux de faux positifs peut tre rencontr si le paramtrage de lIDS

na pas t ralis avec soin [9].

Vie prive (privacy). Enfin, les IDS bass sur la dtection danomalie de comportement

enregistrent toutes les actions des utilisateurs ; en ce sens, cette technique pose la question

de latteinte la vie prive [15, 13].

Pour tenter de dpasser ces limites (et dautres encore), la dtection danomalie fait

lobjet de nombreuses recherches lheure actuelle.


15/19

2 La prvention dintrusionLa prvention d'intrusion est un ensemble de technologies de scurit ayant pour but

danticiper et de stopper les attaques [3]. La prvention dintrusion est applique par

quelques IDS rcents et diffre des techniques de dtection d'intrusion dcrites

prcdemment : au lieu d'analyser les logs du trafic, c'est--dire dcouvrir les attaques

aprs qu'elles se soient droules, la prvention d'intrusion essaie de prvenir ces attaques.

L o les systmes de dtection d'intrusion se contentent de donner l'alerte, les systmes

de prvention d'intrusion bloquent le trafic jug dangereux.

2.1 Les systmes de prvention dintrusion (IPS)Le principe de fonctionnement dun IPS est symtrique celui dun IDS (IPS hte et IPSrseau), ajoutant cela lanalyse des contextes de connexion, lautomatisation d'analyse

des logs et la coupure des connexions suspectes. Contrairement aux IDS classiques,

aucune signature n'est utilise pour dtecter les attaques. Avant toute action, une dcision

en temps rel est excute (i.e., l'activit est compare un ensemble de rgles). Si

l'action est conforme l'ensemble de rgles, la permission de lexcuter sera accorde et

l'action sera excute. Si l'action est illgale (c'est--dire si le programme demande des

donnes ou veut les changer alors que cette action ne lui est pas permise), une alarme est

donne. Dans la plupart des cas, les autres dtecteurs du rseau (ou une console centrale)

en seront aussi informs dans le but dempcher les autres ordinateurs d'ouvrir ou

d'excuter des fichiers spcifiques. Le diagramme ci-aprs illustre le fonctionnement dun

IPS.

Fig. 2. Fonctionnement dun IPS [11]

Les IPS fournissent les fonctionnalits suivantes [11] :- La surveillance du comportement d'application se rapproche des IDS bass sur

une application, c'est--dire que le comportement de l'application est analys et


16/19

not (quelles donnes sont normalement demandes, avec quels programmes elleinteragit, quelles ressources sont requises, etc.).

- La cration de rgles pour l'application : driv de la surveillance ducomportement dapplication, cet ensemble de rgles donne des informations sur

ce que peut faire ou non une application (par exemple, quelles ressources peut-

elle demander ?).

- La fonctionnalit dalerte suite aux violations permet denvoyer une alerte en casde dviation (c'est--dire lorsquune attaque est dtecte). Lalerte peut aller

dune simple entre dans un journal un blocage de ressources, par exemple.

- La corrlation avec d'autres vnements implique un partage d'informations entredes senseurs coopratifs, afin de garantir une meilleure protection contre les

attaques.

- Linterception d'appels au systme : avant qu'un appel au systme (rootkit) soitaccept, il doit tre compltement vrifi (par exemple, quel programme ademand l'appel au systme, sous quelles autorisations d'utilisateur tourne le

processus -root...-, quoi l'appel systme essaie-t-il d'accder, etc.). Cette

fonctionnalit permet la surveillance des essais de modification d'importants

fichiers du systme ou de la configuration.

- Dautres fonctionnalits sont possibles, comme la comprhension des rseaux IP(architecture, protocoles, etc.), la matrise des sondes rseau/analyse des logs, la

dfense des fonctions vitales du rseau, la vitesse d'analyse et un mode stateful

inspection.

La prvention d'intrusion est une technique relativement nouvelle par comparaison aux

autres techniques. Cette approche fait interagir des technologies htrognes : pare-feu,

VPN, IDS, anti-virus, anti-spam, etc.

2.2 Les limites des IPSNanmoins le dcalage entre le concept commercial (cf Cisco : Des rseaux capables de

se dfendre tout seuls , etc.) et la ralit peut tre important ! Un article du Magazine

01net.20

met en lumire que [] pour l'entreprise, un IPS constitue, premire vue, un

investissement pour la scurit plus judicieux qu'un simple IDS. Contrairement celui-ci,

il pourra fonctionner sans une surveillance constante. Autre avantage, un IPS est capable

de stopper des attaques rseau et, surtout, applicatives, les plus courantes aujourd'hui

[] Cependant, si un IDS -qui est passif- peut se permettre de se tromper, un IPS -actif-

n'a pas le droit l'erreur.

Les principales limites et contraintes des IPS ce jour semblent tre leur mise en place

dlicate, leur administration rebutante, la possibilit de bloquer tout le rseau en cas de

20 Article IPS : pour une scurit active de Jrme Saiz, 22/11/2004 (258845), DcisionInformatique 01net., www.01net.com.


17/19

fausse alerte, ainsi que linexistence dun standard actuel ; lIPS est en quelque sorteencore assimil un concept marketing (buzzword) [3].

Conclusion

De manire gnrale, l'efficacit d'un systme de dtection d'intrusion dpend de sa

configurabilit (possibilit de dfinir et dajouter de nouvelles spcifications d'attaque),

de sa robustesse (rsistance aux dfaillances) et de la faible quantit de faux positifs

(fausses alertes) et de faux ngatifs (attaques non dtectes) qu'il gnre. Les paragraphes

qui prcdent ont pour objectifs la fois dillustrer la technicit des attaques actuelles, de

montrer la complexit d'une dtection d'intrusion et dexpliquer les limites des IDS

actuels. Une lutte entre techniques dintrusion et IDS sest engage, les IDS ayant pour

consquence une plus grande technicit des attaques sur IP, et les attaques actuelles

imposant aux IDS dtre plus complets et plus puissants [13].

Attention toutefois limportance accorde aux IDS ! Selon SecuriteInfo.com

(www.securiteinfo.com), les IDS sont actuellement des produits mrs et aboutis. Ils

continuent d'voluer pour rpondre aux exigences technologiques du moment mais offrent

d'ores et dj un ventail de fonctionnalits capable de satisfaire les besoins de tous les

types d'utilisateurs. Nanmoins, comme tous les outils techniques, ils ont des limites que

seule une analyse humaine peut compenser. A la manire des pare-feu, les dtecteurs

d'intrusion samliorent chaque jour grce l'exprience acquise, mais ils deviennent

aussi de plus en plus sensibles aux erreurs de configuration et de paramtrage. Par

consquent, il est plus que fondamental de former correctement les personnes charges de

la mise en uvre et de l'exploitation des IDS. Malheureusement, il semble que subsiste l

une grande partie de la difficult. A ce jour, aucun outil (Nessus, ISS Internet Scanner,

NetSonar, Cybercop21, etc.) ne permet de remplacer l'tre humain dans un test d'intrusion.Enfin, attention galement aux discours commerciaux ! [15] montre quen ralit, si la

dtection dabus fonctionne aujourdhui plus ou moins correctement (par exemple, Snort),

la dtection danomalie en revanche nest pas encore fiable (autrement dit, elle ne

fonctionne pas).

Si les IDS au niveau rseau ont dj t normment tudis, depuis peu ils le sont

aussi au niveau service ; les articles produits sur les IDS rseau sont assez directement

applicables au niveau service. Un seul et unique modle de dtection danomalie au

niveau service est fiable ce jour22.

Pour conclure ce paragraphe, les IDS/IPS apportent un plus indniable aux rseaux

dans lesquels ils sont placs. Cependant, leurs limites ne permettent pas de garantir une

21

Respectivement http://www.nessus.org/; http://www.iss.net/; http://www.cisco.com/;http://www.mcafee.com/us/products/mcafee/managed_services/cybercop_asap.htm 22 Voir larticle de [8] dcrivant le seul systme IDS sur serveur Web qui fonctionne ce jour (testchez Google).


18/19

scurit 100%, impossible obtenir. Il faut alors y tendre Le futur de ces outils permettra de combler ces lacunes en vitant les faux positifs (pour les IDS) et en

affinant les restrictions d'accs (pour les IPS) [3].

Rfrences bibliographiques

[1] J.P. Anderson, Computer Security Threat Monitoring and Surveillance,

Technical Report, James P. Anderson Company, Fort Washington, Pennsylvania,

April 1980.

[2] H. Chang, S.F. Wu, Y.F. You, Real-time protocol analysis for detecting link-

state routing protocol, ACM Transactions on Information and System Security,

Vol. 4, N 1, February 2001, pp. 1-36.

[3] F. Cikala, R. Lataix, S. Marmeche, Les IDS/IPS. Intrusion Detection/Prevention

Systems , Prsentation, 2005.

[4] D.E. Denning, An Intrusion-Detection Model,IEEE Transactions on Software

Engineering, Vol. SE-13, N 2, February 1987, pp. 222-232.

[5] M. Huin, Pattern matching et dtection dintrusion, Mmoire DEA Informatique,

Loria, Universit Henri Poincar, Nancy1, 2001.

[6] K. Ilgun, R.A. Kemmerer, P.A. Porras, State transition analysis: a rule-based

intrusion detection approach, IEEE Transactions on Software Engineering, Vol.

21, N 3, March 1995, pp.181-199.

[7] H.S. Javits, A. Valdes, The NIDES statistical component: description andjustification, Technical Report, SRI International, Computer Science Laboratory,

1993.

[8] C. Kruegel, T. Toth, E. Kirda, Service Specific Anomaly Detection for Network

Intrusion Detection, 17th

ACM Symposium on Applied Computing (SAC), ACM

Press, Madrid, Spain, March 2002, pp. 201-208.

[9] F. Meunier, Dtection dintrusions: notions avances de NIDS axes sur le

logiciel ManHunt (Recourse Technologies) ,Rapport, Watch4net, Aot 2002.

[10] K. Mller, IDS - Systmes de Dtection d'Intrusion, Partie I , May 2003,

http://www.linuxfocus.org/Francais/May2003/article292.shtml.

[11] K. Mller, IDS - Systmes de Dtection d'Intrusion, Partie II , July 2003,

http://www.linuxfocus.org/Francais/July2003/article294.shtml.[12] P.A. Porras, P.G. Neumann, EMERALD: Event Monitoring Enabling Response

to Anomaly Live Disturbances, 20th

National Information Systems Security


19/19

Conference, National Institute of Standards and Technology, Galthersburg,October 1997.

[13] Herve Schauer Consultants, La dtection dintrusion , Prsentation : extrait

du cours scurit TCP/IP du Cabinet HSC, Mars 2000.

[14] S.E. Smaha, Haystack: an intrusion detection system, 4th Aerospace Computer

Security Applications Conference, December 1988.

[15] R. State, Scurit avance des rseaux dynamiques et Scurit des systmes

communicants , cours de Master2 Informatique, Universit Henri Poincar,

Nancy1, Novembre 2005.

[16] S.F. Wu, H.C. Chang, F. Jou, F. Wang, F. Gong, C. Sargor, D. Qu, R. Cleaveland,

JiNao: design and implementation of a scalable intrusion detection system for

the OSPF routing protocol, IEEE Workshop on Information Assurance andSecurity, West Point NY, June 2001, pp.91-99.

[17] J. Zimmermann, L. M, C. Bidan, An Improved Reference Flow Control Model

for Policy-Based Intrusion Detection, 8th European Symposium on Research in

Computer Security (ESORICS), October 2003.

rr_detectionintrusion

Documents