Universit Aboubekr BELKAID Facult des Sciences Tidjani HAddam Dpartement dinformatique

prsent par :
- BENDAOUD fayssal - BOUKLIKHA amine - YAHOUNI zakaria

Les systmes d'information sont aujourd'hui de plus en plus ouverts sur Internet.

Cette ouverture pose un problme majeur de scurit autour de ces systmes !

IDS = systme de dtection dintrusion. Intrusion = Fait de pntrer dans un lieu sans y tre invit.

un systme de dtection d'intrusion peut-etre compar a une alarme domestique contre les cambrioleurs! si une tentative d'intrusion malveillante est dcouverte, une rponse de quelque nature qu'elle soit sera alors dclanche. Les logiciels qui sont les plus mme deffectuer cette tche sont les systmes de dtection d'intrusion: les IDS.
2

mais un pare-feux sera suffisant !! Non ??

Il est ncessaire d'avoir des outils de surveillance pour auditer le systme d'information et dtecter d'ventuelles intrusions.
3

1- les attaques rseaux :

Ce type dattaque se base principalement sur des failles lies aux protocoles ou leur implmentation. 1-1- technique de Scan: a- Scan Simple :tablir une connexion TCP sur une suite des ports sil arrive a se connecter le port est ouvert ,sinon il est ferm .
b- Scan furtif : tablir connexion TCP sur un des ports ,mais pas d acquittement aprs avoir reue laccord de se connecter cette mthode est bien plus furtive que le scan normale c-Scan passif : est la mthode la plus furtive. Consiste analyser les champs den-tte des paquets et les comparer avec une base de signatures qui pourra dterminer les applications qui ont envoy ces paquets.
4

1-2 IP Spoofing :
But : usurper ladresse IP dune machine . Finalit :se faire passer pour une autre machine en truquant les paquets IP. Droulement :il existe des utilitaires qui permettent de modifier les paquets IP ou de crer ses propres paquets .Grce ces utilitaires, il est possible de spcifier une adresse IP diffrente de celle que lon possde, et ainsi se faire passer pour une autre machine .

1-3 DNS Spoofing :

But : fournir de fausses rponses aux requtes DNS Finalit :rediriger des internautes vers des sites pirates Droulement : 2 techniques : 1 DNS cache poisoning :consiste corrompu le cache par des fausses informations. cache: les serveurs DNS possdent un cache permettant de garder pendant un certain temps la correspondance entre un nom de machine et son adresse IP. 2 DNS ID Spoofing : Lors dune requte pour obtenir ladresse IP partir dun nom, un numro didentification est plac dans la trame afin que le client et le serveur puissent identifier la requte. Lattaque consiste ici rcuprer ce numro didentification puis, envoyer des rponses falsifies au client avant que le serveur DNS lui rponde.

2- les attaques applicatives

Les attaques applicatives se basent sur des failles dans les programmes utiliss
2-1- les problme de configuration : par exemple lutilisation du configuration par

dfaut ex : login/mdp par dfaut dun serveur de base de donnes Une mauvaise configuration dun serveur peut entraner laccs des fichiers importants. lexploitation de failles.

2-2- les bugs: Lis un problme dans le code source, ils peuvent amener 2-3- les Buffer overflows : dpassement de la pile, la taille dune entre nest pas

vrifie et lente est directement copie dans un buffer dont la taille est infrieure la taille de lentre.

2-4- les injection SQL :le but des injections SQL est dinjecter du code SQL dans une

requte de base de donnes. il est possible de rcuprer des informations se trouvant dans la base exemple : des mots de passe. stations.

2-5-man in the middle: cette attaque permet de dtourner le trafic entre deux

3- le dni de service : le dni de service est une attaque visant rendre

indisponible un service. voici quelques attaques rseaux connue permettant de rendre un service injoignable

4-1- SYN Flooding :Le pirate envoie de nombreuses demandes de connexion (SYN), reoit les SYN-ACK mais ne rpond jamais avec ACK. 4-2 UDP Flooding :Le but est donc denvoyer un grand nombre de paquets UDP, ce qui va occuper toute la bande passante et ainsi rendre indisponible toutes les connexions TCP. 4-3-Smurfling :lenvoie des requtes ICMP des adresses de broadcast en spoofant ladresse de cible, Cette machine cible va recevoir un nombre norme de rponses, car toutes les machines vont lui rpondre, et ainsi utiliser toute sa bande passante. 4-4- le dni de service distribu :le pirate va tenter de se rendre matre dun nombre important de machine. Une fois ceci effectu, il ne reste plus qu donner lordre dattaquer toutes les machines en mme temps, de manire ce que lattaque soit reproduite des milliers dexemplaires. Ainsi, une simple attaque comme un SYN Flooding pourra rendre un rseau totalement inaccessible.

NIDS. HIDS. IDS hybrides. IPS. KIDS/KIPS.

 NIDS(Les ids rseaux ):

Analyser de manire passive les flux en transit sur le rseau et dtecter les intrusions en temps rel.ils assurent la scurit au niveau du rseau. ex: Snort. (notre cours s'interessent surtout a ce type d'ids).

HIDS(Les ids de type Hote): ils assurent la scurit au niveau des htes. ex:Samhain ou Tripwire.

Voici un schma permettant de comprendre son implmentation :

 IDS Hybrides:
ils permettent de runir les informations provenant dun systme HIDS quun NIDS. ex:Prelude.

IPS(Un systme de prvention d'intrusion): *les IPS sont des IDS actives .

KIDS/KIPS:
Ce type dIDS analyse les appels systmes et bloque tout accs suspect au systme.Ainsi les KIPS sont des solutions rarement utiliss sur des serveurs souvent sollicits. ex: SecureIIS.

10

Quel critre diffrencie un flux contenant une attaque dun flux normal ?
partir de cette question, nous pouvons tudier le fonctionnement interne dun IDS. Deux techniques principales sont mises en place dans la dtection dattaques : La premire consiste dtecter des signatures dattaques connues dans les paquets circulant sur le rseau. La seconde consiste quant elle, dtecter une activit suspecte dans le comportement de lutilisateur. Ces deux techniques, aussi diffrentes soient-elles, peuvent tre combines au sein dun mme systme afin daccrotre la scurit.

11

1- Approche par scnario:

Cette technique sappuie sur la connaissance des techniques utilises par les attaquants pour dduire des scnarios typiques. Elle utilise des signatures dattaques (ensemble de caractristiques permettant didentifier une activit intrusive) : une chane alphanumrique, une taille de paquet inhabituelle, une trame formate de manire suspecte, ...
Recherche de motifs(pattern matching):

La mthode la plus connue et la plus facile comprendre. Elle se base sur la recherche de motifs (chanes de caractres ou suite doctets) au sein du flux de donnes. LIDS comporte une base de signatures o chaque signature contient les protocoles et les ports utiliss par lattaque ainsi que le motif qui permettra de reconnatre les paquets suspects. Le principal inconvnient de cette mthode est que seules les attaques reconnues par les signatures seront dtectes.

12

2- Approche comportementale :

Cette technique consiste dtecter une intrusion en fonction du comportement pass de lutilisateur. Pour cela, il faut pralablement dresser un profil utilisateur partir de ses habitudes et dclencher une alerte lorsque des vnements hors profil se produisent. Cette technique peut tre applique non seulement des utilisateurs mais aussi des applications et services.
Inconvnient de lapproche comportementale:

tout changement dans les habitudes de lutilisateur provoque une alerte. ltablissement du profil doit tre souple afin quil ny ait pas trop de fausses alertes .

13

3-Mthodes rpondues:

les IDS mlangent les diffrentes techniques de dtection par scnario en proposant du pattern matching, de lanalyse protocolaire et de la dtection danomalies.

14

 Comme tout systme informatique, ou presque, il existe des failles dans les IDS, ou plutot des techniques qui permettent d'outrepasser ces systmes sans se faire reprer. Si un pirate dtecte la prsence d'un IDS, peut le dsactiver, ou mieux encore, gnrer de fausses attaques pendant qu'il commettra son forfait tranquillement.

Il existe trois catgories d'attaques contre les IDS: - Attaque par dni de service - Attaque par insertion - Attaque par vasion

15

. Dtecter un IDS
il est trs dangereux que la prsence d'un IDS soit remarque par un pirate.
quelques techniques qui permettent de dtecter un IDS:
Usurpation d'adresse MAC:

les NIDS mettent l'interface de capture en mode promiscuit ,( qui permet celle-ci d'accepter tous les paquets qu'elle reoit, mme si ceux-ci ne lui sont pas adresss.), il est donc possible de dtecter l'IDS en envoyant par exemple un ICMP "echo request" la machine souponne d'etre un NIDS avec une adresses MAC inexistante. Si la machine rpond alors elle est en mode promiscuous et peut donc etre un NIDS.
16

Mesure des temps de latence: puisque l'interface est en mode promiscuous, les temps de rponse sont plus longs.

Si temp R1 < temp R2 alors , il est fort possible que la machine soit en mode promiscous
17

1. Dni de services contre un IDS

Le but est de dsactiver lIDS en saturant ses ressources(ex: SYN Flood ou paquets (fragments incomplets). L'IDS sera ds lors incapable d'excuter sa fonctionnalit de dtection, et le pirate pourra raliser son attaque!

18

2. Techniques dinsertion
Injecter des donnes supplmentaires de telle sorte que: *lIDS les estiment inoffensives la cible ne les dcode pas Insrer un faux paquet avec checksum erron : peu dIDS vrifient le checksum. De nos jours, les routeurs rejettent souvent les paquets errons ; il faut donc utiliser un autre champ que le checksum, comme par exemple le TTL.
19

 en utilisant le timeout de fragmentation :

20

3. Techniques dvasion
Parmis les technique:

Evasions HTTP : le principe est de modifier la syntaxe les URL mais sans changer la smantique, par exemple: lencodage: coder les caractres sous forme hexadcimale www%2Emonsite%2Ecom%2Fcgi%2Fscript les doubles slashs: les ids verifie les requtes de la forme /cgi-bin/script et non pas //cgi-bin//script
URL coupe : couper la requte HTTP en plusieurs paquets TCP.
GET /cgi/bin/phf

devient : GET , /cgi/b , in/ph , f HTTP/1.0

Utiliser des URL longues: certains IDS nanalysaient quune partie de lURL.
21

 Description NIDS / NIPS : Snort

Snort est un NIDS / NIPS provenant du monde Open Source le plus utilis dans ce domaine. Snort est capable d'effectuer une analyse du trafic rseau en temps rel peut dtecter de nombreux types d'attaques : buffer overflows, scans de ports Snort a tuliser plusieurs algorithmes pendant ses premiers version (pattern matching)jusqu' 2002 ou il a utiliser l'algorithme Aho-Corasick.

22

 Principe d'algortithme Aho-Corasick Aho-Corasick construit en gnral une matrice o les lignes reprsentent les tats, et les colonnes reprsentent les vnements. Minimiser et representer la taille de lautomate tats finis (automate de rechercher). L'optimum serait bien sr de pouvoir stocker toutes les signatures dans le cache(pour raliser un accs alatoire rapide).

23

 resumer du principe de l'algo Aho-Corasickd

- Recherche multi-motifs (construction de la matrice) - Construction d'un automate dterministe(optimiser la taille de donne efficacement) - Phase de recherche de complexit temps O(m + n) (utilisation du cache)

24

O positionner son IDS ??

Il existe 3 endroits stratgiques :

25

 Position1: l'IDS va pouvoir dtecter l'ensemble des attaques

frontales, provenant de l'extrieur , donc beaucoup dalerte seront remontes ce qui rendra les logs difficellement consultables. ( ) Position2: LIDS dtectera les attaques qui n'ont pas t filtres par le firewall donc les logs seront ici plus clairs ( + ) Position3: L'IDS peut ici rendre compte des attaques internes, provenant du rseau local de l'entreprise. ( + ) Il peut tre judicieux d'en placer un cet endroit tant donn le fait que 80% des attaques proviennent de l'intrieur.

26