Pr�sentation IDS by 9oaJ0il

VIEWS: 16 PAGES: 23

									                Comment gérer le risque lié aux
                        intrusions?

        Etude des conditions de mise en place
       efficace d'un système de détection (IDS)




Thierry Evangelista
Consultant Sécurité
TURPIAL
thierry.evangelista@turpial.net
Agenda

   Bilan de l’année 2002
   Menaces courantes concernant les Systèmes d’Information
   Problèmatique des technologies de Détection des Intrusions
   Critères de choix
    Bilan et leçons apprises de 2002
   La notion de périmètre de sécurité a considérablement évolué
     — Acceptation des technologies de mobilité
     — Avènement du VPN (B2B, télétravail…)
     — Les équipements mobiles (laptops, PDA, téléphones) ont une fâcheuse tendance
       à être utilisés en milieu non sécurisé avant d’être ensuite connecté sur le réseau
       d’entreprise, ce qui augmente les risques d’infection et de propagation
     — Il est couramment admis que le firewall seul n’est plus suffisant pour détecter
       et/ou prévenir des nouvelles classes d’attaques plus sophistiquées (injection
       SQL, attaques de type Unicode, buffers overflows…)


   Les utilisateurs cliquent toujours sur les photos de Laetitia Casta
    attachées aux mails
     — Techniques d’ingénierie sociale
     — La plupart des compromissions de systèmes est faite via des e-mails
    Bilan et leçons apprises de 2002 (suite)


   Le monitoring des solutions de sécurité est peu (ou mal) pratiqué
     — Souvent, des solutions sont installées et restent dormantes
     — Le monitoring permet également de mieux appréhender le Retour sur Investissement
     — L’outsourcing de la Sécurité est encore mal perçu en Europe


   La stratégie de Sécurité choisie n’est pas toujours la plus judicieuse
     — Pas de politique de Sécurité
          < À quoi bon blinder un accès au réseau si par exemple un utilisateur interne peut installer un point d’accès
            sans fil et rayonner l’information à plusieurs centaines de mètres à la ronde ?

     — Solutions inadaptées ou figées
          < Parfois le désir d’avoir une jolie interface graphique sur un produit de sécurité introduit un risque additionnel
            lié aux vulnérabilités ce cette interface: il faut trouver un compromis satisfaisant entre la facilité d’exploitation
            et l’efficacité d’une solution
Idées préconçues rencontrées sur le terrain


   Les firewalls sont des systèmes magiques qui
    protègent de toute menace extérieure
   Tous les personnels IT, NOC et Sécurité sont fiables à
    100 % et ne hackent jamais de systèmes
   “Nous n’avons jamais été hacké”
     — et le corollaire “Vous ne pouvez pas nous hacker”
   Dépenser beaucoup de €€€€ est synonyme de
    sécurité à toute épreuve
Les 7 erreurs de management référencées par
le Sans Institute en matière de Sécurité

   Numéro 7: prétendre que le problème disparaitra de lui-même si on l’ignore
   Numéro 6: adopter une stratégie réactive de résolution des problèmes à court terme
   Numéro 5: être incapable d’évaluer combien valent les données et la réputation de
    l’entreprise
   Numéro 4: Se reposer uniquement sur un firewall
   Numéro 3: être incapable de gérer les aspects opérationnels de la sécurité du système
    (c’est-à-dire corriger une faille et être incapable d’assurer le suivi pour s’assurer que le
    problème est bien corrigé)
   Numéro 2: être incapable de comprendre la relation existante entre le système
    d’information et le cœur de métier de l’entreprise (en général, ces personnes
    comprennent la sécurité physique mais ne comprennent pas bien la sécurité des
    informations)
   Numéro 1: affecter des personnes non qualifiées à la maintenance de la sécurité du
    système et ne leur fournir ni le temps ni la formation nécessaire à l’accomplissement
    de leur tâche
    Classification des intrusions visant un SI



   Dénis de Services (DoS, DDoS)
    Hackers distants (attaques externes)
                                                                                                     Spoofing/ forgeurs de
                                             Elevé                                                  paquets

     — Attaques ciblées                                                                                          Sophistication des
                                                                             Backdoors   Scanners
                                                                                                                  outils de hacking
     — Attaques non ciblées
                                                                                                      Sniffers
   Menace interne                                      Exploitation de vulnérabilités
                                                                                               Détournement de

     — Environ 50% des alertes remontées                                                       sessions

       proviennent de l’intérieur du réseau
   Virus                                                               Cassage de
                                                                        mots de passe
                                                                                                               Connaissances
                                                                                                             techniques requises

                                                       Deviner les mots de
                                              Faible   passe


                                                       1985             1990              1995             2003
    Pourquoi les sociétés sont elles vulnérables ?


   Plus de bugs de sécurité dans le software
   Ouverture et modularité des systèmes
     —   Une faille de sécurité dans un composant peut
         impacter toute la chaine
           <   Word, Acrobat sont devenus des programmes en
               réseau
           <   Même les fichiers PostScripts peuvent véhiculer des
               virus
     —   Risques liés aux codes mobiles
           <   Un code mobile peut être distribué à un grand
               nombre de systèmes types PDA ou téléphone en
               quelques heures

   Difficultés de compréhension et d’analyse
     —   Difficultés à acquérir et conserver la connaissance
         nécessaire pour garder un environnement sécurisé
         dans un environnement extrèmement dynamique
     —    Un manque de compréhension peut rendre une
         attaque par ingénierie sociale plus facile
     Bugs de Sécurité
   Les experts estiment courrament le taux de bugs à 5-15 par 1000 lignes de code


   Evolution de la taille de divers systèmes (en lignes)
     —   Solaris 7                         400 000
     —   Linux                             1,5 millions
     —   Windows 3.1 (1992)                3 millions
     —   Windows NT (1992)                 4 millions
     —   Boeing 777                        7 millions
     —   Navette spaciale                  10 millions
     —   Windows 95 (1995)                 15 millions
     —   Windows NT 4.0 (1996)             16.5 millions
     —   Windows 98 (1998)                 18 millions
     —   Windows 2000 (2000)               35–50 millions
     —   ISS (la station !)                40 millions


     —   Si on prend le cas de Windows 2000, cela implique environ 400.000 bugs. Si 1% de ces bugs sont critiques, cela laisse
         encore 4000 moyens d’attaquer une machine !


   Exemple: La dernière photo prise par Mars Lander avant son plongeon sur Mars
     —   Erreur de traduction de données du système UK en système métrique qui a provoqué une extinction
         prématurée des moteurs de descente
     —   Coût pour le contribuable: $165 Millions
     —   Autre exemple: Lanceur Ariane 5 lors des premiers essais à vide il y a quelques années
     Vulnérabilités
     Exploitation des bugs mentionnés précédemment

   Palmarès des vulnérabilités pour 2002 (source: Sans Institute)
     —   Tous systèmes confondus
           < Failles d’implémentation SNMP
           <   Défaut d’authentification sur des comptes utilisateurs
           <   Injection dans les bases SQL
     —   Systèmes Unix
           < Serveur web Apache                                                              Incidents gérés par le CERT
           <   Secure Shell (SSH)
           <   File Transfer Protocol (FTP)                                         100000
           <   Line Printer Daemon (LPD)
                                                                                    80000
           <   Sendmail




                                                                        Incidents
           < BIND/DNS                                                               60000
     —   Systèmes Windows
                                                                                    40000
           <   Internet Information Services (IIS)
           <   Microsoft Data Access Components (MDAC)                              20000
           <   NETBIOS – (partages non protégés et NULL sessions)
                                                                                        0
           <   Authentification LAN Manager (mauvais algorithme)
                                                                                        1998          1999        2000     2002
           <   Internet Explorer
           <   Accès distant à la Base de registre
     —   Conséquence: recrudescence d’incidents référencés
           <   Nombre d’alertes multiplié par 20 entre 1998 et 2002
     Exemple: IIS Decode Bug
   Il s’agit d’une vulnérabilité qui affecte les serveurs IIS antérieurs à la version 5.0
   Exploitation de la vulnérabilité: Il suffit d’utiliser des URLs ayant la structure suivante pour
    exécuter des commandes sur la machine cible:
                http://<ip>/scripts/..%255c..%255cwinnt/system32/cmd.exe?/c+dir+%2fs+c:\%2a%2ehtm

   Explication: Compte tenu que %25=% et %5c=\ le serveur web va traduire l’URL précédent par:
                  http://<ip>/scripts/..%5c..%5cwinnt/system32/cmd.exe?/c+dir+%2fs+c:\%2a%2ehtm

    Le %5c est converti une seconde fois pour donner la requête suivante:
                     http://<ip>/scripts/..\..\winnt/system32/cmd.exe?/c+dir+%2fs+c:\%2a%2ehtm

    Convertissons de la même manière la commande passée en paramètre:
                                         dir+%2fs+c:\%2a%2ehtm
          Etant donné que %2f = /     %2a = *              %2e = . on obtient la commande suivante:
                                                dir /s c:\*.htm
   Résultat: l’intrus peut visualiser (voire effacer ou modifier) tous les fichiers de la machine cible
    avec simplement un browser web. Il est à noter que cette attaque est indépendante du fait que
    l’on traverse 1, 2 ou N firewalls (dans la mesure où ceux ci autorisent les flux HTTP)
L’alternative est simple:

1. Simplifier au plus le système
     — Limiter l’utilisation d’Internet et Extranets
     — Séparation physique des réseaux stratégiques
     — Cela va à l’encontre de toutes les tendances actuelles liées aux convergences technologiques
       et engendre un surcoût d’exploitation non négligeable


2. Accepter l’insécurité des solutions
     — Les vulnérabilités sont inévitables
     — Mettre en place des systèmes et process pour gérer ces vulnérabilités
           < Scanners de vulnérabilités
           < Systèmes de détection des intrusions
     — Adopter une stratégie de gestion du risque et non d’évitement de la menace


                                          Risque=f(Menace, Vulnérabilité, Coût)
Technologies de Sécurité
(liste non exhaustive…)

    Détection des Intrusions             Vilain




           Biométrie




           Authentification forte, PKI



           Anti Virus




           Firewalls
Qu’est ce que la détection des intrusions?
   Un système de détection des intrusions est un ensemble de composants
    logiciels et/ou matériel dont la fonction principale et de détecter et analyser
    toute tentative d’effraction volontaire ou non et/ou de maintien dans un
    système d’informations


   Un IDS assure notamment les fonctions suivantes:
     — Détection des techniques de sondage (scans, prise d’empreintes…)
     — Détection des activités virales
     — Détection des activités suspectes internes à l’entreprise
     — Audit des fichiers de journaux (logs) en provenance de diverses sources
     — Corrélation de multiples sources d’évênements de sécurité
     Problèmatique des IDS

   Que détecter? Que peut on qualifier de ”suspect” ou de “comportement anormal” ?
   Pertinence des différentes méthodes de détection
     —   Analyse de signatures
     —   Analyse de protocoles
     —   Analyse de comportement
           <   Cette méthode n’est pas fiable à ce jour car elle implique des technologies d’intelligence artificielle, ce qui génère un taux de
               fausses alertes important à ce jour
   Comment minimiser les fausses alertes (« false positives ») ?
     —   Une seule sonde peut remonter de quelques centaines à quelques milliers d’évênements de sécurité par jour
     —   Avec une configuration par défaut de la sonde, la plupart d’entre eux sont des évênements informationnels qui ne
         constituent pas des attaques contre votre SI
     —   Il est donc nécessaire d’exploiter et maintenir les sondes en permanence afin de les paramétrer pour qu’elles ne
         remontent que les alertes « pertinentes » et soient capables de détecter de nouvelles techniques d’attaque
   Comment éviter les techniques d’évasion ?
     —   Ces techniques permettent à un attaquant de rendre l’attaque invisible à l’IDS
     —   Exemples: encodage Unicode, obsfucation d’URLs, fragmentation, insertions d’erreurs de CRC…
      Eléments de réflexion
concernant le choix d’une solution
   de détection des intrusions
Prérequis: la politique de sécurité
   La mise en place d’une solution de détection des intrusions s’inscrit toujours dans la
    politique de sécurité de l’Entreprise

   L’objectif primaire de la politique de Sécurité est de remplir les 3 objectifs suivants:
     — Confidentialité
     — Intégrité
     — Disponibilité


   Formulation de la politique
     — Quels sont les objectifs ?
     — Quelles doivent être les procédures ?
     — Quel est l’impact financier ?
     — L’idéal serait de parvenir à quantifier le risque pour chaque composante du SI
Exemple: Quelle réaction à adopter en cas
d’intrusion ?

   La première réaction n’est pas toujours la meilleure !
   Exemples de réactions « risquées »:
     —   Réponse active:
           <   Il peut être dangereux de répondre automatiquement à
               quelqu’un qui attaque un système car on ne peut jamais
               être sur de l’identité de la source
     —   Reconfiguration automatique de firewall
           <   Risque de saturation de l’équipement jusqu’à ce que celui
               ci soit inopérant

   Il est préférable de:
     —   1: évaluer le risque lié à l’intrusion
     —   2: identifier si possible la source et prévenir les
         organismes et associations compétentes (tels les CERTs
         par exemple)
     —   3: prendre les contre-mesures nécessaires pour empêcher
         des attaques similaires dans le futur (applications de
         patchs, réarchitecturage, honeypots…)
Les différentes classes d’IDS

   NIDS= Network Intrusion Detection System
     —   Il s’agit de sondes réseau que l’on positionne en des points stratégiques du système et qui analysent les flux de
         données en transit


   HIDS= Host Intrusion Detection System
     —   Il s’agit d’un agent logiciel que l’on installe directement sur les machines (serveurs ou PCs clients) à protéger et
         qui offre des services complémentaires:
           <   Détection de compromission de fichiers (contrôle d’intégrité)
           <   Analyse de la base de registre (windows) ou des LKMs (Linux)
           <   Analyse et corrélation de logs en provenance de firewalls hétérogènes
           <   Analyse des flux cryptés (ce que ne peut réaliser un NIDS !)


   Certains IDS sont dit hybrides quand ils intègrent simultanément et de manière indissociée les 2
    fonctionnalités précédentes


   D’autres classes de produits sont apparentés à des IDS mais offrent des services complémentaires
     —   Honeypots (systèmes de leurre) : utilisés pour ralentir la progression d’un hacker et étudier ses méthodes
         d’attaque
     —   IPS (Intrusion Prevention System): technologie encore immature et pas suffisamment fiable mais qui pourra
         s’avérer un complément des IDS dans un futur moyen terme (1 à 2 ans)
Positionnement des sondes


                                                             Network Sensor (NIDS)
                                                             - Détection des attaques réseau
                                                             - Détection des anomalies
                                                             - Détection des violations de protocoles


                         Switch              Firewall
                                                        Routeur




 Réseau                                                                        Internet
 interne
                                                         Système de management
 Host Sensor (HIDS)
                                                         - Corrélation des données
                                                         - Analyse
 - Détection des attaques systèmes                       - Rapports
 - Vérification de l’intégrité des données
 - Corrélation des logs des firewalls
                                             DMZ
Le triangle magique des IDS




• Problème: En matière d’IDS, on ne peut en général sélectionner que 2 critères !
• Le système de détection ne sera utile (et utilisé !) que s’il répond aux 3 critères
• Le choix d’une solution va donc consister à trouver le meilleur compromis possible entre
simplicité, efficacité et coût
Conclusion

   Pour mettre en place efficacement un système de détection des intrusions,
    il est important de prendre en compte TOUS les points suivants:
     — Aspects technologiques
         < Capacités globales de détection
         < Corrélation d’informations la plus large possible
         < Résistance aux techniques d’évasion
         < Réactivité du fournisseur et/ou de l’intégrateur de la solution
         < Et surtout la possibilité de s’intégrer dans tout type d’environnement applicatif
     — Aspects organisationnels
         < Politique de sécurité
         < Audits réguliers et mises à jours de la solution
         < Qui doit effectuer la surveillance du système ?
               –   Problèmatique de l’outsourcing et du déport de l’analyse temps réel
MERCI

								
To top