docProcédure - Le Télégramme
download 
Plainte Transcription
Procédure - Le Télégramme
IDS - Prévention des Intrusions
Pascal FERNANDEZ
Avril 2016
Kaspersky Lab.
Corporate Technical Support - France
1.
Fonctionnement des modules Pare-Feu et Détection des Intrusions (IDS) :
Afin de protéger votre travail sur les réseaux locaux et sur Internet, Kaspersky Endpoint
Security 10 vous propose un composant spécial : Anti-Hacker. Ce composant de type
Stateful Inspection protège votre ordinateur au niveau du réseau (support IPv4 et IPv6)
et au niveau des applications et rend votre machine invisible sur le réseau, ce qui permet
de déjouer les attaques.
Voici une présentation du fonctionnement de la protection réseau.
La protection au niveau du réseau est garantie grâce à l'utilisation de règles globales pour
les paquets du réseau qui, suite à l'analyse de paramètres tels que le sens de circulation
des paquets, le protocole de transfert, le port d'envoi et de réception du paquet, autorise ou
interdit l'activité de réseau. Les règles pour les paquets définissent l'accès au réseau
quelles que soient les applications installées sur votre ordinateur qui utilisent le réseau.
1
KES 10 - IDS
Kaspersky Lab.
Corporate Technical Support - France
En plus des règles pour les paquets, la protection au niveau du réseau est garantie par le
sous-système d'identification des intrusions (IDS).
La tâche de ce sous-système consiste à analyser les connexions entrantes, définir les
balayages des ports de l'ordinateur et à filtrer les paquets de réseaux envoyés pour
exploiter une vulnérabilité logicielle.
Dès que le sous-système d'identification des intrusions s'active, toutes les connexions
entrantes émanant de l'ordinateur attaquant seront bloquées pendant une durée
déterminée et l'utilisateur sera averti de la tentative d'attaque menée contre son ordinateur.
Le fonctionnement du sous-système de détection des intrusions repose sur l'utilisation
pendant l'analyse d'une base spéciale de signatures d'attaques régulièrement enrichie par
nos experts et mise à jour en même temps que les signatures des menaces.
L'administrateur
peut définir des exclusions sur des listes d'adresses IP afin d'éviter le contrôle IDS.
2
KES 10 - IDS
Kaspersky Lab.
Corporate Technical Support - France
La protection au niveau des applications est garantie grâce à l'application de règles
d'utilisation des ressources de réseau pour les applications installées sur l'ordinateur.
À l'instar de la protection au niveau du réseau, la protection au niveau des applications
repose sur l'analyse des paquets de réseau du point de vue du sens de circulation des
paquets, du type de protocole de transfert, du port utilisé.
Cependant, au niveau de l'application non seulement les caractéristiques du paquet sont
prises en compte, mais également l'application concrète à laquelle le paquet est destiné ou
qui a initialisé l'envoi de ce paquet.
Il est à noter que notre module de protection IDS protège
uniquement des attaques réseaux exploitant une vulnérabilité du
système d’exploitation ou des applications cibles (vers réseaux…)
et non d’attaques de types DDoS qui ne sont pas dans le scope de ce
composant de protection.
3
KES 10 - IDS
Kaspersky Lab.
Corporate Technical Support - France
L'utilisation de règles pour les applications permet une configuration plus fine de la
protection, par exemple lorsqu’un type de connexion est interdit pour certaines applications
et autorisé pour d'autres.
4
KES 10 - IDS
Kaspersky Lab.
Corporate Technical Support - France
2.
Blocage des attaques basées sur le protocole TCP :
En cas de détection d'une tentative d'attaque réseau contre l'ordinateur de l'utilisateur,
Kaspersky Endpoint Security bloquera par défaut l'activité réseau de l'ordinateur attaquant.
Un message vous avertit après qu'une tentative d'attaque réseau a été effectuée et vous
fournit des informations relatives à l'ordinateur à l'origine de l'attaque.
Attaques réseau utilisant le protocole TCP :
Intrusion.Win.LSASS.ASN1-kill-bill.exploit
Intrusion.Win.DCOM.exploit
Intrusion.Win.NETAPI.buffer-overflow.exploit
Intrusion.Win.MSSQL.worm…
Les paquets provenant de ces types d’attaques seront détectés puis refusés ainsi que
l’ordinateur attaquant bloqué si l’option de blocage de l’ordinateur est activée dans la
stratégie de protection.
5
KES 10 - IDS
Kaspersky Lab.
Corporate Technical Support - France
Exceptions :
TCP.Generic.SynFLOOD :
Les paquets provenant d’une attaque « TCP.Generic.SynFlood » sont détectés et
refusés sans avertir l’émetteur (DROP).
Dans ce type d’attaque TCP.Generic.SynFlood par exemple, des requêtes de type
"TCP SYN Flooding" ("SYN flag over TCP") sont envoyées dépassant plus de 300
requêtes en l'espace de 5 secondes.
TCP.Scan.Generic :
L’attaque « TCP.Scan.Generic » n’est pas fondamentalement considérée comme une
vraie attaque, mais plus comme du scan de ports, les paquets sont donc détectés,
mais non refusés.
Bruteforce.Generic.RDP :
Les paquets provenant d’une attaque « Bruteforce.Generic.RDP » sont détectés, mais
non refusés.
Les ordinateurs attaquants ne seront jamais bloqués dans ces trois types d’attaques
réseau, et ce même si l’option de blocage de l’ordinateur est activée dans la stratégie
de protection.
Ceci pour la simple raison que ce genre de paquets circulent largement dans les
réseaux d'entreprise et peuvent être diffusés par des logiciels et matériels tout à fait
légitimes.
6
KES 10 - IDS
Kaspersky Lab.
Corporate Technical Support - France
Simulation d’une attaque réseau :
Vous pouvez reproduire une attaque réseau basée sur TCPv4 par exemple par le biais
de notre outil kltps ou de l’utilitaire Nmap par exemple, via les commandes suivantes :
kltps -4 –t <host> <port>
Intense scan, all TCP ports :
nmap –p 1-65535 –T4 –A –v <@IP>
7
KES 10 - IDS
Kaspersky Lab.
Corporate Technical Support - France
3.
Blocage des attaques basées sur le protocole UDP :
Scan.Generic.UDP
DOS.Generic.FLOOD
Tous les paquets provenant d’attaques basées sur le protocole UDP seront détectés
puis refusés par le module de protection IDS, mais en aucun cas l’ordinateur attaquant
ne sera banni, et ce même si l’option de blocage de l’ordinateur est activée dans la
stratégie de protection.
Raison :
Un hacker peut être en mesure de compiler un paquet UDP en y spécifiant l’IP d’un
composant réseau tel que le Routeur par exemple. Cela aurait ainsi pour impact une
détection de l’IDS et un blocage de l’IP de ce routeur.
Cela dit, cela tous les paquets UDP disposant d’une signature Malware seront bien
refusés. (DROP)
Les notifications apparaitront pour tous les paquets interceptés (en cas d’attaques
massives, certaines notifications peuvent ne pas être loguées afin d’éviter le flood
d’évènements).
8
KES 10 - IDS
Kaspersky Lab.
Corporate Technical Support - France
Simulation d’une attaque réseau :
Vous pouvez reproduire une attaque réseau basée sur UDP par exemple par le biais
de notre outil Kltps ou de l’utilitaire Nmap par exemple, via les commandes suivantes :
kltps -4 –u <host> <port>
Intense scan plus UDP :
nmap –sS –sU –T4 –A –v <@IP>
9
KES 10 - IDS
