Gestion des alertes IDS-IPS

SECURINETS
CLUB DE LA SECURITE INFORMATIQUE
INSAT
SECURIDAY 2012
Pro Edition
[Détection des alertes IDS/IPS]
Chef Atelier : Mériem TOUMI(RT)
Fatma GHARIANI (RT)
Imène BELKHIR (RT)
Insaf BEJAOUI (RT)
Naim BEN HAMMOUDA (RT)
Yosra GHAZOUANI (RT)
30/04/2011
Securinets
Securiday 2012 pro Edition
[Détection des alertes IDS/IPS]
Table des matières
1) Présentation ...................................................................................................................... 3
I.
Types d’IDS : .............................................................................. Erreur ! Signet non défini.
i.
NIDS : ............................................................................... 3Erreur ! Signet non défini.
2) Présentation des outils utilisés :........................................................................................ 3
I.
Architecture de snort : ...................................................................................................... 4
II.
Simulation de l’attaque : ................................................................................................... 4
3) Topologie du réseau : ........................................................................................................ 4
4) Configuration des outils .................................................................................................... 5
I.
Prérequis :.......................................................................................................................... 5
II.
Snort : ................................................................................................................................ 5
i.
Sniffer : ...................................................................................................................... 7
5) Scénario de test : ............................................................................................................... 7
6) Conclusion :........................................................................................................................ 9
2
Securiday 2012 pro Edition
Securinets
[Détection des alertes IDS/IPS]
1) Présentation
Tout ordinateur connecté à un réseau informatique est susceptible d’être attaque,
d’autant plus que les outils d’attaque sont à la portée de l’internaute le moins instruit. Parmi
ces outils on mentionne : LOIC pour le déni de service et nmap pour le balayage de ports.
Pour contrer ces attaques, la vigilance est de rigueur. Notre travail consistera en la mise en
place d’un IDS et d’un IPS permettant de surveiller le trafic transitant dans le réseau. Trois
notions sont à distinguer :
IDS : Introsion Detection
System
Comme son nom l’indique,
un système de détection
d’intrusion permet de
détecter différentes
tentatives d’intrusion et ce
en se basant sur une base de
signatures des attaques
connues.
IPS : Intrusion Prevention
System
La différence principale
entre un IDS et un IPS, est
que le système de
prévention ne se contente
pas de détecter les
intrusions, mais se charge,
en plus, de les stopper.
Firewall
Suivant une politique
donnée, un pare-feu permet
d’autoriser ou de refuser un
trafic de données.
Contrairement à l’IDS, un
pare-feu n’inspecte pas le
contenu du trafic
2) Présentation des outils utilisés :
Avant de choisir l’outil, il faut établir une comparaison entre les différentes solutions
disponibles. On distingue d’abord, les IDS matériels et ceux logiciels. Concernant les
solutions matérielles, on note que Cisco et ISS sont les leaders.
Fournisseur
Cisco
ISS
Caractéristiques
Serveur de détection dédié. Performance haute vitesse.
Techniques IDS anti-esquive. Interface de commandes pour
l’administration
Serveur dédié qui bloque automatiquement les attaques
malveillantes tout en préservant la bande passante.
Administration automatisée
Prix
6201€
9995€
Quant aux solutions logicielles, qui nous intéressent, un choix très varié est offert. Le
tableau suivant illustre les différences entre 3 IDS suivant les caractères les plus
représentatifs :
Critère
Mode de détection
Langage des
signatures
Réaction en temps
réel
plateforme
Open source
Dragon
Signatures
script
Prelude
signatures
Règles snort
Non
Oui
Snort
signatures
Règles snort (très
facile à élaborer)
Oui
Linux/Windows
Non
Linux
Oui
Linux/Windows
Oui
3
Securiday 2012 pro Edition
Securinets
Source de réponse
Analyse de systèmes
log
Analyse de snmp
Analyse MD5
[Détection des alertes IDS/IPS]
Analyse du trafic
SNMP
Collecte de
statistiques sur le
réseau
Identification de
vulnérabilités
Trafic suspect
DNS, DOS, RPC,
Telnet, Web-attacks
…
On note que Prelude et Snort se distinguent des autres car libres et plus réactifs.
Très populaires, la mise à jour des attaques est faite de manière régulière. Ceci dit, snort
prend l’avantage grâce à sa disponibilité multiplateforme.
I.
Architecture de snort :
Il s’agit d’une architecture modulaire basée sur :




II.
Un noyau de base qui, au démarrage, charge les règles, les compile, les optimise et
les classe. Il se charge également de la capture des paquets.
Les preprossecors offrent plus de possiblibilés à snort en retravaillant les paquets
avant de les envoyer au moteur de recherche.
Les moteurs de recherche qui analysent ces paquets en se basant principalement sur
leurs en-têtes.
Les output plugins qui en fonction de la règle, écrivent dans un fichier log, envoient
un message d’alerte vers un fichie syslog ou stockent l’intrusion dans une base de
données mysql.
Simulation de l’attaque :
Concernant la simulation de l’attaque, on aura recours à LOIC et à nmap pour
effectuer respectivement une attaque par déni de service ou un balayage de port.
3) Topologie du réseau :
On aura besoin de créer un réseau entre machines. La première sera protégée par
un IDS (où un IPS). La deuxième exécutera une attaque à l’encontre de la première. Notre
réseau ressemblera au schéma ci-dessous :
4
Securiday 2012 pro Edition
Securinets
[Détection des alertes IDS/IPS]
Topologie du réseau
4) Configuration des outils
I.
Prérequis :
Avant de procéder à l’installation de snort, il faut d’abord installer :




Libpcap : permet la capture des paquets
Gcc : permet de compiler les sources de snort
Mysql-server : pour la base de données
Base (optionnellement) : fournit une représentation des statistiques des alertes
II.
Snort :
#apt-get install snort-mysql
Pendant l’installation, On sélectionne le réseau 192.168.0.0/24 et on choisit de ne
pas installer la base SQL directement.
Si une erreur apparait, il faut supprimer le fichier /etc/snort/db-pending-config.
III.
La base de données :
#mysql -u root -p >create database snort;
Création d’un utilisateur MySQL pour Snort :
>grant all on snort.* to snortuser@localhost identified by ‘snortpwd’;
>flush privileges;
5
Securiday 2012 pro Edition
Securinets
[Détection des alertes IDS/IPS]
Importation des tables SQL dans la base SQL que je viens de créer.
On dézippe le fichier /usr/share/doc/snort-mysql/create_mysql.gz
#mysql -u root -p snort < /usr/share/doc/snort-mysql/create_mysql
IV.
Configuration de snort
On ouvre le fichier de configuration de Snort /etc/snort/snort.conf
On modifie les lignes entre (#DBSTART#) et (#DBEND#) pour ajouter la configuration
SQL.
output database: log, mysql, user=snortuser password=snortpwd dbname=snort
host=localhost
Et on enlève les commentaires pour les lignes suivantes en ajoutant aussi la
configuration SQL.
ruletype redalert
{
type alert output alert_syslog: LOG_AUTH LOG ALERT output database: log, mysql,
user=snortuser password=snortpwd dbname=snort host=localhost
}
On modifie également les variables HOME_NET en remplaçant any par la plage
d’adresses 192.168.0.0/24 et RULE_PATH par le chemin du dossier contenant les règles de
snort à savoir /etc/snort/rules. Ces règles sont téléchargeables sur www.snort.org. Elles sont
également faciles à créer suivant le modèle suivant :
V.
Vérification :
Pour vérifier que snort est bien installé on exécute :
#snort –version
6
Securiday 2012 pro Edition
Securinets
VI.
[Détection des alertes IDS/IPS]
Lancement :
On peut lancer snort en différent modes :
i. Sniffer :
Il s’agit d’un mode d’écoute qui permet d’observer les paquets (#snort –v).
ii. Packet logger :
Ce mode permet d’archiver les paquets transitant sur le réseau dans un dossier
donné (/var/log/snort). L’option –l permet de spécifier le dossier où ces archives seront
stockées.
iii. Système de détection d’intrusions réseau :
Ce mode permet d’observer les paquets, de les analyser, de comparer leurs
contenus aux règles de snort et d’adopter l’action appropriée définie dans la règle
concernée.
iv. Système de prévention d’intrusions réseau :
Lancé avec l’option –Q après une configuration appropriée de DAQ (Data AcQuisition
library) permet de stopper les attaques.
5) Scénario de test :
On crée un réseau entre deux machines conformément à la topologie du réseau déjà
établie. On lance snort sur la première en mode détecteur d’intrusions. On effectue une
attaque par déni de service à partir de la deuxième une utilisant l’outil LOIC.
Sur la première machine :
#snort –A full –c /etc/snort/snort.conf
7
Securinets
Securiday 2012 pro Edition
[Détection des alertes IDS/IPS]
Sur la deuxième :
#./loic run
On note sur la première machine :
En consultant le fichier des alertes dans le dossier /var/log/snort , on trouve :
8
Securinets
Securiday 2012 pro Edition
[Détection des alertes IDS/IPS]
6) Conclusion :
Les risques d’intrusion sont une réalité et cela n’arrive pas qu’aux autres. Il faut donc
songer à sécuriser son réseau à l’aide d’outils de détection des intrusions et de prévention
des intrusions.
Snort est un système de détection d’intrusion qui, avec la bonne configuration, peut
être utilisé comme système de prévention des intrusions. Cette solution a prouvé son
efficacité et ne cesse d’évoluer afin de déjouer les nouveaux types d’attaques.
Afin de bénéficier d’une meilleure lisibilité des fichiers de log, plusieurs interfaces
permettent de, facilement, d’avoir des statistiques sur les nombres d’aletes. On en cite BASE
pour Basic Analysis Security engine et ACID pour Analysis Control Intrusion Databases.
9