Gestion des alertes IDS-IPS
Transcription
Gestion des alertes IDS-IPS
SECURINETS CLUB DE LA SECURITE INFORMATIQUE INSAT SECURIDAY 2012 Pro Edition [Détection des alertes IDS/IPS] Chef Atelier : Mériem TOUMI(RT) Fatma GHARIANI (RT) Imène BELKHIR (RT) Insaf BEJAOUI (RT) Naim BEN HAMMOUDA (RT) Yosra GHAZOUANI (RT) 30/04/2011 Securinets Securiday 2012 pro Edition [Détection des alertes IDS/IPS] Table des matières 1) Présentation ...................................................................................................................... 3 I. Types d’IDS : .............................................................................. Erreur ! Signet non défini. i. NIDS : ............................................................................... 3Erreur ! Signet non défini. 2) Présentation des outils utilisés :........................................................................................ 3 I. Architecture de snort : ...................................................................................................... 4 II. Simulation de l’attaque : ................................................................................................... 4 3) Topologie du réseau : ........................................................................................................ 4 4) Configuration des outils .................................................................................................... 5 I. Prérequis :.......................................................................................................................... 5 II. Snort : ................................................................................................................................ 5 i. Sniffer : ...................................................................................................................... 7 5) Scénario de test : ............................................................................................................... 7 6) Conclusion :........................................................................................................................ 9 2 Securiday 2012 pro Edition Securinets [Détection des alertes IDS/IPS] 1) Présentation Tout ordinateur connecté à un réseau informatique est susceptible d’être attaque, d’autant plus que les outils d’attaque sont à la portée de l’internaute le moins instruit. Parmi ces outils on mentionne : LOIC pour le déni de service et nmap pour le balayage de ports. Pour contrer ces attaques, la vigilance est de rigueur. Notre travail consistera en la mise en place d’un IDS et d’un IPS permettant de surveiller le trafic transitant dans le réseau. Trois notions sont à distinguer : IDS : Introsion Detection System Comme son nom l’indique, un système de détection d’intrusion permet de détecter différentes tentatives d’intrusion et ce en se basant sur une base de signatures des attaques connues. IPS : Intrusion Prevention System La différence principale entre un IDS et un IPS, est que le système de prévention ne se contente pas de détecter les intrusions, mais se charge, en plus, de les stopper. Firewall Suivant une politique donnée, un pare-feu permet d’autoriser ou de refuser un trafic de données. Contrairement à l’IDS, un pare-feu n’inspecte pas le contenu du trafic 2) Présentation des outils utilisés : Avant de choisir l’outil, il faut établir une comparaison entre les différentes solutions disponibles. On distingue d’abord, les IDS matériels et ceux logiciels. Concernant les solutions matérielles, on note que Cisco et ISS sont les leaders. Fournisseur Cisco ISS Caractéristiques Serveur de détection dédié. Performance haute vitesse. Techniques IDS anti-esquive. Interface de commandes pour l’administration Serveur dédié qui bloque automatiquement les attaques malveillantes tout en préservant la bande passante. Administration automatisée Prix 6201€ 9995€ Quant aux solutions logicielles, qui nous intéressent, un choix très varié est offert. Le tableau suivant illustre les différences entre 3 IDS suivant les caractères les plus représentatifs : Critère Mode de détection Langage des signatures Réaction en temps réel plateforme Open source Dragon Signatures script Prelude signatures Règles snort Non Oui Snort signatures Règles snort (très facile à élaborer) Oui Linux/Windows Non Linux Oui Linux/Windows Oui 3 Securiday 2012 pro Edition Securinets Source de réponse Analyse de systèmes log Analyse de snmp Analyse MD5 [Détection des alertes IDS/IPS] Analyse du trafic SNMP Collecte de statistiques sur le réseau Identification de vulnérabilités Trafic suspect DNS, DOS, RPC, Telnet, Web-attacks … On note que Prelude et Snort se distinguent des autres car libres et plus réactifs. Très populaires, la mise à jour des attaques est faite de manière régulière. Ceci dit, snort prend l’avantage grâce à sa disponibilité multiplateforme. I. Architecture de snort : Il s’agit d’une architecture modulaire basée sur : II. Un noyau de base qui, au démarrage, charge les règles, les compile, les optimise et les classe. Il se charge également de la capture des paquets. Les preprossecors offrent plus de possiblibilés à snort en retravaillant les paquets avant de les envoyer au moteur de recherche. Les moteurs de recherche qui analysent ces paquets en se basant principalement sur leurs en-têtes. Les output plugins qui en fonction de la règle, écrivent dans un fichier log, envoient un message d’alerte vers un fichie syslog ou stockent l’intrusion dans une base de données mysql. Simulation de l’attaque : Concernant la simulation de l’attaque, on aura recours à LOIC et à nmap pour effectuer respectivement une attaque par déni de service ou un balayage de port. 3) Topologie du réseau : On aura besoin de créer un réseau entre machines. La première sera protégée par un IDS (où un IPS). La deuxième exécutera une attaque à l’encontre de la première. Notre réseau ressemblera au schéma ci-dessous : 4 Securiday 2012 pro Edition Securinets [Détection des alertes IDS/IPS] Topologie du réseau 4) Configuration des outils I. Prérequis : Avant de procéder à l’installation de snort, il faut d’abord installer : Libpcap : permet la capture des paquets Gcc : permet de compiler les sources de snort Mysql-server : pour la base de données Base (optionnellement) : fournit une représentation des statistiques des alertes II. Snort : #apt-get install snort-mysql Pendant l’installation, On sélectionne le réseau 192.168.0.0/24 et on choisit de ne pas installer la base SQL directement. Si une erreur apparait, il faut supprimer le fichier /etc/snort/db-pending-config. III. La base de données : #mysql -u root -p >create database snort; Création d’un utilisateur MySQL pour Snort : >grant all on snort.* to snortuser@localhost identified by ‘snortpwd’; >flush privileges; 5 Securiday 2012 pro Edition Securinets [Détection des alertes IDS/IPS] Importation des tables SQL dans la base SQL que je viens de créer. On dézippe le fichier /usr/share/doc/snort-mysql/create_mysql.gz #mysql -u root -p snort < /usr/share/doc/snort-mysql/create_mysql IV. Configuration de snort On ouvre le fichier de configuration de Snort /etc/snort/snort.conf On modifie les lignes entre (#DBSTART#) et (#DBEND#) pour ajouter la configuration SQL. output database: log, mysql, user=snortuser password=snortpwd dbname=snort host=localhost Et on enlève les commentaires pour les lignes suivantes en ajoutant aussi la configuration SQL. ruletype redalert { type alert output alert_syslog: LOG_AUTH LOG ALERT output database: log, mysql, user=snortuser password=snortpwd dbname=snort host=localhost } On modifie également les variables HOME_NET en remplaçant any par la plage d’adresses 192.168.0.0/24 et RULE_PATH par le chemin du dossier contenant les règles de snort à savoir /etc/snort/rules. Ces règles sont téléchargeables sur www.snort.org. Elles sont également faciles à créer suivant le modèle suivant : V. Vérification : Pour vérifier que snort est bien installé on exécute : #snort –version 6 Securiday 2012 pro Edition Securinets VI. [Détection des alertes IDS/IPS] Lancement : On peut lancer snort en différent modes : i. Sniffer : Il s’agit d’un mode d’écoute qui permet d’observer les paquets (#snort –v). ii. Packet logger : Ce mode permet d’archiver les paquets transitant sur le réseau dans un dossier donné (/var/log/snort). L’option –l permet de spécifier le dossier où ces archives seront stockées. iii. Système de détection d’intrusions réseau : Ce mode permet d’observer les paquets, de les analyser, de comparer leurs contenus aux règles de snort et d’adopter l’action appropriée définie dans la règle concernée. iv. Système de prévention d’intrusions réseau : Lancé avec l’option –Q après une configuration appropriée de DAQ (Data AcQuisition library) permet de stopper les attaques. 5) Scénario de test : On crée un réseau entre deux machines conformément à la topologie du réseau déjà établie. On lance snort sur la première en mode détecteur d’intrusions. On effectue une attaque par déni de service à partir de la deuxième une utilisant l’outil LOIC. Sur la première machine : #snort –A full –c /etc/snort/snort.conf 7 Securinets Securiday 2012 pro Edition [Détection des alertes IDS/IPS] Sur la deuxième : #./loic run On note sur la première machine : En consultant le fichier des alertes dans le dossier /var/log/snort , on trouve : 8 Securinets Securiday 2012 pro Edition [Détection des alertes IDS/IPS] 6) Conclusion : Les risques d’intrusion sont une réalité et cela n’arrive pas qu’aux autres. Il faut donc songer à sécuriser son réseau à l’aide d’outils de détection des intrusions et de prévention des intrusions. Snort est un système de détection d’intrusion qui, avec la bonne configuration, peut être utilisé comme système de prévention des intrusions. Cette solution a prouvé son efficacité et ne cesse d’évoluer afin de déjouer les nouveaux types d’attaques. Afin de bénéficier d’une meilleure lisibilité des fichiers de log, plusieurs interfaces permettent de, facilement, d’avoir des statistiques sur les nombres d’aletes. On en cite BASE pour Basic Analysis Security engine et ACID pour Analysis Control Intrusion Databases. 9