-- Prévention d`intrusion -- Nouveaux outils de consolidation de la

HERVÉ SCHAUER CONSULTANTS
Cabinet de Consultants en Sécurité Informatique depuis 1989
Spécialisé sur Unix, Windows, TCP/IP et Internet
-- Prévention d'intrusion -Nouveaux outils de consolidation
de la défense périmétrique
Guillaume Lehembre
Thomas Seyrat
<[email protected]>
<[email protected]>
Agenda
Introduction
Terminologie
HIPS
Contournement des HIPS
NIPS
Architecture NIPS
Contournement des NIPS
Critères de choix
Conclusion
- 2/20 -
Les transparents sont
disponibles sur
www.hsc.fr
Copyright Hervé Schauer Consultants 2000-2005 - Reproduction Interdite
Introduction
Les délais entre correctifs de sécurité et exploitation massive
des failles tend à décroître très fortement :
25 jours entre le correctif RPC DCOM (MS03-026) et le ver Blaster
18 jours entre le correctif LSASS (MSO4-011) et le ver Sasser
1 jour entre le correctif d'ISS (ISS ICQ parsing) et le ver Witty
Réel besoin de la part des personnes du SI de mécanismes et
prévention d'intrusion et non plus uniquement de détection.
IPS (Intrusion Prevention System) : Défense proactive
Fonctionnalité de plus en plus intégrée dans les firewalls
Marketing ...
Les IPS ne sont pas restés dans l'ombre des IDS comme
voulait le laisser croire certains instituts (Gartner)
- 3/20 -
Copyright Hervé Schauer Consultants 2000-2005 - Reproduction Interdite
Terminologie
IDS (Intrusion Detection System)
Passif
HIDS (Host IDS)
NIDS (Network IDS)
IPS (Intrusion Prevention System)
Actif
HIPS (Host IPS)
NIPS (Network IPS)
Un firewall est proactif et applique la politique de sécurité
Un IPS ne remplace pas un firewall
- 4/20 -
Copyright Hervé Schauer Consultants 2000-2005 - Reproduction Interdite
HIPS
Agent installé sur le système bloquant les comportements
anormaux tels que :
Lecture / écriture de fichiers protégés
Comportement de certains applicatifs
Accès à des ports non autorisés
Tentative d'exploitation de débordement de pile (détection de
Shellcode)
Accès à certaines zones de la base de registres
Connexions suspectes (sessions RPC actives anormalement longues
sur des machines distantes, etc.)
- 5/20 -
Copyright Hervé Schauer Consultants 2000-2005 - Reproduction Interdite
HIPS
:
Faux positifs moins courants
Protège les systèmes des comportements dangereux et pas seulement
du trafic
:
Coût d'exploitation
Problèmes d'interopérabilité
Problémiques lors des mise à jour système
Ex : NAI/Entercept, Cisco/Okena, WatchGuard/ServerLock,
etc.
- 6/20 -
Copyright Hervé Schauer Consultants 2000-2005 - Reproduction Interdite
Contournement des HIPS
Liens symboliques (commande subst)
Liens dans la base des registre (utilisation
NtCreateSymbolicLinkObject() )
Utilisation d'interfaces peu connues pour charger du code dans
le Kernel (Ex : à la place de Service Control Manager API,
utiliser ZwloadDriver() ou ZwSetSystemInformation() )
Détecte les débordements de pile en détectant les shellcode :
les attaquants utilisent des méthodes de contournement des
Hooks Kernel et Userland
Injection DLL pour injecter du code (mode utilisateur) dans un
processus de confiance pouvant charger des pilotes noyau
- 7/20 -
Copyright Hervé Schauer Consultants 2000-2005 - Reproduction Interdite
NIPS
Identification et blocage du trafic malicieux
Deux types de NIPS :
Système par analyse comportementale (Content Based IPS)
détection d'anomalies protocolaires (~ proxy transparent)
détection de comportements anormaux (scan de ports, DoS, etc.)
basé sur des signatures d'attaques, des agrégations de signatures
peuvent permettre la détection de nouvelles attaques
Système par détection d'anomalies
Détection des anomalies de trafic, 3 approches :
Règle : représente l'activité des utilisateur légitime sous forme de règles
Neuronal : apprentissage nécessaire par l'analyse du trafic
Statistique : profile d'activité modélisant le trafic utilisateur
Il existe des systèmes mixtes
- 8/20 -
Copyright Hervé Schauer Consultants 2000-2005 - Reproduction Interdite
NIPS
Les NIPS s'installent obligatoirement en coupure pour pouvoir
réagir aux attaques
Les NIDS peuvent être installés en coupure ou en recopie de port
Réponses des NIPS aux attaques :
TCP Reset / ICMP Unreacheable
Limitation de la bande passante d'un certain type de trafic
- 9/20 -
Copyright Hervé Schauer Consultants 2000-2005 - Reproduction Interdite
NIPS
:
Protection active
:
Point névralgique du réseau
Faux positifs (risque de blocage de trafic légitime)
Coût
Complexité additionnelle / Exploitation supplémentaire
Ex : WatchGuard, NetScreen, Top Layer, Lucid Security,
TippingPoint, Vsecure Technologies, Network Associates, ISS,
etc.
- 10/20
-
Copyright Hervé Schauer Consultants 2000-2005 - Reproduction Interdite
Architecture NIPS
IDPS
Serveurs
INTERNET
FW1
IDPS
FW2
Réseau Interne
- 11/20
-
Copyright Hervé Schauer Consultants 2000-2005 - Reproduction Interdite
Contournement des NIPS
Obfuscation de chaînes de caractères (Outil : Whisker)
GET /etc//\//passwd, /etc/rc.d/.././\passwd, etc.
GET %65%74%63/%70%61%73%73%77%64
perl -e '$foo=pack("C11",47,101,116,99,47,112,97,115,115,119,100);
@list=`/bin/cat $foo`; print "@list\n";'
Attention : certains systèmes décodent correctement ces attaques
uniquement sur les ports standards des services (charge CPU)
Utilisation de sessions successives (Outil Whisker)
division d'une chaîne de caractères en plusieurs paquets
Insertion de flux (utilisation astucieuse des TTL)
Fragmentation IP et TCP, séquencement des paquets (Outil :
Fragroute)
- 12/20
-
Copyright Hervé Schauer Consultants 2000-2005 - Reproduction Interdite
Contournement des NIPS
Polymorphisme des shellcode (Outil : ADMutate de K2)
Shellcode chiffré
Routine de déchiffrement polymorphique
NOP aléatoires (pas uniquement 0x90 (Intel))
Solution :
détection d'un certain nombre de NOPs
détection de formats de requêtes anormaux (binaire dans requêtes SMTP,
requêtes HTTP mal formées, etc.)
détection d'une taille de paquets anormale
détection de connexions anormalement longues (DNS, etc.)
réponse d'un client anormale (réponse chiffrée, etc.)
Cf : Polymorphism and Intrusion Detection System (BH01 - C. Skipper)
DoS (Outils : Stick, Snot, etc.)
- 13/20
-
Copyright Hervé Schauer Consultants 2000-2005 - Reproduction Interdite
Critères de choix (1/2)
Temps nécessaire à un bon paramétrage
Nombre de signatures
Pas uniquement quantitatif, le qualitatif est très important
Réactivité pour la mise à jour des signatures
Possibilité d'implémenter des signatures personnalisées
Réponses / Actions possibles aux attaques
Latence engendrée sur le réseau
Son augmentation aura un impact beaucoup plus fort sur un LAN/MAN
que sur un réseau accédé depuis Internet
- 14/20
-
Copyright Hervé Schauer Consultants 2000-2005 - Reproduction Interdite
Critères de choix (2/2)
Débit et nombre de sessions maximum supportées
Interface utilisateur
Corrélation des évènements
Qualité du reporting
Haute disponibilité
Administration centralisée de plusieurs boitiers et MAJ sans
redémarrage
Possibilités de recherches forensiques
- 15/20
-
Copyright Hervé Schauer Consultants 2000-2005 - Reproduction Interdite
Conclusion
Les IPS sont un des composants de la sécurité :
pas le composant fondamental
un composant utile
Ce type d'outil n'empêche pas la mise en place de procédures
de gestion des intrusions.
Le choix d'un IPS doit obligatoirement passer par une phase
de test dans votre propre réseau :
Afin d'avoir une idée du nombre de faux positifs en production
Pour ne pas se baser sur des résultats de tests (indépendants ou non)
ou sur la belle parole d'un commercial !
Pour tester des exploits cohérents avec votre environnement (Nessus,
Metasploit, etc.)
Mettre l'IPS d'abord en détection puis prévention et ne décider qu'après
- 16/20
-
Copyright Hervé Schauer Consultants 2000-2005 - Reproduction Interdite
Références - Articles
Tests d'IPS (NSS Group – payant) :
http://www.nss.co.uk/
Attacking Host Intrusion Prevention Systems (E. Tsyrlevich)
http://blackhat.com/presentations/bh-usa-04/bh-us-04-tsyrklevich.pdf
IDS Evasion Techniques and Tactics :
http://www.securityfocus.com/infocus/1577
IDS Evasion with Unicode :
http://online.securityfocus.com/infocus/1232
Insertion, Evasion, and Denial of Service: Eluding Network
Intrusion Detection (Thomas H. Ptacek) :
http://secinf.net/info/ids/idspaper/idspaper.html
- 17/20
-
Copyright Hervé Schauer Consultants 2000-2005 - Reproduction Interdite
Références - Outils
Fragroute (Dug Song)
http://monkey.org/~dugsong/fragroute/
Whisker (Rain Forest Puppy)
http://online.securityfocus.com/data/tools/whisker.tar.gz
IDSWakeup (Stéphane Aubert - HSC)
http://www.hsc.fr/ressources/outils/idswakeup/
Nessus
http://www.nessus.org/
Metasploit Framework
http://www.metasploit.com/
- 18/20
-
Copyright Hervé Schauer Consultants 2000-2005 - Reproduction Interdite
Merci de votre attention
Questions ?
Retrouvez ces transparents sur www.hsc.fr
- 19/20
-
Copyright Hervé Schauer Consultants 2000-2005 - Reproduction Interdite
Prochains rendez-vous
Formation DNS : 21 juin, Postfix et anti-spam : 22 juin
http://www.hsc.fr/services/formations/
Formations SecurityCertified : 5-9 & 19-23 septembre
Permettant de passer la certification SCNP
http://www.hsc.fr/services/formations/
Formation BS7799 Lead Auditor : octobre 2005
Certifiée par LSTI et reconnue par l'IRCA
http://www.hsc.fr/services/formations/
Sur www.hsc­news.com vous pourrez vous abonner à la
newsletter HSC
- 20/20
-
Copyright Hervé Schauer Consultants 2000-2005 - Reproduction Interdite