9.3. IDS bas� sur le r�seau
Les syst�mes de d�tection d'intrusions bas�s sur le r�seau fonctionnent diff�remment des IDS bas�s sur l'h�te. La philosophie de conception d'un IDS bas� sur le r�seau est de scanner les paquets r�seau au niveau de l'h�te ou du routeur, analysant les informations de paquets et enregistrant tous les paquets suspects dans un fichier journal sp�cial avec des informations d�taill�es. Selon ces paquets suspects, un IDS bas� sur le r�seau peut scanner sa propre base de donn�es de signatures d'attaques r�seau connues et assigner un niveau de s�v�rit� pour chaque paquet. Si les niveaux de s�v�rit� sont assez �lev�s, un message �lectronique d'avertissement ou un appel de pager est envoy� aux membres de l'�quipe de s�curit� afin qu'ils puissent �tudier plus en profondeur la nature de l'anomalie.
Les IDS bas�s sur le r�seau sont devenus populaires avec l'internet grandissant en taille et trafic. Les IDS qui peuvent scanner les quantit�s volumineuses d'activit�s r�seau et marquer avec succ�s les transmissions suspectes, sont accueillis dans le domaine de la s�curit�. Les protocoles TCP/IP n'�tant peu s�rs de nature, il est devenu imp�ratif de d�velopper des scanneurs, des renifleurs et d'autres outils d'analyse de r�seau et de d�tection pour �viter les br�ches de s�curit� provenant d'activit�s r�seau malveillantes comme�:
L'usurpation d'identit�
Les attaques par d�ni de service
La corruption de cache arp
La corruption de noms DNS
Les attaques man-in-the-middle
La plupart des IDS bas�s sur le r�seau n�cessitent que le p�riph�rique r�seau du syst�me h�te soit en mode promiscuous, qui permet au p�riph�rique de capturer tous les paquets pass�s sur le r�seau. Le mode promiscuous peut �tre configur� gr�ce � la commande ifconfig, comme par exemple�:
L'ex�cution de ifconfig sans options r�v�le que eth0 est maintenant en mode promiscuous (PROMISC).
eth0 Link encap:Ethernet HWaddr 00:00:D0:0D:00:01
inet addr:192.168.1.50 Bcast:192.168.1.255 Mask:255.255.252.0
UP BROADCAST RUNNING PROMISC MULTICAST MTU:1500 Metric:1
RX packets:6222015 errors:0 dropped:0 overruns:138 frame:0
TX packets:5370458 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:2505498554 (2389.4 Mb) TX bytes:1521375170 (1450.8 Mb)
Interrupt:9 Base address:0xec80
lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:21621 errors:0 dropped:0 overruns:0 frame:0
TX packets:21621 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:1070918 (1.0 Mb) TX bytes:1070918 (1.0 Mb) |
� l'aide d'un outil tel que tcpdump (inclus dans Red Hat Enterprise Linux), nous pouvons voir les grandes quantit�s de trafic traversant un r�seau�:
tcpdump: listening on eth0
02:05:53.702142 pinky.example.com.ha-cluster > \
heavenly.example.com.860: udp 92 (DF)
02:05:53.702294 heavenly.example.com.860 > \
pinky.example.com.ha-cluster: udp 32 (DF)
02:05:53.702360 pinky.example.com.55828 > dns1.example.com.domain: \
PTR? 192.35.168.192.in-addr.arpa. (45) (DF)
02:05:53.702706 ns1.example.com.domain > pinky.example.com.55828: \
6077 NXDomain* 0/1/0 (103) (DF)
02:05:53.886395 shadowman.example.com.netbios-ns > \
172.16.59.255.netbios-ns: NBT UDP PACKET(137): QUERY; BROADCAST
02:05:54.103355 802.1d config c000.00:05:74:8c:a1:2b.8043 root \
0001.00:d0:01:23:a5:2b pathcost 3004 age 1 max 20 hello 2 fdelay 15
02:05:54.636436 konsole.example.com.netbios-ns > 172.16.59.255.netbios-ns:\
NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
02:05:56.323715 pinky.example.com.1013 > heavenly.example.com.860:\
udp 56 (DF)
02:05:56.323882 heavenly.example.com.860 > pinky.example.com.1013:\
udp 28 (DF) |
Remarquez que les paquets qui ne sont pas destin�s � votre machine (pinky.example.com) sont quand m�me analys�s et enregistr�s par tcpdump.
9.3.1. Snort
Alors que tcpdump est un outil d'analyse utile, il n'est pas consid�r� comme un v�ritable IDS parce qu'il n'analyse et ne marque pas les paquets contre des anomalies. tcpdump affiche toutes les informations de paquets � l'�cran ou les �crit dans un fichier journal sans aucune analyse. Un vrai IDS analyse les paquets, marque les transmissions de paquets malveillantes potentielles et les stocke dans un journal format�.
Snort est un IDS con�u pour �tre d�taill� et pr�cis lorsqu'il enregistre avec succ�s les activit�s r�seau malveillantes et pr�vient les administrateurs lors de br�ches potentielles. Snort utilise la biblioth�que libcap standard et tcpdump en tant qu'infrastructure de journalisation de paquets.
La caract�ristique la plus pris�e de Snort, en plus de sa fonctionnalit�, est son sous-syst�me flexible de signatures d'attaques. Snort poss�de une base de donn�es d'attaques constamment mise � jour qui peut �tre ajout�e et mise � jour via l'internet. Les utilisateurs peuvent cr�er des signatures bas�es sur de nouvelles attaques r�seau et les soumettre aux listes de diffusion de signatures Snort (situ�es � l'adresse suivante https://www.snort.org/lists.html), afin que tous les utilisateurs Snort puissent en b�n�ficier. Cette �thique de communaut� de partager a amen� Snort � devenir l'un des IDS bas�s sur le r�seau les plus robustes et mis � jour disponibles.
 | Remarque |
|---|
| | Snort n'est pas inclus dans Red Hat Enterprise Linux et n'est pas support�. Il a �t� inclus dans ce document en tant que r�f�rence pour les utilisateurs int�ress�s. |
Pour de plus amples informations sur l'utilisation de Snort, veuillez consulter le site Web � l'adresse suivante�: https://www.snort.org/.
