Follow Techotopia on Twitter

On-line Guides
All Guides
eBook Store
iOS / Android
Linux for Beginners
Office Productivity
Linux Installation
Linux Security
Linux Utilities
Linux Virtualization
Linux Kernel
System/Network Admin
Programming
Scripting Languages
Development Tools
Web Development
GUI Toolkits/Desktop
Databases
Mail Systems
openSolaris
Eclipse Documentation
Techotopia.com
Virtuatopia.com

How To Guides
Virtualization
General System Admin
Linux Security
Linux Filesystems
Web Servers
Graphics & Desktop
PC Hardware
Windows
Problem Solutions
Privacy Policy

  




 

 

NOTE: CentOS Enterprise Linux is built from the Red Hat Enterprise Linux source code. Other than logo and name changes CentOS Enterprise Linux is compatible with the equivalent Red Hat version. This document applies equally to both Red Hat and CentOS Enterprise Linux.
Linuxtopia - CentOS Enterprise Linux - Guide de securite - IDS bas� sur le r�seau

9.3. IDS bas� sur le r�seau

Les syst�mes de d�tection d'intrusions bas�s sur le r�seau fonctionnent diff�remment des IDS bas�s sur l'h�te. La philosophie de conception d'un IDS bas� sur le r�seau est de scanner les paquets r�seau au niveau de l'h�te ou du routeur, analysant les informations de paquets et enregistrant tous les paquets suspects dans un fichier journal sp�cial avec des informations d�taill�es. Selon ces paquets suspects, un IDS bas� sur le r�seau peut scanner sa propre base de donn�es de signatures d'attaques r�seau connues et assigner un niveau de s�v�rit� pour chaque paquet. Si les niveaux de s�v�rit� sont assez �lev�s, un message �lectronique d'avertissement ou un appel de pager est envoy� aux membres de l'�quipe de s�curit� afin qu'ils puissent �tudier plus en profondeur la nature de l'anomalie.

Les IDS bas�s sur le r�seau sont devenus populaires avec l'internet grandissant en taille et trafic. Les IDS qui peuvent scanner les quantit�s volumineuses d'activit�s r�seau et marquer avec succ�s les transmissions suspectes, sont accueillis dans le domaine de la s�curit�. Les protocoles TCP/IP n'�tant peu s�rs de nature, il est devenu imp�ratif de d�velopper des scanneurs, des renifleurs et d'autres outils d'analyse de r�seau et de d�tection pour �viter les br�ches de s�curit� provenant d'activit�s r�seau malveillantes comme�:

  • L'usurpation d'identit�

  • Les attaques par d�ni de service

  • La corruption de cache arp

  • La corruption de noms DNS

  • Les attaques man-in-the-middle

La plupart des IDS bas�s sur le r�seau n�cessitent que le p�riph�rique r�seau du syst�me h�te soit en mode promiscuous, qui permet au p�riph�rique de capturer tous les paquets pass�s sur le r�seau. Le mode promiscuous peut �tre configur� gr�ce � la commande ifconfig, comme par exemple�:

ifconfig eth0 promisc

L'ex�cution de ifconfig sans options r�v�le que eth0 est maintenant en mode promiscuous (PROMISC).

eth0      Link encap:Ethernet  HWaddr 00:00:D0:0D:00:01  
          inet addr:192.168.1.50  Bcast:192.168.1.255  Mask:255.255.252.0
          UP BROADCAST RUNNING PROMISC MULTICAST  MTU:1500  Metric:1
          RX packets:6222015 errors:0 dropped:0 overruns:138 frame:0
          TX packets:5370458 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100 
          RX bytes:2505498554 (2389.4 Mb)  TX bytes:1521375170 (1450.8 Mb)
          Interrupt:9 Base address:0xec80 

lo        Link encap:Local Loopback  
          inet addr:127.0.0.1  Mask:255.0.0.0
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:21621 errors:0 dropped:0 overruns:0 frame:0
          TX packets:21621 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0 
          RX bytes:1070918 (1.0 Mb)  TX bytes:1070918 (1.0 Mb)

� l'aide d'un outil tel que tcpdump (inclus dans Red Hat Enterprise Linux), nous pouvons voir les grandes quantit�s de trafic traversant un r�seau�:

tcpdump: listening on eth0
02:05:53.702142 pinky.example.com.ha-cluster > \
 heavenly.example.com.860:  udp 92 (DF)
02:05:53.702294 heavenly.example.com.860 > \
 pinky.example.com.ha-cluster:  udp 32 (DF)
02:05:53.702360 pinky.example.com.55828 > dns1.example.com.domain: \
 PTR? 192.35.168.192.in-addr.arpa. (45) (DF)
02:05:53.702706 ns1.example.com.domain > pinky.example.com.55828: \
 6077 NXDomain* 0/1/0 (103) (DF)
02:05:53.886395 shadowman.example.com.netbios-ns > \
 172.16.59.255.netbios-ns: NBT UDP PACKET(137): QUERY; BROADCAST
02:05:54.103355 802.1d config c000.00:05:74:8c:a1:2b.8043 root \
 0001.00:d0:01:23:a5:2b pathcost 3004 age 1 max 20 hello 2 fdelay 15 
02:05:54.636436 konsole.example.com.netbios-ns > 172.16.59.255.netbios-ns:\
 NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
02:05:56.323715 pinky.example.com.1013 > heavenly.example.com.860:\
 udp 56 (DF)
02:05:56.323882 heavenly.example.com.860 > pinky.example.com.1013:\
 udp 28 (DF)

Remarquez que les paquets qui ne sont pas destin�s � votre machine (pinky.example.com) sont quand m�me analys�s et enregistr�s par tcpdump.

9.3.1. Snort

Alors que tcpdump est un outil d'analyse utile, il n'est pas consid�r� comme un v�ritable IDS parce qu'il n'analyse et ne marque pas les paquets contre des anomalies. tcpdump affiche toutes les informations de paquets � l'�cran ou les �crit dans un fichier journal sans aucune analyse. Un vrai IDS analyse les paquets, marque les transmissions de paquets malveillantes potentielles et les stocke dans un journal format�.

Snort est un IDS con�u pour �tre d�taill� et pr�cis lorsqu'il enregistre avec succ�s les activit�s r�seau malveillantes et pr�vient les administrateurs lors de br�ches potentielles. Snort utilise la biblioth�que libcap standard et tcpdump en tant qu'infrastructure de journalisation de paquets.

La caract�ristique la plus pris�e de Snort, en plus de sa fonctionnalit�, est son sous-syst�me flexible de signatures d'attaques. Snort poss�de une base de donn�es d'attaques constamment mise � jour qui peut �tre ajout�e et mise � jour via l'internet. Les utilisateurs peuvent cr�er des signatures bas�es sur de nouvelles attaques r�seau et les soumettre aux listes de diffusion de signatures Snort (situ�es � l'adresse suivante https://www.snort.org/lists.html), afin que tous les utilisateurs Snort puissent en b�n�ficier. Cette �thique de communaut� de partager a amen� Snort � devenir l'un des IDS bas�s sur le r�seau les plus robustes et mis � jour disponibles.

NoteRemarque
 

Snort n'est pas inclus dans Red Hat Enterprise Linux et n'est pas support�. Il a �t� inclus dans ce document en tant que r�f�rence pour les utilisateurs int�ress�s.

Pour de plus amples informations sur l'utilisation de Snort, veuillez consulter le site Web � l'adresse suivante�: https://www.snort.org/.

 
 
  Published under the terms of the GNU General Public License Design by Interspire