Follow Techotopia on Twitter

On-line Guides
All Guides
eBook Store
iOS / Android
Linux for Beginners
Office Productivity
Linux Installation
Linux Security
Linux Utilities
Linux Virtualization
Linux Kernel
System/Network Admin
Programming
Scripting Languages
Development Tools
Web Development
GUI Toolkits/Desktop
Databases
Mail Systems
openSolaris
Eclipse Documentation
Techotopia.com
Virtuatopia.com

How To Guides
Virtualization
General System Admin
Linux Security
Linux Filesystems
Web Servers
Graphics & Desktop
PC Hardware
Windows
Problem Solutions
Privacy Policy

  




 

 

Linuxtopia - Red Hat Enterprise Linux - Guide de securite - IDS bas� sur le r�seau

9.3. IDS bas� sur le r�seau

Les syst�mes de d�tection d'intrusions bas�s sur le r�seau fonctionnent diff�remment des IDS bas�s sur l'h�te. La philosophie de conception d'un IDS bas� sur le r�seau est de scanner les paquets r�seau au niveau de l'h�te ou du routeur, analysant les informations de paquets et enregistrant tous les paquets suspects dans un fichier journal sp�cial avec des informations d�taill�es. Selon ces paquets suspects, un IDS bas� sur le r�seau peut scanner sa propre base de donn�es de signatures d'attaques r�seau connues et assigner un niveau de s�v�rit� pour chaque paquet. Si les niveaux de s�v�rit� sont assez �lev�s, un message �lectronique d'avertissement ou un appel de pager est envoy� aux membres de l'�quipe de s�curit� afin qu'ils puissent �tudier plus en profondeur la nature de l'anomalie.

Les IDS bas�s sur le r�seau sont devenus populaires avec l'internet grandissant en taille et trafic. Les IDS qui peuvent scanner les quantit�s volumineuses d'activit�s r�seau et marquer avec succ�s les transmissions suspectes, sont accueillis dans le domaine de la s�curit�. Les protocoles TCP/IP n'�tant peu s�rs de nature, il est devenu imp�ratif de d�velopper des scanneurs, des renifleurs et d'autres outils d'analyse de r�seau et de d�tection pour �viter les br�ches de s�curit� provenant d'activit�s r�seau malveillantes comme�:

  • L'usurpation d'identit�

  • Les attaques par d�ni de service

  • La corruption de cache arp

  • La corruption de noms DNS

  • Les attaques man-in-the-middle

La plupart des IDS bas�s sur le r�seau n�cessitent que le p�riph�rique r�seau du syst�me h�te soit en mode promiscuous, qui permet au p�riph�rique de capturer tous les paquets pass�s sur le r�seau. Le mode promiscuous peut �tre configur� gr�ce � la commande ifconfig, comme par exemple�:

ifconfig eth0 promisc

L'ex�cution de ifconfig sans options r�v�le que eth0 est maintenant en mode promiscuous (PROMISC).

eth0      Link encap:Ethernet  HWaddr 00:00:D0:0D:00:01  
          inet addr:192.168.1.50  Bcast:192.168.1.255  Mask:255.255.252.0
          UP BROADCAST RUNNING PROMISC MULTICAST  MTU:1500  Metric:1
          RX packets:6222015 errors:0 dropped:0 overruns:138 frame:0
          TX packets:5370458 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100 
          RX bytes:2505498554 (2389.4 Mb)  TX bytes:1521375170 (1450.8 Mb)
          Interrupt:9 Base address:0xec80 

lo        Link encap:Local Loopback  
          inet addr:127.0.0.1  Mask:255.0.0.0
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:21621 errors:0 dropped:0 overruns:0 frame:0
          TX packets:21621 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0 
          RX bytes:1070918 (1.0 Mb)  TX bytes:1070918 (1.0 Mb)

� l'aide d'un outil tel que tcpdump (inclus dans Red Hat Enterprise Linux), nous pouvons voir les grandes quantit�s de trafic traversant un r�seau�:

tcpdump: listening on eth0
02:05:53.702142 pinky.example.com.ha-cluster > \
 heavenly.example.com.860:  udp 92 (DF)
02:05:53.702294 heavenly.example.com.860 > \
 pinky.example.com.ha-cluster:  udp 32 (DF)
02:05:53.702360 pinky.example.com.55828 > dns1.example.com.domain: \
 PTR? 192.35.168.192.in-addr.arpa. (45) (DF)
02:05:53.702706 ns1.example.com.domain > pinky.example.com.55828: \
 6077 NXDomain* 0/1/0 (103) (DF)
02:05:53.886395 shadowman.example.com.netbios-ns > \
 172.16.59.255.netbios-ns: NBT UDP PACKET(137): QUERY; BROADCAST
02:05:54.103355 802.1d config c000.00:05:74:8c:a1:2b.8043 root \
 0001.00:d0:01:23:a5:2b pathcost 3004 age 1 max 20 hello 2 fdelay 15 
02:05:54.636436 konsole.example.com.netbios-ns > 172.16.59.255.netbios-ns:\
 NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
02:05:56.323715 pinky.example.com.1013 > heavenly.example.com.860:\
 udp 56 (DF)
02:05:56.323882 heavenly.example.com.860 > pinky.example.com.1013:\
 udp 28 (DF)

Remarquez que les paquets qui ne sont pas destin�s � votre machine (pinky.example.com) sont quand m�me analys�s et enregistr�s par tcpdump.

9.3.1. Snort

Alors que tcpdump est un outil d'analyse utile, il n'est pas consid�r� comme un v�ritable IDS parce qu'il n'analyse et ne marque pas les paquets contre des anomalies. tcpdump affiche toutes les informations de paquets � l'�cran ou les �crit dans un fichier journal sans aucune analyse. Un vrai IDS analyse les paquets, marque les transmissions de paquets malveillantes potentielles et les stocke dans un journal format�.

Snort est un IDS con�u pour �tre d�taill� et pr�cis lorsqu'il enregistre avec succ�s les activit�s r�seau malveillantes et pr�vient les administrateurs lors de br�ches potentielles. Snort utilise la biblioth�que libcap standard et tcpdump en tant qu'infrastructure de journalisation de paquets.

La caract�ristique la plus pris�e de Snort, en plus de sa fonctionnalit�, est son sous-syst�me flexible de signatures d'attaques. Snort poss�de une base de donn�es d'attaques constamment mise � jour qui peut �tre ajout�e et mise � jour via l'internet. Les utilisateurs peuvent cr�er des signatures bas�es sur de nouvelles attaques r�seau et les soumettre aux listes de diffusion de signatures Snort (situ�es � l'adresse suivante https://www.snort.org/lists.html), afin que tous les utilisateurs Snort puissent en b�n�ficier. Cette �thique de communaut� de partager a amen� Snort � devenir l'un des IDS bas�s sur le r�seau les plus robustes et mis � jour disponibles.

NoteRemarque
 

Snort n'est pas inclus dans Red Hat Enterprise Linux et n'est pas support�. Il a �t� inclus dans ce document en tant que r�f�rence pour les utilisateurs int�ress�s.

Pour de plus amples informations sur l'utilisation de Snort, veuillez consulter le site Web � l'adresse suivante�: https://www.snort.org/.

 
 
  Published under the terms of the GNU General Public License Design by Interspire