Generalites sur les IDS

1. Les IDS
Ce sont des équipements qui permettent de surveiller l’activité d’un réseau ou d’un hôte donné, afin
de détecter toute tentative d’intrusion et éventuellement de réagir à cette tentative. En d’autres
termes, l’IDS est un mécanisme qui a pour objectif de repérer tout type de trafic pouvant être
malveillants comme des tentatives d’intrusion, des attaques virales, des débits très importants et des
trafics suspects. Pour expliquer le concept d’IDS, nous allons présenter les différentes sortes d’IDS,
intervenant chacun à un niveau différent en étudiant leur mode de fonctionnement, leur mode
détection utilisés et les réponses apportées par les IDS. Ensuite, nous détaillerons les points forts et
les points faibles des IDS.
1.1 Les différentes sortes d’IDS
On les caractérise par leur domaine de surveillance. Par exemple au niveau d’un réseau d’entreprise,
d’une machine hôte, d’une application.

1.1.1 La détection d'intrusion basée sur l'hôte

HIDS(Host Intrusion Detection System) ou système de détection d’intrusion hôte : il surveille l’état
de securite des hôtes suivant différents critères.
*les activités de la machine(nombre d’utilisateurs, nombre et listes des processus, ressources
consommées)
*les activités de l’utilisateur(horaires et durées des connexions, commandes utilisées et programmes
actives.)
il analyse toute activité potentiellement suspecte(virus, ver, cheval de Troie). le HIDSmaster
recupere les informations de la machine sur laquelle un client HIDS est installe. Il va analyser ces
information sur les fonctionnement et l’état des machine afin de détecter les menaces.
De plus, l'impact sur la machine concernée est sensible immédiatement, par exemple dans
le cas d’une attaque réussie par un utilisateur. Ces IDS utilisent deux types de sources pour fournir
une information sur l'activité de la machine : les logs et les traces d'audit du système d'exploitation.
Chacun a ses avantages : les traces d'audit sont plus précises et détaillées et fournissent une
meilleure information alors que les logs qui ne fournissent que l'information essentielle sont plus
petits. Ces derniers peuvent être mieux contrôlés et analysés en raison de leur taille, mais certaines
attaques peuvent passer inaperçues, alors qu’elles sont détectables par une analyse des traces
d’audit.
Ce type d’IDS possèdent un certain nombre d’avantages : il est possible de constater
immédiatement l'impact d'une attaque et donc de mieux réagir. Grâce à la quantité des informations
étudiées, il est possible d’observer les activités se déroulant sur l'hôte avec précision et d’optimiser
le système en fonction des activités observées. De plus, les HIDS sont extrêmement
complémentaires des NIDS. En effet, ils permettent de détecter plus facilement les attaques de type
"Cheval de Troie", alors que ce type d’attaque est difficilement détectable par un NIDS. Les HIDS
permettent également de détecter des attaques impossibles à détecter avec un NIDS, car elles
font partie de trafic crypté.
Néanmoins, ce type d’IDS possède également ses faiblesses, qui proviennent de ses qualités : du
fait de la grande quantité de données générées, ce type d’IDS est très sensible aux attaques de type
DoS, qui peuvent faire exploser la taille des fichiers de logs. Un autre inconvénient tient justement à
la taille des fichiers de rapport d’alertes à examiner, qui est très contraignante pour le responsable
sécurité. La taille des fichiers peut atteindre plusieurs Mégaoctets. Du fait de cette quantité de
données à traiter, ils sont assez gourmand en CPU et peuvent parfois altérer les performances de la
machine hôte. Enfin, ils ont moins de facilité à détecter les attaques de type hôte que les IDS
réseaux. Les HIDS sont en général placés sur des machines sensibles, susceptibles de subir des
attaques et possédant des données sensibles pour l’entreprise. Les serveurs, web et applicatifs,
peuvent notamment être protégés par un HIDS. Pour finir, voici quelques HIDS connus: WATCH,
DragonSquire, Tiger, Security Manager, tripwire qui nous importe.

1.1.2 Détection d'Intrusion basée sur une application

Les IDS basés sur les applications sont un sous-groupe des IDS hôtes. Ils contrôlent l'interaction
entre un utilisateur et un programme en ajoutant des fichiers de log afin de fournir de plus amples
informations sur les activités d’une application particulière. Puisque vous opérez entre un utilisateur
et un programme, il est facile de filtrer tout comportement notable. Un ABIDS se situe au niveau de
la communication entre un utilisateur et l’application surveillée. L’avantage de cet IDS est qu’il lui
est possible de détecter et d’empêcher des commandes particulières dont l'utilisateur pourrait se
servir avec le programme et de surveiller chaque transaction entre l’utilisateur et l’application. De
plus, les données sont décodées dans un contexte connu, leur analyse est donc plus fine et précise.
Par contre, du fait que cet IDS n’agit pas au niveau du noyau, la sécurité assurée est plus faible,
notamment en ce qui concerne les attaques de type "Cheval de Troie". De plus, les fichiers de log
générés par ce type d'IDS sont des cibles faciles pour les attaquants et ne sont pas aussi sûrs, par
exemple, que les traces d'audit du système. Ce type d’IDS est utile pour surveiller l’activité d’une
application très sensible, mais son utilisation s’effectue en général en association avec un HIDS. Il
faudra dans ce cas contrôler le taux d’utilisation CPU des IDS afin de ne pas compromettre les
performances de la machine.

2.1.3 La Détection d'Intrusion Réseau (NIDS)

NIDS(Network Intrusion Detection System) ou système de détection d’intrusion réseau : surveille
l’état de la securite du réseau étant situe sur un réseau isole et ne voit qu.une copie du trafic(paquets
qui circule sur les réseaux). en cas de détection d’une intrusion, il peut lever une alerte et ordonner
les blocage d’intrusion. Il analyse une copie du trafic du réseau a surveiller entre ses points d’entrée
et les terminaux du réseau. Il est entièrement passif et n.est pas capable de dialoguer avec les réseau
a surveiller.L’implantation d’un NIDS sur un réseau se fait de la façon suivante : des capteurs sont
placés aux endroits stratégiques du réseau et génèrent des alertes s’ils détectent une attaque. Ces
alertes sont envoyées à une console sécurisée, qui les analyse et les traite éventuellement. Cette
console est généralement située sur un réseau isolé, qui relie uniquement les capteurs et la console.
_Les capteurs
Les capteurs placés sur le réseau sont placés en mode furtif (ou stealth mode), de façon à être
invisibles aux autres machines. Pour cela, leur carte réseau est configurée en mode "promiscuous",
c’est à dire le mode dans lequel la carte réseau lit l'ensemble du trafic, de plus aucune adresse IP
n’est configurée. Un capteur possède en général deux cartes réseaux, une placée en mode furtif sur
le réseau, l’autre permettant de le connecter à la console de sécurité. Du fait de leur invisibilité sur
le réseau, il est beaucoup plus difficile de les attaquer et de savoir qu’un IDS est utilisé sur ce
réseau.
_Placer les capteurs
Il est possible de placer les capteurs à différents endroits, en fonction de ce que l’on souhaite
observer. Les capteurs peuvent être placés avant ou après le pare-feu, ou encore dans une zone
sensible que l’on veut protéger spécialement. Si les capteurs se trouvent après un pare-feu, il leur est
plus facile de dire si le pare-feu a été mal configuré ou de savoir si une attaque est venue par ce
pare-feu.
Les capteurs placés derrière un pare-feu ont pour mission de détecter les intrusions qui n’ont pas été
arrêtées par ce dernier. Il s’agit d’une utilisation courante d’un NIDS. Il est également possible de
placer un capteur à l’extérieur du pare-feu (avant le firewall). L’intérêt de cette position est que le
capteur peut ainsi recevoir et analyser l'ensemble du trafic d'Internet. Si vous placez le capteur ici, il
n'est pas certain que toutes les attaques soient filtrées et détectées. Pourtant, cet emplacement est le
meilleur parce qu'il offre l'avantage d'écrire dans les logs et d'analyser les attaques (vers le pare-
feu...), ainsi l'administrateur voit ce qu'il doit modifier dans la configuration du pare-feu.
Les capteurs placés à l'extérieur du pare-feu servent à détecter toutes les attaques en direction du
réseau, leur tâche ici est donc plus de contrôler le fonctionnement et la configuration du firewall que
d’assurer une protection contre toutes les intrusions détectées (certaines étant traitées par le
firewall).

Figure 1: Exemple d'architecture HIDS/NIDS

1.2 Mode de fonctionnement d’un IDS
Il faut distinguer deux aspects dans le fonctionnement d’un IDS : le mode dedétection utilisé et la
réponse apportée par l’IDS lors de la détection d’une intrusion. Il existe deux modes de détection, la
détection d’anomalies et la reconnaissance de signatures. Deux mêmes, deux types de réponses
existent, la réponse passive et la réponse active.

1.2.1 Modes de détection

La reconnaissance de signature est le mode de fonctionnement le plus implémenté par les IDS du
marché. Cependant, les nouveaux produits tendent à combiner les deux méthodes pour affiner la
détection d’intrusion.
La détection d’anomalies
Elle consiste à détecter des anomalies par rapport à un profil "de trafic habituel". La mise en oeuvre
comprend toujours une phase d'apprentissage au cours de laquelle les IDS vont "découvrir" le
fonctionnement "normal" des éléments surveillés. Ils sont ainsi en mesure de signaler les
divergences par rapport au fonctionnement de référence. Les modèles comportementaux peuvent
être élaborés à partir d'analyses statistiques. Ils présentent l'avantage de détecter des nouveaux types
d'attaques.
Cependant, de fréquents ajustements sont nécessaires afin de faire évoluer le modèle de référence
de sorte qu'il reflète l'activité normale des utilisateurs et réduire le nombre de fausses alertes
générées. Dans le cas d’HIDS, ce type de détection peut être basé sur des information telles que le
taux d’utilisation CPU, l’activité sur le disque, les horaires de connexion ou d’utilisation de certains
fichiers.
La reconnaissance de signature
Cette approche consiste à rechercher dans l'activité de l'élément surveillé les empreintes (ou
signatures) d'attaques connues. Ce type d'IDS est purement réactif ; il ne peut détecter que les
attaques dont il possède la signature. De ce fait, il nécessite des mises à jour fréquentes. De plus,
l'efficacité de ce système de détection dépend fortement de la précision de sa base de signature.
C'est pourquoi ces systèmes sont contournés par les pirates qui utilisent des techniques dites
"d'évasion" qui consistent à maquiller les attaques utilisées. Ces techniques tendent à faire varier les
signatures des attaques qui ainsi ne sont plus reconnues par l'IDS. Il est possible d’élaborer des
signatures plus génériques, qui permettent de détecter les variantes d’une même attaque, mais cela
demande une bonne connaissance des attaques et du réseau, de façon à stopper les variantes d’une
attaque et à ne pas gêner le trafic normal du réseau
Une signature permet de définir les caractéristiques d’une attaque, au niveau des paquets (jusqu’à
TCP ou UDP) ou au niveau protocole (HTTP, FTP…).
Au niveau paquet, l’IDS va analyser les différents paramètres de tous les paquets transitant et les
comparer avec les signatures d’attaques connues.
Au niveau protocole, l’IDS va vérifier au niveau du protocole si les commandes envoyées sont
correctes ou ne contiennent pas d’attaque. Cette fonctionnalité a surtout été développée pour HTTP
actuellement.
2.2.2 Réponse active et passive
Il existe deux types de réponses, suivant les IDS utilisés. La réponse passive est disponible pour
tous les IDS, la réponse active est plus ou moins implémentée.
Réponse passive
La réponse passive d’un IDS consiste à enregistrer les intrusions détectées dans un fichier de log qui
sera analysé par le responsable sécurité. Certains IDS permettent de logger l’ensemble d’une
connexion identifiée comme malveillante. Ceci permet de remédier aux failles de sécurité pour
empêcher les attaques enregistrées de se reproduire, mais elle n’empêche pas directement une
attaque de se produire.
Réponse active
La réponse active au contraire a pour but de stopper une attaque au moment de sa détection. Pour
cela on dispose de deux techniques : la reconfiguration du firewall et l’interruption d’une connexion
TCP. La reconfiguration du firewall permet de bloquer le trafic malveillant au niveau du firewall, en
fermant le port utilisé ou en interdisant l’adresse de l’attaquant. Cette fonctionnalité dépend du
modèle de firewall utilisé, tous les modèles ne permettant pas la reconfiguration par un IDS. De
plus ,cette reconfiguration ne peut se faire qu’en fonction des capacités du firewall. L’IDS peut
également interrompre une session établie entre un attaquant et sa machine cible, de façon à
empêcher le transfert de données ou la modification du système attaqué. Pour cela l’IDS envoie un
paquet TCP reset aux deux extrémités de la connexion(cible et attaquant). Un paquet TCP reset a le
flag RST de positionné, ce qui indique une déconnexion de la part de l’autre extrémité de la
connexion. Chaque extrémité en étant destinataire, la cible et l’attaquant pensent que l’autre
extrémité s’est déconnectée et l’attaque est interrompue. Dans le cas d’une réponse active, il faut
être sûr que le trafic détecté comme malveillant l’est réellement, sous peine de déconnecter des
utilisateurs normaux. En général, les IDS ne réagissent pas activement à toutes les alertes. Ils ne
répondent à des alertes que quand celles-ci sont positivement certifiées comme étant des attaques.
L’analyse des fichiers d’alertes générés est donc une obligation pour analyser l’ensemble des
attaques détectées. UN IDS détecte une activité suspecte en s’appuyant sur une norme. Et si
l’activité s’éloigne de la norme, l’IDS lance une alerte. Il remplit ses objectif en surveillant les
activités d’une cible qui peut être un réseau ou un hôte.