Rappels sur les IDS

IDS

Les IDS (Intrusion Detection System) ont pour but d'automatiser par la collecte d'informations et, éventuellement, par leur corrélation la détection d'événements provoquant une violation de la politique de sécurité. La mise en place et le choix de l'IDS à installer dépendent de la politique décidée.

Ces systèmes essayent de minimiser par le biais d'une surveillance et de notifications l'impact sur la sécurité d'un système ou d'un réseau des défauts d'implémentation, des exploits 0day (failles de sécurité trouvées mais non dévoilées), des systèmes fermés (non patchables ou non accessibles) et des administrateurs peu consciencieux. Ils ne corrigent ni n'empêchent une intrusion : ils la notifient. Certains systèmes comme les IPS (Intrusion Protection System) intègrent une réaction défensive à la détection : ce sont d'une certaine façon des « IDS avec réponse ».

On distingue deux grands groupes d'IDS, les HIDS (Host IDS) et les NIDS (Network IDS). Les HIDS, et leur fonctionnement système sur un système Unix ou apparenté seront évoqués dans cette présentation.

Les HIDS

Les HIDS, aussi appelés « IDS systèmes » surveillent le système sur lequel ils sont installés dans le but de constater une intrusion, ou une tentative. Les vecteurs d'intrusions sont multiples : il peut s'agir de virii, de vers (worms), de chevaux de troie (trojan horses) ou d'attaques spécialisées.

Parmi les attaques spécialisées on compte notamment toute la panoplie des attaques locales, de l'élévation de privilèges (privilege escalation) aux problèmes de concurrence (race conditions) en passant par les débordements de tampon (buffer overflows), les oublis de chaîne de format (format strings) et bien d'autres. Les attaques distantes ne sont pas en reste avec toutes les techniques de détection (port scanning, os fingerprinting...) et encore les buffer overflows ainsi que les dénis de services. Bien évidemment, cette liste n'est pas exhaustive.

Aussi comme la terminologie anglaise est la plus usitée, une fois celle-ci précisée elle sera privilégiée dans le reste de ce document.

Les mécanismes des HIDS

Les HIDS possèdent tout ou partie des mécanismes suivants :

• Surveillance des fichiers journaux (log analysis).
  Exemple : logcheck, logwatch, swatch, OSSEC...
• Contrôles d'intégrité des fichiers (file integrity checks)
  Exemple : tripwire, samhain, AIDE, mtree, OSSEC...
• Détection de rootkits (system integrity checks)
  Exemple : OSSEC, chrootkit, rootkithunter...
• Détection de comportements douteux (scans, étude des syscalls...)
  Exemple : portsentry, scanlogd, lids, systrace...

Présentation

• Objectif
• Pré-Requis
• Remerciements

Rappels sur les IDS

• Rappel sur les IDS
  • Les IDS
  • Les HIDS
  • Les mécanismes des HIDS

Les mécanismes

• Les mécanismes des HIDS
  • Surveillance des logs
  • Contrôle d'intégrité des fichiers
  • Détection des rootkits
  • Détection de comportement douteux
• Point de vue pratique
  • Les syscalls par la pratique
  • Etude de syscalls par analyse graphique

Conclusion et références

• Conclusion
• Références
• Contact