RAPPORT FINAL DU TER (version pdf) - Guillaume Lehmann
Contents
1. 70 ii netbase ii netkit inetd ii netkit ping ii nfs common ii nfs kernel ser ii nmap ii nvi ii openssl ii passwd ii patch ii pciutils ii perl ii perl base ii perl modules ii php4 ii php4 mysql ii pidentd ii portmap ii ppp ii pppconfig ii pppoe ii pppoeconf ii procmail ii procps ii psmisc ii python ii python newt ii python2 1 ii rcs ii reportbug ii sed ii setserial ii sgml base ii sgml data ii sharutils ii shellutils ii slangi ii sp ii ssh ii strace ii sysklogd ii syslinux ii sysvinit ii tllibl ii tar ii tasksel ii tcpd ii tcsh ii telnet ii texinfo 4 09 10 9 010 9 120 099 heures 3 00 0 1 79230 9 69 6 0000902 12 4 11 d0 3 58 5 een dede od DA L24 O fy FADD DE OI fay ONWO WE BN I N 1 uus 4 MG 01 NO NEONO NN N N UWE BOO ON NN ND O m noa au Co 4 ON CO N X oam 0 D TD X D O00 24 1 2 128 Basic TCP IP networking system The Internet Superserver The ping utility from netkit NFS support files common to client and serv Kernel NFS server support The Network Mapper 4 4BSD re implementation of vi Secure Socket Layer SSL binary and relate Change and administer password and group da Apply a diff file to an original Linux PCI Utilities for 2 12345 x kernel Larry Wall s2. ErrorDocument 404 missing html to redirect to local URL missing html fErrorDocument 404 cgi bin missing handler pl N B You can redirect to a script or a document using server side include 3 external redirects ErrorDocument 402 http some other_server com subscription_info html N B Many of the environment variables associated with the original request will not be available to such a script lt IfModule mod setenvif c The following directives modify normal HTTP response behavior The first directive disables keepalive for Netscape 2 x and browsers th spoof it There are known problems with these browser implementations The second directive is for Microsoft Internet Explorer 4 0b2 which has a broken HTTP 1 1 implementation and does not properly support keepalive when it is used on 301 or 302 redirect responses BrowserMatch Mozilla 2 nokeepalive BrowserMatch MSIE 4 0b2 nokeepalive downgrade 1 0 force response 1 0 The following directive disables HTTP 1 1 responses to browsers which are in violation of the HTTP 1 0 spec by not being able to grok a 89 lt A lt PerlModule Apache DBI Se de db db basic 1 1 response BrowserMatch RealPlayer 4 0 force response 1 0 BrowserMatch Java 1N 0 force response 1 0 BrowserMatch JDK 1 0 force response
3. le comportement de l IDS apr s intrusion passif actif a fr quence d utilisation p riodique continue 11 4 1 3 Les diff rents types d IDS Un IDS a pour fonction d analyser en temps r el ou diff r les v nements en provenance des diff rents syst mes de d tecter et de pr venir en cas d attaque Les buts sont nombreux collecter des informations sur les intrusions gestion centralis e des alertes effectuer un premier diagnostic sur la nature de l attaque permettant une r ponse rapide et efficace r agir activement l attaque pour la ralentir ou la stopper Les syst mes de d tection d intrusion ou IDS peuvent se classer selon trois cat gories majeures selon qu ils s attachent surveiller le trafic r seau on parle d IDS r seau ou NIDS Network based IDS l activit des machines on parle d IDS Syst me ou HIDS Host based IDS une application particuli re sur la machine on parle d IDS Application Application based IDS Contrairement aux deux IDS pr c dents ils sont rares Nous ne les traiterons donc pas Les NIDS Ces outils analysent le trafic r seau ils comportent g n ralement une sonde qui coute sur le segment de r seau surveiller et un moteur qui r alise l analyse du trafic afin de d tecter les signatures d attaques ou les divergences face au mod le de r f rence Les IDS R seaux base de signatures sont confront s
4. le anon auth module usr lib apache 1 3 mod auth anon so dbm auth module usr lib apache 1 3 mod auth dbm so db auth module usr lib apache 1 3 mod auth db so proxy module usr lib apache 1 3 libproxy so digest module usr lib apache 1 3 mod digest so cern meta module usr lib apache 1 3 mod cern meta so expires module usr lib apache 1 3 mod expires so le headers module usr LoadModu LoadMod LoadMod LoadMod LoadModule LoadMod e Le lib apache 1 lib apache 1 le usertrack module usr lib apache 1 3 mod usertrack so unique id module usr 3 mod headers so 3 mod unique id so setenvif module usr lib apache 1 3 mod setenvif so le sys auth modu apache ssl modul le usr le usr le usr le allowdev modu lib apache 1 le put module usr lib apache 1 3 mod put so le throttle modul lib apache 1 lib apache 1 3 mod_auth_sys so 3 mod throttle so 3 libssl so le usr lib apache 1 it it LoadMod LoadMod LoadModule ExtendedStatus information when th le eaccess modu le usr le roaming modu lib apache 1 le usr lib apache 1 3 mod allowdev so 3 mod eaccess so 3 mod roaming so php4 module usr lib apache 1 3 libphp4 so Off ExtendedStatus On Section 2 dE de db de db de de db db The directives Main server
5. B Installation de Honeyd avec Prelude IDS 1 Installation de la ibprelude sur le syst me Voir la documentation sur l installation de Prelude IDS en annexe 2 On applique le patch aux sources de Honeyd http www rstack org oudot prelude patch p0 lt honeyd as a prelude ids sensor patch patching file honeyd 0 5 Makefile am patching file honeyd 0 5 Makefile in patching file honeyd 0 5 README prelude ids patching file honeyd 0 5 command c patching file honeyd 0 5 honeyd c patching file honeyd 0 5 prelude alert c patching file honeyd 0 5 prelude alert h 3 On configure puis on installe Honeyd Cette installation n cessite les librairies libevent libdnet et libpcap configure make make install 4 On d clare Honeyd comme une sonde sur le Prelude Manager sensor adduser sensorname honeyd uid 0 m 130 120 84 63 5 On modifie la configuration de Prelude dans usr local etc prelude sensor sensor default conf manager addr 130 120 84 63 6 On installe Arpd arpd 0 2 tar gz configure make make install 7 On lance Arpd arpd 130 120 84 0 24 arpd 13817 listening on eth0 arp and dst net 130 120 84 0 24 and not ether src 00 10 5a d8 8b 51 A partir de maintenant le daemon Arpd g re toutes les adresses IP libres sur le r seau 130 120 84 0 24 8 On lance Honeyd 54 honeyd d p nmap prints f config
6. 7 R seau local ethernet Firewall Access point wireless T as dg ht Serveur Ep Commutateur ML Liaison particuli re VPN sans fil 38 Les IDS sont rarements les seules solutions de s curit informatiques mises en place sur un r seau Il y a donc tout un ensemble de barri res d j mises en place Mais sont elles efficaces Et si une attaque est perp tr e contre une machine du r seau quelle protection a permis de la stopper et laquelle n a au contraire rien chang Un r seau peut aussi avoir des vuln rabilit s de conception comme par exemple la possibilit de se connecter des Access Point Wireless acc dant de la sorte au LAN sans passer par le firewall qui ne surveille que les acc s Internet La mise en place de sondes sur tout le r seau va permettre de suivre une attaque Il est important de pouvoir avoir une sonde surveillant le traffic avant et apr s chaque protection avant et apr s un firewall Ainsi cela permet d avoir un aper u des attaques que la protection bloque et celles qu elle laisse passer Pour une attaque donn e on pourra en d duire son faux de p n tration dans le r seau et ainsi d signer les parties du r seau s res et celles non s res face une attaque donn e Dans les r seaux complexes et vastes nous nous trouvons parfois face des niveaux de s curit h t rog nes Le cas le plus r pandu est de rencontrer
7. DirectoryIndex index pl index html index htm ServerName localhost DocumentRoot var www et rajouter les lignes suivantes lt Directory var www frontend perl gt Options ExecCGI AddHandler cgi script pl Directory Puis transformer If the perl module is installed this will be enabled IfModule mod perl c Alias perl var www perl Location perl SetHandler perl script PerlHandler Apache Registry Options ExecCGI Location IfModule en ce qui suit If the perl module is installed this will be enabled IfModule mod perl c Alias perl var www frontend perl Location var www frontend perl SetHandler perl script PerlHandler Apache Registry Options ExecCGI Location IfModule 65 D 8 4 Configuration de prelude perl frontend diter le fichier var www frontend perl Functions config pl pour y faire appara tre les lignes suivantes Sconf dbtype mysql Sconf dbname prelude Sconf dbhost localhost Sconf dbport 3306 default mysql port is 3306 Sconf dblogin prelude Sconf dbpasswd dessstri L interface est maintenant accessible par https localhost frontend perl avec le login prelude et le mot de passe dessstri D 9 Liens Site officiel de Prelude IDS http www prelude ids org Derni re vers
8. If there are fewer than MinSpareServers it creates a new spare If there are more than MaxSpareServers some of the Spares die off The default values are probably OK for most sites dE de db deb db db de db db db db db d MinSpareServers 5 MaxSpareServers 10 Number of servers to start initially should be a reasonable ballpark figure StartServers 5 Limit on total number of servers running i e limit on the number of clients who can simultaneously connect if this limit is ever reached clients will be LOCKED OUT so it should NOT BE SET TOO LOW It is intended mainly as a brake to keep a runaway server from taking the system with it as it spirals down HR de db OE db db MaxClients 150 MaxRequestsPerChild the number of requests each child process is allowed to process before the child dies The child will exit so as to avoid problems after prolonged use when Apache and maybe the libraries it uses leak memory or other resources On most systems this isn t really needed but a few such as Solaris do have notable leaks Se se ode db db dE 75 in the libraries For these platforms set to something like 10000 or so a setting of 0 means unlimited live requests after the initial request per connection For example if a child process handles an initial request and 10 subsequent keptalive requests it would only count as 1 request towar
9. Il consiste remplacer les espaces par des tabulations Case sensitive Il consiste remplacer les minuscules par des majuscules La requ te reste valide URL coup e Il consiste couper la requete HTTP en plusieurs paquets TCP Par exemple l URL GET cgi bin phf devient GET cgi b in ph f HTTP 1 0 Le caract re NULL En analysant la chaine de caract res HEAD 00 cgi bin some cgi HTTP 1 0 VIDS s arr te d s qu il atteind le caract re NULL la suite de l URL n tant pas analys e Buffer overflow Les IDS sont capables de d tecter des attaques de type buffer overflow Pour cela il analyse le trafic la recherche de chaines de caract res telles que bin sh 0x90 NOP 4 5 Une alternative aux IDS 4 5 1 La tol rance d intrusion Il est difficile de prot ger la disponibilit des donn es et des services dans la plupart des attaques vues pr cedemment En revanche nous pouvons faire quelque chose dans la protection de l int grit et de la confidentialit des donn es c est la tol rance d intrusion Elle est d finie comme suit Un syst me distribu tol rance d intrusion est un syt me dont le but est de ne pas mettre en danger la confidentialit l int grit en cas d intrusion dans une partie du syst me Ce concept de tol rance d intrusion est impl ment via la technique Fragmentation Redundancy Scattering Elle consiste clater en plusieurs fragments l information
10. actuellement deux probl mes majeurs qui sont l utilisation grandissante du cryptage et des r seaux commut s En effet il est d une part plus difficile d couter sur les r seaux commut s et le cryptage rend l analyse du contenu des paquets presque impossible La plupart des NIDS sont aussi dits IDS inline car ils analysent le flux en temps r el Pour cette raison la question des performances est tr s importante De tels IDS doivent tre de plus en plus performants afin d analyser les volumes de donn es de plus en plus importants pouvant transiter sur les r seaux Les HIDS Les IDS Syst mes analysent quant eux le fonctionnement ou l tat des machines sur lesquelles ils sont install s afin de d tecter les attaques Pour cela ils auront pour mission d analyser les journaux syst mes de contr ler l acc s aux appels syst mes de v rifier l int grit des syst mes de fichiers Ils sont tr s d pendants du syst me sur lequel ils sont install s Il faut donc des outils sp cifiques en fonction des syst mes d ploy s Ces IDS peuvent s appuyer sur des fonctionnalit s d audit propres ou non au syst me d exploitation pour en v rifier l int grit et g n rer des alertes Il faut cependant noter qu ils sont incapables de d tecter les attaques exploitant les faiblesses de la pile IP du syst me typiquement les D nis de service comme SYN FLOOD ou autre Les IDS hybrides NIDS HIDS Les IDS hybrides rassemblent
11. symbolic links and aliases may be used to point to other locations cumentRoot var www Each directory to which Apache has access can be configured with respect to which services and features are allowed and or disabled in that directory and its subdirectories First we configure the default to be a very restrictive set of permissions irectory gt Options SymLinksIfOwnerMatch AllowOverride Non Directory gt Note that from this point forward you must specifically allow particular features to b nabled so if something s not working as you might expect make sure that you have specifically enabled it below This should be changed to whatever you set DocumentRoot to Directory var www gt This may also be None All or any combination of Indexes Includes FollowSymLinks ExecCGI or MultiViews Note that MultiViews must be named explicitly Options All doesn t give it to you Options Indexes Includes FollowSymLinks MultiViews This controls which options the htaccess files in directories can override Can also be All or any combination of Options FileInfo AuthConfig and Limit AllowOverride Non Controls who can get stuff from this server 79 Order allow deny Allow from all lt Directory gt UserDir The name of the directory which is appended onto a user s home directory if a
12. 1 manager Nous utilisions le syst me d exploitation Linux et travaillions sur une distribution Debian Woody L absence de paquetages officiels de Prelude IDS sous Debian nous a contraint travailler directement partir des sources officielles de l outil Nous disposions aussi d autres machines plus puissantes connect es Internet Le rapport est en fait le r sultat d une tude beaucoup plus large En effet il y est question des avantages et inconv nients d une solution par rapport l autre mais on voque aussi la mise en place de ces outils Sont aussi trait s l installation et la configuration d outils comme Nessus ou Honeyd qui peuvent interagir avec Prelude Puis de mani re plus g n rale nous voquons les apports des IDS la s curit informatique En bref ce rapport couvre la th orie et la pratique des IDS et des outils de s curit avec Prelude IDS comme fil conducteur tout au long de l tude 3 Quelques notions de s curit 3 1 Pr sentation Avant de pr senter l tude de l outil Prelude IDS ou des Syst mes de D tection d Intrusions de mani re plus g n rale nous allons pr senter notre vision de la s curit Nous pouvons d couper le domaine de la s curit de la facon suivante La s curit logicielle qui g re la s curit du Syst me d Information au niveau logiciel et qui int gre aussi des protections logicielles comme les antivirus La s curit du personnel qui comprend l
13. 10 15 Network firewalling for Linux 2 2 x ii ipmasgadm 0 4 2 2 Utility for configuring extra masquerading ii iptables 1 2 7a 7 IP packet filter administration tools for 2 ii ispell 31 205027 International Ispell an interactive spelli ii jade 1 2 1 28 James Clark s DSSSL Engine ii kdelibs3 225 2713 KDE core libraries runtime files ii kdelibs3 bin Zo bb KDE core binaries binary files ii kdm 2 2 2 14 The K Desktop Manager ii klogd 1 4 1 10 Kernel Logging Daemon ii less 378 2 A file pager program similar to more 1 ii libbz2 1 0 1 0 2 1 A high quality block sorting file compresso ii libc6 2 2 5 14 3 GNU C Library Shared libraries and Timezon 68 ii libc6 dev 2 2 5 14 3 ii libcapl 1 10 12 ii libdate calc p 5 0 3 ii libdbl compat 2 1 3 7 ii libdb2 2 7 7 0 8 ii libdb3 SHAVOTIY ii libdb4 0 4 0 14 1 ii libdbi perl 1 21 2 ii libdns5 9 2 1 4 ii libdpsi 4 2 1 3 ii libexpatl 14 95 29 ii libfamO 2 6 8 3 ii libfreetype6 2514269 ii libgcci 3 2 1 0pre3 ii libgd graph pe 1 35 3 ii libgd perl 1 40 1 ii libgd text per 0 83 3 ii libgdl 1 8 4 17 ii libgdbmgl T2 03527 4 ii libglib1 2 1 2 10 6 ii libgtk1 2 1 2 10 14 ii libgtkl 2 comm 1 2 10 14 ii libident 0 22 2 ii libisc4 9 2 1 4 ii libjpeg62 6b 6 ii liblcms 1 08 3 ii libldap2 2 0 23 14 ii liblockfilel 1 03 ii liblwresl 9 2 1 4 ii libmml Ted Si 6
14. 10 48 2 1 48 2 2349 9 plese 20 1 2 44 Ac 19 3 l1n 4 woody woody woody 0 O 0 0 woody OO OO 4 0 4 22349272 523 922 23 592727 od Tat 2 20020112a 2 20020112a 2 20020112a 60 4 List open files Text mode WWW Browser a macro processing language A simple mail user agent The GNU version of the make utility Creates device files dev The on line manual pager Manual pages about using a GNU Linux system Manual pages about using GNU Linux for deve a pattern scanning and text processing lang Master Boot Record for IBM PC compatible co MIME files mime types amp mailcap and su in Device Driver Configuration Linux module utilities Tools for mounting and manipulating filesys Mozilla Web Browser dummy package Mozilla Web Browser core and browser Mozilla Web Browser mail and news support Mozilla Web Browser Personal Security Man Tools for encoding decoding MIME messages Tools for manipulating MSDOS files Full screen ncurses traceroute tool Text based mailreader supporting MIME GPG mysql database client binaries mysql database common files e g etc mysq mysql database server binaries free Pico clone with some new features Descriptions of common terminal types Terminal related programs and man pages Additional terminal type definitions The NET 3 networking toolkit
15. 71 ii textutils 4 5 2 1 The GNU text file processing utilities ii time OPEN The GNU time command ii util linux 2 11n 4 Miscellaneous system utilities ii util linux loc 2 11n 4 Locales files for util linux ii vacation Sa AB email autoresponder ii wenglish 2 0 2 English dictionary words for usr share dic ii whiptail 0 50 17 9 6 Displays user friendly dialog boxes from sh ii whois 4453 The GNU whois client ii wmaker 0 80 1 3 NeXTSTEP like window manager for X ii xbase clients 4 2 1 3 miscellaneous X clients ii xfonts 100dpi 4 2 1 3 100 dpi fonts for X ii xfonts base 4 2 13 standard fonts for X ii xfree86 common 4 2 1 3 X Window System XFree86 infrastructure ii xfs 4 2 1 3 X font server ii xfs xtt 1 3 0 xf420 8 X TrueType font server ii xlibmesa3 4 2 1 3 XFree86 version of Mesa 3D graphics library ii xlibs 4 2 1 3 X Window System client libraries ii xpdf 1 01 3 Portable Document Format PDF suite ii xpdf common 1 01 3 Portable Document Format PDF suite com ii xpdf reader 1 01 3 Portable Document Format PDF suite vie ii xpdf utils LOTS Portable Document Format PDF suite uti ii xserver common 4 2 1 3 files and utilities common to all X servers ii xserver xfree8 4 2 1 3 the XFree86 X server ii xsltproc 10
16. ORA UO unten 5 3 4 Infos disponibles dans les alertes oo 10 10 10 10 11 13 13 13 14 14 14 15 15 15 15 15 16 16 16 17 17 17 17 17 18 18 19 19 20 10 3 23 90 SES TEOBIDOS PE EN fase fag D ae Ge Nein fa roi Ap UN e 3 3 6 Int gration d outils externes 54 e he oov Sie je ne de ia et nue ls 5 3 7 Facilit de configuration et bonne documentation 5 4 Prelude DS et LogCheck do a Be eS ee Re Ge te NM Eee Nep deco OR Sxhl Pr sentation de LogGHeck en sssees cS Pee Se A PSs Sas 5 4 2 Fonctionnement de LogCheck 5 4 3 Installation de LogCheck uude doge bee Qu eee eee ie 5 4 4 Comparaison entre Prelude IDS et Logcheck 3 9 _Prelude IDS et Nessus s ione ne en NI a ce Sees ee ee Rs Viros es 2 9 1 IN SSUS g n ralit s oc nabari oo dae gtd ald dt ag Ba es BO A cA Se a 5 5 2 Comparaison entre Nessus et Prelude IDS 2 23 SCONCIUSION aos a8 Fad bet pe Pee PREPRESS EPS eu Prelude IDS et ses comp res 6 1 Prel de IDS Honeyd et Sysirace uu eg es Mx OE OEE DE OPS De Sees Geel Honeyd PE G I2 SySUHDE ss 2 ea A UE M A ASS at ed wed teg ed te eod ra ae Utilisation de Prelude positionnement dans un r seau Yall Suva TES attaques s e us e p RO D ee eles da prd tS fable 48 Ste he ES ipie To srvelllance sumplese ooh suce Loa cA duabus o udi cao o eb rotas 7 3 Surveillance cib
17. Practical Extraction and Repor The Pathologically Eclectic Rubbish Lister Core Perl modules A server side HTML embedded scripting lang MySQL module for php4 TCP IP IDENT protocol server Ihe RPC portmapper Point to Point Protocol PPP daemon A text menu based utility for configuring p PPP over Ethernet driver configures PPPoE ADSL Versatile e mail processor The proc file system utilities Utilities that use the proc filesystem An interactive object oriented scripting la A newt module for Python An interactiv object oriented scripting la The GNU Revision Control System Reports bugs in the Debian distribution The GNU sed stream editor Controls configuration of serial ports utilities to maintain SGML catalog files Common SGML and XML DTDs and entities shar unshar uuencode uudecode The GNU shell programming utilities The S Lang programming library runtime ve James Clark s SGML parsing tools Secure rlogin rsh rcp replacement A system call tracer System Logging Daemon Bootloader for Linux i386 using MS DOS flop System V like init OpenSSH Type 1 font rasterizer library runtime GNU tar Tool for selecting tasks for installation o Wietse Venema s TCP wrapper utilities TENEX C Shell an enhanced version of Berke The telnet client Documentation system for on line informatio
18. Ro BS 4 3 4 UnDoS explose les fichiers de logs 4 3 5 R ponse active non contr l e at dede ce S act Sec sea Ho Po A Tee 43 6 ProblemesdeIPy ia dar gele thee bee S53 809 90 opos S poe fins 4 3 7 Probl mes intrins ques la plateforme 4 3 8 Gestion de plusieurs managers tr s limit e 4 3 9 Co t mat riel parfois important 44 ox ok 9 OE UR WR 4 4 M thodes de contournement des IDS EL Ouslg esteohniques 2255 Es ad eas EG M e eG eg eR 4 4 2 Exemples attaques edm oer ed MY Serm aet eet ect ye o Rd 4 5 n alt rnativ aux IDS i Lu ues ope Up REG uro doe reos oL t ASA Ea toleranced intrusion 0 25 o 4 Gos eds dendo TANT a Wem a IND ORC 7 6 XConcl stoly 25er mE RE e me eren Hoe Te God s IC Oo xD ee Se Te Go De ed 5 Prelude IDS et ses comp res Sile SESSEOFIQUE o uio vh ue bum e ru Due SR SD Ne pie Sip Mele Mehl Nes 5 2 CCaracteristidies Le SL sederet eene e aede coelis nr c ote e ege ee Dol IDESERIPHON sir ode t D RE eee 1a Sue Pe e OU teat D wer OR ea ee eS 3 22 MATCHHSCR ed vase ded ae te te ee EVL A eee D COMPOSANT SE gero ac EE ere dedic patet ci pe du Us hE de Je BS ao Prelude DS Cb SHOU 43 RE eek WHERE eR ER AE ER ee DEE eS SI IRS 2s 8 LR en e auti o oet eta ettet ute Ae ee ea 5 3 2 Moteur d analyse et banque de signatures 5 3 3 La remont e alertes su ue doe owt RAO
19. SSL Much of it is duplicated in the error log file Put this somewhere where it cannot be used for symli attacks on real server i e somewhere where only root can write SSLLogFile var log ssl log Custom logging CustomLog var log apache ssl ssl log t S version c cipher c clientcert lt VirtualHost scuzzy 8888 gt SSLDisable SSLEnable lt VirtualHost gt If you want you can disable SSL globally and enable it in a virtual host lt VirtualHost scuzzy 8887 gt SSLEnable and the rest of the SSL stuf lt VirtualHost gt Experiment with authorization lt Directory u ben www 1 docs gt AuthType Basic AuthName Experimental AuthGroupFile dev null AuthUserFile u ben www 1 users 95 lt Limit PUT GET gt allow from all require valid user lt Limit gt lt Directory gt ScriptAlias scripts u ben www scripts lt VirtualHost ServerName 443 gt SSLEnable lt VirtualHost gt 3 Fichier prelude manager conf Prelude Manager Address where the sensors serber is listening on if value is 127 0 0 1 or is resolved as being 127 0 0 1 it mean the Manager server will be listening via a local UNIX socket format address port sensors srvr 192 168 0 2 Address where the administrative server is listening on if value is unix i
20. VirtualHost definition Server status handler controls whether Apache will ExtendedStatus On or just basi generate full status c information ExtendedStatus is cal led The default is Off server configuration any lt VirtualHost gt containers you may define All of thes in this section set up the values used by the main which responds to any requests that aren t handled by a These values also provide defaults for later in the file directives may appear inside lt VirtualHost gt containers in which case these default settings will be overridden for the virtual host being defined 77 Se db HEHE If your ServerType directive set earlier in the Global Environment section is set to inetd the next few directives don t have any effect since their settings are defined by the inetd configuration Skip ahead to the ServerAdmin directive Port The port to which the standalone server listens For ports lt 1023 you will need apache to be run as root initially The default port for SSL is 443 Port 443 If you wish apache to run as a different user or group you must run apacheas root initially and it will switch User Group The name or number of the user group to run apache as On SCO ODT 3 use User nouser and Group nogroup On HPUX you may not be able to use shared memory as no
21. base des DoS et DDoS voqu s pr c demment 4 3 7 Probl mes intrins ques la plateforme Beaucoup d IDS et plus particuli rement les IDS libres sont des logiciels reposant sur une syst me d exploitation non d di aux IDS Ainsi la faiblesse d un IDS est li e la faiblesse de la plateforme Un m me logiciel sera par exemple plus vuln rable sur un PC Win98 que sur un PC OpenBSD de part la solidit de la pile IP face aux attaques ou tout simplement de part la stabilit du syst me La mise en place d un IDS requiert donc des comp tences dans la s curisation de la plateforme Une saturation de la m moire de la carte r seau viter des cartes ISA ou du processeur porte atteinte directement au bon fonctionnement de tout le syst me et donc du logiciel IDS de la machine Le probl me de ces dysfonctionnements est que si la sonde ne peut plus remplir son r le le r seau n en est pas coup pour autant heureusement diront certains Le responsable s curit ne peut donc pas voir que la sonde tant tomb e une partie du r seau n est plus surveill e Une redondance des surveillances sur certaines zones devraient momentan ment r soudre le probl me Mais contre une attaque bien pr par e c est inutile Malheureusement nous n avons pas eu le temps de tester tout cela afin de conna tre les comportements des IDS leurs limites de fonctionnement quelles sont ces limites etc 4 3 8 Gestion de plusieu
22. ces r gles est appel police Cette police est g n r e de mani re interactive et les acc s non d finis g n rent une alarme Fonctionnement Tout d abord les polices sont contenues dans un fichier qui a pour nom le chemin de l application prot g e en rempla ant les par des _ Par exemple la police pour l application usr sbin named est contenue dans le fichier usr sbin named Dans ces fichiers on trouve des restrictions d acces pour les appels syst me Exemples S S native accept permit L appel syst me accept est autoris pour tout le monde S S native bind sockaddr match inet 53 then permit 35 Lors de l appel de la primitive bind seuls les appels dont sockaddr correspond la chaine de caract res inet 53 sont autoris s Int gration de Systrace dans Prelude Systrace est surtout n cessaire Prelude dans le cas o on utilise Honeyd En effet comme Honeyd change des informations avec des attaquants potentiels il faut prot ger le syst me en vitant que ces attaquants n exploitent les failles de Honeyd c est le r le de Systrace L int gration se fait uniquement en installant Systrace et en appliquant un patch Systrace devient alors une sonde Prelude comme une autre Le patch est encore en d veloppement donc nous ne l avons pas test Installation Nous n avons pas install Systrace N anmoins c est un package de la Debian en unstable et testing seuleument systrace
23. choix par d faut Pour la quatri me phase qui est la num ro 3 indiquez root choix par d faut pour l administrateur de la base et laisser le mot de passe vide car si cela n a pas t chang l utilisateur root n a pas de mot de passe par d faut cela sera changer ult rieurement pour am liorer la s curit du syst me L avant derni re phase attend la r ponse prelude choix par d faut avec dessstri comme mot de passe Enfin pour la derni re phase r pondre yes si toutes les informations saisies sont correctes D 5 2 Configuration du manager ditez le fichier de configuration du manager usr local etc prelude manager prelude manager conf Ensuite faire apparaitre les lignes suivantes les d commenter si elles sont en commentaires sinon les crire dans le fichier Dans la rubrique Prelude Manager Indiquer ici l adresse et le port d coute des sondes par le serveur Par d faut c est le port 5554 qui est utilis sensors srvr 192 168 0 2 Dans la rubrique MySQL La ligne ci dessous est valable m me si le manager et les sondes ne sont pas sur la m me machine dbhost localhost dbname prelude dbuser prelude dbpass dessstri D 5 3 Configuration de la sonde r seau nids ditez le fichier de configuration de la sonde r seau usr local etc prelude nids prelude nids conf Ensuite faire apparaitre les lignes suivantes les d commenter si elles sont en
24. de s curit sur un syst me informatique Elle permet ainsi de signaler les attaques en temps r el ou en diff r portant atteinte la s curit de ce syst me Par s curit du syst me nous consid rons l int grit la confidentialit et la disponibilit du syst me et des donn es Par attaque nous ne consid rons pas seulement les intrusions ou tentatives d intrusion mais aussi d autres actions telles que les scans d nis de service utilisations non autoris es de syst mes services mauvaises utilisations de systemes services Pour mettre en oeuvre ce concept de d tection d intrusion des outils sp cifiques sont n cessaires les IDS ou syst mes de d tection d intrusions Ils vont permettre de collecter de fa on automatis e les donn es repr sentant l activit des syst mes serveurs applications syst mes r seaux de les analyser et d avertir les administrateurs en cas de d tection de signes d attaques 4 1 2 Crit res de classification des IDS M thodes d analyse Le premier crit re de classification des IDS reste la m thode d analyse Deux approches sont possibles L approche par sc nario Cette approche consiste rechercher dans l activit de l l ment surveill les empreintes ou signatures d attaques connues Ce type d IDS est purement r actif il ne peut d tecter que les attaques dont il poss de la signature De ce fait il n cessite des mises jour f
25. derni res 24 heures ou les 86400 derni res secondes manager home prelude prelude correlation agent pl B p 86400 Le d tail est une nouvelle fois en annexe 5 5 3 Conclusion Pour le moment les r gles d analyse de Nessus ne sont pas int gr es dans Prelude Cela est en pr vision comme indiqu dans la pr sentation Prelude r alis e pour la FOSDEM http www prelude ids org download misc fosdem 2003 slides html Les scripts pr sent s ci dessus ont t d velopp s par Laurent Oudot http www rstack org oudot prelude correlation qui est un des premiers se pencher sur le sujet Il est noter que la visualisation des vuln rabilit s d tect es par Nessus n est pas possible partir du frontend de Prelude Elles sont uniquement ajout es la base de donn es Bien que cette nouvelle fonctionnalit soit enthousiasmante nous pouvons dire que nous sommes encore loin d une v ritable int gration de Nessus dans Prelude IDS 6 Prelude IDS et ses comp res 6 1 Prelude IDS Honeyd et Systrace 6 1 1 Honeyd Pr sentation Honeyd est un projet Pot de miel OpenSource d velopp par Niels Provos Il permet de d ployer des machines virtuelles sur un r seau en utilisant les adresses IP laiss es libres et ainsi permet de d tecter toute activit frauduleuse sur le r seau En effet toute tentative de connexion sur une adresse IP non attribu e peut tre consid r e comme non autoris e et suspecte p
26. et d un Report Server Lors du Libre Software Meeting 2001 les quipes de Prelude et du projet Trith me projet ind pendant lanc en f vrier 2000 ont d cid de joindre leurs efforts dans le but d voluer progressivement vers le d veloppement d un IDS hybride bas sur la prise en compte de la quasi totalit des v nements s curit au niveau r seau Network based IDS et local Host based IDS gr ce des sondes d di es 5 2 Caract ristiques 5 2 1 Description Prelude IDS Intrusion Detection System est un syst me de d tection d intrusions et d anomalies distribu sous licence GPL Un tel syst me vient compl ter la panoplie des quipements et logiciels de s curit serveurs proxy routeurs filtrants firewalls et offre l analyste un outil de contr le des activit s suspectes ou illicites interne comme externe La d tection d intrusion est r alis e par l analyse du trafic r seau et l utilisation de signatures d v nements hostiles ou par l analyse en continue de fichiers de journalisation L architecture de Prelude est modulaire on peut int grer ou d velopper de nouvelles fonctionnalit s gr ce des plugins distribu e Prelude est une suite de composants autonomes et interactifs ie les sondes et les managers et s curis e utilisation du support SSL pour l authentification et le chiffrement des communications Les sondes r seaux comme locales n effectuent que les op rati
27. ii libmngl 10 3833 ii libmysqlclient 3 23 52 2 ii libmysqlclient 3 23 52 2 ii libncurses5 5 2 20020112a ii libnewtO 05 50 1 1 96 ii libnspr4 1 0 0 0 woody ii libnss db 2 2 6 ii libnss3 1 0 0 0 woody ii libpam modules 0 76 7 ii libpam runtime 0 76 7 ii libpam0g 0 76 7 ii libpaperg T1289 ii libpcapO 06 272 ii libpcre3 3 4 1 1 ii libperl5 6 5 6 1 9 2 ii libpng2 LaO 2 6 ii libpopto 1 6 4 2 ii libqt2 2 3 1 22 ii libreadline4 4 3 4 ii libsasl7 l45 27 3 3 GNU C Library Development Libraries and He support for getting setting POSIX le capabi Perl library for accessing dates The Berkeley database routines glibc 2 0 2 The Berkeley database routines run time fi Berkeley v3 Database Libraries runtime Berkeley v4 0 Database Libraries runtime The Perl5 Database Interface by Tim Bunce DNS Shared Library used by BIND Display PostScript DPS client library XML parsing C library runtime library client library to control the FAM daemon FreeType 2 font engine GCC support library Graph Plotting Module for Perl 5 Perl module wrapper for libgd Text utilities for use with GD GD Graphics Library GNU dbm database The GLib library The GIMP Toolkit set of widgets for X Common files for the GTK library simple RFC1413 client library runtime ISC Shared Library used by BIND The Independent JPEG Group s JPEG runtime 1 Color manag
28. la mise en place d une solution de s curit globale L objectif final du TER qu tait la mise en production a finalement t abandonn e Les probl mes r currents d installation des sondes dus au fait que les machines d di es taient obsol tes nous a co t beaucoup de temps Nous avons donc choisi de recentrer nos efforts sur l tude C est ainsi que nous avons travaill sur l int gration de Nessus de Honeyd ou encore de Systrace dans Prelude IDS De la sorte nous avons pu proposer des manuels d installations pour ces plugins un peu particuliers et proposer ainsi une solution s curit la plus efficace possible Beaucoup d IDS sont matures et fiables ce qui entra ne leur int gration quasi syst matique dans les solutions de s curit Les IDS pr sentent des avantages par rapport aux autres outils mais aussi des inconv nients des apports ainsi que des lacunes qui en font des outils indispensables et non suffisants La particularit des syst mes de d tection d intrusions est d apporter une s curit non automatis e Nous entendons par cela que la mise en place doit toujours s accompagner d une expertise s curit dans les traitements des alertes remont es En ce qui concerne l environnement d tude la particularit de travailler sur un projet libre alors qu il se trouve dans une p riode tr s active est tr s enrichissante C tait pour nous trois la premi re fois que nous ti
29. link to the ServerAdmin need with no limit The format i fakename then the server will icons isn t aliased in this UD dE db db db OE db db o lt D Se de db db db HR se ScriptAlias This controls which directories contain server scripts ScriptAliases ar ssentially the same as Aliases except that documents in the realname directory are treated as applications and run by the server when requested rather than as documents sent to the clien The same rules about trailing apply to ScriptAlias directives as to Alias riptAlias cgi bin usr lib cgi bin usr lib cgi bin could be changed to whatever your ScriptAliased CGI directory exists if you have that configured irectory usr lib cgi bin gt AllowOverride Non Options ExecCGI Order allow deny Allow from all Directory gt Redirect allows you to tell clients about documents which used to exist in your server s namespace but do not anymore This allows you to tell the clients where to look for the relocated document Format Redirect old URI new URL Directives controlling the display of server generated directory listings IfModule mod autoindex c FancyIndexing whether you want fancy directory indexing or standard IndexOptions FancyIndexing NameWidth AddIcon directives tell the server which icon to show for differ
30. prelude correlation agent pl B p 86400 HEHEHE HHH HEE HE EH HH HH EE EE EH HH HE RR E E EE E E E E EH EE EH Proof of concept for a small correlation agent using source address to work Contact oudot rstack org HEHEHE HHH HEE HE EH HE HH EE EE EH HH HE EEE E E E EE EE E E EE HH E Source address correlation for alert 15972 with 86400 of seconds used as the period to analyse Alert 15972 is ever correlated in the correlation id 1 HEHEHE HHH HE EE EH HH HH HE HE HE EE HE HH EE E E E EH HEE E E EE E HEE EH Proof of concept for a small correlation agent using source address to work Contact oudot rstack org HEHEHE HHH HE EE EH HH HH EE EE EH HH E E E EE E E E EE EE E E EH HH EE EH Source address correlation for alert 15973 with 86400 of seconds used as the period to analyse Alert 15973 is ever correlated in the correlation id 1 HEHEHE HHH HE EE EH HH HH EE EE EH HH E E E E E E E E E EE E EE E EE HH EE EH Proof of concept for a small correlation agent using source address to work Contact oudot rstack org HEHEHE HHH HE EE EH HH HH HE EE EH HH EE E E EE E E EEE E E EE E HEE EH Source address correlation for alert 17043 with 86400 of seconds used as the period to analyse Alert 17043 is ever correlated in the correlation id 37 HEHEHE HHH HEE HE EH HH HH EE EE EH HE E E E E EE E E EEE E E EE HH HEE EH Proof of concept for a small correlation agent using source add
31. quelques mots sur la facilit de configuration et la possibilit d int gration d outils externes au projet 5 3 1 Projet Dans le cadre du projet ces deux outils sont tr s proches Ce sont tous les deux des outils libres Les projets dont ils sont les r sultats sont tr s actif aussi bien dans le d veloppement que dans la mise jour des attaques Quelques avantages de Snort sur Prelude IDS sont sa popularit et sa disponibilit sur de nombreuses plateformes Prelude IDS se restreint sur les plateformes POSIX alors que nous pouvons retrouver Snort aussi sur Windows A cela s ajoute l importance de la base de donn es des signatures d attaque de Snort pour expliquer sa plus grande popularit Mais Prelude IDS est de plus en plus connu dans le monde des professionnels de la s curit Une diff rence importante cependant au d savantage de Snort Snort est un NIDS pur alors que Prelude IDS int gre des fonctionnalit s NIDS et HIDS Ce dernier est un IDS hybride Dans la suite nous ne comparerons que ce qui est comparable c est dire la partie NIDS de Prelude IDS et Snort 5 3 2 Moteur d analyse et banque de signatures Les deux font des analyses par recherche de similitudes avec un sc nario pr alablement d finis Le mode de fonctionnement est alors similaire Autant pour Prelude IDS que pour Snort les solutions sont stables Prelude IDS a un soucis de suivi des standards pour pouvoir utiliser les signatures
32. sample 130 120 84 0 24 1 honeyd log Connecting to Tcp prelude Manager server 130 120 84 63 5554 SSL authentication succeed with Prelude Manager honeyd 13826 listening on eth0 ip and dst net 130 120 84 0 24 and not ether src 00 10 5a d8 8b 51 honeyd 13826 Sending ICMP Echo Reply 130 120 84 67 130 120 84 63 honeyd 13826 Sending ICMP Echo Reply 130 120 84 67 130 120 84 63 honeyd 13826 Sending ICMP Echo Reply 130 120 84 67 130 120 84 63 honeyd 13826 Sending ICMP Echo Reply 130 120 84 67 130 120 84 63 honeyd 13826 Sending ICMP Echo Reply 130 120 84 67 130 120 84 63 On peut voir ici que Honeyd a r pondu a une requ te ICMP La machine qui a initi cette r ponse 130 120 84 63 s est adress une machine qui n existe pas sur le r seau 130 120 84 67 Une alerte est donc g n r e et envoy e au Prelude manager Nous pouvons donc visualiser cette alerte sur le frontend de Prelude 55 C Installation de Nessus et corr lation avec Prelude IDS C 1 Installation de Nessus 1 L installation de Nessus requiert deux packages Installation du serveur Nessus apt get install nessusd Installation du client Nessus fapt get install nessus 2 Ajout d un utilisateur et d finition de la politique de s curit appliqu e manager nessus adduser Add a new nessusd user Logi
33. sur la s curit informatique Contient quelques documents int ressant lors d un tout premier contact avec ce domaine Misc Num 3 Magazine sur la s curit informatique Le num ro 3 contient un dossier sp cial sur les IDS www security labs org index php3 page 408 www securiteinfo com conseils choix ids shtml www securite org db securite ids outils http abcdelasecurite free fr html modules php name Downloads 9 3 Bibliographie pour int grer les r gles de Snort Prelude NIDS Site officiel de Prelude IDS http www prelude ids org Site officiel de snort http www snort org Site o l on peut t l charger le script convert ruleset http mops uci agh edu pl kzaraska prelude contribs T l chargement des paquetages de Prelude IDS http www prelude ids org rubrique php3 id_rubrique 6 T l chargement des r gles de Snort http www snort org dl rules 9 4 Projets li s de Prelude IDS Site officiel du projet Trith me http tritheme sourceforge net Bibliographie sur Honeyd http www citi umich edu u provos honeyd 48 http www citi umich edu u provos papers honeyd dfn http www securityfocus com infocus 1659 http www citi umich edu u provos systrace http www onlamp com pub a bsd 2003 01 30 Big_Scary_Daemons html Bibliographie sur Nessus Site officiel de Nessus http www nessus org Corr lation entre Prelude et Nessus http www rstack org oudot prelude corr
34. 1 0 IfModule If the perl module is installed this will be enabled IfModule mod perl c Alias perl var www frontend perl Location var www frontend perl SetHandler perl script PerlHandler Apache Registry Options ExecCGI lt Location gt IfModule Files pl gt SetHandler perl script PerlHandler Apache PerlRun PerlSendHeader On Files Directory var www frontend perl Options ExecCGI AddHandler cgi script pl Directory Allow http put such as Netscape Gold s publish feature Use htpasswd to generate etc apache passwd You must unremark these two lines at the top of this file as well LoadModule put module modules mod put so Alias upload tmp lt Location upload gt EnablePut On AuthType Basic AuthName Temporary AuthUserFile etc apache passwd Enablel Delete Off umask lt Limit 007 PUT gt require valid user 90 lt Limit gt lt Location gt Allow server status reports with the URL of http servername server statu Change the your_domain com to match your domain to enable lt Location server status gt SetHandler server status Order deny allow Deny from all Allow from your_domain com lt Location gt Allow remote server configuration reports with the URL of http servername
35. 1 54 Debian base configuration package ii base files 30 37 Debian base system miscellaneous files ii base passwd 3 4 2 Debian Base System Password Group Files ii bash 2 05b 3 The GNU Bourne Again SHell qo doe 1 06 8 The GNU bc arbitrary precision calculator 1 ML LEE 0 17 pre200004 mail notification tool ii bin86 0 16 3 2 16 bit assembler and loader ii bind9 host 9 2 1 4 Version of host bundled with BIND 9 X ii binutils 2 13 90 0 10 1 The GNU assembler linker and binary utilit ii bison T 75 1 parser generator that is compatible with ii bsdmainutils 5 20020211 7 More utilities from FreeBSD ii bsdutils 2 11n 4 Basic utilities from 4 4BSD Lite ii console common 0 7 20 Basic infrastructure for text console confi ii console data 2002 12 04dbs Keymaps fonts charset maps fallback tabl ii console tools 0 2 3 23 3 Linux console and font utilities ii console tools 0 2 3 23 3 Shared libraries for Linux console and font ii coreutils 45 RA The GNU core utilities ii cpio AOL GNU cpio a program to manage archives of ii cpp 2 95 4 17 The GNU C preprocessor ii cpp 2 95 2 95 4 llwoody The GNU C preprocessor ii cpp 3 0 3 0 4 7 The GNU C preprocessor ii cron 3 0p11 72 management of regular background processing qu de 1 06 8 The GNU dc arbitrary precision reverse poli ii debconf T2321 Debian configuration management system ii debianutils Tl637 Miscellaneous utilities specific to Debian ii defoma 0 11 1 Debian Font Manag
36. 421202 XSLT command line processor ii xterm 4 2 1 3 X terminal emulator ii xutils 41724153 X Window System utility programs ii zliblg 1 1 4 6 compression library runtime ii zliblg dev 1 1 4 6 compression library development 2 Fichier httpd conf httpd conf Apache HTTP server configuration file Based upon the NCSA server configuration files originally by Rob McCool This is the main Apache server configuration file It contains the configuration directives that give the server its instructions See lt URL http www apache org docs gt for detailed information about the directives Do NOT simply read the instructions in here without understanding what they do They re here only as hints or reminders If you are unsure consult the online docs You have been warned After this file is processed the server will look for and process 72 Se de db de db OSE d db HE db db db db db db db db db db db HE etc apache ssl srm conf and then etc apache ssl access conf unless you have overridden these with ResourceConfig and or AccessConfig directives her The configuration directives are grouped into three basic sections 1 Directives that control the operation of the Apache server process as a whole the global environment 2 Directives that define the parameters of the main or default server which responds to requests that aren t handled by a virtual host T
37. Au niveau de l architecture Prelude requiert une architecture client serveur avec l installation de sondes r seaux ou h tes et d un manager Au contraire Nessus fonctionne sur un seul poste On peut relever un point commun sur l interface graphique qui dans les deux cas est une partie ind pendante de l application Notons que Prelude repose sur une plateforme de type Unix ou BSD Mais des logiciels comme Ntsyslog nous permettent de remonter des informations sur des machines Windows En revanche Nessus fonctionne aussi bien sous Unix que Windows L installation et l tude des corr lations entre les r sultats de Nessus et Prelude IDS sont d taill s en annexe Dans notre tude nous avons eu le r sultat suivant 33 manager home prelude ability finder pl B c vuln conf Trying to connect to the database type mysql database prelude hostname localhost account prelude Parsing the database to get the alerts id Trying to search for correlation Operation of vulnerability correlation search finnished Number of alerts treated in the database 1073 Number of correlations of vulnerability 0 manager home prelude Ici on peut voir qu il n y a eu aucune attaque exploitant une vuln rabilit pr alablement d tect e par Nessus Il existe aussi un script tr s simpliste pour faire un tri sur les corr lations durant un laps de temps donn Par exemple pour afficher les corr lations pour les
38. Foundation S the fil COPYING If not write to 675 Mass Ave Cambridge MA 02139 USA SYSDOOR PostGreSQL phpfront v VERSION SYSDOOR MySQL phpfront v VERSION USE DB MYSQL prelude dessstri LOCAL CONNECTION DEFAULT PORT prelude KZ 2 Sserver O description server 0 dbtype USE DB PGSQL Sserver 0 dbusername Sserver 0 dbpassword Sserver 0 dbhostname LOCAL CONNECTION Sserver 0 dbport DEFAULT PORT Sserver 0 dbname prelude Sserver 1 description Sserver 1 dbtype Sserver 1 dbusername Sserver 1 dbpassword Sserver 1 dbhostname Sserver 1 dbport Sserver 1 dbname Local variables tab width 4 4 c basic offset 4 End vim600 noet sw 4 ts 4 fdm marker vim 600 noet sw 4 ts 104
39. LML Sensor LR S S S S S S S EE Prelude LML 101 Address where the Prelude Manager Server is listening on if value is 127 0 0 1 the conne an UNIX socket located in sensors default conf dE de db de db db db HR manager addr 192 168 0 2 Configuration for the UDP messag ction will occur throught This entry is disabled The default is to use the entry You may overwrite the default address for this sensor by uncommenting this entry receiver monitor files Udp Srvr port 514 addr 0 0 0 0 Sh de db de db HE HE HR Files to monitor Hh H Se HE ile var log auth log ile var log messages Fh HEHEHE HHH HH HH EE E HH E E E E E EE EH HE EE EE E ER HE Here start plugins configuration Hat at FE at He He He TE HE HE HE E FE FE E E TE FE FE ETE HE E E E E E H SimpleMod commented out by default since most people only want to ruleset usr local etc prelude lml ruleset simple rules Debug Carefull to the loging activity it 6 Fichier config pl sub LoadConfig This plugin issue an alert for each packet generate 102 lt o6 006 X X F X Xo F F F XX F X E Scon Scon Scon Scon Database f dbtype mysql f dbname prelude dbhost localhost f dbport 3306 4 default mys
40. Nous pouvons prendre comme exemple le scan furtif SYN impl ment par NMAP permettant de ne pas tre d tect par les NIDS Le but du scan SYN est de ne pas ouvrir une connexion compl tement A la r ception d un SYN ACK qui signifie que le port est ouvert il envoie un RST pour interrompre la connexion Aucune connexion n est donc faite tout en sachant quels ports sont ouverts Par le flood Il consiste surcharger le NIDS pour qu il ne puisse pas fonctionner correctement et qu il ne d tecte pas l attaque principale Par la noyade sous les faux positifs Le principe est de provoquer de nombreuses remont es d alertes En parall le une attaque r elle contre le r seau est lanc e et l administrateur occup analyser les alertes ne s en rendra pas compte sur le moment Nous pouvons utiliser l option decoy de nmap pour g n rer des scans nmap multiples ou encore utiliser l outil snot qui g n re de nombreuses attaques diff rentes Par fragmentation Le principe est de fragmenter les paquets IP pour empecher les NIDS de d tecter les attaques sachant que les paquets seront r assembl s au niveau du destinataire Il est possible aussi d envoyer des paquets IP mal fragment s qui vont utiliser la faiblesse de certaines pile IP peut tre aussi celle de la sonde IDS qui capte tout le trafic pour perturber le syst me 19 Par des scans lents Les NIDS ne d tectent souvent pas ce type de scan un scan toutes les
41. ONS to FALSE in apache ssl c SSLCacheServerPath usr lib apache ssl gcache Set the global cache server port number or path If it is a path a Unix domain socket is used If a number a TCP socket SSLCacheServerPort var run gcache port SSLCacheServerPort 1234 Set the session cache timeout in seconds set to 15 for testing use a higher value in real life SSLSessionCacheTimeout 15 Set the CA certificate verification path must be PEM encoded in addition to getenv SSL CERT DIR I think SSLCACertificatePath u ben apache apache 1 2 5 ssl SSLconf conf SSLCACertificatePath etc apache ssl Set the CA certificate verification file must be PEM encoded in addition to getenv SSL CERT FILE think SSLCACertificateFile some where somefil SSLCACertificateFile u ben apache apache_1 2 5 ssl SSLconf conf httpsd pem Point SSLCertificateFile at a PEM encoded certificate If the certificate is encrypted then you will be prompted for a pass phras Note that a kill 1 will prompt again A test certificate can be generated with make certificate SSLCertificateFile etc apache ssl apache pem SSLCertificateFile u ben apache apache 1 2 6 ssl SSLconf conf tl pem If the key is not combined with the certificate use this directive to point at the key file If this starts with a it specifies an absolute pat
42. RAPPORT DE TER sur PRELUDE IDS Cl ment LORVAO Dado KONATE Guillaume LEHMANN lehmann free fr 9 avril 2004 Page de note Table des mati res 1 Note de mise jour 2 Introduction 3 Quelques notions de s curit Dal Pr sentation i uu x ee es ES ES dev v ex des 3 2 O interviennent les IDS dans une politique de s curit 4 LesIDS 4 1 G n ralit s sur les syst mes de d tection d intrusion Zo Introduction i ee ove Ge ne RAM ie MN TR Deis RSS 4 1 2 Crit res de classification des IDS gy gh x ee ES wR Se we SS 4 1 3 Les diff rents types IDS 4 2 2 44 Se pe ee a 4 2 Points forts de cette m thode de protection 42 1 Une surveillance continue et d taill e 2 202 4 4 44 404 ee Y RS 4 22 Contr le du payload 22 4 22 tee eS ee EES RS RES Se Ee 42 3 Modularit de l architecture 2 024260 4 65 844 Gee Poe ea Soe eens 4 24 R ponse active i um ERR ee eG BE dte S o9 ue 4 2 5 Les HIDS compl tent l analyse des NIDS 4 2 6 Combinaison avec d autres outils 4 2 7 Bonne protection des IDS eux m mes 4 3 Points faibles de cette m thode de protection 4 3 1 Besoin de connaissances en s curit 4 3 2 Probl me de positionnement des sondes 4 3 3 Nulnerabilit s des sondes NIDS 264g eed Ugo n BA Beds
43. RL http www apache org docs mod core html lockfile gt you will save yourself a lot of trouble Do NOT add a slash at the end of the directory path ServerRoot etc apache ssl 73 The LockFile directive sets the path to the lockfile used when Apache is compiled with either USE FCNTL SERIALIZED ACCEPT or USE FLOCK SERIALIZED ACCEPT This directive should normally be left at its default value The main reason for changing it is if the logs directory is NFS mounted since the lockfile MUST BE STORED ON A LOCAL DISK The PID of the main server process is automatically appended to the filename Se de db db db db de db dE LockFile var lock apache lock PidFile The file in which the server should record its process identification number when it starts PidFile var run apache ssl pid ScoreBoardFile File used to store internal server process information Not all architectures require this But if yours does you ll know because this file will b created when you run Apache then you must ensure that S no two invocations of Apache share the same scoreboard file coreBoardFile var run apache ssl scoreboard In the standard configuration the server will process this file srm conf and access conf in that order The latter two files are now distributed empty as it is recommended that all direc
44. Te Sog up Te So gU Sus d s 65 Liste de paquetages install s sur le syst me 22088 yd hate ende 66 Fichier httpd conf seos erar d ena n Buds Be a B vue ae So ERN OE ES 71 Fichier prelude manager conf nif ads Bede fe Gnd fe edo stn a le Bsus tle tae Re le ce a 95 Fichier prelude nids conf 44 e be ewes b pue de ST 308 8190s eR ES 97 Fichier prelude iml cont 2 su ei x eR RU RMEGe RHEVE ne RU Er XE E des 100 Richter Collig pl zx ue 8 2 Gi Le sen Area Ne EL wd e oe E S 101 FICHET CONS DB ECL 102 1 Note de mise jour Dans ce rapport il est expliqu que le perl frontend de Prelude ne permet pas de supprimer des alertes de la bases de donn es C est une erreur car en acc s administrateur cette fonctionnalit est offerte 2 Introduction Ce rapport pr sente le Travail d Etude et de Recherche TER r alis par Guillaume Lehmann Dado Konate et Cl ment Lorvao Ce travail a t r alis sur 13 semaines raison de 2 jours par semaine dans le cadre du DESS STRI Nous tions encadr s par Mr Philippe Latu L objectif tait d tudier les possibilit s de l outil Prelude IDS puis de le comparer la solution Snort Logcheck ACID Cette derni re solution est pr sente sur le r seau de l Institut Universitaire de Technologie de Toulouse et nous devions la remplacer par Prelude IDS si le nouvel outil r pondait mieux aux besoins s curit Pour r aliser cette tude nous devions travailler sur 6 sondes essentiellement NIDS et
45. a formation et la sensibilisation des personnes utilisant ou travaillant avec le Syst me d Information La s curit physique qui regroupe la politique d acc s aux b timents la politique d acc s au mat riel informatique et les r gles de s curit pour la protection des quipements r seaux actifs et passifs La s curit proc durale d finit les proc dures et les r gles d utilisation du Syst me d Information La s curit r seau o sont g r s l architecture physique et logique du r seau les politiques d acc s aux diff rents services la gestion des flux d informations sur les r seaux et surtout les points de contr les et de surveillance du r seau La veille technologique qui est souvent oubli e et qui permet de faire voluer la s curit au cours du temps afin de maintenir un niveau de protection du syst me d information suffisant Apr s avoir vu le d coupage organisationnel de la s curit int ressons nous aux objectifs Une bonne politique de s curit doit pr server les aspects de Disponibilit c est dire fournir l acc s l information pour que les utilisateurs autoris s puissent la lire ou la modifier Ou encore faire en sorte qu aucune personne ne puisse emp cher les utilisateurs autoris s d acc der l information Confidentialit c est dire emp cher les utilisateurs de lire une information confidentielle sauf s ils y sont autoris s Ou encore emp cher le
46. able gtk doc nable openssl make make install D 4 2 Installation du manager Rentrez dans le r pertoire usr local src prelude manager 0 8 6 et tapez les commandes suivantes configur nable gtk doc nable mysql nable openssl D 4 3 Installation de la sonde r seau nids Rentrez dans le r pertoire usr local src prelude nids 0 8 1 ettapez les commandes suivantes configur nable gtk doc make make install D 4 4 Installation de la sonde h te Iml Rentrez dans le r pertoire usr local src prelude 1m1 0 8 2 et tapez les commandes suivantes configur nable gtk doc nable fam make make install D 5 Configuration Nous allons aborder ici la configuration de tous les l ments constituant Prelude IDS Certaines valeurs comme les adresses IP ou encore les mots de passe seront adapter par chacun D 5 1 Configuration de MySQL Lancer le d mon mysqld si cela n a pas encore t fait etc init d mysql restart Rentrez dans mysql mysql Cr ez la base de donn es prelude puis resortir create database prelude quit 61 Donner les droits en ex cution 550 par exemple au fichier usr local src prelude manager 0 8 6 prelude manager db create sh comme cela Ex cutez maintenant le script usr local src prelude manager prelude manager db create sh Il y a 6 phases de 0 5 La premi re r pondre y A la deuxi me r pondre mysql la troisi me r pondre prelude
47. agic_module usr lib apache 1 3 mod_mime_magic so LoadModule mime_module usr lib apache 1 3 mod_mime_ssl so LoadModule negotiation_module usr lib apache 1 3 mod_negotiation so LoadModule status_module usr lib apache 1 3 mod_status so LoadModule info module usr lib apache LoadModule includes module usr lib apache 1 3 mod include so Se oe db de db db db db db db db db db dk le env module usr l 3 mod info so LoadModule autoindex module usr lib apache 1 3 mod autoindex so LoadModule dir module usr lib apache 1 3 mod dir so LoadModule cgi module usr lib apache 1 3 mod cgi so 76 Sh de db LoadModul LoadModul LoadModul LoadModul e e e e asis module usr imap module usr LoadModu l LoadModu l LoadModu LoadModul LoadModu l le le le le le userdir modul alias module le usr lib apache lib apache 1 3 mod asis so lib apache 1 3 mod imap so action module usr lib apache 1 3 mod actions so speling module usr lib apache 1 3 mod speling so 3 mod userdir so usr lib apache 1 3 mod alias so rewrite modu le usr Lib apache L 3 mod rewrite so access module usr lib apache 1 3 mod access so auth module usr lib apache 1 3 mod auth ssl so se de db db db od LoadMod LoadMod LoadModul LoadModul LoadModul LoadModul ule 000 0 LoadModule LoadMod LoadMod LoadModu
48. agment sur la source de l attaque Le travail sur les r ponses des IDS est en cours mais des id es int ressantes commencent voir le jour On parle par exemple de dialogue des IDS avec les firewalls afin de modifier dynamiquement les r gles de filtrage suivant les attaques d tect es par les NIDS 4 2 55 Les HIDS compl tent l analyse des NIDS Nous avons voqu jusqu ici principalement le cas des NIDS Les IDS se cantonnent la surveillance des syst mes sur lesquels ils sont h berg s Mais ils sont extr mement utiles Par exemple dans le suivi d une attaque voqu pr c demment gr ce aux sondes NIDS nous pouvons suivre son parcours Mais quel est l impact final sur la machine Un NIDS ne peut pas r pondre cela car il ne g re pas les quipements terminaux C est ici que le HIDS se r v le utile De plus la remont e d alerte est locale et vers un manager Ainsi la surveillance r seau et des quipements terminaux est centralis e 15 4 2 6 Combinaison avec d autres outils L avantage des IDS libres est qu ils peuvent se combiner avec d autres outils libres comme Prelude IDS avec Nessus ou Honeyd ou encore Snort Ainsi la sp cificit et l expertise de chaque outil sont utilis es les r sultats sont combin s et des relations les uns avec les autres sont tudi es Nous arrivons alors une tude tr s fine des incidents de s curit et une bonne qualit de la s curit sur le r seau 4 2 7 Bon
49. alarms in this zone m Firewall This is a high risk zone Router This is the trusted blue zone Anything that reaches this network is considered hostile unless of course you have authorized traffic entering the network in which case the IDS would be configured to ignore it Internal Corporate Lan You will have the least number of false alarms on this zone Also your reac amp on to alarms in this zone will be the strongest Il est important de bien d finir les zones sensibles du syst me d information ainsi que les zones les plus attractives pour un pirate Suivant que nous voulons faire du suivi un audit ou encore une simple d tection unique des attaques nous placerons plus ou moins de sondes sur le r seau Il faut aussi voir qu au del de l architecture du r seau il faut prendre en compte l organisation de la s curit existante recherche t on une administration centralis e quel est l existant organisationnel de la surveillance du r seau quels sont les comp tences et les moyens en internes pour g rer les IDS Des cas concrets seront donn s travers les explications sur le placement des sondes Prelude IDS Il faut cependant retenir que plusieurs cas sont envisageables et une r flexion sur le r seau est mener en amont L volution du march Il existe aujourdui de nombreux produits dont la complexit de mise en oeuvre et le degr d int gration sont tr s
50. ancer le serveur web pour prendre en compte les changements etc init d apache ssl restart L interface est maintenant accessible par https localhost prelude php frontend ATTENTION Il y a actuellement un bogue dans le prelude php frontend qui fait qu il est retourn un ligne d erreur dans l affichage de la page lorsque la base de donn es MySQL est vide Il suffit donc d attendre de recevoir quelques alertes avant d utiliser l interface D 8 Installation et configuration du prelude perl frontend D 8 1 Installation pr alable de paquetages Il faut biens r que perl et quelques autres modules soient install s Pour cela tapez la commande suivante apt get install libdbi perl libgd graph perl libdate calc perl apache ssl 64 D 8 2 Installation de prelude perl frontend T l charger les sources que www leroutier net Projects Nous utiliserons ici les sources suivantes 2003 02 12 prelude perl web frontend tar gz On les d compresse dans le r pertoir var www frontend perl Dans le fichier de configuration d Apache il y a entre autres User www data Group www data IIs d finissent le profil utilisateur d Apache On va changer les droits des fichiers du frontend perl selon ces param tres chown R www data www data var www frontend perl chmod R u x var www frontend perl D 8 3 Configuration d Apache Modifez le fichier etc apache ssl httpd conf pour avoir les lignes suivantes Listen 192 168 0 2
51. are only displayed for FancyIndexed directories Format AddDescription description filename AddDescription GZIP compressed document gz AddDescription tar archive tar AddDescription GZIP compressed tar archive tgz ReadmeNam the name of the README file the server will look for by default and append to directory listings HeaderNam the name of a file which should be prepended to directory indexes The server will first look for name html and include it if found If name html doesn t exist the server will then look for name txt 85 A H and include it as plaintext if found ReadmeName README HeaderName HEADER se de db ndexIgnore a set of filenames which directory indexing should ignore and not include in the listing Shell style wildcarding is permitted IfMo se de db db dk ndexIgnore HEADER README RCS CVS v t IfModule Document types dule mod mime c gt AddEncoding allows you to have certain browsers Mosaic X 2 1 uncompress information on the fly Note Not all browsers support this Despite the name similarity the following Add directives have nothing to do with the FancyIndexing customization directives above AddEncoding x compress Z AddEncoding x gzip gz tgz Se ose db db db de db de d db db db db dL db db db db db db db db dk AddLanguage allows yo
52. ble disable the handling of HTTP 1 1 Via headers Full adds the server version Block removes all outgoing Via headers Set to one of Off On Full Block ProxyVia On To enable the cache as well edit and uncomment the following lines no cacheing without CacheRoot se de db CacheRoot var cache apache CacheSize 5 CacheGcInterval 4 CacheMaxExpire 24 CacheLastModifiedFactor 0 1 CacheDefaultExpire 1 NoCache a_domain com another_domain edu joes garage_sale com lt IfModule gt End of proxy directives Section 3 Virtual Hosts VirtualHost If you want to maintain multiple domains hostnames on your machine you can setup VirtualHost containers for them Please s the documentation at lt URL http www apache org docs vhosts gt for further details before you try to setup virtual hosts You may use the command line option S to verify your virtual host configuration If you want to use name based virtual hosts you need to define at least one IP address and port number for them NameVirtualHost 12 34 56 78 80 92 NameVirtualHost 12 34 56 78 VirtualHost example Almost any Apache directive may go into a VirtualHost container lt VirtualHost ip address of host some_domain com gt ServerAdmin webmaster host some_domain com DocumentRoot www docs host some_domain com Serv
53. body and the suggested workaround is to create a user www and use that user NOTE that some kernels refuse to setgid Group or semctl IPC_SET when the value of unsigned Group is above 60000 don t use Group nobody on these systems User www data Group www data HE db db db ServerAdmin Your address where problems with the server should be e mailed This address appears on some server generated pages such as error documents ServerAdmin webmaster manager dE de db de db dB db db db db db dk ServerName allows you to set a host name which is sent back to clients for your server if it s different than the one the program would get i e use www instead of the host s real name Note You cannot just invent host names and hope they work The name you define here must be a valid DNS name for your host If you don t understand this ask your network administrator If your host doesn t have a registered DNS name enter its IP address here You will have to access it by its address e g http 123 45 67 89 anyway and this will make redirections work in a sensible way ServerName localhost 78 se db db db Do D lt de de db db db db od se de db db DocumentRoot The directory out of which you will serve your documents By default all requests are taken from this directory but
54. c ok Determines file type using magic numbers ii fileutils 4 5 2 1 GNU file management utilities 11 findutils 4 1 7 2 utilities for finding files find xargs a ii finger 0 17 6 User information lookup program ii flex 2 5 4a 27 A fast lexical analyzer generator ii ftp 0 17 10 The FTP client Je 6f 2 95 4 17 The GNU C compiler qq dq 2 95 2 95 4 11woody The GNU C compiler ii gcc 2 95 4 17 The GNU C compiler 3i gcoce 2 95 2 95 4 11woody The GNU C compiler ha JCC 3 0 3 0 4 7 The GNU C compiler ii gcc 3 0 base 3 0 4 7 The GNU Compiler Collection base package ii gdb 5 2 cvs2002040 The GNU Debugger ii gettext bas 0 10 40 8 GNU Internationalization utilities for the ii gnupg tee Pic Or GNU privacy guard a free PGP replacement ii gnupg doc 2000 10 01 1 GNU privacy guard documentation ii grep 2 4 2 3 GNU grep egrep and fgrep ii groff base 1 18 7 GNU troff text formatting system base syst ii gsfonts 6 0 2 1 Fonts for the ghostscript interpreter ii gtk doc tools 1 0 4 GTK documentation tools ii gzip Les 352 The GNU compression utility ii hermes EOE eas The Hermes pixel format library ii hostname 2 09 A utility to set show the host name or doma ii jiamerican 321 220 50 4 An American English dictionary for ispell ii ibritish 821320 01 A British English dictionary for ispell ii ifupdown 0 6 4 4 4 High level tools to configure network inter ii info 4 2 1 Standalone GNU Info documentation browser ii ipchains 1s33
55. chemin suivi par cette derni re n est plus important Les sondes sont plac es seulement sur les points d entr es des r seaux et absentes du backbone Alors que pr c demment les sondes devaient toutes avoir activ es les m mes signatures d attaques pour le suivi nous pouvons ici faire un param trage plus fin Dans un r seau A sous Windows IIS on va activer les alertes unicode mais sous un r seau B non Nous vitons de la sorte les remont es d alertes pour des attaques dont la cible est invuln rable L administration des IDS s en trouve tout autant simplifi e Avantages Inconv nients Contrairement au cas pr c dent le nombre de sondes est beaucoup plus r duit tant donn que nous recherchons d tecter les attaques dont nous sommes vuln rable nous pouvons all ger les remont es d alertes Cette solution est alors beaucoup moins co teuse que la pr c dente Le revers de la m daille est que l on perd en pr cision et qu il n y a plus de redondance dans la surveillance zone surveill e par au moins deux sondes 42 Jusqu a pr sent le nombre de sondes est important Cela implique une maintenance lourde et co teuse sur les grands r seaux Les points d un r seau ne sont pas aussi sensibles les uns que les autres Cela est valable sur les r seaux tr s vaste il est pr f rable de bien surveiller les parties sensibles du r seau que de vouloir tout contr ler avec le m me
56. commentaires sinon les crire dans le fichier manager addr 192 168 0 2 user prelude Ici le manager se trouve sur la m me machine sinon indiquez l adresse IP de la machine h bergeant le manager Au cas o le port de communication par d faut serait chang il faudra l indiquer la suite de l adresse IP en s parant l adresse IP et le port de communication de 2 points manager addr 192 168 0 2 5554 D 5 4 Configuration de la sonde h te Iml Editez le fichier de configuration de la sonde h te usr local etc prelude 1ml prelude 1ml conf Ensuite faire appara tre les lignes suivantes les d commenter si elles sont en commentaires sinon les crire dans le fichier manager addr 192 168 0 2 62 Ici le manager se trouve sur la m me machine sinon indiquez l adresse IP de la machine h bergeant le manager Au cas o le port de communication par d faut serait chang il faudra l indiquer la suite de l adresse IP en s parant l adresse IP et le port de communication de 2 points manager addr 192 168 0 2 5554 D 6 Lancement de l coute Sur le manager tapez la commande suivante dans un terminal pour cr er un utilisateur et avoir un mot de passe manager adduser Il sera donn un mot de passe garder Sur la sonde tapez la commande suivant dans un terminal pour lancer l ajout d un utilisateur dans le Sensor Pour la sonde r seau avec 192 168 0 2 pour ad
57. cs Filter Factory Eoit curent ner Misc ICMP x Load filter EMELZEEI Severity filter Sort by Results per page B high x E medium j A Group by Since 1day x jse filters Page 1 5 Next st Id Classification Impact Type Sourre _ Destination BEST Timestamp _ zx 2003 04 09 ICMP Destination Unreachable Communication Administratively Prohibited other tcp 91 66 90 35566 156 109 0 60 6080 NIDS ICMP Destination Unreachable Com Administratively Prohibited ICMP Destination Unreachable Communication with Destination Network is Administratively Prohibited ICMP Destination Unreachable Communication 124 0 81 91 66 90 NIDS Administratively Prohibited m 91 66 90 ICMP Destination Unreachable Communication Administratively Prohibited Rubrique Alert List avec le filtrage d fini pr c demment Graphiques Le frontend perl de Prelude IDS permet la visualisation de nombreuses informations sous forme de graphiques Cela va du top 15 des attaquants a la surveillance des sondes hearthbeat en passant par le top 15 des attaques ou encore des statistiques des attaques De plus il est possible dans certains cas de choisir d afficher sous forme de camembert d histogramme ligne fine tableau C est un vrai plaisir de manipuler cette interface ACID est sur ce point moins convivial et m me si l affichage basique des alertes sous forme d un tableau est quivalent le frontend perl est beauco
58. de d autres moteurs change des messages en XML IDMEF Notons que m me en int grant les alertes de Snort Prelude IDS rel ve une quantit plus importante d alertes En regroupant les alertes de m me type nous nous retrouvons alors avec aproximativement le m me nombre d alertes Prelude ayant ses propres r gles il est normal qu il en trouve un peu plus que Snort Prelude NIDS archive aussi les payloads Mais malheureusement la fusion des payloads ou des alertes n est pas plus pr sente dans Prelude IDS que dans Snort Prelude IDS a l avantage d tre tr s modulaire de par son architecture client serveur Un manager peut g rer plusieurs sondes et une sonde peut envoyer ses alertes plusieurs managers Le filtrage au niveau de la sonde pour savoir quel manager est envoy e telle alerte ou telle autre n est pas encore 24 op rationnel Mais nous avons envoy un email sur la mailing list du projet qui a sembl susciter de l int r t pour cette fonctionnalit Peut tre qu elle sera donc prochainement impl ment e 5 3 3 La remont e d alertes En utilisant ces outils nous nous rendons compte du fait que Prelude IDS remonte un nombre plus important d alertes que Snort L o Snort remonte 30 alertes de 2 types diff rents Prelude IDS remonte parfois 2000 alertes de 3 types diff rents Cela est d au fait que Prelude rel ve pratiquement chaque trame suspecte alors que Snort ne va pas relever chaqu
59. divers Les outils strictement bas s sur des mod les comportementaux sont actuellement en perte de vitesse Mais ils sont de plus en plus int gr s des IDS initialement bas s sur une biblioth que de signatures tant donn leur compl mentarit Les IDS syst mes sont un peu en retrait face aux IDS r seaux L arriv e des IDS hybrides qui apportent une s curit moins parcellaire dans la protection du syst me d information pourrait remettre en question l tat du march des IDS 13 Les crit res de choix Les syst mes de d tection d intrusion sont devenus indispensables lors de la mise en place d une infrastructure de s curit op rationnelle Ils s int grent donc toujours dans un contexte et dans une architecture imposants des contraintes tr s diverses Certains crit res toujours en accord avec le contexte de l tude peuvent tre d gag s Fiabilit Les alertes g n r es doivent tre justifi es et aucune intrusion ne doit pouvoir lui chapper R activit Un IDS doit tre capable de d tecter les nouveaux types d attaques le plus rapidement possible pour cela il doit rester constamment jour Des capacit s de mise jour automatique sont pour ainsi dire indispensables Facilit de mise en oeuvre et adaptabilit Un IDS doit tre facile mettre en oeuvre et surtout s adapter au contexte dans lequel il doit op rer il est inutile d avoir un IDS mettant des alertes en moins d
60. donn es programmes droits d acc s avant de l enregistrer sur des sites g ographiquement diff rents Gr ce cette m thode de fragmentation scattering un certain nombre d intrusions est tol r tout en respectant une int grit et une confidentialit de l information 20 A cette tol rance d intrusions on associe une tol rance de destructions d information en dupliquant les fragments Plusieurs copies de ces fragments sont archiv es sur plusieurs sites Ceci assure une disponibilit de l information pin fap Mim Suid A OE m N nig 4 6 Conclusion Les IDS continuent d voluer pour r pondre aux exigences technologiques du moment mais offrent d ores et d j un ventail de fonctionnalit s capables de satisfaire les besoins de tous les types d utilisateurs Cependant comme tous les outils techniques ils ont des limites que seule une analyse humaine peut compenser Les d tecteurs d intrusions deviennent chaque jour meilleurs gr ce l exp rience acquise avec le temps Mais ils deviennent aussi de plus en plus sensibles aux erreurs de configuration et de param trage Par cons quent il est plus que fondamental de former correctement les personnes charg es de la mise en oeuvre et de l exploitation des IDS 2 5 Prelude IDS et ses comp res 5 1 Historique Le projet de Prelude a commenc en 1998 et avait pour but de cr er un outil modulaire de d tection d intrusion r seau compos d une sonde
61. ds this limit NOTE This value does not include keepal Se ose de deb db db db dE MaxRequestsPerChild 100 Listen Allows you to bind Apache to specific IP addresses and or ports in addition to the default See also the lt VirtualHost gt directive Listen 3000 Listen 192 168 0 2 hosts with this option This directive is used to tell the server which IP address to listen to It can either contain an IP address or a fully qualified Internet domain name See also the lt VirtualHost gt and Listen directives BindAddress You can support virtual Sh de db db db db BindAddress Dynamic Shared Object DSO Support To be able to use the functionality of a module which was built as have to place corresponding LoadModule lines at this location so the directives contained in it are actually available before they are us Please read the file README DSO in the Apache 1 3 distribution for more details about the DSO mechanism and run apache 1 for the list of already built in statically linked and thus always available modules in your apac binary a DSO yo d Please keep this LoadModule line here it is needed for installation LoadModule vhost alias module usr lib apache 1 3 mod vhost alias so LoadModul lib apache 1 3 mod_env so LoadModule config_log_module usr lib apache 1 3 mod_log_config_ssl so LoadModule mime_m
62. e 10 secondes si les ressources n cessaires une r action ne sont pas disponibles pour agir dans les m mes contraintes de temps Performance la mise en place d un IDS ne doit en aucun cas affecter les performance des syst mes surveill s De plus il faut toujours avoir la certitude que l IDS a la capacit de traiter toute l information sa disposition par exemple un IDS r seau doit tre capable de traiter l ensemble du flux pouvant se pr senter un instant donn sans jamais supprimer de paquets car dans le cas contraire 1l devient trivial de masquer les attaques en augmentant la quantit d information 4 2 Points forts de cette m thode de protection Mettre en place un r seau est assez facile Des technologies comme Ethernet pour les r seaux locaux sont maintenant stables Le soucis aujourd hui est d aller plus loin que la mise en place d un r seau qui r pond nos besoins Nous voulons contr ler ce qui s y passe Cela met en avant la QoS pour g rer au mieux son r seau ou la s curit pour prot ger au mieux ce qui nous appartient 4 2 1 Une surveillance continue et d taill e Dans cette optique nous nous inter ssons aux flux valides mais aussi au flux non valides qui transitent sur notre r seau dont nous avons la responsabilit Comment savoir si les r gles d un firewall sont valides Comment savoir le nombre d attaques subies au cours de la derni re semaine Comment diff rencier une surchar
63. e ou d but d attaque Certains IDS peuvent r pondre cette attaque automatiquement contre attaque directe changement du routage ping hole ce qui permet de bloquer imm diatement l attaque Cependant la plupart des IDS ne font que remonter une alerte et la r ussite d une attaque d pendra alors du temps de r action du responsable s curit Rapidement nous pouvons d finir au moins 2 types d analyses r alis es par les IDS cela sera explicit dans le d tail dans la suite de ce rapport par tude comportementale la secr taire se met tout coup programmer en assembleur par tude de correspondance un sc nario pr alablement d fini Que ce soit la premi re ou la deuxi me solution un IDS ne prot ge pas plus particuli rement l int grit des donn es la disponibilit des services ou encore la confidentialit des informations Un aspect de la s curit n est pas plus prioritaire qu un autre Au niveau organisationnel nous pouvons int grer les IDS au sein de la s curit r seau puisque l IDS va prot ger des attaques venant ou transitant sur le r seau la veille technologique puisque la mise jour des r gles et la surveillance des alertes sont li es directement l efficacit de l IDS 10 4 Les IDS 4 1 G n ralit s sur les syst mes de d tection d intrusion 4 1 1 Introduction La d tection d intrusion a pour objectif de d tecter toute violation de la politique
64. e le r seau surveill La seconde sonde va remonter les attaques pr alablement d tect es par la premi re sonde qui ont r ussi passer le firewall On peut ainsi suivre une attaque sur un r seau voir si elle arrive jusqu sa victime en suivant quel parcours Il est aussi int ressant de d finir des p rim tres de surveillance d une sonde Ce sera en g n ral suivant un domaine de collision ou sur des entr es uniques vers plusieurs domaines de collision par exemple l entr e d un commutateur Par cette m thode nous r duisons le nombre de sondes car il n y a pas de doublons dans la surveillance d une partie du r seau Une alerte n est remont e qu une seule fois ce qui all ge d autant l administration des IDS Et pour finir le fait de placer les sondes apr s les protections est plus logique car le but premier des IDS est d tudier les intrusions malgr les protections Ensuite chacun de cr er ses propres architectures suivant ses besoins et son imagination On voit que la modularit de mise en place permet plusieurs types de surveillances M me si la surveillance des sondes est limit e un domaine de collision l architecture client serveur ne l est pas puisque cette derni re se base sur un rep rage par adresse IP 4 2 4 R ponse active Prelude IDS est un exemple d IDS actif Lorsqu il d tecte une attaque il contre attaque Par exemple s il d tecte un ping flood il va effectuer une attaque par IP Fr
65. e to make the corresponding changes here Also folks tend to use names such as htpasswd for password files so this will protect those as well SELES A PON che eS Order allow deny Deny from all lt Files gt CacheNegotiatedDocs By default Apache sends Pragma no cache with each document that was negotiated on the basis of content This asks proxy servers not to cache the document Uncommenting the following line disables this behavior and proxies will be allowed to cache the documents CacheNegotiatedDocs UseCanonicalName new for 1 3 With this setting turned on whenever Apache needs to construct a self referencing URL a URL that refers back to the server the response is coming from it will use ServerName and Port to form a canonical name With this setting off Apache will use the hostname port that the client supplied when possible This also affects SERVER_NAME and SERVER_PORT in CGI scripts UseCanonicalName On TypesConfig describes where the mime types file or equivalent is to be found TypesConfig etc mime types DefaultType is the default MIME type the server will use for a document if it cannot otherwise determine one such as from filename extensions If your server contains mostly text or HTML documents text plain is a good value If most of your content is binary such as applications or ima
66. e trame d une connexion suspecte De plus si on combine les signatures d attaque de Snort avec celles de Prelude on se rend compte que Prelude la capacit de d tection d un plus grand nombre d attaque Cela est logique tant donn qu il s appuit sur les m mes signatures que Snort en plus des siennes 5 3 4 Infos disponibles dans les alertes Dans les deux cas nous avons des remont es d alertes bien d taill es qui permettent de connaitre la source et la destination d une attaque le type d attaque un premier classement de s v rit de l alerte ou encore un lien vers un bulettin d alerte officiel Dans les deux outils il est int ressant de constater la pr sence de niveaux d alertes permettant d en d duire du premier coup d ceil la criticit Il est noter que Prelude IDS archive aussi les charges utiles des trames suspectes Cela permettra ensuite dans certains cas l administrateur d analyser le contenu afin d carter plus facilement les faux positifs 5 3 5 Les frontends Les plus grandes diff rences entres les 2 outils se trouvent au niveau des frontends Nombre de frontends disponibles Sous Prelude il n y a pas vraiment de frontends officiel Lors du d but du TER l ancien frontend venait d tre laiss l abandon pour un nouveau frontend php Puis quelques semaines apr s un nouveau frontend en perl arrivait maturit pour le remplacer Il y en a encore d autres mais c est le frontend perl qui es
67. eassemble TCP data sent by client and server both Don t reassemble data until we queued a minimum of byte default is 8192 min length 8192 Only reassemble data to specific port default is to reassembl verything If this option is used with the statefull only option packet that are not going to theses specified port will be analyzed anyway port list 1 2 3 4 HEHEHE HE HHH HEH HE EE HE HH E E E E E EE E E EEE EE EE HE EE Here start plugins configuration HEHEHE HHH HH HH EE HE HH E E E E E EEE HE HE EEE EE EE EE SnortRules ruleset usr local etc prelude nids ruleset prelude rules ScanDetect Number of connection attempt to get from the same host and targeted on different port before the scan detection plugin issue an alert high port cnx count 50 low port cnx count 5 99 Window of time without getting any activity the scan detection plugin should wait before issuing an alert for a given host cnx ttl 60 Shellcode This plugin allow for polymorphic shellcode detection It may consume a lot of CPU time so it s disabled by default Uncomment the section name to enable it or specify shellcode on the command line nops_raise_alert 60 If a port list is specified the Shellcode plugin will only analyse data going to theses port when the
68. elation Bibliographie sur Logcheck Fiche sur logcheck http www micro fun ch techniques fiches controle logs shtml 49 10 Licence Copyright C 2003 Guillaume LEHMANN Dado KONTAE Cl ment LORVAO Permission is granted to copy distribute and or modify this document under the terms of the GNU Free Documentation License Version 1 1 or any later version published by the Free Software Foundation with no Invariant Sections with no Front Cover Texts and one Back Cover Text La version originale de ce document a t publi e par Guillaume LEHMANN Dado KONATE et Cl ment LORVAO dans le cadre d un Travail d Etude et de Recherche en DESS STRI Pour plus de renseignements http lehmann free fr ou crivez lehmann free fr 50 A Insertion des r gles de Snort dans Prelude NIDS Ce document explique comment int grer les r gles de Snort sous Prelude IDS Cela ne concerne biens r que la sonde NIDS La plateforme de travail est une Debian woody et nous utilisons les versions suivantes des sources de Prelude IDS libprelude 0 8 4 prelude nids 0 8 1 Nous consid rons que la sonde Prelude NIDS est d j correctement install et configur e A 1 Int gration des r gles Afin d avoir le fichier de configuration de snort il faudra l installer apt get install snort Ensuite t l charger les r gles de Snort Nous les d compresserons dans le r pertoire home user Apparait alors le r pertoire rules con
69. ement library OpenLDAP libraries without TLS support NFS safe locking library includes dotlockf Lightweight Resolver Library used by BIND Shared memory library Multiple image Network Graphics mysql database client library mysql database development files Shared libraries for terminal handling Not Erik s Windowing Toolkit text mode wi Netscape Portable Runtime Library DB Name Service Module Network Security Service Libraries runtim Pluggable Authentication Modules for PAM Runtime support for the PAM library Pluggable Authentication Modules library Library for handling paper characteristics System interface for user level packet capt Philip Hazel s Perl Compatible Regular Expr shared library file routines runtime version of C routines library Shared Perl library PNG library runtime lib for parsing cmdline parameters Qt GUI Library runtime version GNU readline and history libraries run tim Authentication abstraction library 69 ii libspl 1 ii libssl dev 0 ii dlibssl10 9 6 0 ii libstdc 2 10 2 ii libstdc 2 10 2 ii libstdc 3 3 ii libtiff3g 3 ii libungif4g 4 ii libwrapO 7 ii libwraster2 0 ii libxaw7 4 ii libxml2 2 i libxml2 dev Bs ii libxsltl als s qp HO 22 ii locales 2 i
70. ent files or filename extensions These are only displayed for FancyIndexed directories AddIconByEncoding CMP icons compressed gif x compress x gzip AddIconByType TXT icons text gif text AddIconByType IMG icons image2 gif image AddIconByType SND icons sound2 gif audio 84 AddIconByType VID icons movie gif video AddIcon icons binary gif bin exe AddIcon icons binhex gif hqx AddIcon icons tar gif tar AddIcon icons world2 gif wrl wrl gz vrml vrm iv AddIcon icons compressed gif Z z tgz gz zip AddIcon icons a gif ps ai eps AddIcon icons layout gif html shtml htm pdf AddIcon icons text gif txt AddIcon icons c gif c AddIcon icons p gif pl py AddIcon icons f gif for AddIcon icons dvi gif dvi AddIcon icons uuencoded gif uu AddIcon icons script gif conf sh shar csh ksh tcl AddIcon icons tex gif tex AddIcon icons bomb gif core AddIcon icons deb gif deb AddIcon icons back gif AddIcon icons hand right gif README AddIcon icons folder gif DIRECTORY AddIcon icons blank gif BLANKICON DefaultIcon which icon to show for files which do not have an icon explicitly set DefaultIcon icons unknown gif AddDescription allows you to place a short description after a file in server generated indexes These
71. er automatic font confi ii dhcp client 2 0p15 14 DHCP Client ii dialog 0 9b 20020814 Displays user friendly dialog boxes from sh ii diff 2 8 1 1 File comparison utilities ii dnsutils 9 2 1 4 Clients provided with BIND ii doc debian 90 2 Debian Project documentation Debian FAQ an ii doc linux text 2003 01 1 Linux HOWTOs mini HOWTOs and FAQs in ASCI ii docbook 4 2 2 SGML DTD for authors of technical documenta ii docbook dsssl 1 77 2 Modular DocBook DSSSL stylesheets for prin ii docbook to man 2 0 0 10 Converter from DocBook SGML into roff man 67 ii dpkg 10 9 Package maintenance system for Debian ii dpkg dev 1 10 9 Package building tools for Debian ii dselect JUPE 8 NES a user tool to manage Debian packages ii e2fsprogs 29 1 30 WIP The EXT2 file system utilities and librarie ii ed 0 2 19 The classic unix line editor ii emacs20 20 r eL The GNU Emacs editor ii emacsen common 1 4 15 Common facilities for all emacsen ii ethereal 0 942522 Network traffic analyzer ii ethereal commo 0 9 5 2 Network traffic analyser common files ii exim 336 3 An MTA Mail Transport Agent ii fdutils 5 4 20020222 3 Linux floppy utilities ii file Si
72. erName host some_domain com ErrorLog logs host some domain com error log CustomLog logs host some domain com access log common lt VirtualHost gt f VirtualHost default lt VirtualHost gt SSL This is an example configuration file for Apache SSL Copyright C 1995 6 7 Ben Laurie By popular demand this file now illustrates the way to create two websites one secured on port 8887 the other not on port 8888 You may need one of thse User webuser User ben Group group SSL Servers MUST be standalone currently ServerType standalone The default port for SSL is 443 Port 8887 Listen ServerPort Listen 443 My test document root DocumentRoot u ben www 1 docs DocumentRoot u ben apache apache 1 3 0 ssl htdocs lt Directory u ben apache apache 1 3 0 ssl htdocs manual This directive forbids access except when SSL is in use Very handy for defending against configuration errors that expose stuff that should be protected fSSLRequireSSL lt Directory gt 93 Watch what s going on TransferLog var log apache ssl transfer log Note that all SSL options can apply to virtual hosts Disable SSL Useful in combination with virtual hosts Note that SSLEnable now also supported SSLEnable Set the path for the global cache server executable If this facility gives you trouble you can disable it by setting CACHE SESSI
73. erts amp sort c acao Alert Listing 15 Last Alerts Search AG Maintenance Back Added 0 alert s to the Alert cache Queried DB on Thu April 10 2003 12 25 05 IP Criteria Layer 4 Criteria Payload Criteria Displaying 15 Last Alerts First Action i izl Selected ALL on Screen action Loaded in 1 secot ADD to AG by ID to AG by Name Delete alert s Email alert s full Email alert s summary Archive alert s copy Archive alert s move AirCERT Maintenance de la base de donn es avec ACID 5 3 6 Int gration d outils externes La grande force de Prelude IDS est de pouvoir int grer les fonctionnalit s d autres outils de s curit de r f rence On peut par exemple utiliser Honeyd comme une sonde envoyer les r sultats vers le manager qui les int grera ensuite dans la base de don es La banque de sc nario de Snort peut aussi tre r cup r e par Prelude NIDS et ajout e aux r gles de Prelude IDS Ainsi le nombre important de signatures reconnues par Snort et qui participe sa popularit b n ficie Prelude IDS La corr lation des alertes de Prelude IDS et des failles d tect es par Nessus est tr s int ressante Il y a aussi libsafe ou encore Systrace pour la s curit du logiciel 5 3 7 Facilit de configuration et bonne documentation Les deux outils sont facilement configurables Cela ne passe pas toujours par une interface grap
74. erver parsed shtml Uncomment the following line to enable Apache s send asis HTTP file feature AddHandler send as is asis If you wish to use server parsed imagemap files use AddHandler imap file map To enable type maps you might want to use AddHandler type map var IfModule End of document types AddHandler allows you to map certain file extensions to handlers Default charset to iso 8859 1 ttp www apache org info css security AddDefaultCharset on Action lets you define media types that will execute a script whenever a matching file is called This eliminates the need for repeated URL pathnames for oft used CGI file processors Format Action media type cgi script location 88 Format Action handler name cgi script location MetaDir specifies the name of the directory in which Apache can find meta information files These files contain additional HTTP headers to include when sending the document MetaDir web MetaSuffix specifies the file name suffix for the file containing the meta information MetaSuffix meta Customizable error response Apache style these come in three flavors 1 plain text ErrorDocument 500 The server made a boo boo n b the marks it as text it does not get output 2 local redirects
75. ge normale du r seau d une attaque par DoS Les IDS vont r pondre ces questions Ce sont des sondes en mode promiscuit Ils peuvent donc analyser tout le traffic dans le m me domaine de collision et relever des attaques alors m me qu ils n en sont pas la cible directe Biens r nous voquons ici le fonctionnement des NIDS Les HIDS vont au contraire tablir une suveillance unique du syst me sur lequel ils sont install s De plus toutes les alertes sont stock es soit dans un fichier soit dans un base de donn es ce qui permet de concevoir un historique et d tablir des liens entre diff rentes attaques Ainsi le responsable s curit n a pas besoin de surveiller en permanence pour tre au courant de ce qui se passe sur le r seau Une attaque de nuit ne passera plus inaperque Tous les IDS renvoient de nombreuses informations avec une alerte Le type suppos d attaque la source la destination Tout cela permet un bonne compr hension d un incident s curit et en cas de faux positif de le d tecter rapidement 4 2 2 Contr le du payload Un autre point important dans la s curit nous avons maintenant des outils de filtrage tr s int ressants qui nous permettent de faire du contr le par protocole icmp tcp udp par adresse IP jusqu du suivi de 14 connexion couches 3 et 4 M me si cela carte la plupart des attaques cela est insuffisant pour se prot ger des attaques passant par des flux aut
76. ger lors du positionnement des sondes inutile de placer une sonde o tout le traffic est crypt 16 Les connaissances r seaux sont importantes Il faut aussi faire attention comment sont remont es les alertes si on passe par une ligne RNIS viter de la monter et la fermer chaque alerte M me si la plupart des sch mas montrent un manager et N sondes nous pouvons tr s bien utiliser M manager et N sondes 4 3 3 Vuln rabilit s des sondes NIDS De part leur fonctionnement en mode promiscuit les sondes sont vuln rables Elles captent tout le traffic et m me si un ping flood est r alis sur une autre machine les sondes NIDS le captureront aussi et donc en subiront les cons quences comme si l attaque leur tait directement envoy e Les DoS classiques seront donc tr s nocifs pour les sondes NIDS L analyse par sc nario pose aussi des probl mes de contournement avec des attaques par vasion ou par insertion Le d tail sera expliqu plus tard dans ce document 4 3 4 Un DoS explose les fichiers de logs Le point fort de certains IDS qui est d archiver aussi le payload des trames ayant lev es une alerte peut aussi s av rer un point faible Un ping flood avec un payload charg de 64000 octets ou encore des trames de 1500 octets pour les SYN flood vont faire exploser la taille des fichiers de logs des sondes en quelques minutes C est une attaque qui porte le nom coke qui consiste saturer le disque dur
77. ges you may want to use application octet stream instead to keep browsers from trying to display binary files as though they are text Se deb db de db db de db d DefaultType text plain The mod mime magic module allows the server to use various hints from the contents of the file itself to determine its type The MIMEMagicFile directive tells the module where the hint definitions are located mod mime magic is not part of the default server you have to add HR b db db 81 it yourself with a LoadModule see the DSO paragraph in the Global Environment section or recompile the server and include mod_mime_magic as part of the configuration so it s enclosed in an lt IfModule gt container This means that the MIMEMagicFile directive will only be processed if the module is part of the server A bob b db db FR IfModule mod mime magic c MIMEMagicFile share magic IfModule HostnameLookups Log the names of clients or just their IP addresses e g www apache org on or 204 62 129 132 off The default is off because it d be overall better for the net if people had to knowingly turn this feature on since enabling it means that each client request will result in AT LEAST one lookup request to the nameserver HostnameLookups Off Note that Log files are now rotated by logrotate not by apache itself This means that apache no
78. h otherwise it is relative to the default certificate area That is it means default private keyfile SSLCertificateKeyFile some place with your key Set SSLVerifyClient to 0 if no certicate is required 94 if the client may present a valid certificate if the client must present a valid certificate WN e if the client may present a valid certificate but it is not required to have a valid CA SSLVerifyClient 0 How deeply to verify before deciding they don t have a valid certificate SSLVerifyDepth 10 Sh de db Translate the client X509 into a Basic authorisation This means that the standard Auth DBMAuth methods can be used for access control The user name is the one line version of the client s X509 certificate Note that no S password is obtained from the user Every entry in the user file needs this password xxj3l1ZMTZzkVA S the code for further explanation SLFakeBasicAuth List the ciphers that the client is permitted to negotiate See the source for a definitive list For example SSLRequiredCiphers RC4 MD5 RC4 SHA IDEA CBC MD5 DES CBC3 SHA These two can be used per directory to require or ban ciphers Note that a least in the current version Apache SSL will not attempt to renegotiate if cipher is banned or not required SSLRequireCipher SSLBanCipher home for miscellaneous rubbish generated by
79. hese directives also provide default values for the settings of all virtual hosts 3 Settings for virtual hosts which allow Web requests to be sent to different IP addresses or hostnames and have them handled by the same Apache server process Configuration and logfile names If the filenames you specify for many of the server s control files begin with or drive for Win32 the server will use that explicit path If the filenames do not begin with the value of ServerRoot is prepended so logs foo log with ServerRoot set to usr local apache will be interpreted by the server as usr local apache logs foo log 44 Section 1 Global Environment The directives in this section affect the overall operation of Apache such as the number of concurrent requests it can handle or where it can find its configuration files se He db db HE ServerType is either inetd or standalone Inetd mode is only supported on Unix platforms SSL Servers MUST be standalone currently ServerType standalone HR de EOE db db db db db HEHE HE ServerRoot The top of the directory tree under which the server s configuration error and log files are kept unless they are specified with an absolute path NOTE If you intend to place this on an NFS or otherwise network mounted filesystem then please read the LockFile documentation available at lt U
80. heures par exemple Sachant qu un NIDS maintient un tat de l information TCP IP fragments TCP scan pendant une p riode de temps bien d finie capacit m moire configuration ils ne d tectent rien si deux scans cons cutifs sont trop espac s Les techniques de RFP Plusieurs techniques anti IDS ont t d velopp es par Rain Forest Puppy ou RFP au niveau du protocole HTTP impl ment dans son scanner cgi Whsiker Le principe est de lancer les attaques sous une forme diff rente de celles r f renc es dans la base de signatures des IDS afin de ne pas reconnaitre les requ tes HTTP De plus il rend les attaques complexes pour qu elles ne puissent pas tre d tect es Nous allons lister ci apr s quelques techniques l encodage Il permet de coder les caract res sous forme hexad cimale L URL sera comprise par le protocole HTTP les doubles slashes Par exemple une requete de type cgi bin script ne sera pas d tect e car les IDS v rifient les requ tes de la forme cgi bin script les self reference directories Il consiste remplacer tous les par des La requ te n est pas d tect e La simulation de fin de requ te LIDS analyse la premi re partie de l URL et s arr te au premier HTTP 1 0 r n Le reste de la requete qui repr sente l attaque passe sans etre analys e Par exemple HEAD HTTP 1 0 r nHeader cgi bin some cgi HTTP 1 0 r n r n Le formatage
81. hique surtout pour Prelude mais les fichiers de configuration sont simples Cela requiert biens r un minimum de comp tences mais on serait tent de dire que si on n arrive pas configurer l outil sans clickodrome ce n est pas la peine d aller plus loin car on ne saura pas bien l utiliser ainisi que les informations qu il aura remont La documentation sur Snort est tr s importante et compl te La documentation de Prelude est beaucoup moins importante parcem e et contient parfois des erreurs Mais avec ce rapport cela devrait changer pour les francophones 5 4 Prelude IDS et LogCheck Nous allons ici comparer les logiciels Logcheck et Prelude Iml tous deux HIDS 31 5 4 1 Pr sentation de LogCheck Logcheck est un composant du projet Abacus de d veloppement d outils de s curit Ce programme est destin faciliter le traitement des journaux syst me UNIX g n r s par les d mons syst mes les paquets TCP Wrapper Logcheck facilite la mise en vidence automatique des probl mes et des violations de s curit dans les journaux et envoie les r sultats par courrier lectronique 5 4 2 Fonctionnement de LogCheck Le principe de fonctionnement est le suivant un script est lanc par cron 1l scrute le contenu des logs et retourne les lignes suspectes une adresse email d finie Le programme principal utilise une s rie de fichiers contenant des mots cl s qui sont susceptibles de repr senter une
82. http www securiteinfo com attaques hacking coke shtml La seule fa on de parer cette attaque est de pr voir d importants espaces de stockages et g rer le stockage des fichiers de logs 4 3 5 R ponse active non contr l e Certains IDS g n rent une contre attaque lorsqu ils d tectent des attaques Le gros probl me est de la justification de cette contre attaque On pourrait suivre le principe du DDoS pour faire attaquer les sondes Par exemple on r alise un ping echo request broadcast sur quelques machines en faisant croire que la source de la demande est une machine du r seau ou plusieurs si on est tr s joueur Toutes les machines vont r pondre cette machine Ainsi on a un premier niveau de DDoS Les sondes interviennent alors D tectant cette attaque comme tentative de surcharge du r seau elles contre attaquent la source du ping On a ainsi un second niveau de DDoS encore plus nocif En plus d un engorgement r seau on a r ussi saturer une machine Il suffit que cette derni re soit un serveur avec une pile IP faible non prot g e et nous pouvons dire qu il est plant Imaginons maintenant que les contres attaques des sondes sont vues par l attaquant il met son interface en mode promiscuit ou ne camoufle pas le fait qu il est la source de l attaque il pr f rera alors un simple ping flood pour ne pas subir le premier niveau de DDoS Il va alors pouvoir d tecter la pr sence de sondes IDS leur nombre et leur t
83. i login 20 ii logrotate 32 ii lpr 20 id set 4 ii lynx 2 ii m4 1 ii mailx 8 ii make 3 ii makedev 2 ii man db 2 ii manpages ii manpages dev ii mawk 1 ii mbr 1 ii mime support 3 ii modconf 0 ii modutils 2 ii mount 2 ii mozilla als ii mozilla browse 1 ii mozilla mailne ii mozilla psm ii mpack 1 ii mtools 3G ii mtr tiny 0 ii mutt 1 ii mysql client 3 ii mysql common 3 ii mysql server 3 ii nano 1 ii ncurses base 5 ii ncurses bin 5 ii ncurses term 5 ii net tools 1 95 4 11 95 4 11 0 4 7 5 5 6 1 0b1 3 6 ipv6 1 3 80 1 3 3 4 1 2 1 28 9 6g 6 9 6g 6 woody woody 2v 4 24 1 4 24 1 0 21 0 2 S34 3 2 5 14 3 Runtime library for James Clark s SP suite SSL development libraries header files and SSL shared libraries The GNU stdc library development files The GNU stdc library The GNU stdc library version 3 Tag Image File Format library shared library for GIF images runtime lib Wietse Venema s TCP wrappers library Shared libraries of Window Maker rasterizer X Athena widget set library GNOME XML library Development files for the GNOME XML library XSLT processing library Linux LOader The Classic OS loader can lo GNU C Library National Language locale d System login tools Log rotation utility BSD lpr l1pd line printer spooling system 1 2 0 200204 RARES e 62 4 0
84. iltres sur les managers permettent m me d aller plus loin En effet rien ne nous emp che de positionner plusieurs managers comme dans le site vert afin qu un premier manager n affiche que les alertes vertes un autre que les alertes oranges et ainsi de suite Pour le moment cette gestion ne peut pas se faire sur les sondes mais c est actuellement en discussion sur la mailling liste de Prelude nous avons soumis l id e et les d veloppeurs semblent int ress s mais la question est de savoir comment faire et si cela ne serait pas trop difficile impl menter Ce partage entre plusieurs managers permet de rediriger les alertes vers diff rentes personnes suivant leurs niveaux de comp tences Nous pourrions rediriger les alertes vertes vers un technicien les alertes oranges vers un ing nieur r seau et les alertes rouges vers un ing nieur expert s curit Nous reproduirions alors les niveaux supports au niveau de la maintenance s curit support de niveau 1 puis si le probl me persiste nous passons au niveau 2 etc Ici il y aurait en plus la possibilit pour une alerte d arriver directement au niveau 2 ou 3 suivant sa gravit r seau tr s sensible ce type d attaque alertes rouges Enfin une derniere possibilit serait de combiner le traitement des alertes par un manager sur chaque site mais dans le m me temps remonter les alertes vers un autre manager qui centraliserait ainsi les alertes de TOUT le r seau informatiq
85. intelligente des services Nessus ne se base pas sur les ports pour reconnaitre les services Ainsi un serveur HTTP fonctionnant sur un port 1234 sera d tect un support du fran ais et de l anglais une d tection sur plusieurs machines de mani re concurrente afin d acc l rer l analyse Visualisation des r sultats de Nessus Les analyses faites par Nessus peuvent tre visualis es sous forme de fichiers HTML LaTeX et XML notamment 5 5 2 Comparaison entre Nessus et Prelude IDS Tout d abord Prelude permet de d tecter les attaques lanc es sur un r seau alors que Nessus est charg de relever les failles que sont suceptibles d exploiter ces attaques Nessus travaille de fa on statique en observant des failles un moment t failles de s curit li es au mauvais fonctionnement ou au mauvais codage d une application pendant que Prelude travaille de facon dynamique en observant les flux d informations transitant sur le r seau De ce fait un administrateur utilise plut t Nessus pour pouvoir pr venir les attaques en appliquant des patchs correctifs tandis qu il utilise Prelude pour avoir une r action la plus efficace possible apr s une attaque L utilisation premi re de Prelude est de fonctionner en continu sur un r seau alors que Nessus est normalement utilis par l administrateur pour une v rification ponctuelle m me si l utilisation de Nessus volue en ce moment vers un outil de surveillance permanent
86. ion de ce document http lehmann free fr T l chargement des paquetages de Prelude IDS http www prelude ids org rubrique php3 id_rubrique 6 Autres documentations 4 propos de Prelude IDS http www prelude ids org rubrique php3 id_rubrique 1 Site officiel du frontend perl http www leroutier net Projects Site de Debian http www debian org Se procurer Debian sur CD http ikarios com form 66 l Liste de paquetages install s sur le syst me Voici ce que donne l ex cution de la commande dpkg 1 De sired Unknown Install Remove Purge Hold Status Not Installed Config files Unpacked Failed config Half installed Err none Hold Reinst required X both problems Status Err uppercase ba Name Version Description HE SSS SSS SS SS S555 SSS SS SS SSS SSS SSS SS SS SS SSS SS SS SSS SSS SSS SSS SS ii adduser 49 Add and remove users and groups ii apache common 3 26 1 1 Support files for all Apache webservers ii apache ssl 1 3 26 1 1 48 Versatile high performance HTTP server wit ii apt 0 5 4 Advanced front end for dpkg ii apt utils 0 5 4 APT utility programs ii at Fely gA LI Delayed job execution and batch processing ii aterm 0 4 2 4 Afterstep XVT a VT102 emulator for the X ii base config
87. ique de base de tout composant Prelude l exception du frontend Cette librairie fournit aux composants Prelude les fonctionnalit s suivantes Gestion de la connexion entre composants sondes et managers notamment le m canisme de reprise apr s interruption et de r tablissement automatique de la connexion Gestion du mode de communication entre composants notamment la prise en charge du chiffrement ventuel et de l authentification Interface permettant l int gration de plugins Cette librairie doit tre install e pr alablement l installation de tout autre composant l exception toujours du frontend Nous utilisons la version 0 8 4 Prelude Nids la sonde r seau Cette sonde prend en charge l analyse en temps r el du traffic r seau Elle est construite au dessus de la librairie 1 ibprelude et fournit Un moteur de gestion de signatures g n rique actuellement compatible avec les signatures Snort mais pouvant tre tendu par l ajout de nouveau parser de r gles Des modules sp cialis s par protocole par exemple un plugin est d di aux protocoles RPC et permet l analyse fine de ce type de connexions Des modules sp cialis s dans la d tection non bas e sur des signatures d tection des activit s de balayage scan Les sondes r seaux peuvent aussi prendre en charge la d fragmentation IP et le r assemblage des flux TCP de fa on rendre une sonde
88. itant de correspondre un sc nario r pertori donc d tectable L insertion C est l insertion de trafic qui permet de d jouer l IDS en lui faisant croire un trafic l gitime On injecte l attaque parmi beaucoup d informations sans incidences Les signes de l attaque n apparaissent donc pas l IDS mais quand les donn es atteignent la cible seule l information malintentionn e est accept e par le syst me Cela est tr s proche du principe des canaux cach s D autres m thodes sont possibles D ni de service Flood de signes d intrusions faux positifs ou vraies alarmes pour d clencher beaucoup d v nements et surcharger les administrateurs Nous pouvons par exemple utiliser l outil snort pour cela Contournement physique les trames ne sont pas captur es par les sondes en jouant sur les domaines de collisions Attaque directe contre l IDS comme nous l avons vu dans ce rapport les IDS pr sentent quelques points faibles qui peuvent tre exploit s r ponse active redirig e saturation de l espace de stockage des alertes faiblesse de la pile utilis e Distribution dans le temps ou dans l espace 4 4 3 Exemples d attaques Pour illustrer ces diff rentes m thodes voici quelques exemples d attaques permettant d outre passer les IDS Les attaques r seaux Le but principal est de r duire les possibilit s du NIDS d tecter les attaques Par les m thodes classiques de scan
89. k lg NY e CAN A Ne des 33 33 33 34 36 38 40 42 44 46 47 47 47 47 47 49 50 50 50 51 53 55 55 56 D D D D uann HOI 5 6 7 8 O D 4 1 Installation de libprelude noa Roto oig a 60 D 4 2 Installation du manager 60 D 4 3 Installation de la sonde r seau nids 60 D 4 4 Installation de la sonde h te Iml 60 COnneuration MEL 60 D 5 1 Configuration de MySQL 2 5 5 ni send obe cel a te eS 60 D 5 2 Configuration du manager 25 39 eee 3 64 estas bee gee ee ees 61 D 5 3 Configuration de la sonde r seau nids 61 D 5 4 Configuration de la sonde h te Iml 61 La cemestde l coute fs ss da Bb Pad ew qd ce ee us 62 Installation et configuration du prelude php frontend 62 D Ll Installation 22222222 9 Etre ABLE PAR ASRS RSE SS 62 D72 X ont PULTd OH gf gape gee tan de age ue en ee Rot e Pag eh ea Sees ee Pe Ren 63 Installation et configuration du prelude perl frontend 63 D 8 1 Installation pr alable de paquetages 63 D 8 2 Installation de prelude perl frontend 64 D 8 3 Configuration d Apache uid Lau eerie do REGE pU pon Rex 64 D 8 4 Configuration de prelude perl frontend 65 PIENS dos oo 2 ee x de opt 2 tw dre Dele ee bey A Stee
90. l e 7 4 Surveillance multi sites multi responsabilit s Conclusion Bibliographie 9 1 Installation et configuration de Prelude IDS 9 2 Aide sur les Syst mes de D tection d Intrusion 9 3 Bibliographie pour int grer les r gles de Snort Prelude NIDS 9 4 Projets li s de Prelude IDS 5 4 veu dove dC ee epe Bed mass sa Rope ale RUE ROS Licence Insertion des r gles de Snort dans Prelude NIDS A Integration des r gles LS RENE s Laura uA etek ne es FE ee SNS AE AS Le code source du script convert_ruleset 2 2 98 3v a ete Bae gU due A 3 Le code source du script convert rulesetcomment Installation de Honeyd avec Prelude IDS Installation de Nessus et corr lation avec Prelude IDS C 1 Installation de Nessus 00 es C2 Int gration de Nessus dans Pr lude 52 24 22 o9 os ro eR da ae Manuel d installation de Prelude Iml NIDS manager et des frontends perl et php II JXeUCOdUCUDI en vun wb Ae uke EG ARS NE NS PSS 3e V NONO 10 2 Paguetages n cessaires A chris soe tede Gant Gods Rr er dec tei Ac de cui Ae ade ge ade ra Ve ty D 3 Installation de paquetages au pr alable D 3 1 Paquetages n cessaires Prelude IDS 5 uoce St Gt ne D 3 2 Installation de ces paquetages 2 2443 bus as Re ee eee ewe us DA staan 2e ond 6o nd titor Ro No eraat e
91. l 0 4 Le patch se trouve l adresse suivante http www rstack org oudot prelude systrace files 36 7 Utilisation de Prelude positionnement dans un r seau Nous trouvons sur Internet des recettes toutes faites pour positionner les sondes sur un r seau quelque soit les besoins Il serait faux de penser que tous les r seaux doivent tre prot g s de la m me mani re Nous allons ici pr senter 4 solutions Suivi des attaques Les sondes Prelude IDS sont positionn es sur tout le r seau afin de suivre le chemin parcourus par une attaque Surveillance simple Les sondes sont plac es afin d avoir qu une seule remont e d alerte en cas de probl me sur un seul r seau Surveillance de tout le r seau mais maintenance moins lourde Surveillance cibl e Comme pr c demment si ce n est qu ici seuls les r seaux sensibles sont surveill s Surveillance multi sites multi responsabilit s Dans le cas d un r seau milti sites nous avons tudi le cas de gestion des alertes par plusieurs managers Mais bien que ces sc narios soient beaucoup plus labor s que ce que l on nous donne d habitude il faudra garder l esprit que le meilleur sc nario est celui qui sera propre notre r seau Avant d aller plus loin voici la l gende utilis e dans les sch mas 37 Prelude manager Prelude Manager Sonde NIDS Sonde HIDS Firewall avec tunneling es Routeur Poste de travail nomade
92. les caract ristiques de plusieurs IDS diff rents En pratique on ne retrouve que la combinaison de NIDS et HIDS Ils permettent en un seul outil de surveiller le r seaux et les terminaux Les sondes sont plac es en des points strat giques et agissent comme NIDS et ou HIDS suivant leurs emplacements Toutes ces sondes remontent alors les alertes une machine qui va centraliser le tout et agr ger lier les informations d origines multiples Placement des IDS Le placement des IDS va d pendre de la politique de s curit men e Mais il serait int ressant de placer des IDS dans la zone d militaris e attaques contre les syst mes publics dans le ou les r seau priv intrusions vers ou depuis le r seau interne sur la patte ext rieure du firewall d tection de signes d attaques parmi tout le trafic entrant et sortant avant que n importe quelle protection intervienne 12 The Public Intemet This is the red zone It is fhe zone in which your IDS must be configured to be the least sensil amp ve k will see IDS Zone Theory Diagram Sanchez CISSP Copyright 2000 Scott C This is the green zone The IDS should be configured less sensitive than fheredzone IDS This is because the freval is configured well and only allows known authorized traffic to enter the zone You will receive less false the most traffic here It is here that you will run into the most false alarms F
93. lhost account prelude KK Reading the report file 130 120 84 65 nsr Number of reports to deal with 134 kkk Deleting existing related reports End of the deletion process KK Adding 134 new reports End of the integration of the reports kkk Operation of import succeeded Number of records deleted in the database 134 Number of records written in the database 134 Date used in the records 2003 2 3 11 30 manager home prelude Afin de faire la corr lation entre les alertes relev es par Prelude et les vuln rabilit s trouv es par Nessus on utilise le script suivant manager home prelude prelude correlation vulner ability finder pl B c vuln conf Trying to connect to the database type mysql database prelude hostname localhost account prelude Parsing the database to get the alerts id Trying to search for correlation Operation of vulnerability correlation search finnished Number of alerts treated in the database 1073 Number of correlations of vulnerability 0 manager home prelude 57 Ici on peut voir qu il n y a eu aucune attaque exploitant une vuln rabilit pr alablement d tect e par Nessus Il existe aussi un script tr s simpliste pour faire un tri sur les corr lations durant un laps de temps donn Par exemple pour afficher les corr lations pour les derni res 24 heures ou les 86400 derni res secondes manager home prelude
94. longer attempts to magically determine where your log files are kept you have to fill out stanzas in etc logrotate d apache ssl yourself de db ErrorLog The location of the error log file If you do not specify an ErrorLog directive within a lt VirtualHost gt container error messages relating to that virtual host will be logged here If you do define an error logfile for a lt VirtualHost gt container that host s errors will be logged there and not here Se de db db db db od ErrorLog var log apache ssl error log LogLevel Control the number of messages logged to the error_log Possible values include debug info notice warn error crit f alert emerg LogLevel warn The following directives define some format nicknames for use with a CustomLog directive s below LogFormat h 1 Su t Sr S gt s Sb S Referer i S User Agent i T v LogFormat th 1 u t Sr S gt s b S Referer i S User Agent i SP T LogFormat th 1 Su t Sr S gt s b S Referer i S User Agent i comb LogFormat Sh 1 u t Sr gt s Sb common LogFormat S Referer i gt U referer 82 LogFormat S User agent i agent it it it The location and format of the access logfile Common Logfile Format les within a lt VirtualHost gt If you do not define any access logfi contai
95. lu AddLanguage ca ca AddLanguage es es AddLanguage sv se AddLanguage cz cz LanguagePriority allows you to give precedence to some languages in case of a tie during content negotiation Just list the languages in decreasing order of preference We hav more or less alphabetized them here You probably want to change this lt IfModule mod_negotiation c gt LanguagePriority en da nl et fr de el it ja pl pt pt br ltz ca es sv lt TfModule gt AddType allows you to tweak mime types without actually editing it or to make certain files to be certain types For example the PHP 3 x module not part of the Apache distribution see http www php net will typically use AddType application x httpd php3 php3 AddType application x httpd php3 source phps And for PHP 4 x use AddType application x httpd php php AddType application x httpd php source phps AddType application x tar tgz AddType image bmp bmp 87 f hdml AddType text x hdml hdml actions unrelated to filetype These can be either built into the server or added with the Action command see below If you want to use server side includes or CGI outside ScriptAliased directories uncomment the following lines To use CGI scripts dE de db db db db de db de de fAddHandler cgi script cgi sh pl To use server parsed HTML files AddType text html shtml AddHandler s
96. mage change hift while reloading the page All alerts unfiltered 100000 1 A r 3 g Ra To OF Document Done 4 555 secs a D la A lh 3 H Dj 5 Hd lel lo 5 5 Historique du nombre d attaques Maintenance de la base Les alertes peuvent tre stock es dans un fichier ainsi que dans une base de donn es Il est int ressant de pouvoir administrer son contenu au travers de l interface ACID le permet avec possibilit par exemple de supprimer un ou plusieurs enregistrements d un coup Le frontend perl en est incapable et le responsable s curit devra directement agir sur la base de donn es avec des requ tes SQL pour la maintenance Le frontend perl se cantone l affichage avec classements affichage sous forme de graphiques mais au final cela ne sera que de l affichage Le frontend perl tant r cent et en plein d veloppement on peut esp rer que ces fonctionnalit s seront bient t impl ment es m me si cela n apparait pas pour le moment dans le TODO La maintenance de la base au travers du frontend aurait t particuli rement utile dans Prelude IDS qui a tendance enregistrer un nombre tr s important d alertes se ressemblant beaucoup 30 a Eile Edit View Go Bookmarks Tools Window Help amp 8 a 4 Home Bookmarks x The Mozilla Organi S Latest Builds amp https7 127 0 0 1 acidlab acid stat alerts php callerzlast al
97. n prenessus Authentication method cipher plaintext cipher Source restriction Source host or network anywhere localhost One time password stri User rules nessusd has a rules system which allows you to restrict the hosts that prenessus has the right to test For instance you may want him to be able to scan his own host only Enter the rules for this user and hit ctrl D once you are done the user can have an empty rules set default allow Login prenessus Auth method cipher can connect from localhost One time password stri Rules default allow Is that ok y n y y user added manager i 3 Lancer le serveur nessusd en mode d mon option D manager nessusd D 4 Lancer et configurer le client nessus manager nessus 56 C 2 Int gration de Nessus dans Prelude Il est possible d int grer les rapports de Nessus dans la base de donn es de Prelude Pour cela il faut Cr er la table de corr lation Nessus Prelude dans la base de donn es Prelude mysql database prelude lt prelude correlation vulne rability importer_mysql sql Ensuite int grer le rapport de Nessus dans la base de donn es Prelude avec la commande suivante manager home prelude prelude correlation vulner ability importer pl c vuln conf i 130 120 84 65 nsr kkk Trying to connect to the database type mysql database prelude hostname loca
98. ne protection des IDS eux m mes Il existe de m thodes de contournement des IDS mais si le principe est simple la mise en oeuvre est complexe Le d tail sera donn e plus tard dans ce rapport Nous avons donc un outil fiable 4 3 Points faibles de cette m thode de protection Les IDS ne sont pas l pour remonter des alertes d attaques involontaires faute de frappe erreur de saisie mais plutot pour d tecter des attaques plus labor es Toute attaque un minimum pr par e comprend une phase de camouflage ou d effacement des traces Sur un syst me cela passe par l effacement des logs ou la modification des attributs des fichiers modifi s Dans le cas de traces r seaux cela va passer par l attaque des sentinelles les IDS Mais d un autre cot la simple utilisation des IDS pose quelques probl mes que nous allons maintenant d tailler 4 3 1 Besoin de connaissances en s curit La mise en place de sonde s curit fait appel de bonnes connaissances en s curit L installation en elle m me des logiciels est la port e de n importe quel informaticien En revanche l exploitation des remont es d alertes n cessite des connaissances plus pointues Les interfaces fournissent beaucoup d informations et permettent des tris facilitant beaucoup le travail mais l intervention humaine est toujours indispensable A partir des remont es d alertes quelle mesure prendre Est il utile de relever des alertes dont toutes les machine
99. ner they will be logged here define per lt VirtualHost gt access logfi logged therein and not in this file Contrariwise if you do les transactions will be CustomLog var log apache ssl access log common following directives If you would like to have agent and referer logfiles uncomment the CustomLog var log apache ssl referer log referer CustomLog var log apache ssl agent log agent Se db db od If you prefer a single Combined Logfile Format logfile with access agent and referer information you can use the following directive CustomLog var log apache ssl access log combined de de db db db db od Optionally add a line containing th name to server generated pages mod status and mod info output etc Set to EMail to also include a mail Set to one of On Off EMail server version and virtual host ServerSignature On Se de db de db db HE HR Aliases Add here as many aliases as Alias fakename realname Alias icons usr share apache icons Directory usr share apache icons Options Indexes MultiViews A lowOverride Non Order allow deny Al ow from all Directory 83 but to you Note that if you include a trailing on require it to be present in the URL example only icons So error documents FTP directory listings not CGI generated documents
100. niveau de s curit chose qui est impossible ou alors ch re La mise en place doit bien s r tre pr c d e d une phase d tude pour d terminer quelles sont les zones sensibles et celles qui le sont moins Avantages Inconv nients Le co t est ici tr s faible La complexit de la surveillance est r duite ce qui fait gagner d autant en efficacit et en rapidit de r action en cas d incident de s curit Nous comprenons bien que l efficacit des IDS d pendra beaucoup de l tude pr alable du r seau 44 7 4 Surveillance multi sites multi responsabilit s Wu Machine nomade Prelude Manager Prelude Manager pour alerfes vertes pour alerts oranges pour alertbs rouges Prelude Manager ai xl Access Point Wireless Prelude Manager 45 Prelude Manager Wireless Wireless Prelude Manager Plusieurs sites distincts vert rouge bleu cyan jaune et noir pour l ext rieur Nous traitons ici le cas particulier des r seaux tr s tendus multi sites dont la gestion de la s curit n est pas enti rement centralis e Si un incident de s curit se produit sur le site ce serait une perte de temps de remonter l alerte sur le site C o un responsable s curit pr viendra le responsable s curit du site A de l incident Alors autant faire en sorte que les alertes de chaque sonde soit remont es au manager du site La modularit des f
101. ons de surveillance et de g n ration d alertes alors que les managers prennent en charge la gestion des sondes et la journalisation des alertes 5 2 2 Architecture Les capteurs sont des entit s de d tection capables de remonter des alertes un manager Prelude Le manager il peut y en avoir plusieurs accepte les connexions en provenance des diff rents capteurs et collecte leurs alertes Il assure les fonctions suivantes Le logging qui permet de transformer une alerte au format Prelude en un format lisible par l analyste La contre mesure qui permet l utilisateur de d finir une r action une attaque Les agents de contre mesure sont plac s sur les machines devant op rer la r action une attaque fonction en cours de d veloppement Le frontend est une interface d administration web permettant d aider les administrateurs s curit analyser plus facilement les alertes et les statistiques sachant que cette t che ne peut tre compl tement automatis e l heure actuelle La communication entre les diff rents programmes se fait au format IDMEF Intrusion Detection Message Exchange Format Ce format fond sur XML est suffisamment g n rique pour permettre aux composants hybrides de Prelude d mettre des alertes d crivant des v nements de tous types attaques r seau buffer overflow local 22 5 2 3 Composants Libprelude la librairie Prelude La librairie 1ibprelude constitue la br
102. ons en contact direct avec les d veloppeurs d un projet si important Pour finir nous dirons que tout ce travail a t tr s enrichissant techniquement et dans la m thodologie de travail car il nous a ouvert un peu plus les portes de la s curit informatique et plus particuli rement sur les IDS Cette vaste tude nous permet d affirmer que nous poss dons maintenant de bonnes comp tences sur les Syst mes de D tection d Intrusion et que Prelude IDS et Snort sont tous deux de bons outils avec leur propres particularit s 47 9 Bibliographie 9 1 Installation et configuration de Prelude IDS Site officiel de Prelude IDS http www prelude ids org Derni re version du document d installation de Prelude IDS http lehmann free fr T l chargement des paquetages de Prelude IDS http www prelude ids org rubrique php3 id_rubrique 6 Autres documentations propos de Prelude IDS http www prelude ids org rubrique php3 id_rubrique 1 Site officiel du frontend perl http www leroutier net Projects Site de Debian http www debian org Se procurer Debian sur CD http ikarios com form 9 2 Aide sur les Syst mes de D tection d Intrusion http www securiteinfo com Site sur la s curit informatique On peut y trouver des explications int ressantes sur les diff rentes attaques existantes http www snort org docs idspaper Document pr sentant les faiblesses des IDS http www secusys com Site
103. oris s Si cela est assez marginal car difficile mettre en place l ouverture de l informatique au grand public et l augmentation de ce type de connaissances font qu il faudra un jour savoir s en prot ger efficacement Nous pouvons voquer les firewalls au niveau applicatif mais de mani re g n rale la technique n est pas au point C est ici qu interviennent les IDS Les IDS contr lent tout le traffic quel que soit le service pop3 www nntp C est le contenu des trames qui est surveill C est tout de m me diff rencer des antivirus qui tudient le code Ici les NIDS tudient la possible nuisance de donn es et ne contr lent pas le contenu des fichiers quoique Prelude IDS contient une r gle pour parer l attaque du vers qui attaquait les SGBD MSSQL De plus certains IDS comme Prelude IDS archivent le payload des trames suspectes ce qui permet l administrateur d tudier le probl me Nous avons donc une solution efficace et bon march de contr ler les payloads 4 2 3 Modularit de l architecture Il y a plusieurs solutions pour le positionnement de sondes r seaux Il peut tre int ressant de positionner les sondes pour tudier l efficacit des protections mises en place Par exemple dans un r seau se cachant derri re un firewall nous mettrons une sonde c t ext rieur du firewall et une autre c t int rieur du firewall La premi re sonde permet de d tecter les tentatives d attaques dirig es contr
104. perl de Prelude IDS propose une rubrique Filter Factory qui permet de cr er des filtres de les modifier ou de les supprimer 26 Prelude IDS Web Front End Filter builder guest Mozilla 1 0 0 X File Edit View Go Bookmarks Tools Window Help Qu Q Bhitps itocathostpretude per frontendiFiters pl mode edi load Misc c Home Bookmarks S The Mozilla Organi S Latest Builds Alert List HeartBeat Top 15 Attackers Top 15 Attacks Filter Factory J d Severity filter Sort by Results per page Since 1 day xl Use a predefined ter EE acs iple put A 91 6 CG tion name C P In severity high M Classification 9 9 matches as wildcard s PICMP Quench Classification B M M matches as wildcard YolCMP unreachable name Save this filter Name Misc ICMP Comment 0 results for those filters EA Document Done 0 48 secs La rubrique Filter Factory Ces filtres sont ensuite disponibles dans la page principale Alert List Ce qui est int ressant avec le Filter Factory c est que les filtres ainsi cr s sont sauvegard s 21 Prelude IDS Web Front End Filter builder guest Mozilla 1 0 0 X a File Edit View Go Bookmarks Tools Window Help Q Q Q amp http www leroutier net Projects PreludelDS DemofFilters pl load Mis c 4 4 amp Home Bookmarks S The Mozilla Organi S Latest Builds Alert List HeartBeat Top 15 Attackers Top 15 Attacks Statisti
105. protocol used have have dst port port list 1 2 3 4 Debug This plugin issue an alert for each packet Carefull to the loging activity it generate HttpMod Normalize HTTP request The codepage file option contains the name of the file containing Unicode to ASC convertion tables for WIN32 machines The codepage number option is the codepage number your WIN32 servers use end on param Stop parsing the URL when we meet a parameter double encode Check for encoded character max whitespac 100 Maximum number of whitespace allowed before URL begin flip backslash Change to when parsing URL se de db db double encode flip backslash max whitespace 10 codepage file usr local etc prelude nids unitable txt codepage number 437 port list 80 8080 RpcMod Decode RPC traffic Also provide the RPC rule key port list 111 TelnetMod Normalize telnet negotiation character port list 23 21 ArpSpoof Search anomaly in ARP request request is sent to an address other than the broadcast address directed The directed option will result in a warn each time an ARP arpwatch lt ip gt lt macaddr gt 5 Fichier prelude Iml conf LR S S S S S S S S EE Configuration for the Prelude
106. ql port is 3306 Sconf dboptions mysql_compression 1 Scon Scon Scon Scon Scon Scon Scon Scon Scon f dblogin prelude f dbpasswd dessstri Other f debug 1 4 Debug perl code onscreen 0 or 1 f extension pl scripts file extension pl f refresh 600 AlertList refresh in seconds 600 f ettercap fp db j generated DB etter passive os fp f ettercap mac db j generated DB mac fingerprints f HostName Lookup j 1 Host Name Resolution 0 or 1 f GD transparent 0 4 Are graphs transparent Fichier config php Copyright C 2002 Vergoz Michael lt descript sysdoor net gt A l Rights Reserved Thi s file is part of the Prelude program Thi S program is free software you can redistribute it and or modify Tu under the terms of the GNU General Public License as published by the Free Software Foundation either version 2 or at your option any Thi later version S program is distributed in the hope that it will be useful but WITHOUT ANY WARRANTY without even the implied warranty of MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE See the GNU General Public License for more details You should have received a copy of the GNU General Public License 103 along with this program the Free Software
107. r quentes De plus l efficacit de ce syst me de d tection d pend fortement de la pr cision de sa base de signature C est pourquoi ces syst mes sont contourn s par les pirates qui utilisent des techniques dites d vasion qui consistent maquiller les attaques utilis es Ces techniques tendent faire varier les signatures des attaques qui ainsi ne sont plus reconnues par l IDS L approche comportementale Elle consiste d tecter des anomalies La mise en oeuvre comprend toujours une phase d apprentissage au cours de laquelle les IDS vont d couvrir le fonctionnement normal des l ments surveill s Ils sont ainsi en mesure de signaler les divergences par rapport au fonctionnement de r f rence Les mod les comportementaux peuvent tre labor s partir d analyses statistiques Ils pr sentent l avantage de d tecter des nouveaux types d attaques Cependant de fr quents ajustements sont n cessaires afin de faire voluer le mod le de r f rence de sorte qu il refl te l activit normale des utilisateurs et r duire le nombre de fausses alertes g n r es Chacune de ces deux approches peut conduire des faux positifs d tection d attaque en absence d attaque ou des faux n gatifs absence de d tection en pr sence d attaque Autres crit res Parmi les autres crit res de classification existants nous pouvons citer entre autres les sources de donn es analyser r seau syst me application
108. r seau Prelude moins vuln rable aux attaques de type Snot Nous utilisons la version 0 8 1 Prelude LML la sonde locale Cette sonde prend en charge la remont e d alertes d tect es localemenent sur une machine Cette d tection est bas e sur l application des objets fichiers de journalisation et ou application de r gles construites autour d expressions r guli res compatibles Perl PCRE Pour la surveillance des syst mes Unix une sonde prelude LML peut utiliser le service syslog et ainsi assurer la remont e d alertes L int gration des syst mes Microsoft peut galement se faire l aide de l utilitaire ntsyslog Un message est g n r par la sonde prelude LML d s qu une ligne de log correspond une expression r guli re Nous utilisons la version 0 8 2 Prelude Manager le contr leur Prelude manager centralise les messages des sondes r seaux et locales et les traduit en alertes Il est responsable de la centralisation et de la journalisation travers deux fonctions Celle de relais un contr leur relais va assurer le routage vers un contr leur ma tre d alertes provenant des sondes qui lui sont rattach es Celle de ma tre un tel contr leur va assurer la r ception des messages et des alertes provenant des sondes ainsi que leur journalisation dans un format lisible par l analyste en mode texte dans les fichiers ou SQL dans le cas de l utilisation d un SGBD MySQL ou Pos
109. ress to work Contact oudot rstack org HEHEHE HHH HE EE EH HH HH EE EE EH HH EE E E EE EE E E EE HH EE EH 58 Source address correlation for alert 17044 with 86400 of seconds used as the period to analyse Alert 17044 is ever correlated in the correlation id 37 59 D Manuel d installation de Prelude Iml NIDS manager et des frontends perl et php D 1 Introduction Nous expliquons l installation et la configuration de Prelude IDS et de tous les paquetages qu il utilise La plateforme de travail est une Debian 3 0 en testing et nous utilisons les versions suivantes des sources de Prelude IDS libprelude 0 8 4 prelude manager 0 8 6 prelude nids 0 8 1 et prelude 1ml 0 8 2 Nous avons choisit de stocker les alertes re ues par le manager dans une base de donn e MySQL L installation et la configuration de cette derni re sera donc d crite dans ce document D 2 Paquetages n cessaires Il est n cessaire de t l charger sur le site www prelude ids org les paquetages suivants libprelude x x x tar gz nous utiliserons ici la version 0 8 4 prelude manager x x x tar gz nous utiliserons ici la version 0 8 6 prelude nids x x x tar gz nous utiliserons ici la version 0 8 1 prelude Iml x x x tar gz nous utiliseront ici la version 0 8 2 libprelude est n cessaire prelude nids prelude Iml et prelude manager D compressez les fichiers dans usr local src Nous avons maintenant les nou
110. resse du manager sensor adduser s prelude nids m 192 168 0 2 u O Pour la sonde h te avec 192 168 0 2 pour adresse du manager sensor adduser s prelude lml m 192 168 0 2 u 0 Dans un cas comme dans l autre la suite est la m me Il est demand de rentrer le mot de passe not lors du manager adduser puis d indiquer le nom de l utilisateur prelude et son mot de passe dessstri Ensuite on accepte de cr er cet utilisateur On lance ensuite le manager par la commande prelude manager Nous pouvons nous affranchir du fichier de configuration en donnant les param tres en arguments Dans notre cas cela va donner ceci prelude manager mysql dbhost localhost dbname prelud dbuser prelud dbpass dessstri Puis on lance la sonde avec la commande pour la sonde r seau ethO est l interface d coute du r seau prelude nids i eth0 u root ou avec la commande suivante pour la sonde h te prelude 1ml u root Il est noter qu il faut cr er un nouvel utilisateur nanager adduser pour chaque nouvelle sonde En revanche un manager peut couter en m me temps les remont es d alertes de plusieurs sondes D 7 Installation et configuration du prelude php frontend D 7 1 Installation tant donn que le prelude php frontend se base sur un serveur web nous installerons Apache ssl ainsi que php4 apt get install apache ssl php4 php4 mysql Accepter l ajout de extension mysql1 so qui est p
111. ropos pendant l installation Ensuite se placer dans le r pertoire contenant les sources compress es du prelude php frontend les d compresser et les mettre dans le r pertoire du serveur Apache ssl cd usr local src 63 tar xzf prelude php frontend 0 8 1 tar gz Est maintenant apparu le r pertoire prelude php frontend que nous copions dans le r pertoire du serveur web var www par d faut cp r prelude php frontend var www D 7 2 Configuration ditez le fichier de configuration d Apache etc apache ss1 httpd conf et y crire o d commenter les lignes suivantes la machine a pour adresse IP 192 168 0 2 Listen 192 168 0 2 LoadModule php4 module usr lib apache 1 3 libphp4 so DirectoryIndex index php index html index htm ServerName localhost DocumentRoot var www ditez le fichier de configuration du prelude php frontend var www prelude php frontend config php et y crire o d commenter les lignes suivantes Sserver 1 description SYSDOOR MySQL phpfront v VERSION Sserver 1 dbtype USE DB MYSQL Sserver 1 dbusername prelude Sserver 1 dbpassword dessstri Sserver 1 dbhostname LOCAL CONNECTION Sserver 1 dbport DEFAULT PORT Sserver 1 dbname prelude Editez le fichier var www prelude php frontend index php et y modifier la ligne serv OenSserv 1 Rel
112. rs managers tr s limit e Il est possible de mettre en place plusieurs managers Nous avons aussi remarqu la possibilit de g rer plusieurs sondes avec un seul manager En revanche dans tous les IDS tudi s il a toujours manqu la gestion de plusieurs managers pour une m me sonde Il serait utile d envoyer une alerte de type A un manager X et une alerte de type B un manager Y Cela est parfois possible avec quelques bidouillages sur certains IDS mais comme nous venons de le dire c est du bidouillage 4 3 9 Co t mat riel parfois important La mise en place d un IDS peut entra ner des co ts mat riels importants Effectivement sur un grand r seau le nombre de sondes et de managers peut tre important et donc le nombre de PC ou de bo tes IDS propri taires aussi Encore une fois l utilisation de logiciels libres ou open sources permet de beaucoup r duire ce probl me 4 4 M thodes de contournement des IDS Les syst mes de d tection d intrusion aussi performants qu ils puissent tre pr sentent certaines limites bases de signatures obsol tes faux positifs faux n gatifs Ces limites peuvent tre utilis es pour attaquer ou passer au travers des IDS 18 4 4 1 Quelques techniques Il existe ainsi plusieurs techniques pour chapper la d tection par les IDS notamment dans le cas des IDS par sc nario L vasion C est faire passer une attaque au travers du syst me de d tection en v
113. s sont prot g es attaques sur MSSQL sur un r seau ayant que du MySQL Comment distinguer un faux positif d un v ritable incident de s curit Par exemple un nombre important de icmp redirect peut tre le signe d une attaque de type homme du milieu mais aussi d un routage mal configur La configuration et l administration des IDS n cessitent beaucoup de temps et de connaissances C est un outil d aide qui n est en aucun cas compl tement automatis 4 3 2 Probl me de positionnement des sondes La mise en place est importante Il faut bien d finir l o placer les sondes Il ne s agit pas de mettre une sonde partout o l on veut surveiller Il faut tudier les champs de vision des sondes suivant leur placement si on veut recouper ces champs de vision pour par exemple faire des doublons de surveillance ou faire un suivi d attaque quel d tail d analyse l entr e d un r seau ou dans chaque domaine de colision On d coupe souvent le r seau global en un LAN une DMZ puis Internet Mais il faut aussi envisager les domaines de collisions les sous r seaux tant donn que la sonde travaille en mode promiscuit elle utilise la librairie libpacap ou winpcap qui fait qu une sonde ne pourra pas tre install e sur les firewalls Et la mise en place sur la sonde m me d un filtrage pour la prot ger contre certaines attaques directes aura une efficacit tr s r duite L utilisation de tunnel est aussi envisa
114. s utilisateurs autoris s lire une information de la divulguer d autres utilisateurs sauf autorisation Int grit c est dire emp cher une modification cr ation mise jour ou destruction indue de l information Ou encore faire en sorte qu aucun utilisateur ne puisse emp cher la modification l gitime de l information Il existe des sous d finitions comme l intimit qui est un cas particulier de la confidentialit ou encore la non r pudiation ou la p rennit Toute entrave la s curit peut tre mod lis e de la fa on suivante CAUSE ETAT SERVICE Faut gt Erreur D faillance V FAUTE Cause adjug e ou suppos e d une erreur ERREUR Au moins une partie du syst me suit un comportement erron susceptible d entra ner une d faillance DEFAILLANCE Le service d livr par le syst me d vie du service sp cifi L incident de s curit est arriv son terme Afin de garantir une s curit suffisante il faut que toute attaque soit bloqu e pendant l une des 3 phases et surtout avant la fin de la troisi me G n ralement plus on se rapproche de la d faillance plus le probl me sera difficile et long r soudre et que l on se rapproche de la r ussite de l attaque 3 2 O interviennent les IDS dans une politique de s curit Suivant le d coupage pr c dent nous pouvons dire que la protection des IDS intervient d s l apparition de la faut
115. server info requires that mod_info c be loaded Change the your_domain com to match your domain to enable lt Location server info gt SetHandler server info Order deny allow Deny from all Allow from your_domain com lt Location gt Allow access to local system documentation from localhost Debian Policy assumes usr share doc is doc at least from the localho Alias doc usr share doc lt Location doc gt order deny allow deny from all allow from 127 0 0 0 255 0 0 0 Options Indexes FollowSymLinks MultiViews lt Location gt There have been reports of people trying to abuse an old bug from pre 1 1 days This bug involved a CGI script distributed as a part of Apache By uncommenting these lines you can redirect these attacks to a logging script on phf apache org Or you can record them yourself using the scri support phf_abuse_log cgi lt Location cgi bin phf gt Deny from all ErrorDocument 403 http phf apache org phf_abuse_log cgi lt Location gt lt IfModule mod_proxy c gt 91 Proxy Server directives Uncomment the following lines to enable the proxy server f IfModule mod_proxy c gt ProxyRequests On lt Directory proxy gt Order deny allow Deny from all Allow from your_domain com lt Directory gt lt IfModule gt Ena
116. suit snort confdir est devenu etc snort Dans ce qui suit snort ruledir est devenu rules Dans ce qui suit prelude ruledir est devenu usr local etc prelude nids snort ruledir 2 prelude ruledir 3 Td Ecraser la conf pr sente dans prelude rules par celle du fichier de conf d snort conf grep var etc snort snort conf usr local etc prelude nids prelude rules HA Rajout d un saut de 2 lignes dans le fichier listant les types de r gles utilis es echo gt gt usr local etc prelude nids prelude rules echo gt gt usr local etc prelude nids prelude rules THERE Ajout de la liste des r gles de snort conf celle de prelude rules grep include etc snort snort conf usr local etc prelude nids prelude rules FEEF Copie des nouvelles regles de snort dans le repertoire de prelude approprie cp rules rules usr local etc prelude nids HAE Normalement il n y a que le fichier classification config qui est concerne La boucle for est ici pour parcourir le r pertoire a la recherche d ce fichier classification config On travaille donc sur le fichier qui d fin le niveau des alertes On copie ce fichier dans le r pertoire de prelud for i in etc snort config do 52 if LE Si continue fi cp Si done olassification contig usr local etc prelude nids 53 then
117. t en ce moment le plus abouti et le plus riche C est donc lui que nous allons comparer avec le frontend d di Snort ACID Snort compte lui aussi plusieurs interfaces et sa popularit fait qu il est maintenant int gr dans des outils comme webmin Cependant la r f rence reste ACID Classement et regroupement des alertes Dans les deux cas le regroupement des alertes suivant des crit res communs basiques m me adresse IP source m me type d attaque m me niveau d alerte est quivalent Pour des filtrages plus d taill la logique est diff rente dans les deux outils ACID permet de trier les alertes en choisissant plusieurs crit res 25 E ACID Query Results Mozilla 1 0 0 X a File Edit View Go Bookmarks Tools Window Help Q O Q Qi 5712700 vacaabracid qu main php new ome Bookmarks The Mozilla Organi Latest Builds Added 0 alert s to the Alert cache Alert Group any Alert Group x MN signature B g 3 d any Classification M jiume f month ves 3 ADDTime M CES ON me i CZ site x i Encoding Convert To gt m E a s o IRR Sort order none timestamp ascend timestamp descend signature Query DB Loaded in 0 seconds Roman Danyliw irCERT I I 2 9 Document Done 0 6 secs eC Bes Filtres d ACID En revanche le frontend
118. t mean the report server is listening on the same machine via a local UNIX socket format address port admin srvr 0 0 0 0 5555 If you want the message caught by this manager to be relayed You can use boolean AND and OR to make the rule relay manager x x x x y y y y amp amp Zz Zz Zz z This mean the emission should occur on x x x x or if it fail on y y y y and z z z z if one of the two host in the AND fail the emission will be considered as failed involving saving the message locally Hat at tt He He HEE HE EE EE EEE E H Here start plugins configuration Hat at at tHE He He aE EE EE HE EEE E HE 96 MySQL Host the database is listening on dbhost localhost Name of the database dbname prelude Username to be used to connect the database dbuser prelude Password used to connect the database dbpass dessstri The Textmod plugin allow to report alert as text in a file Or to dump theses alert to stderr The default logfile for this plugin is var log prelude log TextMod Tell Textmod to output to stderr stderr logfile var log prelude log The Xmlmod plugin allow to report alert as IDMEF XML in a file Or to dump theses alert to stderr The default logfile for this plugin is var log prelude xml log XmlMod Tell Xmlmod to o
119. tenant toutes les r gles Donner les droits en ex cution au script et l ex cuter de la fagon suivante convert ruleset etc snort home user rules usr local etc prelude nids Ca y est les nouvelles r gles sont maitenant install es A 2 Le code source du script convert ruleset bin sh if test z 1 test z 2 test z 3 then echo This script convert Snort ruleset to Prelude ruleset echo echo SO lt Snort configdir gt lt Snort ruledir gt lt Prelude ruledir gt exit 1 fi snort_confdir S1 snort_ruledir 2 prelude_ruledir 3 grep var Ssnort_confdir snort conf gt Sprelude_ruledir prelude rules echo gt gt Sprelude_ruledir prelude rules echo gt gt Sprelude_ruledir prelude rules grep include snort confdir snort conf gt gt Sprelude_ruledir prelude rules cp Ssnort_ruledir rules Sprelude_ruledir for i in snort confdir config do if Si classification config then continue fi 51 cp Si prelude ruledir done A 3 Le code source du script convert ruleset comment bin sh HEHH Parametres rantres ensuite donc pas lors de l execution de la commande if test z 1 test z 2 test z 3 then echo This script convert Snort ruleset to Prelude ruleset echo echo 0 Snort configdir Snort ruledir Prelude ruledir gt exit 1 ffi snort confdir 1 Dans ce qui
120. tentative d intrusion comme refused connect D autres fichiers contiennent les mots ne pas consid rer comme une attaque Ce programme contr le les journaux syst mes avec une simple commande grep 5 4 3 Installation de LogCheck LogCheck est un package Debian facile installer logcheck 1 1 9 8 apt get install logcheck 544 Comparaison entre Prelude IDS et Logcheck Prelude Iml est le composant de Prelude IDS que l on peut comparer avec Logcheck Prelude Iml peut tre utilis comme un serveur Syslog l coute de messages Syslog transitant sur le r seau ou comme un analyseur de logs De son cot Logcheck est un simple analyseur de logs La m thode utilis e par Prelude Iml et Logcheck est identique une alerte est g n r e quand une expression r guli re est pr sente dans un log La diff rence est que Logcheck contient une liste de mots clef qui doivent tre ignor s et qui ne l vent pas d attaque Pour les remont es d alertes Logcheck utilise les emails alors que Prelude Iml remonte ses alertes la fois dans des fichiers de logs sp cifiques et dans une base de donn es sur un manager Prelude Cette base de donn es peut alors tre consult e via l interface Prelude frontend Notons que l on ne peut pas int grer Logcheck dans Prelude IDS Pourtant il est possible d utiliser Logcheck sur les fichiers de logs g n r s par Prelude 5 5 Prelude IDS et Nessus 5 5 1 Nessus g n ralit s Pr senta
121. tgreSQL Il est possible d tendre les capacit s d un contr leur l aide de plugins en autorisant par exemple le traitement de messages en provenance de composants autres que Prelude un contr leur Prelude pouvant ainsi centraliser la remont e d alarmes en provenance de sondes Snort Nous utilisons la version 0 8 6 23 Prelude Frontend l interface web C est l interface de visualisation des alertes Il est actuellement propos deux interfaces l une d velopp e en PHP et l autre en Perl Prelude PHP Frontend C est l interface propos e sur le site www prelude ids org Elle est compos e de scripts PHP et est destin e tre install e sur un serveur web ind pendamment des autres composants Prelude Cela signifie que l installation pr alable de la librairie 1 ibprelude est inutile mais que par contre celle d un serveur web supportant PHP4 l est Nous utilisons la version 0 8 1 Prelude Perl Frontend Cette interface est issue d un projet intitul Le Routier www leroutier net Projects PreludeIDS Hlle n cessite bien videmment l installation d un serveur web supportant Perl 5 3 Prelude IDS et Snort Nous allons tudier les points communs et les diff rences entre ces deux outils en commencant par voquer les projets qui les ont fait na tre Puis nous partirons du niveau le plus bas qu est le moteur d analyse pour finir l interface de remont des alertes Enfin nous dirons
122. tion Nessus est un scanner de s curit multi plateformes reconnu il r alise un audit de s curit sur les diff rents composants du r seau En s appuyant sur une base de donn es de failles de s curit il indique a l administrateur r seau les faiblesses et les failles existantes sur son r seau Il est bas sur une architecture client serveur Nessus est un outil capable de r pondre ces questions Quelles machines sont pr sentes sur mon r seau adresse IP nom 32 Quel syst me d exploitation est utilis sur une machine donn e Quels services d mons fonctionnent sur la machine Mon r seau est il s r aujourd hui Fonctionnement de Nessus Nessus permet un audit de s curit en s appuyant sur deux l ments un client et un serveur Le serveur nessusd est charg de tester le syst me indiqu en essayant toutes les attaques que sa base contient pendant que le client nessus qui n est qu une interface graphique fait un rapport sur les diff rents r sultats obtenus Le serveur poss de une base de donn es d environ 300 attaques existantes l installation et c est l administrateur de la remettre jour r guli rement Les attaques mises en place par nessusd sont cod es comme des modules externes ou plugins crits en diff rents languages Les communications entre le client et le serveur sont crypt es Caract ristiques de Nessus Nessus permet une reconnaissance
123. tives be kept in a single file for simplicity The commented out values below are the built in defaults You can have the server ignore these files altogether by using dev null for Unix or nul for Win32 for the arguments to the directives Se de db de db db db dE ResourceConfig etc apache ssl srm conf AccessConfig etc apache ssl access conf Timeout The number of seconds before receives and sends time out Timeout 300 KeepAlive Whether or not to allow persistent connections more than one request per connection Set to Off to deactivate KeepAlive On 74 MaxKeepAliveRequests The maximum number of requests to allow during a persistent connection Set to 0 to allow an unlimited amount We recommend you leave this number high for maximum performance MaxKeepAliveRequests 100 KeepAliveTimeout Number of seconds to wait for the next request from the same client on the same connection KeepAliveTimeout 15 Server pool size regulation Rather than making you guess how many server processes you need Apache dynamically adapts to the load it sees that is it tries to maintain enough server processes to handle the current load plus a few spare servers to handle transient load spikes e g multiple simultaneous requests from a single Netscape browser It does this by periodically checking how many servers are waiting for a request
124. u to specify the language of a document You can then use content negotiation to give a browser a file in a language it can understand Note 1 The suffix does not have to be the same as the language keyword those with documents in Polish whose net standard language code is pl may wish to use AddLanguage pl po to avoid the ambiguity with the common suffix for perl scripts Note 2 The exampl ntries below illustrate that in quite some cases the two character Language abbriviation is not identical to the two character Country code for its country E g Danmark dk versus Danish da Note 3 In the case of ltz we violate the RFC by using a three char Specifier But there is work in progress to fix this and get the reference data for rfc1766 cleaned up Danish da Dutch nl English en Estonian ee French fr German de Greek Modern el Italian it Portugese pt Luxembourgeois 1tz Spanish es Swedish sv Catalan ca Czech cz 86 Polish pl Brazilian Portuguese pt br Japanese ja AddLanguage da dk AddLanguage nl nl AddLanguage en en AddLanguage et ee AddLanguage fr fr AddLanguage de de AddLanguage el el AddLanguage it it AddLanguage ja ja AddCharset ISO 2022 JP jis AddLanguage pl po AddCharset ISO 8859 2 iso pl AddLanguage pt pt AddLanguage pt br pt br AddLanguage ltz
125. ue de l organisme pour r aliser un historique par exemple Avantages Inconv nients Il n est plus question ici de surveillance d un petit r seau mais de l int gration des IDS dans une politique de s curit globale de l organisme Les traitements s par s avec plusieurs niveaux d intervention montrent que la s curit n est pas que technique mais aussi organisationnelle L avantage de cette solution est donc de s int grer totalement dans une politique de s curit ce qui induit qu il est n cessaire d avoir une organisation de la s curit stable et bien d finie 46 8 Conclusion Snort et Prelude sont des outils tr s fiables et tr s int ressants dans la mise en place d une s curit r seau Cependant les diff rences de fonctionnement et de gestion sont nombreuses ce qui rend la comparaison tr s difficile Les avantages de l un pouvant tre consid r s comme des inconv nients par l autre exemple de la r ponse active ou de l archivage des payloads De plus les r gles de Snort pouvant tre int gr es dans Prelude IDS ce n est plus sur la quantit d attaques reconnues que l on pourra comparer les deux outils Nous pourrons donc en conclure qu ils sont tr s proches et que suivant l utilisation que l on voudra en faire on choisiera soit Snort soit Prelude IDS Notons tout de m me que l interconnexion de Prelude IDS avec d autres outils est quand m me un avantage consid rable sur Snort dans
126. uisque n ayant pas lieu d tre Le but est aussi bien de d tecter des attaques connues que de d couvrir de nouvelles attaques en observant le comportement des attaquants qui ne sont pas encore recens es Ainsi on souhaite accroitre la s curit du r seau Fonctionnement 34 Honeyd fonctionne sous environnement Unix Solaris BSD et sera port dans l avenir sous Windows C est un daemon qui cr e des hosts virtuels sur le r seau utilisant les adresses IP non attribu es sur le r seau Ces hosts peuvent tre configur s pour qu ils paraissent fonctionner sous certains syst mes d exploitations gr ce des templates ou pour faire tourner certains services en fait ce sont des scripts qui simulent le fonctionnement de ces services C est un pot de miel basse interaction simule des services TCP IP peut avoir plusieurs adresses IP jusqu 65536 test es et supporte ICMP les machines virtuelles r pondent aux ping et aux traceroute Toutes les donn es entrantes et sortantes chaque paquet passe dans un moteur personnalis qui permet de compl ter les paquets avec les informations relatives au syst me d exploitation simul du pot de miel sont analys es Plus pr cisement Honeyd doit tre utilis en collaboration avec l outil Arpd Arpd permet de g rer les adresses IP non attribu es et il redirige les attaques vers Honeyd Quand lui Honeyd g re les changes de donn es avec les attaquants pour simuler les ser
127. une s curit maximale sur l acc s Internet mais une fois dans le LAN tout est ouvert faible protection entre la DMZ et le LAN des Access Point Wireless poussant comme des champignons acc ss illicites Internet directement d un poste de travail Alors qu une attaque donn e serait bloqu e en passant par la grande porte elle ne rencontrera aucune r sistance en passant par un autre chemin Le positionnement des sondes sur tout le r seau va alors permettre de d tecter par o elle est rentr e ou le chemin qu elle a emprunt e pour contourner les protections qui auraient pu la bloquer Un dernier point une attaque par rebond s appuie sur une premi re connexion plus ou moins autoris e une machine qui va ensuite servir d attaquant interm diaire Toujours avec le positionnement des sondes d crit ici nous pourrons voir la source de l attaque attaquant interm diaire et plus seulement son point d entr e Avantages Inconv nients Le probl me de cette solution est le co t mat riel et humain Le nombre de sondes tant tr s important il est vident que le nombre de machines d dier cette t che est plus important De plus l exploitation correcte de toutes les alertes remont es alertes remont es par plusieurs sondes savoir retrouver le parcours d une attaque dans tout cela n cessite beaucoup de temps 40 Il est ici question de d tecter une attaque Le
128. up plus riche pour le reste 28 Prelude IDS Web Front End Heart Beat guest Mozi HeartBeatld 03 04 a E a ick Analyzerid Model Location 1040353598 040913555 Prede NIDS Oniy server i have Only server i hav 040313555 Preude NIDS Oniy server i have 1040359598 Only server i hay it Lack leartBeatld Delta Time 601 s 01 00 01 2003 04 09 23 29 58 3600 s 01 00 00 600 s 01 00 00 2003 04 09 22 29 56 3600 s 01 00 00 2003 04 09 21 31 31 3600 s 01 00 00 i N I E N a o Ni 1040313555 Prelude NIDS Oniy server i have 600 s 01 00 00 1040359598 P Moni Only server i have 600 s 01 00 00 104091355 E Only serverihavel NN 2003 04 09 20 29 58 3600 s 01 00 00 1040353596 Prelude Log Monitoring Lackey Only serverihave 8254 2003 04 09 19 31 31 5600 s 01 00 00 Document Done 5 842 secs am E Prelude Log Monitoring Lackey 1040359598 Prelude NIDS 1040913555 Ole D lo 200 2003 Surveillance de l tat des sondes top attackers top attackers countries Document Done 9 602 secs Top 15 attaquants 29 Prelude IDS Web Front End Statistics guest Mozilla 1 0 0 X 3d lines gt Label All alerts unfiltered Attack Nb 2003 04 03 2003 04 04 2003 04 05 2003 04 06 2003 04 07 2003 04 08 1D what you as your browser is dumb and did not see that the i
129. user request is received lt IfModule mod_userdir c gt UserDir public_html lt IfModule gt Control access to UserDir directories The following is an example for a site where these directories are restricted to read only lt Directory home public html AllowOverride FileInfo AuthConfig Limit Options MultiViews Indexes SymLinksIfOwnerMatch IncludesNoExec lt Limit GET POST OPTIONS PROPFIND gt Order allow deny Allow from all lt Limit gt lt Limit PUT DELETE PATCH PROPPATCH MKCOL COPY MOVE LOCK UNLOCK gt Order deny allow Deny from all lt Limit gt lt Directory gt DirectoryIndex Name of the file or files to use as a pre written HTML directory index Separate multiple entries with spaces lt IfModule mod_dir c gt DirectoryIndex index pl index php index html index htm index shtml index lt IfModule gt AccessFileName The name of the file to look for in each directory for access control information AccessFileName htaccess these lines out if you want Web visitors to see the contents of The following lines prevent htaccess files from being viewed by Web clients Since htaccess files often contain authorization information access is disallowed for security reasons Comment htaccess files If you change the AccessFileName directive above 80 be sur
130. utput to stderr stderr Tell Xmlmod to check generated XML against IDMEF DTD check dtd 97 logfile var log prelude xml log Debug Print the value of each element verbose Be aggressive print strings even if consistency checks fail may lead to crash aggressive Use wide format for lists wide format HR de db db db db de db db db dE 4 Fichier prelude nids conf HEHEHE EEE EEE HEH HEHE HEE HE EEE HEHE HEH HH HE HH f Configuration for the Prelude NIDS Sensor HHEEEEEHE EEE EEE HEE HEHE HEE HE EEE HEHE HEH EH HE HH Prelude NIDS Address where the Prelude Manager Server is listening on if value is 127 0 0 1 the connection will occur throught an UNIX socket This entry is disabled The default is to use the entry located in sensors default conf You may overwrite the default address for this sensor by uncommenting this entry dE de db db db db HE SHR manager addr 192 168 0 2 5554 Set this entry if you want Prelude NIDS to use a specific user user prelude Tcp Reasm TCP stream reassembly option Only analyse TCP packet that are part of a stream 98 this defeat stick snot against TCP signatures f statefull only Only reassemble TCP data sent by the client default f client only Only reassemble TCP data sent by the server server only R
131. veaux r pertoire libprelude 0 8 4 prelude 1ml1 0 8 2 prelude manager 0 8 6 et prelude nids 0 8 1 D 3 Installation de paquetages au pr alable Prelude IDS n cessite pour fonctionner des biblioth ques et autres applications que nous allons installer maintenant D 3 1 Paquetages n cessaires Prelude IDS gtk doc tools n cessaire pour libprelude donc aussi prelude nids prelude Iml et prelude manager libssl dev n cessaire pour libprelude donc aussi prelude nids prelude Iml et prelude manager mysql server installer sur le poste h bergeant le manager si l on veut stocker les alertes dans une bases MySQL libmysqlclient10 dev n cessaire prelude manager libxml2 dev n cessaire prelude manager libpcre3 dev n cessaire pour prelude Iml libfam dev n cessaire pour prelude Iml D 3 2 Installation de ces paquetages apt get install gtk doc tools apt get install libssl dev apt get install mysql server Pendant l installation il est propos de d marrer le serveur MySQL au d marrage de la machine Il est conseill de r pondre Yes apt get insta libmysqlclienti0 dev apt get install libxml2 dev apt get install libpcre3 dev apt get install libfam dev 60 D 4 Installation D 4 1 Installation de libprelude Rentrez dans le r pertoire usr local src libprelude 0 8 4 et tapez les commandes suivantes configur n
132. vices requ tes ICMP Sans Arpd Honeyd ne peut pas travailler Il existe tout de m me des limitations l utilisation de Honeyd puisque peu de services simul s sont disponibles et qu il ne simule pas tous les syst mes d exploitation Comparaison entre Honeyd et Pr lude Prelude remonte des alertes en fonction des signatures d attaques que nous lui fournissons alors que Honeyd remonte toutes les donn es qui lui sont envoy es puisque celles ci sont consid r es comme toutes suspectes Int gration de Honeyd dans Pr lude Honeyd peut tre int gr dans l architecture Prelude IDS en tant que sonde r seau et ainsi on peut disposer d un Pot de miel afin d obtenir de nouvelles informations sur ceux qui attaquent le r seau Les alertes sont visibles partir du frontend de Prelude IDS Pour cela il suffit d appliquer un patch la libprelude et la sonde Honeyd pourra tre manipul e comme n importe quelle autre sonde Prelude IDS Tout cela est expliqu en d tail en annexe 6 1 2 Systrace Pr sentation Systrace est un outil pour controler de mani re tr s d taill e le comportement et les droits des applications au niveau appel syst me Pour chaque programme ex cut sur une machine Systrace permet de d finir un ensemble d appels syst me system calls que le logiciel a le droit ou non d ex cuter ouverture criture de fichiers lecture criture d une socket TCP IP allocation de m moire L ensemble de
133. ype Ainsi il connait avec certitude une partie des mesures de s curit prises sur tout le parcours de l attaque du r seau cible choses que les responsables s curit n aiment pas divulguer Nous rappellons comme expliqu pr c demment les probl mes d explosion des fichiers de logs que ces DDoS entra nent Voici un dernier point qui utilise le revers de la m daille des contre attaques automatiques si nous mettons 2 sondes sur 2 r seaux s par s A et B et qu une attaque se produit sur le r seau B en passant par le r seau A La conte attaque de la sonde du r seau B sera vue par la sonde du r seau A Cette derni re va donc contre attaquer la source de la premi re attaque si on avait t joueur on aurait falsifi la source en indiquant la sonde du r seau C r seau qui se trouve derri re B mais aussi la source de la deuxi me attaque qu est la sonde B Ceci est une hypoth se il faudrait tester pour savoir si l IDS est prot g contre ce type d attaque Il y en a surement beaucoup qui ne le sont pas 17 4 3 6 Probl mes de IPv4 Comme d taill plus tard dans ce document il est facile de contourner certains IDS en utilisant les fragments IP On exploite ici une faiblesse du protocole IPv4 et des piles IP Une autre faiblesse de ce protocole est de ne pas permettre l authentification On peut donc faire croire un destinataire qu un paquet vient de telle ou telle source alors que cela serait faux Cela est la
Download Pdf Manuals
Related Search