La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

PALUD Thibault Exposé IR3 19/01/2009Exposé IR31 Introduction Des attaques de plus en plus fréquentes En 1995, le CERT recensait 2 412 incidents et 137.

Présentations similaires


Présentation au sujet: "PALUD Thibault Exposé IR3 19/01/2009Exposé IR31 Introduction Des attaques de plus en plus fréquentes En 1995, le CERT recensait 2 412 incidents et 137."— Transcription de la présentation:

1

2 PALUD Thibault Exposé IR3 19/01/2009Exposé IR31

3 Introduction Des attaques de plus en plus fréquentes En 1995, le CERT recensait incidents et en /01/ Exposé IR3

4 Quelques Chiffres En 2006, le Computer Emergency Response Team (CERT) a rapporté demandes d'assistance par mail. En 2006 pour 313 entreprises américaines on relève: 52 millions de dollars de perte contre 130 millions en 2005, les plus importantes attaques étant: Les Virus (15,7 m$) Les accès non autorisés à l'information (10,6 m$) 19/01/20093Exposé IR3

5 Sommaire Intrusion Detection Système (IDS) Principes de détection Niveaux de détection Intrusion Protection Système (IPS) Types dIPS Types de réponses aux attaques Différence IDS/IPS IPS/ Firewall Solutions IDS/IPS 19/01/20094Exposé IR3

6 IDS – Détection – Approche par scénario signature de lattaque : spécifications propres de lattaque: cas HIDS : analyse des actions dun utilisateur cas NIDS : vérification du ux dinformations sur le réseau 19/01/20095Exposé IR3

7 Lanalyse de motif Simple mais en retard… Les recherches génériques Détection dans le code exécutable Contrôle dintégrité Détecter un changement du système IDS – Détection – Approche par scénario 19/01/20096Exposé IR3

8 Connaître le comportement normal dun utilisateur Dresser les profils dutilisateurs Détecter une alerte lors des évènements hors gabarit IDS – Détection – Approche comportementale 19/01/20097Exposé IR3

9 Approche probabiliste (bayésienne) Avantage s: Construction du prol simple et dynamique Réduction de faux positifs Inconvénient: Risque de déformation progressive du prol par des attaques Répétées IDS – Détection – Approche comportementale 19/01/20098Exposé IR3

10 Approche statistique Inconvénients: Complexité en termes de maintenance Avantages: permet de détecter des attaques inconnues habitudes des utilisateurs apprises automatiquement Autres en étude : Limmunologie IDS – Détection – Approche comportementale 19/01/20099Exposé IR3

11 19/01/2009Exposé IR310 IDS – Détection-Bilan des solutions actuelles

12 Unnetwork­based IDS (NIDS) surveille un réseau. Positif: Naffecte pas les performances du réseau Nest pas visible Négatif: Faible devant les attaques de dénis de services Un point unique de défaillance IDS – Niveaux – Réseau 19/01/200911Exposé IR3

13 IDS – Niveaux – Réseau 19/01/200912Exposé IR3

14 IDS – Niveaux – Réseau En coupure 19/01/200913Exposé IR3

15 IDS – Niveaux – Réseau En recopie 19/01/200914Exposé IR3

16 Host Based IDS (HIDS) Surveille: le traffic réseau entrant/sortant Les opérations sur la machine Lancer comme un processus sur la machine Positif: Surveille les intrusions qui s'appliquent uniquement à l'hôte Négatif: Utilise la ressource du système Besoin de HIDS spécifique pour des système spécifique IDS – Niveaux – Système 19/01/200915Exposé IR3

17 Détection de compromission de fichiers (contrôle dintégrité) Analyse de la base de registre (windows) ou des LKMs (Linux) Analyse et corrélation de logs en provenance de firewalls hétérogènes Analyse des flux cryptés (ce que ne peut réaliser un NIDS !) IDS – Niveaux – Système 19/01/200916Exposé IR3

18 IDS – Niveaux – Système 19/01/200917Exposé IR3

19 Ensemble de technologies de sécurité But Anticiper et stopper les attaques Principe de fonctionnement Symétrie avec IDS -> Host IPS & Network IPS, Analyse des contextes de connexion, Automatisation d'analyse des logs, Coupure des connexions suspectes, IPS 19/01/200918Exposé IR3

20 Unnetwork­based IPS (NIPS) Installé en coupure de réseau Analyse tout le trafic Protège des attaques communes de DoS et DDoS Analyse statique des flux Similaire à lIDS Analyse dynamique des flux Corrélation entre un événement et une signature IPS – Niveaux – Réseau 19/01/200919Exposé IR3

21 Positif : Protection active Négatif : Point névralgique du réseau Faux positifs (risque de blocage de trafic légitime) Coût Complexité additionnelle / Exploitation supplémentaire IPS – Niveaux – Réseau 19/01/200920Exposé IR3

22 Host­based IPS (HIPS) Installé sur chaque machine à protéger (application) Bloc les trafic anormaux selon plusieurs critères Lecture / écriture de fichiers protégés Accès aux ports réseau Comportements anormaux des applications Bloc les accès en écriture par exemple, bloc les tentatives de récupération de droits ROOT Connexions suspectes (sessions RPC actives anormalement longues sur des machines distantes, etc.) Gère les trafics encryptés IPS – Niveaux – Système 19/01/200921Exposé IR3

23 Positif : Faux positifs moins courants Protège les systèmes des comportements dangereux et pas seulement du trafic Négatif : Coût d'exploitation Problèmes d'interopérabilité Problématique lors des mise à jour système IPS – Niveaux – Système 19/01/200922Exposé IR3

24 Plusieurs actions possibles : Isolement du système attaqué Remonté dinformations aux administrateurs Copie des données Réponse à lattaque En cas dintrusion ? 19/01/200923Exposé IR3

25 Active Génération de paquets pour couper la connexion Problèmes ? Révèle le système de protection Authenticité de la source de lattaque Passive (rien vis-à-vis de lattaquant) Réaction sans que lattaquant soit prévenu Couplage avec un firewall Problème de lauthenticité de la source (spoofing)) Réponse Active/Passive 19/01/200924Exposé IR3

26 Exemple Problème Réponse Active 19/01/200925Exposé IR3

27 Réponse aux attaques Plus de limitation par la bande passante Différence IDS/IPS 19/01/200926Exposé IR3

28 Furtivité Analyse plus vaste Peu dIPS libres Fonction de blocage face à une fonction de filtrage Différence IPS/Firewall 19/01/200927Exposé IR3

29 Solution IPS/IDS Propriétaire 19/01/200928Exposé IR3

30 Solution IPS/IDS Propriétaire 19/01/200929Exposé IR3

31 Solution IPS/IDS Libre 19/01/200930Exposé IR3

32 Problèmes Actuels IDS outils pas le plus performants du marché Trop de faux positifs. Attaques repérées -> morcelée en plusieurs alertes Les solutions pour corriger ces problèmes peuvent être : Améliorer les algorithmes de base de la détection (baisse des faux positifs) Corréler les alertes (diminuer leur nombre). Identifier les scénarios d'attaques complexes. 19/01/2009Exposé IR331 Conclusion

33 Détection et prévention des intrusions par Thierry Evangelista IDS / IPS par James E. Thiel, Drexel University IDS et IPS au service de la détection d'intrusion Par JDNet Solutions (Benchmark Group) Host and Network Intrusion Prevention df Prévention dintrusion Snort Users Manual Sécurité réseau Amélie Désandré, Benjamin Kittler, Romain Loutrel et Thomas Renaudin. Sources 19/01/200932Exposé IR3

34 19/01/ Des questions ?? Merci pour votre attention. Exposé IR3 FIN


Télécharger ppt "PALUD Thibault Exposé IR3 19/01/2009Exposé IR31 Introduction Des attaques de plus en plus fréquentes En 1995, le CERT recensait 2 412 incidents et 137."

Présentations similaires


Annonces Google