WOW !! MUCH LOVE ! SO WORLD PEACE !
Fond bitcoin pour l'amélioration du site: 1memzGeKS7CB3ECNkzSn2qHwxU6NZoJ8o
  Dogecoin (tips/pourboires): DCLoo9Dd4qECqpMLurdgGnaoqbftj16Nvp


Home | Publier un mémoire | Une page au hasard

 > 

Inspection du trafic pour la détection et la prévention d'intrusions


par Frèse YABOUI
Ecole Supérieure de Technologie et de Management (ESTM) - Licence en Téléinformatique  2018
  

précédent sommaire suivant

Bitcoin is a swarm of cyber hornets serving the goddess of wisdom, feeding on the fire of truth, exponentially growing ever smarter, faster, and stronger behind a wall of encrypted energy

2.3.2.2.3. Système de prévention d'intrusion kernel (KIPS)

Grâce à un KIPS, tout accès suspect peut être bloqué directement par le noyau, empêchant ainsi toute modification dangereuse pour le système. Le KIPS peut reconnaître des motifs caractéristiques du débordement de mémoire, et peut ainsi interdire l'exécution du code. Le KIPS peut également interdire l'OS d'exécuter un appel système qui ouvrirait un shell de commandes .Puisqu'un KIPS analyse les appels systèmes, il ralentit l'exécution. C'est pourquoi ce sont des solutions rarement utilisées sur des serveurs souvent sollicités.

2.3.2.3. Types de réponses aux attaques

40

YABOUI Frèse

Inspection du trafic pour la détection et la prévention d'intrusions

Face à une activité intrusive un IPS peut répondre de deux manières différentes :

· réponse active ;

· réponse passive.

2.3.2.3.1. Réponse active

Les réponses actives consistent à répondre directement à une attaque, la plupart du temps en générant des requêtes de fin de connexion vers la source de manière à la contraindre à cesser son activité intrusive sur le champ. Dans le cas de données TCP, ceci se traduit par l'envoi de paquets RST qui marquent la fin d'une session aussi bien vers la source que la destination. Dans le cas des protocoles ICMP ou UDP qui n'implémentent pas de machines d'états, il peut s'avérer plus complexe de marquer une fin de session dans la mesure où la notion même de session n'existe pas. Une méthode couramment utilisée consiste à générer des requêtes ICMP Network Unreachable ou UDP Port Unreachable en espérant que la source reçoive ces requêtes et cesse d'émettre.

Si ces techniques permettent d'interrompre le flux intrusif, elles présentent toutefois des inconvénients majeurs. Le fait de générer des paquets de réponse à une intrusion peut fournir à l'attaquant d'éventuelles informations révélant la présence d'un système de protection actif, tel un IPS. En observant la valeur de certains paramètres des trames de réponse, il est parfois possible de déduire quel est l'IDS qui les a émis à l'exemple les cas de SNORT qui utilisait systématiquement un champ TTL de 253 ou de Dragon avec des numéros de séquences incrémentés de 15 entre 2 trames consécutives. Ces deux problèmes ont été corrigés depuis, mais il en existe certainement d'autres de même nature sur les IDS et IPS actuels. Si un pirate parvient à détecter la nature du système utilisé, il peut arriver à le contourner plus facilement. C'est pourquoi il est souvent préférable de rendre les IDS le plus furtifs possible et de les cantonner dans un rôle de détection passif. L'IPS utilise la génération de paquets pour couper la connexion :

· TCP Reset ;

· ICMP Network Unreachable ;

· UDP Port Unreachable ;

· Drop.

41

YABOUI Frèse

Inspection du trafic pour la détection et la prévention d'intrusions

Le deuxième problème est l'authenticité de la source de l'attaque (par exemple par le spoofing). Si l'attaquant usurpe l'identité d'un réseau nécessaire à notre entreprise, cette méthode peut nous couper du monde. Une des premières solutions serait de créer une liste blanche de ce qu'il ne faut absolument pas bloquer. La liste blanche bloque le paquet suspect mais ne coupe pas le flux.

? Exemple de problème réponse Active

Figure 3.4 : Réponse active

En cas de spoofing d'adresse IP, le fait de répondre peut générer des effets de bord indésirables. Considérez le scénario illustré par la figure ci-dessus qui relate une mésaventure arrivée à la Maison Blanche il y a quelques années. Après une phase de reconnaissance, un groupe de pirates a réussi à détecter la présence d'un IDS utilisant des réponses automatiques installé sur le site principal d'une entreprise. Les pirates ont alors attaqué le site de cette entreprise en le saturant de requêtes UDP distribuées dont l'adresse IP source était celle d'un serveur de la Maison Blanche. L'IDS a répondu en générant un grand nombre de paquets de réinitialisation à destination de l'un des serveurs de la Maison Blanche, qui a croulé sous la charge. L'entreprise qui a servi de base de rebond a été reconnue responsable de l'attaque contre la Maison Blanche, tant du point de vue technique que juridique.

Si une intrusion en provenance du réseau externe est détectée, il est possible toutefois

de minimiser les risques induits par ces mécanismes de réponse active en n'émettant des paquets

42

YABOUI Frèse

Inspection du trafic pour la détection et la prévention d'intrusions

de réponse que vers la cible et non pas vers la source. En procédant de cette manière, les flux intrusifs vers la cible sont coupés (de manière impropre toutefois) et le pirate ne peut pas détecter l'IDS.

précédent sommaire suivant






Bitcoin is a swarm of cyber hornets serving the goddess of wisdom, feeding on the fire of truth, exponentially growing ever smarter, faster, and stronger behind a wall of encrypted energy








"Là où il n'y a pas d'espoir, nous devons l'inventer"   Albert Camus