2.3.2.2.3. Système de prévention d'intrusion
kernel (KIPS)
Grâce à un KIPS, tout accès suspect peut
être bloqué directement par le noyau, empêchant ainsi toute
modification dangereuse pour le système. Le KIPS peut reconnaître
des motifs caractéristiques du débordement de mémoire, et
peut ainsi interdire l'exécution du code. Le KIPS peut également
interdire l'OS d'exécuter un appel système qui ouvrirait un shell
de commandes .Puisqu'un KIPS analyse les appels systèmes, il ralentit
l'exécution. C'est pourquoi ce sont des solutions rarement
utilisées sur des serveurs souvent sollicités.
2.3.2.3. Types de réponses aux attaques
40
YABOUI Frèse
Inspection du trafic pour la détection et la
prévention d'intrusions
Face à une activité intrusive un IPS peut
répondre de deux manières différentes :
· réponse active ;
· réponse passive.
2.3.2.3.1. Réponse active
Les réponses actives consistent à
répondre directement à une attaque, la plupart du temps en
générant des requêtes de fin de connexion vers la source de
manière à la contraindre à cesser son activité
intrusive sur le champ. Dans le cas de données TCP, ceci se traduit par
l'envoi de paquets RST qui marquent la fin d'une session aussi bien vers la
source que la destination. Dans le cas des protocoles ICMP ou UDP qui
n'implémentent pas de machines d'états, il peut s'avérer
plus complexe de marquer une fin de session dans la mesure où la notion
même de session n'existe pas. Une méthode couramment
utilisée consiste à générer des requêtes ICMP
Network Unreachable ou UDP Port Unreachable en espérant que la source
reçoive ces requêtes et cesse d'émettre.
Si ces techniques permettent d'interrompre le flux intrusif,
elles présentent toutefois des inconvénients majeurs. Le fait de
générer des paquets de réponse à une intrusion peut
fournir à l'attaquant d'éventuelles informations
révélant la présence d'un système de protection
actif, tel un IPS. En observant la valeur de certains paramètres des
trames de réponse, il est parfois possible de déduire quel est
l'IDS qui les a émis à l'exemple les cas de SNORT qui utilisait
systématiquement un champ TTL de 253 ou de Dragon avec des
numéros de séquences incrémentés de 15 entre 2
trames consécutives. Ces deux problèmes ont été
corrigés depuis, mais il en existe certainement d'autres de même
nature sur les IDS et IPS actuels. Si un pirate parvient à
détecter la nature du système utilisé, il peut arriver
à le contourner plus facilement. C'est pourquoi il est souvent
préférable de rendre les IDS le plus furtifs possible et de les
cantonner dans un rôle de détection passif. L'IPS utilise la
génération de paquets pour couper la connexion :
· TCP Reset ;
· ICMP Network Unreachable ;
· UDP Port Unreachable ;
· Drop.
41
YABOUI Frèse
Inspection du trafic pour la détection et la
prévention d'intrusions
Le deuxième problème est l'authenticité
de la source de l'attaque (par exemple par le spoofing). Si l'attaquant usurpe
l'identité d'un réseau nécessaire à notre
entreprise, cette méthode peut nous couper du monde. Une des
premières solutions serait de créer une liste blanche de ce qu'il
ne faut absolument pas bloquer. La liste blanche bloque le paquet suspect mais
ne coupe pas le flux.
? Exemple de problème réponse
Active
Figure 3.4 : Réponse active
En cas de spoofing d'adresse IP, le fait de répondre
peut générer des effets de bord indésirables.
Considérez le scénario illustré par la figure ci-dessus
qui relate une mésaventure arrivée à la Maison Blanche il
y a quelques années. Après une phase de reconnaissance, un groupe
de pirates a réussi à détecter la présence d'un IDS
utilisant des réponses automatiques installé sur le site
principal d'une entreprise. Les pirates ont alors attaqué le site de
cette entreprise en le saturant de requêtes UDP distribuées dont
l'adresse IP source était celle d'un serveur de la Maison Blanche. L'IDS
a répondu en générant un grand nombre de paquets de
réinitialisation à destination de l'un des serveurs de la Maison
Blanche, qui a croulé sous la charge. L'entreprise qui a servi de base
de rebond a été reconnue responsable de l'attaque contre la
Maison Blanche, tant du point de vue technique que juridique.
Si une intrusion en provenance du réseau externe est
détectée, il est possible toutefois
de minimiser les risques induits par ces mécanismes de
réponse active en n'émettant des paquets
42
YABOUI Frèse
Inspection du trafic pour la détection et la
prévention d'intrusions
de réponse que vers la cible et non pas vers la
source. En procédant de cette manière, les flux intrusifs vers la
cible sont coupés (de manière impropre toutefois) et le pirate ne
peut pas détecter l'IDS.
|