Herkeios
Système de détection des intrusions
- Introduction
- Herkeios
- Failles applicatives
- Exploits système
- Backdoors et Virus
- Attaques par le réseau
- Comportement erratique
- Annexes
Avant-propos
Qu'est-ce qu'un IDS ?
Les IDS (Intrusion Detection System) s'inscrivent comme on peut s'en douter dans une optique de sécurisation du système sur lequel il est installé. Pour arriver à ses fins, l'IDS doit se positionner de manière furtive sur la machine ou sur un centre névralgique du réseau à protéger. Depuis ce point, l'IDS peut analyser les flux de données sur le réseau ou vers le système protégé, ou encore vérifier le fonctionnement interne du système. Mais pourquoi développer un IDS étant donné la masse des firewalls et autres Systèmes de Prévention des Intrusions ?
IDS, IPS, firewalls et antivirus
La différence entre ces entités est énorme. Effectivement, ils ne combattent pas les intrusions suivant la même optique. Autrement dit, chacun d'entre eux va opérer des contrôles à un niveau différent. Prenons l'exemple d'une boîte de nuit. A l'entrée, les vigiles sont supposés filtrer les individus malveillants ou susceptibles de l'être. Bien sûr, il est toujours possible de rentrer en prenant l'apparence de personnes normales. On peut ensuite éventuellement rajouter des contrôles d'identité afin de vérifier que les individus autorisés à entrer ne sont pas des fauteurs de trouble notoires. Bien sûr, s'il n'y avait ni caméra ni personnel à l'intérieur du club pour vérifier qu'il ne se passe rien de grave, la soirée tournerait vite au drame.
Nous avons retrouvé ici toutes les entités discutées. Les firewalls et systèmes de prévention des intrusions canalisent les flux de données potentiellement dangereux vers une ou plusieurs entrées définies et filtrent de manière à ne laissent passer que les données en apparence inoffensives. Les antivirus vérifient que l'identité des arrivants ou des programmes s'exécutant n'existent pas dans une liste noire prédéfinie (les signatures). Enfin, le système de détection des intrusions vérifie qu'il ne se passe rien de potentiellement dangereux.
Comment passer à l'action ?
Lorsque l'IDS a reconnu une intrusion, il est de son devoir d'avertir les autorités compétentes. Et c'est sûrement autour de ce point que gravite l'essentiel du système. Effectivement, si un IDS détecte les intrusions, il est rare qu'il puisse réellement agir de façon à bloquer l'intrusion. Autrement dit, la force de détection d'un IDS repose sur les logs et sur la fréquence à laquelle ils sont consultés. Tout d'abord, il est rare qu'une intrusion réussisse trop rapidement. L'attaquant doit d'abord analyser le système et commettre des petites infractions ou tests détectables ce qui laisse le temps au sysadmin de repérer les essais et de suivre ou de bannir l'attaquant. Ensuite, la détection des intrusions réduit au maximum les possibilités d'intrusion ou fait agir le système de telle manière que l'attaquant distingue mal les points vulnérables. Enfin, il permet évidemment la traçabilité de l'attaque.
Notre but avec ce projet est de diffuser librement une documentation et des sources sur les attaques et la détection des attaques courantes au jour d'aujourd'hui. Nous allons donc vous faire suivre notre raisonnement, expliquer les attaques que nous avons testées et les mesures concrètes que nous avons codées.
Les IDS (Intrusion Detection System) s'inscrivent comme on peut s'en douter dans une optique de sécurisation du système sur lequel il est installé. Pour arriver à ses fins, l'IDS doit se positionner de manière furtive sur la machine ou sur un centre névralgique du réseau à protéger. Depuis ce point, l'IDS peut analyser les flux de données sur le réseau ou vers le système protégé, ou encore vérifier le fonctionnement interne du système. Mais pourquoi développer un IDS étant donné la masse des firewalls et autres Systèmes de Prévention des Intrusions ?
IDS, IPS, firewalls et antivirus
La différence entre ces entités est énorme. Effectivement, ils ne combattent pas les intrusions suivant la même optique. Autrement dit, chacun d'entre eux va opérer des contrôles à un niveau différent. Prenons l'exemple d'une boîte de nuit. A l'entrée, les vigiles sont supposés filtrer les individus malveillants ou susceptibles de l'être. Bien sûr, il est toujours possible de rentrer en prenant l'apparence de personnes normales. On peut ensuite éventuellement rajouter des contrôles d'identité afin de vérifier que les individus autorisés à entrer ne sont pas des fauteurs de trouble notoires. Bien sûr, s'il n'y avait ni caméra ni personnel à l'intérieur du club pour vérifier qu'il ne se passe rien de grave, la soirée tournerait vite au drame.
Nous avons retrouvé ici toutes les entités discutées. Les firewalls et systèmes de prévention des intrusions canalisent les flux de données potentiellement dangereux vers une ou plusieurs entrées définies et filtrent de manière à ne laissent passer que les données en apparence inoffensives. Les antivirus vérifient que l'identité des arrivants ou des programmes s'exécutant n'existent pas dans une liste noire prédéfinie (les signatures). Enfin, le système de détection des intrusions vérifie qu'il ne se passe rien de potentiellement dangereux.
Comment passer à l'action ?
Lorsque l'IDS a reconnu une intrusion, il est de son devoir d'avertir les autorités compétentes. Et c'est sûrement autour de ce point que gravite l'essentiel du système. Effectivement, si un IDS détecte les intrusions, il est rare qu'il puisse réellement agir de façon à bloquer l'intrusion. Autrement dit, la force de détection d'un IDS repose sur les logs et sur la fréquence à laquelle ils sont consultés. Tout d'abord, il est rare qu'une intrusion réussisse trop rapidement. L'attaquant doit d'abord analyser le système et commettre des petites infractions ou tests détectables ce qui laisse le temps au sysadmin de repérer les essais et de suivre ou de bannir l'attaquant. Ensuite, la détection des intrusions réduit au maximum les possibilités d'intrusion ou fait agir le système de telle manière que l'attaquant distingue mal les points vulnérables. Enfin, il permet évidemment la traçabilité de l'attaque.
Notre but avec ce projet est de diffuser librement une documentation et des sources sur les attaques et la détection des attaques courantes au jour d'aujourd'hui. Nous allons donc vous faire suivre notre raisonnement, expliquer les attaques que nous avons testées et les mesures concrètes que nous avons codées.
L'équipe de développement d'Herkeios