Les systèmes de détection d'intrusions
Publi� le 25 avril 2007

Voici le mémoire de recherche de Master de David Burgermeister et Jonathan Krier sur le sujet des systèmes de détection des intrusions.

Sommaire :

Introduction _____________________________________________________5
Les différents types d'attaques _____________________________________6
Anatomie d'une attaque __________________________________ 6
Les attaques réseaux ____________________________________ 7
Les techniques de scan ________________________________________________ 7
IP Spoofing _________________________________________________________ 7
ARP Spoofing (ou ARP Redirect) _________________________________________ 8
DNS Spoofing________________________________________________________ 8
Fragments attacks ____________________________________________________ 9
TCP Session Hijacking _________________________________________________ 9
Les attaques applicatives ________________________________ 10
Les problèmes de configuration _________________________________________ 10
Les bugs___________________________________________________________ 10
Les buffer overflows__________________________________________________ 10
Les scripts _________________________________________________________ 10
Les injections SQL ___________________________________________________ 11
Man in the middle ___________________________________________________ 11
Le Déni de service______________________________________ 11
Actuellement__________________________________________ 12
Détection d'attaques : les IDS_____________________________________12
Les différents types d'IDS________________________________ 12
Les systèmes de détection d'intrusions (IDS) ______________________________ 13
Les systèmes de détection d'intrusions « réseaux » (NIDS) ___________________ 13
Les systèmes de détection d'intrusions de type hôte (HIDS) __________________ 13
Les systèmes de détection d'intrusions « hybrides »_________________________ 13
Les systèmes de prévention d'intrusions (IPS) _____________________________ 14
Les systèmes de prévention d'intrusions « kernel » (KIDS/KIPS)_______________ 15
Les firewalls ________________________________________________________ 15
Les technologies complémentaires ______________________________________ 15
Les méthodes de détection _______________________________ 16
L'approche par scénario (misuse detection) _______________________________ 16
L'approche comportementale (Anomaly Detection)__________________________ 17
Les méthodes répandues ______________________________________________ 18
Principes généraux et installation technique _________________ 19
Déploiement d'un NIDS _______________________________________________ 19
Problèmes techniques ________________________________________________ 21
Complémentarité des IDS _____________________________________________ 22
Normalisation _________________________________________ 22
Techniques anti-IDS ____________________________________ 23
Détecter un IDS _____________________________________________________ 24
Déni de services contre un IDS _________________________________________ 24
Techniques d'insertion ________________________________________________ 24
Techniques d'évasion_________________________________________________ 25
Critères de tests d'un IDS________________________________ 26
Mise en œuvre d'IDS ____________________________________________27
 : Snort ____________________________________ 27
Description_________________________________________________________ 27
Installation_________________________________________________________ 28
Configuration _______________________________________________________ 29
Exécution __________________________________________________________ 29
Création de nouvelles règles ___________________________________________ 30
La console BASE ____________________________________________________ 31
 : Bro____________________________________________ 33
Description_________________________________________________________ 33
Installation_________________________________________________________ 34
Configuration _______________________________________________________ 34
Exécution __________________________________________________________ 34
Création de nouvelles règles ___________________________________________ 35
Comparatif Snort & Bro__________________________________ 35
 : SnortSam _______________________________________ 37
 : Snort-Inline _____________________________________ 37
 : OSSEC _________________________________________ 37
Description_________________________________________________________ 37
Installation_________________________________________________________ 38
Configuration _______________________________________________________ 38
Création de nouvelles règles ___________________________________________ 38
 : SamHain _______________________________________ 39
Description_________________________________________________________ 39
Installation_________________________________________________________ 39
Configuration _______________________________________________________ 40
 : RkHunter _______________________________________ 40
Description_________________________________________________________ 40
Installation_________________________________________________________ 41
Comparatif HIDS _______________________________________ 41
 : Prelude ___________________________________ 42
 : LIDS___________________________________________ 44
Tests de détection d'attaques_______________________________________44
Exploit phpBB _________________________________________ 44
Scan TCP SYN _________________________________________ 45
Scan TCP Connect ______________________________________ 45
Scan Null_____________________________________________ 45
Remarques sur les scans ________________________________ 46
 : Overflow HTTP d'Oracle 9i (win32) _________________ 46
 : Overflow FTP d'Oracle 9i (win32)___________________ 46
Remarques sur les exploits Oracle 9i _______________________ 47
Algorithmique : le Pattern Matching ________________________________48
Introduction __________________________________________ 48
Algorithme naïf (Brute Force Algorithm) ____________________ 49
L'algorithme de Morris -Pratt_____________________________ 49
L'algorithme de Knuth -Morris -Pratt ______________________ 51
Algorithme de Boyer -Moore _____________________________ 53
Algorithme de Aho -Corasick _____________________________ 55
Snort et le pattern matching______________________________ 57
Conclusion ___________________________________________ 58
Conclusion ____________________________________________________60
 : Rappels essentiels concernant les protocoles _______________________ i 

Très instructif !