ACK Indicateur d’accusé de réception TCP activé par le système de réception d’extrémité pour indiquer la réception du paquet.
Attaque clandestine L’attaquant désire que l’analyste croie qu’un hôte « A » est sous attaque en l’inondant de nombreux paquets d’exploits qui
déclenchent des alarmes de l’IPS. Pendant que l’analyste est occupé à enquêter sur les événements de sécurité liés à l’hôte « A »,
l’attaquant se tourne lentement vers l’hôte qu’il entend cibler.
Attaque par conditionnement
Un attaquant consacre ses énergies à générer du trafic qui déclenche de faux positifs pour les signatures activées dans l’IPS. L’analyste de la sécurité enquête pour déterminer si les alarmes sont fausses; ce faisant, il peut désactiver les signatures ou décider de ne pas tenir compte des alarmes à l’avenir. À ce stade, l’attaquant peut lancer une attaque réelle.
Attaque par mystification
Un attaquant envoie des paquets malveillants qui contiennent des adresses IP source mystifiées. L’analyste ouvre une enquête afin de déterminer si l’hôte ainsi mystifié est compromis au lieu de se concentrer sur l’attaque elle-même.
Division de session Technique évasive par laquelle l’attaquant divise l’attaque en paquets plus petits qui passent inaperçus puisque l’IPS ne conserve pas d’information dynamique pour l’analyse axée sur les signatures.
FIN Indicateur de fin du protocole TCP activé pour interrompre la connexion et indiquer qu’il n’y a plus de données à transmettre.
IPS-hôte IPS qui fonctionne en utilisant l’information recueillie dans un système informatique individuel. Son emplacement privilégié lui permet de déterminer exactement le processus et les comptes d’utilisateur concernés au cours d’une attaque particulière contre le système d’exploitation. De plus, contrairement à un IPS-réseau, un IPS-hôte est plus en mesure de « connaître » le résultat prévu d’une tentative d’attaque puisqu’il peut directement consulter et surveiller les fichiers de données et les processus de système habituellement visés par les attaques. L’IPS-hôte est semblable à un IDS-hôte (système de détection d’intrusions), en plus d’être doté de fonctions supplémentaires qui lui permettent de prévenir, de bloquer et d’arrêter les attaques. (NIST SP 800-36)
IPS-réseau IPS qui détecte les attaques en interceptant et en analysant les paquets réseau. L’écoute d’un segment de réseau ou d’un commutateur lui permet de surveiller le trafic réseau qui a une incidence sur les nombreux hôtes reliés au segment de réseau.
L’IPS-réseau peut uniquement inspecter le trafic qui lui est destiné ou qui le traverse. Il est semblable à un IDS-réseau, en plus d’être doté de fonctions supplémentaires qui lui permettent de prévenir, de bloquer et d’arrêter les attaques. (NIST SP 800-36)
SYN Indicateur de synchronisation TCP qui sert à établir des connexions et à synchroniser les numéros de séquence.
Technique évasive Technique concernant le contournement des signatures IPS activées pour éviter la détection ou le blocage.
2009 27
Tableau 1 : Liste de contrôle des fonctions de sécurité : Systèmes de prévention d’intrusions (IPS)
Nom du produit :
Liste de contrôle des fonctions de sécurité – IPS
Élément Fonctions recommandées
1.0
Fonctions de sécurité de base
1.1Attaques connues
Tant les attaquants novices qu’experts tentent toujours de lancer des attaques existantes connues, qui demeurent susceptibles de représenter les plus graves menaces pour un réseau.
Le produit devrait pouvoir reconnaître toutes les attaques connues et déclencher une alerte, le cas échéant.
1.2
Nouvelles attaques
Cette fonction protège contre les exploits du jour zéro.
Le produit devrait pouvoir reconnaître les nouvelles attaques détectées par le service de détection d’anomalie ou l’analyse dynamique du protocole, et déclencher une alerte, le cas échéant.
1.3
Mises à jour des signatures
Cette fonction permet de s’assurer que le produit est en mesure de prendre en charge et de détecter les plus récentes attaques. Les nouvelles attaques voient fréquemment le jour lorsque des faiblesses sont détectées.
La solution devrait prévoir des mises à jour automatiques et régulières des signatures.
1.4
Mises à niveau des fonctions
L’IPS devrait pouvoir recevoir des mises à niveau des fonctions au fur et à mesure qu’évolue la technologie afin d’améliorer ses capacités de détection et de prévention.
La configuration existante devrait être rétrocompatible avec les mises à niveau de nouvelles fonctions.
Nom du produit :
Liste de contrôle des fonctions de sécurité – IPS
Élément Fonctions recommandées
1.5
Matériel spécialisé
L’exécution d’autres services sur le même dispositif que celui de l’IPS peut être à l’origine de faiblesses potentielles qu’un attaquant pourrait exploiter ou d’une dégradation importante du rendement de l’utilisateur final.
L’installation d’un IPS-réseau dans un réseau renforcé, dans lequel on utilise uniquement les services essentiels au soutien du produit, rend plus difficile la capacité d’un attaquant de compromettre ou de toucher le rendement.
Un IPS-réseau devrait fonctionner sur une plate-forme spécialisée qui ne devrait pas être utilisée pour offrir d’autres services, par exemple, des services de serveur Web ou DNS (système de noms de domaine).
1.5.1 Mises à jour du logiciel
Les fournisseurs doivent diffuser des mises à jour de sécurité pour leur logiciel afin de prévenir l’exploitation de ses faiblesses.
Les administrateurs devraient recevoir un avis automatique lors de la diffusion des rustines de sécurité et ces mises à jour devraient être faciles à appliquer.
1.5.2 Système d’exploitation renforcé
Cette fonction rend plus difficile la capacité de compromission d’un attaquant puisque le système offre moins de points d’accès et est moins vulnérable. Un IPS-réseau devrait être installé dans un serveur de système d’exploitation renforcé.
1.6
Méthodes de détection
Technologie axée sur les signatures
Ce processus permet de comparer les signatures ou les modèles de trafic connus et de détecter les menaces ou les incidents potentiels.
Le dispositif devrait détecter les activités malveillantes associées aux attaques connues en recourant à la détection axée sur les signatures;
l’administrateur peut activer ou désactiver les signatures pour peaufiner le processus. Pour une protection maximale, la solution IPS devrait offrir une combinaison de différentes méthodes de détection.
2009 29
Nom du produit :
Liste de contrôle des fonctions de sécurité – IPS
Élément Fonctions recommandées
1.6.1 Analyse dynamique du protocole
Ce processus vérifie les écarts du protocole par rapport à la spécification de base, traite les transmissions de paquets multiples et fait le suivi de
l’information d’état.
Le dispositif devrait conserver l’information sur l’état du protocole et effectuer l’analyse de ses anomalies. Pour une protection maximale, la solution IPS devrait offrir une combinaison de différentes méthodes de détection.
1.6.2 Analyse des anomalies statistiques
Cette analyse requiert la surveillance permanente du trafic afin de déterminer ce qu’est un comportement normal et d’en créer un modèle de base.
Le dispositif devrait détecter les nouvelles attaques en utilisant ce modèle pour établir ce qu’est le comportement normal du trafic et ainsi détecter les anomalies. Pour une protection maximale, la solution IPS devrait offrir une combinaison de différentes méthodes de détection.
1.7
IPS-hôte
Un IPS-hôte doit intercepter les appels de système d’exploitation pour surveiller efficacement les activités malveillantes.
L’IPS-hôte devrait offrir une protection de système d’exploitation qui protège les ressources, les débordements de tampon, les fichiers système et l’élévation de privilège. Il devrait surveiller et protéger les fonctions de base de données des hôtes et (ou) des serveurs qui utilisent ce type de stockage. Il devrait inspecter le trafic HTTP des hôtes ou des serveurs qui utilisent des serveurs Web en appliquant la fonction de chiffrement pour vérifier les paquets chiffrés.
Nom du produit :
Liste de contrôle des fonctions de sécurité – IPS
Élément Fonctions recommandées
1.8
IPS-réseau
En plus des méthodes de détection mentionnées dans ce manuel, l’IPS-réseau devrait élargir l’application de cette fonction pour réduire le nombre
d’alarmes générées.
L’IPS-réseau devrait offrir les capacités suivantes :
filtrage par coupe-feu du trafic à inspecter;
configuration automatique de règles pour l’utilisation de ports non standard lorsque l’on détecte que les applications utilisent de tels ports;
inspection des paquets avec le protocole SSL;
protection contre les débordements de tampon;
protection contre les techniques évasives telles la fragmentation IP;
corrélation des événements avec l’information obtenue du réseau et de l’utilisateur et avec évaluation des vulnérabilités.
1.9
Information obtenue du réseau
Le jumelage des méthodes de détection et de l’information extraite du réseau, telles les applications utilisées, les versions de système d’exploitation et les protocoles, peut aider à réduire le nombre de faux positifs.
L’IPS devrait corréler les événements de sécurité avec l’information obtenue du réseau pour réduire les alarmes qui requièrent une enquête plus
approfondie et éliminer le faux positif.
2009 31
Nom du produit :
Liste de contrôle des fonctions de sécurité – IPS
Élément Fonctions recommandées
1.10
Information obtenue de l’utilisateur
Le jumelage des méthodes de détection et de l’information obtenue de l’utilisateur, telle que l’identificateur (ID) d’utilisateur, l’attribution
dynamique d’adresse IP et les heures de connexion peuvent aider à réduire le nombre de faux positifs et à déterminer correctement la source du problème.
L’IPS devrait corréler les événements de sécurité avec l’information obtenue de l’utilisateur pour réduire le nombre d’alarmes nécessitant une enquête plus approfondie, éliminer les faux positifs et tenir les utilisateurs
responsables.
1.11
Évaluation des vulnérabilités
L’intégration d’un outil d’évaluation des vulnérabilités dans une solution IPS permet de connaître la posture de sécurité actuelle des dispositifs de réseau au plan des vulnérabilités.
Le détecteur IPS devrait recevoir régulièrement des évaluations de
vulnérabilités pour demeurer à jour et permettre l’élimination des menaces en fonction des vulnérabilités existantes du réseau organisationnel.
1.12
Rendement relatif au volume de trafic
Cette fonction permet de s’assurer que le produit offre une sécurité adéquate dans toutes les conditions et non seulement dans des conditions optimales.
Les fournisseurs devraient communiquer les résultats des tests d’extensibilité qu’ils ont effectués pour attester du rendement de leur dispositif IPS. Ces résultats devraient tenir compte de la largeur de bande, de l’utilisation de l’UCT, du nombre de signatures activées, des délais de propagation et des règles d’anomalie configurées. Il est préférable que ces tests soient effectués par un tiers indépendant afin de garantir l’exactitude des résultats.
1.12.1 Tests indépendants en situation de volume de trafic élevé
Les tests effectués par un tiers indépendant permettent de s’assurer que les revendications du fournisseur ont été examinées et confirmées de façon impartiale.
Le fournisseur devrait pouvoir prouver que des tests du produit ont été effectués par un tiers indépendant dans des conditions de trafic élevé.
Nom du produit :
Liste de contrôle des fonctions de sécurité – IPS
Élément Fonctions recommandées
1.13
Correction
Pour prévenir les attaques ou les infractions à la sécurité, les solutions IPS doivent corriger le problème en rejetant le trafic ou en permettant à un autre mécanisme de contrôle de sécurité de l’atténuer.
Détecteurs IPS sur le chemin réseau : L’IPS devrait rejeter le trafic ou transmettre une mise à jour de politique de correction à un mécanisme de contrôle de sécurité situé plus près de la frontière du réseau, par exemple, un coupe-feu DMZ.
Détecteurs IPS hors du chemin réseau : L’IPS devrait transmettre une commande de correction à un mécanisme de contrôle de sécurité situé sur le chemin réseau pour mettre à jour un contrôle de politique et rejeter le trafic malveillant.
1.13.1 Modes de protection
Pour permettre la mise au point de la solution HIPS et empêcher le blocage du trafic critique, le produit HIPS prévoit habituellement un mode
apprentissage/surveillance et un mode prévention. En mode apprentissage, la solution crée un trafic nominal normal et permet aux analystes de repérer dans leurs hôtes le trafic critique qui peut exiger des exceptions spéciales. Au cours de ce stade, la solution ne filtre activement ni ne bloque le trafic mais produit simplement un mécanisme d’avertissement. Après avoir créé un profil d’hôte, l’analyste de TI peut passer en mode prévention, stade au cours duquel la solution assure la protection de toutes les fonctions de sécurité activées en interdisant, filtrant et bloquant les attaques.
L’IPS devrait offrir différents niveaux de protection jusqu’à ce qu’il ait été mis au point pour prévenir les faux négatifs dans l’environnement de l’organisation.
2.0
Conformité aux normes sur le protocole
2009 33
Nom du produit :
Liste de contrôle des fonctions de sécurité – IPS
Élément Fonctions recommandées
2.1 Transmission Control Protocol (TCP)
Puisque la plupart des applications utilisent le protocole TCP, la majorité des maliciels ciblent les applications TCP. On peut surveiller les indicateurs TCP pour déterminer les comportements anormaux ou les attaques
unidirectionnelles.
L’IPS devrait surveiller les balises et les paquets TCP.
2.2 User Datagram protocol (UDP)
Les attaquants tentent d’utiliser des paquets UDP (protocole sans connexion) pour contourner les mécanismes de défense du protocole TCP.
L’IPS devrait surveiller les paquets UDP.
2.3 Internet Control Message Protocol (ICMP)
Certaines attaques par déni de service (DoS) utilisent des paquets ICMP, tels Echo Request (ping), Echo Reply (réponse ping), Source Quench7, et autres types de message de contrôle ICMP moins connus. Les attaquants utilisent aussi couramment les messages Echo Request et Traceroute pour effectuer une reconnaissance des réseaux.
L’IPS devrait surveiller les paquets ICMP et détecter les attaques par déni de service.
3.0
Authentification
3.1
Connexion sécurisée
Toutes les connexions à l’IPS devraient utiliser un canal sécurisé entre l’hôte client et l’IPS.
Pour l’accès aux terminaux, le fournisseur devrait utiliser le protocole SSH.
Pour l’accès Web, il doit utiliser le protocole SSL/TLS.
7 Pour un exemple, voir la norme CVE-2004-0791 : ICMP Source Quench attack.
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2004-0791
Nom du produit :
Liste de contrôle des fonctions de sécurité – IPS
Élément Fonctions recommandées
3.2
Ouverture de session intégrée
Cette fonction permet de réduire la complexité de la gestion des comptes, notamment la création et la suppression de comptes.
L’IPS devrait utiliser et intégrer facilement l’infrastructure d’ouverture de session de l’organisme qui comprend entre autres le service Active
Directory, le protocole LDAP ou le protocole RADIUS.
3.3
Mots de passe
L’IPS devrait utiliser des mots de passe pour tous les comptes d’analyste et d’administrateur. L’utilisation de ces mots de passe permet de s’assurer d’une authentification suffisamment robuste pour résister aux attaques en force brute.
La console de gestion de la configuration devrait traiter les mots de passe. Là où des mots de passe sont utilisés, le produit devrait offrir un choix de
longueur et de format de mot de passe qui soit conforme aux politiques et lignes directrices des ministères et organismes en matière de sécurité.
3.3.1 Compatibilité des mots de passe
Cette fonction aide à réduire le problème que pose aux utilisateurs le besoin de mémoriser un grand nombre de formats différents de mot de passe pour les différentes applications.
Là où des mots de passe sont utilisés, le produit devrait offrir un choix de longueur et de format de mot de passe qui soit conforme aux politiques et lignes directrices des ministères et organismes en matière de sécurité.
4.0
Normes relatives à l’infrastructure à clé publique
2009 35
Nom du produit :
Liste de contrôle des fonctions de sécurité – IPS
Élément Fonctions recommandées
4.1
Certificats
Les certificats offrent une méthode d’authentification plus transparente et sûre lorsqu’on utilise les protocoles SSL/TLS et SSH.
L’IPS devrait prendre en charge les certificats signés par une autorité de certification fiable pour les protocoles SSH et SSL/TLS, requis pour la gestion à distance.
5.0
Normes cryptographiques
5.1Algorithmes de chiffrement
Cette fonction permet de s’assurer que les algorithmes utilisés sont suffisamment robustes pour répondre aux normes gouvernementales. Les applications de gestion à distance, telles SSL/TLS et SSH, utilisent le chiffrement.
Le produit devrait utiliser l’un des algorithmes de chiffrement suivants, qui sont approuvés par le CSTC pour le chiffrement des renseignements protégés du gouvernement du Canada :
Advanced Encryption Standard (AES) avec une longueur de clé de 128, 192 ou 256 bits
Triple-Data Encryption Standard (3DES) avec option à deux ou trois clés http://www.cse-cst.gc.ca/its-sti/services/industry-prog-industrie/cmvp-pvmc-fra.html
http://www.cse-cst.gc.ca/its-sti/publications/index-fra.html
Nom du produit :
Liste de contrôle des fonctions de sécurité – IPS
Élément Fonctions recommandées
6.0
Assurance
6.1
Normes FIPS (Federal Information Processing)
Cette fonction permet de s’assurer que les algorithmes cryptographiques utilisés avec les protocoles SSH ou SSL/TLS pour la gestion à distance ont été examinés par un tiers indépendant fiable et que la qualité de conception du produit est suffisante pour que, une fois activé, il puisse résister aux attaques.
Le produit devrait appliquer un module cryptographique validé par le Programme de validation des modules cryptographiques pour l’une des normes FIPS suivantes :
FIPS 140-18
FIPS 140-2
6.2
Programme de validation des algorithmes cryptographiques (CAVP)
Le CAVP comprend les tests de validation pour les algorithmes
cryptographiques approuvés par les normes FIPS et recommandés par le NIST. La validation des algorithmes cryptographiques en vertu du CAVP est une mesure préalable du CMVP.
http://www.cse-cst.gc.ca/its-sti/services/industry-prog-industrie/cmvp-pvmc-fra.html
http://www.cse-cst.gc.ca/its-sti/publications/index-fra.html Le module cryptographique devrait appliquer des algorithmes cryptographiques validés par le CAVP pour la norme spécifiée des protocoles SSL/TLS et SSH.
8 La norme FIPS 140-2 a été publiée le 25 mai 2001 et remplace la norme FIPS 140-1. Les modules validés à la norme FIPS 140-1 et à la norme FIPS 140-2 sont acceptés par les organismes fédéraux canadiens et américains pour la protection des renseignements sensibles. Toutefois, un organisme fédéral peut décider de faire l'acquisition d'un module validé uniquement à la norme FIPS 140-2. (http://csrc.nist.gov/groups/STM/cmvp/index.html#04) Une validation à la norme FIPS 140-1 sera acceptée comme équivalence à la norme FIPS 140-2 pour les produits plus anciens.
2009 37
Nom du produit :
Liste de contrôle des fonctions de sécurité – IPS
Élément Fonctions recommandées
6.3
Critères communs – Niveau d’assurance de l’évaluation
Cette fonction permet de s’assurer que le produit respecte une norme minimale de mise en œuvre concernant les fonctions de sécurité évaluées et qu’il offre un niveau d’assurance pour la sécurité du produit.Dans le cas des produits évalués en vertu des Critères communs, ils devraient satisfaire au niveau d’assurance EAL 3 ou à un niveau supérieur.
http://www.cse-cst.gc.ca/its-sti/services/cc/index-fra.html 6.3.1 Profil de protection ou cible de sécurité
Cette fonction permet de s’assurer que le produit a été évalué au plan des fonctions de sécurité applicables aux besoins de l’organisation ou pertinentes pour l’utilisation prévue du produit.
Dans le cas des produits évalués en vertu des Critères communs, ils devraient évalués pour un profil de protection ou une cible de sécurité décrivant des fonctionnalités de sécurité pertinentes pour l’organisation.
7.0
Configurabilité
7.1
Valeurs par défaut modifiables
Cette fonction permet d’empêcher des utilisateurs non autorisés de se
connecter au produit, ou de l’utiliser, en ouvrant une session ou en effectuant une connexion avec les valeurs par défaut du fabricant.
Les administrateurs devraient changer toutes les valeurs par défaut du fabricant durant l’installation. Le fournisseur devrait centraliser la documentation de ces valeurs.
7.2
Interventions – Paquets non standard
Cette fonction aide à empêcher les attaquants d’établir un profil des défenses du système en se fondant sur les interventions standard prévues pour les paquets non standard.
L’administrateur devrait pouvoir reconfigurer les interventions prévues en cas de paquets illégaux ou non standard.
Nom du produit :
Liste de contrôle des fonctions de sécurité – IPS
Élément Fonctions recommandées
7.3
Journalisation
Un journal de toutes les transactions, tenu à jour conformément aux politiques de l’organisation en matière de sécurité, permet de consigner toutes les actions non autorisées. L’examen régulier de ces journaux aide à identifier les tentatives d’introduction par effraction, réussies ou non. Les journaux aident également à déterminer les dommages causés, la façon dont ils l’ont été et, à l’occasion, l’identité du responsable.
Le produit devrait être configurable pour permettre la journalisation des transactions en conformité avec les politiques de sécurité de l’organisation.
Cette capacité doit être activée dès l’installation.
7.4
Mise au point adaptative
Fonctions qui mettent automatiquement au point l’IPS en tenant compte de
Fonctions qui mettent automatiquement au point l’IPS en tenant compte de