108 9.1 Problématique
Au cours de ces dernières années, des progrès significatifs ont été accomplis vers l'amélioration de la sécurité des systèmes informatiques. Malheureusement, la réalité indéniable demeure pas moins que tous les systèmes informatiques sont encore vulnérables. Ces systèmes sont vulnérables aux attaques à la fois des utilisateurs non-autorisés (attaques de l'extérieur) ainsi que les attaques des utilisateurs autorisés (attaques de l’intérieur) qui abusent de leurs privilèges.
Dans ce chapitre, nous proposons une approche basée sur une politique de sécurité à trois niveaux pour les systèmes informatiques complexes. Chaque niveau protège le système informatique des attaques provenant de l’intérieur et de l'extérieur à la fois. Cette politique de sécurité globale permettra à l'administrateur de sécurité des systèmes non seulement de détecter les attaques, mais aussi pour l'avertir à propos de cette intrusion et en interdire l'accès à l'ensemble des réseaux.
9.2 Catégories d’attaques de sécurité
Nous savons que la fonction principale des systèmes informatiques est de fournir des informations et des ressources aux utilisateurs. Par conséquent, il ya un flux de données échangées entre une source et une destination sur un canal.
La tâche du système de sécurité est de limiter l'accès aux données et aux ressources seulement pour les parties autorisées (personnes ou processus) qui sont autorisés à les utiliser, selon les politiques de sécurité établies. Le flux normal de données ou d'informations est visé par plusieurs catégories d'attaques de sécurité [158] qui sont illustrées dans la figure 28.
Interruption: le système est détruit ou devient indisponible. Il s’agit d’une attaque sur la disponibilité.
Interception: une partie non autorisée ait accès aux données par l'écoute dans le canal. Il s’agit d’une attaque sur la confidentialité.
Modification: les données sont non seulement interceptées, mais également modifié par un tiers non autorisé. Il s’agit d’une attaque sur l’intégrité.
Mascarade: l'attaquant fait semblant d'être une source légitime et insère ses données souhaitées. Il s’agit d’une attaque sur l’authentification.
109
Les quatre classes d’attaques illustrées à la figure 28 violent les différentes propriétés de sécurité des systèmes informatiques qui sont la confidentialité, l’intégrité, l’authentification et la disponibilité. 9.3 Système de sécurité à trois niveaux
Les approches traditionnelles présentées auparavant ont montré leurs insuffisances lorsqu’elles protègent les systèmes informatiques, en particulier, de l'intérieur.
Elles permettent de sécuriser le réseau uniquement sur son point d'entrée contre les attaques provenant du réseau externe basé sur un modèle de comportement normal ou base de données des attaques. D'où vient l'idée de chercher des solutions assurant la protection des systèmes informatiques auprès des utilisateurs non-autorisés ainsi que ceux autorisés qui abusent de leurs privilèges. La solution proposée dans le présent document consiste à mettre en place une politique de sécurité globale à trois niveaux. C’est une nouvelle méthode intéressante qui offre de nouvelles techniques adéquates pour les responsables de sécurité et renforce la sécurité de réseau.
9.3.1 Niveau 1 : Stratégies de protection externe
Le premier niveau de détection d'intrusions consiste à utiliser un système de détection d'intrusions bien connu en utilisant une approche classique ayant des avantages des approches susmentionnées. Il sera placé donc au sein de pare-feu pour prévenir les attaques du réseau provenant de l'extérieur en refusant les tentatives de connexion malveillantes de tiers non autorisés situés à l'extérieur. Pour notre cas, nous proposons un système de détection d'intrusions basé sur le réseau (NIDS) en utilisant une base de données des attaques [159]. Le principal avantage d'un système de détection basé sur la connaissanceest qu'il produit habituellement très peu de faux positifs, sa limitation est qu'il ne peut pas détecter d'éventuelles nouvelles intrusions n’existant pas dans la base de données des attaques; cet inconvénient sera amélioré dans les niveaux 2 et 3, qui vont nous aider à détecter de nouvelles attaques. L'analyse de ces attaques nous aidera à mettre à jour notre système de base de données des attaques.
9.3.2 Niveau 2 : Politiques de sécurité fonctionnelle
Le deuxième niveau de détection consiste à définir des politiques de sécurité fonctionnelles, ce qui signifie que les politiques sont en fonction des tâches assignées aux utilisateurs dans l'entreprise par la segmentation du réseau en VLAN "Virtual Local Area Network» et l'utilisation des ACL "Access Control List". On aura donc:
Les utilisateurs qui sont susceptibles de communiquer et de partager certaines ressources de système informatique seront mis dans le même VLAN.
La passerelle des machines de différents VLAN sera configurée avec une ACL définissant la liste des actions permises aux utilisateurs qui appartenaient au même VLAN (toutes les autres actions sont interdites) ou inversement, les autres utilisateurs n'auront pas accès à ce VLAN. En outre, le VLAN permet de restreindre le champ de contamination de réseau. En effet, si un intrus a réussi la prise de contrôle sur un hôte, l'attaque sera limitée à un sous-réseau de petite taille et ne peut pas contaminer l'ensemble de réseau informatique.
L'objectif principal de ce niveau est de protéger le réseau en interne des utilisateurs internes malveillants qui peuvent abuser de leurs privilèges (attaques internes) et des attaquants qui parviennent de l'extérieur et s'infiltrent dans les systèmes informatiques par l'usurpation d’identité (attaques externes).
110 9.3.3 Niveau 3 : Politiques de sécurité opérationnelle
Le troisième niveau de détection d'intrusions consiste à la définition d'une politique de sécurité opérationnelle par un mécanisme qui corrèle les informations de la liste des contrôle d'accès physique à la société et les informations de la liste des contrôle d'accès logique aux hôtes de l'utilisateur. Cela signifie, refuser l'accès au réseau aux utilisateurs qui ne sont pas réellement opérationnels (c'est à dire ceux qui sont absents ou définitivement démissionnés) de la société à ce moment-là. Ce contrôle va empêcher l'usurpation d'identité de l'intérieur ou de l'extérieur vers le réseau informatique interne. Ces niveaux de notre système de détection d'intrusions permettent de détecter automatiquement les violations de politiques de sécurité.
L'analyse du comportement du réseau informatique dans cette démarche permettra de connaître le trafic anormal provenant d'un hôte comme:
Les tentatives de connexion aux serveurs de réseau par l'utilisateur qui n'est pas présent dans l'entreprise ;
Les tentatives de connexion sur une machine ou sur des ressources non autorisées par des utilisateurs internes ou externes ;
La détection des tentatives d'accès à un réseau informatique ou à certaines ressources par des utilisateurs non-autorisés.
9.4 Architecture générale du système proposé
La figure 29 résume les étapes importantes de notre système basé sur la politique de sécurité à trois niveaux.
Nous avons besoin de recueillir les journaux d’événements des trois niveaux différents, alors nous pouvons les regrouper, filtrer les alertes chroniques et, enfin, on peut corréler nos données afin de réduire leurs volumes pour en faciliter l'analyse et l'optimisation de temps de traitement à la recherche de quelques intrusions.
Dans le cas d'une intrusion de niveau 2 ou 3, l'administrateur peut regrouper les données ensemble afin de savoir exactement comment les événements se sont déroulés. Cette méthode est appelée "la reconstruction de l'événement» et elle est vraiment utile pour les administrateurs, car ils peuvent ainsi:
Avoir une meilleure compréhension des besoins de leurs réseaux ;
Identifier les faiblesses du système et améliorer les politiques de sécurité ; Prévenir l'abus de ces faiblesses par des attaquants internes et externes ; Mettre à jour la base de connaissances de niveau 1 ;
Nous aider à résoudre le problème des faux positifs et négatifs, de réduire leurs nombres, et donc de réduire le nombre d'alertes et d'accélérer le traitement par la suite ;
111
Fig. 29 : Architecture générale du système de sécurité à trois niveaux
9.5 Diagramme du système proposé
Comme le montre le schéma de la figure 30, lorsque le trafic de paquet arrive, il passe à travers le premier niveau où l'IDS est installé. Si c'est un paquet intrusif et son scénario est inclus dans la base de données IDS, le paquet sera rejeté, si ce n'est pas le cas, il passe par le deuxième niveau où nous vérifions le type de service effectué ou demandé par l'utilisateur derrière cette machine, s'il est autorisé à utiliser le service demandé ou non. S'il n'a pas le droit d'accéder à des services demandés et / ou de ressources, la demande sera rejetée et l'administrateur réseau sera notifié par une alerte pour lancer les diagnostics, si oui, le paquet passe par le troisième niveau. Dans ce niveau, nous vérifions si l'utilisateur est présent dans l'entreprise ou non. Si c’est oui, l'utilisateur aura un accès complet aux services et / ou aux ressources demandées. S'il est absent, il n’aura pas le droit d’y accéder à distance, le paquet sera rejeté et l'administrateur du réseau sera informé par une alerte pour lancer les diagnostics. L’analyse de paquet intrusif fournie à l'administrateur réseau pour déterminer l'origine de l'attaque à l'aide de la reconstruction des événements afin de souligner ce qui s'est exactement passé, et mettre en œuvre des contre-mesures pour ce nouveau type d'attaque et par la suite, mettre à jour la base de données de l’IDS de premier niveau.
112
Fig. 30 : Diagramme de l’algorithme de politique de sécurité à trois niveaux 9.6 Conclusion
Dans ce chapitre, nous avons vu que la détection d'intrusions dans les réseaux ne vient pas pour remplacer les mécanismes traditionnels de sécurité, mais de les compléter. Nous avons fait une description des différentes étapes du système de politiques de sécurité à trois niveaux:
Niveau 1: consiste à appliquer une protection extérieure.
Niveau 2: consiste à mettre en place des politiques de sécurité fonctionnelle. Niveau 3: consiste à mettre en place des politiques de sécurité opérationnelle.
Ces trois niveaux peuvent aider l'administrateur à prévenir l'intrusion et ainsi à implémenter des mesures proactives pour détecter une éventuelle attaque.
113
114 a. Conclusion générale
La détection d'intrusions se heurte à plusieurs handicaps dont le haut débit et la génération abondante de faux positifs. Au cours de cette thèse, nous avons abordé ces différents problèmes et proposé quelques solutions afin d'optimiser la détection d'intrusions.
Dans la partie 1, nous avons vu un ensemble de systèmes contribuant à la sécurité des systèmes informatiques. Nous avons commencé par définir et expliquer le fonctionnement des systèmes de détection d’intrusions. Puis nous avons expliqué le rôle joué par le pare-feu dans la sécurité des réseaux et finalement, nous avons détaillé le fonctionnement des systèmes cryptographiques.
Dans la partie 2, nous avons introduit la notion de politique de sécurité puis nous avons utilisé le langage ELAN pour décrire et évaluer des politiques de confidentialité et de sécurité. Nous avons également présenté une nouvelle approche pour l'analyse et l’optimisation des ACL. L’algorithme proposé dans notre travail a simplifié énormément la tâche de l'administrateur réseau pour implémenter et vérifier des politiques de sécurité d'entreprise. En fin, nous avons proposé une formalisation pour le déploiement sûr des politiques et nous avons utilisé cette formalisation comme une base pour fournir des algorithmes sûrs et efficaces pour les deux types de langage d’édition I et II. Nous avons fourni un algorithme correct et sûr qui nous a permis de déployer une politique de sécurité cible afin qu’elle remplace celle en cours d’exécution. Nous avons également adopté et implémenté la solution VPN/SSH pour garantir la sécurité lors de déploiement de la politique cible [162].
Dans la partie 3, Nous avons présenté les qualités requises des systèmes de détection d'intrusions. Afin de remplir ces objectifs, diverses méthodes de détection d'intrusions ont été proposées. Elles se basent principalement sur deux principes de détection : la détection par anomalie et la détection par la connaissance. Nous avons expliqué ces deux principes de détection et détaillé en particulier la détection d'intrusions qui emploie le filtrage de motifs. Par ailleurs nous avons souligné les limites des systèmes de détection d'intrusions basés réseau. Afin de résoudre ces limites, nous avons proposé une division du trafic qui redirige chaque classe du trafic vers le système de détection d'intrusions adéquat. Nous avons vu que pour décrire une attaque sous toutes ses faces, il fallait utiliser plusieurs langages de description adaptés. Pour cela, nous avons présenté une bonne classification de ces langages pour décrire complètement une attaque.
En fin, nous avons proposé, dans cette thèse, une nouvelle approche de détection d'intrusions pour les systèmes informatiques complexes, basée sur une politique de sécurité à trois niveaux. Chaque niveau se chargeait de protéger le système informatique des attaques venant de l’intérieur et de l'extérieur à la fois. Cette politique globale de sécurité a permis à l'administrateur des systèmes de sécurité non seulement de détecter les attaques, mais aussi pour l'avertir à propos de cette intrusion et en interdire l'accès à l'ensemble des réseaux.
b. Perspectives
Les travaux présentés dans cette thèse peuvent être améliorés à plusieurs niveaux.
En ce qui concerne le déploiement des politiques de sécurité, nous comptons travailler encore pour améliorer l’algorithme utilisé dans le langage d’édition type I [52], surtout l’aspect complexité. Nous allons focaliser sur le langage d’édition type II [160] afin que le déploiement de la politique cible soit plus rapide et plus efficace.
115
Pour les systèmes de détection et prévention d’intrusions, nous allons travailler encore sur le système de détection d’intrusions à trois niveaux que nous avons proposé dans [161] afin de l’améliorer et ainsi de le mettre en œuvre dans un réseau réel de grande taille. Nous essayerons de concevoir un système de sécurité complet et embarqué qui intègre à la fois les politiques de sécurité et les systèmes de détection d’intrusions. Ce nouveau système utilisera une nouvelle approche de détection d’intrusions paramétrée par la politique (Policy based IDS) et qui va utiliser une politique de sécurité comme définition du comportement de référence d’un système.
116
Bibliographie
[1] Mé L. et V. Alanou. Intrusion détection : A bibliography. Technical Report SSIR-2001-01, Supélec, Rennes, France, September 2001.
[2] D. Denning. Protection and defense of intrusion, presented Presented at Conf on National Security in the Information Age, US Air Force Academy, Feb. 1996.
[3] J. Anderson. Computer security threat monitoring and surveillance. Technical Report 56, Box 40 Fort Washington, pa. 19034, February 26, 1980.
[4] D.E. Denning. An intrusion-detection model. IEEE Trans. Softw. Eng, Piscataway, NJ, USA, 13(2):222-232, 1987.
[5] P. Lespérance. Détection des variations d'attaques à l'aide d'une logique temporelle. Master's thesis, Université Laval, 2006.
[6] P. Biondi. Architecture expérimentale pour la détection d'intrusions dans un système informatique. PhD thesis, ENST Bretagne, 2001.
[7] S. Perret. Agents mobiles pour l'accès nomade à l'information répartie dans les réseaux de grande envergure. Master's thesis, Thèse en Sciences Informatique, LSR-IMAG, Grenoble I, France, 19 Novembre 1997.
[8] J. E. White. Telescript technology, the foundation for the electronic marketplace. White paper, Genenral Magic, 1994.
[9] N.Boukhatem. Les agents mobiles et leurs applications. DNAC Paris, 1999.
[10] D. Isacoff E. Spafford D. Zamboni J. Balasubramaniyan, J. Garcia-Fernandex. An architecture for intrusion detection using autonomous agents. Technical Report COAST TR 98-05, COAST Laboratory, Juin 1998.
[11] S. Edwards. Network intrusion detection Systems : Important ids network security vul- nerabilities. Technical Report Technical Evangelist, September 2002.
[12] C. Green and M. Roesch. Snort users manual 2.1.0. Technical report, the snort project, December 2003.
[13] P.de Boer and M.Pels. Host-based intrusion detection Systems. Technical report, February 4, 2005.
[14] T. Acadmics. Source release 1.3.1 for unix users manual 2.1.0. Technical report, Tripwire Security Systems Inc., April 1999.
[15] T. Lunt. Ides : An intelligent system for detecting intruders. In Proceedings of the Symposium : Computer Security, Treat and Countermeasures, Rome, Italy, November 1990.
[16] U. Lindqvist and P.A. Porras. Detecting computer and network misuse through the production based expert System toolset (p-BEST). In IEEE Symposium on Security and Privacy, pages 146- 161, 1999.
117
[17] D. Anderson, T. Frivold, A. Tamaru, and A. Valdes. Next-generation intrusion detection expert system (nides), software users manual, beta-update release. Technical Report SR1-CSL-95-07, Computer Science Laboratory, SRI International, 333 Ravenswood Avenue, Menlo Park, CA 94025-3493, may 1994.
[18] F. Cuppens and R. Ortalo. Lambda : A language to model a database for detection of attacks. In RAID '00 : Proceedings of the Third International Workshop on Recent Advances in Intrusion Detection, pages 197-216, London, UK, 2000. Springer-Verlag.
[19] K.I.Consulting K.Ingham and S.Forrest. A history and survey of network firewalls. The University of New Mexico Computer Science Department Technical Report, 2002.
[20] K. Cutler J. Wack and J. Pôle. Guidelines on firewalls and firewall policy. Technical Report NIST Spécial Publication 800-41, Information Technology Laboratory National Institute of Standards and Technology Gaithersburg, January 2002.
[21] TCSEC (1985). Trusted Computer System Evaluation Criteria. Technical Report DoD 5200.28- STD, Department of Defense.
[22] ITSEC (1991). Information Technology Security Evaluation Criteria (ITSEC) v1.2. Technical report.
[23] Bishop, M. (2003). Computer Security Art and Science. Numéro ISBN 0201440997 Addison- Wesley Professional.
[24] Lampson, B. W. (1973). A note on the confinement problem. Commun. ACM, 16(10):613–615. [25] Saltzer, J. et Schroeder, M. (1975). The protection of information in computer systems. Proc.
IEEE, 63(9):1278–1308.
[26] Clark, D. D. et Wilson, D. R. (1987a). A comparison of commercial and military computer security policies. In the Symposium on Security and Privacy 1987, pages 184–193. IEEE Press. [27] Sandhu, R. (1990). Separation of duties in computerized information systems. In IFIP WG11.3
Workshop on Database Security.
[28] Focardi, R. et Gorrieri, R. (2001). Classification of security properties (part i : Information flow). [29] Lampson, B.W. (1971). Protection. In The 5th Symposium on Information Sciences and
Systems, pages 437–443, Princeton University.
[30] Lampson, B. W. (1969). Dynamic protection structures. In AFIPS Fall Joint Computer Conference (FJCC 1969), volume 35, pages 27–38, Las Vegas, Nevada, USA. AFIPS Press.
[31] Harrison, M. A., Ruzzo, W. L. et Ullman, J. D. (1976). Protection in operating systems. Communications of the ACM, 19(8):461–471.
[32] Sandhu, R. S. (1992). The Typed Access Matrix Model. In Proceedings of the IEEE Symposium on Research in Security and Privacy, pages 122–136, Oakland, CA, USA. IEEE.
[33] Sandhu, R. S. (1988). The schematic protection model: Its definition and analysis for acyclic attenuating schemes. Journal of the ACM, 35(2):404–432.
118
[35] Ferraiolo, D. F. et Kuhn, D. R. (1992). Role-based access controls. In 15th National Computer Security Conference, pages 554–563, Baltimore, MD, USA.
[36] Loscocco, P. A., Smalley, S. D., Muckelbauer, P. A., Taylor, R. C., Turner, S. J. et Farrell, J. F. (1998). The Inevitability of Failure: The Flawed Assumption of Security in Modern Computing Environments. In Proceedings of the 21st National Information Systems Security Conference, pages 303–314, Arlington, Virginia, USA.
[37] Bell, D. E. et La Padula, L. J. (1973). Secure computer systems: Mathematical foundations and model. Technical Report M74-244, The MITRE Corporation, Bedford, MA.
[38] Biba, K. J. (1975). Integrity considerations for secure computer systems. Technical Report MTR- 3153, The MITRE Corporation.
[39] Boebert, W. E. et Kain, R. Y. (1985). A practical alternative to hierarchical integrity policies. In The 8th National Computer Security Conference, pages 18–27, Gaithersburg, MD, USA.
[40] Badger, L., Sterne, D. F., Sherman, D. L. etWalker, K. M. (1995). A domain and type enforcement UNIX prototype. In Proceedings of the 5th USENIX UNIX Security Symposium, pages 127–140, Salt Lake City, Utah, USA.
[41] Department of Defense (1991). Integrity in Automated Information Systems. Technical Report C 79-91, National Computer Security Center.
[42] Clark, D. D. et Wilson, D. R. (1987b). A comparison of commercial and military computer security policies. In Proceedings of the IEEE Symposium on Security and Privacy, pages 184–194, Oakland, CA, USA. IEEE.
[43] Brewer, D. F. C. et Nash, M. J. (1989). The chinese wall security policy. In Proceedings of the IEEE Symposium on Security and Privacy, pages 206–214, Oakland, CA, USA. IEEE.
[44] LORRIE CRANOR MARC LANGHEINRICH M. M., « A P3P Preference Exchange Language 1.0 », Draft, avril2002, W3C.
[45] PETER BOROVANSKY HORATIU CIRSTEA H. D. C. K.-H. K. P.-E. M. Q.-H. N. C. R. M. V., « ELAN user manual », manuel utilisateur, septembre2002, INRIA.
[46] H. Edelsbrunner. A new approach to rectangle intersections, part I. Int. J. Computer Mathematics, 13:209-219, 1983.
[47] H. Edelsbrunner. A new approach to rectangle intersections, part II. Int. J. Computer Mathematics, 13:221-229, 1983.
[48] S. Cobb. ICSA Firewall Policy Guide v2.0. Technical report, NCSA Security White Paper Series, 1997.
[49] C. C. Zhang, M. Winslett, and C. A. Gunter. On the Safety and Efficiency of Firewall Policy Deployment. In SP ’07: Proceedings of the 2007 IEEE Symposium on Security and Privacy, pages 33–50,Washington, DC, USA, 2007. IEEE Computer Society.
[50] Cisco Security Manager. http://www.cisco.com/en/US/products/ps6498/index.html. [51] Juniper Network and Security Manager.
119
[52] A. Kartit and M. El Marraki “On the Correctness of Firewall Policy Deployment”, Journal of Theoretical and Applied Information Technology, ISSN: 1817-3195, Volume 19, n°1, pages 22 – 27, 2010.
[53] M. Englund. Securing systems with host-based firewalls. In Sun BluePrints Online, September 2001.
[54] Entrasys Matrix X Core Router. http://www.entrasys.com/products/routing/x/.
[55] J. P. Anderson. Computer Security Threat Monitoring and Surveillance. Technical report, James P Anderson Co., Fort Washington, PA, Avril 1980.
[56] D. E. Denning. An Intrusion-Detection Model. In IEEE Trans. on Software Engg., volume13, pages 222_232, Février 1987.
[57] T. F Lunt. A Survey of Intrusion Detection Techniques. Computers & Security, 12(4) :405_418, Juin 1993.
[58] A. Sundaram. An introduction to intrusion detection. Crossroads, 2(4) :3_7, 1996.
[59] H. Debar, M. Dacier, and A. Wespi. Towards a taxonomy of intrusion detection systems.