CONSEILS EN MATIÈRE DE SÉCURITÉ POUR LES PRODUITS COMMERCIAUX (CSPC) SYSTÈME DE PRÉVENTION D INTRUSIONS (IPS)

2009

CONSEILS EN MATIÈRE DE

SÉCURITÉ POUR LES PRODUITS COMMERCIAUX

(CSPC)

SYSTÈME DE PRÉVENTION D’INTRUSIONS

(IPS)

CSG-09\G

Août 2009

Page intentionnellement laissée en blanc.

2009 i

Avant-propos

Le document Système de prévention d’intrusions (CSG-09\G) est NON CLASSIFIÉ et publié avec l’autorisation du chef du Centre de la sécurité des télécommunications Canada (CSTC).

Les propositions de modification devraient être envoyées par les voies de communication sécurisées du ministère concerné au représentant des Services à la clientèle du CSTC.

Pour de plus amples renseignements, prière de communiquer avec les Services à la clientèle de la Sécurité des TI du CSTC, par courriel à l’adresse itsclientservices@cse- cst.gc.ca, ou par téléphone au 613-991-7654.

Date d’entrée en vigueur

La présente publication entre en vigueur le 28 août 2009.

Carey Frey

Directeur, Programme avec l’industrie de la Sécurité des TI

© Gouvernement du Canada, Centre de la sécurité des télécommunications Canada 2009 Il est interdit de faire des copies de cette publication ou d’extraits de cette publication sans la permission écrite du CSTC.

Page intentionnellement laissée en blanc.

2009 iii

Table des matières

1.1 Système de détection d’intrusions (IDS)... 1

1.2 Système de prévention d’intrusions (IPS)... 1

1.3 Systèmes de détection et de prévention des intrusions ... 1

2.1 Méthodes de détection ... 3

2.1.1 Technologie axée sur les signatures... 3

2.1.2 Analyse dynamique du protocole ... 4

2.1.3 Analyse axée sur les anomalies statistiques... 4

2.2 Types de dispositif... 5

2.2.1 Solutions au niveau de l’hôte ... 6

2.2.2 Solutions IPS au niveau du réseau ... 9

2.2.3 Solution hybride ... 12

2.3 Information obtenue du réseau... 13

2.3.1 Évaluation des vulnérabilités ... 14

2.4 Information obtenue de l’utilisateur... 14

2.5 Correction... 14

3.1 Attaques ... 15

3.1.1 Modèles connus... 15

3.1.2 Attaques du « jour zéro »... 15

3.1.3 Attaques de l’analyste... 15

3.1.4 Techniques évasives ... 16

3.2 Détection erronée ... 17

3.2.1 Faux positifs... 17

3.2.2 Faux négatifs ... 17

3.3 Explosion des signatures... 17

3.3.1 Mises à jour fréquentes ... 18

3.4 Interventions – Paquets non standard ... 18

3.5 Renforcement... 18

3.6 Rendement relatif au volume de trafic ... 19

3.7 Gestion et production de rapports centralisées ... 19

3.8 Intégration à l’infrastructure de réseau en place... 20

3.9 Gestion des réseaux ... 21

3.10 Configuration ... 22

3.11 Conformité aux normes ... 23

4.1 Acronymes ... 24

4.2 Glossaire ... 25

Liste des tableaux

Tableau 1 : Liste de contrôle des fonctions de sécurité : Systèmes de prévention

d’intrusions (IPS)... 27

Liste des figures

Figure 1 : IPS hors du chemin réseau dans une DMZ... 10

2009 v

Page intentionnellement laissée en blanc.

2009 1

1 Introduction

Les coupe-feu et le système de détection d’intrusions (IDS) servent principalement de

mécanisme de défense contre les attaques actives. Ni l’un ni l’autre n’offre de défense contre une attaque essentiellement passive, par exemple, la simple écoute clandestine des communications entre deux parties.

Habituellement, on insère un IDS dans la zone d’accès public (ZAP), immédiatement après le coupe-feu où se trouve la zone démilitarisée (DMZ). Cela permet à l’IDS de détecter les attaques qui traversent le coupe-feu, ou celles qui émanent du réseau organisationnel. En plaçant l’IDS à l’extérieur de la zone d’accès public, après le coupe-feu, on engendre beaucoup d’événements et de bruits et on fait en sorte qu’un analyste de réseau TI aura de la difficulté à établir une

corrélation entre les données importantes sur les attaques par saturation du coupe-feu.

1.1 Système de détection d’intrusions (IDS)

Les premiers systèmes de détection d’intrusions offraient uniquement une capacité de détection.

Le système IDS était donc un système réactif qui permettait aux attaques de pénétrer dans le réseau sans que l’analyste ne puisse intervenir au moment opportun. Toutefois, ces systèmes ont permis de tirer avantage des données recueillies et ainsi d’analyser l’historique des attaques et de déterminer les faiblesses des réseaux. Cela a permis de configurer des contrôles de sécurité intégrés, tels les coupe-feu, pour atténuer les risques.

1.2 Système de prévention d’intrusions (IPS)

Afin d’offrir une approche proactive à la détection d’intrusions, les fournisseurs ont créé le Système de prévention d’intrusions (IPS). Ce système a permis d’améliorer le délai nécessaire à l’atténuation des risques et de prévenir toute propagation de maliciel ou perturbation de réseau ultérieures. L’IPS peut être inséré en ligne là où il est en mesure d’inspecter le trafic qui transite par le dispositif et de décider, grâce à ses fonctions actives de prévention des menaces, s’il y a lieu d’acheminer ou de rejeter l’information. Il peut également être placé hors-circuit et utiliser une interface de correction capable de fournir de nouvelles règles au coupe-feu pour contrer une menace.

1.3 Systèmes de détection et de prévention des intrusions

L’inspection en ligne du trafic par un IPS a une incidence sur le rendement, ce qui restreint le nombre de menaces qu’un système peut détecter sans nuire aux utilisateurs. Cette constatation a été à l’origine de la création d’une solution capable à la fois de détecter et de prévenir les menaces. Les fournisseurs donnent différents noms à ces solutions : systèmes de détection et de

prévention d’intrusions (IDPS), prévention et détection des intrusions (IDP) et simplement IPS.

Aux fins du présent document, un IPS désigne un dispositif capable d’assurer simultanément la détection et la prévention sur le chemin et hors du chemin et de corriger automatiquement certaines menaces dont un analyste juge le niveau élevé.

Puisque la plupart des fournisseurs offrent une fonctionnalité IDS dans leur IPS, le document Gartner Hype Cycle for Infrastructure Protection¹ recommande l’achat de détecteurs IPS ou d’un coupe-feu de prochaine génération plutôt que d’un IDS. Toutefois, les solutions essentiellement axées sur l’IDS peuvent s’avérer précieuses pour certaines applications.

1 La recommandation du document Gartner Hype Cycle for Infrastructure Protection a été formulée dans la version de septembre 2008 du document. Le cycle Gartner Hype Cycle décrit la maturité, l’adoption et les applications opérationnelles des technologies.

2009 3

2 Aperçu

2.1 Méthodes de détection

Il existe différentes méthodes de détection pour les solutions IPS. Habituellement, les fournisseurs IPS utilisent une combinaison de technologies pour déterminer les menaces : technologie axée sur les signatures, analyse dynamique du protocole et analyse axée sur les anomalies statistiques (également appelée analyse du comportement). Les différentes

technologies servent à améliorer le rendement et la précision, et à détecter les attaques du « jour zéro ». Chaque technologie possède ses forces et ses limites.

2.1.1 Technologie axée sur les signatures

La majorité des solutions IPS utilisent un moteur axé sur les signatures. L’IPS comprend des milliers de signatures ou de règles prédéfinies que l’on peut activer pour détecter les menaces. La fonction d’analyse des signatures permet la recherche des chaînes particulières qui caractérisent les attaques connues. Ce processus permet de comparer les signatures ou les types de trafic connus pour détecter les menaces ou les incidents potentiels.

Pour la plupart des signatures, l’IPS scrute le trafic à la recherche d’une chaîne suspecte et malveillante susceptible d’entraîner une exploitation du système. D’autre part, les interventions des serveurs peuvent contenir de l’information précieuse, par exemple, sur les « tentatives d'ouverture de session », ce qui peut signifier des tentatives d’accès non autorisées. Les signatures peuvent servir à analyser ces interventions pour détecter des problèmes ou des violations de sécurité. Par contre, des interventions modifiées de façon malveillante peuvent permettre d’exploiter une entité cliente d’extrémité. Les solutions IPS axées sur les signatures doivent vérifier tout le trafic. Par exemple, elles doivent :

 vérifier que les demandes GET du protocole HTTP (Hypertext Transfer Protocol) ne tentent pas de télécharger un fichier .eml;

 détecter toute tentative de connexion du protocole FTP (File Transfer Protocol) à la

« racine » à partir de la zone publique (c.-à-d., Internet);

 repérer les fichiers .exe dans les pièces jointes de courriel.

Le moteur de signatures peut analyser très rapidement le trafic à la recherche d’une chaîne particulière. Toutefois, cette opération peut ralentir le moteur selon le nombre de signatures ou de modèles actifs définis dans sa base de données. Il existe un inconvénient dans le cas des attaques dynamiques qui se propagent dans une multitude de paquets. Comme les signatures n’incluent pas d’information sur ces attaques, elles passent inaperçues. Les signatures définissent

les attaques connues mais n’offrent aucune protection contre les attaques du jour zéro ou les attaques inconnues.

2.1.2 Analyse dynamique du protocole

Cette analyse consiste à vérifier les écarts du protocole par rapport à la spécification établie. Elle peut traiter des transmissions de paquets multiples et faire le suivi de l’information d’état.

L’analyse s’appuie sur des profils de protocole, préparés par les fournisseurs et différents organismes de normalisation, qui décrivent le comportement correct des protocoles. Par

exemple, le protocole FTP réduit de beaucoup le nombre de commandes que peuvent utiliser les utilisateurs non authentifiés. Donc, lorsqu’un utilisateur qui n’est pas authentifié de façon appropriée tente d’utiliser des commandes FTP, l’IPS devrait conclure qu’il s’agit d’une activité suspecte. Puisque le moteur d’analyse dynamique vérifie l’authentification, il peut intercepter et enregistrer l’authentificateur, que les analystes pourront ensuite utiliser durant les enquêtes sur les incidents.

L’analyse de protocole valide les données entrées en contrôlant les valeurs minimales et

maximales. Le moteur d’analyse devrait juger suspecte toute entrée dont la valeur est supérieure au maximum, plus particulièrement si l’entrée contient des données binaires.

Les fournisseurs proposent des versions différentes des protocoles puisque les versions standard n’incluent pas en général suffisamment de détails pour tenir compte de toutes les possibilités, ouvrant ainsi la voie à toutes sortes d’hypothèses. Les profils ou les modèles de protocole tiennent habituellement compte de ces variantes, ce qui augmente leur complexité.

En plus, les fournisseurs ajoutent des fonctions propriétaires aux spécifications de protocole, ce qui crée un autre problème. En effet, ces fonctions sont généralement mal documentées dans le domaine public et font en sorte qu’il est impossible pour les fournisseurs IPS d’analyser de façon appropriée les modifications de protocole.

Enfin, le pistage dynamique ajoute en complexité et exige beaucoup de ressources puisqu’il faut conserver toute cette information et inspecter le trafic de protocole. Le pistage dynamique ne peut pas détecter les attaques qui respectent le comportement du protocole, par exemple, les attaques par déni de service (DoS pour Denial of Service).

2.1.3 Analyse axée sur les anomalies statistiques

Cette analyse requiert la surveillance permanente du trafic afin de déterminer ce qu’est un comportement normal et d’en créer un modèle de base. Lorsqu’une anomalie non conforme à ce modèle se produit, les analystes peuvent juger l’événement suspect et lancer une enquête plus approfondie. Le profilage du trafic peut permettre de créer des modèles de base pour les

utilisateurs, les applications, les hôtes et même pour les connexions de réseau. Par exemple, dans les entreprises, les périodes de travail sont généralement prédéfinies; les connexions des

utilisateurs augmentent donc au début de la journée ouvrable et diminuent en fin de journée.

2009 5

Toute augmentation du nombre de connexions hors de cette plage peut donc entraîner des problèmes possibles de sécurité. Voici d’autres possibilités d’écart comportemental dont l’IPS peut dresser le profil :

 le nombre moyen de connexions externes par utilisateur;

 le nombre de dispositifs qui se connectent au réseau organisationnel durant la journée de travail;

 le nombre et la taille des courriels envoyés par utilisateur;

 le nombre de tentatives infructueuses de connexion par jour et le nombre d’utilisateurs différents à l’origine de ces authentifications non réussies.

L’analyse des anomalies statistiques permet de détecter les menaces ou les attaques inconnues.

Cette technique offre une certaine forme de prévention jusqu’à ce que les enquêteurs soient en mesure de comprendre les nouvelles menaces et de cerner les vulnérabilités exploitées.

Les problèmes associés aux détections axées sur les anomalies sont les suivants :

 difficulté pour les analystes de déterminer si l’anomalie est causée par un maliciel ou si elle constitue un faux positif, et d’établir la cause profonde;

 le stade d’établissement du profil du trafic peut comprendre un mauvais comportement durant le processus d’apprentissage;

 les événements importants, uniques ou rares, augmentent les alarmes d’anomalie;

 les environnements dynamiques entraînent l’établissement de profils inexacts qui causent de nombreuses fausses alarmes.

2.2 Types de dispositif

Les différents types de solution IPS sont les suivants : IPS au niveau réseau (IPS-réseau), IPS au niveau hôte (IPS-hôte), IPS sans fil, et analyse du comportement des réseaux (NBA pour

network behaviour analysis).

La solution IPS sans fil surveille le trafic sur la couche de lien sans fil pour détecter les activités suspectes. La solution NBA utilise le flux d’information qui transite par le réseau interne pour détecter un plus grand nombre d’attaques, tels les vers ou les attaques par déni de service.

Les solutions IPS sans fil et NBA ne sont pas visées par la portée du présent document.

2.2.1 Solutions au niveau de l’hôte

L’application IPS réside dans l’hôte et surveille le trafic entrant et sortant ainsi que d’autres activités effectuées par l’hôte : modifications de la configuration, journaux sur l’hôte, processus en cours d’exécution, accès et modifications aux fichiers, demandes de ressources du système d’exploitation et activités des applications. Ces solutions résident habituellement dans des serveurs essentiels; toutefois, les utilisateurs peuvent les utiliser dans leur propre système pour une meilleure protection. Le système de prévention d’intrusions au niveau de l’hôte (HIPS) utilise les technologies d’analyse des anomalies et des signatures pour détecter et prévenir les activités malveillantes.

Certaines solutions HIPS peuvent détecter les attaques envoyées dans le trafic chiffré du

protocole HTTP sécurisé (HTTPS) en analysant les paquets après leur déchiffrement dans l’hôte ou le serveur. Soit le HIPS insère une interface entre la fonction de déchiffrement et le moteur de traitement HTTP pour inspecter le trafic déchiffré, soit il intercepte les appels de système

d’exploitation effectués par l’application HTTP.

Il existe des fonctions de sécurité spécifiques pour les hôtes qui tournent dans des serveurs, selon les applications que le serveur peut prendre en charge. Ces fonctions peuvent protéger :

 les systèmes d’exploitation;

 les bases de données;

 les serveurs Web.

Les solutions HIPS fonctionnent également sur des plates-formes intereliées grâce à une console centrale prévue par le fournisseur HIPS. Elles peuvent découvrir des menaces isolées ou qui touchent plusieurs hôtes. Pour les déploiements à plus grande échelle, les HIPS peuvent transmettre ces événements à un système de gestion des informations et des événements de sécurité (SIEM pour Security Information and Event management) capable d’établir des corrélation entre une multitude de données sur la sécurité provenant de différent dispositifs de sécurité dans le réseau.

Les solutions HIPS peuvent consommer davantage de ressources et utiliser plus de puissance de traitement et, ainsi, influer sur le rendement de l’hôte. En plus, l’utilisation d’une console centrale de corrélation fait en sorte que les HIPS utilisent une plus grande largeur de bande dans le réseau.

Actuellement, ces solutions sont intégrées aux suites logicielles de sécurité normalement offertes par les fournisseurs de produits antivirus. Les solutions HIPS autonomes sont rares.

2009 7

2.2.1.1 Système d’exploitation

L’objet premier d’une solution HIPS est de protéger le système d’exploitation. Un système d’exploitation protégé est essentiel pour éviter de compromettre les systèmes d’extrémité. La solution est en mesure d’assurer cette protection en utilisant plusieurs techniques différentes :

 protection des ressources – Les ressources de système tels les fichiers esssentiels, les bibliothèques, les comptes et les dossiers de répertoire doivent faire l’objet d’une vérification d’intégrité pour prévenir toute modification non autorisée par des maliciels ou des attaquants;

 vérification et prévention des débordements de tampon – Cette technique permet d’intercepter les appels de système pour déterminer si une application a placé une demande de système ou si un tampon de débordement a effectué un appel de système.

Dans ce dernier cas, la solution HIPS refuse l’exécution de l’appel de système et journalise l’événement de sécurité;

 prévention de l’élévation de privilège – Les attaques qui tentent d’élever les privilèges de système au niveau de super utilisateur (super-user) doivent être contrées. Les moteurs de protection doivent protéger tous les fichiers et toutes les ressources qui accordent des niveaux de privilège. Interdire les modifications non autorisées à ces fichiers de niveau de privilège permet de s’assurer que les nouvelles attaques axées sur ces niveaux seront bloquées;

 attaques du « jour zéro » ou attaques inconnues – L’analyse des signatures permet de bloquer uniquement les menaces prédéfinies et bien connues. Pour éviter les nouvelles attaques, la solution HIPS doit recourir à des règles axées sur le comportement ou les anomalies;

 inspection des journaux – L’analyse des événements de sécurité contenus dans les fichiers journaux de l’hôte permet à la solution HIPS de détecter les comportements anormaux et d’assurer la conformité à la politique et aux normes réglementaires de sécurité;

 coupe-feu dynamique – Le recours aux politiques de contrôle granulaire des applications permet de prévenir le traitement hâtif du trafic d’attaque et libère les ressources de système pour d’autres activités d’inspection ou de surveillance.

2.2.1.2 Bases de données

Les bases de données contiennent d’énormes quantités d’information précieuse et sensible. Les solutions doivent protéger cette information contre toute compromission par des attaquants ou

des maliciels. Elles peuvent protéger les applications de base de données en appliquant les mesures suivantes :

 protection contre les injections SQL (pour Structured Query Language) – Cette méthode permet au serveur de base de données de répondre aux demandes de base de données valides. La solution HIPS purge toutes les demandes SQL et valide les valeurs d’entrée pour empêcher des chaînes malveillantes de compromettre ou de faire planter le serveur;

 interdiction d’accès – Cette technique bloque les demandes non authentifiées à l’information de la base de données ou l’accès aux ressources de l’extérieur de l’application de base de données;

 protection par chiffrement – La solution HIPS voit toutes les demandes de base de données après leur déchiffrement; les menaces ne peuvent donc pas être masquées par le chiffrement.

2.2.1.3 Serveurs Web

Il existe des fonctions, destinées aux hôtes qui utilisent des serveurs Web, qui offrent les mécanismes de protection de sécurité suivants :

 protection par chiffrement – Certaines solutions HIPS insèrent une interface logicielle entre le processus de déchiffrement SSL/TLS (Secure Sockets Layer/Transport Layer Security) et le moteur de traitement HTTP; d’autres interceptent les appels de système d’exploitation. Ces approches permettent de vérifier le trafic HTTP non chiffré régulier;

 attaques Web connues – Les règles d’analyse des signatures permettent de vérifier que le trafic HTTP ne contient aucune instruction malveillante bien connue;

 attaques inconnues – Les règles d’analyse du comportement ou des anomalies permettent d’inspecter et de bloquer les appels de système d’exploitation qui ne respectent pas la norme d’application; ces appels pourraient permettre à un attaquant de modifier le contenu Web s’ils étaient exécutés;

 protection des fichiers exécutables et de données – Empêche toute modification aux fichiers de données ou aux fichiers exécutables de processus du serveur Web;

 intégrité du registre – La solution HIPS s’assure de la fiabilité des entrées de registre critiques afin que les serveurs Web qui ont besoin de ces valeurs puissent les utiliser en toute sécurité;

 prévention de l’élévation de privilège – Mécanisme semblable à celui indiqué pour le système d’exploitation; la solution HIPS peut empêcher l’utilisateur d’élever le niveau de ses privilèges et lui interdire de modifier le contenu Web ou la configuration.

2009 9

La protection des serveurs Web a une incidence sur le rendement du système puisqu’elle réduit sa capacité globale et augmente le temps de réponse aux demandes d’accès aux URL et aux pages Web.

2.2.1.4 Modes de protection

Pour permettre la mise au point de la solution HIPS et empêcher le blocage du trafic essentiel, le produit HIPS prévoit habituellement un mode apprentissage/surveillance et un mode prévention.

En mode apprentissage, la solution crée un modèle de trafic normal de base et permet aux analystes de repérer dans leurs hôtes le trafic essentiel qui peut exiger des exceptions spéciales.

Au cours de ce stade, la solution ne filtre ni ne bloque activement le trafic mais produit

simplement un mécanisme d’avertissement. Après avoir créé un profil d’hôte, l’analyste de TI peut passer en mode prévention, stade au cours duquel la solution assure la protection de toutes les fonctions de sécurité activées en interdisant, filtrant et bloquant les attaques.

Certains fournisseurs vont encore plus loin et empêchent toute modification système de l’hôte pour maintenir son état d’hôte renforcé et fiable. L’analyste doit alors retourner en mode apprentissage ou prévention pour apporter les modifications système requises.

2.2.2 Solutions IPS au niveau du réseau

Dans les solutions au niveau réseau, l’IPS réside dans un dispositif autonome qui demeure sur le chemin ou hors du chemin pour surveiller activement le trafic du réseau et détecter et prévenir les menaces dans la couche réseau ou application. L’IPS-réseau est généralement déployé aux frontières des différentes zones du réseau, par exemple, dans la DMZ, immédiatement derrière le coupe-feu, tel qu’illustré dans le détecteur hors du chemin réseau à la Figure 1.

Figure 1 : IPS hors du chemin réseau dans une DMZ

Dans le cas des solutions qui exigent une intervention immédiate face aux menaces, on doit placer le détecteur sur le chemin réseau. Le dispositif IPS réside alors directement dans le chemin réseau; il inspecte le trafic et l’achemine à destination après avoir appliquer les

signatures activées et les mesures correctives configurées. Les menaces détectées sont bloquées immédiatement.

En plus de détecter les menaces par l’analyse des signatures, le protocole, et l’analyse des anomalies, l’IPS peut inclure les mécanismes suivants pour améliorer la sécurité et réduire les fausses alarmes :

 filtrage par coupe-feu du trafic à inspecter;

 configuration automatique de règles pour l’utilisation de ports non standard lorsque l’on détecte que les applications utilisent de tels ports;

 inspection des paquets avec le protocole SSL;

Organism DMZ Interne

IP

2009 11

 protection contre les débordements de tampon;

 protection contre les techniques évasives telles la fragmentation IP;

 corrélation automatique des attaques, par une évaluation en temps réel des vulnérabilités de système hôte, pour déterminer leur pertinence. Par exemple, un exploit de serveur Web dans un hôte qui n’utilise pas ce type de serveur est non pertinent puisque l’attaque ne peut avoir d’incidence ou d’effet sur l’hôte. La solution requiert d’effectuer une évaluation distincte des vulnérabilités de l’hôte et d’intégrer les résultats à la base de données du détecteur IPS.

Pour inspecter le trafic SSL (Secure Sockets Layer) chiffré, on doit exporter la clé SSL privée de trafic dans le détecteur IPS. Puisque le chiffrement consomme beaucoup de temps de traitement de l’UCT (unité centrale de traitement), le détecteur IPS est généralement doté d’une fonction SSL d’accélération qui permet un déchiffrement plus rapide du trafic. Le détecteur déchiffre le trafic et l’inspecte pour déceler des menaces.

Dans le cas des solutions appliquées hors du chemin réseau, le dispositif peut capter le trafic qui traverse le réseau. L’IPS reçoit le trafic en utilisant le miroitage de port ou un TAP réseau préalablement installé.

Enfin, une fonction centralisée de corrélation peut gérer tous les détecteurs IPS déployés. Elle peut offrir les mécanismes suivants :

 profils de configuration, faciles à déployer, qui permettent à tous les détecteurs IPS d’offrir des fonctions similaires;

 diffusion, au besoin, de modifications de configuration individuelles vers un ou plusieurs détecteurs;

 corrélation limitée d’événements des détecteurs;

 mises à jour automatiques ou manuelles des politiques, par un gestionnaire central, des dispositifs de contrôle de sécurité, tels les coupe-feu, pour contrer toute menace détectée.

2.2.2.1 Miroitage de port

Le miroitage de port, également appelé optimisation de port, permet la connexion directe d’un IPS-réseau à un routeur ou un commutateur. Le trafic d’un des commutateurs est dupliqué, ou mis en miroir, dans le port de surveillance de l’IPS. La plupart des commutateurs modernes offrent le miroitage de port. Le regroupement de ports permet de relier plusieurs ports et de regrouper le trafic en un seul flux par le port miroir.

Le miroitage de port présente toutefois plusieurs inconvénients. Si le trafic de tous les ports est mis en miroir dans le port de surveillance, il y aura un fort taux de collision et plusieurs des paquets seront perdus. Si on utilise cette technique pour surveiller uniquement le trafic qui transite par un ou plusieurs ports spécifiques, il est possible qu’elle échappe certains paquets (messages d’erreur, moitié d’une communication en mode duplex intégral, ou autres données importantes). Il est très difficile de traiter tout le trafic des différents segments d’un réseau local;

il faut pouvoir compter sur un grand nombre de détecteurs IPS, dispositifs qui sont très coûteux.

2.2.2.2 TAP réseau

Un TAP réseau est un dispositif en ligne inséré dans une liaison point à point entre deux dispositifs. Un TAP réseau de base comprend trois interfaces – deux ports d’entrée-sortie et un port de surveillance. Le trafic circule de manière transparente par les deux ports d’entrée-sortie;

une fois le dispositif installé, les deux extrémités de la liaison point à point n’ont aucune

connaissance de sa présence. Lorsque l’IPS se connecte au port de surveillance, le TAP réseau lit tout le trafic qui le traverse. Plusieurs TAP réseau sont munis de deux ports de surveillance, chacun consacré à la transmission des données d’un des ports d’entrée-sortie; ainsi, l’IPS capte le trafic dans les deux directions.

Pour surveiller un vaste réseau, les TAP réseau peuvent être installés dans toutes les liaisons point à point; leur sortie peut être multiplexée par un commutateur ou un panneau TAP. Dans le cas des vastes réseaux à haute vitesse, tels les réseaux de 1Gbps à fibre optique, on doit

habituellement utiliser plusieurs détecteurs IPS reliés à un équilibreur de charge et pris en charge par une ou plusieurs consoles IPS centrales.

Une fois installé, le TAP réseau impose peu ou pas de surcharge au trafic. Un analyste peut activer ou désactiver la fonction de surveillance du trafic d’un IPS par TAP réseau sans qu’il n’y ait d’incidence sur le trafic réseau.

2.2.3 Solution hybride

L’utilisation simultanée d’un IPS-hôte et d’un IPS-réseau dans un réseau organisationnel permet d’accroître la sécurité ainsi que la fiabilité du réseau. Cette solution hybride offre une couche de sécurité supplémentaire pour le trafic suspect qui traverse un IPS-réseau sans être détecté; le trafic parvient ensuite à l’hôte où il peut être inspecté, détecté et bloqué par le HIPS.

La corrélation des données de l’agent hôte et de l’information de réseau permet d’obtenir une vue plus exhaustive du réseau. À cette fin, on utilise habituellement une solution SIEM (gestion des informations et des événements de sécurité) pour recueillir des données sur l’hôte et le réseau à partir de nombreux dispositifs et contrôles de sécurité différents présents dans le réseau.

Cela permet d’obtenir une perspective plus complète de la posture de sécurité du réseau organisationnel. La solution SIEM est hors de la portée du présent document.

2009 13

2.3 Information obtenue du réseau

L’information obtenue du réseau peut apporter à une solution IPS davantage de renseignements précieux que l’on peut corréler et qui permettent de réduire l’explosion des faux positifs

mentionnés à la section 3.2.1, Faux positifs. L’information fournie par le réseau peut être d’une grande utilité pour aider un détecteur IPS à relever avec précision les vraies menaces,

notamment :

 noms et numéros de version des systèmes d’exploitation utilisés;

 applications ou services offerts;

 évaluation des vulnérabilités des hôtes utilisés dans le réseau;

 protocoles utilisés;

 détection de trafic TCP (Transport Control Protocol) unidirectionnel. Ce type de trafic peut indiquer une mauvaise configuration des détecteurs, qui reçoivent uniquement la moitié du trafic prévu; mais, de manière générale, il indique plutôt qu’un attaquant essaie d’exploiter un hôte cible sans d’abord effectuer une connexion TCP valide.

Le jumelage de cette information aux méthodes d’analyse de l’IPS, telles les analyses de signatures ou d’anomalies, permet au détecteur de compter sur davantage d’information pour prendre des décisions plus judicieuses et précises et de déterminer si le problème constitue une vraie menace. Par exemple, un exploit spécifique de système d’exploitation, à l’encontre d’un hôte cible qui n’utilise pas le système en question, ne constitue pas une menace réelle pour le réseau. Connaître les applications et services qui tournent dans un réseau et son état actuel de vulnérabilité permet de réduire le nombre de faux positifs.

Certains fournisseurs IPS offrent des fonctions adaptatives de mise au point de l’IPS qui tiennent compte de l’environnement du réseau organisationnel, notamment :

 indication de la gravité de l’alarme selon le réseau;

 réécriture dynamique des signatures dans les cas où les applications utilisent des ports non standard;

 formulation de recommandations ou, même, reconfiguration automatique des signatures qui doivent être activées ou désactivées.

2.3.1 Évaluation des vulnérabilités

L’intégration automatique d’un outil d’évaluation des vulnérabilités dans une solution IPS permet de connaître la posture de sécurité actuelle des dispositifs de réseau au plan des

vulnérabilités. Le détecteur IPS devrait recevoir régulièrement des évaluations de vulnérabilités des dispositifs de réseau pour demeurer à jour et permettre l’élimination des menaces en fonction des vulnérabilités existantes du réseau organisationnel. Certaines données de ces évaluations peuvent être obtenues par une écoute passive de l’information du flux de trafic; par contre, d’autres données requièrent des sondages actifs de l’hôte pour déterminer l’information.

2.4 Information obtenue de l’utilisateur

La collecte d’information de l’utilisateur, telle que l’identité et les heures de connexion, améliore le processus de vérification en plus de permettre d’associer rapidement un utilisateur à un

incident. Une adresse IP identifie l’hôte compromis mais pas nécessairement l’utilisateur associé au problème. Cette information est importante dans les cas où les hôtes sont partagés ou lorsque des adresses IP dynamiques sont attribuées dès l’ouverture de la session. Généralement, ces adresses sont attribuées aux utilisateurs distants qui accèdent au réseau par un RPV (réseau privé virtuel). Dans le cas de ces utilisateurs, il est impossible de déterminer l’hôte infecté à moins d’effectuer un pistage de session dynamique approprié, qui permet d’associer l’identité de l’utilisateur à l’adresse IP au moment où la menace est détectée.

2.5 Correction

Pour prévenir les attaques ou les infractions à la sécurité, les solutions IPS doivent corriger le problème en rejetant le trafic ou en permettant à un autre mécanisme de contrôle de sécurité de l’atténuer. Dans le cas des détecteurs IPS sur le chemin réseau, la solution IPS rejette

simplement le trafic. Elle peut également transmettre une mise à jour de politique de correction à un mécanisme de contrôle de sécurité situé plus près de la frontière du réseau, par exemple, un coupe-feu DMZ. Pour ce qui est des détecteurs IPS hors du chemin réseau, la solution transmet une commande de correction à un mécanisme de contrôle de sécurité situé sur le chemin réseau pour mettre à jour un contrôle de politique et rejeter le trafic infecté.

2009 15

3 Sécurité et maintenance

3.1 Attaques 3.1.1 Modèles connus

Au minimum, un IPS doit être en mesure de détecter et d’identifier les attaques connues. À cette fin, la solution utilise habituellement une fonction axée sur les signatures qui vérifie les

signatures d’attaques connues. Pour réduire l’incidence sur le rendement, les solutions IPS devraient coter les signatures d’attaques en fonction de la gravité et de la pertinence. La cote de gravité attribuée permettra aux analystes d’activer les signatures des attaques actuelles les plus pertinentes et de s’assurer de toujours vérifier l’existence des attaques les plus graves.

Tel que mentionné à la section 3.3, Explosion des signatures, le nombre de signatures est trop élevé pour les activer toutes. Les analystes ont besoin d’une cote de gravité pour les aider à activer les bonnes signatures. Une autre méthode qui permet de s’assurer que les bonnes signatures pour un environnement donné sont activées consiste à utiliser des solutions IPS adaptatives; celles-ci peuvent automatiquement reconfigurer les signatures activées en fonction de l’information sur le réseau et des données d’évaluation des vulnérabilités, tel qu’indiqué à la section 2.3, Information obtenue du réseau.

3.1.2 Attaques du « jour zéro »

Puisque les attaquants créent régulièrement de nouvelles attaques en fonction des dernières faiblesses mises au jour, l’analyse axée sur les signatures protège le système uniquement contre les attaques connues. L’IPS doit détecter les attaques du « jour zéro » en utilisant un protocole dynamique ou une analyse axées sur les anomalies. Un HIPS peut surveiller d’autres

mécanismes, telle l’élévation de privilège ou les débordements de tampon, qui permettent également de détecter de nouvelles menaces.

Les attaques inconnues sont plus difficiles à détecter; habituellement, l’analyste mettra plus de temps à enquêter pour déterminer si une attaque est en cours ou si un événement rare ou une mauvaise configuration de réseau est à l’origine d’un comportement anormal.

3.1.3 Attaques de l’analyste

Ces attaques ciblent l’analyste plutôt que l’IPS. Il n’existe aucune mesure pour contrer ces attaques si ce n’est de définir des procédures que l’analyste peut utiliser pour désactiver les signatures et traiter les incidents. La gestion de l’information et des événements de sécurité (SIEM) peut offrir une certaine solution puisque l’application de corrélations complexes peut réduire le nombre d’incidents sur lesquels l’analyste doit enquêter et lui donner un meilleur aperçu de l’état de l’ensemble du réseau au plan de la sécurité.

Attaque clandestine : L’attaquant désire que l’analyste croit qu’un hôte « A » est sous attaque en l’inondant de nombreux paquets d’exploits qui déclenchent des alarmes de l’IPS. Pendant que l’analyste est occupé à enquêter sur les événements de sécurité liés à l’hôte « A », l’attaquant se tourne lentement vers l’hôte qu’il entend cibler.

Attaque par mystification : Un attaquant envoie des paquets malveillants qui contiennent des adresses IP source mystifiées. L’analyste ouvre une enquête afin de déterminer si l’hôte ainsi mystifié est compromis au lieu de se concentrer sur l’attaque elle-même.

Attaque par conditionnement : Un attaquant consacre ses énergies à générer du trafic qui déclenche de faux positifs pour les signatures activées dans l’IPS. L’analyste de la sécurité enquête pour déterminer si les alarmes sont fausses; ce faisant, il peut désactiver les signatures ou décider de ne pas tenir compte des alarmes à l’avenir. À ce stade, l’attaquant peut lancer une attaque réelle.

3.1.4 Techniques évasives

Le concept d’évasion concerne le contournement des signatures IPS activées pour éviter la détection ou le blocage. La technique la plus simple consiste à coder une chaîne en utilisant des valeurs hexadécimales. Par exemple, un IPS configuré de manière à interdire toutes les

demandes GET (du protocole HTTP) qui contiennent la chaîne « .cgi » peut être contourné en attribuant au code de la demande GET la valeur « .cg%69 »².

La division de session est une autre technique évasive par laquelle l’attaquant divise l’attaque en paquets plus petits qui passent inaperçus puisque l’IPS ne conserve pas d’information dynamique pour l’analyse axée sur les signatures. La fragmentation est semblable à la division sauf qu’elle concerne les paquets IP qui sont fragmentés en paquets plus petits, et qui doivent être

réassemblés par le protocole pour être détectés.

Les techniques évasives plus complexes sont les suivantes :

 une valeur de durée de vie (TTL pour Time-to-live) faible dans certains paquets fragmentés qui ne contiennent aucune chaîne de signature forcera l’IPS à inspecter le faux trafic, qu’il jugera réel; cette valeur fera en sorte que le routeur rejettera les paquets fragmentés, laissant le client en attente d’autres fragments; l’IPS supprimera les paquets fragmentés puisqu’il n’aura rien trouvé après avoir effectué une inspection; l’attaquant

2 Dans une URL, le symbole « % » indique que le caractère qui suit est en format hexadécimal. La valeur

hexadécimale de « i » est « 69 ». Donc, dans l’URL, les valeurs « cgi » et « cg%69 » sont interprétées comme étant identiques.

2009 17

retransmettra alors au client les fragments manquants qui contiennent maintenant la signature d’attaque;

 du code de commande (shell code) polymorphique qui se camoufle dans le code des instructions de commandes.

3.2 Détection erronée

La détection erronée représente le problème le plus grave pour les solutions IPS. Les analystes consacrent beaucoup de temps aux fausses alarmes et, éventuellement, en viennent à ne pas tenir compte des alarmes répétitives. Les solutions IPS exigent une grande expertise pour que la précision de leur mise au point permette d’éviter des taux élevés de faux positifs ou de faux négatifs.

3.2.1 Faux positifs

Un faux positif déclenche une fausse alarme qui indique à l’analyste qu’un problème de sécurité a été détecté. Ces faux positifs ne sont pas nocifs pour le réseau mais font perdre du temps à l’analyste chargé d’enquêter. Compte tenu du grand nombre de signatures d’attaque existantes, les solutions IPS génèrent de nombreux faux positifs, ce qui réduit la crédibilité du mécanisme de contrôle de sécurité qui les signale et accroît le nombre d’erreurs commises par l’analyste lorsque les alarmes se déclenchent à nouveau.

3.2.2 Faux négatifs

Les faux négatifs ne contribuent pas à la détection des vrais problèmes de sécurité puisque l’analyste croit que la signature activée bloque des attaques non détectées. Ils sont plus dangereux pour le réseau organisationnel et plus difficiles à détecter.

3.3 Explosion des signatures

Actuellement, la solution IDS de source ouverte SNORT répertorie plus de 14 000 signatures dans sa base de données³. Cette explosion de signatures s’apparente au même phénomène constaté dans le cas des définitions de virus. Les attaquants recourent à des techniques plus évasives, améliorent leurs méthodologies et créent de nouvelles attaques basées sur de nouvelles faiblesses relevées dans les protocoles ou les applications.

3 SNORT est une solution IDS de source ouverte qui utilise les signatures créées et diffusées à l’intention du public.

Sourcefire soutient et finance la collectivité de source ouverte et intègre ces signatures à ses propres produits.

3.3.1 Mises à jour fréquentes

L’explosion des signatures exige de l’IPS des mises à jour fréquentes de la base de données des signatures afin de s’assurer que les attaques pertinentes les plus récentes peuvent être détectées.

Un IPS qui n’est pas mis à jour ou à niveau régulièrement devient très rapidement obsolète.

C’est pourquoi, lorsque l’on envisage l’achat d’un IPS, il est essentiel de tenir compte de la capacité de soutien du fournisseur et de sa viabilité financière. La direction des services de TI doit également prévoir un plan d’urgence en cas d’insolvabilité du fournisseur, par exemple, en achetant de l’assurance pour remplacer la solution IPS.

3.4 Interventions – Paquets non standard

Les attaquants plus avertis tentent souvent d’établir un profil du système cible pour obtenir le maximum d’information sur le matériel et le logiciel qu’il utilise.

Il existe des normes reconnues qui précisent la façon appropriée d’intervenir dans le cas de paquets légitimes; par exemple, un paquet TCP SYN, qui établit une liaison à trois voies, devrait toujours être suivi d’un paquet SYN/ACK. Par contre, lors de la réception de paquets illégaux ou non standard, les systèmes d’exploitation ne peuvent compter sur aucune directive standard quant à la manière dont ils doivent intervenir. Par exemple, lors de la réception d’un paquet accompagné de la paire d’indicateurs SYN et FIN (paquet SYN/FIN), certains systèmes rejette le paquet sans intervenir alors que d’autres retourne un code d’erreur. Un attaquant, qui envoie une grande quantité de paquets illégaux et qui compare les interventions aux valeurs par défaut d’un fournisseur connu, est en mesure de créer un profil du système cible qui, souvent, lui permet d’identifier le fournisseur, le modèle et même la version du logiciel ou du matériel.

En modifiant les interventions par défaut dans le cas des paquets illégaux et non standard, l’administrateur de la sécurité peut cacher cette information à un attaquant.

3.5 Renforcement

Comme tout autre serveur, l’IPS utilise un système d’exploitation dont le renforcement de la plate-forme est une exigence de sécurité fondamentale. Le renforcement devrait permettre de fermer tous les services ou ports inutiles, de modifier les mots de passe par défaut, de vérifier que toutes les rustines de sécurité sont appliquées et respectent la politique de sécurité de l’organisme. Reportez-vous aux lignes directrices qui concernent le renforcement du système d’exploitation qu’utilise la solution IPS.

Les organisations devraient analyser tout le logiciel du fournisseur avec un logiciel antivirus pour s’assurer qu’aucun virus ne se camoufle dans le produit IPS dont ils ont fait l’acquisition.

2009 19

Le processus de gestion des rustines de l’organisation devrait inclure les mises à jour de sécurité et les mises à niveau des fonctions de l’IPS. Les administrateurs doivent tester toutes les mises à jour de manière exhaustive avant de les appliquer. Les mises à niveau des fonctions sont

essentielles, plus particulièrement lorsqu’elles visent à améliorer les capacités de détection et de prévention. Le fournisseur devrait s’assurer que les mises à niveau sont rétrocompatibles avec les configurations existantes.

3.6 Rendement relatif au volume de trafic

Certaines solutions IPS, qui fonctionnent bien lorsque le volume de trafic est léger ou modéré, se dégradent d’une manière significative lorsque soumises à de lourds volumes de trafic. Cette lacune peut permettre à un attaquant de les rendre totalement inefficaces en inondant simplement le réseau de paquets de trafic légitimes mais superflus.

Les fournisseurs devraient communiquer les résultats des tests d’extensibilité qu’ils ont effectués pour attester du rendement de leur dispositif IPS. Ces résultats devraient tenir compte de la largeur de bande, de l’utilisation de l’UCT, du nombre de signatures activées, des délais de propagation et des règles d’anomalie configurées. Il est préférable que ces tests soient effectués par un tiers indépendant afin de garantir l’exactitude des résultats. L’extensibilité du produit devrait pouvoir répondre aux besoins des petits réseaux de services organisationnels (moins de 500 utilisateurs) ou des vastes réseaux organisationnels (50 000 utilisateurs ou plus).

3.7 Gestion et production de rapports centralisées

Une capacité centrale de production de rapports permet de corréler les attaques lancées contre plusieurs hôtes et donne aux administrateurs de la sécurité un meilleur aperçu de la nature et de l’étendue des attaques. Les rapports résument l’information des journaux recueillie sur la sécurité et servent d’outils d’enquête aux administrateurs des TI pour les aider à déterminer la source des problèmes. Cette information peut aider à débusquer les employés qui s’adonnent à des activités malveillantes au sein de l’organisation.

La production de rapports centralisée peut également aider les gestionnaires à identifier les points faibles du réseau. Il devient alors possible de remanier le réseau ou de déployer de nouveaux contrôles de sécurité pour régler les problèmes. Les rapports peuvent également indiquer les secteurs où le réseau est le plus sollicité ainsi que les applications les plus utilisées;

les gestionnaires peuvent ensuite se servir de ces données pour les futures mises à niveau du réseau. La production centralisée peut aussi aider à déterminer les infractions à la politique relative aux ententes d’utilisation des ressources de l’organisation.

Un IPS doté d’une gestion centralisée permet aux responsables d’assurer le soutien du produit sans avoir à accéder physiquement à chaque dispositif dans le réseau. La facilité de déploiement des profils ou des modifications de configuration permet d’attribuer des fonctions similaires à

tous les détecteurs IPS. On devrait pouvoir apporter ces modifications à un ou plusieurs détecteurs.

3.8 Intégration à l’infrastructure de réseau en place

Le choix d’un IPS approprié est lié à la topologie et à l’infrastructure du réseau en place. Par exemple, on ne devrait pas utiliser un IPS-réseau en ligne dans un réseau commuté lorsque l’IPS fonctionne uniquement avec un trafic unidirectionnel (semi-duplex). Au minimum, l’IPS devrait résider derrière le coupe-feu qui protège la zone d’accès public dans la DMZ puisque ce type de réseau est plus vulnérable aux attaques qu’un intranet organisationnel.

Il y a des avantages à effectuer la surveillance de la zone de travail (ZT) ou de l’intranet

organisationnel puisqu’un grand volume de trafic traverse ce réseau sans atteindre la DMZ. Pour protéger le réseau, les liaisons par lesquelles passe le plus fort volume de trafic devraient être surveillées par un IPS. Pour protéger les segments de réseau local (LAN), un IPS-hôte peut surveiller de manière efficace les dispositifs qui y sont connectés.

L’intégration aux autres contrôles de sécurité assure une posture de sécurité en profondeur car les différentes attaques sont filtrées dans les différentes couches. L’IPS devrait interopérer avec les coupe-feu existants, en offrant plus particulièrement une interface de correction, pour leurs transmettre de nouvelles règles, le cas échéant. Cette interface permettra d’éviter les attaques puisque l’IPS détecte les problèmes et le coupe-feu bloque ou empêche les futures attaques.

Les plans de déploiement devraient prévoir l’intégration au service d’authentification

organisationnel afin de permettre une utilisation et une administration transparentes de l’IPS. Ils devraient également prendre en compte l’autorisation axée sur les rôles pour accorder des permissions uniques aux différents utilisateurs, tels les administrateurs ou les analystes. Les plans devraient s’intégrer à l’application de production de demandes de dépannage afin de permettre l’ouverture d’un dossier de demandes liées à la sécurité dans les cas de problèmes de sécurité ou de compromissions.

Un IPS-hôte ou un IPS-réseau ne devrait pas exiger une puissance de traitement ou une largeur de bande trop élevée puisque cela aura une incidence sur le travail de l’utilisateur et sur

l’acceptation de la solution comme mécanisme de contrôle de la sécurité; l’utilisateur ne devrait pas remarquer la présence du produit et celui-ci ne devrait pas être source de désagrément.

Connexion sécurisée

 Toutes les connexions à l’IPS doivent utiliser un canal sécurisé entre l’hôte client et l’IPS.

 Pour l’accès aux terminaux, le fournisseur doit utiliser le protocole SSH (Secure Shell).

Pour l’accès Web, il doit utiliser le protocole SSL/TLS.

Ouverture de session intégrée

2009 21

 L’ouverture de session intégrée permet de réduire la complexité de la gestion des comptes, telle la création et la suppression de comptes.

 L’IPS devrait utiliser et intégrer facilement l’infrastructure d’ouverture de session de l’organisme qui comprend notamment le service Active Directory, le protocole LDAP (Lightweight Directory Access Protocol) ou le protocole RADIUS (Remote

Authentification Dial In User Service).

Mots de passe robustes

 L’utilisation de ces mots de passe permet de s’assurer d’une authentification suffisamment robuste pour résister aux attaques en force brute.

 La console de gestion de la configuration doit accepter l’utilisation de mots de passe robustes⁴.

3.9 Gestion des réseaux

Une interface sécurisée est essentielle à la gestion de réseau de l’IPS. Elle assure la configuration sécurisée du dispositif pour lui permettre d’activer ou de désactiver les signatures ou d’autres fonctions de sécurité, et protège le trafic de gestion du réseau contre l’écoute clandestine. Pour l’accès aux terminaux, les analystes et les administrateurs devraient utiliser le protocole SSH.

Pour l’accès au Web, le cas échéant, ils devraient utiliser les protocoles SSL ou TLS.

L’application de gestion à distance devrait utiliser des certificats sécurisés, signés par une autorité de certification, pour offrir une méthode d’authentification plus transparente et sûre.

Les algorithmes de chiffrement des protocoles SSL/TLS ou SSH doivent être approuvés par le CSTC et leur application, validée à la norme FIPS 140-2⁵. En outre, l’IPS devrait attester que l’application standard des algorithmes, au plan des fonctions de sécurité et de la sécurité du dispositif lui-même, satisfait au niveau d’assurance d’évaluation 3 des Critères communs⁶. L’IPS devrait appliquer des mots de passe robustes pour les comptes d’administrateur ou d’opérateur; ces mots de passe devraient s’intégrer à un mécanisme d’authentification, tels les protocoles LDAP ou RADIUS, ou le service Active Directory, utilisé par l’organisation.

L’ouverture de session intégrée et les mots de passe permettent de réduire la complexité de la gestion des comptes, telle que la création et la suppression de comptes, et de s’assurer d’une

4 La gestion des mots de passe devrait respecter la politique ou les lignes directrices du ministère ou de l’organisme en matière de sécurité.

5 Pour la validation à la norme FIPS 140-2, prière de consulter le Programme de validation des modules

cryptographiques (PVMC): http://www.cse-cst.gc.ca/its-sti/services/industry-prog-industrie/cmvp-pvmc-fra.html 6 Le Schéma canadien lié aux Critères communs (SCCC): http://www.cse-cst.gc.ca/its-sti/services/cc/index-fra.html offre une évaluation par une tierce partie de la certification selon les Critères communs.

authentification suffisamment robuste pour résister aux attaques en force brute. Peu importe où les mots de passe sont utilisés, le produit devrait prendre en charge différentes longueurs de mot de passe et utiliser un format conforme à la politique de l’organisation en cette matière.

Pour assurer l’exactitude des pistes de vérification et du contrôle d’accès, les utilisateurs ne devraient jamais partager leurs comptes d’ouverture de session.

En plus du service d’authentification, l’IPS devrait offrir un service d’autorisation axée sur les rôles à un niveau de permission granulaire. Ce service empêche les utilisateurs non autorisés de configurer le produit de façon inappropriée et permet de s’assurer qu’ils l’utiliseront de manière adéquate, selon les permissions configurées.

3.10 Configuration

L’IPS devrait permettre de modifier toutes les valeurs par défaut. Généralement, en guise de première tentative d’accès non autorisé, les attaquants tentent d’effectuer des connexions d’ouverture de session en utilisant les valeurs par défaut définies dans la documentation. En modifiant ces valeurs avant le déploiement du produit, les responsables empêchent les utilisateurs non autorisés de se connecter au dispositif.

Les administrateurs devraient activer et surveiller les activités de journalisation. Un journal, tenu à jour conformément aux politiques de l’organisation en matière de sécurité, permet de consigner toutes les demandes d’accès. Un examen périodique des journaux permet d’identifier les actions ou les accès non autorisés. Les journaux aident également à déterminer l’identité de l’attaquant, les composantes compromises, la façon dont elles ont été compromises et à quel moment elles l’ont été.

Le produit devrait offrir une interface utilisateur simple et exiger un minimum de ressources pour sa gestion et son fonctionnement afin de s’assurer qu’il ne soit pas un fardeau pour les administrateurs. Hormis une période de quelques mois pour sa mise au point dans les

environnements organisationnels, l’IPS ne devrait pas exiger plus de maintenance et de soutien qu’un serveur standard doté d’un système d’exploitation commercial.

Gestion centralisée

 La gestion centralisée des changements permet de s’assurer que l’on peut soutenir le produit sans qu’il soit nécessaire d’accéder physiquement à chaque dispositif du produit dans le réseau et que l’on peut déployer une configuration similaire dans tous les

détecteurs IPS.

 Il devrait être possible de centraliser la gestion, l’administration et la configuration du produit.

Gestion à distance

2009 23

 La gestion à distance permet de s’assurer que le produit ne devient pas un obstacle à l’administration du réseau et requiert un canal sécurisé entre l’hôte client et l’IPS.

 Le produit devrait être compatible avec les outils de gestion à distance et offrir le soutien des protocoles SSH ou SSL/TLS.

3.11 Conformité aux normes

La majorité des maliciels ciblent les applications TCP. L’IPS devrait inspecter le trafic TCP au niveau de la couche transport, surveiller et enregistrer les balises TCP, et pister l’état du protocole afin d’identifier tout comportement anormal ou toute attaque unidirectionnelle.

Les attaquants tenteront d’utiliser des paquets UDP (User Datagram Protocol) pour contourner les mécanismes de défense du protocole TCP. L’IPS devrait également surveiller les paquets UDP.

Certaines attaques par déni de service utilisent des paquets ICMP (Internet Control Message Protocol), tels Echo Request (ping), Echo Reply (réponse ping), Source Quench, et autres types de message de contrôle ICMP moins connus. Les attaquants utilisent aussi couramment les messages Echo Request et Traceroute pour effectuer une reconnaissance des réseaux. Il est important que l’IPS surveille les paquets ICMP et détecte les attaques par déni de service.

4 Acronymes et glossaire

4.1 Acronymes

3DES Triple-Data Encryption Standard (Triple-DES)

ACR Analyse du comportement des réseaux

AES Advanced Encryption Standard

CAVP Programme de validation des algorithmes cryptographiques CMVP Programme de validation des modules cryptographiques CSTC Centre de la sécurité des télécommunications Canada

DES Data Encryption Standard

DMZ Zone démilitarisée

DNS Système de noms de domaine

DoS Déni de service

EAL Niveau d’assurance de l’évaluation

FIPS Normes FIPS (Federal Information Processing)

FTP File Transfer Protocol

GC Gouvernement du Canada

HIPS Système de prévention d’intrusions au niveau de l’hôte

HTTP Hypertext Transfer Protocol

HTTPS Hypertext Transfer Protocol - Secure ICMP Internet Control Message Protocol IDP Prévention et détection des intrusions

IDPS Système de détection et de prévention d’intrusions

IDS Système de détection d’intrusions

IP Internet Protocol

IPS Système de prévention d’intrusions

LDAP Lightweight Directory Access Protocol

NIST National Institute of Science and Technology

OS Système d’exploitation

RADIUS Remote Authentification Dial In User Service

RPV Réseau privé virtuel

SIEM Gestion des informations et des événements de sécurité

SP Publication spéciale

SQL Structured Query Language

SSH Secure Shell

SSL Secure Sockets Layer

TCP Transmission Control Protocol

TI Technologie de l’information

TLS Transport Layer Security

TTL Durée de vie

UCT Unité centrale de traitement

UDP User Datagram Protocol

ZAP Zone d’accès public

2009 25

ZT Zone de travail

4.2

ACK Indicateur d’accusé de réception TCP activé par le système de réception d’extrémité pour indiquer la réception du paquet.

Attaque clandestine L’attaquant désire que l’analyste croie qu’un hôte « A » est sous attaque en l’inondant de nombreux paquets d’exploits qui

déclenchent des alarmes de l’IPS. Pendant que l’analyste est occupé à enquêter sur les événements de sécurité liés à l’hôte « A »,

l’attaquant se tourne lentement vers l’hôte qu’il entend cibler.

Attaque par conditionnement

Un attaquant consacre ses énergies à générer du trafic qui déclenche de faux positifs pour les signatures activées dans l’IPS. L’analyste de la sécurité enquête pour déterminer si les alarmes sont fausses; ce faisant, il peut désactiver les signatures ou décider de ne pas tenir compte des alarmes à l’avenir. À ce stade, l’attaquant peut lancer une attaque réelle.

Attaque par mystification

Un attaquant envoie des paquets malveillants qui contiennent des adresses IP source mystifiées. L’analyste ouvre une enquête afin de déterminer si l’hôte ainsi mystifié est compromis au lieu de se concentrer sur l’attaque elle-même.

Division de session Technique évasive par laquelle l’attaquant divise l’attaque en paquets plus petits qui passent inaperçus puisque l’IPS ne conserve pas d’information dynamique pour l’analyse axée sur les signatures.

FIN Indicateur de fin du protocole TCP activé pour interrompre la connexion et indiquer qu’il n’y a plus de données à transmettre.

IPS-hôte IPS qui fonctionne en utilisant l’information recueillie dans un système informatique individuel. Son emplacement privilégié lui permet de déterminer exactement le processus et les comptes d’utilisateur concernés au cours d’une attaque particulière contre le système d’exploitation. De plus, contrairement à un IPS-réseau, un IPS-hôte est plus en mesure de « connaître » le résultat prévu d’une tentative d’attaque puisqu’il peut directement consulter et surveiller les fichiers de données et les processus de système habituellement visés par les attaques. L’IPS-hôte est semblable à un IDS-hôte (système de détection d’intrusions), en plus d’être doté de fonctions supplémentaires qui lui permettent de prévenir, de bloquer et d’arrêter les attaques. (NIST SP 800-36)

IPS-réseau IPS qui détecte les attaques en interceptant et en analysant les paquets réseau. L’écoute d’un segment de réseau ou d’un commutateur lui permet de surveiller le trafic réseau qui a une incidence sur les nombreux hôtes reliés au segment de réseau.

L’IPS-réseau peut uniquement inspecter le trafic qui lui est destiné ou qui le traverse. Il est semblable à un IDS-réseau, en plus d’être doté de fonctions supplémentaires qui lui permettent de prévenir, de bloquer et d’arrêter les attaques. (NIST SP 800-36)

SYN Indicateur de synchronisation TCP qui sert à établir des connexions et à synchroniser les numéros de séquence.

Technique évasive Technique concernant le contournement des signatures IPS activées pour éviter la détection ou le blocage.

2009 27

Tableau 1 : Liste de contrôle des fonctions de sécurité : Systèmes de prévention d’intrusions (IPS)

Nom du produit :

Liste de contrôle des fonctions de sécurité – IPS

Élément Fonctions recommandées

1.0

Fonctions de sécurité de base

Attaques connues

Tant les attaquants novices qu’experts tentent toujours de lancer des attaques existantes connues, qui demeurent susceptibles de représenter les plus graves menaces pour un réseau.

Le produit devrait pouvoir reconnaître toutes les attaques connues et déclencher une alerte, le cas échéant.

1.2

Nouvelles attaques

Cette fonction protège contre les exploits du jour zéro.

Le produit devrait pouvoir reconnaître les nouvelles attaques détectées par le service de détection d’anomalie ou l’analyse dynamique du protocole, et déclencher une alerte, le cas échéant.

1.3

Mises à jour des signatures

Cette fonction permet de s’assurer que le produit est en mesure de prendre en charge et de détecter les plus récentes attaques. Les nouvelles attaques voient fréquemment le jour lorsque des faiblesses sont détectées.

La solution devrait prévoir des mises à jour automatiques et régulières des signatures.

1.4

Mises à niveau des fonctions

L’IPS devrait pouvoir recevoir des mises à niveau des fonctions au fur et à mesure qu’évolue la technologie afin d’améliorer ses capacités de détection et de prévention.

La configuration existante devrait être rétrocompatible avec les mises à niveau de nouvelles fonctions.

Nom du produit :

Liste de contrôle des fonctions de sécurité – IPS

Élément Fonctions recommandées

1.5

Matériel spécialisé

L’exécution d’autres services sur le même dispositif que celui de l’IPS peut être à l’origine de faiblesses potentielles qu’un attaquant pourrait exploiter ou d’une dégradation importante du rendement de l’utilisateur final.

L’installation d’un IPS-réseau dans un réseau renforcé, dans lequel on utilise uniquement les services essentiels au soutien du produit, rend plus difficile la capacité d’un attaquant de compromettre ou de toucher le rendement.

Un IPS-réseau devrait fonctionner sur une plate-forme spécialisée qui ne devrait pas être utilisée pour offrir d’autres services, par exemple, des services de serveur Web ou DNS (système de noms de domaine).

1.5.1 Mises à jour du logiciel

Les fournisseurs doivent diffuser des mises à jour de sécurité pour leur logiciel afin de prévenir l’exploitation de ses faiblesses.

Les administrateurs devraient recevoir un avis automatique lors de la diffusion des rustines de sécurité et ces mises à jour devraient être faciles à appliquer.

1.5.2 Système d’exploitation renforcé

Cette fonction rend plus difficile la capacité de compromission d’un attaquant puisque le système offre moins de points d’accès et est moins vulnérable. Un IPS-réseau devrait être installé dans un serveur de système d’exploitation renforcé.

1.6

Méthodes de détection

Technologie axée sur les signatures

Ce processus permet de comparer les signatures ou les modèles de trafic connus et de détecter les menaces ou les incidents potentiels.

Le dispositif devrait détecter les activités malveillantes associées aux attaques connues en recourant à la détection axée sur les signatures;

l’administrateur peut activer ou désactiver les signatures pour peaufiner le processus. Pour une protection maximale, la solution IPS devrait offrir une combinaison de différentes méthodes de détection.