Etude, conception et mise en ?uvre d?un systeme de surveillance par detection d?intrusion dans un reseau informatique (cas de la banque finca)

1.7. PRESENTATION DE SOLUTION BRO IDS

1.7.1. Identification du produit BRO IDS

Tableau 2.I: Identification du produit Bro IDS

L'architecture de Bro est définie en trois couches principales :

- Le module Packet Capture : chargé d'écouter le trafic en mode sniffer et de transmettre tous les paquets à la couche supérieure ;

- Le module Event Engine : classe les flux par protocole, crée une table d'états pour les connexions, contrôle l'intégrité (checksum), réassemble les fragments et analyse les flux. Ce module génère des événements qu'il transmet à la troisième couche ;

- Le module Policy Layer : utilise les scripts écrits dans le langage de Bro pour traiter les événements.

1.7.2. Description du produit

1.7.2.1. Description générale

Bro est un système de détection d'intrusions réseau (« Network Intrusion Detection System ») open source, disponible pour les systèmes d'exploitation de type Unix (dont Linux, FreeBSD et open BSD), qui analyse le trafic réseau à la recherche de toute activité suspecte. L'analyse se fait de manière passive et transparente, c'est-à-dire qu'il n'altère pas les paquets réseaux qu'il traite.^2(*)

. Bro détecte les intrusions en deux temps :

- Le premier consiste à capter le trafic réseau et à décoder les différentes couches protocolaires (de manière à en extraire la sémantique applicative). Cette étape fournit des événements de « haut-niveau » qui pourront par la suite être analysés ;

- Le second consiste à analyser les événements générés lors de la première étape par des scripts d'analyse. Ces scripts comparent ces événements par rapport à des motifs caractérisant des comportements réputés anormaux. Cette analyse permet à la fois la détection d'attaques connues au préalable (qui sont décrites en termes de signatures ou d'événements) et d'anomalies (par exemple, la présence de connexions de certains utilisateurs vers certains services ou l'occurrence de tentatives de connexions infructueuses).

Bro utilise un langage spécifique qui permet d'adapter son fonctionnement au contexte du réseau à surveiller. Si Bro détecte un scénario d'attaque, il peut réagir de différentes manières :

- Il peut générer une entrée de journal(en utilisant éventuellement le système de gestion de journaux de l'OS) ;

- Il peut alerter l'opérateur par courriel (le rapport étant chiffré via GPG) ;

- Il peut exécuter une commande définie par l'administrateur (par exemple, de mettre fin à une connexion ou de bloquer un hôte malveillant à la volée). Ce système permet donc à l'administrateur d'adapter le type de réponse.

Bro peut générer des journaux détaillés qui sauvegardent les différents événements observés. Ces journaux peuvent s'avérer utiles lors de la phase de diagnostic réalisée lorsqu'une attaque est détectée (analyse post mortem).

Bro permet de surveiller des réseaux à haut débit (Gbps). Tout en fonctionnant sur du matériel de type PC, Bro est en mesure d'atteindre les performances nécessaires à la surveillancede réseau à fort trafic en réalisant une combinaison judicieuse de techniques de filtrage de paquets. Il constitue donc une solution peu coûteuse permettant de surveiller le trafic d'une connexion Internet.

1.7.2.2. Principales caractéristiques

Figure 8.I:Exemple d'intégration de Bro dans un réseau

Un IDS réseau : Bro est un IDS réseau. Il recueille, filtre (éventuellement), décode et analyse le trafic qui passe à travers un réseau local. Un seul moniteur Bro, placé à un carrefour stratégique du réseau, peut être utilisé pour surveiller tout le trafic entrant et sortant du réseau. Il est également possible de le placer sur un segment particulier du réseau afin de ne surveiller que le trafic à destination (ou en provenance) d'une zone particulière (par exemple, la « zone démilitarisée » ou DMZ). La figure 8 donne un exemple possible d'intégration d'une sonde Bro dans un réseau. Bro ne nécessite pas l'installation de logiciel client sur chaque ordinateur du réseau. En revanche, il s'agit d'une solution logicielle qui nécessite le support d'une architecture matérielle et d'un OS (de type UNIX).

Analyse détaillée de la couche applicative : Bro a la capacité de comprendre de manière détaillée de nombreux protocoles d'application, et ce, par le biais de codes spécifiques ou « analyseurs ». Ces derniers génèrent un flux d'événements décrivant l'activité observée au niveau sémantique. Ces événements ne constituent pas des alertes^3(*) de sécurité, mais fournissent plutôt les entrées pour d'autres traitements réalisés par Bro. Ces traitements sont développés dans un langage de script spécifique.

Langage de script spécifique :Les scripts décrivant les politiques d'analyse de Bro sont des programmes écrits dans un langage de script spécifique à Bro. Ils contiennent les « règles » qui décrivent les activités considérées comme problématiques. Ils interprètent les événements issus de l'activité réseau et lancent des traitements complémentaires. L'apprentissage du langage peut nécessiter du temps et des efforts mais une fois maitrisé, l'administrateur Bro dispose d'un outil puissant lui permettant de définir des politiques de détection et d'analyse propres aux besoins du réseau qu'il administre.

Politiques par défaut :Bro est livré avec un ensemble de scripts conçus pour détecter les attaques Internet les plus communes. L'utilisation de ces scripts ne nécessite pas de connaître le langage de script de Bro ni le mécanisme de mise en oeuvre des politiques Bro.

Mécanisme de reconnaissance de signatures d'attaques :Bro comprend un mécanisme de reconnaissance de signatures qui permet d'identifier des contenus spécifiques dans le trafic capté. Pour Bro, ces signatures sont exprimées à l'aide d'expressions régulières, plutôt que d'utiliser de simples chaînes de caractères. La richesse du langage Bro complète utilement le mécanisme de reconnaissance de signatures. Il permet en effet de prendre en compte le contexte du réseau à surveiller. Par exemple on pourra définir les types de machines présentes dans le système d'informations ainsi que les services qu'elles offrent. Il sera ainsi possible de réduire potentiellement le nombre de faux positifs.

L'analyse de trafic réseau :Bro recherche des motifs d'attaques par rapport aux signatures dont il dispose, mais il peut aussi analyser les protocoles réseau, les connexions, les transactions, les volumes de données et de nombreuses autres caractéristiques du réseau afin d'y détecter l'occurrence de comportements anormaux. Il dispose de mécanismes permettant de stocker les informations relatives aux événements observés par le passé afin de l'intégrer dans l'analyse de nouvelles activités.

Détection, suivi d'une action :Les scripts Bro peuvent générer des enregistrements de l'activité dans des fichiers de sortie (y compris l'activité normale et non agressive). Ils peuvent également générer des alertes vers le journal d'événements du système d'exploitation, y compris le système de gestion de journaux syslog. Les scripts peuvent également exécuter des programmes (script bash, etc.) définis par l'administrateur. Ceci peut permettre :

- D'envoyer des courriels à l'utilisateur en charge de la supervision ;

- De mettre fin automatiquement à des connexions existantes ;

- D'insérer des règles de contrôle d'accès à un routeur, etc.

Compatibilité avec le logiciel Snort : Snort est un système de détection d'intrusions réseau (NIDS) par signature. Il est largement répandu et son langage de signature constitue ainsi un standard de fait. Bro inclut un outil de conversion des signatures de l'IDS Snort vers son propre format de signatures : snort2bro.

Schéma fonctionnels de BRO IDS :

Figure 9.I: Schémas fonctionnelles de BRO IDS

En effet, l'échec du processus dedétection d'intrusions peut conduire à l'absence de prise en compted'éventuels incidents de sécurité, si le système surveillé est effectivement vulnérable et si aucun mécanisme de protection n'a été à même de le protéger. Ces fonctions sont les suivantes :

- La capture et le décodage de protocole, qui sont assurés pour Bro par les modules précédents :

· Le module de capture (qui constitue l'interface avec la bibliothèque de capture) ;

· Le module de suivi des protocoles avec les scripts nécessaires au suivi des protocoles utilisés durant l'évaluation (TCP, UDP, HTTP, DNS et SMTP).

- L'analyse des événements, qui est assurée pour Bro par les modules suivants :

· Le mécanisme de comparaison et de gestion en mémoire des signatures ;

· L'interpréteur de script ainsi que les scripts de détection activés par défaut ;

· Les signatures définies par défaut.

* ² Il est toutefois possible d'adopter une attitude plus active et mettre fin à certaines connexions pour lesquelles des actions douteuses ont été détectées. Ce n'est cependant pas le mode de fonctionnement standard de Bro.

* ³Bro différencie les avertissements (« notice »), des informations internes qui peuvent être transformés en alertes (« alarm »), qui seront remontées à l'exploitant de Bro (par exemple par courriel). Par défaut, Bro transforme tous les avertissements en alertes.