Professional Documents
Culture Documents
Advanced Evasion Techniques: Nouvelles mthodes et combinaisons de contournement des technologies de prvention des intrusions
par Mark Boltz, Mika Jalava, Jack Walsh (ICSA Labs) Stonesoft Corporation
Index
Introduction 3
Les auteurs 3
Scurit rseau
Le rle de lIPS et de lIDS
4
5
Evasions 6
Standards rseau 6 Recherches sur les vasions 7 Normalisation 8
Conclusion 10
11
Bibliographie 12
page 2
Introduction
A mesure que les environnements rseaux se complexifient, la gestion des systmes de scurit des informations devient un vritable challenge. Les systmes de dtection et de prvention des intrusions of frent une protection aux architectures les plus vulnrables, notamment celles dont la mise jour prsente cer tains risques. Depuis que lIPS est n, des techniques dvasion et de contournement de ce systme existent. Cependant, ces techniques utilises par les cybercriminels et autres hackers ont rapidement t identifies, connues et matrises. Aujourdhui, Stonesoft dvoile de nouvelles techniques qui viennent complter celles dj connues et qui sy mlangent par faitement. Combines, ces techniques (AET) ciblent les faiblesses des protocoles. De plus, la communication rseau, par essence assez permissive, provoque une augmentation du nombre dvasions capables de contourner les technologies IPS, mme les plus jour.
Les auteurs
Mark Boltz est Senior Solutions Architect chez Stonesoft Corporation. Il justifie de plus de 20 ans dexprience dans le domaine des technologies de linformation, dont plus de 18 ans spcialises dans la scurit rseau. Titulaire des cer tifications CISSP et CISA, il suit actuellement un Master en technologie de linformation. Mika Jalava est le directeur technique de Stonesoft Corporation. Jack Walsh est Anti-SPAM and Network IPS Program Manager chez ICSA Labs, division indpendante de Verizon Business.
page 3
Scurit rseau
La scurit des rseaux informatiques dpend dun nombre surprenant de facteurs. Ceci sapplique mme si lon se limite dfendre les rseaux contre les attaques actives. Le nombre de contrles que le rseau, le ser veur et ladministrateur doivent comprendre et appliquer correctement pour dfendre lentreprise contre lensemble des menaces, en constante volution, peut se rvler norme. Les dispositifs rseau, les systmes dexploitation ser veurs et les applications doivent non seulement tre correctement configurs mais galement par faitement mis jour. Les contrles daccs doivent tre appliqus de faon approprie. Pour rduire les risques de dgts et dlivrer la meilleure protection possible, il est ncessaire de segmenter le rseau. Les rgles intgres au firewall ne doivent tre conformes quaux ser vices dont lentreprise a besoin. Tous les logs systmes doivent tre recueillis, stocks et analyss en un point central, afin de reprer facilement toute anomalie ou compor tement suspect. Les car tes de paiement et les informations personnelles doivent tre protges, dans le respect non seulement des politiques de scurit internes, mais galement des standards de conformit imposs par lextrieur. Les socits dsireuses de respecter les tapes mentionnes ci-dessus ou de mettre en place des bonnes pratiques, risquent dtre freines par la topologie de leur rseau. Des ser vices rseaux dynamiques et mal conus ne permettent pas de segmenter le rseau et dy implmenter des politiques de firewall. Les entreprises, linstar dune multitude de rseaux industriels, risquent de se voir limiter dans leurs possibilits de mise jour des systmes dexploitation, notamment cause des applications et protocoles dj en place. Le nombre impor tant de patches, de nouvelles versions des systmes dexploitation et dapplications, leur compatibilit mutuelle sont autant de facteurs risquant dempcher lentreprise de les tester et de se maintenir par faitement jour.
page 4
(IDS) ou empchent la connexion (IPS). Les techniques utilises par ces dispositifs de scurit sont varies gnralement protocole et mais en en des consistent lanalyse du signatures
dattaques capables de dterminer des modles dattaques rseau, provenant des exploits identifis ciblant des vulnrabilits dans les systmes de communication. Le nombre dexploits connus et de est
Figure 1: Prvention basique de lintrusion (IPS). LIPS inspecte et bloque laccs aux paquets illgitimes.
vulnrabilits
considrable et ne cesse de crotre rapidement. For t heureusement, les capacits dinspection des solutions IPS et IDS voluent galement trs rapidement. Gnralement, lorsquun exploit ciblant les entreprises est dcouver t, le dtecter les sont mthodes intgres pour aux
dispositifs en quelques jours, voire quelques heures. Cer tains exploits, similaires dautres, pourront tre dtects et empchs grce des fonctionnalits danalyse dj connues.
k
Figure 2: Dtection basique de lintrusion (IDS). LIPS inspecte et signale les paquets suspicieux.
page 5
Evasions
Que se passe-t-il lorsquun systme est vulnrable un exploit mais que le pirate ne par vient pas mener bien son attaque cause dun systme de dtection rseau ? Cest ce moment que lon parle dvasion. Le dveloppement des techniques dvasion, ou vasions, nest pas pass inaperu auprs des personnes dsireuses dattaquer les rseaux. Le pirate change alors de questionnement et comment puis-je pirater le systme de destination ? devient comment puis-je pntrer et pirater ce systme sans tre repr ?
Standards rseau
TCP/IP, le protocole utilis sur Internet et la majorit des rseaux informatiques se base sur les prrequis techniques dfinissant la norme RFC 791, ne en 1981.Entre autres choses, la norme RFC explique que : gnralement, une implmentation doit tre plutt stricte pour tout ce qui concerne les envois et plutt permissive en ce qui concerne la rception. Ceci signifie quelle doit envoyer des datagrammes correctement constitus, mais doit accepter tout type de datagramme quelle est capable dinterprter (ex : ne pas objecter devant des erreurs techniques alors que la signification est toujours dchif frable) (Postel, 1981, p. 23).En dautres termes, il existera plusieurs manires de former des messages qui seront identifis de la mme faon par lhte distant. Cette position permissive est adopte pour faciliter et fiabiliser linteroprabilit entre les systmes, mais a, paralllement, ouver t la voie de nombreuses attaques et mthodes visant empcher des attaques dtre dtectes. Les systmes dexploitation et applications ne ragissant pas de la mme faon la rception de paquets, lapplication de lhte distant verra peut-tre quelque chose de dif frent de ce qui se trouvait initialement dans le trafic rseau. Le rseau lui-mme peut tout fait modifier le trafic entre le systme de dtection et lhte distant. En exploitant minutieusement ces dif frences, il est possible, dans beaucoup de cas, de construire des paquets de telle faon ce quils paraissent normaux et sans danger mais qui, au moment dtre interprts par lhte distant, se transformeront en exploit, le prenant pour cible. Ces techniques sont gnralement appeles vasions.
page 6
lmentaire,
autour des dfis que reprsente la fragmentation IP. La fragmentation IP est spcifie Elle systmes est et dans la RFC afin les 791. les requise de grer
Si nous savions ce que nous faisons, cela ne sappellerait plus de la recherche, nest ce pas ?
Alber t Einstein
(Postel, 1981). Lors dune vasion de type fragmentation IP, le pirate profite, par exemple, de fragments dsordonns ou surcharge lIPS de fragments. Newsham et Ptacek corroborent le fait suivant : un IDS qui ne sait pas grer correctement des fragments dsordonns devient vulnrable. Un pirate peut volontairement brouiller ses flux de fragments dans le but de contourner les IDS (Newsham & Ptacek, 1998). Par ailleurs, les systmes IDS doivent af fronter une nouvelle problmatique : en ef fet ils reoivent des fragments qui doivent tre stocks jusqu ce que le flux de fragments puisse tre rassembl dans un datagramme IP entier . En conclusion, les architectures IPS et IDS doivent compenser autant que possible le fait que lhte distant rassemblera peut-tre les fragments. LIPS doit prendre en compte toutes les possibilits. Si lIPS ne sait pas absorber assez de fragments avant dappliquer les signatures ou dterminer les possibilits de resquenage, ce dernier ne dispose plus de contexte appropri, et rcrit par consquent le flux dans lIDS (Newsham & Ptacek, 1998). On appelle dsynchronisation dtat ce changement de contexte entre lIPS et lhte distant. Newsham & Ptaceck ont galement inclus dans leurs recherches de 1998 plusieurs techniques impliquant des options IP, TCP et le squenage TCP. Ils en parlent en dtails dans leur document et elles ont t consignes ici pour donner une plus grande perspective sur ces techniques dvasion. Les vasions dont il est question dans ce document datant de 1998 sont toujours actuellement ef ficaces sur les systmes IPS. Ce fait surprenant donne une ide de lintrt quont reprsent jusqu aujourdhui ces vasions pour les diteurs de scurit. Les laboratoires comme les ICSA labs, ralisant les tests en vue de cer tifications ont incorpor plusieurs vasions dans leurs tests IPS. Cependant, le nombre de nouvelles vulnrabilits et dexploits est si consquent que les pirates peuvent se contenter dutiliser les derniers exploits plutt que de conjuguer leurs attaques des techniques dvasion pour contourner les rempar ts de scurit en place sur les rseaux.
page 7
Normalisation
Les dispositifs de scurit quips de fonctionnalits dinspection doivent faire correspondre les signatures dattaque avec linformation que lhte distant peroit. Ils ne peuvent donc pas analyser simplement le trafic rseau paquet par paquet. De la mme faon, pour les dispositifs de scurit, replacer et rassembler les paquets dans le bon ordre ne suf fit pas. Les dispositifs de scurit doivent pouvoir prendre en compte dautres possibilits comme la non-rception des paquets par lhte distants ou linterprtation multiple des protocoles. Le mcanisme de gestion derrire ce phnomne sappelle la normalisation. La normalisation a t suggre par Handley et Paxson en 1999 puis tendue en 2001. Cette tche a t for tement complexifie par la politique fixe dans la RFC 791. Bien que le standard exige une approche plutt prudente ct hte metteur, un utilisateur malveillant ne respectera jamais ce fait. De plus, la RFC exigeant que les htes distants soient plutt permissifs en termes de rception, les standards plus dtaills expliquant ce que cela signifie sont souvent trop flous et permettent de trop grandes variations. Handley et Paxson ajoutent que malheureusement, le trafic rseau comprend par fois une propor tion non ngligeable de trafic totalement inhabituel mais tout fait bnin; ce qui provoque souvent des faux positifs pris pour des tentatives dvasion (2001). De plus, si dif frents systmes dexploitation dcodent un message donn de dif frentes faons, il est dif ficile pour un dispositif de scurit de prendre les bonnes dcisions. Ceci est d au processus de normalisation.
page 8
page 9
Conclusion
Les chercheurs Stonesoft ont dcouver t de nouvelles techniques dvasion dans un laboratoire plutt que dans la nature . Ceci ne signifie cependant pas que les cybercriminels ou autres acteurs malveillants nont pas dj dcouver t et utilis ces techniques contre des cibles relles. Aprs tout, un grand nombre dincidents de scurit passent inaperus. Selon un rappor t publi par Verizon Business dat de 2010, (Data Breach Investigations Repor t) pour environ 20 % des incidents de scurit impliquant la dtection dun malware, le vecteur dinfection est inconnu (Baker, et. al., 2010). Il est impossible daf firmer que ceci soit le rsultat des AET. Cela est cependant for t probable, notamment dans le cas dattaques plus avances et plus cibles. Stonesoft a dcouver t quil tait possible de contourner et de traverser la plupar t, si ce nest tous, les IPS du march. Tous t ont tests et au vu de leur architecture, tous ne seront pas facilement rparables. La plupar t des menaces de scurit rseau, et presque toutes celles vritablement conues motivs pouvant par par tre dangereuses des largent. Le sont butin les cybercriminels
considrable,
pirates nhsitent pas investir dans les attaques et les techniques dvasion. On peut donc se poser quelques questions : pourquoi les diteurs nont-ils pas continu les recherches sur les vasions ? Ce problme est-il trop grave pour tre rsolu par les dispositifs de scurit actuels ?
Il ny a aucune rgle ici bas. Nous tchons simplement daccomplir quelque chose.
Thomas Edison
Avec le recul, on remarque que les dispositifs de scurit se dif frenciaient jusqualors par le prix et les dbits quils savaient absorber. Cependant, le critre principal actuellement pour les solutions de scurit bases sur linspection reste la protection. Il est donc tonnant de voir que les diteurs ont quelque peu nglig la prcision des mthodes de dtection et lef ficacit des rponses face aux attaques et vasions dtectes. Si, bien entendu, le dbit est un facteur impor tant, il reste secondaire face aux fonctionnalits de scurit pure, ou du moins devrait ltre. Cer tains diteurs pensent peut-tre que vendre des systmes rapides, mais srieusement limits en termes de fonctionnalits de scurit, est bien plus lucratif que de mener des recherches et trouver des solutions aux techniques dvasions dcouver tes par Stonesoft, puisque ces dernires ne sont pas facilement dtectables par des systmes dots dexcellentes per formances.
page 10
page 11
Bibliographie
Baker, W., Goudie, M., Hutton, A., Hylender, C., Niemantsverdriet, J., Novak, C., Oster tag, D., Por ter, C., Rosen, M., Sar tin, B., Tippett, P. (2010). Verizon 2010 Data Breach Investigations Repor t. Verizon Business. Retrieved from http://www.verizonbusiness.com/resources/repor ts/ rp_2010-data-breach-repor t_en_xg.pdf Caswell, B., Moore, H. D. (2006). Thermoptic Camouflage: Total IDS Evasion. Proceedings of the BlackHat Conference. Retrieved from www.blackhat.com/presentations/bh-usa-06/BH-US06-Caswell.pdf Chien, E., Falliere, N., Murchu, L. O. (2010). W32.Stuxnet Dossier. Symantec Security Response. Retrieved from http://www.wired.com/images_blogs/threatlevel/2010/10/w32_ stuxnet_dossier.pdf Gor ton, S. A., Champion, T. G. (2003). Combining Evasion Techniques to Avoid Network Intrusion Detection Systems. Skaion Corporation. Retrieved from http://www.skaion.com/research/tgcrsd-raid.pdf Handley, M., Kreibich, C., Paxson, V. (2001). Network Intrusion Detection: Evasion, Traf fic Normalization, and End-to-end Protocol Semantics. In Proceedings of the 10th USENIX Security Symposium. Vol. 10. Berkeley, CA: USENIX Association. pp. 115-131. Retrieved from http:// www.usenix.org/events/sec01/full_papers/handley/handley.pdf Jang, Jong-Soo, Jeon, Yong-Hee, Oh, Jin-Tae, Park, Sang-Kil. (2007). Detection of DDoS and IDS Evasion Attacks in a High-Speed Networks Environment. In International Journal of Computer Science and Network Security. Vol. 7, No. 6. Retrieved from http://paper.ijcsns.org/07_ book/200706/20070617.pdf Newsham, Timothy N., Ptacek, Thomas H. (1998). Inser tion, Evasion, and Denial of Ser vice: Eluding Network Intrusion Detection. Secure Networks, Inc. Retrieved from http://insecure.org/ stf/secnet_ids/secnet_ids.html Pazos-Revilla, M.. FPGA based fuzzy intrusion detection system for network security. M.S. disser tation, Tennessee Technological University, United States -- Tennessee. Retrieved from Disser tations & Theses: Full Text. (Publication No. AAT 1480256). Postel, J. (1981). RFC 791: Internet Protocol. DARPA Internet Program Protocol Specification. Internet Engineering Task Force. Retrieved from http://datatracker.ietf.org/doc/r fc791/
page 12
propos de Stonesoft
Stonesoft Corporation (OMX : SFT1V) est un fournisseur novateur de solutions de scurit rseau intgres. Ses produits scurisent le flux dinformations lchelle dentreprises distribues. Les clients de Stonesoft sont notamment des entreprises dont les besoins commerciaux croissants requirent une scurit rseau avance et une connectivit professionnelle permanente. La solution de connectivit scurise StoneGate fusionne les aspects de la scurit rseau que sont le pare-feu (FW), le rseau priv vir tuel (VPN), la prvention dintrusion (IPS), le VPN SSL, la disponibilit de bout en bout, ainsi quun quilibrage des charges plbiscit, au sein dun systme dont la gestion est centralise et unifie. Les avantages cls dune solution de connectivit scurise StoneGate sont notamment un cot total de possession faible, un excellent rappor t prix/per formances et un retour sur investissement lev. La solution SMC (StoneGate Management Center) fournit une gestion unifie des solutions StoneGate Firewall with VPN, IPS et SSL VPN. Les solutions StoneGate Firewall et IPS fonctionnent en synergie pour fournir une dfense intelligente lchelle du rseau de lentreprise, tandis que la solution StoneGate SSL VPN renforce la scurit dans le cadre dune utilisation mobile et distance. Fonde en 1990, lentreprise Stonesoft Corporation a un sige social Helsinki, en Finlande, et un autre aux tats-Unis, Atlanta, en Gorgie. Pour plus dinformations, visitez notre site Web, www.stonesoft.com.
Stonesoft France SAS 38, Rue de Villiers FR-92300 Levallois, France tel. +33 (0)1 47 58 48 05 | fax. +33 (0)1 47 58 56 17 info.france@stonesoft.com
Stonesoft Corporation International Headquarters Itlahdenkatu 22 A Fl-0021O Helsinki, Finland tel. +358 9 4767 11 | fax. +358 9 4767 1349 www.stonesoft.com
Copyright 2010 Stonesoft Corporation. All rights reserved. All specifications are subject to change.