Pensez vous qu'un IDS (Intrusion Detection System) puisse être mis sur
un brin ethernet. Celui ci écoute le réseau et analyze toutes les trames
(en mode promisc...machin). Et ce, au niveau tcp/ip, ainsi qu'au niveau
applicatif grâce à des règles évoluées.
Est-ce une d'idée farfelue, ou normale pour une plateforme que l'on veut
sécurisée et transparente (auditable).
Qu'il peut forger des packets avec des ip source différentes, et que du coup le firewall va fermer l'accès à une tonne d'ip ?
oui c'est l'utilisation la plus pratique, le pirate detecte qu'il y a un IDS qui modifie les regles, et forge un maximum de paquet avec des ip source differentes, de preferences en commençant par ta propre classe puis celle de ton provider puis totalement aleatoire.
Ou quoi d'autre ? C'est interressant comme discussion. As tu d'autres idées comme celle-ci
Aprés c'est une question de parametrage de ton IDS mais c calir que le pirate va essayer de faire fermer un maximum de port et d'ip, si c'est carrement des fermetures de ports que tu utilise il va se concentrer sur les plus connus jusqu'a ce que ton IDS persuadé d'etre le dernier rempart contre la menace terroriste et n'ecoutant que son courage decide de lui meme de fermer le port 80 et 25 a tous.
Fier de lui il t'envoi un mail que tu ne recevra jamais. :-)
C'est à dire ?
Qu'il peut forger des packets avec des ip source différentes,
et que du coup le firewall va fermer l'accès à une tonne d'ip ?
oui c'est l'utilisation la plus pratique, le pirate detecte qu'il y a un
IDS qui modifie les regles, et forge un maximum de paquet avec des ip
source differentes, de preferences en commençant par ta propre classe
puis celle de ton provider puis totalement aleatoire.
Ou quoi d'autre ?
C'est interressant comme discussion. As tu d'autres idées comme celle-ci
Aprés c'est une question de parametrage de ton IDS mais c calir que le
pirate va essayer de faire fermer un maximum de port et d'ip, si c'est
carrement des fermetures de ports que tu utilise il va se concentrer sur
les plus connus jusqu'a ce que ton IDS persuadé d'etre le dernier
rempart contre la menace terroriste et n'ecoutant que son courage decide
de lui meme de fermer le port 80 et 25 a tous.
Fier de lui il t'envoi un mail que tu ne recevra jamais. :-)
Qu'il peut forger des packets avec des ip source différentes, et que du coup le firewall va fermer l'accès à une tonne d'ip ?
oui c'est l'utilisation la plus pratique, le pirate detecte qu'il y a un IDS qui modifie les regles, et forge un maximum de paquet avec des ip source differentes, de preferences en commençant par ta propre classe puis celle de ton provider puis totalement aleatoire.
Ou quoi d'autre ? C'est interressant comme discussion. As tu d'autres idées comme celle-ci
Aprés c'est une question de parametrage de ton IDS mais c calir que le pirate va essayer de faire fermer un maximum de port et d'ip, si c'est carrement des fermetures de ports que tu utilise il va se concentrer sur les plus connus jusqu'a ce que ton IDS persuadé d'etre le dernier rempart contre la menace terroriste et n'ecoutant que son courage decide de lui meme de fermer le port 80 et 25 a tous.
Fier de lui il t'envoi un mail que tu ne recevra jamais. :-)
Cyrille
Aprés c'est une question de parametrage de ton IDS mais c calir que le
merci beaucoup pour tes lumières. je vois qu'il va falloir cogiter pour ce qui est de la réaction aux attaques ...
connais tu des bouquins ou sites qui phylosophent sur les réactions à mettre en oeuvre lors d'une détection.
cyrille
-==-==-==- ... Ce n'est pas parce que l'homme a soif d'amour qu'il doit se jeter sur la première gourde. -==-==-==-
Aprés c'est une question de parametrage de ton IDS mais c calir que le
merci beaucoup pour tes lumières.
je vois qu'il va falloir cogiter pour ce qui est de la réaction aux attaques ...
connais tu des bouquins ou sites qui phylosophent sur les réactions à mettre en oeuvre lors d'une détection.
cyrille
-==-==-==-
... Ce n'est pas parce que l'homme a soif d'amour
qu'il doit se jeter sur la première gourde.
-==-==-==-
Aprés c'est une question de parametrage de ton IDS mais c calir que le
merci beaucoup pour tes lumières. je vois qu'il va falloir cogiter pour ce qui est de la réaction aux attaques ...
connais tu des bouquins ou sites qui phylosophent sur les réactions à mettre en oeuvre lors d'une détection.
cyrille
-==-==-==- ... Ce n'est pas parce que l'homme a soif d'amour qu'il doit se jeter sur la première gourde. -==-==-==-
Bertrand
Salut,
oui c'est l'utilisation la plus pratique, le pirate detecte qu'il y a un IDS qui modifie les regles, et forge un maximum de paquet avec des ip source differentes, de preferences en commençant par ta propre classe puis celle de ton provider puis totalement aleatoire.
On peut agir plus finement aussi. Genre faire arriver des paquets trés trés bien choisis, reglierement, espacés dans le temps, comme si ils arrivaient là par hasard à la suite d'un scan a grande echelle ou d'une anomalie de routage quelconque. Ces paquets causants des contres mesures de l'IDS, bien sur, de facon a ce que l'IDS bloque certains services ou fonctionnalités du serveur visé: DNS, partages divers, SQL, voir meme mail ou web (mais c'est un peu gros, donc attention). On peut aussi faire en sorte de bloquer certains clients importants, genre pour un service d'hebergement, on empeche un admin d'uploader ses pages, puis un autre, etc.
Petit a petit, la qualité de service va decroitre... du coup, l'admin va chercher a savoir ce qui bloque. Il va voir que c'est l'IDS; il va penser que ce sont des fausses alertes, que l'IDS se trompe. Du coup, il va stopper les contres mesures... et là, porte ouverte. Enfin, porte un peu moins fermée.
C'est mieux que faire un DoS. Car là l'admin verra que il y a eu DoS; il va remettre en cause ses contres mesures, certes, mais il va aussi renforcer la securité du reste du systeme, puisqu'il va se sentir attaqué, visé. Or c'est ce qu'il faut eviter, il faut qu'il ne se doute de rien, et ce le plus longtemps possible, sans quoi il y aura reaction, et une reaction humaine, c'est a dire reflechie, est en general plus puissante que celle d'un IDS en terme d'impact positif sur la securité.
@+ Bertrand
Salut,
oui c'est l'utilisation la plus pratique, le pirate detecte qu'il y a un
IDS qui modifie les regles, et forge un maximum de paquet avec des ip
source differentes, de preferences en commençant par ta propre classe
puis celle de ton provider puis totalement aleatoire.
On peut agir plus finement aussi. Genre faire arriver des paquets trés
trés bien choisis, reglierement, espacés dans le temps, comme si ils
arrivaient là par hasard à la suite d'un scan a grande echelle ou d'une
anomalie de routage quelconque. Ces paquets causants des contres mesures
de l'IDS, bien sur, de facon a ce que l'IDS bloque certains services ou
fonctionnalités du serveur visé: DNS, partages divers, SQL, voir meme mail ou
web (mais c'est un peu gros, donc attention). On peut aussi faire en sorte
de bloquer certains clients importants, genre pour un service
d'hebergement, on empeche un admin d'uploader ses pages, puis un autre,
etc.
Petit a petit, la qualité de service va decroitre... du coup, l'admin va
chercher a savoir ce qui bloque. Il va voir que c'est l'IDS; il va penser
que ce sont des fausses alertes, que l'IDS se trompe. Du coup, il va
stopper les contres mesures... et là, porte ouverte. Enfin, porte un peu
moins fermée.
C'est mieux que faire un DoS. Car là l'admin verra que il y a eu DoS; il
va remettre en cause ses contres mesures, certes, mais il va aussi
renforcer la securité du reste du systeme, puisqu'il va se sentir
attaqué, visé. Or c'est ce qu'il faut eviter, il faut qu'il ne se doute
de rien, et ce le plus longtemps possible, sans quoi il y aura reaction,
et une reaction humaine, c'est a dire reflechie, est en general plus
puissante que celle d'un IDS en terme d'impact positif sur la securité.
oui c'est l'utilisation la plus pratique, le pirate detecte qu'il y a un IDS qui modifie les regles, et forge un maximum de paquet avec des ip source differentes, de preferences en commençant par ta propre classe puis celle de ton provider puis totalement aleatoire.
On peut agir plus finement aussi. Genre faire arriver des paquets trés trés bien choisis, reglierement, espacés dans le temps, comme si ils arrivaient là par hasard à la suite d'un scan a grande echelle ou d'une anomalie de routage quelconque. Ces paquets causants des contres mesures de l'IDS, bien sur, de facon a ce que l'IDS bloque certains services ou fonctionnalités du serveur visé: DNS, partages divers, SQL, voir meme mail ou web (mais c'est un peu gros, donc attention). On peut aussi faire en sorte de bloquer certains clients importants, genre pour un service d'hebergement, on empeche un admin d'uploader ses pages, puis un autre, etc.
Petit a petit, la qualité de service va decroitre... du coup, l'admin va chercher a savoir ce qui bloque. Il va voir que c'est l'IDS; il va penser que ce sont des fausses alertes, que l'IDS se trompe. Du coup, il va stopper les contres mesures... et là, porte ouverte. Enfin, porte un peu moins fermée.
C'est mieux que faire un DoS. Car là l'admin verra que il y a eu DoS; il va remettre en cause ses contres mesures, certes, mais il va aussi renforcer la securité du reste du systeme, puisqu'il va se sentir attaqué, visé. Or c'est ce qu'il faut eviter, il faut qu'il ne se doute de rien, et ce le plus longtemps possible, sans quoi il y aura reaction, et une reaction humaine, c'est a dire reflechie, est en general plus puissante que celle d'un IDS en terme d'impact positif sur la securité.
@+ Bertrand
Thomas Pedoussaut
JustMe wrote:
Oublier les alied telesyn et autre trucs non manageables
Merci mais allied fait _aussi_ du manageable.
-- Thomas Pedoussaut Dublin IRLANDE http://irlande.staffeurs.org/
JustMe wrote:
Oublier les alied telesyn et autre trucs non manageables
Merci mais allied fait _aussi_ du manageable.
--
Thomas Pedoussaut
Dublin IRLANDE
http://irlande.staffeurs.org/
Oublier les alied telesyn et autre trucs non manageables
Merci mais allied fait _aussi_ du manageable.
-- Thomas Pedoussaut Dublin IRLANDE http://irlande.staffeurs.org/
Sebastien Reister
Aprés c'est une question de parametrage de ton IDS mais c calir que le
merci beaucoup pour tes lumières. je vois qu'il va falloir cogiter pour ce qui est de la réaction aux attaques ...
connais tu des bouquins ou sites qui phylosophent sur les réactions à mettre en oeuvre lors d'une détection.
je ne connais pas de bouquins, mais je te conseil de t'abonner a la list special ids de bugtrack (focus-ids), le debat revient regulierement et les archives de la liste sont interressante.
Aprés c'est une question de parametrage de ton IDS mais c calir que le
merci beaucoup pour tes lumières.
je vois qu'il va falloir cogiter pour ce qui est de la réaction aux
attaques ...
connais tu des bouquins ou sites qui phylosophent sur les réactions à
mettre en oeuvre lors d'une détection.
je ne connais pas de bouquins, mais je te conseil de t'abonner a la list
special ids de bugtrack (focus-ids), le debat revient regulierement et
les archives de la liste sont interressante.
Aprés c'est une question de parametrage de ton IDS mais c calir que le
merci beaucoup pour tes lumières. je vois qu'il va falloir cogiter pour ce qui est de la réaction aux attaques ...
connais tu des bouquins ou sites qui phylosophent sur les réactions à mettre en oeuvre lors d'une détection.
je ne connais pas de bouquins, mais je te conseil de t'abonner a la list special ids de bugtrack (focus-ids), le debat revient regulierement et les archives de la liste sont interressante.
Cedric Blancher
Dans sa prose, Sebastien Reister nous ecrivait :
je ne connais pas de bouquins
La bible sur les IDS :
Network Intrusion Detection Stephen Northcut, Judy Novak & Donald McLachlan Version originale chez New Riders ISBN : 0-7357-1265-4 Version française chez CampusPress ISBN : 2-7440-1048-0
Le paragraphe 21 est entièrement consacré à la réponse aux attaques, avec aussi le côté philosophique de la chose. Et pour les amoureux de l'IDS, on pourra le compléter avec "Intrusion Signatures and Analysis", toujours chez New Riders (un bien bel éditeur ma foi).
On n'apprend pas à lire des livres dans les grosses boitaconsultans ? ;)))
-- BOFH excuse #411:
Traffic jam on the Information Superhighway.
Dans sa prose, Sebastien Reister nous ecrivait :
je ne connais pas de bouquins
La bible sur les IDS :
Network Intrusion Detection
Stephen Northcut, Judy Novak & Donald McLachlan
Version originale chez New Riders
ISBN : 0-7357-1265-4
Version française chez CampusPress
ISBN : 2-7440-1048-0
Le paragraphe 21 est entièrement consacré à la réponse aux attaques,
avec aussi le côté philosophique de la chose. Et pour les amoureux de
l'IDS, on pourra le compléter avec "Intrusion Signatures and Analysis",
toujours chez New Riders (un bien bel éditeur ma foi).
On n'apprend pas à lire des livres dans les grosses boitaconsultans ? ;)))
Network Intrusion Detection Stephen Northcut, Judy Novak & Donald McLachlan Version originale chez New Riders ISBN : 0-7357-1265-4 Version française chez CampusPress ISBN : 2-7440-1048-0
Le paragraphe 21 est entièrement consacré à la réponse aux attaques, avec aussi le côté philosophique de la chose. Et pour les amoureux de l'IDS, on pourra le compléter avec "Intrusion Signatures and Analysis", toujours chez New Riders (un bien bel éditeur ma foi).
On n'apprend pas à lire des livres dans les grosses boitaconsultans ? ;)))
-- BOFH excuse #411:
Traffic jam on the Information Superhighway.
Cyrille
special ids de bugtrack (focus-ids), le debat revient regulierement et
