Contribuez à SecuObs en envoyant des bitcoins ou des dogecoins.
Nouveaux articles (fr): 1pwnthhW21zdnQ5WucjmnF3pk9puT5fDF
Amélioration du site: 1hckU85orcGCm8A9hk67391LCy4ECGJca

Contribute to SecuObs by sending bitcoins or dogecoins.



Samhain : un FI[D|P]S libre, centralisé et multi-postes

Par Rédaction, secuobs.com
Le 23/06/2006


Résumé : Après les solutions de filtrage couplées à des NI[D|P]S, on constate actuellement l'émergence de solutions de type [H|F]I[D|P]S comme une tendance plus proche de l'utilisateur.A



Afin de ne pas devenir obsolètes face aux attaques de plus en plus complexes (exploits, « reverse SHELL », « Tunneling », ...), les solutions de filtrage se sont rapidement vues couplées à des « Systèmes de Détections et de Préventions d'Intrusion » (I[D|P]S - Intrusions [Detections|Preventions] Systems]) en mode réseau (NI[D|P]S - Network Intrusions [Detections|Preventions] Systems).

On constate actuellement l'émergence de solutions, en complément, dites de type « [H|F]I[D|P]S » ([Hosts|Files] Intrusions [Detections|Preventions] Systems). La tendance semble donc consister à rapprocher les processus de sécurité au plus proche de l'utilisateur en complément des technologies centralisées habituelles qui sont toujours nécessaires. Cela s'applique autant aux serveurs d'entreprises qu'aux postes des clients selon les solutions proposées. Ces solutions, dont les principes ne sont pas si récents, peuvent se « catégoriser » en deux types d'applicatifs selon la surveillance qu'ils opèrent : l'activité du système (HI[|D|P]S) s'« opposant » aux modifications sur les fichiers dits « sensibles » (FI[D|P]S).

Le nombre actuel de solutions offert par les logiciels libres ( lien ) pour ces dernières (FI[D|P]S) est significatif ; on y retrouve plusieurs projets dignes d'intérêt, pour les plus connus : Tripwire ( lien ), Osiris ( lien AIDE ( lien ), Nabou ( lien ) et Fcheck ( lien ). Nous allons nous intéresser ici plus particulièrement cependant à Samhain ( lien ) qui a l'avantage de reprendre et d'améliorer toutes les fonctionnalités des solutions libres précédemment citées.

On appréciera notamment les signatures de contrôle associées aux configurations et aux multiples bases de données prises en charge, les nombreuses possibilités offertes pour le « logging » du service tout autant que le mode centralisé multi-postes permettant de traiter de nombreux systèmes d'exploitation de type POSIX. Parmi ces différents systèmes on retrouve : *BSD, Solaris 2.x, AIX 5.x, AIX 4.x, HP-UX 10.20, HP-UX 11, Unixware 7.1.0, Alpha/True64, et Mac OS X ainsi que les émulations POSIX à base de Cygwin sur Windows XP et Windows 2000.

Le principe en détail d'un FI[D|P]S est de faire remonter des alertes sur les modifications des fichiers (attributs, taille, présence ou pas, ...), ainsi que les accès qui y sont effectués. En cas de compromission, vous en serez « rapidement » prévenu sans pour autant avoir à « monitorer » manuellement vos systèmes à chaque instant. Cette méthode est utile en cas d'installation par un tiers d'un ensemble binaires/scripts de type « rootkit » peu évolué qui va remplacer en dur les utilitaires du système par des versions spécifiques permettant de cacher la présence de l'intrus.

L'HI[D|P]S associe lui plutôt des technologies de filtrage reposant sur les principes d'analyses comportementales de type heuristique dont le recoupement de résultats permet de se prémunir « en théorie » des attaques dites de « 0day » ; ces attaques ciblées dont la faisabilité n'est pas connue publiquement sont plus rares mais semblent encore aujourd'hui « imparables » dans la grande majorité des cas. Parmi les solutions propriétaires de ce dernier type (HI[D|P}S), on retrouve notamment « Entercept » chez McAfee ( lien ). A noter également un produit comme « Cisco Security Agent » (CSA - lien ) qui se basent sur le protocole NAC (Network Access Control).

Le NAC implique que toutes les machines souhaitant accéder à l'utilisation d'une infrastructure réseau doivent impérativement montrer « patte blanche » autant en termes de mises à jour du système et de ses applicatifs (patchs, bugfixes), qu'en ce qui concerne la base de signatures antivirales. Cela s'avère notamment pratique pour s'assurer de l'intégrité des systèmes installés sur les portables nomades en accès direct ou depuis un VPN ainsi que les « Pockets PC » et autres terminaux (PDA, Blackberry, Mobiles,hybrides, ...), dont les données transitent par des voies d'acheminement de plus en plus diverses (WIFI, Bluetooth, GPRS, ...) via les offres 3G et depuis peu « quatruple play » qui sont à considérer comme non sécurisées,.

A quand de vrais BlackBox « sécurité » bon marché qui feront le café, présenteront des technologies croisées et ressembleront plus ou moins à ça lien pour faire joli ? Encore une fois la sécurité est un processus de bon sens avant tout, plus que l'accumulation de solutions qui bien que « nécessaire » n'est pas une fin en soi dans ce domaine ; un savant mélange de formations et de sensibilisation des utilisateurs par « psychologie cognitive » assumée semble encore actuellement être plus que de mise.

Pourquoi déployer de telles solutions techniques quand un simple coup de fil à un « ami » peut déstabiliser toute votre politique de protection ? « La sécurité d'un système se juge à celle du maillon le plus faible de sa chaîne de processus », encore trop souvent l'utilisateur d'où l'émergence de solutions qui lui sont de plus en plus proches tout en étant autonomes, mais cela ne suffira pas. A quand un permis de « surfer » à points ?