À noter qu'ips-1 supporte totalement (et dans toutes ses formes) leprotocole ipv6








télécharger 42.33 Kb.
titreÀ noter qu'ips-1 supporte totalement (et dans toutes ses formes) leprotocole ipv6
date de publication18.03.2018
taille42.33 Kb.
typeNote
ar.21-bal.com > loi > Note








IPS-1


Dernière mise à jour

7 mars 2008


Table des matières


IPS-1 1

Table des matières 2

Introduction 3

Technologies IPS-1 3

Architecture IPS-1 7

IPS-1 Sensor 7

IPS-1 Management Server 9

IPS-1 Dashboard 10

Introduction



Check Point IPS-1 est une solution dédiée de détection et de préventions des intrusions (IDS/IPS dans la suite de ce document) conçue pour les entreprises de toutes tailles soucieuses de prendre en compte et de traiter les risques sécurités pouvant affecter leurs ressources critiques.
Largement éprouvée depuis plusieurs années dans des environnements réseaux aussi complexes que sensibles (organisation gouvernementales, banques, etc.), IPS-1 a pu bénéficier d'un retour d'expérience sans précédent dans les techniques state of the art de détections d'intrusion (Hybrid Detection Engine), dans la manière de les combiner pour en extraire de l'information exploitable et pertinente (Dynamic Shielding & Confidence Indexing), et surtout dans la manière d'exploiter au quotidien et le plus efficacement possible la solution (Unified & Central Management).

Technologies IPS-1






Les technologies misent en œuvre dans la solution IPS-1 interviennent à plusieurs niveaux :


  • Détection d'intrusions

Pour une détection précise de tous types d'attaques ou d'anomalies, IPS-1 combine habilement plusieurs technologies regroupées sous l'appellation Hybrid Detection Engine (HDE dans la suite de ce document). Les technologies utilisées vont des plus simples (technique de pattern matching s'appuyant sur des bases de signatures d'attaques ou de vulnérabilités), aux plus complexes (technique d'analyse comportemental ou statistique s'appuyant sur les références protocolaires de types RFC et/ou sur des consensus d'utilisation de protocoles).

À noter qu'IPS-1 supporte totalement (et dans toutes ses formes) leprotocole IPv6.

Les techniques employées à ce niveau contribuent à l'amélioration de la sécurité en :

    • Détectant très précisément les attaques connues

    • Détectant certaines attaques inconnues (0-days exploits)

    • Participant à la mise en conformité

  • Réduction des faux positifs

Lâché tel quel dans un environnement réseau, IPS-1 et sa technologie sous-jacente HDE s'avèrent très redoutables dans la détection des attaques et/ou des anomalies. Ils peuvent également s'avérer très néfaste en terme d'exploitation lorsque les administrateurs sécurités sont confrontés aux opérations de traitement du flot d'alertes qui s'ensuit. Après plusieurs jours d'exploitation, ils constateront que beaucoup de temps est perdu à enquêter sur des alertes ne résultant pas d'une attaque ou d'une anomalie volontaire, mais résultant plutôt de l'activité réseau usuelle propre à l'environnement de production.

C'est pourquoi, HDE est complété par des technologies « de bon sens » permettant d'affiner le jugement d'IPS-1 sur son travail de classification. Les technologies employées sont très simples :

    • Détection passive des OS : l'idée est de se faire une idée sur les systèmes d'exploitation source et destination engagés dans une conversation. À titre d'exemple, IPS-1 ignorera toutes les alertes de type IIS pour des communications impliquant des systèmes d'exploitation de types Unix.

    • Détection passive des applications : l'idée est de se faire une idée sur l'application engagé dans la conversation. À titre d'exemple, IPS-1 ignorera toutes les alertes de type Apache pour des communications impliquant l'application IIS. De même, IPS-1 ne générera pas d'alertes pour la vulnérabilité CVE_XXXXXX si cette dernière concerne la version N d'une application, là ou la version N-1 est actuellement engagée dans la conversation.

    • Détection des tentatives d'évasion ou d'insertion : dans ce cas IPS-1 saura détecter des tentatives visant à

      • fausser son jugement (attaque par insertion). Par exemple, un pirate peut envoyé un paquet TCP/RST avec un TTL justement calculé pour expirer avant d'atteindre la cible mais restant valable au moment de traverser IPS-1. Si ce dernier ne constate pas que le TTL est anormal, il purgera le contexte associé à la session TCP.

IPS-1 saura détecter l'usage d'un TTL déviant brusquement sur une conversation donnée, ainsi que bien d'autres techniques d'attaques par insertion.

      • le contourner (attaque par évasion). Par exemple, un pirate peut générer deux fragments IP savamment calculés pour qu'une partie de leurs données se chevauchent au moment où ils seront assemblés. Dans son calcul, le pirate sait que la charge utile de son attaque est contenu dans le premier fragment. Le pirate sait également que la règle d'assemblage de fragments se chevauchant n'est pas la même pour tous les OS : certains OS considèrent a) les données du premier fragment, d'autres b) celles du second fragment.

Dans cette exemple, si IPS-1 utilise la règle d'assemblage b), il ne considérera pas les données du premier fragment et ne détectera pas l'attaque qu'il contient.

Profitant des informations récoltées au travers de son mécanisme de détection passive des OS, IPS-1 assemblera toujours les fragments le traversant en fonction de la règle en usage sur le système d'exploitation cible.

IPS-1 est la première solution du marché ayant été validée positivement par l'organisme NSS dans l'évaluation de sa résistance aux techniques d'évasion et d'insertion.

Les techniques employées à ce niveau contribuent à l'amélioration de la sécurité en :

      • Optimisant l'exploitation de la solution

  • Prévention d'intrusions

Avec IPS-1, l'activation des techniques de prévention peut être envisagée sereinement. Là encore, plusieurs techniques cohabitent pour une plus grande souplesse de mise en oeuvre :

    • Envoi d'un TCP RST à destination de l'équipement cible (la victime)

    • Mise en liste noire de l'équipement source

    • Prévention par famille d'attaques. Il est ainsi possible de bloquer les conversations présentant un danger dans la famille d'attaque « fuite d'information » ou « accès non autorisé ».

    • Des conversations peuvent être bloquées par de simples règles de type « firewall».

Unique sur le marché des IDS/IPS, IPS-1 ajoute un niveau de sécurité supplémentaire dans la gestion des mécanismes de préventions : le Confidence Indexing ou note de confiance. L'idée simple consiste à appliquer une note basique (récupérée dans la base de connaissance d'IPS-1) à une conversation suspecte. Au fil du temps, cette note pourra faire l'objet d'ajustement (par exemple, si la conversation engage un OS cible de type Windows et qu'IPS-1 suspecte une attaque IIS, la note de confiance sera augmentée – si l'attaque suspectée est de type Apache, la note de confiance sera diminuée). La plupart des mécanismes de préventions mentionnés ci-dessus seront complètement inactifs en dessous d'une note de confiance seuil et bien sûr pleinement actifs lorsque la note de confiance seuil aura été dépassée.

Utilisant habilement les différentes technologies de détection d'intrusions comprise dans HDE (ici analyse statistique des alertes), ISP-1 sera également capable de corréler plusieurs alertes similaires générées brutalement (Alert Flood Suppression) dans un laps de temps assez court et surtout de bloquer les équipements sources qui seront dans ce cas considérés comme des machines contaminées par des vers Internet (Dynamic Worm Mitigation)

Les techniques employées à ce niveau contribuent à l'amélioration de la sécurité en :

      • protégeant sereinement et effectivement les ressources critiques de l'entreprise

      • bloquant avant qu'il ne soit trop tard les propagations de vers Internet

  • Gestion des risques

En corrélant les informations récoltées :

    • via les techniques de détections passives d'OS et d'applications

    • en digérant des rapports de vulnérabilités Nessus au format XML

IPS-1 devient terriblement efficace dans la gestion des risques sécurité. Grâce aux rapports de vulnérabilités produit par Nessus et consultable directement depuis une interface graphique spécialisée d'IPS-1 (le Vulnerability Browser), les administrateurs sécurités pourront :





    • prendre connaissance de manière simple et rapide des vulnérabilités découvertes dans l'environnement de production,

    • immédiatement déterminer si ces dernières ont déjà été exploitées en demandant à IPS-1 de retrouver toutes les alertes associées et produites sur une période donnée et modifiable à souhait.

    • modifier automatiquement la politique de détection d'instructions en activant les signatures permettant de détecter les vulnérabilités découvertes (Dynamic Shielding).

Les techniques employées à ce niveau contribuent à l'amélioration de la sécurité en :

      • constituant passivement des fiches d'identités sur les ressources engagées dans les communications (profiling)

      • détectant immédiatement les ressources ayant été victime d'une agression réussie

      • adaptant automatiquement la politique de détection d'intrusions aux problématiques sécurités effectivement en place dans l'environnement de production

  • Base de signatures ouvertes et modifiable à souhait

IPS-1 est une technologie de détection et de prévention d'intrusions entièrement programmable au travers du langage N-Code. Habituellement fournies par notre centre de recherche sécurité SmartDefense (SmartDefense Research Center), les signatures et autres techniques de détections d'intrusions peuvent être développés par les administrateurs sécurités compétents. Ces derniers sont ainsi complètement autonomes dans la prise en charge d'un protocole ou d'une application métier non supportée par défaut par IPS-1.

Pour parfaire leur connaissance du langage N-Code, les administrateurs ont accès aux codes des signatures existantes ainsi qu'aux codes des nouvelles signatures mises à disposition au travers de l'abonnement SmartDefense Service – signatures qu'IPS-1 peut télécharger automatiquement.





NOTE : N-code constitue uniquement un moyen de personnaliser la base de signatures d'IPS-1 ou d'ajouter des techniques de détections d'intrusions applicables uniquement à un environnement de production spécifique. La création d'une politique de détection et de prévention d'intrusions s'effectue depuis une console graphique intuitive.

Les techniques employées à ce niveau contribuent à l'amélioration de la sécurité en :

      • supportant potentiellement n'importe quel type de protocole ou d'application

      • permettant un tuning très fin et surtout très proche des exigences et contraintes d'un environnement de production particulier
  1. Architecture IPS-1


La figure suivante présente l'architecture type d'une infrastructure IPS-1.


Les sections suivantes présentent plus en détails les composants Sensor, Management Server, et Management Dashboard.
    1. IPS-1 Sensor


Actuellement au format Appliance uniquement (IPS-1 Sensor supportera très prochainement – octobre 2007 – le système d'exploitation Check Point SecurePlatform et sera ainsi disponible sur n'importe quels serveurs Intel compatibles) est le point d'application de la politique de détection et de prévention d'intrusions.

IPS-1 Sensor supporte deux modes de déploiements :

  • Mode passive (IDS)

À l'aide d'un tap ou d'un commutateur supportant la copie de ports, IPS-1 Sensor est capable d'effectuer uniquement un traitement de surveillance en inspectant les copies de paquets qu'il reçoit et sans aucune capacité possible de prévention.

  • Mode inline (IPS)

Positionné en coupure de réseau – à la manière d'un firewall – IPS-1 est désormais dans une position adéquate lui permettant d'activer ses mécanismes de prévention.

Pour ne pas prendre le risque de perturber l'environnement de production, plusieurs mode inline sont proposés :

    • Mode inline bridge : d'un point de vue infrastructure et déploiement, IPS-1 est bien positionné en coupure de réseau mais ses mécanismes de préventions sont désactivés. En revanche, des alertes sont générées à chaque fois qu'une action de prévention doit être effectuée. Ainsi, les administrateurs sécurités peuvent évaluer progressivement l'impact de la prévention et ajuster la politique de détection et de prévention en conséquence.

    • Mode inline fail-open : c'est le mode de déploiement le plus utilisé. IPS-1 est en coupure de réseau et peut être amené à interrompre des communications jugées dangereuses (mécanisme de prévention activé). Dans ce mode, toutes défaillances d'IPS-1 provoquent l'ouverture des interfaces réseaux. Autrement dit, le trafic continue de traverser IPS-1 mais sans aucun traitement de sa part.

Il est intéressant de noter qu'IPS-1 est capable de prendre en compte des défaillances matérielle, logicielle ou fonctionnelle (par exemple, temps de latence de traitement trop long).

    • Mode inline fail-severed : c'est le mode le plus strict. Dans ce mode, toutes défaillances d'IPS-1 provoque la fermeture des interfaces réseaux. Autrement dit, le trafic est interrompu.

IPS-1 Sensor supporte les environnements réseaux modernes utilisant les technologies VLAN (802.1q) ou d'agrégation de liens.

Un IPS-1 Sensor peut être mutualisé et ainsi surveillé plusieurs circuits en parallèle (en fonction du nombre d'interfaces embarqués dans l''équipement). Ce mode de fonctionnement lui permet de supporter les environnements de HA périphériques, les environnements de routages asymétriques ou bien de surveiller plusieurs zones fonctionnelles simultanément.





La figure ci-dessus illustre les principes suivants :

  • Un circuit est établi entre les interfaces eth0/eth1 et les interfaces eth2/eth3

  • IPS-1 Sensor a une visibilité complète sur les communications transitant par les circuits eth0/eth1 et eth2/eth3

  • Une communication asymétrique (par exemple passant par eth0/eth1 pour l'aller et eth2/eth3 pour le retour) sera correctement interprétée par IPS-1

  • les liens branchés sur les circuits eth0/eth1 et eth2/eth3 peuvent être trunkés et donc transportés des paquets encapsulés dans 802.1q sans aucun impact sur le travail d'analyse et de prévention d'IPS-1

  • IPS-1 peut s'insérer sans problème dans une infrastructure de haute disponibilité firewall de type active/active ou active/passive

Il existe plusieurs modèles d'appliance IPS-1 Sensor qui s'apprécient en fonction des besoins en termes de performance, de robustesse ou de capacité d'écoute (i.e. nombre d'interfaces réseaux pour le monitoring) :

(
http://www.checkpoint.com/products/ips-1/ips-1_chart.html)
    1. IPS-1 Management Server


IPS-1 est une solution bénéficiant d'une infrastructure d'administration unifiée et centralisée. La brique management peut s'installer et cohabiter avec un SmartCenter (solution d'administration globale Check Point) hébergé sur un serveur tournant le système d'exploitation SecurePlatform.

IPS-1 Management Server sert de point de stockage des politiques de détection et de préventions d'intrusions ainsi que des alertes remontés par les appliances IPS-1 Sensor administrés.

IPS-1 Management Server est également capable d'appliquer un jeu de règles de corrélation permettant de valoriser de l'information pertinente habituellement noyée dans le flot des alertes remontées par les IPS-1 Sensor administrés.

IPS-1 Management Server s'interface avec d'autres solutions tiers (outils de ticketing systems, solutions SIEM, solutions de reporting, etc.) mais aussi avec l'infrastructure d'administration Check Point SmartCenter. À titre d'exemple, il est possible de consulter les alertes IPS-1 directement depuis la console SmartView Tracker ou bien de corréler ces mêmes alertes via la solution SIEM Check Point Eventia Suite.

C
heck Point SmartView Tracker


C
heck point Eventia Suite




    1. IPS-1 Dashboard


IPS-1 est une solution hautement exploitable. La création de la politique de détection et de prévention d'intrusions reprend la philosophie intuitive de création de politiques Check Point SmartDefense :

I
PS-1 Dashboard – Création d'une politique de détection et de prévention d'intrusions à la SmartDefense.

Les outils d'investigations sont également très puissant et permettent un accès très rapide à l'information : la vue Timeline View permet d'obtenir une vue satellite de son environnement de production. Chaque ligne de surveillance pouvant être thématiser en fonction de critères de filtrages s'appuyant sur tous les champs d'une alertes. Dans la figure ci-dessous, la Timeline View permet d'obtenir une vue aérienne des incidents de sécurité survenant sur les zones Serveurs WebCorp, Serveurs E-Commerce et Serveurs BackOffice, ainsi que sur le trafic interne à l'entreprise (zone Inside to Inside) :

T
imeLine View


Plus les ronds sont gros, plus il y d'alertes. La couleur du rond permet de rendre immédiatement compte de la nature des alertes (rouge pour High).

Très apprécié des administrateurs sécurité, la vue Timeline View permet scroller dans le passé afin de revenir sur des périodes de surveillance ou l'administrateur sécurité n'était peut être pas présent devant sa console.

La surveillance par zones thématiques est une fonctionnalité unique à IPS-1 dans le marché des solutions IDS/IPS.
À l'inverse de cette vue aérienne très synthétique, les administrateurs sécurités peuvent également consulter la liste des alertes, y appliquer des critères de classement et de regroupement et surtout consulter le détail d'une alerte avec pourquoi pas l'ouverture via un analyseur réseau quelconque d'une capture du trafic responsable du déclenchement de l'alerte. Ces opérations sont possibles au travers de la fenêtre Alert Browser.

Les critères de classement et de regroupement peuvent être vue comme un moyen très puissant de créer des requêtes d'interrogations dans une bases de données d'alertes. Ainsi, il est très facile d'obtenir la liste des systèmes d'exploitation les plus sollicités en terme de sécurité en ramenant la colonne Dest Operating System en première position et en activement le regroupement sur cette première colonne :

A
lert Browser : classement des alertes par OS destinations

Dans cette exemple, il est facile de constater que l'environnement MacOS est le plus concerné par des problèmes de sécurité de type High.
Il est intéressant de noter que le passage d'une vue aérienne (Timeline View) à une vue détaillée (Alert Browser) s'effectue d'un simple clic de souris sur la thématique considérée dans la fen6etre Timeline View. Ainsi pour enquêter sur les alertes survenues à l'encontre des serveurs E-commerce, l'administrateur sécurité doit cliquer sur un des ronds chevauchant la ligne thématique Serveurs E-commerce de la fenêtre Timeline View.



©2003-2007 Check Point Software Technologies Ltd. All rights reserved.

similaire:

À noter qu\Nous avons fait connaissance IL y a 30 ans, d’un homme intelligent...

À noter qu\Traduction de Charles Baudelaire
«Il y a pas de beauté exquise, dit lord Verulam, parlant avec justesse de toutes les formes et de tous les genres de beauté, sans...

À noter qu\Communiqué de Presse
«Avec ses nouvelles fonctionnalités de gestion de l’infrastructure et des équipements mobiles, AirWave 7 fournit une gestion totalement...

À noter qu\Physiologie du sommeil dr aouf
«réparateur» Presque totalement isolé du monde extérieur, le muscles totalement relâchés, température basse respiration très lente...

À noter qu\«Dans tous ses états» ® telle que je l’ai aimée et que je l’aime Claude Roffé
«petits canaris» à leurs parents. Elle avait été édifiée près du dancing-restaurant «La Maison Basque» qui fut totalement détruite...

À noter qu\Par Philippe Charles dubois
«l’exemple vivant de l’Architecte, au sens complet du terme, dans toutes les occasions qu’il [eut] d’être à ses côtés». IL considérait...

À noter qu\L'idée de constituer des galeries couvertes bordées d'échoppes est...
«embarras de Paris» avec ses risques, ses odeurs et son vacarme. Le passage est un lieu de lumière

À noter qu\L’atelier sur l’agir commun
«commun». Cette synthèse nous a permis d’entrevoir qu’une révolution du «commun» est belle et bien en train d’émerger, sous des formes...

À noter qu\La St Martin Tower : silhouette lumineuse dans la ligne d'horizon de Francfort
«rond-point Opel», inaugure une nouvelle ère de l'architecture de bureau. D'une part, elle séduit par ses gracieuses formes épurées...

À noter qu\A noter : dans la plupart des hôtels internationaux, l’enregistrement...








Tous droits réservés. Copyright © 2016
contacts
ar.21-bal.com