Procédure - Le Télégramme - Kaspersky Lab

et au niveau des applications et rend votre machine invisible sur le réseau, .... Ceci pour la simple raison que ce genre de paquets circulent largement dans les.
Télécharger le PDF
594KB taille 118 téléchargements 86 vues
commentaire
Report
IDS - Prévention des Intrusions

Pascal FERNANDEZ

Avril 2016

Kaspersky Lab. Corporate Technical Support - France

1.

Fonctionnement des modules Pare-Feu et Détection des Intrusions (IDS) :

Afin de protéger votre travail sur les réseaux locaux et sur Internet, Kaspersky Endpoint Security 10 vous propose un composant spécial : Anti-Hacker. Ce composant de type Stateful Inspection protège votre ordinateur au niveau du réseau (support IPv4 et IPv6) et au niveau des applications et rend votre machine invisible sur le réseau, ce qui permet de déjouer les attaques.

Voici une présentation du fonctionnement de la protection réseau.

La protection au niveau du réseau est garantie grâce à l'utilisation de règles globales pour les paquets du réseau qui, suite à l'analyse de paramètres tels que le sens de circulation des paquets, le protocole de transfert, le port d'envoi et de réception du paquet, autorise ou interdit l'activité de réseau. Les règles pour les paquets définissent l'accès au réseau quelles que soient les applications installées sur votre ordinateur qui utilisent le réseau.

1

KES 10 - IDS

Kaspersky Lab. Corporate Technical Support - France

En plus des règles pour les paquets, la protection au niveau du réseau est garantie par le sous-système d'identification des intrusions (IDS). La tâche de ce sous-système consiste à analyser les connexions entrantes, définir les balayages des ports de l'ordinateur et à filtrer les paquets de réseaux envoyés pour exploiter une vulnérabilité logicielle. Dès que le sous-système d'identification des intrusions s'active, toutes les connexions entrantes émanant de l'ordinateur attaquant seront bloquées pendant une durée déterminée et l'utilisateur sera averti de la tentative d'attaque menée contre son ordinateur.

Le fonctionnement du sous-système de détection des intrusions repose sur l'utilisation pendant l'analyse d'une base spéciale de signatures d'attaques régulièrement enrichie par nos experts et mise à jour en même temps que les signatures des menaces. L'administrateur peut définir des exclusions sur des listes d'adresses IP afin d'éviter le contrôle IDS.

2

KES 10 - IDS

Kaspersky Lab. Corporate Technical Support - France

La protection au niveau des applications est garantie grâce à l'application de règles d'utilisation des ressources de réseau pour les applications installées sur l'ordinateur. À l'instar de la protection au niveau du réseau, la protection au niveau des applications repose sur l'analyse des paquets de réseau du point de vue du sens de circulation des paquets, du type de protocole de transfert, du port utilisé. Cependant, au niveau de l'application non seulement les caractéristiques du paquet sont prises en compte, mais également l'application concrète à laquelle le paquet est destiné ou qui a initialisé l'envoi de ce paquet.

Il est à noter que notre module de protection IDS protège uniquement des attaques réseaux exploitant une vulnérabilité du système d’exploitation ou des applications cibles (vers réseaux…) et non d’attaques de types DDoS qui ne sont pas dans le scope de ce composant de protection.

3

KES 10 - IDS

Kaspersky Lab. Corporate Technical Support - France

L'utilisation de règles pour les applications permet une configuration plus fine de la protection, par exemple lorsqu’un type de connexion est interdit pour certaines applications et autorisé pour d'autres.

4

KES 10 - IDS

Kaspersky Lab. Corporate Technical Support - France

2.

Blocage des attaques basées sur le protocole TCP :

En cas de détection d'une tentative d'attaque réseau contre l'ordinateur de l'utilisateur, Kaspersky Endpoint Security bloquera par défaut l'activité réseau de l'ordinateur attaquant. Un message vous avertit après qu'une tentative d'attaque réseau a été effectuée et vous fournit des informations relatives à l'ordinateur à l'origine de l'attaque.

 Attaques réseau utilisant le protocole TCP : Intrusion.Win.LSASS.ASN1-kill-bill.exploit Intrusion.Win.DCOM.exploit Intrusion.Win.NETAPI.buffer-overflow.exploit Intrusion.Win.MSSQL.worm… Les paquets provenant de ces types d’attaques seront détectés puis refusés ainsi que l’ordinateur attaquant bloqué si l’option de blocage de l’ordinateur est activée dans la stratégie de protection.

5

KES 10 - IDS

Kaspersky Lab. Corporate Technical Support - France

 Exceptions :

TCP.Generic.SynFLOOD : Les paquets provenant d’une attaque « TCP.Generic.SynFlood » sont détectés et refusés sans avertir l’émetteur (DROP). Dans ce type d’attaque TCP.Generic.SynFlood par exemple, des requêtes de type "TCP SYN Flooding" ("SYN flag over TCP") sont envoyées dépassant plus de 300 requêtes en l'espace de 5 secondes.

TCP.Scan.Generic : L’attaque « TCP.Scan.Generic » n’est pas fondamentalement considérée comme une vraie attaque, mais plus comme du scan de ports, les paquets sont donc détectés, mais non refusés.

Bruteforce.Generic.RDP : Les paquets provenant d’une attaque « Bruteforce.Generic.RDP » sont détectés, mais non refusés. Les ordinateurs attaquants ne seront jamais bloqués dans ces trois types d’attaques réseau, et ce même si l’option de blocage de l’ordinateur est activée dans la stratégie de protection. Ceci pour la simple raison que ce genre de paquets circulent largement dans les réseaux d'entreprise et peuvent être diffusés par des logiciels et matériels tout à fait légitimes.

6

KES 10 - IDS

Kaspersky Lab. Corporate Technical Support - France

 Simulation d’une attaque réseau : Vous pouvez reproduire une attaque réseau basée sur TCPv4 par exemple par le biais de notre outil kltps ou de l’utilitaire Nmap par exemple, via les commandes suivantes :

kltps -4 –t Intense scan, all TCP ports :

nmap –p 1-65535 –T4 –A –v

7

KES 10 - IDS

Kaspersky Lab. Corporate Technical Support - France

3.

Blocage des attaques basées sur le protocole UDP :

Scan.Generic.UDP

DOS.Generic.FLOOD Tous les paquets provenant d’attaques basées sur le protocole UDP seront détectés puis refusés par le module de protection IDS, mais en aucun cas l’ordinateur attaquant ne sera banni, et ce même si l’option de blocage de l’ordinateur est activée dans la stratégie de protection.

 Raison : Un hacker peut être en mesure de compiler un paquet UDP en y spécifiant l’IP d’un composant réseau tel que le Routeur par exemple. Cela aurait ainsi pour impact une détection de l’IDS et un blocage de l’IP de ce routeur. Cela dit, cela tous les paquets UDP disposant d’une signature Malware seront bien refusés. (DROP) Les notifications apparaitront pour tous les paquets interceptés (en cas d’attaques massives, certaines notifications peuvent ne pas être loguées afin d’éviter le flood d’évènements).

8

KES 10 - IDS

Kaspersky Lab. Corporate Technical Support - France

 Simulation d’une attaque réseau : Vous pouvez reproduire une attaque réseau basée sur UDP par exemple par le biais de notre outil Kltps ou de l’utilitaire Nmap par exemple, via les commandes suivantes :

kltps -4 –u Intense scan plus UDP :

nmap –sS –sU –T4 –A –v

9

KES 10 - IDS