Comprendre les écrans IDS pour la protection contre les attaques réseau
Services de détection d’intrusion
Les écrans des services de détection d’intrusion (IDS) vous permettent d’identifier et d’éliminer le trafic faisant partie d’une attaque réseau.
Dans un écran IDS, vous pouvez spécifier :
Les limites du nombre de sessions qui proviennent de sources individuelles ou qui se terminent à des destinations individuelles
Les types de paquets suspects
Vous pouvez également choisir de consigner une alarme lorsqu’un écran IDS identifie un paquet, plutôt que de l’abandonner.
En plus des écrans IDS, vous pouvez utiliser des filtres et des mécanismes de contrôle de pare-feu pour arrêter les indicateurs TCP illégaux et d’autres combinaisons d’indicateurs incorrectes, ainsi que pour spécifier une limitation générale du débit (voir le Guide de l’utilisateur des stratégies de routage, des filtres de pare-feu et des mécanismes de contrôle du trafic). Les écrans IDS ajoutent un niveau de filtrage plus granulaire.
Utilisez des filtres de pare-feu et des filtres de pare-feu dynamiques pour filtrer le trafic qui n’a pas besoin d’être traité par un écran IDS.
Avantages
Fournit une protection contre plusieurs types d’attaques réseau.
Limites de session
Vous pouvez utiliser les écrans IDS pour définir des limites de session pour le trafic provenant d’une source ou d’une destination individuelle. Vous êtes ainsi protégé contre les attaques par sondage et par flooding du réseau. Le trafic qui dépasse les limites de session est abandonné. Vous pouvez spécifier des limites de session pour le trafic utilisant un protocole IP particulier, tel qu’ICMP, ou pour le trafic en général.
Vous décidez si les limites s’appliquent à des adresses individuelles ou à une agrégation du trafic provenant de sous-réseaux individuels d’une longueur de préfixe particulière. Par exemple, si vous agrégez les limites des sous-réseaux IPv4 dont la longueur du préfixe est 24, le trafic des sous-réseaux 192.0.2.2 et 192.0.2.3 est comptabilisé par rapport aux limites du sous-réseau 192.0.2.0/24.
Voici quelques-unes des attaques réseau par sondage et par flooding courantes contre lesquelles les limites de session protègent :
| ICMP Address Sweep | L’attaquant envoie des sondes de requête ICMP (pings) à plusieurs cibles. Si une machine cible répond, l’attaquant reçoit l’adresse IP de la cible. |
| ICMP Flood | L’attaquant inonde une machine cible en envoyant un grand nombre de paquets ICMP à partir d’une ou plusieurs adresses IP sources. La machine cible utilise ses ressources lorsqu’elle tente de traiter ces paquets ICMP, puis elle ne peut plus traiter le trafic valide. |
| TCP Port Scan | L’attaquant envoie des paquets TCP SYN d’une source vers plusieurs ports de destination de la machine cible. Si la cible répond par un SYN-ACK à partir d’un ou plusieurs ports de destination, l’attaquant apprend quels ports sont ouverts sur la cible. |
| TCP SYN Flood | L’attaquant inonde une machine cible en envoyant un grand nombre de paquets TCP SYN à partir d’une ou plusieurs adresses IP sources. L’attaquant peut utiliser de vraies adresses IP sources, ce qui entraîne une connexion TCP complète, ou peut utiliser de fausses adresses IP sources, ce qui entraîne l’échec de la connexion TCP. La cible crée des états pour toutes les connexions TCP terminées et incomplètes. La cible utilise ses ressources lorsqu’elle tente de gérer les états de connexion, puis elle ne peut plus traiter le trafic valide. |
| UDP Flood | L’attaquant inonde une machine cible en envoyant un grand nombre de paquets UDP à partir d’une ou plusieurs adresses IP sources. La machine cible utilise ses ressources lorsqu’elle tente de traiter ces paquets UDP, et elle ne peut alors plus traiter le trafic valide. |
Les limites de session pour le trafic provenant d’une source ou d’une destination sont les suivantes :
Nombre maximal de sessions simultanées
Nombre maximal de paquets par seconde
Nombre maximal de connexions par seconde
Les écrans IDS installent également un filtre dynamique sur les PFE des cartes de ligne pour détecter toute activité suspecte lorsque les conditions suivantes se produisent :
Le nombre de paquets par seconde ou le nombre de connexions par seconde pour une adresse source ou de destination individuelle dépasse quatre fois la limite de sessions affichée sur l’écran IDS. (Les filtres dynamiques ne sont pas créés à partir des écrans IDS qui utilisent l’agrégation de sous-réseaux.)
Le pourcentage d’utilisation du processeur de la carte de services dépasse une valeur configurée (la valeur par défaut est 90 %).
Le filtre dynamique supprime le trafic suspect au niveau du PFE, sans que le trafic ne soit traité par l’écran IDS. Lorsque le débit de paquets ou de connexion ne dépasse plus quatre fois la limite indiquée sur l’écran IDS, le filtre dynamique est supprimé.
Modèles de paquets suspects
Vous pouvez utiliser les écrans IDS pour identifier et supprimer le trafic présentant un modèle de paquet suspect. Vous êtes ainsi protégé contre les attaquants qui créent des paquets inhabituels pour lancer des attaques par déni de service.
Les modèles de paquets suspects et les attaques que vous pouvez spécifier dans un écran IDS sont les suivants :
| ICMP fragmentation attack | L’attaquant envoie à la cible des paquets ICMP qui sont des fragments IP. Ceux-ci sont considérés comme des paquets suspects car les paquets ICMP sont généralement courts. Lorsque la cible reçoit ces paquets, les résultats peuvent aller d’un traitement incorrect des paquets à un plantage de l’ensemble du système. |
| Malformed ICMPv6 packets | Des paquets ICMPv6 mal formés peuvent endommager l’équipement et le réseau. Des exemples de paquets IPv6 mal formés sont les paquets qui sont trop volumineux (type de message 2), dont l’en-tête suivant est défini sur le routage (43) ou dont l’en-tête de routage est défini sur saut par saut. |
| ICMP large packet attack | L’attaquant envoie aux trames ICMP cibles avec une longueur IP supérieure à 1024 octets. Ceux-ci sont considérés comme des paquets suspects car la plupart des messages ICMP sont petits. |
| Ping of death attack | L’attaquant envoie à la cible des paquets ping ICMP dont la longueur du datagramme IP (ip_len) dépasse la longueur maximale légale (65 535 octets) pour les paquets IP, et le paquet est fragmenté. Lorsque la cible tente de réassembler les paquets IP, un dépassement de la mémoire tampon peut se produire, entraînant le plantage, le blocage et le redémarrage du système. |
| Bad option attack | L’attaquant envoie les paquets cibles avec des options IPv4 ou des en-têtes d’extension IPv6 mal formatés. Cela peut entraîner des problèmes imprévisibles, en fonction de la pile IP, de l’implémentation des routeurs et de la cible. |
| Fragmented IP packets | Les fragments IP peuvent contenir la tentative d'un attaquant d'exploiter les vulnérabilités du code de réassemblage des paquets de certaines implémentations de la pile IP. Lorsque la cible reçoit ces paquets, les résultats peuvent aller d’un traitement incorrect des paquets à un plantage de l’ensemble du système. |
| IPv6 extension headers | Les attaquants peuvent utiliser de manière malveillante les en-têtes d’extension pour des attaques par déni de service ou pour contourner les filtres. |
| IPv4 options | Les attaquants peuvent utiliser les options IPv4 de manière malveillante pour des attaques par déni de service. |
| IP teardrop attack | L’attaquant envoie à la cible des paquets IP fragmentés qui se chevauchent. La machine cible utilise ses ressources lorsqu’elle tente de réassembler les paquets, et elle ne peut alors plus traiter le trafic valide. |
| IP unknown protocol attack | L’attaquant envoie aux paquets cibles des numéros de protocole supérieurs à 137 pour IPv4 et 139 pour IPv6. Un protocole inconnu pourrait être malveillant. |
| TCP FIN No ACK attack | L’attaquant envoie à la cible des paquets TCP dont le bit FIN est défini mais dont le bit ACK n’est pas défini. Cela peut permettre à l’attaquant d’identifier le système d’exploitation de la cible ou d’identifier les ports ouverts sur la cible. |
| Land attack | L’attaquant envoie à la cible des paquets SYN usurpés qui contiennent l’adresse IP de la cible à la fois comme adresse IP de destination et comme adresse IP source. La cible épuise ses ressources au fur et à mesure qu’elle se répond à elle-même. Dans une autre variante de l’attaque terrestre, les paquets SYN contiennent également les mêmes ports source et de destination. |
| TCP SYN ACK ACK attack | L’attaquant établit des connexions Telnet ou FTP avec la cible sans terminer les connexions. La table de session de la cible peut se remplir, ce qui entraîne le rejet par l’appareil des demandes de connexion légitimes. |
| TCP SYN FIN attack | L’attaquant envoie à la cible des paquets TCP dont les bits SYN et FIN sont définis. Cela peut entraîner un comportement imprévisible sur la cible, en fonction de son implémentation de la pile TCP. |
| SYN fragment attack | L’attaquant envoie des fragments de paquets SYN cibles. La cible met en cache les fragments SYN en attendant l’arrivée des fragments restants pour pouvoir les réassembler et terminer la connexion. Un flot de fragments SYN finit par remplir la mémoire tampon de l’hôte, empêchant toute connexion de trafic valide. |
| TCP no flag attack | L’attaquant envoie à la cible des paquets TCP ne contenant aucun indicateur. Cela peut entraîner un comportement imprévisible sur la cible, en fonction de son implémentation de la pile TCP. |
| TCP WinNuke attack | L’attaquant envoie un segment TCP avec l’indicateur urgent (URG) défini et destiné au port 139 d’une cible exécutant Windows. Cela pourrait provoquer le plantage de la machine cible. |