Implanter les systèmes de détection d’intrusion grâce aux TAP réseaux
Cet article est la traduction de l'article Implementing Networks Taps with Network Intrusion Detection Systems" de Nathan Einwechter, paru dans SecurityFocus le 19 juin 2002. Merci à Nathan Einwechter et Kelly Martin, rédacteur en chef de SecurityFocus, pour avoir autorisé en son temps la publication de ce travail.Introduction
Durant la décennie passée, ou presque, l’utilisation des commutateurs en remplacement des concentrateurs s’est accrue substantiellement. Ceci est largement dû à l’accroissement de la taille des réseaux, et à la nécessité de réseaux de plus en plus rapides et efficaces. Sur la plupart des réseaux, les données doivent être fiables et pertinentes. Cette transition du concentrateur vers le commutateur, quoi qu’il en soit, a généré un conflit avec les systèmes de détection d’intrusion déjà conçus et déployés.Pour combattre les conflits de conceptions entre les systèmes de détection d’intrusion réseau (NIDS) et les commutateurs, les TAP réseaux ont été conçus. Les TAP réseaux permettent essentiellement de superviser tout le trafic d’un équipement réseau. Ils sont aussi très utiles dans l’analyse et le dépannage réseau, mais le premier avantage du TAP réseau est qu’il rend le NIDS plus sûr, prévenant contre les attaques directs envers lui. Cet article offrira une introduction d’ensemble aux TAP réseaux incluant : ce qu’ils sont, pourquoi ils devraient être implantés, leur rôle dans l’amélioration de la sécurité réseau, comment ils devraient être implantés et les bénéfices économiques qu’ils générent.En quoi consiste ce conflit ?
Pour comprendre pourquoi et comment utiliser les TAP réseaux, le conflit de conceptions entre les NIDS et les commutateurs doit préalablement être compris. Les commutateurs diffèrent des concentrateurs d’une manière fondamentale. Ils diffèrent dans la façon de transmettre la donnée d’un port à un autre port. Afin de le démontrer, imaginez un concentrateur 4 ports auquel est associé une lettre par port (A, B, C, D). Un ordinateur connecté au port A veut envoyer de l’information à l’ordinateur sur le port C. Le paquet est envoyé, le concentrateur le reçoit et émet le paquet sur l’ensemble des ports du concentrateur (A, B, C, D). Ceci est illustré par la figure 1.Figure 1
Dans ce cas, le NIDS n’a aucun problème. Tant que tout le trafic est envoyé à l’ensemble des ports, le NIDS peut détecter le trafic, qu’importe d’où il provient sur le concentrateur.Quoi qu’il en soit, les commutateurs envoient les données d’une façon totalement différente. Au lieu d’envoyer les données destinées au port C à tous les ports de l’équipement, le commutateur envoie ces données uniquement au port C. Cela accroît l’efficacité en réduisant les collisions de paquets et en optimisant la bande passante par la réduction des transmissions inutiles ; comme on peut le voir sur la Figure 2.Figure 2
Ce diagramme montre clairement d’où provient le problème. Absolument aucune donnée n’est envoyée au NIDS (Port D), conséquemment aucune détection d’événement ne peut avoir lieu. Le seul moment où le NIDS peut détecter une attaque, c’est lorsqu’il est lui-même attaqué. C’est, évidemment, inacceptable et enlève tout intérêt à avoir un NIDS sur le réseau.Qu’est-ce qu’un TAP réseau ?
TAP est l'abbréviation de « Test Access Port ». Les TAP réseaux permettent de superviser de manière passive tout le trafic sur un équipement réseau (tel qu’un commutateur). Ils sont relativement peu onéreux, fiables et fournissent un accès permanent aux ports dont le trafic est à superviser. Les TAP consistent habituellement en équipements séparés, mais peuvent aussi être implémentés dans les commutateurs eux-mêmes. Deux solutions de TAP sont communément offertes par NetOptics et Finisar. Il existe des TAP pour à peu près tous les types de réseau en usage aujourd’hui. Cela inclut GigaBit SX, LX ou ZX, ATM, DS3, T1, Fast Ethernet sur cuivre et du GigaBit TX au SX. Cela signifie que notre NIDS peut être déployé en utilisant un TAP sur n’importe quel type d’installation réseau imaginable. De plus, les TAP sont complètement passifs, ce qui signifie qu’ils ne perturberont pas votre configuration réseau actuelle, et sont aisément implantables au sein de n’importe quel réseau préexistant.Pourquoi implanter des TAP réseaux ?
Les TAP réseaux sont un moyen idéal d’implanter un IDS dans un environnement commuté à haut débit. Pour comprendre pourquoi les TAP devraient être utilisés dans ce type de situation, il serait intéressant de prendre en considération les autres options permettant d’implanter un IDS en environnement commuté. L’alternative la plus fréquemment utilisée est le spanning port, aussi connu en tant que port mirroring. Cette option, bien que souvent employée, comporte des défauts qui lui sont inhérents et qui créent des problèmes dans l’implantation des IDS. La plupart des commutateurs en usage aujourd’hui est livrée avec ce type de port. Le port spanning ou mirroring force le commutateur à envoyer tous les paquets le traversant, ou provenant d’un port particulier, vers un port de supervision, en plus de la livraison de ces paquets à leurs destinataires. Cela provoque un certain nombre de problèmes, dont le plus patent est la perte de paquets à destination du port de supervision. Utiliser un tel port est un peu comme utiliser un port sur un concentrateur. Cela signifie qu’il y aura un plus important taux de collision, tout pendant que les vingt autres ports du commutateur enverront continuellement leurs paquets au port de supervision. Bien plus, comme le port de supervision possède la même quantité de bande passante que les autres ports, la quantité de perte de paquets est significativement encore accrue.Le port mirroring présente d’autres problèmes en ce qu’il ne reçoit pas les paquets en erreur ou l’information concernant les VLAN, et ne présente qu’un côté d’une connexion en full-duplex. Ainsi, l’IDS placé sur un tel port est sévèrement limité par l’accroissement de perte en paquets et un complet aveuglement à la moitié du trafic sur un lien. A quoi peut être bon un IDS ne pouvant voir seulement au mieux que la moitié du trafic, et bien moins que cela dans la plupart des cas ? Le travail du port mirroring est démontré figure 3.Figure 3
Notez que la moitié de la session n’est pas envoyée vers le port de supervision ; de telle sorte que le NIDS est incapable de détecter les événements compris dans ces messages.L’utilisation d’un TAP règle tous ces problèmes. Le TAP est capable de donner aux IDS la capacité de voir les deux côtés d’une conversation full-duplex, de réduire la perte de paquets, ceci étant dû à une installation totalement physique, et de voir tous les paquets transmis à travers la ligne. Tout ceci peut être accompli de façon passive n’affectant pas le réseau dans l’intégrité de sa structure.Le rôle des TAP dans l’accroissement de la sécurité issue des IDS
Comme mentionné dans l’introduction, les TAP peuvent véritablement accroître la sécurité de l’installation d’un système de détection d’intrusion. La raison en est fort simple : un IDS placé derrière un TAP ne requière pas d’adresse, parce que le TAP prend n’importe quelle donnée et toutes les données provenant de la ligne pour les transmettre directement à l’interface de l’IDS, ce qui élimine le besoin d’adressage. L’IDS n’a pas d’adresse ; ainsi aucun trafic ne peut être dirigé spécifiquement au travers de l’IDS. Ce qui prévient contre toute attaque directe envers l’IDS, et peut véritablement faire croire à l’attaquant qu’aucun IDS n’est présent pour identifier et traquer ses attaques.En prévenant la détection de l’IDS par des attaquants, la longévité du système est significativement accrue. Après tout, à quoi est bon un IDS qui peut être attaqué et rendu inefficace ?L’implantation expliquée
L’implantation de TAP réseaux peut être rapide et aisée si vous planifiez son installation, et si vous avez le bon matériel. La plupart du temps, un TAP consiste en un port supplémentaire disponible sur de nombreux commutateurs, concentrateurs et routeurs récents. Souvent, cela est réalisé au travers de l’utilisation d’interfaces d’équipement terminal de données (Data Terminal Equipment, ou DTE) et/ou d’équipement de communication de données (Data Communication Equipment, ou DCE). Ces interfaces seront discutées plus en détail plus bas. Cela autorise le TAP à être complètement passif, réduisant ainsi les risques d’interruption que de nombreux matériels de supervision peuvent causer. Ces lignes sont aussi capables de hauts débits, lesquels permettent de capter le trafic d’un matériel dans sa totalité, tout en gardant un taux de perte de paquets absolument minimal. Les interfaces DTE/DCE sont alors alimentées directement au panneau du TAP qui est rangé dans le râtelier serveur, et qui comporte le port du TAP de supervision. Attaché au port de supervision, le NIDS que nous avons décidé d’utiliser. Ce que l’on voit sur la figure 4.Figure 4
Il s’agit du type d’installation le plus courant. La plupart des TAP réseaux peut être déployée sur de multiples matériels à travers le réseau et être alors interfacée les uns avec les autres, et avec d’autres systèmes au sein du râtelier serveur (comme illustré dans la figure 5).Figure 5
Les râteliers de supervision (les panneaux de TAP) sont habituellement conçus pour les systèmes à haut débit (Gigabit ou mieux encore) et pour permettre à tout le trafic d’être collecté à ce point central avec la quantité minimale possible de perte de paquets. Dû aux extrêmement hauts débits que ces râteliers de supervision peuvent supporter, il est souvent nécessaire d’utiliser de multiples systèmes IDS et de la répartition de charges entre eux, étant donné que très peu d’IDS sont actuellement capables de prendre en charge de telles vitesses. Si de multiples systèmes IDS sont utilisés, on peut avoir l’idée d’agréger leurs données ensemble sur une machine d’analyse pour une visualisation et une détection d’événements supplémentaires à une date ultérieure. L’illustration d’un TAP IDS Gigabit de Jeff Nathan donne une bonne idée de la façon dont ce type de système pourrait être installé et employé.