Vous êtes sur le site public du Cert-IST
Stick : un outil d'analuse de détecteur d'intrusion (IDS)

Date :11 Juillet 2005

Publication: Article

Coretez Giovanni (inconnu jusqu'alors de la communauté " sécurité ") a écrit un outil intitulé Stick dans le but d'évaluer les capacités des détecteurs d'intrusions (IDS - Intrusion Detection System) et des gardes-barrières.

Cet outil crée un très grand nombre d'alarmes sur un IDS afin que celui-ci soit surchargé d'informations.

Une personne malveillante peut se servir de cet outil pour créer une diversion, ou dissimuler une vraie attaque. Dés lors qu'un grand nombre de fausses alarmes se produisent, il devient en effet difficile de trouver la vraie.

Sachant qu'en deux secondes, 450 alarmes peuvent se déclencher et que l'attaquant peut choisir la durée de son attaque, cela donne une idée de l'importance du problème. Les ressources de l'IDS se trouvent rapidement saturées.

Rappel sur les techniques utilisées par les IDS :

Un IDS se sert d'une base de signatures utilisant des critères prédéterminés pour différencier les paquets qui peuvent avoir une implication dans une intrusion et ceux qui n'en auront pas.

Les trois attributs les plus communs dans les signatures sont :

Les champs d'en tête du paquet IP

Les champs d'en tête de la couche transport

Les données applicatives

Ainsi, si pour un grand nombre de signatures les attributs de ces trois critères sont connus d'un utilisateur malicieux, ce dernier a alors la possibilité de créer des paquets qui déclencheront d'innombrables alarmes.

Point faible des IDS :

Cependant, pour des raisons de rapidité et de puissance des processeurs, certains IDS évaluent souvent un paquet de manière isolée sans se soucier du contexte dans lequel il se trouve. Cela signifie qu'un paquet n'a pas besoin d'un évènement antérieur ou postérieur pour déclencher une alarme. La vitesse d'un IDS est un argument important pour les ventes mais cela entraîne une dégradation de la pertinence des alarmes.

Ainsi, la plupart des IDS n'enregistrent l'attaque qu'une fois qu'elle a déclenché une alarme, ce qui fait que les flux initiaux ne sont pas enregistrés. Pourtant cela permettrait de confirmer qu'une attaque est bien réelle.

De même, pour certains gardes-barrière, au niveau des connexions TCP, seul les paquets d'établissement de connexion sont analysés, les autres paquets quant à eux, seront ignorés.

Conclusion :

Stick se révèle être relativement dangereux s'il est utilisé de manière malicieuse. Il est donc conseillé de se prémunir des attaques initiées par ce genre d'outil.

Voici quelques recommandations qui peuvent permettre d'atténuer les dangers que représente Stick :

  • Garder à jour, avec les correctifs de sécurité, vos DMZ et vos accès à Internet.
  • Limiter les signatures ou les traces que vous recherchez sur votre IDS à celles qui sont pertinentes dans votre environnement.

Pour plus d'information