Michel Boucey

Implanter les systèmes de détection d’intrusion grâce aux TAP réseaux

Cet article est la traduction de l'article Implementing Networks Taps with Network Intrusion Detection Systems" de Nathan Einwechter, paru dans SecurityFocus le 19 juin 2002. Merci à Nathan Einwechter et Kelly Martin, rédacteur en chef de SecurityFocus, pour avoir autorisé en son temps la publication de ce travail.

Introduction

Durant la décennie passée, ou presque, l’utilisation des commutateurs en remplacement des concentrateurs s’est accrue substantiellement. Ceci est largement dû à l’accroissement de la taille des réseaux, et à la nécessité de réseaux de plus en plus rapides et efficaces. Sur la plupart des réseaux, les données doivent être fiables et pertinentes. Cette transition du concentrateur vers le commutateur, quoi qu’il en soit, a généré un conflit avec les systèmes de détection d’intrusion déjà conçus et déployés.Pour combattre les conflits de conceptions entre les systèmes de détection d’intrusion réseau (NIDS) et les commutateurs, les TAP réseaux ont été conçus. Les TAP réseaux permettent essentiellement de superviser tout le trafic d’un équipement réseau. Ils sont aussi très utiles dans l’analyse et le dépannage réseau, mais le premier avantage du TAP réseau est qu’il rend le NIDS plus sûr, prévenant contre les attaques directs envers lui. Cet article offrira une introduction d’ensemble aux TAP réseaux incluant : ce qu’ils sont, pourquoi ils devraient être implantés, leur rôle dans l’amélioration de la sécurité réseau, comment ils devraient être implantés et les bénéfices économiques qu’ils générent. 

En quoi consiste ce conflit ?

Pour comprendre pourquoi et comment utiliser les TAP réseaux, le conflit de conceptions entre les NIDS et les commutateurs doit préalablement être compris. Les commutateurs diffèrent des concentrateurs d’une manière fondamentale. Ils diffèrent dans la façon de transmettre la donnée d’un port à un autre port. Afin de le démontrer, imaginez un concentrateur 4 ports auquel est associé une lettre par port (A, B, C, D). Un ordinateur connecté au port A veut envoyer de l’information à l’ordinateur sur le port C. Le paquet est envoyé, le concentrateur le reçoit et émet le paquet sur l’ensemble des ports du concentrateur (A, B, C, D). Ceci est illustré par la figure 1.

Figure 1

Dans ce cas, le NIDS n’a aucun problème. Tant que tout le trafic est envoyé à l’ensemble des ports, le NIDS peut détecter le trafic, qu’importe d’où il provient sur le concentrateur.Quoi qu’il en soit, les commutateurs envoient les données d’une façon totalement différente. Au lieu d’envoyer les données destinées au port C à tous les ports de l’équipement, le commutateur envoie ces données uniquement au port C. Cela accroît l’efficacité en réduisant les collisions de paquets et en optimisant la bande passante par la réduction des transmissions inutiles ; comme on peut le voir sur la Figure 2.

Figure 2

 Ce diagramme montre clairement d’où provient le problème. Absolument aucune donnée n’est envoyée au NIDS (Port D), conséquemment aucune détection d’événement ne peut avoir lieu. Le seul moment où le NIDS peut détecter une attaque, c’est lorsqu’il est lui-même attaqué. C’est, évidemment, inacceptable et enlève tout intérêt à avoir un NIDS sur le réseau. 

Qu’est-ce qu’un TAP réseau ?

TAP est l'abbréviation de « Test Access Port ». Les TAP réseaux permettent de superviser de manière passive tout le trafic sur un équipement réseau (tel qu’un commutateur). Ils sont relativement peu onéreux, fiables et fournissent un accès permanent aux ports dont le trafic est à superviser. Les TAP consistent habituellement en équipements séparés, mais peuvent aussi être implémentés dans les commutateurs eux-mêmes. Deux solutions de TAP sont communément offertes par NetOptics et Finisar. Il existe des TAP pour à peu près tous les types de réseau en usage aujourd’hui. Cela inclut GigaBit SX, LX ou ZX, ATM, DS3, T1, Fast Ethernet sur cuivre et du GigaBit TX au SX. Cela signifie que notre NIDS peut être déployé en utilisant un TAP sur n’importe quel type d’installation réseau imaginable. De plus, les TAP sont complètement passifs, ce qui signifie qu’ils ne perturberont pas votre configuration réseau actuelle, et sont aisément implantables au sein de n’importe quel réseau préexistant. 

Pourquoi implanter des TAP réseaux ?

Les TAP réseaux sont un moyen idéal d’implanter un IDS dans un environnement commuté à haut débit. Pour comprendre pourquoi les TAP devraient être utilisés dans ce type de situation, il serait intéressant de prendre en considération les autres options permettant d’implanter un IDS en environnement commuté. L’alternative la plus fréquemment utilisée est le spanning port, aussi connu en tant que port mirroring. Cette option, bien que souvent employée, comporte des défauts qui lui sont inhérents et qui créent des problèmes dans l’implantation des IDS. La plupart des commutateurs en usage aujourd’hui est livrée avec ce type de port. Le port spanning ou mirroring force le commutateur à envoyer tous les paquets le traversant, ou provenant d’un port particulier, vers un port de supervision, en plus de la livraison de ces paquets à leurs destinataires. Cela provoque un certain nombre de problèmes, dont le plus patent est la perte de paquets à destination du port de supervision. Utiliser un tel port est un peu comme utiliser un port sur un concentrateur. Cela signifie qu’il y aura un plus important taux de collision, tout pendant que les vingt autres ports du commutateur enverront continuellement leurs paquets au port de supervision. Bien plus, comme le port de supervision possède la même quantité de bande passante que les autres ports, la quantité de perte de paquets est significativement encore accrue.Le port mirroring présente d’autres problèmes en ce qu’il ne reçoit pas les paquets en erreur ou l’information concernant les VLAN, et ne présente qu’un côté d’une connexion en full-duplex. Ainsi, l’IDS placé sur un tel port est sévèrement limité par l’accroissement de perte en paquets et un complet aveuglement à la moitié du trafic sur un lien. A quoi peut être bon un IDS ne pouvant voir seulement au mieux que la moitié du trafic, et bien moins que cela dans la plupart des cas ? Le travail du port mirroring est démontré figure 3.

Figure 3

Notez que la moitié de la session n’est pas envoyée vers le port de supervision ; de telle sorte que le NIDS est incapable de détecter les événements compris dans ces messages.L’utilisation d’un TAP règle tous ces problèmes. Le TAP est capable de donner aux IDS la capacité de voir les deux côtés d’une conversation full-duplex, de réduire la perte de paquets, ceci étant dû à une installation totalement physique, et de voir tous les paquets transmis à travers la ligne. Tout ceci peut être accompli de façon passive n’affectant pas le réseau dans l’intégrité de sa structure. 

Le rôle des TAP dans l’accroissement de la sécurité issue des IDS

Comme mentionné dans l’introduction, les TAP peuvent véritablement accroître la sécurité de l’installation d’un système de détection d’intrusion. La raison en est fort simple : un IDS placé derrière un TAP ne requière pas d’adresse, parce que le TAP prend n’importe quelle donnée et toutes les données provenant de la ligne pour les transmettre directement à l’interface de l’IDS, ce qui élimine le besoin d’adressage. L’IDS n’a pas d’adresse ; ainsi aucun trafic ne peut être dirigé spécifiquement au travers de l’IDS. Ce qui prévient contre toute attaque directe envers l’IDS, et peut véritablement faire croire à l’attaquant qu’aucun IDS n’est présent pour identifier et traquer ses attaques.En prévenant la détection de l’IDS par des attaquants, la longévité du système est significativement accrue. Après tout, à quoi est bon un IDS qui peut être attaqué et rendu inefficace ?

L’implantation expliquée

L’implantation de TAP réseaux peut être rapide et aisée si vous planifiez son installation, et si vous avez le bon matériel. La plupart du temps, un TAP consiste en un port supplémentaire disponible sur de nombreux commutateurs, concentrateurs et routeurs récents. Souvent, cela est réalisé au travers de l’utilisation d’interfaces d’équipement terminal de données (Data Terminal Equipment, ou DTE) et/ou d’équipement de communication de données (Data Communication Equipment, ou DCE). Ces interfaces seront discutées plus en détail plus bas. Cela autorise le TAP à être complètement passif, réduisant ainsi les risques d’interruption que de nombreux matériels de supervision peuvent causer. Ces lignes sont aussi capables de hauts débits, lesquels permettent de capter le trafic d’un matériel dans sa totalité, tout en gardant un taux de perte de paquets absolument minimal. Les interfaces DTE/DCE sont alors alimentées directement au panneau du TAP qui est rangé dans le râtelier serveur, et qui comporte le port du TAP de supervision. Attaché au port de supervision, le NIDS que nous avons décidé d’utiliser. Ce que l’on voit sur la figure 4.

Figure 4

Il s’agit du type d’installation le plus courant. La plupart des TAP réseaux peut être déployée sur de multiples matériels à travers le réseau et être alors interfacée les uns avec les autres, et avec d’autres systèmes au sein du râtelier serveur (comme illustré dans la figure 5).

Figure 5

Les râteliers de supervision (les panneaux de TAP) sont habituellement conçus pour les systèmes à haut débit (Gigabit ou mieux encore) et pour permettre à tout le trafic d’être collecté à ce point central avec la quantité minimale possible de perte de paquets. Dû aux extrêmement hauts débits que ces râteliers de supervision peuvent supporter, il est souvent nécessaire d’utiliser de multiples systèmes IDS et de la répartition de charges entre eux, étant donné que très peu d’IDS sont actuellement capables de prendre en charge de telles vitesses. Si de multiples systèmes IDS sont utilisés, on peut avoir l’idée d’agréger leurs données ensemble sur une machine d’analyse pour une visualisation et une détection d’événements supplémentaires à une date ultérieure. L’illustration d’un TAP IDS Gigabit de Jeff Nathan donne une bonne idée de la façon dont ce type de système pourrait être installé et employé. 

Equipement terminal de données / équipement de communication de données

L’Equipement Terminal de Données (DTE) et l’Equipement de Communication de Données (DCE), comme précédemment dit, sont les moyens les plus courants de transport de données à partir d’un commutateur, routeur ou concentrateur vers un panneau de TAP. Un DTE est le matériel à l’extrémité utilisateur consistant en une interface réseau utilisateur qui sert de source de données, de destination, ou bien les deux. Un DTE est connecté à un réseau de données (dans notre cas, à un TAP) au travers d’un DCE. Les matériels DCE permettent une connexion physique au réseau, renvoyant le trafic et ils fournissent un signal temporisé en vue d’une transmission synchronisée des données entre matériels DCE et DTE.Maintenant que les bases concernant les DTE et les DCE ont été établies, leurs rôles dans leur capacité à transférer des données aux TAP peuvent être abordés. Il y a de nombreux types et classes de câbles, d’interfaces et de connecteurs DTE et DCE. Mais il n’y a, quoi qu’il en soit, que quelques matériels de couramment employer avec les TAP. Le premier d’entre eux est l’Interface Série Haute Vitesse (HSSI, High-Speed Serial Interface). Le HSSI est capable de tenir les vitesses T1 et OC-1, permettant une connectivité à haut débit entre les réseaux et les matériels utilisant les interfaces DTE/DCE ; et ce grâce à l’emploi de circuits logiques à émetteurs couplés (ECL, Emitter-Coupled Logic), lesquels ont été utilisés pendant des années pour les interfaces systèmedesordinateurs Cray. D’autres technologies telles que le frame-relay, l’ADSL, l’ATM et le DS3 peuvent être utilisées au travers des interfaces DTE/DCE en accord avec les TAP, et comme requis par l’implantation réseau.Les spécificités dans les façons d’installer une interface DTE/DCE et les types de câblage utilisés dans l’implantation varieront grandement selon les matériels utilisés à travers le réseau. La plupart des systèmes et commutateurs à TAP qui supportent les matériels DTE/DCE auront aussi une documentation spécifique sur la façon de configurer ces matériels afin qu’ils fonctionnent conjointement. Dans la plupart des cas, le port « analyse » décrit dans la documentation est le port que vous connecterez à votre NIDS.Jeff Nathan a créé un jeu de très bons diagrammes qui décrit les généralités concernant le TAP réseau. Ces diagrammes peuvent être trouvés sur la page de documentation de Snort, et sont une référence. 

Bénéfices financiers des TAP réseaux

Par delà les avantages techniques, discutés précédemment, il existe aussi des bénéfices financiers provenant des TAP réseaux. Si un NIDS était utilisé avant que le TAP soit implanté, aucun changement dans la technologie IDS ne devrait être requis pour l’implanter conjointement avec le TAP. Tant qu’aucun NIDS et déploiement nouveaux ne seront requis, les coûts d’implantation devraient être significativement réduits. Bien plus, tant que le NIDS restera le même, l’équipe réseau et sécurité n’aura pas à être à nouveau former sur un nouveau système.Utiliser des TAP réseaux permet de s’apercevoir aussi, lorsque l’on s’intéresse aux alternatives, que l’utilisation de NIDS crée des bénéfices de coût. Le meilleur exemple de cela, c’est la transition entre les NIDS en environnement commuté, et les systèmes de détection d’intrusion orientés sur l’hôte (Host IDS, HIDS), ou encore, dits de nœud réseau (NNIDS, Network Node IDS). Ces systèmes requièrent de l’IDS qu’il soit installé sur chaque système que l’on souhaite voir protéger contre les attaques. Pour maintenir une couverture de détection d’attaque au travers du réseau identique à celle fournie par un NIDS, l’entreprise installant les systèmes aura à payer une copie du NNIDS/HIDS pour chaque système compris dans le segment réseau protégé. Cela accroît bien évidemment de manière significative les coûts d’implantation et requière de la part des équipes d’être à nouveau formés aux divers NNIDS/HIDS qui vont être utilisés. Ce coût est encore grossi dès lors que de multiples systèmes d’exploitation sont en usage, chacun requérant un type différent de NNIDS/HIDS. Dans ce cas, il est bien visible que l’implantation de TAP réseaux permettant aux NIDS de fonctionner est significativement plus rentable que son alternative. 

Conclusion

L’actuelle évolution des concentrateurs vers les commutateurs, couplée à l’exploitation d’une sécurité accrue et de ses risques, rend le déploiement des IDS traditionnels problématique sur la plupart des réseaux actuels. Ces problèmes peuvent aisément être surmontés par l’utilisation de TAP réseaux afin de permettre l’utilisation des NIDS avec des niveaux suffisants de sécurité sur tous types de réseaux actuellement en usage. L’utilisation des TAP réseaux accroît justement la sécurité des sondes de sécurité tout en leurs permettant simultanément d’être plus simplement déployées sur de grands réseaux à haut débit qui requièrent commutateurs et autres matériels réseau à haut débit. Les TAP permettent aussi une réduction du coût des IDS.Les TAP réseaux ne sont pas couramment utilisés, ni autant que de nombreux professionnels de la sécurité pensent qu’ils le devraient. Il y a, quoi qu’il en soit, un consensus général pour dire que l’usage des TAP s’accroîtra avec le besoin de leur service et la demande d’information les concernant s’accroîtra également dans quantité d’entreprises et autres propriétaires/opérateurs de larges réseaux.

Michel • Boucey @ cybervisible • fr06 • 18 • 62 • 50 • 73