La détection d'intrusion est critiquée pour sa passivité et les systèmes préventifs mis à l'honneur pour leur pertinence. Zoom sur des éléments incontournables de l'architecture de sécurité du réseau. (Vendredi 5 décembre
2003)
> En
quoi consiste un système de détection d'intrusion
(IDS) ?
Les IDS (Intrusion Detection
System) font partie de l'architecture sécurité
d'un réseau, en ce sens qu'ils permettent de repérer
les tentatives d'intrusion, qu'elles soient réussies
ou qu'elles aient échoué. Ils sont positionnés
à côté du réseau proprement
dit (on parle alors de Network IDS) et/ou sur chacun des
composants (serveur) de ce réseau (le terme de
Host IDS s'applique dans ce cas).
>
Quelle différence entre IDS réseau et hôte ?
Quand il s'agit de Network IDS, l'IDS est placé
à côté du réseau (hors ligne)
et son rôle est de "renifler" (sniffing)
le trafic sur le réseau puis de fournir alertes
et comptes-rendus sur ce qui a été analysé
comme tentative ou réussite d'intrusion. Dans le
second cas (Host IDS), l'analyse se porte sur les journaux
du système et des applications mais aussi sur les
logs d'accès aux fichiers.
>
Comment fonctionne la détection des intrusions
?
De la même manière qu'un système anti-spam
ou anti-virus, l'IDS se réfère à
une base de connaissances qui répertorie un certain
nombre de signatures d'attaques déjà connues.
Mais un des principaux reproches qui est fait aux IDS
est leur passivité.
En effet, l'IDS alerte l'administrateur réseau
qui décide, en théorie, de ce qui doit être
fait pour parer l'attaque. Mais deux éléments
viennent minorer ce fonctionnement : tout d'abord l'importante
somme de données à analyser par l'IDS -
qui ralentit considérablement la réactivité
nécessaire en cas d'intrusion -, et les faux positifs,
alertes qui ne correspondent pas à une véritable
attaque mais à une erreur de jugement l'IDS.
La surveillance se fait également par détection
d'anomalie, le système réagissant à
des variations anormales de CPU (processeur), de la bande
passante, du nombre de connexions TCP, etc.
>
Comment, dès lors, pallier ces faiblesses :
la panacée IPS ?
Au lieu de positionner
le système de détection "hors ligne",
l'idée est venue aux éditeurs de ce genre
de solutions de créer des dispositifs "en
ligne". Cette différence notoire leur permet
non plus de rendre compte après coup (constat des
dégats) mais de réagir en temps réel
en limitant ou stoppant le trafic douteux par diverses
techniques.
Le point sensible de ce genre de dispositif de prévention
est qu'en cas de faux positif, c'est le trafic - en temps
réel - du système qui est directement affecté.
La marge d'erreur se doit donc d'être la plus réduite
possible. Certains analystes pensent que le passage de
l'IDS à l'IPS n'est qu'un tour de passe-passe pour
redynamiser le marché.
Sur ce marché, on trouve
deux acteurs phares que sont ISS et Cisco. Suivent ensuite
(dans le désordre) Network Associates, Snort, Symantec,
NetASQ, Top Layer Networks, Netscreen, Hogwash, TippingPoint...