Sécurité
Les deux rejetons de la brigade 'détection d'intrusion'
Les deux font la paire : un gendarme à pied pour vérifier que tout se passe comme d'habitude, et un inspecteur de la crim', pour arrêter les malfaiteurs connus des services de police. (Vendredi 12 juillet 2002)
     

Imaginons qu'une requête malintentionnée ait passé le barrage du firewall : il faut donc l'arrêter. La méthode la plus classique consiste à faire appel à un Network IDS - une solution de détection d'intrusion largement éprouvée. Son rôle sera d'immobiliser chaque requête, de l'analyser et de lui laisser continuer son chemin seulement si elle ne correspond pas au portrait-robot d'une attaque référencée. Avant d'opter pour un tel système, il faut connaître les points clés de cette solution.

Le Network IDS : la solution traditionnelle
Premier gage de qualité pour un Network IDS : l'exhaustivité du fichier contenant les signatures des attaques. Ce fichier est centralisé et mis à jour par le fabricant de solutions de Network IDS. Il faut donc penser très régulièrement à en
télécharger la liste la plus récente. Par extension, la qualité des équipes de veille du fabricant conditionne largement l'efficacité de ses produits : les plus grandes marques emploient plusieurs dizaines de personnes à la mise à jour de cette liste de signatures.

Autre point crucial : le choix de l'emplacement du Network IDS. "Une sonde placée à un mauvais endroit peut être inefficace", soutient Philippe Solini, Network Design Consultant chez Unisys. Il est d'ailleurs courant que l'on ne puisse pas se contenter d'un seul système de filtrage : plus un réseau est complexe, plus il présente de vulnérabilités. Il en devient logiquement plus difficile à protéger. Mais chaque network IDS rajouté coûte cher : ces machines sont particulièrement gourmandes en ressources. "Les débits analysés sont très lourds, il est donc nécessaire de dédier au Network IDS des machines très puissantes, ou des appliances (boites noires) spécialisés pour parvenir à les soutenir", explique Philippe Solini.

Améliorations sensibles
Autre point clé : la qualité du système de détection, qui varie d'un système à un autre : "Depuis les premières versions, la technologie a progressé, et nos produits deviennent de plus en plus performants et pertinents - explique Pascal Delprat, consultant sécurité pour la France chez Cisco. Nous avons réussi à améliorer leurs performances en ciblant mieux nos méthodes de détection. Aujoud'hui, on n'analyse plus guère chaque trame de fond en comble : les Network IDS ont appris à cibler les points stratégiques".

Quant à la pertinence des systèmes de détection d'intrusion, "les choses ont là aussi bien changé", indique Pascal Delprat. Un Network IDS ne signale plus toutes les chaînes de caractères dangereuses, mais seulement celles qui se trouvent dans la position d'être exploitées. Si un expert sécurité envoie un mail à un collègue contenant - pour information - le code d'une attaque , le Network IDS ne déclenchera pas d'alerte. Par contre, si ce code est contenu dans une requête dont le but est de saturer le mémoire tampon d'un serveur, le Network IDS le signalera tout de suite. Toutefois, si l'on en croit Philippe Solini (Unisys), des progrès restent à faire : "La détection d'intrusion est encore en pleine phase de maturation. Il y a encore bien des progrès à faire".

Le Host IDS : la solution qui monte
En somme, le Network IDS est un gendarme qui compare chaque trame à une banque de portraits robots. Mais il ne garantit pas à lui seul un niveau de sécurité proche de 100 %. Pour y parvenir, il faut mettre en faction un autre gendarme, qui observera le comportement de chaque trame et signalera tout ce qui lui paraîtra inhabituel. C'est le rôle du Host IDS, une véritable sonde qui est placée individuellement sur chaque système à protéger. Un système qui corrige les faiblesses des Network IDS.

La technologie Host IDS excelle dans la détection des anomalies connues et inconnues : si une attaque parvient à se faufiler à travers les mailles du filet, la sonde va la repérer : "Le Host IDS réalise une photographie du système à un moment donné. Il définit tout ce qui est légitime. Tout ce qui sort du cadre et des habitudes du système est considéré comme une attaque. Une modification de la base de registres sera donc bloquée et fera l'objet d'une alerte", explique Pascal Delprat (Cisco). Un travail complémentaire à celui du Network IDS.

Difficile à administrer
Une sonde Host IDS est moins onéreuse qu'un Network IDS, mais on doit en placer une sur chaque machine à surveiller. On les réserve donc le plus souvent aux machines très protégées. Elles sont également beaucoup moins
gourmandes en ressources systèmes qu'un Network IDS : on les trouve donc sous forme de logiciel, et non plus intégrées à un serveur ou une appliance comme les Network IDS. Placées sur une machine, elles ne consomment en effet pas plus de 5 % des ressources. En raison de leur arrivée récente sur le marché, les Host IDS ne sont pas encore très largement déployés.

Ensemble, les deux gendarmes font accéder un réseau d'entreprise à un niveau de protection optimal. A condition d'être chapeautés par un brigadier-chef : ils ne savent pas travailler correctement sans être encadrés. Le problème de l'administration des IDS au quotidien représente en effet le point le plus délicat et le plus crucial pour un système de détection d'intrusion. Si on le néglige, il est préférable de garder son budget pour l'investir ailleurs.

Episode 3 - La face cachée des IDS : les problèmes d'administration
[Nicolas Six, JDNet]
 
Accueil | Haut de page
 
 

  Nouvelles offres d'emploi   sur Emploi Center
Auralog - Tellmemore | Publicis Modem | L'Internaute / Journal du Net / Copainsdavant | Isobar | MEDIASTAY