Imaginons qu'une requête
malintentionnée ait passé le barrage du
firewall : il faut donc l'arrêter. La méthode
la plus classique consiste à faire appel à
un Network IDS - une solution de détection
d'intrusion largement éprouvée. Son rôle
sera d'immobiliser chaque requête, de l'analyser
et de lui laisser continuer son chemin seulement si
elle ne correspond pas au portrait-robot d'une attaque
référencée. Avant d'opter pour
un tel système, il faut connaître les points
clés de cette solution.
Le Network
IDS : la solution traditionnelle
Premier gage de qualité pour un Network IDS :
l'exhaustivité du fichier contenant les
signatures des attaques. Ce fichier est centralisé
et mis à jour par le fabricant de solutions de
Network IDS. Il faut donc penser très régulièrement
à en
télécharger
la liste la plus récente. Par extension, la qualité
des équipes de veille du fabricant conditionne
largement l'efficacité de ses produits :
les plus grandes marques emploient plusieurs dizaines
de personnes à la mise à jour de cette
liste de signatures.
Autre point crucial :
le choix de l'emplacement du Network IDS. "Une
sonde placée à un mauvais endroit peut
être inefficace", soutient Philippe Solini,
Network Design Consultant chez Unisys. Il est d'ailleurs
courant que l'on ne puisse pas se contenter d'un seul
système de filtrage : plus un réseau
est complexe, plus il présente de vulnérabilités.
Il en devient logiquement plus difficile à protéger.
Mais chaque network IDS rajouté coûte cher :
ces machines sont particulièrement gourmandes
en ressources. "Les débits analysés
sont très lourds, il est donc nécessaire
de dédier au Network IDS des machines très
puissantes, ou des appliances (boites noires) spécialisés
pour parvenir à les soutenir", explique
Philippe Solini.
Améliorations
sensibles
Autre point clé : la qualité du système
de détection, qui varie d'un système à
un autre : "Depuis les premières versions,
la technologie a progressé, et nos produits deviennent
de plus en plus performants et pertinents - explique
Pascal Delprat, consultant sécurité pour
la France chez Cisco. Nous avons réussi à
améliorer leurs performances en ciblant mieux
nos méthodes de détection. Aujoud'hui,
on n'analyse plus guère chaque trame de fond
en comble : les Network IDS ont appris à
cibler les points stratégiques".
Quant à la pertinence
des systèmes de détection d'intrusion,
"les choses ont là aussi bien changé",
indique Pascal Delprat. Un Network IDS ne signale plus
toutes les chaînes de caractères dangereuses,
mais seulement celles qui se trouvent dans la position
d'être exploitées. Si un expert sécurité
envoie un mail à un collègue contenant
- pour information - le code d'une attaque ,
le Network IDS ne déclenchera pas d'alerte. Par
contre, si ce code est contenu dans une requête
dont le but est de saturer le mémoire tampon
d'un serveur, le Network IDS le signalera tout de suite.
Toutefois, si l'on en croit Philippe Solini (Unisys),
des progrès restent à faire : "La
détection d'intrusion est encore en pleine phase
de maturation. Il y a encore bien des progrès
à faire".
Le Host
IDS : la solution qui monte
En somme, le Network IDS est un gendarme qui compare
chaque trame à une banque de portraits robots.
Mais il ne garantit pas à lui seul un niveau
de sécurité proche de 100 %. Pour
y parvenir, il faut mettre en faction un autre gendarme,
qui observera le comportement de chaque trame et signalera
tout ce qui lui paraîtra inhabituel. C'est le
rôle du Host IDS, une véritable sonde qui
est placée individuellement sur chaque système
à protéger. Un système qui corrige
les faiblesses des Network IDS.
La technologie Host IDS
excelle dans la détection des anomalies connues
et inconnues : si une attaque parvient à
se faufiler à travers les mailles du filet, la
sonde va la repérer : "Le Host IDS
réalise une photographie du système à
un moment donné. Il définit tout ce qui
est légitime. Tout ce qui sort du cadre et
des habitudes du système est considéré
comme une attaque. Une modification de la base de registres
sera donc bloquée et fera l'objet d'une alerte",
explique Pascal Delprat (Cisco). Un travail complémentaire
à celui du Network IDS.
Difficile
à administrer
Une sonde Host IDS est moins onéreuse qu'un Network
IDS, mais on doit en placer une sur chaque machine à
surveiller. On les réserve donc le plus souvent
aux machines très protégées. Elles
sont également beaucoup moins
gourmandes
en ressources systèmes
qu'un Network IDS : on les trouve donc sous forme
de logiciel, et non plus intégrées à
un serveur ou une appliance comme les Network IDS. Placées
sur une machine, elles ne consomment en effet pas plus
de 5 % des ressources. En raison de leur arrivée
récente sur le marché, les Host IDS ne
sont pas encore très largement déployés.
Ensemble, les deux gendarmes
font accéder un réseau d'entreprise à
un niveau de protection optimal. A condition d'être
chapeautés par un brigadier-chef : ils ne
savent pas travailler correctement sans être encadrés.
Le problème de l'administration des IDS au quotidien
représente en effet le point le plus délicat
et le plus crucial pour un système de détection
d'intrusion. Si on le néglige, il est préférable
de garder son budget pour l'investir ailleurs.
Episode 3 -
La face cachée des IDS : les problèmes d'administration
|