 |
|
|
| |
|
|
|
| 8 conseils pour configurer son IPS |
| Assurer la protection de son réseau, grâce à une solution de prévention des intrusions, sans générer de faux positif, tout en n'omettant aucune véritable attaque ? Utopie ou objectif réaliste ?
(02/10/2006) |
|
Le point sensible des dispositifs de prévention des intrusions (intrusion prevention system ou IPS) est la gestion des faux positifs, ces alertes qui ne correspondent pas à une véritable attaque mais à une erreur de jugement, et l'impact qu'ils peuvent avoir sur le trafic temps réel du système.
L'IPS doit en outre éviter autant que possible les faux négatifs, c'est-à-dire omettre de stopper une véritable attaque. Dans les deux cas, faux positifs ou négatifs, la marge d'erreur se doit d'être la plus réduite possible. Le respect de certaines bonnes pratiques dans le choix d'une solution IPS et dans sa configuration s'impose donc.
1. Choisir un IPS bénéficiant d'une dynamique de mise à jour des signatures.
Avant même d'introduire l'IPS dans le réseau, au moment du choix du produit, il est préférable de s'assurer de la qualité de la veille de sécurité de son fournisseur.
"Il faut être sûr que le logiciel puisse assurer de façon optimale la détection et la compréhension des attaques. Qu'il soit capable de garantir une certaine qualité à travers une équipe de recherche et une mise à jour des signatures d'attaques dynamique", recommande avant tout Jean-Paul Ballerini, expert technique pour ISS.
2. Adopter un IPS permettant de faire du profiling
Choisir une solution autorisant une personnalisation fine des signatures par rapport aux spécificités de son infrastructure. Il s'agira notamment d'établir une classification selon les systèmes d'exploitation et les services actifs sur le réseau.
"L'outil doit par exemple permettre de configurer de façon à ne détecter que les attaques SMTP dans ma DMZ sur tel serveur de messagerie, les services http sur serveur Web IIS avec .Net. Détecter des tentatives d'attaque pour des machines et des systèmes dont on ne dispose pas, ne présente aucun intérêt et générera des faux positifs", explique Marc Blet, directeur technique pour Intrinsec.
| Connaitre le niveau normal du trafic et déterminer des seuils d'alerte |
3. Avoir une bonne connaissance de son réseau et du trafic
"Certaines attaques sont garanties de ne pas avoir de faux positifs car elles génèrent systématiquement le même trafic. D'autres sont liées à l'inondation, ou flooding", rappelle Jean-Paul Ballerini.
Il faut donc savoir quel est le niveau normal du trafic et déterminer des seuils dont le dépassement pourrait traduire une intrusion. Quant à la connaissance des composants du système d'information, qui pourra s'appuyer sur une application de gestion de parc, elle servira au profiling des signatures d'attaque.
4. Ne pas activer toutes les signatures
Activer intégralement la base de signatures de l'IPS garantit à coup sûr l'émission d'un nombre important de faux positifs.
Jean-Paul Ballerini rappelle que "nombre de signatures sont relatives à une activité normale du réseau. Pour ces dernières, il est préférable de juger au cas par cas de celles nécessitant d'être effectivement activées. Les signatures de détection d'attaques peuvent en revanche l'être totalement".
5. S'assurer que l'IPS contrôle les deux directions du trafic
Les attaques sont souvent bidirectionnelles, il est donc nécessaire de contrôler à la fois les flux entrants et sortants.
"Certains clients souhaitent configurer l'IPS pour filtrer les flux vers l'extérieur. Ce peut par exemple être le cas d'un serveur Web en DMZ qui va faire des connexions IRC ou SSH vers des adresses IP sur Internet. Un comportement qui peut laisser supposer une utilisation abusive des serveurs par un administrateur ou leur exploitation pour des attaques vers extérieur", commente Marc Blet.
"Effectuer préalablement le paramétrage en mode simulation de protection"
(JP. Ballerini - ISS)
|
6. Intégrer un IPS avec la détection de vulnérabilités et un agrégateur d'événements
Un système de corrélation des attaques et des vulnérabilités permettra à l'IPS de percevoir l'attaque et de juger de son importance en se basant sur la vulnérabilité ou non de la victime. Recouper les informations contribue à réduire les faux positifs, mais aussi les faux négatifs.
Pour l'expert d'ISS, "l'IPS seul va réagir à chaque événement et non effectuer une corrélation sur plusieurs heures, car aucun IPS ne bénéficie localement d'une intelligence. C'est au niveau d'une plate-forme de gestion que l'agrégation va se faire. Elle permettra de mettre en évidence une séquence d'événements sur plusieurs heures et de constater une possible attaque".
7. Prévoir un temps de paramétrage compris entre 2 semaines et 1 mois
Certaines activités ne se déclenchent en effet que de manière périodique. Il faut donc laisser à l'IPS le temps d'en prendre compte pour qu'il puisse le considérer comme relevant d'un trafic normal.
Jean-Paul Ballerini recommande en outre "d'effectuer préalablement le paramétrage en mode simulation de protection. L'IPS sera ainsi mis en ligne sur le réseau, mais au lieu de bloquer immédiatement le trafic, ce qui ne manque pas de faire des mécontents, il fournira des indications indispensables à l'affinement de son paramétrage. Cela permet de peaufiner au fil de l'eau la configuration de l'IPS sans avoir d'impact sur l'infrastructure."
8. Distribuer le paramétrage sur différentes sondes
Dans le cas ou plusieurs sondes sont installées, il est également possible d'effectuer un premier paramétrage sur l'une des sondes, puis ensuite de le redistribuer aux autres.
Toutefois chaque réseau comportant des spécificités, l'efficacité de cette solution n'est pas garantie. Il conviendra de toute façon de dédier du temps pour contrôler les paramètres de chaque segment du réseau.
|
|
|
|
|
|
|
Dossiers