Les deux rejetons de la brigade
'détection d'intrusion' Par le JDNet Solutions (Benchmark Group) URL : http://www.journaldunet.com/solutions/0207/020712_sonde_intrusion_2.shtml Vendredi 12 juillet 2002
|
||
Imaginons qu'une requête malintentionnée ait passé le barrage du firewall : il faut donc l'arrêter. La méthode la plus classique consiste à faire appel à un Network IDS - une solution de détection d'intrusion largement éprouvée. Son rôle sera d'immobiliser chaque requête, de l'analyser et de lui laisser continuer son chemin seulement si elle ne correspond pas au portrait-robot d'une attaque référencée. Avant d'opter pour un tel système, il faut connaître les points clés de cette solution. Le Network IDS :
la solution traditionnelle Autre point crucial : le choix de l'emplacement du Network IDS. "Une sonde placée à un mauvais endroit peut être inefficace", soutient Philippe Solini, Network Design Consultant chez Unisys. Il est d'ailleurs courant que l'on ne puisse pas se contenter d'un seul système de filtrage : plus un réseau est complexe, plus il présente de vulnérabilités. Il en devient logiquement plus difficile à protéger. Mais chaque network IDS rajouté coûte cher : ces machines sont particulièrement gourmandes en ressources. "Les débits analysés sont très lourds, il est donc nécessaire de dédier au Network IDS des machines très puissantes, ou des appliances (boites noires) spécialisés pour parvenir à les soutenir", explique Philippe Solini. Améliorations sensibles
Quant à la pertinence des systèmes de détection d'intrusion, "les choses ont là aussi bien changé", indique Pascal Delprat. Un Network IDS ne signale plus toutes les chaînes de caractères dangereuses, mais seulement celles qui se trouvent dans la position d'être exploitées. Si un expert sécurité envoie un mail à un collègue contenant - pour information - le code d'une attaque , le Network IDS ne déclenchera pas d'alerte. Par contre, si ce code est contenu dans une requête dont le but est de saturer le mémoire tampon d'un serveur, le Network IDS le signalera tout de suite. Toutefois, si l'on en croit Philippe Solini (Unisys), des progrès restent à faire : "La détection d'intrusion est encore en pleine phase de maturation. Il y a encore bien des progrès à faire". Le Host IDS : la
solution qui monte La technologie Host IDS excelle dans la détection des anomalies connues et inconnues : si une attaque parvient à se faufiler à travers les mailles du filet, la sonde va la repérer : "Le Host IDS réalise une photographie du système à un moment donné. Il définit tout ce qui est légitime. Tout ce qui sort du cadre et des habitudes du système est considéré comme une attaque. Une modification de la base de registres sera donc bloquée et fera l'objet d'une alerte", explique Pascal Delprat (Cisco). Un travail complémentaire à celui du Network IDS. Difficile à administrer
Ensemble, les deux gendarmes font accéder
un réseau d'entreprise à un niveau de protection optimal.
A condition d'être chapeautés par un brigadier-chef :
ils ne savent pas travailler correctement sans être encadrés.
Le problème de l'administration des IDS au quotidien représente
en effet le point le plus délicat et le plus crucial pour un système
de détection d'intrusion. Si on le néglige, il est préférable
de garder son budget pour l'investir ailleurs. |