La face cachée des IDS : les
problèmes d'administration Par le JDNet Solutions (Benchmark Group) URL : http://www.journaldunet.com/solutions/0207/020712_sonde_intrusion_3.shtml Vendredi 12 juillet 2002
|
||
Avant d'opter pour un IDS - intrusion détection system -, il faut savoir qu'il sera délicat à administrer, quels que soient sa marque et son prix. Pour Philippe Solini, Network Design Consultant chez Unisys, "le niveau de maturité des systèmes de détection d'intrusion est loin d'être optimal". Leur principal défaut étant que les administrateurs sont facilement noyés sous une masse d'alertes pas forcément très pertinentes. Résulat : "Sur le terrain, on voit trop souvent des IDS qui ne sont plus administrés et qui sont tombés en désuétude". Une réalité plutôt difficile à assumer quand on sait que le ticket d'entrée se chiffre en dizaines de milliers d'euros, au bas mot. Ne pas éluder le
facteur humain Une fois le stade du rodage passé, un IDS peut être administré de deux façons : soit en mode 'prévention', soit en mode 'alerte'. Le mode prévention bloque les trames suspectes, tandis que le mode alerte se contente de les repérer et d'en informer l'administrateur. Chaque mode présente son risque : le mode prévention peut bloquer régulièrement des requêtes qui n'ont rien de malintentionné, et donc empêcher par exemple un client de faire son achat en ligne, ou encore bloquer le mail important d'un fournisseur. Il faut par conséquent être en permanence à l'affut pour débloquer les requêtes qui ne sont pas réelement menaçantes. Il faut aussi effectuer un véritable travail de fond pour configurer le système de façon optimale, afin qu'il fasse remonter le moins de fausses alertes possible. Tout faire pour limiter
le nombre d'alertes Heureusement, il existe une astuce qui permet
de rendre cette tâche plus supportable : "Il faut filtrer
les trames au maximum avant qu'elles ne parviennent aux IDS. Dans l'idéal,
Le système de détection doit être la dernière
couche
Reste une grande question : comment choisir les sondes, les serveurs, les appliances et les tableaux de bord dans la profusion des solutions qu'on trouve sur marché. Réponse dans une prochaine édition du Journal du Net. [Nicolas Six, JDNet] |