IDS et IPS au service
de la détection d'intrusion Par JDNet Solutions (Benchmark Group) URL : http://www.journaldunet.com/solutions/0312/031205_ids_ips.shtml Lancer l'impression Vendredi 5 décembre 2003
Les IDS (Intrusion Detection System) font partie de l'architecture sécurité d'un réseau, en ce sens qu'ils permettent de repérer les tentatives d'intrusion, qu'elles soient réussies ou qu'elles aient échoué. Ils sont positionnés à côté du réseau proprement dit (on parle alors de Network IDS) et/ou sur chacun des composants (serveur) de ce réseau (le terme de Host IDS s'applique dans ce cas). Quand il s'agit de Network IDS, l'IDS est placé à côté du réseau (hors ligne) et son rôle est de "renifler" (sniffing) le trafic sur le réseau puis de fournir alertes et comptes-rendus sur ce qui a été analysé comme tentative ou réussite d'intrusion. Dans le second cas (Host IDS), l'analyse se porte sur les journaux du système et des applications mais aussi sur les logs d'accès aux fichiers. > Comment fonctionne la détection des intrusions ? De la même manière qu'un système anti-spam ou anti-virus, l'IDS se réfère à une base de connaissances qui répertorie un certain nombre de signatures d'attaques déjà connues. Mais un des principaux reproches qui est fait aux IDS est leur passivité. En effet, l'IDS alerte l'administrateur réseau qui décide, en théorie, de ce qui doit être fait pour parer l'attaque. Mais deux éléments viennent minorer ce fonctionnement : tout d'abord l'importante somme de données à analyser par l'IDS - qui ralentit considérablement la réactivité nécessaire en cas d'intrusion -, et les faux positifs, alertes qui ne correspondent pas à une véritable attaque mais à une erreur de jugement l'IDS. La surveillance se fait également par détection d'anomalie, le système réagissant à des variations anormales de CPU (processeur), de la bande passante, du nombre de connexions TCP, etc. > Comment, dès lors, pallier ces faiblesses : la panacée IPS ? Au lieu de positionner le système de détection "hors ligne", l'idée est venue aux éditeurs de ce genre de solutions de créer des dispositifs "en ligne". Cette différence notoire leur permet non plus de rendre compte après coup (constat des dégats) mais de réagir en temps réel en limitant ou stoppant le trafic douteux par diverses techniques. Le point sensible de ce genre de dispositif de prévention est qu'en cas de faux positif, c'est le trafic - en temps réel - du système qui est directement affecté. La marge d'erreur se doit donc d'être la plus réduite possible. Certains analystes pensent que le passage de l'IDS à l'IPS n'est qu'un tour de passe-passe pour redynamiser le marché. > Quels acteurs sont présents ?
[Fabrice Deblock, JDNet] Pour tout problème de consultation, écrivez au Webmaster Copyrights et reproductions . Données personnelles Copyright 2006 Benchmark Group - 69-71 avenue Pierre Grenier 92517 Boulogne Billancourt Cedex, FRANCE |
|