|
Faq détection d'intrusions(IDS)
|
|
 |
Détection d'intrusion |
| La plupart des entreprises continue à mettre en place
des firewalls comme moyen de protection principal afin d'empêcher les
utilisateurs non autorisés d'accéder à leurs réseaux. Toutefois, la sécurité
réseau s'apparente beaucoup à la sécurité "physique", dans la mesure où une
seule technologie ne peut répondre à tous les besoins, mais qu'une défense à
plusieurs niveaux donne les meilleurs résultats. Les entreprises se tournent de
plus de plus vers des technologies de sécurité supplémentaires, pour se
protéger des risques et vulnérabilités auxquels les firewalls ne peuvent faire
face. Les solutions IDS (Intrusion Detection System) pour réseaux garantissent
une surveillance du réseau permanente. Ces systèmes analysent le flux de
paquets de données du réseau, à la recherche de toute activité non autorisée,
telle que les attaques menées par les pirates informatiques (hackers),
permettant de ce fait d'y remédier rapidement.
|
|
Q. IDS OU IPS ? |
|
R. On appelle IDS (Intrusion Detection System) un mécanisme
écoutant le trafic réseau de manière furtive afin de repérer des activités
anormales ou suspectes et permettant ainsi d'avoir une action de prévention sur
les risques d'intrusion. Il existe deux grandes familles distinctes
d’IDS :
-
Les N-IDS (Network Based Intrusion Detection System), ils assurent la sécurité
au niveau du réseau.
-
Les H-IDS (Host Based Intrusion Detection System), ils assurent la sécurité au
niveau des hôtes.
Les éditeurs et la presse spécialisée parlent de plus en plus d’IPS (Intrusion
Prevention System) en remplacement des IDS « traditionnels » ou pour
s’en distinguer. L’IPS est un Système de Prévention/Protection contre les
intrusions et non plus seulement de reconnaissance et de signalisation des
intrusions comme la plupart des IDS le sont. La principale différence entre un
IDS (réseau) et un IPS (réseau) tient principalement en
2 caractéristiques :
-
le positionnement en coupure sur le réseau de l’IPS et non plus seulement en
écoute sur le réseau pour l’IDS (traditionnellement positionné comme un sniffer
sur le réseau).
-
la possibilité de bloquer immédiatement les intrusions et ce quel que
soit le type de protocole de transport utilisé et sans reconfiguration d’un
équipement tierce, ce qui induit que l’IPS est constitué en natif d’une
technique de filtrage de paquets et de moyens de bloquages (drop connection,
drop offending packets, block intruder, …).
|
|
Q. Est-ce qu’il ya des attaques qui ne sont pas détéctables par un
firewall. |
|
R. De part sa conception un firewall ne peut détecter certaines
attaques telles que :
- les attaques de reconnaissances (scans)
- les chevaux de Troie.
- les attaque sur la couches application.
|
|
Q. Qu’est ce qu’une attaque sur la couche application |
|
R.Les attaques sur la couche application peuvent être réalisées
de différentes manières. L'une des plus courantes consiste à exploiter des
faiblesses bien connues des logiciels que l'on trouve couramment sur les
serveurs : sendmail, Hypertext Transfer Protocol (HTTP) et FTP, par exemple. En
tirant parti de ces faiblesses, le pirate peut accéder à l'ordinateur avec les
permissions du compte qui exécute l'application, lequel est généralement un
compte avec privilèges au niveau système. Ces attaques sur la couche
application sont souvent fortement médiatisées dans le souci d'amener les
administrateurs à rectifier le problème grâce à un patch.
Malheureusement, de nombreux pirates sont également abonnés aux mêmes listes de
diffusion, ce qui leur permet de se tenir au courant de l'attaque en même temps
(s'ils ne l'ont pas déjà découverte). Le problème principal des attaques sur la
couche application est qu'elles utilisent souvent des ports qui ont
l'autorisation de traverser le pare-feu. Un pirate qui se sert, par exemple,
d'une faiblesse connue contre un serveur Web fera souvent transiter son attaque
par le port 80 TCP. Comme le serveur Web sert des pages aux utilisateurs, un
pare-feu doit autoriser l'accès sur ce port.
Pour le pare-feu, le trafic pirate est indiscernable du trafic normal du port
80.
|
|
Q. Comment peut on éviter les attaques sur la couche application:
|
|
R.Les attaques sur la couche application ne peuvent jamais être
complètement supprimées, car de nouvelles faiblesses sont régulièrement
découvertes et diffusées auprès de la communauté Internet. La meilleure manière
de réduire le risque est d'administrer sainement le système. Voici
quelques-unes des mesures que vous pouvez prendre :
• Lisez les fichiers journaux du réseau ou du système d'exploitation ou
faites-les analyser par des applications spécialisées
• Abonnez-vous aux listes de publipostage qui diffusent les vulnérabilités.
• Maintenez votre système d'exploitation et vos applications à jour avec
les patches les plusrécents
En plus de l'administration rigoureuse de vos systèmes, l'utilisation de
systèmes de détection des intrusions (IDS) peut vous aider à lutter contre le
problème. Il existe deux technologies IDS complémentaires :
• Le IDS de réseau (N-IDS) qui observe tous les paquets qui traversent un
domaine de collision particulier. Lorsque le N-IDS voit un paquet ou une série
de paquets qui correspondent à une attaque connue ou potentielle, il peut
déclencher une alarme ou mettre fin à la session.
• Le IDS hôte (H-IDS) qui fonctionne en insérant des agents dans la station à
protéger. Il ne s'occupe alors que des attaques lancées contre cet hôte.
|
|
Q. Où les sondes IPS/IDS doivent-elles être installées ? |
| R. Les sondes sont généralement installées au
niveau des connexions Internet, extranet, serveur d'accès distant et dans les
centres vitaux de traitement de l'information des entreprises. Il est conseillé
d'installer les sondes au niveau de tous les équipements réseau nécessitant une
protection. |
|
Q. Quel est le critère de choix pour le déploiement d’un IPS ou un IDS. |
| R.Installer un IDS dans les endroits ou vous ne
pouvez positionner une sonde en coupure (InLine) ou lorsque vous ne pouvez
effectuer des actions de rejets de paquets. Installer un IPS dans tous les
endroits où vous avez le besoin et la permission effectuer des actions
d’interdiction
|
|
Q. A quelle fréquence les signatures d'attaques doivent-elles être mises à
jour ? |
| R. Les signatures des IDS sont mises à jour deux
fois par mois (exple des sondes Cisco) , ou dans un délai plus court si des
événements relatifs à la sécurité l'exigent. |
|
Q. Comment utiliser IDS dans un environnement commuté ? |
| R. Certain switches sont dotés d'une sonde
matérielle s'insérant facilement dans le châssis (exple du Cisco Catalyst
6000/6500) et donc, La carte de détection d'intrusion pour IDS traite le trafic
directement à partir du fond de panier du commutateur. Pour les autres modèles
de commutateurs, les sondes peuvent être connectées à un analyseur de ports
commutés (SPAN) ou à un port miroir. |
|
Qu’est ce qu’une vulnérabilité et Qu’est ce q’un exploit. |
|
R. Une Vulnérabilité est une faiblesse qui peut compromettre
soit la sécurité ou le fonctionnement d’un système. Exple : Mot de passe
faible, Communication non sécurisée ,Configuration impropre...
Un exploit est le mécanisme utilisé pour influencer une vulnérabilité
Exple : ,outil pour deviner les mots de passe ,Scripts shell ,Code
exécutable ...
|
|
|
|
|