Introduction
Les systèmes d'information sont
aujourd'hui de plus en plus ouverts sur Internet. Cette ouverture, a priori
bénéfique, pose néanmoins un problème majeur : il en découle un nombre
croissant d'attaques. La mise en place d’une politique de sécurité autour de
ces systèmes est
donc
primordiale.
L’enjeu de la sécurité est devenu plus
puissant à cause des pirates et hackers qui scrutent les réseaux privés afin de
détecter une petite faille qui pourrait engendrer de graves conséquences. Mais, malgré les progrès
réalisés en ce domaine, celui de la sécurité informatique, on arrive juste à
réduire les intrusions et non pas les éliminer.
Définition de l'IDS:
Un système de détection d'intrusion (ou
IDS : Intrusion Detection System) est un ensemble
de composants logiciels et matériels dont la fonction principale est de
détecter et analyser toute tentative d’effraction (volontaire ou non) du réseau
sur lequel il est placé. C'est un outil complémentaire aux firewalls, scanneurs
de failles et anti virus.
Les IDS systèmes (Host IDS) analysent le
fonctionnement et l'état des machines sur lesquels ils sont installés afin de
détecter les attaques en se basant sur des démons (tels que syslogd par
exemple). L'intégrité des systèmes est alors vérifiée périodiquement et des
alertes peuvent êtres levées.
Les IDS
réseaux (Network IDS) analysent en temps réel le trafic qu'ils aspirent à
l'aide d'une sonde (carte réseau en mode "promiscuous").
Ensuite, les paquets sont décortiqués puis analysés. En cas, de détection
d'intrusion, des alertes peuvent être envoyées.
Pourquoi a t-on besoin de l'IDS?
ü le
virus "Chernobyl" (CIH)
a causé enormément de dégats en
attaquant directement les BIOS et disques durs des machines. Pour la seule
année 1999, ces dégats
s'estimaient à 250 000 dollars, uniquement pour la Corée du Sud.
ü
Dernièrement, le virus Sasser à également prouvé sa virulance en
infectant Les machines Microsoft avec une rapidité déconcertante.
Lorsque on
observe les chiffres, il est clair que la prudence s'impose pour se protéger afin de minimiser les dégats. c’est pour cela qu’on aura besoin des IDS Pour :
- Avoir
une mise à jour quotidienne de la
circulation du flux.
- Permettre
à un administrateur réseau d’écouter différents endroits au niveau du réseau
Les différents types d'IDS:
Les IDS
disposent de deux approches différentes, afin de déceler les intrusions :
Les IDS à
signature : Généralement, les IDS réseaux se basent sur un ensemble de
signatures qui représentent chacune le profil d'une attaque. Cette approche
consiste à rechercher dans l'activité de l'élément surveillé (un flux réseau)
les empreintes d'attaques connues, à l'instar des anti virus.
Une
signature est habituellement définie comme une séquence d'événements et de
conditions relatant une tentative d'intrusion. La reconnaissance est alors
basée sur le concept de "pattern matching"
(analyse de chaînes de caractères présente dans le paquet, à la recherche de
correspondance au sein d'une base de connaissance). Si une attaque est
détectée, une alarme peut être remontée (si l'IDS est en mode actif, sinon, il
se contente d'archiver l'attaque).
Les IDS
comportementaux : Les IDS comporteaux ont pour
principale fonction la détection d'anomalie. Leur déploiement nécessite une
phase d'apprentissage pendant laquelle l'outil va apprendre le comportement
"normal" des fluxs applicatifs
présents sur son réseau.
Ainsi,
chaque flux et son comportement habituel doivent etre déclarés ;
l'IDS se chargera d'émettre une alarme, si un flux anormal est détecté, et ne
pourra bien entendu, spécifier la criticité de l'éventuelle attaque.
Mise en place d'un IDS:
Il existe
plusieurs endroits stratégiques où il convient de placer un IDS.
Le schéma
ci-dessus illustre un réseau local ainsi que les trois positions que peut y
prendre un IDS :
Position ( 1 ): Sur cette position, l'IDS va pouvoir
détecter l'ensemble des attaques frontales, provenant de l'extérieur, en amont
du firewall. Ainsi, beaucoup d'alertes seront remontées ce qui rendra
les logs difficilement consultables.
Position ( 2 ): Si l'IDS est placé sur la DMZ (Zone
démilitarisée), il détectera les attaques qui n'ont pas été filtrées par le
firewall et qui relèvent d'un certain niveau de compétence. Les logs seront ici
plus clairs à consulter puisque les attaques bénins ne seront pas recensées.
Position ( 3 ): L'IDS peut ici rendre compte des attaques
internes, provenant du réseau local de l'entreprise. Il peut être judicieux
d'en placer un à cet endroit étant donné le fait que 80% des attaques
proviennent de l'intérieur. De plus, si des trojans ont contaminé le parc
informatique (navigation peu méfiante sur internet) il pourront êtres ici
facilement identifiés pour être ensuite éradiqués.
Idéalement,
on placerait des IDS sur les trois positions puis on délèguerait la
consultation des logs à l'application "acid" (http://acidlab.sourceforge.net/) qui permet d'analyser les alertes et d'en
présenter clairement les résultats via une interface web complète. Si une seule
machine peut être déployée, autant la mettre sur la position 2, cruciale pour
le bons fonctionnement des services.
Qu'est ce que SNORT?
SNORT est un
open source du système de détection des intrusions de réseau.
Il a capable d’analyser le trafic sur le
réseau en temps réel et des paquets circulant sur le réseau IP.
Il peut
exécuter l'analyse de protocole, en cherchant et s’assortant le content
et peut être employé pour détecter une variété d'attaques, des tentatives comme
des débordements d'amortisseur, des balayages de port de dérobée, des attaques
de CGI, des sondes de SMB, des tentative d’empreinte de OS, et beaucoup plus.
SNORT a
trois utilisations primaire:
- Il peut être
employé en tant qu'un renifleur de paquet comme tcpdump
- un enregistreur de paquet (utile pour le trafic de réseau corrigeant).
- ou comme plein système soufflé de détection d'intrusion de réseau.
- un enregistreur de paquet (utile pour le trafic de réseau corrigeant).
- ou comme plein système soufflé de détection d'intrusion de réseau.