Détection d'intrusions
Repérez des activités anormales ou suspectes sur un réseau ou un hôte en vous dotant d'un système de détection d'intrusion (ou IDS : Intrusion Detection System).
Vocabulaires et terminologies
IDS : Intrusion Detection System
NID : Network Intrusion Detection System
HIDS : Host Intrusion Detection System
False positive : Signifie qu’un système IDS détecte une intrusion là où aucune intrusion réelle n’a été perpétrée
False negative : A l’inverse de « false positive », « false negative » signifie que le système IDS n’a pas détecté une intrusion ayant réussi.
Critères pour le choix d’un IDS
Les critères à prendre en compte sont :
- une base de connaissance des attaques la plus complète possible et mise à jour fréquemment
- la capacité à tout détecter (en limitant les fausses alarmes)
- une capture exhaustive du trafic réseau lorsque le débit augmente (plus de 100 Mb/s )
- une configuration rapide
- une administration facile
- une bonne ergonomie
- la possibilité d’exécuter une contre-mesure
- la possibilité de générer des rapports simples ou exhaustifs, sous divers formats
- un flux d’information chiffré et authentifié, entre la console et les agents
- la stratégie à long terme du constructeur
- le prix du produit
- la possibilité de corréler les alertes depuis un hyperviseur
Positionnement
- Sur les segments réseaux stratégiques
- Périmètre :
- DMZ
- Devant / Derrière le FireWall
- Derrière un serveur d’accès distant
- Interne :
- Le plus proche des serveurs d’informations critiques
Utilité d’un système IDS
Un IDS n’est efficace que :- S’il est constamment à jour : le fonctionnement de l’IDS repose sur une base de signatures qui doit être enrichi constamment pour prendre en compte les nouvelles attaques.
- S’il est correctement configuré pour son environnement : un IDS mal configuré génère un nombre important d’alertes non pertinents et inexploitable.
- Si les alertes qu’ils génèrent sont traitées et analysées en permanence.
- Si les informations sur ces alertes et leur traitement sont facilement accessibles aux exploitants. 5. S’il contribue à l’application rigoureuse de procédures de réponse.
Logiciel du domaine public
Snort est le système de détection des intrusions open source le plus répandu. Avec plus de 100 000 installations recensées dans le monde, il est devenu l'une des principales applications de sécurité. Snort dispose de fonctionnalités similaires voire meilleures que celles proposées par des systèmes de détection chers et adhère au modèle open source de distribution publique gratuite. Il a ainsi été rapidement accepté dans le monde de l'entreprise comme dans celui de l'environnement domestique.
Logiciels commerciaux
IBM Internet Security Systems
Gamme RealSecure:- NetWork Sensor: sonde NIDS
- Giga Network Sensor: sonde gigabit NIDS
- Server Sensor: agent NDIS et HIDS pour serveur
- Desktop Protector (ex BlackICE): FireWall personnel, NIDS, contrôle des applications et contrôle d'intégrité de données pour poste de travail
- Guard: sonde IDS installée en coupure sur le réseau
Enterasys
- Dragon Server: sonde NIDS
- Dragon Squire: agent HIDS et NIDS
Cisco Systems
- Cisco Secure IDS (ex NetRanger) : sonde NIDS
- NetSolar : agent HIDS et NIDS
Liens intéressants
Symantec
Ce site présente en temps réel, sous forme d'une cartographie du monde, les attaques les plus fréquentes en cours sur le réseau internet. Les résultats proviennent des remontés d'alertes de plus de 3000 firewalls et sondes de détection d'intrusion localisés sur 6 continents.
RFC
Aujourd’hui, il n’y a pas de norme concernant les solutions de détection d'intrusion. Cependant Un consortium de 60 entreprises, dont ISS, Check Point, Network ICE, etc. , s`est réuni autour du groupe de travail RFC2267 (stade information) DDoS pour lutter contre les attaques de dénis de service.
Livres détection intrusions
Détection d'intrusion de réseau
En dépit des efforts des experts en sécurité, les réseaux sont sujets à un nombre croissant d'attaques de plus en plus sophistiquées. Cet ouvrage vous apprendra à les détecter et à les contrer, en faisant de vous un analyste en détection d'intrusion. Les auteurs, experts réputés en sécurité réseau, communiquent leur expérience dans cet ouvrage. Ils présentent en détail les techniques d'analyse de trafic, les signatures d'attaque, l'utilisation d'outils d'analyse, le paramétrage de la sécurité d'un système, la gestion manuelle ou automatique des intrusions, la mise en œuvre d'un projet de sécurité d'entreprise, etc. Cette nouvelle édition aide notamment à : comprendre TCP dans un contexte réel ; analyser un trafic réseau ; obtenir des informations sur une attaque à partir de champs IP ou de protocoles de plus haut niveau ; reconnaître signatures d'intrusion, dénis de service, motifs d'attaque courants, et à se préparer à gérer des motifs inconnus ; utiliser TCPdump et Snort pour distinguer trafics normaux et anormaux ; paramétrer un système pour assurer sa sécurité ; apprendre à utiliser des réponses manuelles et automatiques aux intrusions ; intégrer un modèle de détection d'intrusion dans le système d'information d'une entreprise.
Les systèmes de détection des intrusions informatiques
Cet ouvrage a pour objectif de vous fournir tous les éléments techniques, organisationnels et juridiques vous permettant de comprendre comment utiliser et exploiter un IDS de manière optimale. Ce livre peut être lu par toute personne disposant de connaissances minimales dans le domaine des réseaux IP et des différents protocoles utilisés pour échanger des informations entre systèmes : administrateur système ou réseaux, directeur informatique, RSSI, étudiant... Il peut également constituer une base de réflexion pour les experts en sécurité qui ont la charge de valider ou exploiter des solutions de gestion des intrusions.
SNORT 2
Le premier livre en français sur les systèmes open source le plus utilisé pour détecter les intrusions réseaux.