|
Détection & tolérance
d'intrusion
I D S (Intrusion
Detection System)
De nos jours, les systèmes
informatiques sont de plus en plus ouverts
sur Internet. Proportionnellement, les attaques
se font donc plus nombreuses sur des cibles
pas toujours bien protégées. Adopter une
politique de sécurité correcte autour de
tous les systèmes sensibles est donc essentielle.
En complément des pare-feux,
des systèmes d'authentification plus classiques,
on peut affiner la politique de sécurité
avec des outils d'audit et de détection
d'intrusions.
Communément, ces outils sont appelés IDS
ou Intrusion
Detection
System.
Ils permettent donc de détecter une intrusion
sur un système mais aussi de vérifier que
certains privilèges d'utilisateurs locaux
sont respectés et que l'on ne tente pas
d'obtenir les privilèges d'un compte administrateur.
Principes d'analyse
Actuellement, la détection d'intrusion s'appuie
sur deux méthodes : l'approche comportementale
et l'approche par scénario.
Ces deux méthodes reposent sur l'observation
d'événements et leur analyse. La première
de ces méthodes s'appuie sur le fait qu'un
utilisateur a un comportement "classique"
et que tout écart à celui-ci peut être l'origine
d'une attaque.
La seconde méthode se base sur une reconnaissance
des techniques de piratage en comparaison
avec des informations stockées dans une
base de données.
Approche comportementale
Dans un premier temps, il faut définir le
profil type de l'utilisateur, c'est à dire
ce qui qualifie son comportement de normal.
Ce profil peut se baser sur des règles apprises
par le système de détection d'intrusion
et/ou sur des règles que l'administrateur
choisira lui-même d'appliquer (par exemple,
tel employé n'accède en général pas à telle
ressource).
L'avantage de cette technique est qu'il
est possible "théoriquement" de détecter
des attaques qui ne sont pas connues.
En effet, même si l'on a bâti un profil
au moment où l'attaque n'existait pas encore,
la déviation par rapport au profil original
sera détectée et l'alerte sera donnée.
Approche par scénario
Il s'agit dans cette approche, de détecter
des signes indiquant une attaque connue.
Comme dit précédemment, il s'agit
donc de construire une base de données qui
contient les caractéristiques des attaques
(on parle de signatures). Le système
de détection d'intrusion confronte alors
le comportement qu'il observe aux éléments
stockés dans la base et émet une alerte
en cas de danger. Ce type d'approche nécessite
évidemment une mise à jour régulière de
sorte que les nouvelles signatures soient
enregistrées le plus rapidement possible
dans la base dès qu'une nouvelle attaque
est connue.
Conclusion
Les outils de détection d'intrusion
s'avèrent indispensables en complément
d'outils de sécurité plus
conventionnels.
Ils permettent en effet de détecter
des comportements qui peuvent mettre en
cause la confidentialité, l'intégrité
ou la disponibilité d'un système.
|
Voir aussi 
Liens
utiles
LA
solution
Audit
& tests
