B- Les IPS
Faute de pouvoir maîtriser correctement les fausses
alertes, la plupart des systèmes actuels d'IDS sont voués
à disparaître ou à évoluer grandement. L'apparition
sur le marché de la sécurité informatique des
systèmes IPS est très récente et résulte de la
nécessité d'améliorer, encore et toujours, les solutions
existantes ayant prouvées leurs limites. Les IPS n'existent pas vraiment
en tant que technologies bien définies mais plutôt en tant que
concepts que tentent de mettre en oeuvre les différents acteurs du
marché à travers de multiples technologies et solutions de
sécurité.
1- Qu'est qu'un système de prévention
d'intrusion ?
Un système de prévention d'intrusion (ou IPS,
Intrusion Prevention System) est un outil des spécialistes en
sécurité des systèmes d'information, similaire aux IDS,
permettant de prendre des mesures afin de diminuer les impacts d'une
attaque.
2- Principe de fonctionnement
De l'avis des analystes, le concept d'IPS (systèmes de
prévention des intrusions) vise à anticiper les attaques de
pirates informatiques dès lors que leur empreinte est connue. Il ne
s'agit plus seulement de réagir à une attaque en cours, mais
d'empêcher que celle-ci puisse seulement débuter. Un
système IPS est placé en ligne et examine en théorie tous
les paquets entrants ou sortants. Il réalise un ensemble d'analyses de
détection, non seulement sur chaque paquet individuel, mais
également sur les conversations et motifs du réseau, en
visualisant chaque transaction dans le contexte de celles qui
précèdent ou qui suivent. Si le système IPS
considère le paquet inoffensif, il le transmet sous forme d'un
élément traditionnel de couches 2 ou 3 du réseau. Les
utilisateurs finaux ne doivent en ressentir aucun effet. Cependant, lorsque le
système IPS détecte un trafic douteux il doit pouvoir activer un
mécanisme de réponse adéquat en un temps record. L'IPS
doit aussi, offrir un moyen de diminuer considérablement l'utilisation
des ressources humaines nécessaires au bon fonctionnement des IDS. Cela
doit aboutir, notamment, à une automatisation des fonctions d'analyse
des logs, même si ce point demeure encore une tâche difficile. La
prise de décision doit ainsi pouvoir être automatisée non
seulement grâce à la reconnaissance de signatures mais aussi, et
de plus en plus, grâce à l'utilisation d'analyses heuristiques
provenant du monde des antivirus. Deux voies principales sont actuellement
explorées par les promoteurs d'IPS. La première est l'approche
des constructeurs d'IDS dont les produits n'ont que faiblement convaincu le
marché français alors qu'ils sont utilisés dans plus d'une
entreprise sur deux aux Etats-Unis. Comme pour les IDS, les IPS peuvent
être orientés Host ou Réseaux. La seconde approche touche
les fournisseurs de pare-feu qui commencent à intégrer des
systèmes IPS au sein de leurs matériels qui savent fonctionner
"en ligne". Cela passe par exemple par l'intégration de signatures et
d'un contrôle des protocoles HTTP, FTP et SMTP, mais aussi pour certains
constructeurs de la mise en Asic (Application specific integrated circuit) de
leurs IPS afin de s'intégrer facilement à leurs
matériels.
3- Les types d'IPS
? Les HIPS (Host-based Intrusion Prevention System) qui sont des
IPS permettant de surveiller le poste de travail à travers
différentes techniques, ils surveillent les processus, les drivers, les
.dll etc. En cas de
Réalisé et présenté par
Yanice CHACHA
20
Mise en place d'un système de détection
d'intrusion avec SNORT
détection de processus suspect le HIPS peut le tuer pour
mettre fin à ses agissements. Les HIPS peuvent donc protéger des
attaques de buffer overflow.
? Les NIPS (Network Intrusion Prevention System) sont des IPS
permettant de surveiller le trafic réseau, ils peuvent prendre des
mesures telles que terminer une session TCP. Une déclinaison en WIPS
(Wireless
Intrusion Prevention System) est parfois utilisée pour
évoquer la protection des réseaux sans-fil.
? Il existe aussi les KIPS (Kernel Intrusion Prevention
System) qui permettent de détecter toutes tentatives d'intrusion au
niveau du noyau, mais ils sont moins utilisés.
4- Rôles et Inconvénients
Les IPS sont en quelques sortes des IDS actifs. Ils
détectent un balayage automatisé. L'IPS peut bloquer les ports
automatiquement. Les IPS peuvent donc parer les attaques connues et inconnues.
Comme les IDS, ils ne sont pas fiables à 100 % et risquent même en
cas de faux positif de bloquer du trafic légitime. Les IPS ne sont pas
des logiciels miracles qui nous permettront de surfer en toute quiétude
sur le net. Voici quelques-uns de leurs inconvénients :
? Ils bloquent tout ce qui parait infectieux à leurs
yeux, mais n'étant pas fiable à 100 % ils peuvent donc bloquer
malencontreusement des applications ou des trafics légitimes.
? Ils laissent parfois passer certaines attaques sans les
repérer, et permettent donc aux pirates d'attaquer un PC.
? Ils sont peu discrets et peuvent être
découverts lors de l'attaque d'un pirate qui une fois qu'il aura
découvert l'IPS s'empressera de trouver une faille dans ce dernier pour
le détourner et arriver à son but.
C- Différences entre IDS et IPS
Les IPS sont souvent considérés comme des IDS
de deuxième génération. Bien qu'il s'agisse d'un abus de
langage, cette expression traduit bien le fait que les IPS remplacent petit
à petit les IDS. Il est pour autant prématuré de dire que
les IDS sont morts, comme l'avait prétendu Gartner Group il y a 2 ans.
En fait, les IPS ont avant tout été conçus pour lever les
limitations des IDS en matière de réponse à des attaques.
Alors qu'un IDS n'a aucun moyen efficace de bloquer une intrusion, un IPS
pourra, de par son positionnement en coupure, bloquer une intrusion en temps
réel (voir NIPS).
En effet, le positionnement en coupure, tel un firewall ou un
proxy, est le seul mode permettant d'analyser à la volée les
données entrantes ou sortantes et de détruire dynamiquement les
paquets intrusifs avant qu'ils n'atteignent leur destination.
Une autre limite à laquelle devaient faire face les IDS
il y a quelques années était due à leur incapacité
à gérer les hauts débits du fait d'une architecture
logicielle. Plusieurs constructeurs ont intégré des circuits
spécifiques (ASICs) dans leurs sondes IPS, si bien que le débit
devient de moins en moins une problématique.
D- Choix de snort
Il existe plusieurs logiciels de détection d'intrusion
mais mon choix c'est porté sur snort. SNORT est un IDS open source
disponible sur les plateformes Windows, linux et mac et offre une mise en
oeuvre basique rapide. De nouveaux plugins et règles sont
régulièrement proposés. Les documentions pour comprendre
et implémenter snort sont nombreux et les fichiers d'alertes utilisables
pour sa configuration sont très complets (entêtes des paquets,
lien vers la description de l'attaque...). Parmi les autres solutions on peut
citer Bro, Pleludes-IDS, Check point, AIDE, etc... qui sont soit des logiciels
libres ou payants mais n'offrent forcément pas les mêmes
possibilités que SNORT.
Réalisé et présenté par
Yanice CHACHA
21
Mise en place d'un système de détection
d'intrusion avec SNORT
| 
