II. Cadre conceptuel
22
YABOUI Frèse
Inspection du trafic pour la détection et la
prévention d'intrusions
De nos jours, les systèmes d'informations des
entreprises subissent des différents attaques qui peuvent entrainer des
pertes conséquentes, vue leurs évolution sur les plans
d'échange d'informations d'une part et l'ouverture sur le monde
extérieur d'autre part. Alors les systèmes de détection et
prévention d'intrusion sont largement répandus pour la
sécurité de ces systèmes informatiques puisqu' ils
permettent à la fois de détecter et de répondre à
une attaque en temps réel ou en hors-ligne.
En effet, dans cette partie nous allons d'abord
présenter la notion de système de détection d'intrusions
puis de système de prévention d'intrusions, ensuite nous allons
faire une étude sur quelques solutions disponibles sur le marché
et enfin une présentation de la solution choisie.
2.3. Système de détection et de
prévention d'intrusions
La meilleure façon de protéger un réseau
ou un système informatique est de détecter les attaques et de se
défendre avant même qu'elles ne puissent causer des dommages.
Ainsi beaucoup font appel à cet effet aux systèmes de
détection d'intrusion (IDS : intrusion detection system) ou aux
systèmes de prévention d'intrusion (IPS : intrusion prevention
system) les plus polyvalents.
Dans ce chapitre nous présentons tout d'abord la
notion de système de détection
d'intrusions ainsi que son architecture et ses limites. Nous
présentons également la notion de système de
prévention d'intrusions ainsi que ses types de réponses aux
attaques et ses limites.
2.3.1. Système de détection d'intrusions
(LDS)
En 1980, James Anderson introduit un nouveau concept de
système de détection d'intrusion qui ne connaîtrait un
réel départ du domaine qu'en 1987 avec la publication d'un
modèle de détection d'intrusion. Par la suite, la recherche s'est
développée et la détection d'intrusion est devenue une
industrie mature et une technologie éprouvée, pratiquement tous
les problèmes simples ont été résolus et aucune
grande avancée n'a été effectuée dans ce domaine
ces dernières années et les éditeurs de logiciels se
concentrent plus sur la perfection des techniques de détection
existantes.
2.3.1.1. Définition
23
YABOUI Frèse
Inspection du trafic pour la détection et la
prévention d'intrusions
La détection des intrusions est le processus de
surveillance des événements qui se trouvent dans un
système des ordinateurs ou du réseau et les analysant pour
détecter les signes des intrusions, défini comme des tentatives
pour compromettre la confidentialité, l'intégrité, la
disponibilité ou éviter des mécanismes de
sécurité de l'ordinateur ou du réseau. L'intrusion est
causée par les attaques accédant au système via Internet,
autorisée l'utilisateur du système qui essaye de gagner les
privilèges supplémentaires pour lesquels ils n'ont pas
été autorisés, et autorisé les utilisateurs qui
abusent les privilèges donnés. Le système de
détection des intrusions est un logiciel ou un matériel qui
automatise des surveillances et les processus analysés.
Les IDS protègent un système contre les
attaques, les mauvaises utilisations et les compromis. Ils peuvent
également surveiller l'activité du réseau, analyser les
configurations du système et du réseau contre toute
vulnérabilité, analyser l'intégrité de
données et bien plus.
Selon les méthodes de détection que vous
choisissez de déployer, il existe plusieurs avantages directs et
secondaires au fait d'utiliser un IDS.
Un IDS a quatre fonctions principales : l'analyse, la
journalisation, la gestion et
l'action.
? Analyse: analyse des journaux du
système pour identifier des intentions dans la masse de données
recueillie par l'IDS. Il y a deux méthodes d'analyses : L'une
basée sur les signatures d'attaques, et l'autre sur la détection
d'anomalies.
? Journalisation: enregistrement des
évènements dans un fichier de log.
? Exemples d'évènements : arriver d'un paquet,
tentative de connexion.
? Gestion: les IDS doivent être
administrés de manière permanente. On peut assimiler un IDS
à une caméra de sécurité.
? Action: alerter l'administrateur quand une
attaque dangereuse est détectée.
|