III.4. . Points forts et Points faibles
des IDS
Nous allons pour finir cette présentation des IDS,
résumer les points forts et les points faibles de ces
équipements.
III.4.1. Points
forts
III.4.1.1. Une
surveillance continue et détaillée :
Dans cette optique, nous nous intéressons aux flux
valides, mais aussi aux flux non valides qui transitent sur le réseau
dont nous avons la responsabilité.
Comment savoir si les règles d'un firewall sont valides ?
Comment savoir le nombre d'attaques subies au cours de la
dernière semaine ?
Comment différencier une surcharge normale du
réseau d'une attaque par DoS ?
Les IDS vont permettre de répondre à ces questions.
Ce sont des sondes en mode promiscuité. Ils peuvent donc analyser tout
le trafic (dans le même domaine de collision), et relever des attaques,
alors même qu'ils n'en sont pas la cible directe.
Bien sûr, nous évoquons ici le fonctionnement des
NIDS. Les HIDS vont au contraire établir une surveillance unique du
système sur lequel ils sont installés. De plus, toutes les
alertes sont stockées soit dans un fichier, soit dans une base de
données, ce qui permet de concevoir un historique, et d'établir
des liens entre différentes attaques.
Ainsi, le responsable sécurité n'a pas besoin de
surveiller le réseau en permanence pour être au courant de ce qui
se passe. Une attaque de nuit ne passera plus inaperçue. Tous les IDS
renvoient de nombreuses informations avec une alerte. Le type supposé
d'attaque, la source, la destination, ... Tout cela permet une bonne
compréhension d'un incident de sécurité, et en cas de
faux-positif, de le détecter rapidement.
Un autre point important dans la sécurité : nous
avons maintenant des outils de filtrage très intéressants qui
nous permettent de faire du contrôle par protocole
(ICMP, TCP, UDP), par adresse IP, jusqu'à du suivi de
connexion (couches 3 et 4).
Même si cela écarte la plupart des attaques, cela
est insuffisant pour se protéger des attaques passant par des flux
autorisés. C'est aussi assez marginal, car difficile à mettre en
place, l'ouverture de l'informatique au grand public et l'augmentation de ce
type de connaissances font qu'il faudra un jour savoir s'en protéger
efficacement.
III.4.1.2. La
modularité de l'architecture :
Il y a plusieurs solutions pour le positionnement de sondes
réseaux. Il peut être intéressant de positionner les sondes
pour étudier l'efficacité des protections mises en place.
Par exemple dans un réseau se cachant derrière un
firewall, nous mettrons une sonde côté extérieur du
firewall, et une autre côté intérieur du firewall. La
première sonde permet de détecter les tentatives d'attaques
dirigées contre le réseau surveillé.
La seconde sonde va remonter les attaques (préalablement
détectées par la première sonde) qui ont réussi
à passer le firewall. On peut ainsi suivre une attaque sur un
réseau, voir si elle arrive jusqu'à sa victime, en suivant quel
parcours a été emprunté.
Il est aussi intéressant de définir des
périmètres de surveillance d'une sonde. Ce sera en
général suivant un domaine de collision, ou sur des
entrées uniques vers plusieurs domaines de collision (par exemple
à l'entrée d'un commutateur).
Par cette méthode, nous réduisons le nombre de
sondes, car il n'y a pas de doublons dans la surveillance d'une partie du
réseau. Une alerte n'est remontée qu'une seule fois ; ce qui
allège l'administration des IDS. Et pour finir, le fait de placer les
sondes après les protections est plus logique, car le but premier des
IDS est d'étudier les intrusions malgré les protections.
| 
