III.4.2. Points
faibles
III.4.2.1. Besoin
de connaissances en sécurité :
La mise en place d'une sonde de sécurité fait appel
à de bonnes connaissances en sécurité.
L'installation en elle-même des logiciels est à la
portée de n'importe quel informaticien. En revanche, l'exploitation des
remontées d'alertes nécessite des connaissances plus
pointues.
Les interfaces fournissent beaucoup d'informations, et permettent
des tris facilitant beaucoup de travail, mais l'intervention humaine est
toujours indispensable.
A partir des remontées d'alertes, quelle mesure prendre
?
Est-il utile de relever des alertes dont toutes les machines sont
protégées?
Comment distinguer un faux-positif d'un véritable incident
de sécurité ?
Toutes ces questions et bien d'autres doivent se poser au
responsable de sécurité en charge d'un IDS.
La configuration, et l'administration des IDS nécessitent
beaucoup de temps, et de connaissances. C'est un outil d'aide, qui n'est en
aucun cas complètement automatisé.
III.4.2.2.
Problème de positionnement des sondes :
La mise en place est importante. Il faut bien définir
là où placer les sondes. Il ne s'agit pas de mettre une sonde
partout où l'on veut surveiller. Il faut étudier les champs de
vision des sondes suivant leur placement, si on veut recouper ces champs de
vision (pour par exemple faire des doublons de surveillance ou faire un suivi
d'attaque), quel détail d'analyse (à l'entrée d'un
réseau, ou dans chaque domaine de collision). On découpe souvent
le réseau global en un LAN, une DMZ, puis Internet.
Mais il faut aussi envisager les domaines de collisions, les
sous-réseaux, ...
Les connaissances réseaux sont importantes. Il faut aussi
faire attention à comment sont remontées les alertes (passage par
un réseau sécurisé et isolé du réseau
surveillé).
III.4.2.3.
Vulnérabilités des sondes NIDS :
De par leur fonctionnement en mode promiscuité, les sondes
sont vulnérables. Elles captent tout le trafic, et même si un Ping
flood est réalisé sur une autre machine, les sondes NIDS le
captureront aussi et donc en subiront les conséquences, comme si
l'attaque leur était directement envoyée. Les DoS classiques
seront donc très nocifs pour les sondes NIDS.
Le point fort de certains IDS qui est d'archiver aussi le contenu
des trames ayant levées une alerte, peut aussi s'avérer un point
faible. Un hôte flood avec un paquet chargé de 64000 octets, ou
encore des trames de 1500 octets pour les SYN flood vont faire exploser la
taille des fichiers de logs des sondes en quelques minutes.
C'est une attaque qui porte le nom coke qui consiste à
saturer le disque dur.
La seule façon de parer cette attaque est de
prévoir d'importants espaces de stockages, et gérer le stockage
des fichiers de logs.
| 
