3.1.1.2. Les types de firewalls
Packetfilter : Le packetfilter, comme son nom
l'indique, filtre les paquets dans les deux sens. Pour ce faire, il utilise des
fonctions de routage Internet classiques. Ce sont des protections efficaces,
mais pas toujours suffisantes. Certaines attaques complexes peuvent
déjouer les règles.
Screening router : Evite le IP spooffing en
vérifiant que les adresses d'origine des paquets qui arrivent sur chaque
interface sont cohérentes et il n'y a pas de mascarade.
Exemple: un
paquet qui a une adresse de votre réseau Internet et qui vient de
l'extérieur est un SpoofedPacket. Il faut le jeter et prévenir le
plus vite l'administrateur qu'il y a eu tentative d'attaque.
3.1.2. Les systèmes de détection et de
prévention de l'intrusion
Un système de détection d'intrusion (IDS en
anglais), est un dispositif matériel et/ou logiciel de surveillance qui
permet de détecter en temps réel et de façon continue des
tentatives d'intrusion en temps réel, dans un SI ou dans un ordinateur
seul, de présenter des alertes à l'administrateur, voire pour
certains IDS plus sophistiqué, de neutraliser ces
pénétrations éventuelles et de prendre en compte ces
intrusions afin de sécuriser davantage le système
agressé.
Un IDS réagit en cas d'anomalie, à condition que
le système puisse bien identifier les intrus externes ou internes qui
ont un comportement anormal, en déclenchant un avertissement, une
alerte, en analysant éventuellement cette intrusion pour empêcher
qu'elle ne se reproduise, ou en paralysant même l'intrusion.
Un IDS est un capteur informatique qui écoute de
manière furtive le trafic sur un système, vérifie, filtre
et repère les activités anormales ou suspectes, ce qui
permetultérieurement de décider d'action de prévention.
Sur un réseau, l'IDS est souvent réparti dans tous les
emplacements stratégiques du réseau.
Les techniques sont différentes selon que l'IDS
inspecte un réseau ou que l'IDS contrôle l'activité d'une
machine (hôte, serveur).
· Sur un réseau, il y a en général
plusieurs sondes qui analysent de concert, les attaques en amont d'un pare-feu
ou d'un serveur.
· Sur un système hôte, les IDS sont
incarnés par des démons ou des applications standards furtives
qui analysent des fichiers de journalisation et examinent certains paquets
issus du réseau.
Il existe deux grandes familles distinctes d'IDS :
· Les N-IDS (Network Based Intrusion Detection system),
ils assurent la sécurité au niveau du réseau.
· Les H-IDS (Host Based Intrusion Detection system), ils
assurent la sécurité au niveau des hôtes.
Un N-IDS nécessite un matériel
dédié et constitue un système capable de contrôler
les paquets circulant sur un ou plusieurs liens réseau dans le but de
découvrir si un acte malveillant ou anormal a lieu.
Le H-IDS réside sur un hôte particulier et la
gamme de ces logiciels couvre donc une grande partie des systèmes
d'exploitation tels que Windows, Linux, ect...
Le H-IDS se comporte comme un
démon ou un service standard sur un système hôte.
Traditionnellement, le H-IDS analyse des informations particulières dans
les journaux de logs (syslogs, messages, lastlogs...) et aussi capture les
paquets réseaux entrant/sortant de l'hôte pour y déceler
des signaux d'intrusion (Déni de services, Backdoors, chevaux de
troie...).
| 
