Suite à un précédent article sur la mise en place d’une sonde IPS SNORT_INLINE, j’ai cogité un peu et me suis dit qu’un tuto c’est bien, mais qu’un petit exposé sur la détection d’intrusion c'est mieux, enfin... complémentaire plutôt ! Bien sur en énonçant les principes et surtout en expliquant de manière imagé !
Qu’est ce que la détection d’intrusion ?
Voici la définition que nous propose Wikipédia :
Un système de détection d’intrusion (ou IDS : Intrusion Detection System) est un mécanisme destiné à repérer des activités anormales ou suspectes sur la cible analysée (un réseau ou un hôte). Il permet ainsi d’avoir une connaissance sur les tentatives réussies comme échouées des intrusions.
Cette définition est assez claire en soi. Elle expose clairement le rôle de la détection d’intrusion. Pour ce qui est des outils et technique de détection d’intrusion, il permettant d’atteindre cet objectif qui est : avoir une connaissance sur les tentatives réussies comme échouées des intrusions. Bien entendu il existe de nombreux outils et techniques de détection d’intrusion.
Pourquoi utiliser ce type de solution ?
Ces solutions répondent à un besoin grandissant de supervision, ou il est crucial d’avoir une visibilité des incidents liés à la sécurité des systèmes d’information.
Les solutions traditionnelles se contentaient de bloquer ainsi que de journaliser les événements. Cela permet d’avoir de fixer ses règles de filtrage, et ainsi d’avoir des informations sur ce que l’on a bloqué. On a aucune informations sur les intrusions ayant outrepassées le Firewall (au niveau réseau ou poste de travail). On a donc des informations sur le périmètre que l’on maîtrise et que l’on connaît.
Cependant l’informatique est très vaste, et contourner un équipement de sécurité est devenu chose facile. Il était donc important de trouver une solution afin d’avoir une défense qui n’analyse pas les trames une par une, mais qui analyse les trames dans leur ensemble, en confrontant ces informations à une base de connaissances sur des attaques connues, afin de voir si certaines combinaisons de trames ne peuvent pas être identifié comme une tentative d’intrusion. A cela ce couple une journalisation de l’événement afin de conserver une trace et de pouvoir palier au problème.
Comment ça fonctionne ?
Comme je l’ai déjà dit, la détection d’intrusion a pour but de détecter les activités anormales (entendre tentatives d’intrusions) sur les divers équipements informatique (poste de travail, réseau, serveur…). C’est l’analyse et la confrontation à la base de connaissances sur des attaques connues qui permet d’avoir une vision élargie sur les incidents.
Ceci en renvoyant de nombreuses informations avec une alerte. Le type supposé d'attaque, la source, la destination... Tout cela permet un bonne compréhension des incidents, et en cas de faux-positif, de le détecter rapidement.
Voici un schéma permettant de comprendre son implémentation :
Et voici quelques slides expliquant le fonctionnement d’un NIDS :
Bien sûr, j’évoque ici le fonctionnement des NIDS, mais les HIDS vont avoir le même fonctionnement. A l’inverse, ils vont, eux, établir une surveillance unique du système sur lequel ils sont installés, et non tout le trafic d’un réseau (d’un même domaine de collision).
Il y a plusieurs utilisations et plusieurs types d’implémentation de ces sondes NIDS. En effet, l’un des premiers usages est tout simplement le test de l’architecture réseau/sécurité mis en place. En implémentant une sonde NIDS avant le FIREWALL (côté Web) et une après le FIREWALL (côté LAN), ceci permettant d’analyser l’efficacité du FIREWALL, et ainsi de « peaufiner » ses règles de sécurité.
Le second usage est tout simplement une réponse au besoin de supervision, permettant d’analyser le trafic à n’importe quelles heures, et d’avoir un archivage de toute tentative d’intrusion.
Mais à quoi sert le HIDS ?
Et bien dans une tentative de suivi d’une attaque de bout en bout, le HIDS va nous permettre de suivre l’attaque jusqu’au(x) poste(s) ciblé(s). Le HIDS est donc indispensable dans une optique de traçabilité d’attaque.
D’autre part il est important de souligner que l’ensemble des alertes NIDS et HIDS peut être regroupé sur une seul et même base de données, centralisant ainsi les alertes et permettant de facilité la corrélation qu’il peut y avoir entre plusieurs alertes (étant une seul et même attaque) et ainsi effectuer un traçabilité d’attaque.
Comment fonctionne cette analyse ?
L’analyse est relativement complexe. En effet elle s’effectue à l’issue d’une analyse primaire des données, c’est la remonté d’informations. Ces informations sont ensuite analysées par le SIM (Security Information Management), qui les confronte à sa base de connaissances et génère un alerte ou non. Je vous propose un petit schéma et un petit exemple :
Le brute force d’un mot de passe sur un serveur Linux, en SSH.
Mais on parle souvent de IPS, qu’est ce que c’est ?
Un IPS (Intrusion Prevention system) est un outil de prévention d’intrusion. A l’inverse d’un IDS qui fonctionne en mode promiscuité, c'est-à-dire qui réceptionne une copie du trafic sans influer sur celui-ci, un IPS va fonctionner en coupure de port.
Devant un besoin toujours grandissant de sécurité, les technologies ont évolués afin non plus uniquement de détecter des tentatives d’intrusions, mais dorénavant de supprimer les trafics reconnue comme dangereux, et vecteur potentiel d’une attaque. Il ne s’agit donc plus de recenser les attaques et d’espérer la contre carrer alors qu’elle est en cours, mais d’avorter l’attaque en empêchant le trafic lorsqu’il est détecté comme dangereux.
Voici un schéma permettant de comprendre la différence entre IDS et IPS :
En conclusion :
Il est bien entendu dérisoire de penser que les technologies IDS/IPS sont LES solutions ultimes de sécurité. En effet, les bases de connaissances sur lesquels s’appuient ces technologies sont, certes très fournies, mais malheureusement incomplète. Les parades de sécurité survenant après la création d’une attaque, il est logique que ces solutions soient une réponse aux besoins de sécurité, mais pas LA réponse imparable.
J’espère que ces explications vous on permis de comprendre ce qu’était les technologie IDS et IPS.
Si vous avez des corrections à apporter, ou des améliorations, elles sont les bienvenues !
Qu’est ce que la détection d’intrusion ?
Voici la définition que nous propose Wikipédia :
Un système de détection d’intrusion (ou IDS : Intrusion Detection System) est un mécanisme destiné à repérer des activités anormales ou suspectes sur la cible analysée (un réseau ou un hôte). Il permet ainsi d’avoir une connaissance sur les tentatives réussies comme échouées des intrusions.
Cette définition est assez claire en soi. Elle expose clairement le rôle de la détection d’intrusion. Pour ce qui est des outils et technique de détection d’intrusion, il permettant d’atteindre cet objectif qui est : avoir une connaissance sur les tentatives réussies comme échouées des intrusions. Bien entendu il existe de nombreux outils et techniques de détection d’intrusion.
Pourquoi utiliser ce type de solution ?
Ces solutions répondent à un besoin grandissant de supervision, ou il est crucial d’avoir une visibilité des incidents liés à la sécurité des systèmes d’information.
Les solutions traditionnelles se contentaient de bloquer ainsi que de journaliser les événements. Cela permet d’avoir de fixer ses règles de filtrage, et ainsi d’avoir des informations sur ce que l’on a bloqué. On a aucune informations sur les intrusions ayant outrepassées le Firewall (au niveau réseau ou poste de travail). On a donc des informations sur le périmètre que l’on maîtrise et que l’on connaît.
Cependant l’informatique est très vaste, et contourner un équipement de sécurité est devenu chose facile. Il était donc important de trouver une solution afin d’avoir une défense qui n’analyse pas les trames une par une, mais qui analyse les trames dans leur ensemble, en confrontant ces informations à une base de connaissances sur des attaques connues, afin de voir si certaines combinaisons de trames ne peuvent pas être identifié comme une tentative d’intrusion. A cela ce couple une journalisation de l’événement afin de conserver une trace et de pouvoir palier au problème.
Comment ça fonctionne ?
Comme je l’ai déjà dit, la détection d’intrusion a pour but de détecter les activités anormales (entendre tentatives d’intrusions) sur les divers équipements informatique (poste de travail, réseau, serveur…). C’est l’analyse et la confrontation à la base de connaissances sur des attaques connues qui permet d’avoir une vision élargie sur les incidents.
Ceci en renvoyant de nombreuses informations avec une alerte. Le type supposé d'attaque, la source, la destination... Tout cela permet un bonne compréhension des incidents, et en cas de faux-positif, de le détecter rapidement.
Voici un schéma permettant de comprendre son implémentation :
Et voici quelques slides expliquant le fonctionnement d’un NIDS :
Bien sûr, j’évoque ici le fonctionnement des NIDS, mais les HIDS vont avoir le même fonctionnement. A l’inverse, ils vont, eux, établir une surveillance unique du système sur lequel ils sont installés, et non tout le trafic d’un réseau (d’un même domaine de collision).
Il y a plusieurs utilisations et plusieurs types d’implémentation de ces sondes NIDS. En effet, l’un des premiers usages est tout simplement le test de l’architecture réseau/sécurité mis en place. En implémentant une sonde NIDS avant le FIREWALL (côté Web) et une après le FIREWALL (côté LAN), ceci permettant d’analyser l’efficacité du FIREWALL, et ainsi de « peaufiner » ses règles de sécurité.
Le second usage est tout simplement une réponse au besoin de supervision, permettant d’analyser le trafic à n’importe quelles heures, et d’avoir un archivage de toute tentative d’intrusion.
Mais à quoi sert le HIDS ?
Et bien dans une tentative de suivi d’une attaque de bout en bout, le HIDS va nous permettre de suivre l’attaque jusqu’au(x) poste(s) ciblé(s). Le HIDS est donc indispensable dans une optique de traçabilité d’attaque.
D’autre part il est important de souligner que l’ensemble des alertes NIDS et HIDS peut être regroupé sur une seul et même base de données, centralisant ainsi les alertes et permettant de facilité la corrélation qu’il peut y avoir entre plusieurs alertes (étant une seul et même attaque) et ainsi effectuer un traçabilité d’attaque.
Comment fonctionne cette analyse ?
L’analyse est relativement complexe. En effet elle s’effectue à l’issue d’une analyse primaire des données, c’est la remonté d’informations. Ces informations sont ensuite analysées par le SIM (Security Information Management), qui les confronte à sa base de connaissances et génère un alerte ou non. Je vous propose un petit schéma et un petit exemple :
Le brute force d’un mot de passe sur un serveur Linux, en SSH.
Mais on parle souvent de IPS, qu’est ce que c’est ?
Un IPS (Intrusion Prevention system) est un outil de prévention d’intrusion. A l’inverse d’un IDS qui fonctionne en mode promiscuité, c'est-à-dire qui réceptionne une copie du trafic sans influer sur celui-ci, un IPS va fonctionner en coupure de port.
Devant un besoin toujours grandissant de sécurité, les technologies ont évolués afin non plus uniquement de détecter des tentatives d’intrusions, mais dorénavant de supprimer les trafics reconnue comme dangereux, et vecteur potentiel d’une attaque. Il ne s’agit donc plus de recenser les attaques et d’espérer la contre carrer alors qu’elle est en cours, mais d’avorter l’attaque en empêchant le trafic lorsqu’il est détecté comme dangereux.
Voici un schéma permettant de comprendre la différence entre IDS et IPS :
En conclusion :
Il est bien entendu dérisoire de penser que les technologies IDS/IPS sont LES solutions ultimes de sécurité. En effet, les bases de connaissances sur lesquels s’appuient ces technologies sont, certes très fournies, mais malheureusement incomplète. Les parades de sécurité survenant après la création d’une attaque, il est logique que ces solutions soient une réponse aux besoins de sécurité, mais pas LA réponse imparable.
J’espère que ces explications vous on permis de comprendre ce qu’était les technologie IDS et IPS.
Si vous avez des corrections à apporter, ou des améliorations, elles sont les bienvenues !
6 commentaires:
Excellent article ! Merci beaucoup
MERCI
Merci pour l'article!! Elle m'a permis de comprendre l'essentiel tout en étant très explicite.
Excellent! Afin un blog en Français qui détaille bien les choses.
bienn
Super
Enregistrer un commentaire