Les IDS en question
Le but de ce document n'est absolument pas de vous
orienter vers un outil ou un autre mais simplement d'analyser les avantages et les inconvénients des techniques de détection d'intrusion afin d'établir des critères de choix pour ce type d'outils. On parle souvent d'IDS (Intrusion Detection System) pour désigner l'ensemble des outils de détection d 'intrusion.
Bibliothèques de signatures contre détection d'anomalies
On peut dans un premier temps classer tous les outils de détection d'intrusion selon deux modes de fonctionnement selon qu'ils se basent sur des signatures d'attaques ou sur des modèles comportementaux.
IDS à Bibliothèques de signatures
Le concept de bibliothèque de signatures d'attaque est l'approche la plus basique et la plus ancienne. Cette approche consiste à rechercher dans l'activité de l'élément surveillé les empreintes (ou signatures) d'attaques connues. Cette démarche appliquée à la détection d'intrusion, est très similaire à celle des outils antivirus et présente les même inconvénients que celle ci. Il est aisé de comprendre que ce type d'IDS est purement réactif ; il ne peut détecter que les attaques dont il possède la signature. De ce fait, il nécessite des mises à jour quotidiennes. De plus, ce système de détection est aussi bon que l'est la base de signature. Si les signatures sont erronées ou incorrectement conçues l'ensemble du système est inefficace. C'est pourquoi ces systèmes sont souvent contournés par les pirates qui utilisent des techniques dites " d'évasion " qui consistent à maquiller les attaques utilisées. Ces techniques de maquillage tendent à faire varier les signatures des attaques qui ainsi ne sont plus reconnues par l'IDS. Ce modèle est par contre très aisé à implémenter et à optimiser. Il permet la séparation du moteur logiciel de la base de signature qui peut ainsi être mise à jour indépendamment. Il permet également une classification relativement facile de la criticité des attaques signalées.
IDS à Modèles comportementaux
Les modèles comportementaux sont apparus bien plus tard que les IDS à signatures. Ils ont pour principe la détection d'anomalies. Leur mise en oeuvre comprend toujours une phase d'apprentissage au cours de laquelle ils vont " découvrir " le fonctionnement " normal " des éléments surveillés. Une fois cet apprentissage effectué ces IDS signaleront les divergences par rapport au fonctionnement de référence. Les modèles comportementaux peuvent être élaborés à partir d'analyses statistiques ou de techniques proches de l'intelligence artificielle. La principale promesse des IDS comportementaux est la détection des nouveaux type d'attaque. En effet ces IDS ne sont pas programmés pour reconnaître des attaques spécifiques mais signalent toute activité " anormale ". De ce fait une attaque ne doit pas nécessairement être connue d'avance ; dès lors qu'elle représente une activité anormale elle peut être détectée par l'IDS comportemental. Du fait même de leur conception ces IDS sont incapables de qualifier la criticité des attaques. De plus, ces IDS signaleront par exemple tout changement dans le comportement d'un utilisateur qu'il soit hostile ou non. De fréquents ajustements sont nécessaires afin de faire évoluer le modèle de référence de sorte qu'il reflète l'activité normale des utilisateurs et réduire le nombre de fausses alertes générées.
Réseau contre Système
Les IDS peuvent également se classer selon deux catégories majeures selon qu'ils s'attachent à surveiller le trafic réseau ou l'activité des machines. On parle d'IDS réseau (NIDS : Network IDS) ou d'IDS Système (Host based IDS).
IDS Réseau
Ces outils analysent le trafic réseau ; ils comportent généralement une sonde qui " écoute " sur le segment de réseau à surveiller et un moteur qui réalise l'analyse du trafic afin de détecter les signatures d'attaques ou les divergences face au modèle de référence. Les IDS Réseau à base de signatures sont confrontés actuellement à deux problèmes majeurs qui sont : le développement de l'utilisation du cryptage et le développement des réseaux commutés. En effet, il est d'une part plus difficile " d'écouter " sur les réseaux commutés et le cryptage rend l'analyse du contenu des paquets presque impossible. La plupart des NIDS sont aussi dits IDS inline car ils analysent le flux en temps réel. Pour cette raison, la question des performances est très importante car de tels IDS doivent être de plus en plus performants afin d'analyser les volumes de plus en plus importants pouvant transiter sur les réseaux.
IDS Système
Les IDS Systèmes analysent quant à eux le fonctionnement ou l'état des machines
sur lesquelles ils sont installés afin de détecter les attaques. Ils sont très
dépendants du système sur lequel ils sont installés. Il faut donc des outils
spécifiques en fonction des systèmes déployés. Ces IDS peuvent s'appuyer sur
des fonctionnalités d'audit propres au système d'exploitation ou non pour vérifier
l'intégrité du système et générer des alertes. Il faut cependant noter qu'ils
sont incapables de détecter les attaques affectant les couches réseaux de la
machine ; typiquement les Déni de service comme SYN FLOOD ou autre.
La réalité du marché
Actuellement de nombreux produits sont disponibles, certains appartiennent
même au domaine public. Leur complexité de mise en oeuvre et leur degré d'intégration
sont très divers. Même si les outils strictement basés sur des modèles comportementaux
sont actuellement en perte de vitesse ; des modèles de ce type sont de plus
en plus intégrés à des IDS initialement basés sur une bibliothèque de signatures.
En effet, certains éditeurs ont déjà fait le choix de compléter leur base de
signature par un modèle comportemental basique permettant de signaler des événements
non identifiables. Les IDS systèmes sont un peu en retrait face aux IDS réseaux
même si ces derniers sont confrontés comme nous l'avons vu à des problématiques
qui devraient beaucoup peser sur leur avenir.
Le futur
On peut penser que dans un futur proche devrait apparaître et se développer les IDS distribués. Ceux si consisteraient en agents déployés sur tous (ou presque) les noeuds du réseau et agissant comme autant de sondes réseau et d'IDS systèmes. Ces agents analyseraient le trafic réseau à destination de la machine sur laquelle ils seraient installés et contrôleraient également l'intégrité de ce système. Le point central deviendrait alors un " serveur IDS " auquel tous les agent devraient rendre compte et qui serait en mesure d'agréger et de consolider les informations en provenance des agents afin de générer les alertes.
Critères de choix
Aujourd'hui les systèmes de détection d'intrusion sont réellement devenus indispensables lors de la mise en place d'une infrastructure de sécurité opérationnelle. Ils s'intègrent donc toujours dans un contexte et une architecture qui imposent des contraintes pouvant être très diverses. C'est pourquoi il n'existe pas de grille d'évaluation unique pour ce type d'outil. Pourtant un certain nombre de critères peuvent être dégagés ; ceux ci devront nécessairement être pondérés en fonction du contexte de l'étude.
- Fiabilité : Un détecteur d'intrusion doit être fiable ; les alertes qu'il
génère doivent être justifiées et aucune intrusion ne doit pouvoir lui échapper.
Un IDS générant trop de fausses alertes sera à coup sûr désactivé par l'administrateur
et un IDS ne détectant rien sera rapidement considéré comme inutile.
- Réactivité : Un IDS doit être capable de détecter les nouveaux types d'attaque
le plus rapidement possible ; pour cela il doit rester constamment à jour.
Des capacités de mise à jour automatique sont pour ainsi dire indispensables.
- Facilité de mise en oeuvre et adaptabilité : Un IDS doit être facile à mettre
en oeuvre et doit pouvoir surtout s'adapter au contexte dans lequel il doit
opérer ; il est inutile d'avoir un IDS émettant des alertes en moins de 10
secondes si les ressources nécessaires à une réaction ne sont pas disponible
pour agir dans les mêmes contraintes de temps.
- Performance : la mise en place d'un IDS ne doit en aucun cas affecter les
performance des systèmes surveillés. De plus, il faut toujours avoir la certitude
que l'IDS a la capacité de traiter toute l'information à sa disposition (par
exemple un IDS réseau doit être capable de traiter l'ensemble du flux pouvant
se présenter à un instant donné sans jamais dropper de paquets) car dans le
cas contraire il devient trivial de masquer les attaques en augmentant la
quantité d'information.
- Multicanal : Un bon IDS doit pouvoir utiliser plusieurs canaux d'alerte
(mail, pager, téléphone, fax...) afin de pouvoir garantir que les alertes seront
effectivement émises. Information : L'IDS doit donner un maximum d'information
sur l'attaque détectée afin de préparer la réaction. Classification : il doit
être aisé de hiérarchiser la gravité des attaques détectées afin d'adapter
le mode d'alerte.
Conclusion
Les IDS sont actuellement des produits mûrs et aboutis. Ils continuent d'évoluer pour répondre aux exigences technologiques du moment mais offrent d'ores et déjà un éventail de fonctionnalités capables de satisfaire les besoins de tous les types d'utilisateurs. Néanmoins comme tous les outils techniques ils ont des limites que seule une analyse humaine peut compenser. Un peu comme
les Firewalls,
voir aussi ici, les détecteurs d'intrusion deviennent chaque jour meilleurs grâce à l'expérience acquise avec le temps mais ils deviennent aussi de plus en plus sensibles aux erreurs de configuration et de paramétrage. Par conséquent, il est plus que fondamental de former correctement les personnes chargées de la mise en oeuvre et de l'exploitation des IDS. Malheureusement, il semble que c'est encore là où aujourd'hui encore subsiste la plus grande partie de la difficulté.
JB700
22 Décembre 2000
Tags
CYBERSÉCURITÉ
DÉTECTION D'INTRUSION
Inscription à notre lettre d'information
Inscrivez-vous à notre
lettre d'information pour vous tenir au courant de nos actualités et de nos dernières trouvailles.
