Etude, conception et mise en ?uvre d?un systeme de surveillance par detection d?intrusion dans un reseau informatique (cas de la banque finca)

1.2.2. Architecture des IDS

Un IDS est essentiellement constitué d'un sniffer couplé avec un moteur qui analyse le trafic et entreprend des actions suivants les règles définies dans l'IDS. Ces règles décrivent le comportement de l'IDS selon le trafic analysé trafic : Alertes, journalisation des événements dans des fichiers logs.

Un IDS peut analyser les couches suivantes : la couche réseau (IP, ICMP), la couche transport (TCP, UDP) et la couche application (HTTP, Telnet).

Selon le type de trafic, l'IDS accomplit certaines actions définies dans les règles. Certains termes sont souvent employés quand on parle d'IDS :

- Faux positif : une alerte provenant d'un IDS mais qui ne correspond pas à une attaque réelle (Fausse Alerte) ;

- Faux négatif : une intrusion réelle qui n'a pas été détectée par l'IDS.

Le schéma suivant illustre le fonctionnement et les caractéristiques d'un IDS :

Figure 3.I: Caractéristiques et Fonctionnement des IDS

Système de détection d'intrusion

Sources de données

Méthode de détection

Comportement après détection

Mode de fonctionnement

Architecture

OS

Applications

Réseau

Autres IDS

Approche comportementale

Approche par scénarios

Centralisée

Distribuée

Périodique

Contenue

Informatif

Défensif

Contre-attaquant

1.2.2.1. Différents types IDS

Il existe plusieurs types d'IDS, mais on peut les classer en deux familles :

· Les NIDS : Network IDS, système de détection d'intrusion réseau ;

· Les HIDS : Host IDS, système de détection d'intrusion de type hôte.

Les autres IDS sont en réalité des dérivées de ces familles : les IDS Hybrides, les IPS (systèmes de prévention d'intrusions).Les IDS sont disponibles sous formats :Les logiciels : permettent à n'importe quel administrateur de réseau de l'installer sur son OS. Ils sont faciles à installer, configurer et contrôler. Cependant, cet OS (Windows, Linux) est une distribution dont les failles peuvent être connues des hackers. Il est plus vulnérable si les patchs (programmes de mise à jour) ne sont pas régulièrement installés et que les modules inutilisés de l'OS sont conservés.

- Les NIDS : Les NIDS sont des IDS dédiés aux réseaux. Ils comportent généralement une sonde (machine par exemple) qui « écoute" sur le segment de réseau à surveiller, un capteur et un moteur qui réalise l'analyse du trafic afin de détecter les intrusions en temps réel. Un NIDS écoute donc tout le trafic réseau, puis l'analyse et génère des alertes si des paquets semblent dangereux.

- Les IPS : Les IPS ont pour fonction principale d'empêcher toute activité suspecte détectée au sein d'un système : ils sont capables de prévenir une attaque avant qu'elle atteigne sa destination.

Contrairement aux IDS, les IPS sont des outils aux fonctions « actives », qui en plus de détecter une intrusion, tentent de la bloquer.

Le principe de fonctionnement d'un IPS est analogue à celui d'un IDS, ajoutant à cela l'analyse des contextes de connexion, l'automatisation d'analyse des logs et la coupure des connexions suspectes. Contrairement aux IDS classiques, aucune signature n'est utilisée pourdétecter les attaques.

On peut classer les IPS en deux groupes suivants leurs domaines d'utilisation :

· Les NIPS : Network IPS dédiés aux réseaux. Ils ont les mêmes fonctions que les IDS classiques, sauf qu'ils ont la capacité d'anticiper une attaque ;

· Les HIPS/KIPS : Host IPS, plus connu sous l'appellation de systèmes de préventiond'intrusions « kernel » (KIPS), spécifiques aux hôtes. Ils supervisent l'intégralité desactivités sur la machine où elle est déployée.

L'utilisation d'un détecteur d'intrusions au niveau noyau peut s'avérer parfois nécessaire pour sécuriser une station.

Le KIPS peut également interdire l'OS d'exécuter un appel système qui ouvrirait un Shell de commandes. Puisqu'un KIPS analyse les appels systèmes, il ralentit l'exécution : c'est pourquoi c'est une solution rarement utilisée sur des serveurs souvent sollicités.

Exemple de KIPS : Secure IIS, qui est une surcouche du serveur IIS de Microsoft.

Cependant les IPS possèdent quelques inconvénients : ils bloquent toute activité qui semble suspecte.

1.2.2.2. Choix du placement d'un IDS

Le placement des IDS va dépendre de la politique de sécurité définie dans le réseau. Mais il existe des positions qu'on peut qualifier de standards, par exemple il serait intéressant de placer des IDS :

· Dans la zone démilitarisée (attaques contre les systèmes publics) ;

· Dans le (ou les) réseau(x) privé(s) (intrusions vers ou depuis le réseau interne) ;

· Sur la patte extérieure du firewall (détection de signes d'attaques parmi tout letraficentrant et sortant, avant que n'importe quelle protection intervienne).

Il est crucial de bien définir les zones sensibles du système (réseau), ainsi que les zones les plus attractives pour un pirate. Il faut aussi voire qu'au-delà de l'architecture du réseau, il faut prendre en compte l'organisation de la sécurité existante :Recherche-t-on une administration centralisée ?Quel est l'existant organisationnel de la surveillance du réseau ? Et Quels sont les compétences et les moyens en internes pour gérer les IDS ?

Figure 4.I:Choix du Placement d'un IDS

1.2.2.3. Quelques systèmes de détection d'intrusion (IDS)

Face aux menaces d'intrusions, il existe plusieurs solutions concernant le choix d'un IDS. Il existe des solutions commerciales aussi bien qu'Open Source. Les solutions Open Source n'ont rien n'à envier aux solutions commerciales. Mieux les solutions commerciales se basent même sur les Open Source pour améliorer leur produit.

La différence notoire entre ces deux solutions se trouve essentiellement sur le déploiement (éventuellement sur le prix !). Elle nécessite beaucoup de prés-requis telles que des utilitaires de base ou encore des connaissances sur le système où le produit va être déployé. Cette situation se présente surtout quand on est dans un environnement Linux ! Dans l'environnement Windows on ne fait que suivre les instructions du produit en cochant/décochant des cases, faisant des « suivant ».

Pour les solutions commerciales et open source nous avons entre autres :

· Zone Labs Integrity (commerciale) est une solution client/serveur distribuée qui protège tous les réseaux d'ordinateur personnel (PC). La protection des points finals de multicouche de l'intégrité sauvegarde chaque PC contre des menaces connues et inconnues, bloquant les entrés et les sorties non autorisées de réseau et les connexions d'application. Le serveur central d'intégrité offre un système flexible et facilement administré pour d'établissement des règles de sécurité de réseau; Le serveur donne également à des administrateurs un outil puissant avec lequel pour équilibrer pour la protection de réseau et la productivité des employés pour la sécurité dans le monde réel ; Le Zone Labs Integrity est un principal créateur des solutions de sécurité de point final et d'un des marques de confiance dans la sécurité d'Internet, protégeant les 20 millions PCs finis dans le monde entier. Vous pouvez trouver des informations plus détaillées introduisant les caractéristiques de la Zone Labs Integrity sur l'adresse http://download.zonelabs.com/bin/media/flash/integrity/main.swf, son inconvénient la Zone Labs Integrity ne supporte que le système d'exploitation Windows pour toutes les versions ;

· Symantec Client Security (commerciale) fournit la protection des clients contre des menaces complexes sur l'Internet en intégrant l'antivirus, le par feu et la détection des intrusions, travers la gestion et la réponse centralisées. Il vous aide à protéger votre entreprise contre les virus, les pirates et les menaces combinées. Cette nouvelle solution fournit un déploiement commun et fonction de mise à jour pour des technologies de sécurité multiples, permettant une sécurité plus complète de client. Symantec™ Client Security est une solution facile à administrer qui garantit une sécurité multi couches performante. En protégeant votre entreprise avec Symantec, vous bénéficiez d'une protection constamment à jour contre les virus, les pirates et les menaces combinées, ainsi que d'un support de renommée mondiale. Pour plus d'information sur www.symantec.com;

· BRO IDS : c'est un IDS open source, est destiné à la détection sur des réseaux Gbps à fort trafic, développé essentiellement par une équipe du Lawrence Berkeley National Laboratory. Bro se base sur un ensemble de règles décrivant des signatures d'attaques ou des activités inhabituelles. Le comportement après détection de trafic suspect peut être paramétré : simple log, alerte en temps réel à l'administrateur ou exécuter un programme (par exemple pour reconfigurer un routeur).

NB : Suite aux présentations des méthodes qui utilisent les IDS citées précédemment, nous avions jugé de prendre Bro IDS comme une solution pour déployer un système de surveillance par détection d'intrusion.