CHAPITRE PREMIER : NOTIONS DE SYSTEME DE DETECTION D'INTRUSION DANS UN RESEAU INFORMATIQUE

INTRODUCTION

La plupart des entreprises continue à mettre en place des pare-feux comme moyen de protection principal afin d'empêcher les utilisateurs non autorisés d'accéder à leurs réseaux. Toutefois, la sécurité réseau s'apparente beaucoup à la sécurité "physique", dans la mesure où une seule technologie ne peut répondre à tous les besoins, mais qu'une défense à plusieurs niveaux donne les meilleurs résultats. Les entreprises se tournent de plus de plus vers des technologies de sécurité supplémentaires, pour se protéger des risques et vulnérabilités auxquels les pare-feux ne peuvent faire face. Les solutions IDS (Intrusion Detection System) pour réseaux garantissent une surveillance du réseau permanente.

Ces systèmes analysent le flux de paquets de données du réseau, à la recherche de toute activité non autorisée, telle que les attaques menées par les pirates informatiques (hackers), permettant de ce fait d'y remédier rapidement. Lorsqu'une activité non autorisée est détectée, un système IDS peut envoyer à une console de gestion des alertes accompagnées d'informations détaillées concernant l'activité suspecte. Un IDS peut également ordonner à d'autres équipements, tels que des routeurs, d'arrêter les sessions non autorisées.Ce chapitre a pour but d'aider à distinguer les différents types d'attaques informatiques et classification de l'IDS existants, mais il vise également à expliquer le fonctionnement et la mise en place de différents systèmes de détection d'intrusions afin de protéger les informations publiques et privées.

1.1. DEFINITION

Un système de détection d'intrusions (IDS)est un mécanisme destiné à repérer des activités anormales ou suspectes sur une cible donnée afin de remédier aux problèmes dans les plus brefs délaiset le processus de surveillance des événements se trouvant dans un système des ordinateurs ou du réseau et les analysant pour détecter les signes des intrusions, défini comme des tentatives pour compromettre la confidentialité, intégrité, disponibilité ou éviter des mécanismes de sécurité de l'ordinateur ou du réseau ou ensemble de composants logiciels et matériels dont la fonction principale est de détecter et analyser toute tentative d'effraction (volontaire ou non).[7]

1.2. ROLE ET FONCTION DE L'IDS

Pour surveiller la circulation des paquets sur le réseau. Vous pouvez considérer l'IDS comme une caméra installée devant votre port. Ça pour savoir qui essaye à attaquer à votre réseau.Quand une tentative est réussie en passant votre par-feu, il va peut-être provoquer des menaces. Alors, vous pouvez diminuer des fautes positives en connaissant ces tentatives. Dans l'environnement de NAT est aussi un profit parce qu'il nous permet de tenir l'adresse réelle de la source par mettre en corrélation avec des événements entre le système IDS qui situe avant d'après le par-feu.

Cette technologie vous permettra de vérifier que votre ligne de base du par-feu est suivi, ou que quelqu'un a fait une erreur en changeant une règle de par-feu. Si vous savez que votre ligne de base du par-feu proscrivent l'utilisation de ftp et votre système IDS montre des alertes de ftp, alors vous savez que le par-feu ne bloquepas de trafic de ftp. C'est juste un effet secondaire et ne devrait pas être la seule manière que vous vérifiez la conformité à votre ligne de base.