WOW !! MUCH LOVE ! SO WORLD PEACE !
Fond bitcoin pour l'amélioration du site: 1memzGeKS7CB3ECNkzSn2qHwxU6NZoJ8o
  Dogecoin (tips/pourboires): DCLoo9Dd4qECqpMLurdgGnaoqbftj16Nvp


Home | Publier un mémoire | Une page au hasard

 > 

Mise en place d'un IDS en utilisant Snort


par Hamzata Gueye
Miage de Kenitra (Maroc) - Diplome Européen dà¢â‚¬â„¢Etudes Supérieur en Informatique et Réseau 2011
  

précédent sommaire suivant

III.4.2. Points faibles

III.4.2.1. Besoin de connaissances en sécurité :

La mise en place d'une sonde de sécurité fait appel à de bonnes connaissances en sécurité.

L'installation en elle-même des logiciels est à la portée de n'importe quel informaticien. En revanche, l'exploitation des remontées d'alertes nécessite des connaissances plus pointues.

Les interfaces fournissent beaucoup d'informations, et permettent des tris facilitant beaucoup de travail, mais l'intervention humaine est toujours indispensable.

A partir des remontées d'alertes, quelle mesure prendre ?

Est-il utile de relever des alertes dont toutes les machines sont protégées?

Comment distinguer un faux-positif d'un véritable incident de sécurité ?

Toutes ces questions et bien d'autres doivent se poser au responsable de sécurité en charge d'un IDS.

La configuration, et l'administration des IDS nécessitent beaucoup de temps, et de connaissances. C'est un outil d'aide, qui n'est en aucun cas complètement automatisé.

III.4.2.2. Problème de positionnement des sondes :

La mise en place est importante. Il faut bien définir là où placer les sondes. Il ne s'agit pas de mettre une sonde partout où l'on veut surveiller. Il faut étudier les champs de vision des sondes suivant leur placement, si on veut recouper ces champs de vision (pour par exemple faire des doublons de surveillance ou faire un suivi d'attaque), quel détail d'analyse (à l'entrée d'un réseau, ou dans chaque domaine de collision). On découpe souvent le réseau global en un LAN, une DMZ, puis Internet.

Mais il faut aussi envisager les domaines de collisions, les sous-réseaux, ...

Les connaissances réseaux sont importantes. Il faut aussi faire attention à comment sont remontées les alertes (passage par un réseau sécurisé et isolé du réseau surveillé).

III.4.2.3. Vulnérabilités des sondes NIDS :

De par leur fonctionnement en mode promiscuité, les sondes sont vulnérables. Elles captent tout le trafic, et même si un Ping flood est réalisé sur une autre machine, les sondes NIDS le captureront aussi et donc en subiront les conséquences, comme si l'attaque leur était directement envoyée. Les DoS classiques seront donc très nocifs pour les sondes NIDS.

Le point fort de certains IDS qui est d'archiver aussi le contenu des trames ayant levées une alerte, peut aussi s'avérer un point faible. Un hôte flood avec un paquet chargé de 64000 octets, ou encore des trames de 1500 octets pour les SYN flood vont faire exploser la taille des fichiers de logs des sondes en quelques minutes.

C'est une attaque qui porte le nom coke qui consiste à saturer le disque dur.

La seule façon de parer cette attaque est de prévoir d'importants espaces de stockages, et gérer le stockage des fichiers de logs.

précédent sommaire suivant