2.4 Système de détection d'intrusion
IDS
L'évolution des techniques de piratage nécessite
obligatoirement l'évolution des techniques de combattre d'attaque.Le
système de détection d'intrusion IDS (Intrusion détection
system) présente depuis longtemps un moyen prometteur pour lutter contre
.Les techniques de détection d'intrusion essayent de distinguer la
différence entre l'usage normal et un usage abusif accompagné
d'une tentative d'intrusion et effectuent une alerte .
Typiquement ,Les données sont parcourues à la
recherche des signatures d'intru-sion ,des actes anormaux ou d'autres
agissements intéressants .Il est de préférence que la
détection se fait en temps réel pour alerter immédiatement
pour que le responsable sécurité pourra essayer de le
réparer .
Chaque système de détection d'intrusion
possède nombreuse partie,chacun a son propre rôle dans le
processus de détection :
1.Les sources de données : Cible d'attaque
,analysée lors de la détection d'intru-sion afin de
vérifier si une intrusion est en cours ou non .
2.Le moteur de détection d'intrusion : responsable
d'analyse de données et reçu précédemment.
3.La réponse de détection : suite au analyse
effectué par le moteur, le système choisir d'effectuer une action
.
Je présenterai ci-dessous l'architecture d'un
détecteur d'intrusion .
FIGURE 2.20 - Architecture d'une plateforme de
détection d'intrusion
Les détecteurs d'intrusions sont multiples et peuvent se
classifier en plusieurs
2.4. Système de détection d'intrusion IDS
43
catégories adaptées au type de donnée que
l'on souhaite analyser.Il est possible de ne retenir que deux grandes familles
d'IDS :
2.4.1 Les détecteurs d'intrusion locales HIDS
HIDS ou Host-Based Intrusion Detection System, se basent sur
des informations provenant du système d'exploitation et se divisent
eux-mêmes en plusieurs catégories .
2.4.1.1 Les outils de vérification
d'intégrité des fichiers
Connu sous le nom FIS(file intrusion scanner),toutes
modifications de fichiers ou logiciels détectables sont
considérées comme infections ou activité non
autorisée .Le mécanisme FIS se base initialement sur la
vérification des empreintes des fichiers (MD5,SH1...) Linux dispose de
plusieurs outils de vérification d'intégrité (file
integrity checker ) comme tripwire et etckeeper .
Tripwire :
Qu'est-ce que Tripwire?
Tripwire est un programme détectant "activité
non autorisée" sur le système en créant une base de
données de tous les fichiers , y compris des informations sur la
l'emplacement des fichiers ,taille de chaque fichier , la dernière date
de modification et d'autres données.Tripwire peut aider à assurer
l'intégrité des fichiers et des répertoires critiques du
système en identifiant toutes les modifications apportées.Les
options de configuration tripwire incluent la possibilité de recevoir
des alertes par e-mail si des fichiers particuliers sont modifiés et
l'intégrité automatisée de vérification à
des dates régulières via une tâche cron. Utilisation de
Tripwire pour la détection d'intrusion et l'évaluation des
dommages vous aide à garder la trace des changements de système
et peut accélérer la récupération à partir
d'un cambriolage en réduisant le nombre de fichiers que vous devez
restaurer pour réparer le système.
Tripwire compare les fichiers contre les enregistrements de la
base de données et utilise l'information générée
pour déterminer si l'un de ces changements nécessitent une
enquête plus approfondie.Cet outil sera programmé pour
vérifier les fichiers à des heures régulières sur
le système contre les enregistrements de la base de données et
utilise l'information générée pour déterminer si
l'un de ces changements nécessite une enquête plus approfondie. Il
génère la ligne de base en prenant un instantané des
fichiers et des répertoires spécifiés dans un état
sûr connu.On présente ci-dessous la méthode de
fonctionnement de tripwire .[Voir Annexe T page 84.]
44 Chapitre 2. Sécurisation du serveur
FIGURE 2.21 - Diagramme de fonctionnement de
tripwire
Tripwire peut être configuré pour envoyer un
e-mail à un ou plusieurs comptes s'il détecte lors de son analyse
une violation d'un type spécifique de la politique .Notez qu'il faut
avoir comprendre ce que la politique de sécurité doit être
surveillée et qui devra être notifié quand ces
règles sont violées.Dans le cas des grands systèmes avec
multiple administrateurs ,selon le type de violation un administrateur obtient
un
2.4. Système de détection d'intrusion IDS
45
e-mail de notification.
FIGURE 2.22 - Exemple d'alerte tripwire
Etckeeper
Le répertoire etc est l'un des principaux
répertoires Linux , la raison de son importance et son rôle
essentiel dans le fonctionnement du système Linux es que presque tous
les fichiers de configuration du système se trouve ici .Les applications
nouvellement installées ,les bibliothèques système
intégrées accompagnées de leurs configurations ,les
changements de configuration et les mises à jour sont stockées
sous etc .Donc ,il est important d'identifier toute intrusion affecte cette
répertoire .
Avec etckeeper, on peut facilement gérer etc avec une
mécanisme de contrôle de version et garder une trace des
modifications effectuées dans /etc en le plaçant dans un
dépôt et minimiser la perte potentielle de données.Il
interagit avec la commande yum pour appliquer les changements automatiquement
à etc lorsque des paquets sont installés ou mis à
jour.Comme tripwire , etckeeper peut être configuré d'alerter
l'administrateur de tous changements affectant le répertoire etc . [Voir
Annexe E page 80].
46 Chapitre 2. Sécurisation du serveur
Si on change un fichier sous etc comme le fichier hosts
etckeeper détecte ce changement et envoie une alerte .
FIGURE 2.23 - Test de fonctionnement de
etckeeper
| 
