Optimisation de la sécurité de la performance et virtualisation d'un serveur linux.

2.4.4 Les détecteurs d'intrusions réseau NIDS

NIDS ou Network Intrusion Detection System est un outil qui analyse les paquets réseau à la recherche à la recherche des signatures associées à des intrusions . J'ai principalement utilise, au cours de mon stage un NIDS , snort .

Snort un système de détection d'intrusion multiplatformes édité par Martin Roesch ,basé sur le réseau en analysant la totalité des données réseau utilisant le protocole IP .Puis chaque paquet sera analysé et selon des règles prédéfinies ,il effectue une action .la liste d'action snort comprend en premier lieu l'alerte d'admi-nistrateur ,loguer les paquets ou encore bloquer les paquets ou rejeter la connexion .Suite à la réception d'un paquet malicieux, l'une des règles prendre action .Lors d'un blocage d'un paquet ou de rejet d'une connexion ,snort se comporte comme système de prévention des intrusions IPS.Voici la structure de l'alerte : <Règle Actions> <Protocole> <Adresse IP Source> <Port Source> <opérateur Direction> <Adresse IP de destination> <Destination> (options de règle) .[Voir Annexe S page 83]

50 Chapitre 2. Sécurisation du serveur

FIGURE 2.28 - Structure du règle snort

Les alertes Snort étant basées sur la signature des paquets illégitimes, le moteur de Snort doit être capable d'analyser le contenu des flux réseaux. A fin de réaliser cette opération, un ensemble de décodeurs ainsi que TCP ,UDP,ICMP et IP sont disponible sous snort pour lui permettre d'analyser intrinsèquement le contenu des flux.Grâce a ces décodeurs , il est facile d'écrire des règles snort en fonction des options spécifiques au protocole concerné ou des valeurs de certains champs utilisés et par suite les règles deviendront plus précis .

Pour mieux observer le principe de construction des règles Snort, je présente ci dessous un exemple simple de règle : détecter une injection SQL.

Cette règle lance une alerte identifié par le message Injection sql ,si Snort détecte que la chaîne de caractères SELECT * FROM est transmise au serveur web sur le port tcp :80 ,WEB-SERVER est une variable Snort qui contient l'adresse IP du serveur Web.

FIGURE 2.29 - Exemple de règle snort de détection d'une injection sql

Dans cette section je présente aussi quelques diagrammes de cas d'utilisation et de séquence concernant notre modèle de détection d'intrusion snort .

2.4. Système de détection d'intrusion IDS 51

FIGURE 2.30 - Diagramme cas d'utilisation snort

L'administrateur peut gérer les règles de snort en automatisant une mise à jour automatique des règles, le site officiel snort.org offre les dernières mise à jour des règles ou en éditant manuellement les règles .

Snort est un NIDS performant, capable de traiter de grandes quantités de don-

FIGURE 2.31 - Diagramme de séquence snort

52 Chapitre 2. Sécurisation du serveur

nées,il fonctionne selon plusieurs modes ,un sniffer qui capture et affiche les paquets réseau ,comme un paquet logger qui enregistre les paquets pour les analyser ultérieurement ,comme un IDS et en Inligne mode qui obtient les paquets iptables et décide le comportement du pare-feu . IL dispose d'un jeu de règles évolue permettant d'obtenir des informations très précises sur les incidents en cours sur le réseau

.

Pour conclure ,Les éléments décrits plus haut doivent être la base de la stratégie de sécurité d'un serveur Linux ,et malgré que ces opérations sont complexes à les maîtriser ils sont très efficaces et fiables pour lutter contre les attaques et les failles de sécurité .La surveillance du serveur est aussi un autre moyen efficace pour s'en protéger .