III1. DEPLOIEMENT DES OUTILS DE MONITORING
III.1.1. La détection d'intrusion en
général
III.1.1.1 Présentation de la détection
d'intrusion
En effet, de plus en plus d'entreprises subissent des attaques
qui peuvent entraîner des pertes conséquentes. Le besoin des
entreprises en sécurité informatique est de plus en plus
important, et un élément essentiel d'une bonne politique de
sécurité est l'utilisation d'un IDS.
Un IDS a principalement pour fonction d'analyser en temps
réel ou différé les événements en provenance
des différents systèmes, de détecter et de prévenir
en cas de signes d'attaques visibles contre le système d'information. Il
s'agit d'un équipement permettant de surveiller l'activité d'un
réseau ou d'un hôte donné, afin de détecter toute
tentative d'intrusion et éventuellement de réagir à cette
tentative. Cela a pour but de repérer les activités et
évènements anormaux, suspects. Cela permet ainsi d'avoir une
action de prévention sur les différents risques d'intrusion.
III.1.1.2 Fonctionnalités d'un système
d'IDS [1]
Un IDS permet de repérer des anomalies dans le trafic
réseau. Les anomalies du trafic réseau sont les
suivantes :
V' Une attaque ciblée. Dans ce cas un IDS peut :
> Détecter les tentatives de découvertes du
réseau, qui sont la phase préparatoire
à une attaque proprement dite. En effet, l'attaquant va
d'abord tenter de découvrir l'architecture technique du Système
d'Information (SI). Il voudra connaître les versions des logiciels et
systèmes d'exploitation utilisés, afin de rechercher sur Internet
si des faiblesses existent sur ces versions.
> Détecter l'attaque ou « exploit »
utilisé lors de l'attaque. Détecter dans certains
cas, si l'attaque a réussi ou non (par exemple
réponse login acceptée).
> Détecter le Déni de Service (DoS) qui consiste
à envoyer à un serveur des
requêtes inutiles pour le surcharger et diminuer ses
performances (temps de réponse).
1' Une attaque d'ampleur de type « ver ». Un ver est un
virus qui se reproduit tout seul
dans le réseau. Il génère donc un trafic
réseau qui peut être reconnu par un IDS. Dans ce cas on peut :
> Détecter le niveau d'infection du SI et les zones
réseaux touchées.
> Repérer rapidement les machines infectées.
v' Un réseau mal configuré. Dans ce cas :
L'IDS analyse l'ensemble des messages de type maintenance du
réseau (protocole ICMP) et détecte les problèmes de
configuration, qui autrement finiraient par rendre le réseau peu
performant, voir instable. Des systèmes utilisant de vieux protocoles
peu sécurisés et non autorisés comme telnet, rlogin, ftp.
Dans ce cas, les buts sont nombreux :
> Collecter les traces d'intrusion pour servir de preuves s'il
y a un
processus légal de lancées ;
> alerter de façon centrale pour toutes les attaques
;
> réagir aux attaques et corriger les problèmes
éventuels.
| 
