11.5.5
Sécurité physique des équipements
La sécurité physique vise à
définir des périmètres de sécurité
associés à des mesures de sécurité de plus en plus
strictes suivant la nature des équipements à protéger.
D'une manière générale, tout équipement
réseau ou lié au réseau doit être situé dans
des locaux dédiés, réservés au personnel
habilité (badge, clé, les carte à puce, etc.). De plus,
tous les accès doivent être archivés à des fins
d'investigation en cas d'incident de sécurité. Tout local
contenant des équipements de télécommunications doit
être protégé des menaces telles que l'humidité, le
feu, les inondations, la température, le survoltage, les coupures de
courant, etc. La localisation d'un tel local doit suivre des règles de
sécurité précises. Il est préférable qu'il
ne soit ni au rez-de-chaussée ni au dernier étage d'un immeuble
et qu'il ne se situe pas dans une zone géographique
réputée à risque (inondations, orages, etc.). D'autres
règles peuvent être définies selon les critères de
sécurité de l'entreprise, telles que le marquage des
matériels, un plan de maintenance pour les pièces de rechange,
des normes de sécurité centrales, etc.
La sécurité physique mérite que chaque
entreprise s'y attarde, afin de définir une politique de
sécurité adaptée pour protéger ses
équipements les plus critiques.
11.5.6 IDS :
Intrusion Detection System
Pour présenter le concept d'IDS, nous allons tout
d'abord présenter les différentes type d'IDS, chacun intervenant
à un niveau différent ensuite nous étudierons leur mode de
fonctionnement, c'est à dire les modes de détection
utilisés et les réponses apportées par les IDS.
11.5.6.1 Définition
« Intrusion Detection System », signifie
système de détection d'intrusion. C'est un logiciel, un
matériel ou une combinaison des deux utilisé pour détecter
l'activité d'un intrus[15].
11.5.6.2 Les différents types
d'IDS
La diversité des attaques utilisées par les
pirates et des failles exploitées par ces attaques sur les
différents niveaux des systèmes d'informations justifie
l'existence de plusieurs types d'IDS.
On distingue : NIDS, HIDS et les IDS hybrides.
· NIDS: Network Intrusion Detection System
Le rôle essentiel d'un « Network IDS
» est l'analyse et l'interprétation des paquets circulant sur
un réseau informatique. Ce type d'IDS écoute tout le trafic
réseau, analyse de manière passive les flux et détecte les
intrusions en temps réel afin de générer des alertes.
L'implantation d'un NIDS sur un réseau se fait de la
façon suivante : des capteurs sont placés aux endroits
stratégiques du réseau et génèrent des alertes
s'ils détectent une attaque. Ces alertes sont envoyées à
une console sécurisée, qui les analyse et les traite
éventuellement. Cette console est généralement
située sur un réseau isolé, qui relie uniquement les
capteurs et la console sur ce réseau.
Un capteur est une machine dont la carte réseau est
configurée en mode « promiscuous ». Pour cela, un
capteur possède en général deux cartes réseaux, une
placée en mode furtif sur le réseau, l'autre permettant de le
connecter à la console de sécurité. Du fait de leur
invisibilité sur le réseau, il est beaucoup plus difficile de les
attaquer et de savoir qu'un IDS est utilisé sur ce réseau.
· HIDS: Hosted-based Intrusion Detection System
Il s'agit des systèmes de détection d'intrusion
basés sur les hôtes. Les HIDS analysent le fonctionnement et
l'état des machines sur lesquelles ils sont installés afin de
détecter les attaques en se basant sur des démons de services.
L'intégrité des systèmes est alors vérifiée
périodiquement et des alertes peuvent être
générées.
Comme ils n'ont pas à contrôler le trafic du
réseau, mais "seulement" les activités d'un hôte, ils se
montrent habituellement plus précis sur les types d'attaques subies, par
exemple dans le cas d'une attaque réussie par un utilisateur, les HIDS
utilisent deux types de sources pour fournir une information sur
l'activité de la machine : les logs et les traces d'audit du
système d'exploitation. Les traces d'audit sont plus précises et
détaillées et fournissent une meilleure information.
· Les systèmes de détection
d'intrusion hybrides
Ces types d'IDS sont utilisés dans des environnements
décentralisés. Ils centralisent les informations en provenance de
plusieurs emplacements (capteurs) sur le réseau. Le but de ce type d'IDS
est d'avoir une vision globale sur les composants constituant un système
d'information en permettant une supervision centralisée en
matière d'alertes d'intrusions remontées par les NIDS et les HIDS
présents sur l'architecture du réseau supervisé. Les IDS
hybrides présentent les avantages des NIDS et HIDS sans leurs
inconvénients avec la normalisation des formats et centralisation des
événements.
En dehors des IDS précédents, d'autres types de
systèmes de détection d'intrusion ont vu le jour afin de contrer
les nouvelles attaques des pirates, à savoir les systèmes de
détection d'intrusion basée sur une application (ABIDS), les
systèmes de détection d'intrusion de noeud réseau (NNIDS).
· ABIDS: Application Based Intrusion Detection
System
Les systèmes de détection d'intrusion
basés sur une application, sont des IDS sous-groupe des HIDS. Ils ont
pour rôle de contrôler l'interaction entre un utilisateur et un
programme. Puisque les ABIDS opèrent entre un utilisateur et une
application, il est beaucoup plus facile de filtrer tout comportement suspect
et anormal de l'application surveillée afin de fournir des informations
sur les activités du service proposé par l'application.
· NNIDS: Network Node Intrusion Detection system
Les systèmes de détection d'intrusion de noeud
réseau, sont de nouveaux types d'IDS qui fonctionnent comme les
NIDS classiques, c'est-à-dire l'analyse des paquets du trafic
réseau. Mais ceci ne concerne que les paquets destinés à
un noeud du réseau (d'où le nom). Une autre différence
entre NNIDS et NIDS vient de ce que le NIDS fonctionne en mode «
promiscuous », ce qui n'est pas le cas du NNIDS. Celui-ci n'étudie
que les paquets à destination d'une adresse ou d'une plage d'adresses.
Puisque tous les paquets ne sont pas analysés, les performances de
l'ensemble sont améliorées.
De nouveaux types d'IDS sont conçus actuellement, comme
les IDS basés sur la pile, qui étudient la pile d'un
système. Le secteur des IDS est en plein développement, le besoin
des entreprises en sécurité réseaux étant de plus
en plus pressant, du fait de la multiplication des attaques. Actuellement, les
IDS les plus employés sont les NIDS et HIDS, de plus en plus souvent en
association. Les ABIDS restent limités à une utilisation pour des
applications extrêmement sensibles. Nous allons à présent
étudier le mode de fonctionnement d'un IDS.
| 
