Par Xavier GRUSELLE et Grégory ALLAIN (Site optimisé pour Firefox 1.5)

Liens conseillés

• Détection d'intrusion Systèmes de détection d'intrusion: vocabulaire, terminologie, critère de choix, positionnement, utilité...
• La sécurité "by-design"Une vue d'ensemble sur la sécurité informatique par la société TWD Industries
• Présentation sur les IDSUne présentation simple mais efficace des systèmes IDS par la societe HSC
• Serveur-proxy type FirewallComme son nom l'indique : Qu'est ce qu'un serveur proxy de type Firewall
• HIDS/NIDSUn site trés complet sur les IDS et la sécurité informatique en général
• FAQ IDS (Anglais)Un FAQ complet sur les IDS et autres, malheureusement en anglais
• Définitions IDSUn rapide rappel sur les définitions liées aux IDS
• Site officiel de SquidComme son nom l'indique, le site officiel du célébre serveur proxy
• Wiki sur SquidUn court aperçu du logiciel avec quelques liens
• CCM - les IDSLe célébre site 'Comment ça marche' s'intéresse ici aux IDS
• Un tutorial sur les ACLsQu'est ce qu'une ACL, comment la modifier...Un paranorama sur les listes de contrôles d'accès
• Tenable Network SecurityLe site de la société Tenable Network Security Inc.
• Internet Security SystemsLe site de la société Internet Security Systems (ISS)
• Solution IPS CiscoUn apercu des solutions IPS proposées par la société Cisco
• Solution IDS EnteraSysUn apercu des solutions IDS proposées par la société EnteraSys Security

Conclusion

Nous pouvons nous demander quel ets l'avenir des technologies IDS. La détection des intrusions est-elle en passe de devenir la technologie incourtournable des années à venir ou s'agit-il simplement d'un feu de paille? C'est la question délicate à laquelle la plupart des analystes et des acteurs du marché de la sécurité informatique tentent de répondre depuis près d'un an, avec toutefois une majorité plaidant en faveur de la première hypothèse. Néanmoins deux points importants freinent l'adoption généralisée des IDS, à savoir:

• Le manque de procédures organisationnelles. En effet la mise en place d'un système de détection des intrusions est un projet structurant qui implique la définition préalable d'une politique de sécurité et de gestion des incidents. Peu d'entreprises ont effectué ces démarches et c'est ce qui explique que de nombreux systèmes de détection achetés ces dernières années ne sont pas pleinement exploités.
• Le taux élevé de fausses alertes. Cet argument est à sûrement le plus contestable car, bien que les sytèmes actuels génèrent encore de nombreux faux positifs, les progrès faits en algorithmie et en méthodes de corrélation des informations rendent les IDS plus fiables et plus performants de jour en jour.

                L'évolution des modes de fonctionnement des entreprises les expose à de nombreux risques nouveaux et il est certain que le besoin en détection et en prévention des intrusions devrait tout naturellement s'intensifier dans les années à venir, que ce soit sous forme de produits dédiés ou de composantes embarquées. Différents acteurs du marché de ml'infrastructure commencent d'ailleurs à intégrer des mécanismes de détection avancés au sein de leurs routeurs ou firewalls mais il faut bien garder à l'esprit qu'il ne s'agit que d'un sous ensemble des fonctions offertes par un IDS. Il est illusoire à ce jour de prétendre embarquer la totalité des fonctions d'un IDS au sein d'un firewall du fait de nombreuses contraintes technologiques que cela impose.

                Les technologies de détection auront toutefois plusieurs défis importants à relever dans les années qui viennent ne serait ce que l'élargissement du concept d'intrusion. Les IDS actuels se focalisent essentiellement sur les attaques dont le but est la compromission ou la paralysie d'un système mais une autre forme d'intrusion visant à violer l'anonymat des utilisateurs tend à se développer. Ce type d'intrusion, dont la motivation est suvent commerciale, consiste par exemple à dresser les habitudes des utilisateurs au moyen de logiciel espions (les spywares, tel que les cookies traceurs) ou encore à inonder l'utilisateur de messages non sollicités (les fameux spams, qui constitue à notre sens une forme de déni de service). L'affaire Lover Spy est d'ailleurs un bel exemple de dérive provoquée par ces « espiogiciels ». L'utilisation de ce type de logiciels n'est pas toujours détectée par les IDS mais de plus en plus d'éditeurs commencent à prendre en compte ces nouvelles menaces au sein de leurs produits.

                L'amélioration de la vitesse de traitement des informations est un autre défi que devront relever les IDS. Au cours des dernières années, les infrastructures LAN et WAN ont connu un accroissement de débit de progression géométrique et il n'est pas rare de déployer des IDS sur des artères présentant une bande passante de l'ordre de 100Mbps, voire 1Gbps. Le traitement logiciel des paquets effectué par les systèmes de détection est complexe et il est quasiment impossible d'analyser des flux à ces débits sans perdre des données. Les constructeurs et les éditeurs devront donc proposer des solutions techniques qui permettent de contourner cette limitation : systèmes de clusters,codages de certaines fonctionnalités au sein d'ASIC travaillant dans les couches hautes, multithreading...

                Un autre point important que devront prendre en compte aussi bien les fournisseurs de solutions que les utilisateurs est lié à la migration des infrastructures vers le protocole Ipv6. Ce dernier demeure encore largement minoritaire mais est amené à terme à remplacer la version actuelle. L'arrivée de Ipv6 risque fort de donner le jour à de nouvelles techniques d'intrusions encore inconnues et les IDS actuels devront probablement être partiellement redéveloppés pour prendre en compte ces nouvelles menaces.

                Le tableau ci-dessous suggère une série d'actions à mettre en place dans le cadre de l'adoption de technologie IDS, tant du point de vue des utilisateurs que des fournisseurs de solutions.

 

                L'arrivée récente de solutions de type IPS pourrait aider les organisations à se protéger plus efficacement contre les intrusions qu'avec simplement un IDS. En effet, le fait d'utiliser des sytèmes qui ont été conçus dans une optique de prévention des intrusions et non plus simplement de détection permet de se défendre de manière proactive et non plus réactive uniquement. Contrairement à une fausse croyance populaire, les IPS et les IDS ne sont pas des technologies concurrentes ou exclusives. Il est probable que dans un futur proche une stratégie efficace de défense passe plutôt par l'utilisation de ces deux types de solutions :

• L'IPS sert à bloquer instantanément les attaques identifiées de manière formelles (généralement les attaques s'appuyant sur TCP ou les dénis de service).
• L'IDS continue à analyser les flux suspects qui n'ont pas été bloqués par l'IPS pour ne pas perturber les communications.

                Si les IDS, les IPS et les antivirus sont encore considérés comme des sytèmes distincts aujourd'hui, il est possible qu'un futur proche voie l'arrivée de solutions conbinant des fonctionnalités de détection et prévention des intrusions, d'antivirus et de firewalls.

Dream © 2006