Par Xavier GRUSELLE et Grégory ALLAIN (Site optimisé pour Firefox 1.5)

Liens conseillés

• Détection d'intrusion Systèmes de détection d'intrusion: vocabulaire, terminologie, critère de choix, positionnement, utilité...
• La sécurité "by-design"Une vue d'ensemble sur la sécurité informatique par la société TWD Industries
• Présentation sur les IDSUne présentation simple mais efficace des systèmes IDS par la societe HSC
• Serveur-proxy type FirewallComme son nom l'indique : Qu'est ce qu'un serveur proxy de type Firewall
• HIDS/NIDSUn site trés complet sur les IDS et la sécurité informatique en général
• FAQ IDS (Anglais)Un FAQ complet sur les IDS et autres, malheureusement en anglais
• Définitions IDSUn rapide rappel sur les définitions liées aux IDS
• Site officiel de SquidComme son nom l'indique, le site officiel du célébre serveur proxy
• Wiki sur SquidUn court aperçu du logiciel avec quelques liens
• CCM - les IDSLe célébre site 'Comment ça marche' s'intéresse ici aux IDS
• Un tutorial sur les ACLsQu'est ce qu'une ACL, comment la modifier...Un paranorama sur les listes de contrôles d'accès
• Tenable Network SecurityLe site de la société Tenable Network Security Inc.
• Internet Security SystemsLe site de la société Internet Security Systems (ISS)
• Solution IPS CiscoUn apercu des solutions IPS proposées par la société Cisco
• Solution IDS EnteraSysUn apercu des solutions IDS proposées par la société EnteraSys Security

La base

Le protocole TCP/IP est le protocole de base d'internet, puisqu'il assure la transmission de données. Sur l'ordinateur de l'expéditeur, TCP (Transmission Control Protocol) découpe l'information à envoyer en petits paquets facilement transportables, puis IP (Internet Protocol) achemine les paquets en empruntant le chemin le plus court parmi les machines constituant le réseau. Chaque machine y est identifiée par un numéro unique, actuellement composé de 12 chiffres (IPv4) : la fameuse adresse IP (XXX.XXX.XXX.XXX).

En plus de la portion d'information qu'il transporte, chaque paquet comporte des données de contrôle (notamment les adresses IP de l'expéditeur et du destinataire), ce qui permet aux différents paquets de se retrouver au final sur un seul et même ordinateur. A l'arrivée chez le destinataire, TCP reconstitue l'information initialement envoyée à partir des paquets reçus.

TCP/IP est un protocole particulièrement ingénieux, mais qui n'a pas vraiment été pensé en termes de sécurité.

Des individus malintentionnés peuvent ainsi espionner vos communications en interceptant les paquets de données, dont le contenu n'est pas crypté. Ce risque reste toutefois mineur dans le cas d'une connexion à internet, car les paquets sont susceptibles d'emprunter des chemins très différents. Par ailleurs, d'autres protocoles viennent compléter TCP/IP lorsqu'il s'agit par exemple d'assurer la sécurisation des paiements en ligne, et il est également possible de crypter le contenu des transmissions avant de les envoyer.

Aussi, le risque le plus sérieux est celui de plantage ou d'intrusion dans votre ordinateur, notamment si vous disposez d'une adresse IP fixe (câble, ADSL, ligne spécialisée, etc.) : le pirate a alors tout son temps pour étudier votre système et tenter d'y trouver une faille. Mais même si vous disposez d'une adresse IP dynamique (c'est-à-dire qui change à chaque connexion à votre fournisseur d'accès), vous n'êtes pas à l'abri : outre les logiciels permettant de scanner automatiquement des plages d'adresses IP, certains programmes trahissent votre adresse IP lorsque vous êtes connectés.

L'idéal est de pouvoir surveiller chaque paquet de données entrant ou sortant, en examinant ses données de contrôle : c'est ce que permet un firewall, également appelé pare-feu. C'est un système permettant de protéger un ordinateur ou un réseau d'ordinateurs des intrusions provenant d'un réseau tiers (notamment internet). Aussi il permet de filtrer les paquets de données échangés avec le réseau, il s'agit ainsi d'une passerelle filtrante comportant au minimum les interfaces réseau suivante :

• une interface pour le réseau à protéger (réseau interne)
• une interface pour le réseau externe

En découle deux buts principaux:

1- Contrôler et protéger les hôtes du réseau local :

• Contre la divulgation non autorisée d’informations sensibles:
  Dans tous système informatique, certaines informations sont très importantes et doivent rester confidentiels. Lorsque celle-ci sont dérobées, elles peuvent être utilisées à l’insu de la personne qui les possédaient initialement.
• Contre les virus de toutes sortes
• Contre les attaques par "cheval de Troie "
• Contre l''espionnage industriel :
  Ce point concerne essentiellement les entreprises soucieuses de conserver des informations secrètes. La concurrence pourrait-être tenter d’utiliser Internet pour obtenir ces informations.
• Contre la destruction de fichiers :
  Dans un système, de nombreux fichiers vitaux à celui-ci sont souvent les cibles privilégiées des pirates informatiques. En effet, à la suite d’une intrusion, ces fichiers sont la plupart détruit pour ne pas laisser de traces et laisser la porte ouverte au autres pirates.
• Contre l'utilisation du système :
  De nombreux systèmes sont interconnectées les unes avec les autres. Si il est parfois difficile de pénétrer directement dans le réseau à atteindre, les pirates ont la possibilté de passer par des " portes dérobées " ; Ils peuvent décider de s’introduire dans d’autres sous-systèmes qui " font confiance " à votre système pour arriver à leur fin. Cette méthode est courante bien qu’elle nécessite de très bonnes notions de routage.

2- Protéger les serveurs Internet

• contre des commandes jugées dangereuses associées à des services du type "telnet " et "sendmail "
• contre la modification ou la suppression non autorisée de fichiers vitaux pour le système

Le système firewall est un système logiciel, reposant parfois sur un matériel réseau dédié, constituant un intermédiaire entre le réseau local (ou la machine locale) et un ou plusieurs réseaux externes. Il est possible de mettre un système pare-feu sur n'importe quelle machine et avec n'importe quel système pourvu que :

• La machine soit suffisamment puissante pour traiter le traffic ;
• Le système soit sécurisé ;
• Aucun autre service que le service de filtrage de paquets ne fonctionne sur le serveur.

Dans le cas où le système pare-feu est fourni dans une boîte noire « clé en main », on utilise le terme d'« appliance ».
Néanmoins plusieurs facteurs compliquent l’installation d’un système de filtrage des paquets :

• l’accès asymétrique (les connexions de sortie sont plus accordées que celles rentrante)
• les privilèges particuliers de certains groupes d’ordinateurs du réseau intérieur ou extérieur.
• les caractéristiques des différents protocoles et services (pour lesquels le filtrage est mis en place).

Dream © 2006