Placés en amont d’un serveur ou d’une application critique à surveiller (serveur web, DNS, coupe-feu, etc. ) les outils de détection d’intrusion (IDS, Intrusion Detection System) analysent les flux IP en temps réel, à la recherche d’événements suspects. La sonde est installée sur un serveur connecté au brin de réseau à surveiller, réseau aussi bien Internet qu’intranet. Le serveur est équipé d’une carte réseau sans adresse IP pour éviter toute détection de la sonde. “La sonde ne surveille qu’une partie du flux, celle que nous lui avons désignée. Elle peut également surveiller les flux sortants pour vérifier si quelqu’un essaie de rebondir sur nos machines”, explique Stéphane Mosse, directeur technique de CDTEL. Certains produits offrent également des modules logiciels qui s’installent sur le coupe-feu ou les routeurs. Les principaux éditeurs s’appellent aujourd’hui Cisco, ISS, Axent ou Computer Associates. L’IDS s’appuie sur une liste de scénarios d’attaques (signatures) connus et définis dans leur bibliothèque. Cette dernière doit donc être mise à jour en permanence, pour intégrer la détection des nouveaux types d’attaques. Lorsqu’une signature est détectée, une alerte est envoyée à l’administrateur réseau sur sa messagerie, son téléphone ou même son pager. En cas d’alerte grave, la sonde peut envoyer un ordre au coupe-feu, qui stoppera l’adresse IP d’où émane l’attaque. Les IDS émettent également une liste de rapports quotidiens et les fichiers log de la journée. “La lecture de ces rapports et l’analyse des fichiers log deviennent rapidement fastidieuses. Il est impératif de les confier à un expert qui saura remarquer les signatures suspectes. Nous avons d’ailleurs préféré déléguer cette tâche à notre prestataire spécialisé dans la sécurité”, remarque Stéphane Mosse. La qualité des rapports émis par la sonde est d’ailleurs l’un des éléments à étudier lors de l’achat d’un IDS. “Les rapports ne sont effectivement pas toujours très pertinents. Les sondes ont tendance à détecter beaucoup d’événements, y compris des fausses alarmes”, constate Thierry Ravez, responsable du service réseaux et télécoms à la direction informatique du groupe Crédit du Nord. Outils complexes, les systèmes de détection d’intrusion nécessitent des compétences techniques particulières. “Ils sont très lourds à administrer, sans compter que leur installation et leur paramétrage en fonction des éléments à vérifier demandent une extrême rigueur”, analyse Stéphane Mosse.
Des outils inutiles sans des précautions élémentaires
Le plus important est de respecter des règles simples en matière de sécurité. Les failles de sécurité des principaux serveurs du marché (serveurs NT, de Netscape ou d’Apache) sont aujourd’hui largement connues des entreprises et des pirates.
Malheureusement, comme le démontre régulièrement l’équipe de Kitetoa (www. kitetoa. com), les administrateurs réseaux n’y prennent encore que trop peu souvent garde. Et dans ce cas, inutile de multiplier coupe-feu et sondes de détection d’intrusion ! “Il existe des options installées par défaut dans les serveurs Microsoft IIS qui permettent de lire les pages ASP. Si personne ne pense à les désactiver, on peut accéder comme on veut au contenu du serveur, note Stéphane Mosse. De même, une des règles prioritaires reste la modification régulière des mots de passe.”Enfin, une fois mise en place, la politique de sécurité de l’entreprise doit être testée régulièrement, notamment par des tests d’intrusion.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.