Passer au contenu

IDS : vers une protection rapprochée des serveurs

Les systèmes de détection d’intrusion se regroupent en deux familles de produits, selon que l’on filtre les intrus à l’entrée du réseau ou à l’intérieur d’un serveur. Entre les avantages et les inconvénients de chacun, la tendance est au filtrage sur le serveur critique.

Fondamentalement, il existe deux grandes familles de systèmes de détection d’intrusion (IDS), qui appliquent deux façons différentes de se protéger. La première, la plus ancienne, assure une surveillance du réseau. L’outil “écoute” le trafic sur un brin, il analyse toutes les trames en circulation afin d’y reconnaître les signes caractéristiques d’une attaque. Baptisés Network IDS ou NIDS, ces outils sont des PC dédiés, équipés d’une ou de deux cartes réseaux. Un NIDS ne contrôlant qu’un segment du réseau, il convient, pour une efficacité maximale, d’en déployer autant que l’on dispose de segments. Dans la pratique, les entreprises n’emploient bien souvent qu’un NIDS placé devant le coupe-feu, de façon à se prémunir le plus possible contre toutes les attaques qui viendraient de l’extérieur.La seconde famille de produits s’apparente plus à une forme de protection rapprochée. Installé sur un serveur contenant des données critiques, l’outil logiciel surveille un certain nombre de fichiers, puis déclenche une alerte dès que l’on tente d’en supprimer ou d’en modifier un. Appelées Host-based IDS ou HIDS, ces logiciels consomment beaucoup de ressources, surtout lorsqu’ils détectent une intrusion ; l’attaque massive d’un serveur doté d’un HIDS provoquait un déni de service. Un problème qui, aujourd’hui, est en passe d’être réglé.Reste les solutions hybrides (les Network Node IDS ou NNIDS), apparues sur le marché il y a deux ans, lorsque certains éditeurs ont lancé un HIDS capable de surveiller le brin du réseau sur lequel il est placé, c’est-à-dire de fonctionner comme un NIDS.À l’image des antivirus, tous ces systèmes se réfèrent à une banque de signatures d’attaques contenue dans une base de données. Un procédé efficace, mais uniquement sur les intrusions répertoriées, pas sur leurs variantes. Certains laboratoires tentent donc de mettre au point des moteurs de détections heuristiques, sortes d’intelligences artificielles capables, après une phase d’apprentissage, de reconnaître un comportement “anormal” sur le réseau. Reste que ces dispositifs se révèlent encore peu fiables et qu’il demeure très difficile de leur apprendre ce qu’est un comportement “normal“.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Lionel Sarrès