01net. - IDS : vers une protection rapprochée des serveurs

nos newsletters

nos magazines

IDS : vers une protection rapprochée des serveurs
Les systèmes de détection d'intrusion se regroupent en deux familles de produits, selon que l'on filtre les intrus à l'entrée du réseau ou à l'intérieur d'un serveur. Entre les avantages et les inconvénients de chacun, la tendance est au filtrage sur le serveur critique.

Lionel Sarrès , Internet Professionnel (n° 68), le 01/10/2002 à 00h00

Fondamentalement, il existe deux grandes familles de systèmes de détection d'intrusion (IDS), qui appliquent deux façons différentes de se protéger. La première, la plus ancienne, assure une surveillance du réseau. L'outil " écoute " le trafic sur un brin, il analyse toutes les trames en circulation afin d'y reconnaître les signes caractéristiques d'une attaque. Baptisés Network IDS ou NIDS, ces outils sont des PC dédiés, équipés d'une ou de deux cartes réseaux. Un NIDS ne contrôlant qu'un segment du réseau, il convient, pour une efficacité maximale, d'en déployer autant que l'on dispose de segments. Dans la pratique, les entreprises n'emploient bien souvent qu'un NIDS placé devant le coupe-feu, de façon à se prémunir le plus possible contre toutes les attaques qui viendraient de l'extérieur.

La seconde famille de produits s'apparente plus à une forme de protection rapprochée. Installé sur un serveur contenant des données critiques, l'outil logiciel surveille un certain nombre de fichiers, puis déclenche une alerte dès que l'on tente d'en supprimer ou d'en modifier un. Appelées Host-based IDS ou HIDS, ces logiciels consomment beaucoup de ressources, surtout lorsqu'ils détectent une intrusion ; l'attaque massive d'un serveur doté d'un HIDS provoquait un déni de service. Un problème qui, aujourd'hui, est en passe d'être réglé.

Reste les solutions hybrides (les Network Node IDS ou NNIDS), apparues sur le marché il y a deux ans, lorsque certains éditeurs ont lancé un HIDS capable de surveiller le brin du réseau sur lequel il est placé, c'est-à-dire de fonctionner comme un NIDS.

À l'image des antivirus, tous ces systèmes se réfèrent à une banque de signatures d'attaques contenue dans une base de données. Un procédé efficace, mais uniquement sur les intrusions répertoriées, pas sur leurs variantes. Certains laboratoires tentent donc de mettre au point des moteurs de détections heuristiques, sortes d'intelligences artificielles capables, après une phase d'apprentissage, de reconnaître un comportement " anormal " sur le réseau. Reste que ces dispositifs se révèlent encore peu fiables et qu'il demeure très difficile de leur apprendre ce qu'est un comportement " normal ".

Les Networks IDS restent onéreux

Les Network IDS filtrent le segment de réseau sur lequel ils sont postés. Placés devant un coupe-feu, ces dispositifs se révèlent très efficaces pour bloquer les attaques en provenance d'internet. Cependant, ce NIDS ne sait pas ce qui se passe sur les segments de réseau 1 et 2. Pour une efficacité maximale, il faudrait en déployer un sur chaque segment, une opération encore onéreuse.

Les HIDS consomment des ressources

Un détecteur d'intrusion HIDS s'installe directement sur le serveur à protéger. Malheureusement, il consomme d'autant plus de ressources qu'il subit d'attaques. Mieux vaut surdimensionner le serveur de façon à éviter des dénis de services un peu trop faciles.