Les différents types d'IDS

Un IDS a pour fonction d'analyser en temps réel ou différé les évènements en provenance des différents systèmes, de détecter et de prévenir en cas d'attaque. Les buts sont nombreux :

• collecter des informations sur les intrusions,
• gestion centralisée des alertes,
• effectuer un premier diagnostic sur la nature de l'attaque permettant une réponse rapide et efficace,
• réagir activement à l'attaque pour la ralentir ou la stopper.

Les systèmes de détection d'intrusion ou IDS peuvent se classer selon trois catégories majeures selon qu'ils s'attachent à surveiller :

• le trafic réseau : on parle d'IDS réseau ou NIDS(Network based IDS)
• l'activité des machines: on parle d'IDS Système ou HIDS(Host based IDS)
• une application particulière sur la machine : on parle d'IDS Application (Application based IDS). Contrairement aux deux IDS précédents, ils sont rares. Nous ne les traiterons donc pas.

Les NIDS Ces outils analysent le trafic réseau; ils comportent généralement une sonde qui "écoute" sur le segment de réseau à surveiller et un moteur qui réalise l'analyse du trafic afin de détecter les signatures d'attaques ou les divergences face au modèle de référence. Les IDS Réseaux à base de signatures sont confrontés actuellement à deux problèmes majeurs qui sont : l'utilisation grandissante du cryptage, et des réseaux commutés. En effet, il est d'une part plus difficile " d'écouter " sur les réseaux commutés et le cryptage rend l'analyse du contenu des paquets presque impossible. La plupart des NIDS sont aussi dits IDS inline car ils analysent le flux en temps réel. Pour cette raison, la question des performances est très importante. De tels IDS doivent être de plus en plus performants afin d'analyser les volumes de données de plus en plus importants pouvant transiter sur les réseaux.

Les HIDS Les IDS Systèmes analysent quant à eux le fonctionnement ou l'état des machines sur lesquelles ils sont installés afin de détecter les attaques. Pour cela ils auront pour mission d'analyser les journaux systèmes, de contrôler l'accès aux appels systèmes, de vérifier l'intégrité des systèmes de fichiers ... Ils sont très dépendants du système sur lequel ils sont installés. Il faut donc des outils spécifiques en fonction des systèmes déployés. Ces IDS peuvent s'appuyer sur des fonctionnalités d'audit propres ou non au système d'exploitation, pour en vérifier l'intégrité, et générer des alertes. Il faut cependant noter qu'ils sont incapables de détecter les attaques exploitant les faiblesses de la pile IP du système, typiquement les Dénis de service comme SYN FLOOD ou autre.

Les IDS hybrides (NIDS+HIDS) Les IDS hybrides rassemblent les caractéristiques de plusieurs IDS différents. En pratique, on ne retrouve que la combinaison de NIDS et HIDS. Ils permettent, en un seul outil, de surveiller le réseaux et les terminaux. Les sondes sont placées en des points stratégiques, et agissent comme NIDS et/ou HIDS suivant leurs emplacements. Toutes ces sondes remontent alors les alertes à une machine qui va centraliser le tout, et agréger/lier les informations d'origines multiples.

Placement des IDS Le placement des IDS va dépendre de la politique de sécurité menée. Mais il serait intéressant de placer des IDS :

• dans la zone démilitarisée (attaques contre les systèmes publics),
• dans le (ou les) réseau privé (intrusions vers ou depuis le réseau interne),
• sur la patte extérieure du firewall (détection de signes d'attaques parmi tout le trafic entrant et sortant, avant que n'importe quelle protection intervienne).

Il est important de bien définir les zones sensibles du système d'information, ainsi que les zones les plus attractives pour un pirate. Suivant que nous voulons faire du suivi, un audit, ou encore une simple détection (unique) des attaques, nous placerons plus ou moins de sondes sur le réseau.

Il faut aussi voir qu'au-delà de l'architecture du réseau, il faut prendre en compte l'organisation de la sécurité existante:

• recherche-t-on une administration centralisée ?
• quel est l'existant organisationnel de la surveillance du réseau ?
• quels sont les compétences et les moyens en internes pour gérer les IDS ?

Des cas concrets seront donnés à travers les explications sur le placement des sondes Prelude-IDS. Il faut cependant retenir que plusieurs cas sont envisageables, et une réflexion sur le réseau est à mener en amont.

L'évolution du marché Il existe aujourdui de nombreux produits dont la complexité de mise en oeuvre et le degré d'intégration sont très divers. Les outils strictement basés sur des modèles comportementaux sont actuellement en perte de vitesse. Mais ils sont de plus en plus intégrés à des IDS initialement basés sur une bibliothèque de signatures, étant donné leur complémentarité. Les IDS systèmes sont un peu en retrait face aux IDS réseaux. L'arrivée des IDS hybrides, qui apportent une sécurité moins parcellaire dans la protection du système d'information, pourrait remettre en question l'état du marché des IDS.

Les critères de choix Les systèmes de détection d'intrusion sont devenus indispensables lors de la mise en place d'une infrastructure de sécurité opérationnelle. Ils s'intègrent donc toujours dans un contexte et dans une architecture imposants des contraintes très diverses. Certains critères (toujours en accord avec le contexte de l'étude) peuvent être dégagés:

Fiabilité : Les alertes générées doivent être justifiées et aucune intrusion ne doit pouvoir lui échapper.

Réactivité : Un IDS doit être capable de détecter les nouveaux types d'attaques le plus rapidement possible ; pour cela il doit rester constamment à jour. Des capacités de mise à jour automatique sont pour ainsi dire indispensables.

Facilité de mise en oeuvre et adaptabilité : Un IDS doit être facile à mettre en oeuvre et surtout s'adapter au contexte dans lequel il doit opérer ; il est inutile d'avoir un IDS émettant des alertes en moins de 10 secondes si les ressources nécessaires à une réaction ne sont pas disponibles pour agir dans les mêmes contraintes de temps.

Performance : la mise en place d'un IDS ne doit en aucun cas affecter les performance des systèmes surveillés. De plus, il faut toujours avoir la certitude que l'IDS a la capacité de traiter toute l'information à sa disposition (par exemple un IDS réseau doit être capable de traiter l'ensemble du flux pouvant se présenter à un instant donné sans jamais supprimer de paquets) car dans le cas contraire il devient trivial de masquer les attaques en augmentant la quantité d'information.