next up previous contents
Next: Modularité de l'architecture Up: Points forts de cette Previous: Une surveillance continue et   Contents

Contrôle du payload

Un autre point important dans la sécurité : nous avons maintenant des outils de filtrage très intéressants qui nous permettent de faire du contrôle par protocole (icmp, tcp, udp), par adresse IP, jusqu'à du suivi de connexion (couches 3 et 4). Même si cela écarte la plupart des attaques, cela est insuffisant pour se protéger des attaques passant par des flux autorisés. Si cela est assez marginal, car difficile à mettre en place, l'ouverture de l'informatique au grand public et l'augmentation de ce type de connaissances font qu'il faudra un jour savoir s'en protéger efficacement. Nous pouvons évoquer les firewalls au niveau applicatif, mais de manière générale, la technique n'est pas au point. C'est ici qu'interviennent les IDS. Les IDS contrôlent tout le traffic, quel que soit le service (pop3, www, nntp, ...). C'est le contenu des trames qui est surveillé. C'est tout de même à différencer des antivirus qui étudient le code. Ici, les NIDS étudient la possible nuisance de données et ne contrôlent pas le contenu des fichiers... quoique, Prelude-IDS contient une règle pour parer l'attaque du vers qui attaquait les SGBD MSSQL. De plus, certains IDS comme Prelude-IDS archivent le payload des trames suspectes, ce qui permet à l'administrateur d'étudier le problème. Nous avons donc une solution efficace et bon marché de contrôler les payloads.
next up previous contents
Next: Modularité de l'architecture Up: Points forts de cette Previous: Une surveillance continue et   Contents
Lehmann Guillaume 2003-04-13