Objectifs : - Définition de la notion du sécurité.
Les systèmes de détection d'intrusions
1. Introduction
1.1 Pourquoi les systèmes sont-ils vulnérables?
La sécurité est devenue un point crucial des systèmes d'informations. Cependant, les organisations sont peu ou pas protégées contre les attaques sur leur réseau ou les hôtes du réseau. Dorothy DENNING, après avoir donné des chiffres montrant l'importance du nombre d'attaques dans le monde, nous donne des raisons visant à démontrer la vulnérabilité des systèmes d'informations.
La première raison qui fait que les systèmes sont mal protégés est que la sécurité coûte chère. Les organismes
n'ont pas de budget alloué à ce domaine. Elle souligne également que la sécurité ne peut être sûr à 100%, voire qu'elle est même souvent inefficace. Aurobindo SUNDARAM nous en donne les raisons : les bugs dans les programmes sont courants et seront toujours exploitables par les attaquants. De plus, même la cryptographie a ses faiblesses et les mots de passe, par exemple, peuvent être cassés. Il n'existe pas d'organisation centralisée gérant l'ensemble des clefs et autres éléments de cryptographie. Enfin, même un système fiable peut être attaqué par des personnes abusant de leurs droits légitimes.
n'ont pas de budget alloué à ce domaine. Elle souligne également que la sécurité ne peut être sûr à 100%, voire qu'elle est même souvent inefficace. Aurobindo SUNDARAM nous en donne les raisons : les bugs dans les programmes sont courants et seront toujours exploitables par les attaquants. De plus, même la cryptographie a ses faiblesses et les mots de passe, par exemple, peuvent être cassés. Il n'existe pas d'organisation centralisée gérant l'ensemble des clefs et autres éléments de cryptographie. Enfin, même un système fiable peut être attaqué par des personnes abusant de leurs droits légitimes.
Dorothy DENNING ajoute d'autres raisons démontrant les vulnérabilités des systèmes : la politique de sécurité est complexe et est basée sur des jugements humains. On trouve notamment des faiblesses dues à la gestion et à la configuration des systèmes. Il y a aussi en permanence de nouvelles technologies qui émergent, et par là-même, de nouveaux points d'attaques. En dernier point, les organisations acceptent de courir ce risque, la sécurité n'étant pas leur principale priorité.
Pour exploiter ces faiblesses, les attaquants profitent de la négligence des utilisateurs vis-à-vis de leurs droits et autorisations d'accès, en se faisant passer pour un employé du service informatique dans le but d'obtenir des informations. Ils peuvent aussi casser les clefs d'une longueur insuffisante ou les mots de passe par une attaque systématique. Ils peuvent se mettre à l'écoute sur le réseau pour obtenir des informations. Ils peuvent changer leur adresse réseau pour se faire passer pour quelqu'un de confiance. Ils ont la possibilité d'injecter du code comme un virus ou un cheval de Troie sur la cible. Enfin, ils peuvent exploiter les faiblesses des applications, des protocoles ou des systèmes d'exploitation.
1.2 Introduction à la sécurité des systèmes d'informations
Etant donné le nombre de systèmes attaqués ces dernières années et les enjeux financiers qu'ils abritent, les
systèmes d'informations se doivent aujourd'hui d'être protégés contre les anomalies de fonctionnement provenant soit d'une attitude intentionnellement malveillante d'un utilisateur, soit d'une faille rendant le système vulnérable.
systèmes d'informations se doivent aujourd'hui d'être protégés contre les anomalies de fonctionnement provenant soit d'une attitude intentionnellement malveillante d'un utilisateur, soit d'une faille rendant le système vulnérable.
Du fait du nombre toujours croissant de personnes ayant accès à ces systèmes par le biais d'Internet, la politique de sécurité se concentre généralement sur ce point d'entrée du réseau interne. La mise en place d'un pare-feu est devenu indispensable afin d'interdire l'accès aux paquets indésirables. On peut, de cette façon, proposer une vision restreinte du réseau interne vu de l'extérieur et filtrer les paquets en fonction de certaines caractéristiques telles qu'une adresse ou un port de communication.
Cependant, ce système de forteresse est insuffisant s'il n'est pas accompagné d'autres protections. Citons la protection physique des informations par des accès contrôlés aux locaux, la protection contre les failles de configuration par des outils d'analyse automatique des vulnérabilités du système, ou encore la protection par des systèmes d'authentification fiables pour que les droits accordés à chacun soient clairement définis et respectés, ceci afin de garantir la confidentialité et l'intégrité des données.
Faire de la sécurité sur des systèmes d'informations consiste à s'assurer que celui qui modifie ou consulte des données du système en a l'autorisation et qu'il peut le faire correctement car le service est disponible.
Même en mettant en place tous ces mécanismes, il reste encore beaucoup de moyens pour contourner ces protections. Pour les compléter, une surveillance permanente ou régulière des systèmes peut être mise en place :
ce sont les systèmes de détection d'intrusions. Ils ont pour but d'analyser tout ou partie des actions effectuées sur le système afin de détecter d'éventuelles anomalies de fonctionnement.
1.3 L'audit de sécurité
L'audit de sécurité permet d'enregistrer tout ou partie des actions effectuées sur le système. L'analyse de ses informations permet de détecter d'éventuelles intrusions. Les systèmes d'exploitation disposent généralement de systèmes d'audit intégrés, certaines applications aussi. Les différents évènements des systèmes sont enregistrés dans un journal d'audit qui devra être analysé fréquemment, voire en permanence. Sur les réseaux, il est indispensable de disposer d'une base de temps commune pour estampiller les évènements.
Voici les types d'informations à collecter sur les systèmes pour permettre la détection d'intrusions. On y trouve les informations sur les accès au système (qui y a accédé, quand et comment), les informations sur l'usage fait du système (utilisation du processeur, de la mémoire ou des entrées/sorties) et les informations sur l'usage fait des fichiers.
L'audit doit également permettre d'obtenir des informations relatives à chaque application (le lancement ou l'arrêt des différents modules, les variables d'entrée et de sortie et les différentes commandes exécutées). Les informations sur les violations éventuelles de la sécurité (tentatives de commandes non autorisées) ainsi que les informations statistiques sur le système seront elles aussi nécessaires.
Notons que ces nombreuses informations occupent beaucoup de place et sont très longues à analyser. Ces informations devront être, au moins pour un temps, stockées quelque part avant d'être analysées par le système de détection d'intrusions.
Suivant >>> Classification des systèmes de détection d'intrusions.
Aucun commentaire:
Enregistrer un commentaire