Les systèmes de détection d'intrusions actuels dans les réseaux Informatique
Objectifs : - Définition de la notion du sécurité.
- Classification des systèmes de détection d'intrusions.
- Les systèmes de détection d'intrusions.
- Utilisation des agents mobiles dans les systèmes de détection d'intrusions.
Les systèmes de détection d'intrusions
3 Les systèmes de détection d'intrusions actuels
3.1 Modèle de base d'un système de détection d'intrusions
Le premier système de détection d'intrusions a été proposé en 1980 par James ANDERSON. Il en existe maintenant beaucoup d'autres, commerciaux ou non. La majorité de ses systèmes se basent sur les deux approches, comportementale et par scénarios.
Stefan AXELSSON donne un modèle d'architecture de base pour un système de détection d'intrusions. Du système surveillé, un module s'occupe de la collecte d'informations d'audit, ces données étant stockées quelque part. Le module de traitement des données interagit avec ces données de l'audit et les données en cours de traitement, ainsi qu'avec les données de référence (signatures, profils) et de configuration entrées par l'administrateur du système de sécurité. En cas de détection, le module de traitement remonte une alarme vers
l'administrateur du système de sécurité ou vers un module. Une réponse sera ensuite apportée sur le système surveillé par l'entité alertée.
l'administrateur du système de sécurité ou vers un module. Une réponse sera ensuite apportée sur le système surveillé par l'entité alertée.
Les imperfections de ce type de systèmes monolithiques et même des systèmes de détection d'intrusions en général sont à prendre en compte. Stefano Martino souligne que si un certain nombre de techniques ont été développées jusque là pour les systèmes de détection d'intrusions, la plupart analysent des évènements au niveau local et se contentent de remonter une alarme sans agir. Ils détectent de plus les activités dangereuses d'un utilisateur sans se préoccuper du code dangereux.
3.2 Imperfections dans les implémentations actuelles
Dans la plupart des cas, les systèmes de détection d'intrusions sont faits d'un seul bloc ou module qui se charge de toute l'analyse. Ce système monolithique demande qu'on lui fournisse beaucoup de données d'audit, ce qui utilise beaucoup de ressources de la machine surveillée. L'aspect monolithique pose également des problèmes de mises à jour et constitue un point d'attaque unique pour ceux qui veulent s'introduire dans le système d'informations.
D'autres imperfections plus générales sont relevables dans les systèmes de détection d'intrusions actuels :
- Même en implémentant les deux types d'approches, certaines attaques sont indécelables et les systèmes de détection sont eux-mêmes attaquables. Les approches comportementale et par scénarios ont elles-mêmes leurs limites.
- Les groupes de travail sur ce sujet sont relativement fermés et il n'y a pas de méthodologie générique de construction. Aucun standard n'a pour l'instant vu le jour dans ce domaine. Des groupes y travaillent, notamment au sein de la DARPA et de l'IETF.
- Les mises à jour de profils, de signatures d'attaques ou de façon de spécifier des règles sont généralement difficiles. De plus, les systèmes de détection d'intrusions demande de plus en plus de compétence à celui qui administre le système de sécurité.
- Les systèmes de détection sont généralement écrits pour un seul environnement et ne s'adapte pas au système surveillé alors que les systèmes d'informations sont, la plupart du temps, hétérogènes et utilisés de plusieurs façons différentes.
- Aucune donnée n'a été pour l'instant publiée pour quantifier la performance d'un système de détection d'intrusions. De plus, pour tester ces systèmes, les attaques sont de plus en plus difficiles à simuler.
De ces imperfections, on a tenté de répondre à la question "Quelles sont les obligations d'un système de détection d'intrusions?" et on en a déduit des conditions indispensables pour un bon fonctionnement de ces systèmes.
3.3 Conditions de fonctionnement des systèmes de détection d'intrusions
Stefano MARTINO souligne qu'un système de détection d'intrusions vise à augmenter la fiabilité d'un réseau et en devient donc un composant critique. Un système de détection d'intrusions, quelque soit son architecture, doit :
- tourner en permanence sans superviseur humain.
- être tolérant aux fautes et résister aux attaques.
- utiliser un minimum de ressources du système surveillé.
- détecter les déviations par rapport à un comportement normal.
- être facilement adaptable à un réseau spécifique.
- s'adapter aux changements avec le temps.
- être difficile à tromper.
Les conditions à appliquer aux systèmes de détection d'intrusions peuvent être classées en deux parties : les conditions fonctionnelles, c'est-à-dire ce que le système de détection se doit de faire, et les conditions de performances, c'est-à-dire comment il se doit de le faire.
Un système de détection d'intrusions se doit évidemment de faire une surveillance permanente et d'émettre une alarme en cas de détection. Il doit de fournir suffisamment d'informations pour réparer le système et de déterminer l'étendu des dommages et la responsabilité de l'intrus. Il doit être modulable et configurable pour s'adapter aux plates-formes et aux architectures réseaux. Il doit pouvoir assurer sa propre défense, comme supporter que tout ou partie du système soit hors-service. La détection d'anomalies doit avoir un faible taux de faux positifs. Le système de détection doit tirer les leçons de son expérience et être fréquemment mis à jour avec de nouvelles signatures d'attaques.
De plus, il doit pouvoir gérer les informations apportées par chacune des différentes machines et discuter avec chacune d'entre elles. En cas d'attaques, il doit être capable d'apporter une réponse automatique, même aux attaques coordonnées ou distribuées. Ensuite, le système de détection devra également pouvoir travailler avec d'autres outils, et notamment ceux de diagnostic de sécurité du système. Il faudra, lors d'une attaque, retrouver les premiers évènements de corruption pour réparer correctement le système d'informations. Enfin, il va de soi qu'il ne doit pas créer de vulnérabilités supplémentaires et qu'il doit aussi surveiller l'administrateur système.
Les évènements anormaux ou les brèches dans la sécurité doivent être rapportés en temps réel pour minimiser les dégâts. Le système de détection d'intrusions ne devra pas donner un lourd fardeau au matériel surveillé, ni interférer avec les opérations qu'il traite. Il doit pouvoir s'adapter à la taille du réseau qu'il surveille.
Pour pallier à un certain nombre de ses problèmes et remplir ses conditions, la technologie des agents mobiles a été appliquée aux systèmes de détection d'intrusions. Le paragraphe suivant explique le principe, les avantages et les inconvénients des agents mobiles.
Suivant >>> Utilisation des agents mobiles dans les systèmes de détection d'intrusions.
Article plus récent Article plus ancien