Introduction aux systèmes de détection d'intrusion (IDS)

Un système de détection d'intrusion (IDS) surveille le trafic réseau et surveille les activités suspectes et alerte le système ou l'administrateur réseau. Dans certains cas, l'IDS peut également répondre au trafic anormal ou malveillant en prenant des mesures telles que le blocage de l'accès de l'utilisateur ou de l'adresse IP source au réseau.

IDS viennent dans une variété de «saveurs» et approchent l'objectif de détecter le trafic suspect de différentes manières. Il existe des systèmes de détection d'intrusion basés sur le réseau (NIDS) et sur l'hôte (HIDS). Certains IDS détectent en fonction de la recherche de signatures spécifiques de menaces connues, similaires à la manière dont les logiciels antivirus détectent et protègent les logiciels malveillants, et détectent les IDS en comparant les modèles de trafic à une base de référence et en recherchant les anomalies. Il y a des IDS qui surveillent et alertent simplement et il y a des IDS qui exécutent une action ou des actions en réponse à une menace détectée. Nous allons couvrir chacun de ces éléments brièvement.

NIDS

Les systèmes de détection d'intrusion réseau sont placés à un ou plusieurs points stratégiques du réseau pour surveiller le trafic vers et depuis tous les périphériques du réseau. Idéalement, vous devriez analyser tout le trafic entrant et sortant, mais cela pourrait créer un goulot d'étranglement qui nuirait à la vitesse globale du réseau.

HIDS

Les systèmes de détection d'intrusion hôte sont exécutés sur des hôtes individuels ou des périphériques sur le réseau. Un HIDS surveille uniquement les paquets entrants et sortants à partir de l'appareil et alertera l'utilisateur ou l'administrateur d'une activité suspecte détectée

Signature basée

Un IDS basé sur les signatures surveillera les paquets sur le réseau et les comparera à une base de données de signatures ou d'attributs provenant de menaces malveillantes connues. Ceci est similaire à la façon dont la plupart des logiciels antivirus détectent les logiciels malveillants. Le problème est qu'il y aura un décalage entre la découverte d'une nouvelle menace dans la nature et la signature pour détecter cette menace appliquée à votre IDS. Pendant ce délai, votre IDS serait incapable de détecter la nouvelle menace.

Anomaly Based

Un IDS basé sur des anomalies surveillera le trafic réseau et le comparera à une ligne de base établie. La ligne de base identifiera ce qui est «normal» pour ce réseau - quelle bande passante est généralement utilisée, quels protocoles sont utilisés, quels ports et périphériques se connectent généralement - et alertera l'administrateur ou l'utilisateur lorsque le trafic détecté est anormal, ou significativement différent de la ligne de base.

IDS passif

Un IDS passif détecte et alerte simplement. Lorsqu'un trafic suspect ou malveillant est détecté, une alerte est générée et envoyée à l'administrateur ou à l'utilisateur et il leur appartient de prendre des mesures pour bloquer l'activité ou répondre d'une manière ou d'une autre.

IDS réactif

Un IDS réactif non seulement détectera le trafic suspect ou malveillant et alertera l'administrateur, mais prendra des actions proactives prédéfinies pour répondre à la menace. Généralement, cela signifie bloquer tout autre trafic réseau provenant de l' adresse IP source ou de l'utilisateur.

L'un des systèmes de détection d'intrusion les plus connus et les plus largement utilisés est l'Open Source, disponible gratuitement. Il est disponible pour un certain nombre de plates-formes et de systèmes d'exploitation, y compris Linux et Windows . Snort a une clientèle nombreuse et fidèle et il existe de nombreuses ressources disponibles sur Internet où vous pouvez acquérir des signatures à implémenter pour détecter les dernières menaces. Pour les autres applications de détection d'intrusion freeware, vous pouvez visiter Free Intrusion Detection Software .

Il y a une fine ligne entre un pare-feu et un IDS. Il existe également une technologie appelée IPS - Intrusion Prevention System . Un IPS est essentiellement un pare-feu qui combine un filtrage au niveau du réseau et au niveau de l'application avec un IDS réactif pour protéger le réseau de manière proactive. Il semble que le temps passe sur les pare-feu, IDS et IPS prennent plus d'attributs les uns des autres et brouillent la ligne encore plus.

Essentiellement, votre pare-feu est votre première ligne de défense de périmètre. Les meilleures pratiques recommandent que votre pare-feu soit explicitement configuré pour DENIER tout le trafic entrant et que vous ouvriez des trous si nécessaire. Vous devrez peut-être ouvrir le port 80 pour héberger des sites Web ou le port 21 pour héberger un serveur de fichiers FTP . Chacun de ces trous peut être nécessaire d'un point de vue, mais ils représentent également des vecteurs possibles pour que le trafic malveillant pénètre dans votre réseau plutôt que d'être bloqué par le pare-feu.

C'est là que votre IDS interviendrait. Que vous implémentiez un NIDS sur l'ensemble du réseau ou un HIDS sur votre périphérique spécifique, l'IDS surveillera le trafic entrant et sortant et identifiera le trafic suspect ou malveillant qui pourrait avoir contourné votre pare-feu. pourrait également provenir de votre réseau.

Un IDS peut être un excellent outil pour surveiller et protéger de manière proactive votre réseau contre les activités malveillantes, mais il est également sujet à de fausses alarmes. Avec à peu près toutes les solutions IDS que vous implémentez, vous devrez "l'ajuster" une fois installé. L'IDS doit être correctement configuré pour reconnaître le trafic normal sur votre réseau par rapport à ce qui peut être du trafic malveillant et vous, ou les administrateurs chargés de répondre aux alertes IDS, devez comprendre ce que les alertes signifient et comment répondre efficacement.