Un IDS joue un rôle particulier et important dans le domaine de la de sécurité informatique.Un IDS est un système permettant d’analyser les activités d’un réseau et de détecter les risques d’intrusions ou trafic suspect.
On distingue 2 types distincts d’IDS :
.
Un N-IDS est un équipement réseau qui analyse (sniffing) les communications sur le réseau afin de fournir des journaux d’activités (logs) et des comptes-rendus concernant ce qui a été analysé comme intrusion, ou non.
Un H-IDS est un démon (ou daemon) qui s’exécute en permanence sur un hôte analysant les accès fichiers, les journaux système, les paquets échangés avec le reste du réseau…
Techniques de détection :
Les IDS s’appuient sur deux méthodes principales d’analyse que sont la reconnaissance de motifs et la détection d’anomalies.
Limites d’un IDS
•Le bombardement (flood) : l’IDS est surchargé de travail, il ne peut gérer tout le trafic qu’il doit traiter si bien qu’une partie des communications ne peut être analysée.
•L’encodage d’URL : cette méthode consiste à encoder les caractères de
l’URL sous forme hexadécimal permettant à l’agresseur d’adresser la requête qu’il souhaite.
•Formatage de la chaîne : tous les
systèmes n’interprétant pas les espaces de la même façon, on les remplace par
des tabulations
•Modification du motif d’attaque : si
un type d’attaque connu (motif) consiste à exécuter
« Etape 1, Etape 2, Etape 3 » et que
l’ordre peut-être intervertit alors l’attaque peut ne pas être détectée (motif
ne concordant pas avec celui de référence utilisé par l’IDS).
•Multiplication des sessions : comme
précédemment il s’agit de tromper l’IDS en modifiant la méthode d’attaque.
Ainsi en exécutant chaque étape de l’attaque sous une nouvelle session l’IDS
peut ne pas faire le lien entre elles.
Cette liste n’est pas exhaustive (ce
n’est pas le but du cours), de nombreuses autres méthodes existent que vous ne
manquerez pas de trouvez sur Internet en cherchant un peu.
Actions
d’un IDS
les méthodes pouvant être utilisées pour signaler et bloquer les intrusions.
•Reconfiguration d’équipements tiers
(firewall, ACL sur les routeurs) : un ordre est envoyé à l’équipement concerné
pour une reconfiguration immédiate dans le but de bloquer une intrusion.
•Envoi d’une trappe SNMP : envoi d’une
alerte à une console tierce.
•Envoi d’un e-mail : Envoi d’un
e-mail à une ou plusieurs boîtes aux lettres pour notifier d’une intrusion
détectée.
•Journalisation (log) de l’attaque :
sauvegarde des détails de l’alerte.
•Sauvegarde des paquets suspicieux :
Sauvegarde de l’ensemble des paquets réseaux capturés qui ont déclenchés l’alerte.
•Démarrage d’une application :
lancement d'un programme pour exécuter une tâche spécifique
(par exemple : envoi d’un message
sms).
Envoi d’un "ResetKill" : Construction d'un paquet TCP FIN pour
forcer la fin d’une connexion(uniquement valable sur des techniques d’intrusions
utilisant le protocole de transport TCP).
0 com:
Enregistrer un commentaire
Suggérer des améliorations à apporter au blog, des articles, des commentaires ou des liens sur la sécurité informatique.Merci