> Tech > Les détecteurs d’intrusion

Les détecteurs d’intrusion

Tech - Par Renaud ROSSET - Publié le 24 juin 2010
email

Les firewalls, les scanners de ports, les tests de vulnérabilité et les analyseurs de journaux bloquent l'accès non autorisé, signalent les problèmes potentiels et déterminent si une attaque a déjà  eu lieu. Les détecteurs d'intrusion signalent, quant à  eux, en temps réel, une activité inhabituelle ou suspecte. Ils permettent d'identifier

les menaces communes suivantes :

  • Les attaques DoS (Denial of Service) bloquent l’accès entre le réseau d’une
    victime et l’Internet en surchargeant les ressources du système ou en usurpant
    la bande passante disponible. (Ces attaques pourtent des noms évocateurs les
    que WinNuke, TCP SYN flooding, ping flooding, Ping of Death, ICMP Bombing,
    Smurf, Teardrop et Land).

  • L’accès non autorisé aux fichiers ou commandes restreints, est une tentative
    de la part d’un pirate pour lire, écrire ou modifier des fichiers ou exécuter
    des commandes pour lesquelles il n’a pas de permission. Ce type d’attaque
    peut avoir plusieurs formes : saturation des buffers de DNS, Finger, POP et
    Sendmail ; piratage de FTP ; attaque des vulnérabilités de HTTP, IIS ou Internet
    Explorer ; ou attaque des mots de passe de la racine UNIX, de l’administrateur
    NT ou du compte du superviseur NetWare.

  • Dans des essais précédant une attaque, les pirates tentent d’obtenir des
    informations de base sur les utilisateurs, les serveurs ou un réseau pour
    s’en servir ensuite dans leurs tentatives de pénétration. Les détecteurs d’intrusion
    permettent généralement de détecter ce type de manoeuvres préparatoires.

  • Tout trafic de réseau échappant aux modèles de trafic normaux peut être
    une activité suspecte. Bien que résultant souvent d’une erreur, ces comportements
    aberrants peuvent témoigner d’une activité de réseau indésirable ; par exemple,
    des événements IP inconnus, l’utilisation de l’acheminement IP, des téléchargements
    FTP excessifs, du trafic TFTP (Trivial FileTransfer Protocol), des connexions
    NT entre des systèmes non apparentés, l’accès aux fichiers du Registre du
    serveur, un excès de tentatives de connexion infructueuses avec un ou plusieurs
    noms de comptes ou des tentatives de suppression, de modification, de désactivation
    ou d’inondation des fichiers journaux/d’audit.

  • L’insertion de code hostile consiste en programmes susceptibles de modifier
    le comportement du système ou du réseau, tels que virus, chevaux de Troie
    et programmes “ back-door ” ; applets malveillants et renifleurs de paquets.

  • Les attaques d’infrastructure visent les systèmes et les installations qui
    constituent le réseau opérationnel (par exemple les modifications de firewalls,
    de routeurs, les ajouts et la modification de comptes d’utilisateurs, la modification
    des permissions de fichiers et d’ACL, et la modification du DNS).
  • Les détecteurs d’intrusion surveillent en permanence l’activité du réseau et
    des systèmes protégés. S’il trouve un modèle comportemental correspondant à 
    la signature de l’attaque inconnue, le détecteur d’intrusion envoie un avertissement
    au gestionnaire du système via l’interface du logiciel, un courrier électronique
    ou un pager. L’administrateur réseau peut visualiser en temps réel les événements
    auxquels le logiciel donne une priorité élevée, moyenne ou faible. L’écran 6
    montre la console du logiciel de détection d’intrusion RealSecure d’IIS.

    Les logiciels de détection d’intrusion se répandent de plus en plus avec l’augmentation
    et l’aggravation constante des incidents de sécurité. Face à  des attaques de
    plus en plus complexes et impliquant plusieurs sites, les utilisateurs auraient
    tout intérêt à  ce que les logiciels de détection d’intrusion puissent communiquer
    entre sites et partager des données permanentes sur une attaque. Pour relever
    ce défi, l’IETF (Internet Engineering Task Force) a créé le groupe de travail
    idwg (Intrusion Detection Exchange Format Working Group) pour définir des formats
    de données et des protocoles pour partager les informations entre les systèmes
    de détection d’intrusion et de réponse et les systèmes d’administration de réseau.
    L’IETF a annoncé la sortie des premières spécifications à  la fin de 1999. (Pour
    en savoir plus, allez à  http://www.ietf.org/html.charters/idwg-charter.html).

Téléchargez cette ressource

Préparer l’entreprise à l’IA et aux technologies interconnectées

Préparer l’entreprise à l’IA et aux technologies interconnectées

Avec la « quatrième révolution industrielle », les environnements hyperconnectés entraînent de nouveaux risques en matière de sécurité. Découvrez, dans ce guide Kaspersky, comment faire face à cette nouvelle ère de vulnérabilité.

Tech - Par Renaud ROSSET - Publié le 24 juin 2010