Je vais entamer une petite série d’articles sur la détection d’intrusion. Le but est de faire un tour d’horizon de cette technique et de présenter un début de mise oeuvre. Par la suite, je m’attarderais plus sur la détection d’intrusion machine (HIDS) car il s’agit du type que je connais le mieux.
Qu’est ce que la détection d’intrusion ?
Tout d’abord, il est nécessaire d’éclaircir le principe de la détection d’intrusion avec de pouvoir s’attarder sur son intérêt. Voici la définition que propose Wikipedia de la détection d’intrusion :
Un système de détection d’intrusion (ou IDS : Intrusion Detection System) est un mécanisme destiné à repérer des activités anormales ou suspectes sur la cible analysée (un réseau ou un hôte). Il permet ainsi d’avoir une connaissance sur les tentatives réussies comme échouées des intrusions.
Cette définition est assez claire. La détection d’intrusion est donc un mécanisme actif qui se définit par l’objectif à atteindre. Les techniques de détection d’intrusion visent donc à atteindre cet objectif de détection des tentatives d’intrusion. Il existe une quantité indénombrable de techniques et de solutions de détection d’intrusion. Cependant, la détection d’intrusion n’est pas juste un phénomène de mode marketing mais répond à un besoin de visibilité sur les incidents de sécurité.
Qu’apporte la détection d’intrusion ?
Les équipements de sécurité et méthodes de sécurisation traditionnelles se limitaient à la simple remontée d’information et à un blocage selon des critères simplistes. Au niveau du réseau, cela se résume à l’ouverture et à la fermeture de ports de niveau 4 suivies d’une remontée sous forme de lignes de journalisation (lire log pour les anglophiles). Au niveau de chaque machine, cela se limitait à la remontée d’informations en local via un « syslog » (journal d’incident d’un système d’exploitation).
Ces mesures permettent d’avoir un minimum d’informations quant au comportement basique d’un système ou d’un réseau. Cela ne suffit cependant plus dans le monde informatique d’aujourd’hui. Croire que cela suffit semble être une erreur assez monumentale et l’actualité ne cesse de le démontrer … Le hack de twitter ou bien l’attaque DoS sur Twitter/Facebook n’auraient pas pu être empêché par du filtrage de niveau 4 ou bien un syslog local d’une machine.
La détection d’intrusion se définit souvent comme l’ensemble des techniques qui vont permettre d’aller au delà de ces moyens traditionnels de sécurisation.
La détection d’intrusion va s’attarder sur l’analyse des événements et la mise en perspective par rapport à une base de connaissances sur des attaques/menaces de sécurité connues. Au lieu de faire une simple remontée d’information, la détection d’intrusion va analyser les informations remontées afin de pouvoir émettre une suggestion sur le problème de sécurité rencontré au lieu de ne s’attacher qu’aux simples constatations. Cette composante pourrait se résumer en tant qu’analyse approfondie et interprétation des informations remontées.
La détection d’intrusion va également rassembler plusieurs sources d’informations pour pouvoir établir une corrélation. Un système de détection d’intrusion va rassembler les informations de nombreuses sources afin de pouvoir détecter des événements globaux. Par exemple, une attaque peut être détectée au niveau du réseau mais être cataloguée inefficace car elle n’a pas atteint les systèmes.
Au final, la détection d’intrusion est un terme assez générique pour désigner les méthodes modernes de remontée de d’analyse des informations relatives aux attaques/menaces de sécurité.
Le prochain article s’attardera sur la détection d’intrusion au niveau des machines et je parlerais surement d’OSSEC dans la foulée.