Un système de détection d'intrusion (IDS) surveille le trafic réseau, surveille les activités suspectes et alerte l'administrateur du système ou du réseau. Dans certains cas, l'IDS peut également réagir à un trafic anormal ou malveillant en prenant des mesures telles que bloquer l'accès de l'utilisateur ou de l'adresse IP source au réseau.
Les IDS sont proposés dans une variété de «saveurs» et ont pour objectif de détecter le trafic suspect de différentes manières. Il existe des systèmes de détection d'intrusion basés sur le réseau (NIDS) et sur l'hôte (HIDS). Il existe des IDS qui détectent en recherchant des signatures spécifiques de menaces connues, similaires à la manière dont les logiciels antivirus détectent et protègent généralement contre les logiciels malveillants, et des IDS qui détectent en comparant les modèles de trafic à une base et en recherchant des anomalies. Il y a des IDS qui surveillent et alertent simplement et il y a des IDS qui effectuent une action ou des actions en réponse à une menace détectée. Nous allons couvrir chacun de ces brièvement.
NIDS
Les systèmes de détection d'intrusion sur le réseau sont placés à un ou plusieurs points stratégiques du réseau pour surveiller le trafic en provenance et à destination de tous les périphériques du réseau. Idéalement, vous analyseriez tout le trafic entrant et sortant, mais cela pourrait créer un goulot d'étranglement qui affecterait la vitesse globale du réseau.
HIDS
Les systèmes de détection d'intrusion sur hôte sont exécutés sur des hôtes ou des périphériques individuels sur le réseau. Un HIDS surveille les paquets entrants et sortants du périphérique uniquement et alertera l'utilisateur ou l'administrateur si une activité suspecte est détectée
Basé sur la signature
Un système IDS basé sur les signatures surveillera les paquets sur le réseau et les comparera à une base de données de signatures ou d'attributs provenant de menaces malveillantes connues. Ceci est similaire à la façon dont la plupart des logiciels antivirus détectent les logiciels malveillants. Le problème est qu’il y aura un décalage entre une nouvelle menace découverte dans la nature et la signature permettant de détecter cette menace appliquée à votre IDS. Pendant ce temps de latence, votre IDS serait incapable de détecter la nouvelle menace.
Anomalie
Un système IDS basé sur les anomalies surveillera le trafic réseau et le comparera à une base établie. La ligne de base identifiera ce qui est «normal» pour ce réseau - quel type de bande passante est généralement utilisé, quels protocoles sont utilisés, quels ports et périphériques sont généralement connectés les uns aux autres - et alerter l'administrateur ou l'utilisateur lorsque le trafic détecté est anormal, ou significativement différent de la ligne de base.
IDS passif
Un IDS passif détecte et alerte simplement. Lorsqu'un trafic suspect ou malveillant est détecté, une alerte est générée et envoyée à l'administrateur ou à l'utilisateur. Il leur appartient de prendre des mesures pour bloquer l'activité ou y répondre d'une manière ou d'une autre.
IDS réactif
Un système IDS réactif détectera non seulement le trafic suspect ou malveillant et alerter l'administrateur, mais entreprendra également des actions proactives prédéfinies pour répondre à la menace. En règle générale, cela signifie qu'il faut bloquer tout trafic réseau supplémentaire provenant de l'adresse IP source ou de l'utilisateur.
L'un des systèmes de détection d'intrusion les plus connus et les plus utilisés est le logiciel libre Snort. Il est disponible pour un certain nombre de plates-formes et de systèmes d'exploitation, notamment Linux et Windows. Snort a une clientèle nombreuse et fidèle et de nombreuses ressources sont disponibles sur Internet où vous pouvez acquérir des signatures à implémenter pour détecter les dernières menaces.
La ligne de démarcation entre un pare-feu et un IDS est ténue. Il existe également une technologie appelée IPS - Système de prévention des intrusions. Un IPS est essentiellement un pare-feu qui associe un filtrage au niveau du réseau et des applications à un IDS réactif pour protéger le réseau de manière proactive. Il semble qu'au fil du temps, les pare-feu, IDS et IPS prennent davantage d'attributs l'un pour l'autre et rendent la ligne plus floue.
Essentiellement, votre pare-feu constitue votre première ligne de défense de périmètre. Les meilleures pratiques recommandent que votre pare-feu soit explicitement configuré pour DENY tout le trafic entrant, puis que vous ouvriez des trous si nécessaire. Vous devrez peut-être ouvrir le port 80 pour héberger des sites Web ou le port 21 pour héberger un serveur de fichiers FTP. Chacune de ces lacunes peut être nécessaire d'un point de vue, mais elles représentent également des vecteurs possibles pour qu'un trafic malveillant pénètre sur votre réseau plutôt que d'être bloqué par le pare-feu.
C’est là que votre IDS entre en jeu. Que vous implémentiez un NIDS sur l’ensemble du réseau ou un HIDS sur votre appareil spécifique, le IDS surveillera le trafic entrant et sortant et identifiera le trafic suspect ou malveillant qui pourrait avoir contourné votre pare-feu ou le pare-feu. pourrait provenir de l’intérieur de votre réseau.
Un IDS peut être un excellent outil pour surveiller et protéger de manière proactive votre réseau contre les activités malveillantes, mais il est également sujet aux fausses alarmes. Avec à peu près n'importe quelle solution IDS que vous implémentez, vous devrez “l'accorder” dès sa première installation. L'IDS doit être correctement configuré pour reconnaître le trafic normal sur votre réseau par rapport à ce qui pourrait être du trafic malveillant. Vous, ou les administrateurs chargés de répondre aux alertes IDS, devez comprendre ce que signifient les alertes et comment y répondre efficacement.
