Interface de gestion des alertes IDS
Fermé
Youssef
-
31 mars 2004 à 01:41
loline172 Messages postés 8 Date d'inscription vendredi 2 novembre 2007 Statut Membre Dernière intervention 1 juin 2008 - 1 juin 2008 à 18:50
loline172 Messages postés 8 Date d'inscription vendredi 2 novembre 2007 Statut Membre Dernière intervention 1 juin 2008 - 1 juin 2008 à 18:50
A voir également:
- Interface de gestion des alertes IDS
- Logiciel gestion photos - Guide
- Tfc informatique de gestion g3 pdf ✓ - Forum Access
- Virtualbox interface - Forum VirtualBox
- Le tfc en g3 informatique de gestion - Forum Bases de données
- Common interface - Forum TV & Vidéo
2 réponses
foobar47
Messages postés
13536
Date d'inscription
jeudi 9 janvier 2003
Statut
Contributeur
Dernière intervention
16 mai 2014
532
31 mars 2004 à 02:26
31 mars 2004 à 02:26
Salut,
En quoi consiste un système de détection d'intrusion (IDS) ?
Les IDS (Intrusion Detection System) font partie de l'architecture sécurité d'un réseau, en ce sens qu'ils permettent de repérer les tentatives d'intrusion, qu'elles soient réussies ou qu'elles aient échoué. Ils sont positionnés à côté du réseau proprement dit (on parle alors de Network IDS) et/ou sur chacun des composants (serveur) de ce réseau (le terme de Host IDS s'applique dans ce cas).
> Quelle différence entre IDS réseau et hôte ?
Quand il s'agit de Network IDS, l'IDS est placé à côté du réseau (hors ligne) et son rôle est de "renifler" (sniffing) le trafic sur le réseau puis de fournir alertes et comptes-rendus sur ce qui a été analysé comme tentative ou réussite d'intrusion. Dans le second cas (Host IDS), l'analyse se porte sur les journaux du système et des applications mais aussi sur les logs d'accès aux fichiers.
> Comment fonctionne la détection des intrusions ?
De la même manière qu'un système anti-spam ou anti-virus, l'IDS se réfère à une base de connaissances qui répertorie un certain nombre de signatures d'attaques déjà connues. Mais un des principaux reproches qui est fait aux IDS est leur passivité.
En effet, l'IDS alerte l'administrateur réseau qui décide, en théorie, de ce qui doit être fait pour parer l'attaque. Mais deux éléments viennent minorer ce fonctionnement : tout d'abord l'importante somme de données à analyser par l'IDS - qui ralentit considérablement la réactivité nécessaire en cas d'intrusion -, et les faux positifs, alertes qui ne correspondent pas à une véritable attaque mais à une erreur de jugement l'IDS.
La surveillance se fait également par détection d'anomalie, le système réagissant à des variations anormales de CPU (processeur), de la bande passante, du nombre de connexions TCP, etc.
> Comment, dès lors, pallier ces faiblesses : la panacée IPS ?
Au lieu de positionner le système de détection "hors ligne", l'idée est venue aux éditeurs de ce genre de solutions de créer des dispositifs "en ligne". Cette différence notoire leur permet non plus de rendre compte après coup (constat des dégats) mais de réagir en temps réel en limitant ou stoppant le trafic douteux par diverses techniques.
Le point sensible de ce genre de dispositif de prévention est qu'en cas de faux positif, c'est le trafic - en temps réel - du système qui est directement affecté. La marge d'erreur se doit donc d'être la plus réduite possible. Certains analystes pensent que le passage de l'IDS à l'IPS n'est qu'un tour de passe-passe pour redynamiser le marché.
Le marché des Intrusion Detection Systems (IDS) est un marché qui se porte très bien : il est en plein boom. Le Gartner prévoit une progression globale de 32 % en 2002, ce qui porterait son chiffre d'affaires à 249 millions de dollars. Cette croissance devrait perdurer dans les années qui viennent puisqu'en 2004 le marché pourrait dépasser la barre des 350 millions de dollars. Des chiffres exceptionnels par les temps qui courent.
Deux leaders se détachent très nettement du peloton. A eux seuls, Cisco et ISS se partagent en effet plus de la moitié du gâteau des IDS : le cabinet IDC a évalué leur part de marché à 55 % pour l'année 2000. Dans le détail, ISS - leader historique dans ce domaine - garde une courte longueur d'avance sur Cisco. Quant aux adversaires ils sont loin derrière, plafonnant au maximum à 10 % de parts de marché. Attention : les solutions mentionnées par les études du Gartner et d'IDC sont exclusivement commerciales. Il existe aussi une offre libre, assez répandue, qui sera présentée dans le cinquième article de ce dossier.
L'offre de Cisco
Les produits de Cisco sont arrivés après ceux d'ISS. La gamme du fabriquant n'en est pas moins très complète. Cisco propose des Network IDS sous la forme d'appliances, des boitiers hardware spécialisés dont les composants ont été choisis pour supporter des débits théoriques très élevés. La formule 'boitier' présente l'avantage d'être simple à installer et à paramétrer : "on n'a pas à se soucier des problèmes d'administration d'un serveur" assure Philippe Solini, Network Design Consultant chez Unisys.
La seule différence entre les produits de la gamme se situe au niveau des débits supportés : ils peuvent traiter des traffics allant de 30 Mo à 1 Go théorique - "soit 500 Mo dans les faits". En dehors des débits supportés, les technologies sont les mêmes de la plus petite à la plus grosse appliance. Quant aux produits Host IDS, ils se présentent sous la forme d'une application que l'on installe sur la machine à protéger, et qui ne consomme qu'une faible partie des ressources système.
Appliance contre serveur
Chez ISS, les Host IDS sont assez comparables à ceux de Cisco. Mais les Network IDS des deux fabriquants sont résolument différents : "Chez ISS, on n'a pas fait le choix du support hardware à la place du client. On lui laisse la possibilité de choisir entre un système tournant sur une appliance - fabriquée par Nokia -, ou sur un serveur classique". Un serveur qui a tout intérêt à être musclé si le débit à analyser est important.
Quid du rapport qualité/prix des deux marques ? "Les prix se tiennent la plupart du temps dans un mouchoir de poche" explique Philppe Solini. C'est à dire 10 000 euros environ pour un Network IDS d'entrée de gamme, et 5 000 euros pour un Host IDS accompagné de sa console d'administration.
Quant à l'efficacité comparative des IDS de Cisco et d'ISS, Philippe Solini explique que "les produits d'ISS sont un peu plus sensibles que ceux de Cisco, ce qui leur fait signaler un nombre de fausses alertes légèrement supérieur à ceux de Cisco". Un léger désavantage compensé par l'ancienneté des produits d'ISS sur le marché : "les IDS d'ISS sont utilisés depuis longtemps par de nombreux experts en sécurité. Ils jouissent d'une bonne réputation, et certainement aussi du poids des habitudes".
En quoi consiste un système de détection d'intrusion (IDS) ?
Les IDS (Intrusion Detection System) font partie de l'architecture sécurité d'un réseau, en ce sens qu'ils permettent de repérer les tentatives d'intrusion, qu'elles soient réussies ou qu'elles aient échoué. Ils sont positionnés à côté du réseau proprement dit (on parle alors de Network IDS) et/ou sur chacun des composants (serveur) de ce réseau (le terme de Host IDS s'applique dans ce cas).
> Quelle différence entre IDS réseau et hôte ?
Quand il s'agit de Network IDS, l'IDS est placé à côté du réseau (hors ligne) et son rôle est de "renifler" (sniffing) le trafic sur le réseau puis de fournir alertes et comptes-rendus sur ce qui a été analysé comme tentative ou réussite d'intrusion. Dans le second cas (Host IDS), l'analyse se porte sur les journaux du système et des applications mais aussi sur les logs d'accès aux fichiers.
> Comment fonctionne la détection des intrusions ?
De la même manière qu'un système anti-spam ou anti-virus, l'IDS se réfère à une base de connaissances qui répertorie un certain nombre de signatures d'attaques déjà connues. Mais un des principaux reproches qui est fait aux IDS est leur passivité.
En effet, l'IDS alerte l'administrateur réseau qui décide, en théorie, de ce qui doit être fait pour parer l'attaque. Mais deux éléments viennent minorer ce fonctionnement : tout d'abord l'importante somme de données à analyser par l'IDS - qui ralentit considérablement la réactivité nécessaire en cas d'intrusion -, et les faux positifs, alertes qui ne correspondent pas à une véritable attaque mais à une erreur de jugement l'IDS.
La surveillance se fait également par détection d'anomalie, le système réagissant à des variations anormales de CPU (processeur), de la bande passante, du nombre de connexions TCP, etc.
> Comment, dès lors, pallier ces faiblesses : la panacée IPS ?
Au lieu de positionner le système de détection "hors ligne", l'idée est venue aux éditeurs de ce genre de solutions de créer des dispositifs "en ligne". Cette différence notoire leur permet non plus de rendre compte après coup (constat des dégats) mais de réagir en temps réel en limitant ou stoppant le trafic douteux par diverses techniques.
Le point sensible de ce genre de dispositif de prévention est qu'en cas de faux positif, c'est le trafic - en temps réel - du système qui est directement affecté. La marge d'erreur se doit donc d'être la plus réduite possible. Certains analystes pensent que le passage de l'IDS à l'IPS n'est qu'un tour de passe-passe pour redynamiser le marché.
Le marché des Intrusion Detection Systems (IDS) est un marché qui se porte très bien : il est en plein boom. Le Gartner prévoit une progression globale de 32 % en 2002, ce qui porterait son chiffre d'affaires à 249 millions de dollars. Cette croissance devrait perdurer dans les années qui viennent puisqu'en 2004 le marché pourrait dépasser la barre des 350 millions de dollars. Des chiffres exceptionnels par les temps qui courent.
Deux leaders se détachent très nettement du peloton. A eux seuls, Cisco et ISS se partagent en effet plus de la moitié du gâteau des IDS : le cabinet IDC a évalué leur part de marché à 55 % pour l'année 2000. Dans le détail, ISS - leader historique dans ce domaine - garde une courte longueur d'avance sur Cisco. Quant aux adversaires ils sont loin derrière, plafonnant au maximum à 10 % de parts de marché. Attention : les solutions mentionnées par les études du Gartner et d'IDC sont exclusivement commerciales. Il existe aussi une offre libre, assez répandue, qui sera présentée dans le cinquième article de ce dossier.
L'offre de Cisco
Les produits de Cisco sont arrivés après ceux d'ISS. La gamme du fabriquant n'en est pas moins très complète. Cisco propose des Network IDS sous la forme d'appliances, des boitiers hardware spécialisés dont les composants ont été choisis pour supporter des débits théoriques très élevés. La formule 'boitier' présente l'avantage d'être simple à installer et à paramétrer : "on n'a pas à se soucier des problèmes d'administration d'un serveur" assure Philippe Solini, Network Design Consultant chez Unisys.
La seule différence entre les produits de la gamme se situe au niveau des débits supportés : ils peuvent traiter des traffics allant de 30 Mo à 1 Go théorique - "soit 500 Mo dans les faits". En dehors des débits supportés, les technologies sont les mêmes de la plus petite à la plus grosse appliance. Quant aux produits Host IDS, ils se présentent sous la forme d'une application que l'on installe sur la machine à protéger, et qui ne consomme qu'une faible partie des ressources système.
Appliance contre serveur
Chez ISS, les Host IDS sont assez comparables à ceux de Cisco. Mais les Network IDS des deux fabriquants sont résolument différents : "Chez ISS, on n'a pas fait le choix du support hardware à la place du client. On lui laisse la possibilité de choisir entre un système tournant sur une appliance - fabriquée par Nokia -, ou sur un serveur classique". Un serveur qui a tout intérêt à être musclé si le débit à analyser est important.
Quid du rapport qualité/prix des deux marques ? "Les prix se tiennent la plupart du temps dans un mouchoir de poche" explique Philppe Solini. C'est à dire 10 000 euros environ pour un Network IDS d'entrée de gamme, et 5 000 euros pour un Host IDS accompagné de sa console d'administration.
Quant à l'efficacité comparative des IDS de Cisco et d'ISS, Philippe Solini explique que "les produits d'ISS sont un peu plus sensibles que ceux de Cisco, ce qui leur fait signaler un nombre de fausses alertes légèrement supérieur à ceux de Cisco". Un léger désavantage compensé par l'ancienneté des produits d'ISS sur le marché : "les IDS d'ISS sont utilisés depuis longtemps par de nombreux experts en sécurité. Ils jouissent d'une bonne réputation, et certainement aussi du poids des habitudes".
foobar... un fou peut en cacher un autre
1 juin 2008 à 18:50