Interface de gestion des alertes IDS

Fermé
Signaler
-
Messages postés
8
Date d'inscription
vendredi 2 novembre 2007
Statut
Membre
Dernière intervention
1 juin 2008
-
Bonsoir, je suis en train de preparer un projet de fin d'etude qui consiste a programmer une interface de gestion d'alertes IDS cette interface devra extraire les alertes des IDS (tout de tout les types) de leurs fichiers logs les stocker dans une base de donnee et je dois etablir une aide à la deciion pour le manager pour mieux analyser le traffic et decider s'il y a reellement une attaque ou non je suis un peu perdu je demande votre aide s"il vous plait , pour le moment j'ai etudier quelques ids (snort prelude..) et je dois etablir une liste des parametres de decision pour le manager ; aidez je vous prie ........; s'il y a une documentation en francais j'aimerai bien en avoir et merci d'avance bonne chance

2 réponses

Messages postés
13531
Date d'inscription
jeudi 9 janvier 2003
Statut
Contributeur
Dernière intervention
16 mai 2014
531
Salut,



En quoi consiste un système de détection d'intrusion (IDS) ?
Les IDS (Intrusion Detection System) font partie de l'architecture sécurité d'un réseau, en ce sens qu'ils permettent de repérer les tentatives d'intrusion, qu'elles soient réussies ou qu'elles aient échoué. Ils sont positionnés à côté du réseau proprement dit (on parle alors de Network IDS) et/ou sur chacun des composants (serveur) de ce réseau (le terme de Host IDS s'applique dans ce cas).


> Quelle différence entre IDS réseau et hôte ?
Quand il s'agit de Network IDS, l'IDS est placé à côté du réseau (hors ligne) et son rôle est de "renifler" (sniffing) le trafic sur le réseau puis de fournir alertes et comptes-rendus sur ce qui a été analysé comme tentative ou réussite d'intrusion. Dans le second cas (Host IDS), l'analyse se porte sur les journaux du système et des applications mais aussi sur les logs d'accès aux fichiers.

> Comment fonctionne la détection des intrusions ?
De la même manière qu'un système anti-spam ou anti-virus, l'IDS se réfère à une base de connaissances qui répertorie un certain nombre de signatures d'attaques déjà connues. Mais un des principaux reproches qui est fait aux IDS est leur passivité.

En effet, l'IDS alerte l'administrateur réseau qui décide, en théorie, de ce qui doit être fait pour parer l'attaque. Mais deux éléments viennent minorer ce fonctionnement : tout d'abord l'importante somme de données à analyser par l'IDS - qui ralentit considérablement la réactivité nécessaire en cas d'intrusion -, et les faux positifs, alertes qui ne correspondent pas à une véritable attaque mais à une erreur de jugement l'IDS.

La surveillance se fait également par détection d'anomalie, le système réagissant à des variations anormales de CPU (processeur), de la bande passante, du nombre de connexions TCP, etc.

> Comment, dès lors, pallier ces faiblesses : la panacée IPS ?
Au lieu de positionner le système de détection "hors ligne", l'idée est venue aux éditeurs de ce genre de solutions de créer des dispositifs "en ligne". Cette différence notoire leur permet non plus de rendre compte après coup (constat des dégats) mais de réagir en temps réel en limitant ou stoppant le trafic douteux par diverses techniques.

Le point sensible de ce genre de dispositif de prévention est qu'en cas de faux positif, c'est le trafic - en temps réel - du système qui est directement affecté. La marge d'erreur se doit donc d'être la plus réduite possible. Certains analystes pensent que le passage de l'IDS à l'IPS n'est qu'un tour de passe-passe pour redynamiser le marché.


Le marché des Intrusion Detection Systems (IDS) est un marché qui se porte très bien : il est en plein boom. Le Gartner prévoit une progression globale de 32 % en 2002, ce qui porterait son chiffre d'affaires à 249 millions de dollars. Cette croissance devrait perdurer dans les années qui viennent puisqu'en 2004 le marché pourrait dépasser la barre des 350 millions de dollars. Des chiffres exceptionnels par les temps qui courent.


Deux leaders se détachent très nettement du peloton. A eux seuls, Cisco et ISS se partagent en effet plus de la moitié du gâteau des IDS : le cabinet IDC a évalué leur part de marché à 55 % pour l'année 2000. Dans le détail, ISS - leader historique dans ce domaine - garde une courte longueur d'avance sur Cisco. Quant aux adversaires ils sont loin derrière, plafonnant au maximum à 10 % de parts de marché. Attention : les solutions mentionnées par les études du Gartner et d'IDC sont exclusivement commerciales. Il existe aussi une offre libre, assez répandue, qui sera présentée dans le cinquième article de ce dossier.

L'offre de Cisco
Les produits de Cisco sont arrivés après ceux d'ISS. La gamme du fabriquant n'en est pas moins très complète. Cisco propose des Network IDS sous la forme d'appliances, des boitiers hardware spécialisés dont les composants ont été choisis pour supporter des débits théoriques très élevés. La formule 'boitier' présente l'avantage d'être simple à installer et à paramétrer : "on n'a pas à se soucier des problèmes d'administration d'un serveur" assure Philippe Solini, Network Design Consultant chez Unisys.

La seule différence entre les produits de la gamme se situe au niveau des débits supportés : ils peuvent traiter des traffics allant de 30 Mo à 1 Go théorique - "soit 500 Mo dans les faits". En dehors des débits supportés, les technologies sont les mêmes de la plus petite à la plus grosse appliance. Quant aux produits Host IDS, ils se présentent sous la forme d'une application que l'on installe sur la machine à protéger, et qui ne consomme qu'une faible partie des ressources système.

Appliance contre serveur

Chez ISS, les Host IDS sont assez comparables à ceux de Cisco. Mais les Network IDS des deux fabriquants sont résolument différents : "Chez ISS, on n'a pas fait le choix du support hardware à la place du client. On lui laisse la possibilité de choisir entre un système tournant sur une appliance - fabriquée par Nokia -, ou sur un serveur classique". Un serveur qui a tout intérêt à être musclé si le débit à analyser est important.

Quid du rapport qualité/prix des deux marques ? "Les prix se tiennent la plupart du temps dans un mouchoir de poche" explique Philppe Solini. C'est à dire 10 000 euros environ pour un Network IDS d'entrée de gamme, et 5 000 euros pour un Host IDS accompagné de sa console d'administration.

Quant à l'efficacité comparative des IDS de Cisco et d'ISS, Philippe Solini explique que "les produits d'ISS sont un peu plus sensibles que ceux de Cisco, ce qui leur fait signaler un nombre de fausses alertes légèrement supérieur à ceux de Cisco". Un léger désavantage compensé par l'ancienneté des produits d'ISS sur le marché : "les IDS d'ISS sont utilisés depuis longtemps par de nombreux experts en sécurité. Ils jouissent d'une bonne réputation, et certainement aussi du poids des habitudes".



foobar... un fou peut en cacher un autre 
1
Merci

Quelques mots de remerciements seront grandement appréciés. Ajouter un commentaire

CCM 41989 internautes nous ont dit merci ce mois-ci

Messages postés
8
Date d'inscription
vendredi 2 novembre 2007
Statut
Membre
Dernière intervention
1 juin 2008

bonjour, je suis une étudiante en informatique appliquée à la gestion et mon projet de fin d'études porte sur les IDS(Snort).j'ai tou installé et configuré mais le probleme est que SAM(snort alert monitor:interface pour capter le trafic) n'est pas en connexion avec la base de données mysql(no database connection).veuillez m'aider.merci d'avance.
va voir sur http://lehmann.free.fr/PreludeInstall il y a un rapport de TER complet sur Prelude