Les IDS en question
Le but de ce document n'est absolument pas d'orienter vers un outil ou un autre mais simplement d'analyser les avantages et les inconvénients des techniques de détection d'intrusion afin d'établir des critères de choix pour ce type d'outils. On parle souvent d'IDS (Intrusion Détection System) pour désigner l'ensemble des outils de détection d 'intrusion.
On peut dans un premier temps classer tous les outils de détection d'intrusion selon deux modes de fonctionnement selon qu'ils se basent sur des signatures d'attaques ou sur des modèles comportementaux.
Le concept de bibliothèque de signatures d'attaque est l'approche la plus basique et la plus ancienne. Cette approche consiste à rechercher dans l'activité de l'élément surveillé les empreintes (ou signatures) d'attaques connues. Cette démarche appliquée à la détection d'intrusion, est très similaire à celle des outils antivirus et présente les même inconvénients que celle ci. Il est aisé de comprendre que ce type d'IDS est purement réactif ; il ne peut détecter que les attaques dont il possède la signature. De ce fait, il nécessite des mises à jour quotidiennes. De plus, ce système de détection est aussi bon que l'est la base de signature. Si les signatures sont erronées ou incorrectement conçues l'ensemble du système est inefficace. C'est pourquoi ces systèmes sont souvent contournés par les pirates qui utilisent des techniques dites " d'évasion " qui consistent à maquiller les attaques utilisées. Ces techniques de maquillage tendent à faire varier les signatures des attaques qui ainsi ne sont plus reconnues par l'IDS. Ce modèle est par contre très aisé à implémenter et à optimiser. Il permet la séparation du moteur logiciel de la base de signature qui peut ainsi être mise à jour indépendamment. Il permet également une classification relativement facile de la criticité des attaques signalées.
Les modèles comportementaux sont apparus bien plus tard que les IDS à signatures. Ils ont pour principe la détection d'anomalies. Leur mise en œuvre comprend toujours une phase d'apprentissage au cours de laquelle ils vont " découvrir " le fonctionnement " normal " des éléments surveillés. Une fois cet apprentissage effectué ces IDS signaleront les divergences par rapport au fonctionnement de référence. Les modèles comportementaux peuvent être élaborés à partir d'analyses statistiques ou de techniques proches de l'intelligence artificielle. La principale promesse des IDS comportementaux est la détection des nouveaux type d'attaque. En effet ces IDS ne sont pas programmés pour reconnaître des attaques spécifiques mais signalent toute activité " anormale ". De ce fait une attaque ne doit pas nécessairement être connue d'avance ; dès lors qu'elle représente une activité anormale elle peut être détectée par l'IDS comportemental. Du fait même de leur conception ces IDS sont incapables de qualifier la criticité des attaques. De plus, ces IDS signaleront par exemple tout changement dans le comportement d'un utilisateur qu'il soit hostile ou non. De fréquents ajustements sont nécessaires afin de faire évoluer le modèle de référence de sorte qu'il reflète l'activité normale des utilisateurs et réduire le nombre de fausses alertes générées.
Les IDS peuvent également se classer selon deux catégories majeures selon qu'ils s'attachent à surveiller le trafic réseau ou l'activité des machines. On parle d'IDS réseau (NIDS : Network IDS) ou d'IDS Système (Host based IDS).
Ces outils analysent le trafic réseau ; ils comportent généralement une sonde qui " écoute " sur le segment de réseau à surveiller et un moteur qui réalise l'analyse du trafic afin de détecter les signatures d'attaques ou les divergences face au modèle de référence. Les IDS Réseau à base de signatures sont confrontés actuellement à deux problèmes majeurs qui sont : le développement de l'utilisation du cryptage et le développement des réseaux commutés. En effet, il est d'une part plus difficile " d'écouter " sur les réseaux commutés et le cryptage rend l'analyse du contenu des paquets presque impossible. La plupart des NIDS sont aussi dits IDS inline car ils analysent le flux en temps réel. Pour cette raison, la question des performances est très importante car de tels IDS doivent être de plus en plus performants afin d'analyser les volumes de plus en plus importants pouvant transiter sur les réseaux.
Les IDS Systèmes analysent quant à eux le fonctionnement ou l'état des machines sur lesquelles ils sont installés afin de détecter les attaques. Ils sont très dépendants du système sur lequel ils sont installés. Il faut donc des outils spécifiques en fonction des systèmes déployés. Ces IDS peuvent s'appuyer sur des fonctionnalités d'audit propres au système d'exploitation ou non pour vérifier l'intégrité du système et générer des alertes. Il faut cependant noter qu'ils sont incapables de détecter les attaques affectant les couches réseaux de la machine ; typiquement les Déni de service comme SYN FLOOD ou autre.
Actuellement de nombreux produits sont disponibles, certains appartiennent même au domaine public. Leur complexité de mise en œuvre et leur degré d'intégration sont très divers. Même si les outils strictement basés sur des modèles comportementaux sont actuellement en perte de vitesse ; des modèles de ce type sont de plus en plus intégrés à des IDS initialement basés sur une bibliothèque de signatures. En effet, certains éditeurs ont déjà fait le choix de compléter leur base de signature par un modèle comportemental basique permettant de signaler des événements non identifiables. Les IDS systèmes sont un peu en retrait face aux IDS réseaux même si ces derniers sont confrontés comme nous l'avons vu à des problématiques qui devraient beaucoup peser sur leur avenir.
On peut penser que dans un futur proche devrait apparaître et se développer les IDS distribués. Ceux si consisteraient en agents déployés sur tous (ou presque) les nœuds du réseau et agissant comme autant de sondes réseau et d'IDS systèmes. Ces agents analyseraient le trafic réseau à destination de la machine sur laquelle ils seraient installés et contrôleraient également l'intégrité de ce système. Le point central deviendrait alors un " serveur IDS " auquel tous les agent devraient rendre compte et qui serait en mesure d'agréger et de consolider les informations en provenance des agents afin de générer les alertes.
Aujourd'hui les systèmes de détection d'intrusion sont réellement devenus indispensables lors de la mise en place d'une infrastructure de sécurité opérationnelle. Ils s'intègrent donc toujours dans un contexte et une architecture qui imposent des contraintes pouvant être très diverses. C'est pourquoi il n'existe pas de grille d'évaluation unique pour ce type d'outil. Pourtant un certain nombre de critères peuvent être dégagés ; ceux ci devront nécessairement être pondérés en fonction du contexte de l'étude.
Les IDS sont actuellement des produits mûrs et aboutis. Ils continuent d'évoluer pour répondre aux exigences technologiques du moment mais offrent d'ores et déjà un éventail de fonctionnalités capables de satisfaire les besoins de tous les types d'utilisateurs. Néanmoins comme tous les outils techniques ils ont des limites que seule une analyse humaine peut compenser. Un peu comme les Firewalls, les détecteurs d'intrusion deviennent chaque jour meilleurs grâce à l'expérience acquise avec le temps mais ils deviennent aussi de plus en plus sensibles aux erreurs de configuration et de paramétrage. Par conséquent, il est plus que fondamental de former correctement les personnes chargées de la mises en œuvre et de l'exploitation des IDS. Malheureusement, il semble que c'est encore là où aujourd'hui encore subsiste la plus grande partie de la difficulté.
Luc DELPHA
20/12/2000