Les détecteurs d’intrusion

les menaces communes suivantes :

• Les attaques DoS (Denial of Service) bloquent l’accès entre le réseau d’une
  victime et l’Internet en surchargeant les ressources du système ou en usurpant
  la bande passante disponible. (Ces attaques pourtent des noms évocateurs les
  que WinNuke, TCP SYN flooding, ping flooding, Ping of Death, ICMP Bombing,
  Smurf, Teardrop et Land).

• L’accès non autorisé aux fichiers ou commandes restreints, est une tentative
  de la part d’un pirate pour lire, écrire ou modifier des fichiers ou exécuter
  des commandes pour lesquelles il n’a pas de permission. Ce type d’attaque
  peut avoir plusieurs formes : saturation des buffers de DNS, Finger, POP et
  Sendmail ; piratage de FTP ; attaque des vulnérabilités de HTTP, IIS ou Internet
  Explorer ; ou attaque des mots de passe de la racine UNIX, de l’administrateur
  NT ou du compte du superviseur NetWare.

• Dans des essais précédant une attaque, les pirates tentent d’obtenir des
  informations de base sur les utilisateurs, les serveurs ou un réseau pour
  s’en servir ensuite dans leurs tentatives de pénétration. Les détecteurs d’intrusion
  permettent généralement de détecter ce type de manoeuvres préparatoires.

• Tout trafic de réseau échappant aux modèles de trafic normaux peut être
  une activité suspecte. Bien que résultant souvent d’une erreur, ces comportements
  aberrants peuvent témoigner d’une activité de réseau indésirable ; par exemple,
  des événements IP inconnus, l’utilisation de l’acheminement IP, des téléchargements
  FTP excessifs, du trafic TFTP (Trivial FileTransfer Protocol), des connexions
  NT entre des systèmes non apparentés, l’accès aux fichiers du Registre du
  serveur, un excès de tentatives de connexion infructueuses avec un ou plusieurs
  noms de comptes ou des tentatives de suppression, de modification, de désactivation
  ou d’inondation des fichiers journaux/d’audit.

• L’insertion de code hostile consiste en programmes susceptibles de modifier
  le comportement du système ou du réseau, tels que virus, chevaux de Troie
  et programmes “ back-door ” ; applets malveillants et renifleurs de paquets.

• Les attaques d’infrastructure visent les systèmes et les installations qui
  constituent le réseau opérationnel (par exemple les modifications de firewalls,
  de routeurs, les ajouts et la modification de comptes d’utilisateurs, la modification
  des permissions de fichiers et d’ACL, et la modification du DNS).

Les détecteurs d’intrusion surveillent en permanence l’activité du réseau et
des systèmes protégés. S’il trouve un modèle comportemental correspondant à 
la signature de l’attaque inconnue, le détecteur d’intrusion envoie un avertissement
au gestionnaire du système via l’interface du logiciel, un courrier électronique
ou un pager. L’administrateur réseau peut visualiser en temps réel les événements
auxquels le logiciel donne une priorité élevée, moyenne ou faible. L’écran 6
montre la console du logiciel de détection d’intrusion RealSecure d’IIS.

Les logiciels de détection d’intrusion se répandent de plus en plus avec l’augmentation
et l’aggravation constante des incidents de sécurité. Face à  des attaques de
plus en plus complexes et impliquant plusieurs sites, les utilisateurs auraient
tout intérêt à  ce que les logiciels de détection d’intrusion puissent communiquer
entre sites et partager des données permanentes sur une attaque. Pour relever
ce défi, l’IETF (Internet Engineering Task Force) a créé le groupe de travail
idwg (Intrusion Detection Exchange Format Working Group) pour définir des formats
de données et des protocoles pour partager les informations entre les systèmes
de détection d’intrusion et de réponse et les systèmes d’administration de réseau.
L’IETF a annoncé la sortie des premières spécifications à  la fin de 1999. (Pour
en savoir plus, allez à  http://www.ietf.org/html.charters/idwg-charter.html).