 |
|
| |
|
|
|
Détection d'intrusion, Scanners de vulnérabilité Le monde de la vulnérabilité informatique, aussi appelée faille de sécurité, se compose deux familles de produits cherchant à détecter les problèmes de sécurité d’un réseau : les scanners et les sondes d'intrusion. - Les Scanners de Vulnérabilité vont « scanner les adresses IP », donc examiner exhaustivement le réseau, localement ou depuis l'extérieur (les fameux tests d'intrusions), en leur soumettant des signatures d’attaque. Une signature d'attaque est un genre d'«image du déroulement de l'attaque», connue par le produit De la même manière qu'un antivirus recherche sur un disque la signature d'un virus, un produit lié au concept d'intrusion recherche les signatures des attaques en examinant les paquets réseaux qu'il examine (produit de type IDS, intrusion detection system), ou en envoyant des signatures d'attaque pour simuler le travail d'un hacker (produit de type scanner de vulnérabilités). Les scanners vont donc tenter d'évaluer si la machine distante semble vulnérable ou non à une série d'attaques déterminées. Les produits de ce genre sont soit commerciaux et positionnés dans le réseau local de l'entreprise (exemple ISS), soit distants, généralement sur Internet, et programmables (solution Qualys en ASP), ou encore freeware (Nessus). Protego Informatique peut vous aider sur ces problématiques. Pour en savoir plus : Rubrique Métier - Test d'intrusion - Les détecteurs d’intrusions travaillent de façon isolée. Aussi appelés «sondes de detection» ou «IDS», ils « écoutent » (ou sniffent) sur le réseau et cherchent à détecter l’utilisation d’une attaque, par reconnaissance de l'utilisation de sa signature. Si un paquet réseau contient une attaque ils vont pouvoir le savoir, et réagir de diverses manières, allant de simplement avertir, bloquer le paquet, ou le déclenchement de scénarii complexe sur détection d'une attaque. Notre choix, l'IPS de StoneSoft, nous paraît le seul produit réellement exploitable dans ce domaine, les concurrents s'avérant sources de faux positifs tellement importants que l'exploitation de leurs solutions nous paraît presque impossible sur du long terme. Exemple : Un serveur non à jour au niveau des derniers correctifs de sécurité pourrait être victime de plusieurs vulnérabilités. Un scanner de vulnérabilité pourra détecter si la machine semble pouvoir être attaquée ou non par les dernières vulnérabilités. Un détecteur d’intrusion, en revanche, détectera toute tentative d’utilisation d’une de ces vulnérabilités. Ces deux actions sont différentes et parfois complémentaires, et la mise en place d'une solution plutôt qu'une autre (ou des deux) relève de la stratégie interne. Remarque importante : Le scanner vous previens d’un danger possible. Mais peut vous avertir alors que personne n’a encore tenté d’utiliser la faille. Le detecteur va vous avertir qu’une attaque a eu lieu, parce qu’il la reconnaît. Mais cela ne veut pas dire que l’attaque a réussi. Ce sont donc deux utilisations différentes des « bases de signatures d’attaques ». |
|||||||||||
|
|
||||||||||||
|
PROTEGO Informatique 1998-2007. All right reserved. |
||||||||||||
