Les systèmes de prévention d'intrusion ... de l'efficacité au coup marketing.

Par Xavier Poli, secuobs.com
Le 16/04/2006

---

Résumé : Un IPS ou système de prévention d'intrusion semble être ce genre de gadget à la mode que des consultants pseudo-experts en sécurité, sorte de technico-commerciaux des temps modernes, vont essayer de vendre à des prix faramineux en promettant l'eldorado. - Lire l'article



Un IPS ou système de prévention d'intrusion semble être ce genre de gadget à la mode que des consultants pseudo-experts en sécurité, sorte de technico-commerciaux des temps modernes, vont essayer de vendre à des prix faramineux en promettant l'eldorado.

Et bien les IPS c'est un peu cela souvent, mais heureusement pas uniquement cependant ne faites pas confiance aux vendeurs qui promettent une sécurité à 100 % grâce à leur IPS « maison » car c'est aujourd'hui techniquement impossible à réaliser.

Les IPS se différencient des systèmes de détection d'intrusion ou IDS par leur rôle pro-actif dans la défense de votre réseau. Imaginez qu'une ou plusieurs personnes décident de lancer une attaque de type Déni de Service Distribué sur un serveur et que l'IPS reconnaisse cette attaque grâce à des scénarios pré-définis ; en fonction de sa configuration, ce système va émettre une réponse adéquate afin d'enrayer l'attaque.

Le type de réponse employé est généralement la mise en place dynamique/automatique de règles de filtrage permettant de ne pas laisser passer pour un laps de temps les paquets en provenance de la ou des sources du DdoS. Un IPS n'est « rien » de plus schématiquement qu'une variante d'IDS couplé à un logiciel de filtrage ; si vous savez vous servir d'un IDS et d'un Firewall alors vous saurez vous servir des IPS actuels.

On peut observer certaines réponses plus radicales comme un DdoS en retour depuis tous les utilisateurs d'une même marque d'IPS vers l'attaquant d'un de ces utilisateurs, le paragraphe ci-dessous montre par un autre exemple pourquoi cela est une très mauvaise idée.

Ce premier problème rencontré, c'est le caractère automatique de la chose. Censé être un atout pour la protection des réseaux, il peut être retourné et devenir un vecteur d'attaque propre. Il est par exemple aisé d'usurper l'adresse IP d'une machine source dans les paquets que l'on envoie à une autre machine ciblée ; il est ainsi possible « grâce » à l'IPS d'empêcher l'entrée de toutes les communications provenant d'une machine légitime (VPN, travail à distance, webmail) vers le réseau.

On peut comparer ce type de vecteur aux réponses automatiques des passerelles antivirales lorsque l'email d'un utilisateur est à la source de l'envoi d'un message comportant un fichier infecté reconnu par celles-ci ; si l'adresse de réponse est usurpée, la boite email de l'utilisateur en question se verra spammée par une passerelle de ce genre configurée de cette manière.

Un deuxième problème et de taille se situe au niveau des temps de latence. Le traitement des paquets par les IPS doit être rapide afin de ne pas entraîner de ralentissements pour les utilisateurs réguliers. Et c'est là qu'est tout le coeur du problème car à ce souci de durée s'ajoute le problème des ressources systèmes nécessaires.

Pour un traitement optimal de ce type vu le nombre de techniques d'évasion de plus en plus complexes disponible actuellement, ces ressources seraient bien trop importantes pour garantir la stabilité de la machine et la vitesse de l'acheminement des données.

A partir du moment où « vous considérez la sécurité comme un processus et non comme un outil », l'IPS peut prendre toute sa mesure mais pour cela il doit être configuré comme il se doit et surtout il doit être testé avant d'être lancé en production.

Un IPS peut aider à se prémunir contre 90 % des attaques dont les DoS/DDoS, la propagation des vers, les exploits récents lorsque ceux-ci n'ont pas été modifiés (port de connexion, données spécifiques, caractères d'obfuscation) afin de contourner le système de signatures de l'IPS comme pour les variantes de virus et les logiciels antiviraux.

Pour les attaques ciblées plus complexes, un IPS ne servira pas à grand chose, c'est une réalité qui doit être prise en compte même si elle ne va pas dans le sens des discours séduisants mais hypocrites et mensongers de certains vendeurs à l'égard de leurs clients potentiels.

Renaud Bidou, de la société Radware, a réalisé une présentation au sujet de la méthodologie des tests de fiabilité des IPS lors de la conférence CanSecWest 2006, il est possible de trouver à cet effet sur son site un outil en PERL nommé IPSTester.pl qui intègre plusieurs modules de tests basés sur des types d'évasions connus, DCE-RPC par exemple. Lors de cette présentation, il a notamment réalisé une démonstration d'évasion alors que trois IPS de marque différente dont Snort-Inline avaient été chaînés pour l'occasion.

Plus de détails sur la méthodologie précédemment citée sont disponibles à la consultation sur lien et sur lien pour télécharger l'outil de test qui bien qu'utile ne sera jamais à même de vous fournir des résultats aussi probants que ceux obtenus lors de tests « manuels » selon son propre auteur.