Articles précédents : Articles
- [8] « Les uvres en ligne en droit comparé : droits américain et français »
- [6] Position du Syntec informatique sur le brevet logiciel
- [182] « Vote désastreux en Commission juridique » sur les brevets sur le logiciel
- [48] Microsoft (par la voix de B. Gates) encourage au piratage
- [47] Procès antitrust : un poursuivant de moins...
- [52] Dernières nouvelles du front Java
- [105] Linus va travailler à plein-temps sur le kernel
- [36] Après la Tunisie, l'Afrique du Sud s'engage !
- [55] Des robots s'échangent des emails sur Internet
- [9] OpenEXR : Outils libres de traitement d'image
Liens connexes
- Gartner : « Money Slated for Intrusion Detection Should Be Invested in Firewalls » (516 hits)
- Snort.org : « Gartner: Delusional, disingenius, or am I really missing something here? » (426 hits)
Dépêche modérée par
Articles : Selon le Gartner Group, les systèmes de détection d'intrusion (IDS) seraient inutiles
Posté par Cédric Foll (page perso, ). Modéré le 18 juin 2003.
Les expériences des lecteurs de Linuxfr sur les IDS et les pare-feux applicatifs sont les bienvenues.
![[en]](../../../images/en.png)
Gartner : « Money Slated for Intrusion Detection Should Be Invested in Firewalls » (516 hits)-
Snort.org : « Gartner: Delusional, disingenius, or am I really missing something here? » (426 hits)
> Lire la dépêche (25 commentaires, moyenne: 4,7).
Re: Selon Gartner, les systèmes de détection d'intrusion (IDS) seraient inutiles
Les gens de Gartner et consors sont payer pour faire des effets d'annonce, pondus dans des bureaux climatises par des commeciaux qui ont la science infuse ...
Bref, ce sont les precogs en cravate de la new economaIe ...
Du vent du vent et encore du vent ...
Re: Selon Gartner, les systèmes de détection d'intrusion (IDS) seraient inutiles
Pas trop compris le sens de l'article, je me sers d'un IDS (snort) à ma mesure comme un système de log assez élaboré, et à coté j'utilise netfilter.
Snort ne me sert pas à stopper les attaques, mais à comprendre comment elles ont pu passer à travers netfilter.
Ce sont deux outils complémentaires, que dire de plus ?
Re: Selon Gartner, les systèmes de détection d'intrusion (IDS) seraient inutiles
L'actualité des IDS est assez intense actuellement ... étant concerné dans ce domaine, j'ai assisté récemment à une présentation de Netscreen (www.netscreen.com) qui va introduire dans sa prochaine génération de firewalls (screenOS 5) une composante qu'ils baptisent IDP, intrusion detection protocol.
Cela a été présenté comme une alternative plus puissante que les IDS car préventif ... mais sincèrement dans la démonstration c'était pas encore ça. Maintenant, IDP en tant que tel est une solution complémentaire aux firewalls mais ils vont intégrer une grande partie dans leurs firewalls.
Actuellement, si on prend un mammouth dans la catégorie (allez Checkpoint par hasard), on est limité au osi layer 3 sauf pour quelques protocoles et encore ... les security servers (qui permettent de monter dans les couches application) ne sont pas vraiment recommandés ! Mais c'est clair qu'ils regardent de plus en plus vers ce marché ! Je viens de voir que le feature pack 4 venait d'être dévoilé mais je n'ai pas encore lu les release notes.
Donc ... en guise de mini-conclusion ... la meilleure sécurité est celle qui combine le plus de technologies afin de couvrir au maximum les risques ... un firewall et un ids sont complémentaires ... les deux intégrés, pourquoi pas mais il faudra montrer que ça fonctionne bien .... un IDS préventif (IDP donc ;o) ... à voir aussi ;)
Je sais c'est un peu confus mais je peux développer si il faut ;)
-
[^]Re: Selon Gartner, les systèmes de détection d'intrusion (IDS) seraient inutiles
Posté par etienne_basset () le 18/06/2003 à 13:29. (lien). Évalué à 6.>Actuellement, si on prend un mammouth dans la catégorie (allez >Checkpoint par hasard),
[...]
>Je viens de voir que le feature pack 4 venait d'être dévoilé mais je n'ai pas encore lu les release notes.
tu as raison; la nouvelle version de chez checkpoint détecte un certains nombre d'attaques niv7 (cross site scripting, code red), peut virer le p2p sur http, verifier que le ssl utilisé est v3 etc .... le nombre de protocoles niv7 reste faible mais bon, c'est un premier pas...
Un checkpoint vaut t-il un netfilter + un snort?? ca n'est pas encore évident....
Il reste qu'il vaut mieux avoir a coté un IDS, pour moi c'est évident que les fonctionnalités IDS/fw sont plutot complémentaires.
Quand a avoir 2 en un, mouais, vaut mieux séparer, pasque point de vus ressources les IDS ca prend pas mal...-
[^]Re: Selon Gartner, les systèmes de détection d'intrusion (IDS) seraient inutiles
Posté par Olivier () le 18/06/2003 à 13:52. (lien). Évalué à 2.Je suis aussi pour la "séparation des pouvoirs" ... un firewall d'un côté, un IDS de l'autre ... on a déployé snort ici depuis quelques mois et effectivement s'il y a encore beaucoup de chemin à faire, c'est quand même prometteur même si le nombre de false positive reste élevé.
Les ressources nécessaires pour un IDS sont dépendantes de la méthode d'analyse utilisée ... et comme on va jusqu'au niveau applicatif ... ça restera toujours plus gourmand qu'un firewall "basique" mais en le mettant en parallèle du réseau (comme un sniffer donc), il ne ralentit en rien le fonctionnement.
-
-
[^]Re: Selon Gartner, les systèmes de détection d'intrusion (IDS) seraient inutiles
-
[^]Re: Selon Gartner, les systèmes de détection d'intrusion (IDS) seraient inutiles
Posté par Cédric Foll (page perso, ) le 18/06/2003 à 13:35. (lien). Évalué à 3.on est limité au osi layer 3
Couche 4 en fait (ie UDP|TCP|ICMP et autre).
En fait de ce quoi parle le gartner (comme étant des "firewalls") c des truc genre reverse proxy, passerelle mail qui fait de l'anti-(virus|spam).
Certains FW comme NETWALL peuvent servire de reverse proxy pour une floppé de protocoles (http, telnet, web , smtp, ...).
Perso j'ai déployé des IDS (snort+prelude) et j'en suis super content même s'il y a bcp trop de false positifs.
Une solution que j'utilise est de mettre des honey pot avec des snort dessus ce qui permet de n'avoir aucun false positif (tout à destination de ces machines est une attaque (au faute de frappe) aucun utilisateur n'est sensé tomber dessus.-
[^]Re: Selon Gartner, les systèmes de détection d'intrusion (IDS) seraient inutiles
Posté par David FORT (page perso, ) le 18/06/2003 à 15:23. (lien). Évalué à 2.C'est ça le principal problème des IDS: les falses positives. Quand il faut se palucher une tonne de log contenant des fausses alertes on perd un peu l'intérêt de l'IDS: autant regarder les paquets à la main ;)
-
[^]Re: Selon Gartner, les systèmes de détection d'intrusion (IDS) seraient inutiles
Posté par Saperus () le 18/06/2003 à 15:31. (lien). Évalué à 3.Ce qui tuera les NIDS: réseaux chiffrés (ipsec - vpn etc) et le gigabit.
-
[^]Re: Selon Gartner, les systèmes de détection d'intrusion (IDS) seraient inutiles
Posté par Cédric Foll (page perso, ) le 18/06/2003 à 15:35. (lien). Évalué à 1.Plutôt le chiffrement direct sur le serveur.
Avec les vpn pas de pb, les flux arrivent nons chiffrés sur les serveurs, ils sont déchiffrés par les concentrateurs.
Par contre avec ssh, ssl et leurs amis on touche un pb.
Dans se cas là on pourra se concentrer sur les HIDS (comme prelude-lml).
-
-
[^]Re: Selon Gartner, les systèmes de détection d'intrusion (IDS) seraient inutiles
Posté par Franck Yvonnet (page perso, ) le 19/06/2003 à 08:49. (lien). Évalué à 2.Voila par exemple un outil qui permet de générer des faux positifs... et pourquoi pas en profiter pour glisser une vrai attaque dans le lot ;-)
http://www.hsc.fr/ressources/outils/idswakeup/index.html.en(...)
-
-
Re: Selon Gartner, les systèmes de détection d'intrusion (IDS) seraient inutiles
??
Ils sont fous !!
La securite a 100% n'existe pas.
Dans ce cas, il faut limiter les pertes et apprendre de ses echecs :
L'IDS sert a ca !!
Etre au courant d'une intrusion est au moins aussi important que de se proteger !!
Dans le cas contraire, non seulement il y aua des intrusions, mais en plus on en saura rien, ou si on arrive a le deviner grace des logs un peu louches, on aura pas la finesse des IDS pour les caracteriser (et donc savoir s'en proteger a l'avenir)
S'il est vrai que ca coute cher, et que les IDS demandent a etre ameliores, il ne faut pas oublier le cout d'une intrusion non-detecte, de ses repercussions sur une entreprise !!
Bref, ils recommandent d'installer une grille (ou plusieurs) devant chez vous pour vous proteger, mais sans camera, car elles ne sont pas efficaces... Alors que sans camera, on sera jamais sur de l'utilite des grilles...
Conclusion :
Se passer des IDS, NON.
Se passer des consultants bidons, OUI.
-
[^]Pub de Cisco (was Re: Selon Gartner, les systèmes de détection d'intrusion (IDS) seraient inutiles)
Posté par Patrice Mandin (page perso, ) le 18/06/2003 à 13:01. (lien). Évalué à 8.Etre au courant d'une intrusion est au moins aussi important que de se proteger !!
Dans le cas contraire, non seulement il y aura des intrusions, mais en plus on en saura rien, ou si on arrive a le deviner grace des logs un peu louches, on aura pas la finesse des IDS pour les caracteriser (et donc savoir s'en proteger a l'avenir)
D'ailleurs dans une pub pour cisco vue cette semaine, ils disent que le système s'occupe de tout, vous n'avez plus rien à faire pour vous protéger des méchants pirates: c'est un peu le point critique: pour ne pas avoir de problèmes, il suffit de ne pas savoir qu'on en a. A ce niveau, c'est carrément de la déresponsabilisation.
Il faut que quelqu'un sache ce qui se passe pour pouvoir agir de manière plus adéquate la prochaine fois. Aucun logiciel (même libre) n'est invulnérable, c'est juste une question de temps (de moyens, de compétences) pour casser un système: en tout cas c'est comme ça que je considère les choses.-
[^]Re: Pub de Cisco (was Re: Selon Gartner, les systèmes de détection d'intrusion (IDS) seraient inutiles)
Posté par bazil () le 18/06/2003 à 16:09. (lien). Évalué à 2.Oui, c'est d'autant plus délirant que c'est sensé être dans un hôpital et du Wifi, en plus. Vive la confidentialité et la protection du dossier médical. Je sens qu'on va se retrouver avec quelques affaires bien juteuses de ventes de fichiers médicaux (et les intéressés potentiels sont nombreux...).
-
[^]Re: Pub de Cisco (was Re: Selon Gartner, les systèmes de détection d'intrusion (IDS) seraient inutiles)
Posté par LupusMic (page perso, ) le 18/06/2003 à 18:32. (lien). Évalué à 1.En quand est-il de la perturbation des appareils médicaux, lorsqu'on sait que les ondes des téléphones cellulaires les perturbent ?
-
[^]Re: Pub de Cisco (was Re: Selon Gartner, les systèmes de détection d'intrusion (IDS) seraient inutiles)
-
-
-
Re: Selon le Gartner Group, les systèmes de détection d'intrusion (IDS) seraient inutiles
reprenons :
# False positives and negatives
ca reste vrai, mais de plus en plus d'IDS sont stateful (genre intrusion.com; même snort 2 il me semble) plutot que faire
du network grep basique qui conduit a plein de false positive
# An increased burden on the IS organization by requiring full-time
# monitoring (24 hours a day, seven days a week, 365 days a year)
moui??? alors que si tu mets ton firewall statefull niv7 tu peux dormir tranquille?? mais bien sûr!! il est vrai qu'avoir un ids, ca demande un minimum d'organisation....
# A taxing incident-response process
moui... avec uniquement un fw, on traite pas les incidents??? ingénieurs sécurité, installez un fw (conseillé par gartner) et partez en vacances !
# An inability to monitor traffic at transmission rates greater than 600 megabits per second
sans doute, mais ca m'étonnerait que le firewall de la mort qui tue de chez checkpoint (qui peut faire du 4Gb/s dans leur condition de tests pas très représentatives du trafic internet (genre paquets de taille 1500) ) doivent mouliner un peu plus si tu actives toutes les fonctions de filtrage niv7....
certains IDS font déja +200 Mbit/s.... ils sont chers, certes, mais comparés au prix du fw gigabit!
j'ajouterais aussi que certains ids font du SYN reset pour fermer les conn. suspectes, et donc ne se contentent pas de "regarder passer la zolie attaque par le port 80" mais peuvent aussi la contrer ...
-
[^]Re: Selon le Gartner Group, les systèmes de détection d'intrusion (IDS) seraient inutiles
Posté par Cédric Foll (page perso, ) le 18/06/2003 à 15:10. (lien). Évalué à 1.
# False positives and negatives
ca reste vrai, mais de plus en plus d'IDS sont stateful (genre intrusion.com; même snort 2 il me semble) plutot que faire
du network grep basique qui conduit a plein de false positive
Même snort 1.x est statefull grace au préprocesseur stream4.
Mais même avec celà on a bcp de false positives, mais ça veut pas dire que c'est inutile, loins de là.
Une autre étude dis qu'il faut se méfier de gartner, alors que penser ?
PCG (Pipo Consulting Group) a publié un article prouvant pourquoi les DSI, CIO et RSI ne doivent -selon l'étude- en aucun cas prendre pour argent comptant les analyses cabinets de conseils. Ces cabinets maitriseraient par ordre décroissant les outils stratégiques suivants :
1) word (moua taper rapport)
2) excel (yabon feuille de frais)
3) power point (est-ce que c'est possible de faire une macro ou le sigle du client serait une variable et il n'y aurait plus qu'a la mettre à jour pour refiler les même slides à chaque client)
4) outlook (regarde la vidéo que je t'ai envoyé, trop drôle !!!)
En conséquence, PCG préconise de dépenser l'argent dans du personnel ou dans des solutions plutot que dans du papier. t
L'article est dispo à l'adresse http://127.0.0.1(...)
-
[^]Re: Une autre étude dis qu'il faut se méfier de gartner, alors que penser ?
Posté par Philippe Bouamriou (page perso, ) le 18/06/2003 à 18:46. (lien). Évalué à 1.C'est quoi cette url sur ton localhost ;)
Re: Selon le Gartner Group, les systèmes de détection d'intrusion (IDS) seraient inutiles
J'aimerais klk infos concernant l'utilité des IDS.
On m'a dis qu'il fallait passé quelques heures par jour devant les logs d'un IDS pour se faire une idée de ce que se passe sur le réseau et que ca apporte vraiment quelque chose.
alors Franchement, est ce qu'un IDS c'est pas un luxe ?
Avec les logs de netfilter, on arrive très souvent à se faire une idée du type d'attaque, n'est ce pas suffisant ?
-
[^]Re: Selon le Gartner Group, les systèmes de détection d'intrusion (IDS) seraient inutiles
Posté par Olivier () le 19/06/2003 à 07:58. (lien). Évalué à 4.L'IDS est un outil complémentaire à ce que tu cites.
Pour schématiser .. l'IDS est un sniffer qui incrémente des compteurs quand il reconnaît une signature (donc dans le même genre d'idée qu'un anti-virus de base).
Cela te permet de savoir si une attaque est populaire ... s'il faut prendre des mesures supplémentaires pour ta sécurité.
Prenons un exemple ... tu vois chaque jour dans une DMZ des dizaines de scans de tes machines avec une tentative d'exploitation de la faille avec les caractères unicodes ... si tu n'utilises pas d'Internet Explorer mais uniquement des Apache ... le fait de voir des tentatives pour lancer des cmd32.exe ne t'empêcheront pas de dormir ... par contre si dans ta DMS tu as un mélange entre des IIS et des Apaches ... c'est clair que tu as intérêt à savoir que toutes tes machines sont patchées.
Aussi ... le fait d'identifier certaines attaques te permet de modifier tes règles de firewall pour les bloquer "plus haut" dans ta structure.
Un IDS est avant tout un outil informatif ... mais justement, il vaut mieux éviter de faire de la sécurité par l'obscurantisme.
En espérant que cette réponse t'aide un peu sinon ... on peut développer ;)
Cette page a été générée par Templeet en 0.163s (dont 0.0669 de SQL).
Cette page est peut-être conforme xhtml 1.0.
Information sur le site.
Cette discussion est archivée, il n'est plus possible de laisser des commentaires.
Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.