Selon le Gartner Group, les systèmes de détection d'intrusion (IDS) seraient inutiles

Posté par . Modéré par Amaury.
Tags : aucun
0
18
juin
2003
Sécurité
Le Gartner Group a publié un article expliquant que les IDS n'avaient, selon eux, que peu d'utilité. Les analystes ont indiqué qu'il était préférable de dépenser le budget leur étant affecté pour acheter de nouveaux pare-feux (firewall) analysant les couches supérieures des trames réseaux.

Les expériences des lecteurs de Linuxfr sur les IDS et les pare-feux applicatifs sont les bienvenues. Extrait de l'article du Gartner: « Intrusion detection systems are a market failure, and vendors are now hyping intrusion prevention systems, which have also stalled (...) Functionality is moving into firewalls, which will perform deep packet inspection for content and malicious traffic blocking, as well as antivirus activities. »

Aller plus loin

  • # Re: Selon Gartner, les systèmes de détection d'intrusion (IDS) seraient inutiles

    Posté par . Évalué à 10.

    Les gens de Gartner et consors sont payer pour faire des effets d'annonce, pondus dans des bureaux climatises par des commeciaux qui ont la science infuse ...

    Bref, ce sont les precogs en cravate de la new economaIe ...

    Du vent du vent et encore du vent ...
  • # Re: Selon Gartner, les systèmes de détection d'intrusion (IDS) seraient inutiles

    Posté par (page perso) . Évalué à 10.

    Pas trop compris le sens de l'article, je me sers d'un IDS (snort) à ma mesure comme un système de log assez élaboré, et à coté j'utilise netfilter.

    Snort ne me sert pas à stopper les attaques, mais à comprendre comment elles ont pu passer à travers netfilter.

    Ce sont deux outils complémentaires, que dire de plus ?
  • # Re: Selon Gartner, les systèmes de détection d'intrusion (IDS) seraient inutiles

    Posté par . Évalué à 9.

    L'actualité des IDS est assez intense actuellement ... étant concerné dans ce domaine, j'ai assisté récemment à une présentation de Netscreen (www.netscreen.com) qui va introduire dans sa prochaine génération de firewalls (screenOS 5) une composante qu'ils baptisent IDP, intrusion detection protocol.

    Cela a été présenté comme une alternative plus puissante que les IDS car préventif ... mais sincèrement dans la démonstration c'était pas encore ça. Maintenant, IDP en tant que tel est une solution complémentaire aux firewalls mais ils vont intégrer une grande partie dans leurs firewalls.

    Actuellement, si on prend un mammouth dans la catégorie (allez Checkpoint par hasard), on est limité au osi layer 3 sauf pour quelques protocoles et encore ... les security servers (qui permettent de monter dans les couches application) ne sont pas vraiment recommandés ! Mais c'est clair qu'ils regardent de plus en plus vers ce marché ! Je viens de voir que le feature pack 4 venait d'être dévoilé mais je n'ai pas encore lu les release notes.

    Donc ... en guise de mini-conclusion ... la meilleure sécurité est celle qui combine le plus de technologies afin de couvrir au maximum les risques ... un firewall et un ids sont complémentaires ... les deux intégrés, pourquoi pas mais il faudra montrer que ça fonctionne bien .... un IDS préventif (IDP donc ;o) ... à voir aussi ;)

    Je sais c'est un peu confus mais je peux développer si il faut ;)
    • [^] # Re: Selon Gartner, les systèmes de détection d'intrusion (IDS) seraient inutiles

      Posté par . Évalué à 6.

      >Actuellement, si on prend un mammouth dans la catégorie (allez >Checkpoint par hasard),
      [...]
      >Je viens de voir que le feature pack 4 venait d'être dévoilé mais je n'ai pas encore lu les release notes.

      tu as raison; la nouvelle version de chez checkpoint détecte un certains nombre d'attaques niv7 (cross site scripting, code red), peut virer le p2p sur http, verifier que le ssl utilisé est v3 etc .... le nombre de protocoles niv7 reste faible mais bon, c'est un premier pas...
      Un checkpoint vaut t-il un netfilter + un snort?? ca n'est pas encore évident....

      Il reste qu'il vaut mieux avoir a coté un IDS, pour moi c'est évident que les fonctionnalités IDS/fw sont plutot complémentaires.
      Quand a avoir 2 en un, mouais, vaut mieux séparer, pasque point de vus ressources les IDS ca prend pas mal...
      • [^] # Re: Selon Gartner, les systèmes de détection d'intrusion (IDS) seraient inutiles

        Posté par . Évalué à 2.

        Je suis aussi pour la "séparation des pouvoirs" ... un firewall d'un côté, un IDS de l'autre ... on a déployé snort ici depuis quelques mois et effectivement s'il y a encore beaucoup de chemin à faire, c'est quand même prometteur même si le nombre de false positive reste élevé.

        Les ressources nécessaires pour un IDS sont dépendantes de la méthode d'analyse utilisée ... et comme on va jusqu'au niveau applicatif ... ça restera toujours plus gourmand qu'un firewall "basique" mais en le mettant en parallèle du réseau (comme un sniffer donc), il ne ralentit en rien le fonctionnement.
    • [^] # Re: Selon Gartner, les systèmes de détection d'intrusion (IDS) seraient inutiles

      Posté par . Évalué à 0.

      Et oui, et l'on peut parler également du constructeur francais NETASQ (www.netasq.com) qui a déjà pensé depuis longtemps à cela avec sa gamme d' IPS-Firewall (Intrusion Prevention Security).
    • [^] # Re: Selon Gartner, les systèmes de détection d'intrusion (IDS) seraient inutiles

      Posté par . Évalué à 3.

      on est limité au osi layer 3
      Couche 4 en fait (ie UDP|TCP|ICMP et autre).

      En fait de ce quoi parle le gartner (comme étant des "firewalls") c des truc genre reverse proxy, passerelle mail qui fait de l'anti-(virus|spam).
      Certains FW comme NETWALL peuvent servire de reverse proxy pour une floppé de protocoles (http, telnet, web , smtp, ...).

      Perso j'ai déployé des IDS (snort+prelude) et j'en suis super content même s'il y a bcp trop de false positifs.
      Une solution que j'utilise est de mettre des honey pot avec des snort dessus ce qui permet de n'avoir aucun false positif (tout à destination de ces machines est une attaque (au faute de frappe) aucun utilisateur n'est sensé tomber dessus.
  • # Re: Selon Gartner, les systèmes de détection d'intrusion (IDS) seraient inutiles

    Posté par (page perso) . Évalué à 10.

    ??
    Ils sont fous !!

    La securite a 100% n'existe pas.
    Dans ce cas, il faut limiter les pertes et apprendre de ses echecs :
    L'IDS sert a ca !!

    Etre au courant d'une intrusion est au moins aussi important que de se proteger !!

    Dans le cas contraire, non seulement il y aua des intrusions, mais en plus on en saura rien, ou si on arrive a le deviner grace des logs un peu louches, on aura pas la finesse des IDS pour les caracteriser (et donc savoir s'en proteger a l'avenir)

    S'il est vrai que ca coute cher, et que les IDS demandent a etre ameliores, il ne faut pas oublier le cout d'une intrusion non-detecte, de ses repercussions sur une entreprise !!

    Bref, ils recommandent d'installer une grille (ou plusieurs) devant chez vous pour vous proteger, mais sans camera, car elles ne sont pas efficaces... Alors que sans camera, on sera jamais sur de l'utilite des grilles...


    Conclusion :

    Se passer des IDS, NON.
    Se passer des consultants bidons, OUI.
  • # Re: Selon le Gartner Group, les systèmes de détection d'intrusion (IDS) seraient inutiles

    Posté par (page perso) . Évalué à 1.

    Les IDS sont assez gourmands en puissance machine.
    Ajouter la fonction IDS à un firewall, puisqu'il s'agit de ça, j'ose pas imaginer.
    Ca va ramer grave :-(
  • # Re: Selon le Gartner Group, les systèmes de détection d'intrusion (IDS) seraient inutiles

    Posté par . Évalué à 7.

    reprenons :

    # False positives and negatives
    ca reste vrai, mais de plus en plus d'IDS sont stateful (genre intrusion.com; même snort 2 il me semble) plutot que faire
    du network grep basique qui conduit a plein de false positive

    # An increased burden on the IS organization by requiring full-time
    # monitoring (24 hours a day, seven days a week, 365 days a year)
    moui??? alors que si tu mets ton firewall statefull niv7 tu peux dormir tranquille?? mais bien sûr!! il est vrai qu'avoir un ids, ca demande un minimum d'organisation....

    # A taxing incident-response process
    moui... avec uniquement un fw, on traite pas les incidents??? ingénieurs sécurité, installez un fw (conseillé par gartner) et partez en vacances !

    # An inability to monitor traffic at transmission rates greater than 600 megabits per second
    sans doute, mais ca m'étonnerait que le firewall de la mort qui tue de chez checkpoint (qui peut faire du 4Gb/s dans leur condition de tests pas très représentatives du trafic internet (genre paquets de taille 1500) ) doivent mouliner un peu plus si tu actives toutes les fonctions de filtrage niv7....
    certains IDS font déja +200 Mbit/s.... ils sont chers, certes, mais comparés au prix du fw gigabit!

    j'ajouterais aussi que certains ids font du SYN reset pour fermer les conn. suspectes, et donc ne se contentent pas de "regarder passer la zolie attaque par le port 80" mais peuvent aussi la contrer ...
    • [^] # Re: Selon le Gartner Group, les systèmes de détection d'intrusion (IDS) seraient inutiles

      Posté par . Évalué à 1.


      # False positives and negatives
      ca reste vrai, mais de plus en plus d'IDS sont stateful (genre intrusion.com; même snort 2 il me semble) plutot que faire
      du network grep basique qui conduit a plein de false positive


      Même snort 1.x est statefull grace au préprocesseur stream4.
      Mais même avec celà on a bcp de false positives, mais ça veut pas dire que c'est inutile, loins de là.
  • # Une autre étude dis qu'il faut se méfier de gartner, alors que penser ?

    Posté par . Évalué à 7.

    PCG (Pipo Consulting Group) a publié un article prouvant pourquoi les DSI, CIO et RSI ne doivent -selon l'étude- en aucun cas prendre pour argent comptant les analyses cabinets de conseils. Ces cabinets maitriseraient par ordre décroissant les outils stratégiques suivants :

    1) word (moua taper rapport)
    2) excel (yabon feuille de frais)
    3) power point (est-ce que c'est possible de faire une macro ou le sigle du client serait une variable et il n'y aurait plus qu'a la mettre à jour pour refiler les même slides à chaque client)
    4) outlook (regarde la vidéo que je t'ai envoyé, trop drôle !!!)

    En conséquence, PCG préconise de dépenser l'argent dans du personnel ou dans des solutions plutot que dans du papier. t

    L'article est dispo à l'adresse http://127.0.0.1(...)
  • # Re: Selon le Gartner Group, les systèmes de détection d'intrusion (IDS) seraient inutiles

    Posté par . Évalué à 1.

    J'aimerais klk infos concernant l'utilité des IDS.

    On m'a dis qu'il fallait passé quelques heures par jour devant les logs d'un IDS pour se faire une idée de ce que se passe sur le réseau et que ca apporte vraiment quelque chose.

    alors Franchement, est ce qu'un IDS c'est pas un luxe ?

    Avec les logs de netfilter, on arrive très souvent à se faire une idée du type d'attaque, n'est ce pas suffisant ?
    • [^] # Re: Selon le Gartner Group, les systèmes de détection d'intrusion (IDS) seraient inutiles

      Posté par . Évalué à 4.

      L'IDS est un outil complémentaire à ce que tu cites.

      Pour schématiser .. l'IDS est un sniffer qui incrémente des compteurs quand il reconnaît une signature (donc dans le même genre d'idée qu'un anti-virus de base).

      Cela te permet de savoir si une attaque est populaire ... s'il faut prendre des mesures supplémentaires pour ta sécurité.

      Prenons un exemple ... tu vois chaque jour dans une DMZ des dizaines de scans de tes machines avec une tentative d'exploitation de la faille avec les caractères unicodes ... si tu n'utilises pas d'Internet Explorer mais uniquement des Apache ... le fait de voir des tentatives pour lancer des cmd32.exe ne t'empêcheront pas de dormir ... par contre si dans ta DMS tu as un mélange entre des IIS et des Apaches ... c'est clair que tu as intérêt à savoir que toutes tes machines sont patchées.

      Aussi ... le fait d'identifier certaines attaques te permet de modifier tes règles de firewall pour les bloquer "plus haut" dans ta structure.

      Un IDS est avant tout un outil informatif ... mais justement, il vaut mieux éviter de faire de la sécurité par l'obscurantisme.

      En espérant que cette réponse t'aide un peu sinon ... on peut développer ;)

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.