Les expériences des lecteurs de Linuxfr sur les IDS et les pare-feux applicatifs sont les bienvenues. Extrait de l'article du Gartner: « Intrusion detection systems are a market failure, and vendors are now hyping intrusion prevention systems, which have also stalled (...) Functionality is moving into firewalls, which will perform deep packet inspection for content and malicious traffic blocking, as well as antivirus activities. »
Selon le Gartner Group, les systèmes de détection d'intrusion (IDS) seraient inutiles
18
juin
2003
Le Gartner Group a publié un article expliquant que les IDS n'avaient, selon eux, que peu d'utilité. Les analystes ont indiqué qu'il était préférable de dépenser le budget leur étant affecté pour acheter de nouveaux pare-feux (firewall) analysant les couches supérieures des trames réseaux.
Les expériences des lecteurs de Linuxfr sur les IDS et les pare-feux applicatifs sont les bienvenues. Extrait de l'article du Gartner: « Intrusion detection systems are a market failure, and vendors are now hyping intrusion prevention systems, which have also stalled (...) Functionality is moving into firewalls, which will perform deep packet inspection for content and malicious traffic blocking, as well as antivirus activities. »
Les expériences des lecteurs de Linuxfr sur les IDS et les pare-feux applicatifs sont les bienvenues. Extrait de l'article du Gartner: « Intrusion detection systems are a market failure, and vendors are now hyping intrusion prevention systems, which have also stalled (...) Functionality is moving into firewalls, which will perform deep packet inspection for content and malicious traffic blocking, as well as antivirus activities. »
# Re: Selon Gartner, les systèmes de détection d'intrusion (IDS) seraient inutiles
Posté par Tony Gencyl . Évalué à 10.
Bref, ce sont les precogs en cravate de la new economaIe ...
Du vent du vent et encore du vent ...
# Re: Selon Gartner, les systèmes de détection d'intrusion (IDS) seraient inutiles
Posté par Code34 (site web personnel) . Évalué à 10.
Snort ne me sert pas à stopper les attaques, mais à comprendre comment elles ont pu passer à travers netfilter.
Ce sont deux outils complémentaires, que dire de plus ?
# Re: Selon Gartner, les systèmes de détection d'intrusion (IDS) seraient inutiles
Posté par Olivier . Évalué à 9.
Cela a été présenté comme une alternative plus puissante que les IDS car préventif ... mais sincèrement dans la démonstration c'était pas encore ça. Maintenant, IDP en tant que tel est une solution complémentaire aux firewalls mais ils vont intégrer une grande partie dans leurs firewalls.
Actuellement, si on prend un mammouth dans la catégorie (allez Checkpoint par hasard), on est limité au osi layer 3 sauf pour quelques protocoles et encore ... les security servers (qui permettent de monter dans les couches application) ne sont pas vraiment recommandés ! Mais c'est clair qu'ils regardent de plus en plus vers ce marché ! Je viens de voir que le feature pack 4 venait d'être dévoilé mais je n'ai pas encore lu les release notes.
Donc ... en guise de mini-conclusion ... la meilleure sécurité est celle qui combine le plus de technologies afin de couvrir au maximum les risques ... un firewall et un ids sont complémentaires ... les deux intégrés, pourquoi pas mais il faudra montrer que ça fonctionne bien .... un IDS préventif (IDP donc ;o) ... à voir aussi ;)
Je sais c'est un peu confus mais je peux développer si il faut ;)
[^] # Re: Selon Gartner, les systèmes de détection d'intrusion (IDS) seraient inutiles
Posté par etienne_basset . Évalué à 6.
[...]
>Je viens de voir que le feature pack 4 venait d'être dévoilé mais je n'ai pas encore lu les release notes.
tu as raison; la nouvelle version de chez checkpoint détecte un certains nombre d'attaques niv7 (cross site scripting, code red), peut virer le p2p sur http, verifier que le ssl utilisé est v3 etc .... le nombre de protocoles niv7 reste faible mais bon, c'est un premier pas...
Un checkpoint vaut t-il un netfilter + un snort?? ca n'est pas encore évident....
Il reste qu'il vaut mieux avoir a coté un IDS, pour moi c'est évident que les fonctionnalités IDS/fw sont plutot complémentaires.
Quand a avoir 2 en un, mouais, vaut mieux séparer, pasque point de vus ressources les IDS ca prend pas mal...
[^] # Re: Selon Gartner, les systèmes de détection d'intrusion (IDS) seraient inutiles
Posté par Olivier . Évalué à 2.
Les ressources nécessaires pour un IDS sont dépendantes de la méthode d'analyse utilisée ... et comme on va jusqu'au niveau applicatif ... ça restera toujours plus gourmand qu'un firewall "basique" mais en le mettant en parallèle du réseau (comme un sniffer donc), il ne ralentit en rien le fonctionnement.
[^] # Re: Selon Gartner, les systèmes de détection d'intrusion (IDS) seraient inutiles
Posté par Seb59 . Évalué à 0.
[^] # Re: Selon Gartner, les systèmes de détection d'intrusion (IDS) seraient inutiles
Posté par Cédric Foll . Évalué à 3.
Couche 4 en fait (ie UDP|TCP|ICMP et autre).
En fait de ce quoi parle le gartner (comme étant des "firewalls") c des truc genre reverse proxy, passerelle mail qui fait de l'anti-(virus|spam).
Certains FW comme NETWALL peuvent servire de reverse proxy pour une floppé de protocoles (http, telnet, web , smtp, ...).
Perso j'ai déployé des IDS (snort+prelude) et j'en suis super content même s'il y a bcp trop de false positifs.
Une solution que j'utilise est de mettre des honey pot avec des snort dessus ce qui permet de n'avoir aucun false positif (tout à destination de ces machines est une attaque (au faute de frappe) aucun utilisateur n'est sensé tomber dessus.
[^] # Re: Selon Gartner, les systèmes de détection d'intrusion (IDS) seraient inutiles
Posté par David FORT . Évalué à 2.
[^] # Re: Selon Gartner, les systèmes de détection d'intrusion (IDS) seraient inutiles
Posté par Saperus . Évalué à 3.
[^] # Re: Selon Gartner, les systèmes de détection d'intrusion (IDS) seraient inutiles
Posté par Cédric Foll . Évalué à 1.
Avec les vpn pas de pb, les flux arrivent nons chiffrés sur les serveurs, ils sont déchiffrés par les concentrateurs.
Par contre avec ssh, ssl et leurs amis on touche un pb.
Dans se cas là on pourra se concentrer sur les HIDS (comme prelude-lml).
[^] # Re: Selon Gartner, les systèmes de détection d'intrusion (IDS) seraient inutiles
Posté par Franck Yvonnet . Évalué à 2.
http://www.hsc.fr/ressources/outils/idswakeup/index.html.en(...)
# Re: Selon Gartner, les systèmes de détection d'intrusion (IDS) seraient inutiles
Posté par tuan kuranes (site web personnel) . Évalué à 10.
Ils sont fous !!
La securite a 100% n'existe pas.
Dans ce cas, il faut limiter les pertes et apprendre de ses echecs :
L'IDS sert a ca !!
Etre au courant d'une intrusion est au moins aussi important que de se proteger !!
Dans le cas contraire, non seulement il y aua des intrusions, mais en plus on en saura rien, ou si on arrive a le deviner grace des logs un peu louches, on aura pas la finesse des IDS pour les caracteriser (et donc savoir s'en proteger a l'avenir)
S'il est vrai que ca coute cher, et que les IDS demandent a etre ameliores, il ne faut pas oublier le cout d'une intrusion non-detecte, de ses repercussions sur une entreprise !!
Bref, ils recommandent d'installer une grille (ou plusieurs) devant chez vous pour vous proteger, mais sans camera, car elles ne sont pas efficaces... Alors que sans camera, on sera jamais sur de l'utilite des grilles...
Conclusion :
Se passer des IDS, NON.
Se passer des consultants bidons, OUI.
[^] # Pub de Cisco (was Re: Selon Gartner, les systèmes de détection d'intrusion (IDS) seraient inutiles)
Posté par Patrice Mandin . Évalué à 8.
Dans le cas contraire, non seulement il y aura des intrusions, mais en plus on en saura rien, ou si on arrive a le deviner grace des logs un peu louches, on aura pas la finesse des IDS pour les caracteriser (et donc savoir s'en proteger a l'avenir)
D'ailleurs dans une pub pour cisco vue cette semaine, ils disent que le système s'occupe de tout, vous n'avez plus rien à faire pour vous protéger des méchants pirates: c'est un peu le point critique: pour ne pas avoir de problèmes, il suffit de ne pas savoir qu'on en a. A ce niveau, c'est carrément de la déresponsabilisation.
Il faut que quelqu'un sache ce qui se passe pour pouvoir agir de manière plus adéquate la prochaine fois. Aucun logiciel (même libre) n'est invulnérable, c'est juste une question de temps (de moyens, de compétences) pour casser un système: en tout cas c'est comme ça que je considère les choses.
[^] # Re: Pub de Cisco (was Re: Selon Gartner, les systèmes de détection d'intrusion (IDS) seraient inutiles)
Posté par bazil . Évalué à 2.
[^] # Re: Pub de Cisco (was Re: Selon Gartner, les systèmes de détection d'intrusion (IDS) seraient inutiles)
Posté par LupusMic (site web personnel, Mastodon) . Évalué à 1.
[^] # Re: Pub de Cisco (was Re: Selon Gartner, les systèmes de détection d'intrusion (IDS) seraient inutiles)
Posté par PeYotL . Évalué à 1.
# Re: Selon le Gartner Group, les systèmes de détection d'intrusion (IDS) seraient inutiles
Posté par rouby (site web personnel) . Évalué à 1.
Ajouter la fonction IDS à un firewall, puisqu'il s'agit de ça, j'ose pas imaginer.
Ca va ramer grave :-(
# Re: Selon le Gartner Group, les systèmes de détection d'intrusion (IDS) seraient inutiles
Posté par etienne_basset . Évalué à 7.
# False positives and negatives
ca reste vrai, mais de plus en plus d'IDS sont stateful (genre intrusion.com; même snort 2 il me semble) plutot que faire
du network grep basique qui conduit a plein de false positive
# An increased burden on the IS organization by requiring full-time
# monitoring (24 hours a day, seven days a week, 365 days a year)
moui??? alors que si tu mets ton firewall statefull niv7 tu peux dormir tranquille?? mais bien sûr!! il est vrai qu'avoir un ids, ca demande un minimum d'organisation....
# A taxing incident-response process
moui... avec uniquement un fw, on traite pas les incidents??? ingénieurs sécurité, installez un fw (conseillé par gartner) et partez en vacances !
# An inability to monitor traffic at transmission rates greater than 600 megabits per second
sans doute, mais ca m'étonnerait que le firewall de la mort qui tue de chez checkpoint (qui peut faire du 4Gb/s dans leur condition de tests pas très représentatives du trafic internet (genre paquets de taille 1500) ) doivent mouliner un peu plus si tu actives toutes les fonctions de filtrage niv7....
certains IDS font déja +200 Mbit/s.... ils sont chers, certes, mais comparés au prix du fw gigabit!
j'ajouterais aussi que certains ids font du SYN reset pour fermer les conn. suspectes, et donc ne se contentent pas de "regarder passer la zolie attaque par le port 80" mais peuvent aussi la contrer ...
[^] # Re: Selon le Gartner Group, les systèmes de détection d'intrusion (IDS) seraient inutiles
Posté par Cédric Foll . Évalué à 1.
# False positives and negatives
ca reste vrai, mais de plus en plus d'IDS sont stateful (genre intrusion.com; même snort 2 il me semble) plutot que faire
du network grep basique qui conduit a plein de false positive
Même snort 1.x est statefull grace au préprocesseur stream4.
Mais même avec celà on a bcp de false positives, mais ça veut pas dire que c'est inutile, loins de là.
# Une autre étude dis qu'il faut se méfier de gartner, alors que penser ?
Posté par Le_Maudit Aime . Évalué à 7.
1) word (moua taper rapport)
2) excel (yabon feuille de frais)
3) power point (est-ce que c'est possible de faire une macro ou le sigle du client serait une variable et il n'y aurait plus qu'a la mettre à jour pour refiler les même slides à chaque client)
4) outlook (regarde la vidéo que je t'ai envoyé, trop drôle !!!)
En conséquence, PCG préconise de dépenser l'argent dans du personnel ou dans des solutions plutot que dans du papier. t
L'article est dispo à l'adresse http://127.0.0.1(...)
[^] # Re: Une autre étude dis qu'il faut se méfier de gartner, alors que penser ?
Posté par Philippe Bouamriou (site web personnel) . Évalué à 1.
[^] # Encore un maichant H4c|<3R
Posté par fenril . Évalué à 3.
Comment t'as fait pour avoir l'adresse de mon serveur ? Espèce de Pyratteuh *<;o)
[^] # Re: Encore un maichant H4c|<3R
Posté par Nap . Évalué à 4.
et il l'a filé a tout le monde
aller j'efface tous tes fi
# Re: Selon le Gartner Group, les systèmes de détection d'intrusion (IDS) seraient inutiles
Posté par superpop . Évalué à 1.
On m'a dis qu'il fallait passé quelques heures par jour devant les logs d'un IDS pour se faire une idée de ce que se passe sur le réseau et que ca apporte vraiment quelque chose.
alors Franchement, est ce qu'un IDS c'est pas un luxe ?
Avec les logs de netfilter, on arrive très souvent à se faire une idée du type d'attaque, n'est ce pas suffisant ?
[^] # Re: Selon le Gartner Group, les systèmes de détection d'intrusion (IDS) seraient inutiles
Posté par Olivier . Évalué à 4.
Pour schématiser .. l'IDS est un sniffer qui incrémente des compteurs quand il reconnaît une signature (donc dans le même genre d'idée qu'un anti-virus de base).
Cela te permet de savoir si une attaque est populaire ... s'il faut prendre des mesures supplémentaires pour ta sécurité.
Prenons un exemple ... tu vois chaque jour dans une DMZ des dizaines de scans de tes machines avec une tentative d'exploitation de la faille avec les caractères unicodes ... si tu n'utilises pas d'Internet Explorer mais uniquement des Apache ... le fait de voir des tentatives pour lancer des cmd32.exe ne t'empêcheront pas de dormir ... par contre si dans ta DMS tu as un mélange entre des IIS et des Apaches ... c'est clair que tu as intérêt à savoir que toutes tes machines sont patchées.
Aussi ... le fait d'identifier certaines attaques te permet de modifier tes règles de firewall pour les bloquer "plus haut" dans ta structure.
Un IDS est avant tout un outil informatif ... mais justement, il vaut mieux éviter de faire de la sécurité par l'obscurantisme.
En espérant que cette réponse t'aide un peu sinon ... on peut développer ;)
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.