[Abstract] [Copyright Notice]

Firewalling sous Linux - Chapitre 7
Les outils d'administration et de surveillance


On étudiera ici les divers outils d'administration permettant d'assurer une gestion optimale de la configuration et de la surveillance du firewall et du réseau interne abrité.


7.1 La détection d'intrusion

De façon complémentaire au firewall, qui doit assurer la sécurité du réseau en filtrant le trafic extérieur en un seul point, la détection d'intrusion a pour objectif la détection d'accès non autorisés (et de tentatives) sur l'ensemble du réseau, quelle que soit leur origine, et par différents moyens.

Alors que le pare-feu joue un rôle actif en bloquant le trafic non autorisé, la détection d'intrusion se fait grâce à une surveillance constante du trafic et de l'état des machines. La variété des menaces potentielles requiert la mise en place de différents systèmes d'écoute, de journalisation et de génération d'alertes. L'ensemble de ces dispositions est organisée par une politique de sécurité qu'il faut définir en tenant compte des objectifs, mais aussi des moyens disponibles.


7.2 Les menaces et les moyens de s'en prémunir

Les attaques et autres actes de malveillances menaçant l'intégrité du du réseau sont de types variés. Comme présenté plus haut, les individus ou entités malveillants pouvant représenter une menace ont à leur disposition une grande variété d'outils utilisant des méthodes différentes : flood (surcharge), spoofing (usurpation d'identité au niveau 3 de la couche OSI), exploits détournant certains bogues connus dans un but malveillant, scanners et autres outils permettant l'exploration du réseau, etc.

Voici un certain nombre de menaces potentielles, ainsi que des propositions de parades :


7.3 Outils de détection d'intrusion

On voit émerger, entre autres, deux grandes catégories de logiciels disponibles :


7.3.1 Outils de détection d'intrusion réseau

Il existe plusieurs outils de ce type, parmi lesquels :


7.3.2 Outils de détection d'intrusion par machines

Il existe une myriade d'outils de ce type, dont :


7.3.3 Outils de journalisation

Afin de sécuriser l'ensemble du réseau, on souhaite pouvoir centraliser les alertes tout en conservant une architecture réseau autonome, c'est-à-dire en minimisant les confiances entre machines, et les points critiques.

Secured syslog ou syslog-ng auraient dû fournir un mécanisme de syslog authentifié et chiffré, mais ces outils sont encore incomplets. S'il on désire absolument un mécanisme de journalisation centralisée, on peut malgré tout utiliser syslog, qui présente pourtant certains risques :


7.4 Bilan

Administrer et surveiller efficacement un réseau demande de se munir d'un grand nombre d'outils complémentaires, de bien connaître ces outils et de rester à la pointe sur les techniques d'attaque. Les outils de détection d'intrusion existants manquent encore d'intelligence, ce qui se traduit par de nombreuses fausses alertes. Il est clair que les règles de génération d'alertes de ces outils ont besoin d'être affinées et continuellement mises à jour, afin de simplifier le travail d'administration.

Pour l'instant, rien ne saurait remplacer complètement la surveillance constante d'un administrateur sécurité compétent.


[Abstract] [Copyright Notice]

Firewalling sous Linux
Hervé Eychenne herve.eychenne@alcove.fr