Lors de la SuriCon 2019, Eric Leblond et Peter Manev, tous deux contributeurs clés de la communauté Suricata, ont présenté d'importants résultats de tests, soulignant les implications de la perte de paquets. Examinons de plus près l'importance de l'absence de perte de paquets dans un déploiement IDS.
L'effet de la perte de paquets sur une variété de network Les équipements d'analyse varient considérablement en fonction de la fonction qu'ils remplissent. La précision de mesure de network et/ou les dispositifs de surveillance des performances des applications sont affectés lorsque des paquets sont abandonnés par le network Dans le cas d'un dispositif de cybersécurité, tel qu'un système de détection d'intrusion (IDS) basé sur Suricata, les alertes d'intrusion manquées sont directement affectées par la perte de paquets système. Il en va de même pour l'extraction de fichiers.
L'effet de la perte de paquets sur la génération d'alertes d'intrusion
Quelle que soit la qualité de la règle IDS, si tous les paquets d'une session donnée ne sont pas transmis à l'IDS, des alertes peuvent être manquées. Cela est principalement dû à la manière dont un IDS traite les paquets. network Lors d'une session, les paquets perdus déterminent si le système de détection d'intrusion (IDS) dispose de suffisamment de données pour générer une alerte. Souvent, l'IDS interrompt la session entière si des paquets clés sont manquants. Une alerte manquée peut signifier qu'une tentative d'intrusion est passée inaperçue.
Pour mesurer les alertes manquées, la méthodologie suivante a été utilisée :
- La source de trafic est un fichier PCAP contenant des données réelles. network trafic avec activité malveillante
- Le fichier PCAP est traité pour simuler une perte de paquets aléatoire spécifiée
- Les alertes Suricata sont comparées pour le fichier PCAP d'origine au fichier modifié
Exemples de numéros :
- 10 % d'alertes manquées avec 3 % de perte de paquets
- 50 % d'alertes manquées avec 25 % de perte de paquets
L'effet de la perte de paquets sur l'extraction de fichiers IDS
Une partie du déploiement d'une stratégie IDS efficace consiste à automatiser l'extraction de fichiers. La plupart des moteurs IDS prennent en charge les protocoles HTTP, SMTP, FTP, NFS et SMB. L'extracteur de fichiers s'exécute au-dessus de l'analyseur de protocole, qui gère le déchiffrage et la décompression de la requête et/ou des données de réponse, le cas échéant. La perte d'un seul paquet peut avoir des conséquences importantes. network Le flux transportant un fichier entraînera le plus souvent l'échec de l'extraction du fichier.
Exemples de numéros :
- 10 % d'extraction de fichiers échouée avec 4 % de perte de paquets
- 50 % d'extraction de fichiers échouée avec 5.5 % de perte de paquets
En conclusion, les résultats des tests montrent l'importance de l'absence de perte de paquets pour un déploiement IDS réussi. Les fonctionnalités SmartNIC FPGA, telles que la mise en mémoire tampon intégrée, le DMA et les performances PCI Express optimisées, minimisent, voire éliminent, la perte de paquets dans un IDS standard basé sur serveur.
Partagez ce blog :
Patrick est ingénieur commercial réseau chez NEOX NetworksFort d'une solide expérience technique et d'un excellent sens du service client dans le domaine de la visibilité et de la sécurité des réseaux, Patrick prend plaisir à déployer les produits et services NEOX chez les clients et à résoudre leurs problèmes critiques. Avant de rejoindre NEOX, Patrick a travaillé chez Garland Technology, Network Performance Channel et Brain Force. Il apprécie également de rédiger des articles de blog et de partager son expertise avec la communauté des clients et des partenaires.