Académique Documents
Professionnel Documents
Culture Documents
Les réseaux informatiques sont devenus des ressources vitales et déterministes pour le bon
fonctionnement des entreprises. De plus, ces réseaux sont ouverts de fait qu’ils sont pour la plupart
raccordés à l’Internet.
Cette ouverture qui permet de faciliter la communication, engendre malheureusement des risques
importants dans le domaine de la sécurité informatique. Les utilisateurs de l’Internet ne sont pas
forcements pleins de bonnes intentions, ils peuvent exploiter les vulnérabilités des réseaux et systèmes
La sécurité informatique consiste d’une manière générale à assurer que les ressources matérielles
ou logicielles d’une organisation soient uniquement utilisées dans le cadre du réseau informatique,
plusieurs formes d’attaques ont été récemment recensées avec la prolifération de la technologie. De
nombreuses entreprises sont actuellement victimes des attaques d’intrusion au niveau de leur système
et de base de données. C’est un problème majeur que des intrus aient accès aux données confidentielle,
ceci peut conduire jusqu’à la faillite de l’entreprise et doit être résolu. Les attaques proviennent
notamment depuis l’intérieur ainsi que de l’extérieur (Internet). Pour cela, les administrateurs
déploient des solutions de sécurité efficace capable de protéger le réseau de l’entreprise. Dans le
contexte, les IPS constituent une bonne alternative pour mieux protéger le réseau informatique.
Les solutions IPS offrent une prévention proactive contre certaines des failles de sécurité réseau
les plus connues. Lorsqu’il est déployé correctement, un IPS empêche que des dégâts importants
soient causés par des paquets malveillants ou non désirés, ainsi que les attaques par force brute.
Chapitre 1 : Sécurité des réseaux.
Introduction
L'informatique et en particulier l'Internet jouent un rôle grandissant dans le domaine des réseaux.
Un grand nombre d'applications critiques d'un point de vue de leur sécurité sont déployées dans tous
les secteurs professionnels. La sécurité de ces réseaux constitue un enjeu crucial, le contrôle des
informations traitées et partagées au sein de ces réseaux devient alors un problème majeur d’autant
plus que les réseaux sont interconnectés entre eux, ce qui complexifie donc la tâche des responsables
de la sécurité.
Tout au long de ce chapitre, notre intérêt se portera sur les principales menaces pesant sur la sécurité
des réseaux ainsi que les mécanismes de défense.
1.1. Définition
La sécurité d'un réseau est un ensemble de moyens techniques, organisationnels, juridiques et humains
nécessaires et mis en place pour conserver, rétablir, et garantir sa sécurité contre les menaces
accidentelles ou intentionnelles. En général, la sécurité d'un réseau englobe celle du système
informatique sur lequel il s'appuie.
La sécurité d'un réseau peut s'évalué sur la base d'un certain nombre de critères de sécurité. On
distingue généralement trois principaux critères de sécurité :
o Authentification : Elle consiste à assurer l'identité d'un utilisateur, c'est-à dire de garantir à
chacun des correspondants que son partenaire est bien celui qu'il croit être.
o Non répudiation : Elle consiste à garantie qu'aucun des correspondants ne pourra nier la
transaction.
L'évaluation de la sécurité d'un système informatique est un processus très complexe basé en général
sur une méthodologie. Cette évaluation passe par une analyse de risques. Cette dernière pesant sur un
système informatique elle-même s'appuie sur un ensemble de règles définies au préalable [1].
1.3. Les Causes pour sécuriser les réseaux
a) Enjeux économique : Les organismes ou entreprises à but lucratif ont presque toujours la même
finalité : c'est de réaliser des bénéfices sur l'ensemble de leurs activités. Cette réalisation est rendue
possible grâce à son système d'information considéré comme moteur de développement de
l'entreprise. D'où la nécessité de garantir la sécurité de ce dernier. La concurrence fait que des
entreprises s'investissent de plus en plus dans la sécurisation de leurs systèmes d'information et dans
la qualité de service fournit aux clients.
b) Enjeux politiques : La plupart des entreprises ou organisations se réfèrent aux documents officiels
de sécurité élaborés et recommandés par l'État. Ces documents contiennent généralement des
directives qui doivent être appliquées par toute structure engagée dans un processus de sécurisation
du réseau. Dans le cadre du chiffrement des données par exemple, chaque État définit des cadres et
mesures d'utilisation des algorithmes de chiffrement et les recommande aux entreprises exerçant sur
son territoire. Le non-respect de ces mesures et recommandations peut avoir des conséquences graves
sur l'entreprise. A ce niveau, l'enjeu est plus politique parce que chaque État souhaite être capable de
décrypter toutes les informations circulant dans son espace.
Tous les systèmes informatiques sont vulnérables. Peu importe le niveau de vulnérabilité de ceux-ci.
Une vulnérabilité est une faille ou une faiblesse pouvant être exploitée par une personne mal
intentionnée pour nuire.
Les vulnérabilités des systèmes peuvent être classées en catégorie (humaine, technologique,
organisationnelle, mise en œuvre).
a) Vulnérabilités humaines : L'être humain de par sa nature est vulnérable. La plupart des
vulnérabilités humaines proviennent des erreurs (négligence, manque de compétences,
surexploitation, etc.), car ne dit-on pas souvent que l'erreur est humaine ?
Un SI étant composé des humains, il convient d'assurer leur sécurité si l'on veut garantir un maximum
de sécurité dans le SI.
b) Vulnérabilités technologiques : Avec la progression exponentielle des outils informatiques, les
vulnérabilités technologiques sont découvertes tous les jours. Ces vulnérabilités sont à la base dues à
une négligence humaine lors de la conception et la réalisation. Pour être informé régulièrement des
vulnérabilités technologiques découvertes, il suffit de s'inscrire sur une liste ou des listes de diffusion
mises en place par les CERT (Computer Emergency Readiness ou Response Team).
d) Vulnérabilités mise en œuvre : Les vulnérabilités au niveau mise en œuvre peuvent être dues au
non prise en compte de certains aspects lors de la réalisation d'un projet.
Une menace est un événement, d'origine accidentelle ou délibérée, capable s'il se réalise de causer un
dommage au sujet étudié. Le réseau informatique comme tout autre réseau informatique est en proie
à des menaces de toutes sortes qu'il convient de recenser.
Ce sont des logiciels développés par des hackers dans le but de nuire à un système d’informations.
o Les Virus : un virus est un segment de programme qui, lorsqu’il s’exécute, se reproduit en
s’adjoignant à un autre programme (du système ou d’une application), et qui devient ainsi un
cheval de Troie. Puis le virus peut ensuite se propager à d’autres ordinateurs (via un réseau) à
l’aide du programme légitime sur lequel il s’est greffé. Il peut également avoir comme effets de
nuire en perturbant plus ou moins gravement le fonctionnement de l’ordinateur infecté.
o Les virus peuvent être classés suivant leur mode de propagation et leurs cibles :
✓ Le virus de boot : il est chargé en mémoire au démarrage et prend le contrôle de
l'ordinateur.
✓ Le virus d'application : ils infectent les programmes exécutables, c'est-à-dire les
programmes (.exe, .com ou .sys) en remplaçant l'amorce du fichier, de manière à ce que le
virus soit exécuté avant le programme infecté. Puis ces virus rendent la main au programme
initial, camouflant ainsi leur exécution aux yeux de l’utilisateur.
✓ La macro virus : il infecte des logiciels de la suite Microsoft Office les documents
bureautiques en utilisant leur langage de programmation, qui contaminera tous les
documents basés sur lui, lors de leur ouverture.
o Les Vers : Un ver est un programme autonome qui se reproduit et se propage à l’insu des
utilisateurs. Contrairement aux virus, un ver n’a pas besoin d’un logiciel hôte pour se dupliquer.
Le ver a habituellement un objectif malicieux, par exemple :
✓ Espionner l’ordinateur dans lequel il réside ;
✓ Offrir une porte dérobée à des pirates informatiques ;
✓ Détruire des données sur l’ordinateur infecté ;
✓ Envoyer de multiples requêtes vers un serveur internet dans le but de le saturer.
o Les chevaux de Troie : Un cheval de Troie est une forme de logiciel malveillant déguisé en logiciel
utile. Son but : se faire exécuter par l’utilisateur, ce qui lui permet de contrôler l’ordinateur et de
s’en servir pour ses propres fins. Généralement d’autres logiciels malveillants seront installés sur
votre ordinateur, tels que permettre la collecte frauduleuse, la falsification ou la destruction de
données.
o Les logiciels espions : (Espiogiciel ou logiciel espion) est un programme ou un sous-programme,
conçu dans le but de collecter des données personnelles sur ses utilisateurs et de les envoyer à son
concepteur, ou à un tiers via Internet ou tout autre réseau informatique, sans avoir obtenu au
préalable une autorisation explicite et éclairée desdits utilisateurs.
o Le spam : correspond à l'envoi intempestif de courriers électroniques, publicitaires ou non, vers
une adresse mail. Le spam est une pollution du courrier légitime par une énorme masse de courrier
indésirable non sollicité.
Une intrusion est définie comme une faute malveillante d’origine interne ou externe résultant d’une
attaque qui a réussi à exploiter une vulnérabilité. Elle est susceptible de produire des erreurs pouvant
provoquer une défaillance vis-à-vis la sécurité, c’est-à-dire une violation de la politique de sécurité du
système. Le terme d’intrusions sera employé dans le cas où l’attaque est menée avec succès et où
l’attaquant a réussi à s’introduire et/ou compromettre le système.
b) Les motivations d’une attaque : Les motivations des attaques peuvent être liées à divers objectif :
c) Type d’attaques : Les hackers utilisent plusieurs techniques d'attaques. Ces attaques peuvent être
regroupées en trois familles différentes :
➢ Les attaques directes : C’est la plus simple des attaques. L’hacker attaque directement sa
victime à partir de son ordinateur. La plupart des hackers utilisent cette technique. En effet,
les programmes de hack qu’ils utilisent ne sont que faiblement paramétrable, et un grand
nombre de ces logiciels envoient directement les paquets à la victime.
De nos jours, les attaques sont si rapides qu’avant, et tout le monde est exposé aux pertes des données
essentielles. Malheureusement, les systèmes antivirus ou les pares-feux sont la plupart du temps
inefficaces face à ces nouvelles menaces. C’est pour pallier ce manque que sont apparus récemment
des nouveaux composants de sécurité appelés systèmes de détection et de prévention des intrusions.
En effet, le but de ce chapitre est tout d’abord, de présenter la notion de système de détection
d’intrusion, et par la suite le système de prévention d’intrusion.
Le premier modèle de détection d’intrusion est développé en 1984 par Dorothy Denning et Peter
Neuman, qui s’appuie sur des règles d’approche comportementale.
Ce système appelé IDES (Intrusion Detection Expert System), en 1988 Il est développé à un IDS
(système de détection d’intrusion).
Ce dernier est un ensemble de composants logiciels et/ou matériels destiné à repérer des activités
anormales ou suspectes sur la cible analysée, un réseau ou un hôte, son rôle est de surveiller les
données qui transitent sur ce système. Il permet ainsi d’avoir une action d’intervention sur les risques
d’intrusion. Afin de détecter les attaques que peut subir un système ou réseau informatique.
Les différents IDS se caractérisent par leur domaine de surveillance. Il existe trois grandes familles
distinctes d’IDS :
L’HIDS (Host Based IDS) surveille le trafic sur une seule machine. Il analyse les journaux systèmes,
les appels, et enfin vérifie l’intégrité des fichiers. Un HIDS a besoin d’un système sain pour vérifier
l’intégrité des données. Si le système a été compromis par un pirate, le HIDS ne sera plus efficace.
Figure 2.1: Exemple de HIDS.
Les NIDS sont des IDS utilisés pour protéger un réseau. Ils comportent généralement une sonde
(machine par exemple) qui écoute et surveille en temps réel tout le trafic réseau, puis analyse et génère
des alertes s’il détecte des intrusions ou des paquets semblent dangereux.
IDS hybrides rassemblent les caractéristiques des NIDS et HIDS. Ils permettent, de surveiller le réseau
et les terminaux. Les sondes sont placées en des points stratégiques, et agissent comme NIDS et/ou
HIDS suivant leurs emplacements.
Toutes ces sondes remontent alors les alertes à une machine qui va centraliser le tout, et lier les
informations d’origines multiples. Ainsi, on comprend que les IDS hybrides sont basés sur une
architecture distribuée, ou chaque composant unifie son format d’envoi. Cela permet de communiquer
et d’extraire des alertes plus exactes.
Figure 2.3: Exemple d’Hybride.
Avantages Inconvénients
-Les capteurs peuvent être bien sécurisés -La probabilité de faux négatifs (attaques
puisqu’ils se contentent d’observer le non détectées) est élevée et il est difficile
trafic. de contrôler le réseau entier.
-Détecter plus facilement les scans grâce -Ils doivent principalement fonctionner
NIDS
aux signatures. de manière cryptée d’où une
-Filtrage de trafic. complication de l’analyse des paquets.
-Assurer la sécurité contre les attaques -A l’opposé des IDS basés sur l’hôte, ils
puisqu’il est invisible. ne voient pas les impacts d’une attaque.
-Découvrir plus facilement un Cheval de -Ils ont moins de facilité à détecter les
Troie puisque les informations et les scans.
possibilités sont très étendues. -Ils sont plus vulnérables aux attaques de
-Détecter des attaques impossibles à type DoS.
HIDS
détecter avec des IDS réseau puisque le -Ils consomment beaucoup de ressources
trafic est souvent crypté. CPU.
-Observer les activités sur l’hôte avec
précision.
-Moins de faux positifs. -Taux élevé de faux positifs.
-Meilleure corrélation (la corrélation
Hybrides permet de générer de nouvelles alertes à
partir de celles existantes).
-Possibilité de réaction sur les analyseurs.
Table 2.1: la comparaison entre types d’IDS.
2.1.3 Architecture fonctionnelle des IDS
Nous décrivons dans cette section les trois composants qui constituent classiquement un système de
détection d’intrusion. La Figure ci-dessous illustre les interactions entre ces trois composants.
2.1.3.1 Capteur
Le capteur observe l’activité du système par le biais d’une source de donnée et fournit à l’analyseur
une séquence d’événements qui renseignent de l’évolution de l’état du système.
Le capteur peut se contenter de transmettre directement ces données brutes, mais en général un
prétraitement est effectué. Et pour cela on distingue trois types de capteurs en fonction des sources de
données utilisées pour observer l’activité du système : les capteurs système, les capteurs réseau et les
capteurs applicatifs.
2.1.3.2 Analyseur
L’objectif de l’analyseur est de déterminer si le flux d’événements fourni par le capteur contient des
éléments caractéristiques d’une activité malveillante.
2.1.3.3 Manager
Le manager collecte les alertes produites par le capteur, les met en forme et les présente à l’opérateur1.
Eventuellement, le manager est chargé de la réaction à adopter qui peut être :
Les différents systèmes de détection d’intrusion disponibles peuvent être classés selon plusieurs
critères qui sont :
• La méthode de détection.
• Le comportement du système après la détection.
• La source des données.
• La fréquence d’utilisation.
✓ Approche par scénario ou par signature : Cette technique s’appuie sur les connaissances des
techniques utilisées par les attaquants contenus dans la base de données, elle compare l’activité de
l’utilisateur à partir de la base de données, ensuite elle déclenche une alerte lorsque des
événements hors profil se produisent.
Figure 2.6: illustration de l’approche scénario.
Plusieurs paramètres sont possibles : la charge CPU, le volume de données échangées, la durée et
l’heure de connexion sur des ressources, la répartition statistique des protocoles et applications
utilisés...etc.
Il existe deux types de réponses, suivant les IDS utilisés. La réponse passive est disponible pour tous
les IDS, la réponse active est plus ou moins implémentée.
✓ Réponse passive : Lorsqu’une attaque est détectée, le système d’intrusion ne prend aucune action,
il génère seulement une alarme en direction de l’administrateur système sous forme d’une alerte
lisible qui contient les informations à propos de chaque attaque. Les réponses passives se
traduisent la plupart du temps par des opérations de reconfiguration automatique d’un firewall afin
de bloquer les adresses IP source impliquées dans les intrusions. Mais si le pirate prend une adresse
IP sensible telle qu’un routeur d’accès ou un serveur DNS, l’entreprise qui implémente une
reconfiguration systématique d’un firewall risque tout simplement de se couper du monde
extérieur.
✓ Réponse active : La réponse active consiste à répondre directement à une attaque, elle implique
des actions automatisées prises par un IDS qui permet de couper rapidement une connexion
suspecte quand le système détecte une intrusion. Par exemple interrompre le progrès d’une attaque
pour bloquer ensuite l’accès suivant de l’attaquant. Mais cela risque de se voir exposer à une
contre-attaque part le pirate.
✓ Les audits systèmes : Les audits systèmes sont produits par le système d’exploitation d’un hôte.
Ces données permettent à un IDS de contrôler les activités d’un utilisateur sur un hôte.
✓ Les audits applicatifs : Les données à analyser sont produites directement par une application,
par exemple des fichiers logs générés par les serveurs FTP et les serveurs Web. L’avantage de
cette catégorie est que les données produites sont très synthétiques, elles sont riches et leur volume
est modéré. Ces types d’informations sont généralement intégrés dans les IDS basés sur l’hôte.
✓ Les sources d’informations réseau : Ce sont des données du trafic réseau. Cette source
d’informations est prometteuse car elle permet de rassembler et analyser les paquets de données
circulant sur le réseau. Les IDS qui exploitent ces sources de données sont appelés : Les IDS basés
réseau NIDS.
La fréquence d’utilisation d’un système de détection d’intrusion peut exister selon deux formes :
✓ Surveillance périodique : Ce type de système de détection d’intrusion analyse périodiquement
les différentes sources de données à la recherche d’une éventuelle intrusion ou une anomalie
passée.
✓ Surveillance en temps réel : Les systèmes de détection d’intrusions en temps réel fonctionnent
sur le traitement et l’analyse continue des informations produites par les différentes sources de
données. Elle limite les dégâts produits par une attaque car elle permet de prendre des mesures qui
réduisent le progrès de l’attaque détectée.
✓ N-IDS : Ils sont basés sur une bibliothèque de signatures d’attaques connues, cette bibliothèque
devra être mise à jour à chaque nouvelle attaque sera affichée. Si l’attaque ne contient pas la
signature d’une attaque spécifique et récente, cette dernière passera au travers des mailles du filet
et la sécurité des données et le réseau en général sera menacé.
✓ H-IDS : Il génère une alerte si une activité sur l’hôte s’éloigne de la norme, mais si dans un cas
exceptionnel une requête justifiée mais non prévue par le système venaient à arriver en masse,
cette méthode de protection risquerait de générer des alertes infondées. Dans ce cas les H-IDS ne
sont pas fiables car ils ne font que générer des alertes, et ce sera à un administrateur en charge de
la sécurité du réseau de dire si telle ou telle requête est valable ou pas.
L’efficacité d’un système de détection d’intrusions est déterminée par les mesures suivantes :
✓ Exactitude : Le système de détection d’intrusions n’est pas exact s’il considère les actions
légitimes des utilisateurs comme atypiques ou intrusives (faux positif).
✓ Performance : Effectuer une détection en temps réel.
✓ Tolérance aux pannes : Un système de détection d’intrusions doit être résistant aux attaques.
✓ Rapidité : Un système de détection d’intrusions doit exécuter et propager son analyse d’une
manière prompte pour permettre une réaction rapide dans le cas d’existence d’une attaque pour
permettre à l’agent de sécurité de réagir.
✓ La complétude : La complétude est la capacité d’un système de détection d’intrusion de détecter
toutes les attaques.
En effet, l’IPS est un outil de protection et sécurité des systèmes d’information contre les intrusions,
similaire aux IDS, permettant de prendre des mesures afin de diminuer les impacts d’une attaque.
C’est un IDS actif, il empêche toute activité suspecte détectée au sein d’un système.
2.2.1 Types d’IPS
Les HIPS installé sur le système permettant de surveiller le poste de travail à travers différentes
techniques, ils surveillent les processus, les drivers, etc. En cas de détection de processus suspect le
HIPS peut bloquer les comportements anormaux tels que :
Avantage :
Inconvénients :
• Coût d’exploitation.
• Problèmes d’interopérabilité (capacité de plusieurs systèmes).
• Problèmes lors de mise à jour de système.
Le NIPS permet de surveiller le trafic réseau, identification et blocage du trafic malicieux, est parfois
utilisé pour évoquer la protection des réseaux sans-fil.
• Protection active.
Inconvénients de NIPS :
Nous l’évoquions précédemment dans le cadre du HIDS, l’utilisation d’un détecteur d’intrusions au
niveau noyau peut s’avérer parfois nécessaire pour sécuriser une station. Prenons l’exemple d’un
serveur web, sur lequel il serait dangereux qu’un accès en lecture/écriture dans d’autres répertoires
que celui consultable via http, soit autorisé. En effet, cela pourrait nuire à l’intégrité du système. Grâce
à un KIPS, tout accès suspect peut être bloqué directement par le noyau, empêchant ainsi toute
modification dangereuse pour le système.
Le KIPS peut reconnaître des motifs caractéristiques du débordement de mémoire, et peut ainsi
interdire l’exécution du code. Le KIPS peut également interdire l’OS d’exécuter un appel système qui
ouvrirait un Shell de commandes.
Puisqu’un KIPS analyse les appels systèmes, il ralentit l’exécution. C’est pourquoi ce sont des
solutions rarement utilisées sur des serveurs souvent sollicités.
Exemple de KIPS : SecureIIS, qui est une surcouche du serveur IIS de Microsoft.
• Ils bloquent toute activité qui lui semble suspecte, mais n’étant pas fiable à 100 % ils peuvent
donc bloquer incorrectement des applications ou des trafics légitimes.
• Ils laissent parfois passer certaines attaques sans les repérer, et permettent donc aux pirates
d’attaquer un PC.
• Ils sont peu discrets et peuvent être découverts lors de l’attaque d’un pirate une fois qu’il aura
découvert l’IPS s’empressera de trouver une faille dans ce dernier pour le détourner et arriver
à son but.
2.2.3 Architecture fonctionnelle d’un IPS
Le fonctionnement d’un IPS est similaire à celui d’un IDS. Il capture le trafic du réseau puis l’analyse.
Mais au lieu d’alerter l’utilisateur d’une intrusion ou d’une attaque, l’IPS bloque directement les
intrusions en supprimant les paquets illégitimes.
Pour informer l’utilisateur, l’IPS peut aussi remplir un fichier de journalisation qui contiendra la liste
des paquets supprimés et éventuellement un message indiquant la raison de cette suppression.
• Un NIPS peut détecter des attaques sur plusieurs différents types des logiciels d’exploitation
et d’applications, selon l’ampleur de sa base de données.
• Un dispositif simple peut analyser le trafic pour une grande échelle des centres serveurs sur le
réseau, qui fait au NIPS une bonne solution qui diminue le coût d’entretien et d’déploiement.
• Lorsque les sondes observent l’événement de virus hôte et les différentes parties de réseau, il
peut établir l’événement d’un hôte, ou d’un réseau jusque à un niveau d’information plus haut.
• Le NIPS, peut être invisible pour les attaqueurs à travers un détecteur d’interface qui contrôle
juste le trafic du réseau et il ne réagit pas pour les virus déclenchés.
Les principales limites et contraintes des IPS à ce jour semblent être leur mise en place délicate, leur
administration rebutante, la possibilité de bloquer tout le réseau en cas de fausse alerte, ainsi que
l’inexistence d’un standard actuel.
2.2.6 La protection de l’entreprise avec un IPS
Pour être le plus efficace possible, un bon système de prévention d’intrusion doit donc intégrer certains
points fondamentaux essentiel :
✓ Assurer une protection par signature : un IPS doit posséder une bibliothèque complète des
signatures, régulièrement mise à jour afin de couvrir les attaques
✓ Surveiller tous les ports et protocoles : les attaques modernes peuvent cibler n’importe quelle
application exécutée sur un réseau. L’IPS doit donc scanner tout le trafic, indépendamment du
port et du protocole.
✓ Scanner le trafic entrant et sortant : une fois les agresseurs à l’intérieur du réseau, ils peuvent
exfiltrer des informations confidentielles depuis les systèmes compromis.
L’IPS détecte et produit des alertes en raison d’un certain nombre des facteurs qui sont classifiées
dans une des limites suivantes :
✓ Vrai positif : Une situation dans laquelle une signature met le feu correctement quand le trafic
intrusif est détecté sur le réseau, ceci représente l’opération normale et optimale.
✓ Faux positif : Une situation dans laquelle d’utilisation d’une activité normale déclenche une alerte
ou une réponse, ceci représente une erreur.
✓ Vrai négatif : Une situation dans laquelle une signature ne met pas le feu pendant l’utilisation
normal de trafic sur le réseau. Aucune activité malveillante. Ceci représente une opération normale
et optimale.
✓ Faux négatif : Une situation dans laquelle le système détection ne détecte pas le trafic intrusif
bien qu’il y a une activité malveillante, mais le système de sécurité ne réagit pas, dans ce cas
représente une erreur.
Firewall est un système de contrôle d’accès basé sur des règles statiques autorisant ou refusant certains
flux. Il travaille essentiellement au niveau des couches du modèle OSI (de 1 à 4) ce qui est insuffisant
pour les intrusions.
Contrairement à un IPS qui doit être complètement discret. Ceci implique que les interfaces de la
sonde ne doivent pas être visibles (pas d’adresse IP, pas d’adresse MAC), et l’IPS analyse l’intégralité
des paquets en transit, depuis les couches réseaux jusqu’au niveau applicatif.
Conclusion
Dans ce chapitre, nous avons montré les notions des systèmes de détection et de prévention
d’intrusions, leurs architecteurs, ainsi que leurs fonctionnements. Ils complètent les taches des autres
équipements de sécurité comme les par feux et VPN, anti-virus ...etc. le chapitre suivant nos renseigne
comment réussir la configuration, après installation, du système de détection et de prévention
d’intrusion afin de mieux sécuriser le réseau, Nous allons montrer également un test permettant la
confirmation les bonnes installation et configuration de notre système.