Les systèmes de

Détection/Prévention d’intrusions
IDS/IPS
Concepts IDS/IPS
“IDS” et “IPS” sont des objets connexes aux pare-feu dans le
rôle de filtrage de sécurité des réseaux. Ils sont le résultat
d’une évolution technologique. Un “IDS” détecte des
intrusions et il devient “IPS” quand il est capable d’y réagir
automatiquement.

• L’IPS est un composant réseau actif qui examine chaque

paquet qui passe et prend les mesures correctives
appropriées en fonction de sa configuration et de sa
politique.
• L’IDS est un composant passif qui n’est généralement pas
déployé en ligne et qui surveille le flux de trafic par le biais
de la technologie span ou tap pour ensuite émettre des
notifications.
IPS (Systèmes de Prévention des Intrusions)

Les systèmes de prévention des intrusions (IPS), également connus

sous le nom de systèmes de détection et de prévention des
intrusions (IDPS), sont des dispositifs de sécurité réseau qui
surveillent les activités du réseau ou du système pour détecter
toute activité malveillante. Les principales fonctions des systèmes
de prévention des intrusions sont d’identifier les activités
malveillantes, d’enregistrer des informations sur ces activités, de
les signaler et de tenter de les bloquer ou de les arrêter.
IPS (Intrusion Prévention System)

Classification des IPS

Les systèmes de prévention des intrusions peuvent être classés en quatre types
différents :
Système de prévention des intrusions en réseau (NIPS) : surveille
l’ensemble du réseau à la recherche de trafic suspect en analysant l’activité
du protocole. Système de prévention des intrusions sans fil (WIPS) :
surveille un réseau sans fil pour détecter tout trafic suspect en analysant
les protocoles de réseau sans fil.
Analyse du comportement du réseau (NBA) : examine le trafic réseau pour
identifier les menaces qui génèrent des flux de trafic inhabituels, telles que les
attaques par déni de service distribué (DDoS), certaines formes de logiciels
malveillants et les violations de règles.
Système de prévention des intrusions basé sur l’hôte (HIPS) : un logiciel installé
qui surveille l’activité suspecte d’un seul hôte en analysant les événements qui
se
produisent sur cet hôte. Il est capable de reporter des alertes ou d’y réagir lui-
même.
IDS (Intrusion Detection System)
• Un IDS est le prédécesseur de l'IPS et est de nature passive. Comme le montre le
réseau ci-dessus (Firewall avec IDS), ce périphérique n'est pas inséré en ligne
avec le trafic mais plutôt en parallèle (placé hors bande).
• Le trafic passant par le commutateur est également envoyé en même temps à
l'IDS pour inspection. Si une anomalie de sécurité est détectée dans le trafic
réseau, l'IDS déclenchera simplement une alarme (à l'administrateur) mais il ne
pourra pas bloquer le trafic.
• À l'instar de l'IPS, le périphérique IDS utilise également principalement des
signatures d'attaques et d'exploits de sécurité connus afin de détecter une
tentative d'intrusion.
IDS (Intrusion Detection System)
• Afin d'envoyer le trafic vers l'IDS, le périphérique de commutation doit avoir un
port SPAN configuré afin de copier le trafic et de l'envoyer vers le nœud IDS.
• Bien qu'un IDS soit passif dans le réseau (c'est-à-dire qu'il ne peut pas bloquer
activement le trafic), certains modèles peuvent coopérer avec le pare-feu afin
de bloquer une attaque de sécurité.
• Par exemple, un IDS peut envoyer une commande au pare-feu afin de bloquer
des paquets spécifiques si l'IDS détecte une attaque.
Méthodes de détection des IPS/IDS
La majorité des systèmes de prévention des intrusions utilisent l’une des trois méthodes de
détection suivantes : l’analyse basée sur la signature, l’analyse statistique des anomalies et
l’analyse du protocole dynamique.
Détection basée sur les signatures : L’IDS basé sur les signatures surveille les paquets
dans le réseau et compare avec les modèles d’attaque pré-configurés et
prédéterminés connus sous le nom de signatures.
Détection statistique basée sur les anomalies : Un IDS basé sur les anomalies surveillera
le trafic réseau et le comparera à une base de référence établie. La ligne de base
identifiera ce qui est “normal” pour ce réseau - quel type de bande passante est
généralement utilisé et quels protocoles sont utilisés. Elle peut cependant déclencher une
alarme de faux positif pour une utilisation légitime de la bande passante si les lignes de
base ne sont pas configurées intelligemment.
Méthodes de détection des IPS/IDS
Détection d’analyse de protocole dynamique : Cette méthode identifie les déviations des
états du protocole en comparant les événements observés avec des “ profils
prédéterminés de définitions généralement acceptées de l’activité bénigne “.
IDS vs IPS
IPS IDS
Placement en réseau En ligne (en série) avec le trafic réseau Parallèle (hors bande) avec le trafic
Appareil passif. Ne peut pas bloquer le
Mode de Appareil actif. Peut bloquer activement le trafic
trafic attaquant,
fonctionnement attaquant.
seulement détecter.
Détection d'anomalies statistiques basée sur la Détection d'anomalies statistiques basée sur la
Mécanismes de
signature, basée signature, basée
détection
sur des règles, etc. sur des règles, etc.
Bloquer les paquets au niveau du Alerte l'administrateur, envoie une demande
Options de blocage
réseau, réinitialiser la connexion, de réinitialisation de
alerter l'administrateur, etc. connexion.
N'a pas besoin d'être très performant puisqu'il
Doit être haute performance pour effectuer
Caractéristiques n'intervient pas dans le trafic. Cependant, afin
une inspection approfondie des paquets
matérielles de suivre le trafic en temps réel, il doit être
et ne pas ralentir le trafic.
capable de gérer la bande passante de la ligne.
 Pare-feu vs IPS/IDS
Bien qu’ils soient tous deux liés à la sécurité du réseau, un IDS se distingue d’un pare-feu
en ce sens qu’un pare-feu surveille les intrusions vers l’extérieur afin de les empêcher de
se produire. Les pare-feu limitent l’accès entre les réseaux pour prévenir les intrusions et
ne signalent pas une attaque de l’intérieur du réseau.
Un IDS décrit une intrusion suspectée une fois qu’elle a eu lieu et signale une alarme. Un
IDS surveille également les attaques provenant de l’intérieur d’un système. On y parvient
traditionnellement en examinant les communications réseau, en identifiant les
heuristiques et les modèles (souvent connus sous le nom de signatures) des attaques
informatiques courantes et en prenant des mesures pour alerter les opérateurs. Un
système qui termine les connexions s’appelle un système de prévention des intrusions et
effectue le contrôle d’accès comme un pare-feu de couche d’application.
IPS/IDS
Pare-feu

Placement en réseau
Cas d'utilisation principal
Mécanismes de détection
Options de blocage
Disposent généralement de nombreuses interfaces réseau physiques Doit être haute performance pour effectuer une inspection
Caractéristiques matérielles
Généralement placé à l'avant du réseau pour contrôler le trafic.
Autorise ou bloque le trafic entre les différentes zones du réseau. aux signatures d'attaques malveillantes connues. Ensuite,
Fonctionne généralement jusqu'à la couche 4 pour autoriser ou
bloquer l'adresse IP et les ports.
Bloquer ou autoriser les paquets au niveau du réseau.
afin de segmenter le réseau en différentes zones de sécurité.
Derrière le pare-feu en ligne ou hors bande.
Dédié à l'inspection des paquets réseau pour les comparer
le trafic est bloqué ou une alarme est émise.
Détection d'anomalies statistiques basée sur la signature,
basée sur des règles, etc.
Détectez les attaques et bloquez directement le trafic ou
envoyez une alarme.
approfondie des paquets et ne pas ralentir le trafic.