Agence du Numérique (ex - Agence Wallonne des Télécommunications / AWT), la plateforme ICT de la Wallonie

jeudi 29 septembre 2016

Les IDS/IDP/IPS

Les IDS/IDP/IPS, systèmes de detection d'intrusion et systèmes de détection et de prévention de l'intrusion, fournissent un complément technologique aux firewalls en leur permettant une analyse plus intelligente du trafic
Twitter Facebook Delicious
Mis à jour le 24/01/2005 | Imprimer | Envoyer

Pourquoi les IDS?

Avec un firewall, on arrive à une bonne protection dans un périmètre délimité, c'est-à-dire, la zone dite démilitarisée (DMZ). Malheureusement, les hackers peuvent arriver à passer à travers les règles de sécurité des firewalls, notamment en exploitant les éventuelles failles des systèmes protégés. Les produits de détection d'intrusions (IDS ou Intrusion Detection Systems), développés parallèlement aux firewalls, permettent d'analyser plus finement les informations afin de détecter les véritables attaques et en évitant le plus possible les fausses alertes.

Un policier intelligent

Pour prendre une comparaison avec les contrôles routiers, le firewall se contenterait de regarder la plaque d'immatriculation du véhicule, là où l'IDS vérifiera l'attitude du conducteur et des passagers!

Que fait un IDS?

Les IDS sont chargés de distinguer les activités normales des activités parasites et/ou malveillantes. Il existe deux catégories d'évenements que les IDS doivent analyser:

  • anomaly intrusion detection. Il s'agit de la détection des comportements inhabituels de certains utilisateurs. Ce type de détection peut toutefois engendrer des fausses alertes, un comportement inhabituel n'étant pas forcément malveillant ou dangereux;
  • misuse intrusion detection. C'est la détection du mauvais fonctionnement d'un système informatique. La détection est basée sur des modèles prédefinis d'attaques (signatures) qui exploitent les failles d'un système. Cette détection protège très bien contre les attaques connues, analysées et définies dans les modèles implémentés, mais ne réagit pas aux nouvelles attaques puisque leur signature n'est pas encore connue. Il faudra donc prévoir d'apprendre à l'IDS ces nouvelles signatures.

En fonction de leur réactivité aux attaques, les IDS se classent en:

  • IDS passifs: ils génèrent simplement des alarmes en cas d'attaques (enregistrées dans un fichier de logs, envoyées par mail, par SMS, etc.);
  • IDS actifs: ils génèrent les alarmes, mais en plus déclenchent un processus de défense contre l'attaque.

Les IDS actifs ont ainsi évolué vers les produits IDP/IPS (Intrusion Detection and Prevention/Intrusion Prevention System). Toutefois, ils ne sont pas aisés à utiliser car ils peuvent générer beaucoup de fausses alertes.

La valeur des produits IDP/IPS réside dans leur capacité à bloquer immédiatement les attaques détectées! Un bon produit IDP/IPS, même s'il ne sera jamais parfait, devra:

  • ne pas bloquer ou perturber le fonctionnement normal d'une entreprise ou d'une administration;
  • réagir immédiatement et bloquer l'attaque constatée,
  • agir complémentairement au firewall,
  • utiliser plusieurs algorithmes de lutte contre les attaques,
  • faire la différence entre un évenement normal et un évènement provoqué pour éviter les fausses alertes.

IDS et architecture réseau

Une bonne architecture réseau et sécurité devrait impliquer une combinaison:

  • d'analyses de signatures,
  • d'anomalies de protocoles,
  • d'analyse de trafic.

Elle pourra ainsi minimiser les fausses alertes, mais surtout arriver à ce que toute violation des bonnes règles de security policy soit bloquée. Le schéma ci-dessous illustre un exemple d'architecture qui utilise des firewalls et des IDP/IPS.

Exemple d'architecture qui utilise des firewalls et des IDP/IPS

Portail de la Région wallonne