2.3.1.4. Avantages et limites d'un IDS
Tableau 3.3 : Avantages et limites d'un
IDS
|
Avantages
|
|
|
Limites
|
·
|
détecter les tentatives de découvertes
|
|
·
|
nombreux faux positifs ;
|
|
du réseau ;
|
|
·
|
configuration complexe et longue ;
|
·
|
détecter dans certains cas, si l'attaque a
réussi ou non ;
|
|
·
|
nombreux faux positifs après
configuration ;
|
·
|
détecter le Dénis de Service ;
|
|
·
|
pas de connaissance de la plate-
|
·
|
détecter le niveau d'infection du
|
|
|
forme ;
|
|
système informatique et les zones
|
|
·
|
de ses vulnérabilités ;
|
|
réseaux touchées ;
|
|
·
|
du contexte métier ;
|
·
|
repérer les machines infectées ;
|
|
·
|
les attaques applicatives sont
|
·
|
alerter de façon centrale pour toutes
|
|
|
difficilement détectables ;
|
|
les attaques ;
|
|
·
|
injection SQL ;
|
·
|
réagir aux attaques et corriger les
|
|
·
|
exploitation de CGI mal conçus ;
|
|
problèmes éventuels ;
|
|
·
|
des évènements difficilement
|
·
|
etc.
|
|
détectables ;
· scans lents / distribués ;
· canaux cachés / tunnels ;
· pollution des IDS ;
· consommation des ressources de l'IDS ;
· perte de paquets ;
· déni de service contre l'IDS
/ l'opérateur ;
· une attaque réelle peut passer inaperçue
;
· attaque contre l'IDS lui-même ;
· ils ne peuvent pas compenser les trous
de sécurité dans les protocoles réseaux
;
· ils ne peuvent pas compenser des
manques significatifs dans votre stratégie de
sécurité, votre politique
de sécurité ou votre architecture
de sécurité.
|
|
2.3.2. Systèmes de prévention d'intrusions
(IPS)
38
YABOUI Frèse
Inspection du trafic pour la détection et la
prévention d'intrusions
IPS est un autre concept qui a fait son apparition au
début des années 2000 sous l'idée qu'un système de
détection d'intrusion peut certes détecter des attaques contre un
réseau mais ne peut empêcher l'intrusion. Cela a mené
certaines entreprises utilisatrices à se poser la question : pourquoi
s'investir dans une solution de détection des intrusions si on ne peut
pas empêcher l'intrusion ? La réaction des fournisseurs a
été rapide et c'est ainsi que le concept IPS a vu le jour.
2.3.2.1. Définition
Un système de prévention d'intrusion est un
ensemble de composants logiciels et/ou
matériels dont la fonction principale est
d'empêcher toute activité suspecte détectée au sein
d'un système.
|