2.3.2.2. Les différents IPS
Il existe trois types de systèmes de préventions
d'intrusion :
? système de prévention d'intrusion réseau
(NIPS) ;
? système de prévention d'intrusion de type
hôte (HIPS) ; ? système de prévention d'intrusion kernel
(KIPS).
2.3.2.2.1. Système de prévention d'intrusion
réseau (NIPS)
Un NIPS est un logiciel ou matériel connecté
directement à un segment du
réseau.il a comme rôle
d'analyser les tous les paquets circulant dans ce réseau. La principale
différence entre un NIDS et un NIPS tient principalement en deux
caractéristiques: le positionnement en coupure sur le réseau du
NIPS et non plus seulement en écoute comme pour le NIDS et la
possibilité de bloquer immédiatement les intrusions et ce quel
que soit le type de protocole de transport utilisé et sans
reconfiguration d'un équipement tierce. Ce qui induit que le NIPS est
constitué d'une technique de filtrage de paquets et de moyens de
blocage.
? Fonctionnement d'un NPIS
Le NIPS combine les caractéristiques d'un IDS standard
avec celles d'un firewall. On le qualifie parfois de firewall à
inspection en profondeur (deep inspection).
39
YABOUI Frèse
Inspection du trafic pour la détection et la
prévention d'intrusions
Comme avec un firewall, le NIPS a au minimum deux interfaces
réseau, une interne et une externe. Les paquets arrivent par une des
interfaces et sont passés au moteur de détection.
L'IPS fonctionne pour le moment comme un IDS en
déterminant si oui ou non le paquet est malveillant. Cependant, en plus
de déclencher une alerte dans le cas où il détecte un
paquet suspect, il rejettera le paquet et marquera cette session suspecte.
Quand les paquets suivants de cette session arriveront à l'IPS ils
seront rejetés.
Les NIPS sont déployés en ligne avec le segment
du réseau à protéger, du cout toutes les données
qui circulent entre le segment surveillé et le reste du réseau
sont forcés de passer par le NIPS. Un NIPS déclenche des alarmes
du type ` tel ou tel trafic a été détecter en train
d'essayer d'attaquer ce système et a été
bloqué'.
2.3.2.2.2. Système de prévention d'intrusion
de type hôte (HIPS)
Le système de prévention des intrusions sur
l'hôte (HIPS) détecte toutes les activités malveillantes
sur l'hôte, ce qui permet de protéger le système à
différents niveaux.
Si un attaquant obtient un accès système shell
et essaye d'ajouter un compte utilisateur
pour se connecter au système par la suite, le
système de prévention des intrusions sur l'hôte (HIPS)
détecte les fichiers système modifiés et avertit
l'administrateur.
Si un pirate a obtenu l'accès au système et essaie
d'installer un rootkit sur l'espace
utilisateur en remplaçant plusieurs utilitaires
systèmes, HIPS détecte les fichiers système
modifiés et avertit l'administrateur.
| 
