4.2 Présentation des
systèmes de prévention d'intrusion
Définition
Un système de prévention des intrusions (IPS)
est une forme de sécurité réseau qui sert à
détecter et prévenir les menaces identifiées. Les
systèmes de préventions des intrusions surveillent en permanence
votre réseau, recherchant les éventuels actes de malveillance et
capturent des informations à leur sujet. L'IPS signale ces
événements aux administrateurs du système et prend des
mesures préventives, telles que la fermeture des points d'accès
et la reconfiguration des firewalls pour empêcher de futures attaques.
Les administrateurs de sécurité de réseau
ont besoin d'aide en ce qui concerne la surveillance du trafic. Il y a de
nouvelles menaces chaque jour, et même la plupart des systèmes de
sécurité de réseau de haute technologie ne peuvent pas
prédire les virus les plus récents. Cependant, les
systèmes de prévention des intrusions travaillent constamment
à résoudre les comportements suspects sur les réseaux.
Utilisation d'un système de prévention d'intrusion permet
d'éliminer le trafic et les pirates indésirable.
4.2.1 Les différents
types de système de préventions d'intrusions
- Intrusion Prevention Network-Based
System
Pour la sécurité du réseau, un
système de prévention d'intrusion basée sur le
réseau (PIN) dispose d'un réseau, à la recherche
d'activités suspectes à travers une analyse de données de
protocole. Un NIPS identifie et bloque les attaques sur le réseau.
- Système de prévention des intrusions
basé sur l'hôte (HIPS)
Ce logiciel réside sur l'ordinateur client ou le
serveur et surveille les événements et les fichiers sur le
dispositif.
- Systèmes de prévention des intrusions
sans fil
Comme un NIPS, le système de prévention des
intrusions sans fil (WIPS) cherche trafic suspect en évaluant les
protocoles réseau. Cependant, un WIPS surveille un réseau sans
fil. Un WIPS utilise couramment un appareil qui surveille les activités
non autorisées, comme l'abus de points d'accès. Par exemple, il
protège contre quelqu'un d'autre en utilisant votre réseau sans
fil pour obtenir de l'information privée. Un WIPS empêche contre
les intrus et travaille pour démasquer les criminels, empêchant
ainsi d'autres attaques.
- La détection d'intrusion basée sur
noyau KIPS
Les KIPS (Kernel Intrusion Prévention Système)
leur particularité est de s'exécuter dans le noyau d'une machine
pour y bloquer toute activité suspecte. Ils peuvent également
interdire l'OS d'exécuter un appel système qui ouvrirait un Shell
de commandes. Puisqu'un KIPS analyse les appels systèmes ils
ralentissent l'exécution c'est pour quoi ils sont moins
utilisés.
Avantage des systèmes de préventions
d'intrusion
· Supprimera ou remplacera tout contenu malveillant
resté sur le réseau suite à une
attaque.
· Mettra fin à la session TCP qui est
exploitée et bloquer l'adresse IP source ou le compte utilisateur fautif
pour empêcher l'accès non éthique à toute
application, hôte cible ou ressource réseau.
Inconvénients des systèmes de
préventions d'intrusions
· Ils bloquent toute activité qui lui semble
suspect, mais n'étant pas fiable à 100% donc ils ne bloquent pas
tous les trafics ils bloquent quelques-uns.
· Ils laissent parfois passer certaines attaques sans les
repérés et permettent donc aux pirates d'attaques d'un PC.
| 
