Système de prévention d'intrusion

La sécurité d’un système informatique repose en premier lieu sur la mise en place d’une politique de sécurité. Une fois la politique de sécurité définie, il convient de la mettre en œuvre au sein du système informatique. Deux approches non exclusives sont envisageables : la prévention des attaques et leur détection. La première approche, en appliquant un contrôle a priori sur les actions effectuées au sein du système, s’assure que les utilisateurs pourront ne pas violer la politique. Cette approche évite que le système ne se trouve dans un état corrompu, nécessitant une analyse et une correction. De ce fait, des mécanismes de prévention sont présents sur les systèmes informatiques, il s’agit souvent de contrôle d’accès. Cependant, de tels mécanismes possèdent leurs propres limitations, qui peuvent porter sur des aspects théoriques des modèles sous-jacents ou sur leur implémentation. Ces limitations justifient le recours à des mécanismes de détection d’intrusions (IDS). Afin de qualifier un IDS, on s’intéresse à sa fiabilité, qui est sa capacité à émettre une alerte pour toute violation de la politique de sécurité, et à sa pertinence, qui est sa capacité à n’émettre une alerte en cas de violation de la politique de sécurité. Bref pour détecter les attaques que peut subir un système, il est nécessaire d'avoir un logiciel spécialisé dont le rôle serait de surveiller les données qui transitent sur ce système, et qui serait capable de réagir si des données semblent suspectes. Plus communément appelé 1’IPS, les systèmes de détection et prévention d'intrusions conviennent parfaitement pour réaliser cette tâche. Les IPS sont des IDS actifs : En cas de détection d’une attaque, L’IPS réagi en temps réel en stoppant les trafics suspect, notamment en bloquant les ports. Un IDS est un mécanisme qui a pour objectif de repérer tout type de trafic pouvant être malveillant. Cela permet ainsi d'avoir une action de prévention sur les différents risques d'intrusion, IDS va détecter les activités s’éloignant de la NORME en lance une alerte.

Un système de prévention d'intrusion (ou IPS, intrusion prevention system) est un outil des spécialistes en sécurité des systèmes d'information, similaire aux IDS, permettant de prendre des mesures afin de diminuer les impacts d'une attaque. C'est un IDS actif, il détecte un balayage automatisé, l'IPS peut bloquer les ports automatiquement. Les IPS peuvent donc parer les attaques connues et inconnues. Comme les IDS, ils ne sont pas fiables à 100 % et risquent même en cas de faux positif de bloquer du trafic légitime.

Fonctionnement des IPS

Types d'IPS

Les HIPS (host-based intrusion prevention system) qui sont des IPS permettant de surveiller le poste de travail à travers différentes techniques, ils surveillent les processus, les drivers, les .dll etc. En cas de détection de processus suspect le HIPS peut le tuer pour mettre fin à ses agissements. Les HIPS peuvent donc protéger des attaques de buffer overflow.
Les NIPS (network intrusion prevention system) sont des IPS permettant de surveiller le trafic réseau, ils peuvent prendre des mesures telles que terminer une session TCP. Une déclinaison en WIPS (wireless intrusion prevention system) est parfois utilisée pour évoquer la protection des réseaux sans-fil.
Il existe aussi les KIPS (kernel intrusion prevention system) qui permettent de détecter toutes tentatives d'intrusion au niveau du noyau, mais ils sont moins utilisés.

Techniques de détection d'intrusion

Inconvénients de l'IPS

Les IPS ne sont pas des logiciels miracle qui vous permettront de surfer en toute quiétude sur le net. Voici quelques-uns de leurs inconvénients :

Ils bloquent tout ce qui parait infectieux à leurs yeux, mais n'étant pas fiable à 100 % ils peuvent donc bloquer malencontreusement des applications ou des trafics légitimes.
Ils laissent parfois passer certaines attaques sans les repérer.
Ils sont peu discrets et peuvent être découverts lors de l'attaque d'un pirate qui une fois qu'il aura découvert l'IPS s'empressera de trouver une faille dans ce dernier pour le détourner et arriver à son but.

Références

(en) Cet article est partiellement ou en totalité issu de l’article de Wikipédia en anglais intitulé « Intrusion_prevention_system » (voir la liste des auteurs).
(fr) https://web.archive.org/web/20091007094552/http://dbprog.developpez.com/securite/ids/IDS.pdf

Voir aussi

Articles connexes

Liens externes

Les IPS, sur le wiki de la communauté officielle ubuntu française
(fr) IDS, IPS, DLP : il faut l'autorisation de la CNIL Une explication sur les obligations juridiques liées à la mise en place de systèmes de détection d'intrusion.

Portail de la sécurité informatique

Cet article est issu de Wikipedia. Le texte est sous licence Creative Commons - Attribution - Partage dans les Mêmes. Des conditions supplémentaires peuvent s'appliquer aux fichiers multimédias.