Principes de fonctionnement
Le fonctionnement des IDS et IPS
Comme nous l’avons vu précédemment, IDS et IPS sont des systèmes de surveillance réseau qui permettent, comme leur nom l’indique, de surveiller et de prévenir l’ensemble d’un réseau contre les menaces extérieures. Cela permet de protéger les données de l’entreprise qui sont traitées sur le réseau.
Les IDS et IPS ont plusieurs fonctions, de la détection des incidents à leur résolution, en passant par la sauvegarde des données et la notification des événements aux administrateurs réseau.
Il faut partir du principe que les IDS et les IPS font un rôle important au sein d’une infrastructure réseau en termes de sécurité. Ces systèmes permettent d’identifier les paquets malveillants en les comparant à une base de données de menaces connues. Aussi, nous pouvons mentionner le fait que certaines technologies combinent les fonctions des systèmes de détection et de prévention d’intrusions pour former ce que l’on appelle le Unified Treat Management. UTM est donc, en sécurité informatique, une solution permettant de proposer les fonctions suivantes :
Logiciel anti-espions
Logiciel antivirus
Antispam
Pare-feu, etc.
Nous appelons cette solution également « gestion unifiée des menaces » en français.
Concernant les fonctionnalités, il convient de les préciser, et nous les développerons dans la seconde partie de ce cours :
Identification des activités malveillantes
Signalement des activités malveillantes
Blocage des activités malveillantes
Enregistrement des activités malveillantes
FondamentalLes grands concepts et leurs définitions
Maintenant que nous avons pu voir et comprendre l’utilité et le fonctionnement global des IDS et des IPS, voyons désormais les grands concepts de ces deux systèmes.
Nous pouvons les répertorier en trois grands axes.
La conformité : pour être en conformité avec la sécurité informatique, il convient d’apporter des preuves de la protection des données sur votre réseau. Vous en êtes responsable. Pour cela, l’utilisation et l’application des systèmes IDS et IPS permettent de répondre aux différents critères de sécurité obligatoire en termes de sécurité informatique. Il convient ici d’apporter un complément d’information, en vous informant qu’il est possible pour une entreprise d’être soumise à un contrôle. En cas de contrôle il est nécessaire pour une entreprise de démontrer qu’elle répond à un ensemble de critères en termes de sécurité informatique. Nous appelons ces critères des CIS (Critères du centre pour la Sécurité Internet). Ces critères sont le référentiel des normes de sécurité pour la protection des systèmes informatiques et des données. Ils sont classés en deux niveaux :
Niveau 1 : exigences fondamentales en termes de sécurité qui s’appliquent à tous les systèmes.
Niveau 2 : paramètres de sécurité sous forme de préconisations.
L’automatisation : cela est d’ailleurs l’un des avantages des IPS et IDS que nous développerons plus tard dans ce cours. La possibilité de proposer une automatisation des interventions de détection et de prévention. Cela permet aux administrateurs réseau chargés de la cybersécurité d’automatiser certaines tâches et d’intervenir lorsqu’ils reçoivent une des notifications qui a été mise en place.
L’application de la politique : beaucoup d’entreprises qui disposent de leur propre service informatique ont mis en place des politiques de confidentialité des données. L’avantage des IPS et des IDS, c’est qu’il est possible de les configurer entièrement, mais également de les paramétrer pour qu’ils soient en conformité avec les politiques de confidentialité internes à l’entreprise. Cela permet de personnaliser les procédures de sécurité.
Concernant spécifiquement les IPS, comme nous avons pu le voir au début de ce cours, il existe différents systèmes de prévention des incidents. Il existe également différentes méthodes de détection que nous allons classer en trois parties :
Les anomalies
Les signatures
Les protocoles dynamiques
Les différences par fonctionnalités
Les fonctionnalités des IDS et des IPS
Maintenant que nous avons défini et vu comment fonctionnent les IDS et IPS, nous allons entrer dans le vif du sujet, en voyant chaque fonctionnalité. Nous allons donc détailler les critères suivants :
Réponse
Positionnement
Détection
Protection
Performances
Avant de faire le listing des différences de fonctionnalités, il convient d’apporter des informations complémentaires et de commencer par lister les similitudes que l’on retrouve entre les deux systèmes. En voici une liste :
Surveillance : les deux solutions permettent de surveiller un réseau ou l’ensemble d’un système. Il est possible de personnaliser et de paramétrer spécifiquement ce que l’on souhaite cibler en particulier.
Détection des menaces : les deux solutions comparent les paquets qui circulent avec une base existante afin de déterminer s’ils sont malveillants ou non.
Apprentissage : les deux sont des systèmes intelligents qui s’adaptent aux cybermenaces en se mettant à jour par rapport aux attaques dites modernes.
Enregistrement : une fois détectée, une menace est automatiquement enregistrée, ce qui permet de pouvoir analyser et comprendre d’où vient la menace et de trouver comment celle-ci a pu s’introduire.
Alerte : dans les deux cas, peu importe la solution choisie, les administrateurs réseau sont notifiés dès qu’il y a la détection d’une activité malveillante.
Surveillance
Pour ce qui est de la réponse des solutions, il faut savoir que les IDS se contentent de surveiller la réponse et peuvent notifier l’administrateur réseau qui devra intervenir en cas d’alerte notifiée. Pour autant, les solutions IPS sont en mesure de surveiller, de détecter, mais également, d’alerter et de bloquer une attaque qui pourrait se produire.
Positionnement du système
Le système IPS se trouve au niveau du pare-feu d’un réseau et il intercepte le trafic entrant. Le système IDS, quant à lui, est à la périphérie d’un réseau et il se contente d’enregistrer tous les événements dans l’objectif de détecter une cyberattaque.
Détection
Nous l’avons vu, les systèmes IDS et IPS ont tous les deux la faculté de détecter une intrusion. Néanmoins, ils ne se baseront pas sur les mêmes critères de sélection pour remonter ce qu’ils ont détecté. Le système IDS va lui se baser sur les signatures et les anomalies. Un IPS va également détecter sur la signature, mais, il accentuera sur les vulnérabilités de l’événement qu’il a détecté.
Protection
Ici, l’IDS n’est pas concerné. Comme nous l’avons vu, ce système permet de détecter, mais il ne permet pas de bloquer une quelconque menace. Au contraire, un IPS peut bloquer des menaces qu’il détecte et donc protéger le réseau. Il convient tout de même de préciser qu’après détection d’une menace, il est préférable qu’il y ait une intervention humaine afin de vérifier que tout est bien résolu.
Performances
Le bon élève ici en termes de performance est le système IDS qui n’a aucun impact sur les performances réseau. En effet, il n’est pas installé via le web. Pour autant, un IPS peut quant à lui faire diminuer les performances d’un réseau, car il analyse le trafic.
Les différences par fonctionnalités
Les fonctionnalités des IDS et des IPS
Maintenant que nous avons défini et vu comment fonctionnent les IDS et IPS, nous allons entrer dans le vif du sujet, en voyant chaque fonctionnalité. Nous allons donc détailler les critères suivants :
Réponse
Positionnement
Détection
Protection
Performances
Avant de faire le listing des différences de fonctionnalités, il convient d’apporter des informations complémentaires et de commencer par lister les similitudes que l’on retrouve entre les deux systèmes. En voici une liste :
Surveillance : les deux solutions permettent de surveiller un réseau ou l’ensemble d’un système. Il est possible de personnaliser et de paramétrer spécifiquement ce que l’on souhaite cibler en particulier.
Détection des menaces : les deux solutions comparent les paquets qui circulent avec une base existante afin de déterminer s’ils sont malveillants ou non.
Apprentissage : les deux sont des systèmes intelligents qui s’adaptent aux cybermenaces en se mettant à jour par rapport aux attaques dites modernes.
Enregistrement : une fois détectée, une menace est automatiquement enregistrée, ce qui permet de pouvoir analyser et comprendre d’où vient la menace et de trouver comment celle-ci a pu s’introduire.
Alerte : dans les deux cas, peu importe la solution choisie, les administrateurs réseau sont notifiés dès qu’il y a la détection d’une activité malveillante.
Surveillance
Pour ce qui est de la réponse des solutions, il faut savoir que les IDS se contentent de surveiller la réponse et peuvent notifier l’administrateur réseau qui devra intervenir en cas d’alerte notifiée. Pour autant, les solutions IPS sont en mesure de surveiller, de détecter, mais également, d’alerter et de bloquer une attaque qui pourrait se produire.
Positionnement du système
Le système IPS se trouve au niveau du pare-feu d’un réseau et il intercepte le trafic entrant. Le système IDS, quant à lui, est à la périphérie d’un réseau et il se contente d’enregistrer tous les événements dans l’objectif de détecter une cyberattaque.
Détection
Nous l’avons vu, les systèmes IDS et IPS ont tous les deux la faculté de détecter une intrusion. Néanmoins, ils ne se baseront pas sur les mêmes critères de sélection pour remonter ce qu’ils ont détecté. Le système IDS va lui se baser sur les signatures et les anomalies. Un IPS va également détecter sur la signature, mais, il accentuera sur les vulnérabilités de l’événement qu’il a détecté.
Protection
Ici, l’IDS n’est pas concerné. Comme nous l’avons vu, ce système permet de détecter, mais il ne permet pas de bloquer une quelconque menace. Au contraire, un IPS peut bloquer des menaces qu’il détecte et donc protéger le réseau. Il convient tout de même de préciser qu’après détection d’une menace, il est préférable qu’il y ait une intervention humaine afin de vérifier que tout est bien résolu.
Performances
Le bon élève ici en termes de performance est le système IDS qui n’a aucun impact sur les performances réseau. En effet, il n’est pas installé via le web. Pour autant, un IPS peut quant à lui faire diminuer les performances d’un réseau, car il analyse le trafic.
Leurs rôles dans la sécurité des systèmes
Leurs rôles dans la détection, la prévention et la réponse aux intrusions
Les IDS et IPS détectent les intrusions basées sur :
Les signatures : soit orientées exploitations, soit orientées vers les vulnérabilités.
Une anomalie : lorsqu’il détecte une anomalie ou un comportement suspect, le système est capable de mentionner si ce comportement est normal ou anormal. Dans le cas où il serait anormal, il est alors signalé.
Ensuite, cette partie concerne uniquement les IPS, car il s’agit de la mise en œuvre d’action. Une fois qu’une intrusion est donc détectée, un IPS émet l’alerte et effectue les actions nécessaires pour bloquer l’intrusion. Pour cela, il peut s’y prendre de différentes manières :
Modification et renforcement du pare-feu
Nettoyage du système après une analyse en vue d’éliminer la cause de l’intrusion
Blocage d’adresses IP qui seraient à l’origine de l’intrusion
Les fonctionnalités clés
Les systèmes IDS et IPS sont donc en mesure :
De détecter des intrusions en analysant le trafic
De générer des alertes automatiques aux administrateurs réseau en cas d’intrusion
D’enregistrer les événements pour pouvoir les consulter
Dans le cas des IPS, d’enclencher des actions de corrections