2. INTRODUCTION
LE SYSTÈME DE DÉTECTION IDS
LE SYSTÈME DE PRÉVENTION IPS
ETUDE COMPARATIVE ENTRE IDS ET IPS
CONCLUSION & PERSPECTIVES
2
3. Aujourd’hui,
aucun système
d’information
n’est sûr à 100% !
Le problème n’est
plus de savoir si elle
va se faire attaquer,
mais quand cela va
arriver
Pour remédier à ce
problème les entreprises se
tournent de plus en plus
vers les solutions de
détection d’intrusion
Quel est donc le
principe de
fonctionnement des
systèmes de
détection d’intrusion
?
3
4. Les entreprises subissent des attaques qui peuvent entraîner
des pertes conséquentes.
Le besoin des entreprises en sécurité d’informatique est de
plus en plus important, un élément essentiel d’une bonne
politique de sécurité est l’utilisation d’un IDS
4
5. C’est un système qui
détecte (tente de détecter)
les intrusions
C’est un processus de
découverte et d’analyse de
comportements hostiles
dirigé contre un réseau
5
7. 7
Basé sur la
reconnaissances
de schémas déjà
connus
L’attaque
doit être
connue pour
être détectée
Les signatures
d’attaques connues
sont stockées dans
une base; et chaque
événement est
comparé au contenu
de cette base
Utilisation
d’expressions
régulières
Simplicité
de mise en
œuvre
Précision
(en fonction
des règles)
Rapidité de
diagnostique
Ne détecte que
les attaques
connues
Maintenance
de la base
Techniques
d’évasion
possibles dès
lors que les
signatures sont
connues
AnalyseCapture Alertes
Signatures
8. 8
Basé sur le
comportement «
normal » du
système
Une attaque
peut être
détectée sans
être
préalablement
connue
Le comportement
doit être modélisé :
on définit alors un
profil
Une déviation
par rapport à ce
comportement
est
considérée
suspecte
Permet la
détection
d’attaque
inconnue
Difficile à
tromper
Facilite la
création de
règles adaptées
à ces attaques
Les faux-
positifs sont
nombreux Générer un
profil est
complexe
Diagnostiques
long et précis en
cas d’alerte
10. 10
Les Systèmes de détection ne sont pas évolutifs, et ils sont
difficilement dé ployables sur les réseaux d’entreprise.
Faux-positif
Faux-négatif
Surcharge de l’IDS
11. Un IPS ( ) est un IDS qui ajoute des
fonctionnalités de blocage pour une anomalie trouvée à savoir :
11
Interrompre
la connexion
Ralentir
la connexion
Bloquer les
intrusions
12. 12
Des IPS permettant de
surveiller le trafic réseau.
Il est parfois utilisée pour
évoquer la protection des
réseaux sans fils
Des IPS permettant de
surveiller la poste du travail.
En cas de détection de
processus suspect le HIPS
peut le tuer pour mettre fin à
ses agissements
13. L’IPS peut comporter
plusieurs outils et
méthodes pour empêcher
Les attaquants d’accéder
au réseau Tels qu’un
coupe feu, un anti virus
Faux-négatif
Faux-positif
13
14. 14
IDS IPS
• Suite à des avertissements aux
administrateurs des systèmes il
n’est pas conçu pour bloquer les
attaques.
• Contrairement à l’IDS, l’IPS
est capable de bloquer les
attaques.
• L’IDS utilise une application
qui analyse les paquets entiers.
Quand un événement connu est
détecté, un message de journal
est généré détaillant
l'événement.
• Tandis que l’IPS dans ce
même cas il se défend contre
cette attaque par le rejet des
paquet détectés.
15. La plupart des IDS sont fiables, ce qui explique qu'ils
sont souvent de sécurité. Les avantages qu'ils
présentent face aux autres outils de sécurités les
favorisent mais d'un autre côté cela n'empêche pas que
les meilleurs IDS présentent aussi des lacunes et
quelques inconvénients.
Les systèmes de détection d'intrusions fournissent une
bonne sécurité mais qui n'est pas automatisée. Cela
signifie que l'utilisation des IDS se fait toujours
conjointement à une expertise humaine
15