Un système de détection d’intrusion (IDS) est une technologie de sécurité réseau construite à l’origine pour détecter les exploits de vulnérabilité contre une application ou un ordinateur cible. Les systèmes de prévention des intrusions (IPS) ont étendu les solutions IDS en ajoutant la capacité de bloquer les menaces en plus de les détecter et sont devenus l’option de déploiement dominante pour les technologies IDS/IPS. Cet article développera la configuration et les fonctions qui définissent le déploiement IDS.
Un IDS n’a besoin que de détecter les menaces et, en tant que tel, il est placé hors bande sur l’infrastructure du réseau, ce qui signifie qu’il n’est pas dans le véritable chemin de communication en temps réel entre l’émetteur et le récepteur de l’information. Au lieu de cela, les solutions IDS profiteront souvent d’un port TAP ou SPAN pour analyser une copie du flux de trafic en ligne (et ainsi s’assurer que l’IDS n’a pas d’impact sur les performances du réseau en ligne).
L’IDS a été développé à l’origine de cette façon parce qu’à l’époque, la profondeur d’analyse requise pour la détection des intrusions ne pouvait pas être effectuée à une vitesse qui pouvait suivre le rythme des composants sur le chemin de communication direct de l’infrastructure réseau.
Comme expliqué, l’IDS est également un dispositif d’écoute seulement. L’IDS surveille le trafic et communique ses résultats à un administrateur, mais ne peut pas prendre automatiquement des mesures pour empêcher un exploit détecté de prendre le contrôle du système. Les attaquants sont capables d’exploiter les vulnérabilités très rapidement une fois qu’ils ont pénétré dans le réseau, ce qui fait de l’IDS un déploiement inadéquat pour le dispositif de prévention.
Le tableau suivant résume les différences de technologie intrinsèques à l’IPS et au déploiement de l’IDS :
| Système de prévention des intrusions | Déploiement de l’IDS | |
|---|---|---|
| Placement dans l’infrastructure du réseau | Partie de la ligne directe de communication (inline) | Outre la ligne directe de communication (out-.de bande) |
| Type de système | Actif (surveiller & défendre automatiquement) et/ou passif | Passif (surveiller & notifier) |
| Mécanismes de détection | 1. Détection statistique basée sur les anomalies 2. Détection par signature: – Signatures orientées exploitation – Signatures orientées vulnérabilité |
1. Détection de signatures: – Signatures orientées vers l’exploitation |
.