Pourquoi utiliser des systèmes de prévention des intrusions?
Les technologies IPS peuvent détecter ou prévenir les attaques de sécurité réseau telles que les attaques par force brute, les attaques par déni de service (DoS) et les exploits de vulnérabilité. Une vulnérabilité est une faiblesse dans un logiciel et un système d’exploitation est une attaque qui exploite cette vulnérabilité pour obtenir le contrôle d’un système., Lorsqu’un exploit est annoncé, il y a souvent une fenêtre d’opportunité pour les attaquants d’exploiter cette vulnérabilité avant l’application du correctif de sécurité. Un système de prévention des intrusions peut être utilisé dans ces cas pour bloquer rapidement ces attaques.
étant donné que les technologies IPS surveillent les flux de paquets, elles peuvent également être utilisées pour imposer l’utilisation de protocoles sécurisés et refuser l’utilisation de protocoles non sécurisés tels que les versions antérieures de SSL ou les protocoles utilisant des chiffrements faibles.
comment fonctionnent les systèmes de prévention des intrusions?,
Les technologies IPS ont accès aux paquets où elles sont déployées, soit en tant que systèmes de détection D’intrusion réseau (nid), soit en tant que systèmes de détection D’intrusion hôte (HIDS). Network IPS a une vue plus grande de l’ensemble du réseau et peut être déployé en ligne dans le réseau ou hors ligne sur le réseau en tant que capteur passif qui reçoit des paquets d’un port réseau TAP ou SPAN.
la méthode de détection utilisée peut être basée sur une signature ou une anomalie. Les signatures prédéfinies sont des modèles d’attaques réseau bien connues. L’IPS compare les flux de paquets avec la signature pour voir s’il y a une correspondance de modèle., Les systèmes de détection d’intrusion basés sur les anomalies utilisent des heuristiques pour identifier les menaces, par exemple en comparant un échantillon de trafic à une ligne de base connue.
Quelle est la différence entre IDS et IPS?
Les premières implémentations de la technologie ont été déployées en mode detect sur des appliances de sécurité dédiées. Au fur et à mesure que la technologie a mûri et a été intégrée dans des pare-feu ou des périphériques UTM de nouvelle génération, l’action par défaut est définie pour empêcher le trafic malveillant.,
Dans certains cas, la décision de détecter et d’accepter ou d’empêcher le trafic est basée sur la confiance dans la protection IPS spécifique. Lorsque la confiance dans une protection IPS est plus faible, il y a une probabilité plus élevée de faux positifs. Un faux positif est lorsque les ID identifient une activité comme une attaque mais que l’activité est un comportement acceptable. Pour cette raison, de nombreuses technologies IPS ont également la capacité de capturer des séquences de paquets à partir de l’événement d’attaque. Ceux-ci peuvent ensuite être analysés pour déterminer s’il y avait une menace réelle et pour améliorer encore la protection IPS.