11.5.7 IPS :
Intrusion Prevention System
Pour présenter le concept d'IPS, nous allons tout
d'abord présenter les différents types d'IPS, chacun intervenant
à un niveau différent ensuite nous étudierons leur mode de
fonctionnement.
11.5.7.1 Définition
Les systèmes de prévention d'intrusions sont des
systèmes de détection d'intrusions particuliers qui permettent,
en plus de repérer les tentatives d'intrusion à un
système, d'agir pour contrer ces tentatives. En effet, les IPS
constituent des IDS actifs qui tentent de bloquer les intrusions. Pour mieux
comprendre le concept d'IPS, nous étudierons le mode de fonctionnement
des IPS et présenterons les différents types d'IPS.
11.5.7.2 Mode de fonctionnement
Un système IPS est placé en ligne et examine en
théorie tous les paquets entrants ou sortants. Il réalise un
ensemble d'analyses de détection, non seulement sur chaque paquet
individuel, mais également sur les conversations et motifs du
réseau, en visualisant chaque transaction dans le contexte de celles qui
précèdent où qui suivent. Si le système IPS
considère le paquet inoffensif, il le transmet sous forme d'un
élément traditionnel de couches 2 ou 3 du réseau. Les
utilisateurs finaux ne doivent en ressentir aucun effet. Cependant, lorsque le
système IPS détecte un trafic douteux il doit pouvoir activer un
mécanisme de réponse adéquat en un temps record[16].
11.5.7.3 Différents types
d'IPS
Tout comme les IDS, on distingue plusieurs types d'IPS tels
que :
Ø Les HIPS
« Host-based Intrusion Prevention System », sont des
IPS permettant de surveiller le poste de travail à travers
différentes techniques, ils surveillent les processus, les drivers,
entre autres. En cas de détection de processus suspect le HIPS peut le
tuer pour mettre fin à ses agissements.
Ø Les NIPS
« Network Intrusion Prevention System », un NIPS est
un logiciel ou matériel connecté directement à un segment
du réseau. Il a comme rôle d'analyser tous les paquets circulant
dans ce réseau.
Ø Les KIPS
Il s'agit de « Kernel Intrusion Prevention System »
ou systèmes de prévention d'intrusions au niveau du noyau.
Grâce à un KIPS, tout accès suspect peut être
bloqué directement par le noyau, empêchant ainsi toute
modification dangereuse pour le système. Le KIPS peut reconnaître
des motifs caractéristiques du débordement de mémoire, et
peut ainsi interdire l'exécution du code. Le KIPS peut également
interdire le système d'exploitation d'exécuter un appel
système qui ouvrirait un Shell de commandes. Puisqu'un KIPS analyse les
appels systèmes, il ralentit l'exécution. C'est pourquoi ce sont
des solutions rarement utilisées sur des serveurs souvent
sollicités.
| 
