IV
Généralités sur les systèmes de détection et
de prévention
Définition
Les systèmes de détection et de
prévention d'intrusions permettent de repérer et d'empêcher
l'intrusion d'un utilisateur malveillant dans un système
distribué comme une grille informatique ou un réseau en nuage.
4.1 Présentation des
systèmes de détections d'intrusion
Définition
Un système de détection d'intrusion (IDS) est
chargé d'identifier les attaques et les techniques et est souvent
déployé hors bande en mode écoute seule afin qu'il puisse
analyser tout le trafic et générer des événements
d'intrusion à partir de trafic suspect ou malveillant.
4.1.1 Les différents
types de détection d'intrusion
Host Intrusion Detection Systems (HIDS)
Un HIDS (Host Intrusion Détection
System) sont les systèmes de détection d'intrusions
réseaux, où des systèmes de sécurité des
réseaux informatiques utilisés pour se protéger contre les
virus, les logiciels espions et les logiciels malveillants et d'autres types de
fichiers malveillants.
Network-based Intrusion Detection system
(NIDS)
Les NIDS (Network-based intrusion détection system) est
un système de détection d'intrusion réseau qui observe le
trafic sur une branche du afin d'y repérer des tentatives d'attaques,
soit à partir des signatures soit en identifiant les comportements
anormaux.
Wireless Intrusion Detection System
Ce type de système de détection d'intrusion
permet de détecter et d'avertir sur les attaques spécifiques
liées aux réseaux sans-fils.
Système de détection d'intrusion
basé sur un protocole PIDS
Un système de détection d'intrusion basé
sur un protocole PIDS est principalement implémenté sur un
serveur Web. La fonction d'un PIDS est d'examiner le flux de communication
entre les différents appareils sur un réseau ainsi que ses
ressources en ligne. Il surveille etévalue la transmission des
données via HTTP et HTTPS.
4.1.2Classification des
systèmes de détection d'intrusion
Les ??systèmes de détection d'intrusion peuvent
également être classés en deux catégories à
savoir actifs et passifs.
IDS actif
Également appelé système de
détection et de prévention des intrusions IDPS, un IDS actif
examine le trafic à la recherche d'activités suspectes. Il est
automatisé pour bloquer les activités malveillantes à
l'aide d'adresses IP bloquantes et restreindre l'accès non
autorisé aux données sensibles sans intervention humaine.
Détection d'intrusion basée sur les
signatures
Un système IDS peut identifier une attaque en la
vérifiant pour un comportement ou un modèle spécifique
comme des signatures malveillantes, des séquences d'octets.
Détection basée sur la
réputation
C'est à ce moment qu'un IDS peut détecter les
cyberattaques en fonction de leurs scores de réputation. Si le score est
bon, le trafic obtiendra un laissez-passer, mais si ce n'est pas le cas, le
système vous informera immédiatement pour agir.
SNORT
Protégez votre réseau avec un puissant logiciel
de détection open source - Snort. Cet IPS utilise un ensemble de
règles pour définir les activités malveillantes sur le
réseau et trouver des paquets pour générer des alertes
pour les utilisateurs.
IDS passif
Contrairement à un IDS actif qui a la capacité
de bloquer les adresses IP face à une activité suspecte, un IDS
passif ne peut qu'alerter l'administrateur pour une enquête plus
approfondie après avoir détecté une activité
suspecte.
Avantage des systèmes de détection
d'intrusion
· Pouvoir surveiller des événements locaux
jusqu'au host, détecter des attaques qui ne sont pas vues par NIDS
· Le trafic réseau est crypté lorsque les
sources des informations des host-based sont générées
avant d'arriver à destination.
Inconvénients des systèmes de
détection d'intrusion
· NIDS ne peut pas analyse des informations
chiffrées (cryptées). Ce problème a lieu dans les
organisations utilisant le VPN.
· Il est difficile à traiter tous les paquets
circulant sur un grand réseau. De plus il ne peut pas reconnaître
des attaques pendant le temps de haut trafic.
| 
