Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Comprendre les signatures IPS

Le système de prévention d’intrusion (IPS) compare le trafic avec les signatures de menaces connues et bloque le trafic lorsqu’une menace est détectée. Les intrusions réseau sont des attaques ou d’autres utilisations abusives des ressources réseau. Pour détecter ce type d’activité, IPS utilise des signatures. Une signature spécifie les types d’intrusions réseau que vous souhaitez que l’équipement détecte et signale. Dès qu’un modèle de trafic correspondant à une signature est détecté, l’IPS déclenche l’alarme et empêche le trafic d’atteindre sa destination. La base de données de signatures est l’un des composants majeurs de l’IPS. Il contient des définitions de différents objets, tels que des objets d’attaque, des objets de signature d’application et des objets de service, qui sont utilisés pour définir les règles de stratégie IPS.

Pour que les stratégies IPS restent organisées et gérables, les objets d’attaque peuvent être regroupés. Un groupe d’objets d’attaque peut contenir un ou plusieurs types d’objets d’attaque. Junos OS prend en charge les trois types de groupes d’attaques suivants :

  • Signature IPS : contient les objets présents dans la base de données de signatures.

  • Groupe dynamique : contient les objets d’attaque en fonction de certains critères de correspondance. Lors d’une mise à jour de signature, l’appartenance dynamique à un groupe est automatiquement mise à jour en fonction des critères de correspondance de ce groupe. Par exemple, vous pouvez regrouper dynamiquement les attaques liées à une application spécifique à l’aide de filtres de groupes d’attaques dynamiques.

  • Groupe statique : contient la liste des attaques spécifiées dans la définition de l’attaque.

Les objets d’attaque de signature utilisent une signature d’attaque dynamique (un modèle qui existe toujours dans une section spécifique de l’attaque) pour détecter les attaques connues. Il s’agit également de :

  • Le protocole ou le service utilisé pour perpétrer l’attaque et le contexte dans lequel elle s’est produite.

  • Propriétés spécifiques aux attaques de signature : contexte de l’attaque, direction de l’attaque, modèle d’attaque et paramètres spécifiques au protocole (champs d’en-tête TCP, UDP, ICMP ou IP).

Les signatures peuvent produire des faux positifs, car certaines activités réseau normales peuvent être interprétées comme malveillantes. Par exemple, certaines applications réseau ou certains systèmes d’exploitation envoient de nombreux messages ICMP, qu’un système de détection basé sur des signatures peut interpréter comme une tentative de cartographie d’un segment de réseau par un attaquant. Vous pouvez réduire les faux positifs en modifiant vos paramètres de signature (pour affiner vos signatures).

Vous pouvez créer, filtrer, modifier ou supprimer des signatures IPS sur la page Signatures de stratégie IPS de Security Director. Vous pouvez télécharger et installer la base de données de signatures sur les équipements de sécurité. Vous pouvez automatiser le processus de téléchargement et d’installation en planifiant les tâches de téléchargement et d’installation et en configurant ces tâches pour qu’elles se répètent à des intervalles de temps spécifiques. Cela permet de s’assurer que votre base de données de signatures est à jour.

Documentation connexe