Qu'est-ce que la détection et la prévention d'intrusion (IDS/IPS) ?

Qu'est-ce que la détection et la prévention d'intrusion (IDS/IPS) ?

La détection d'intrusion est le processus de surveillance de votre trafic réseau et d'analyse de celui-ci pour détecter des signes d'éventuelles intrusions, telles que des tentatives d'exploitation et des incidents pouvant constituer des menaces imminentes pour votre réseau. Pour sa part, la prévention des intrusions consiste à effectuer une détection des intrusions puis à arrêter les incidents détectés, généralement en supprimant des paquets ou en mettant fin à des sessions. Ces mesures de sécurité sont disponibles sous forme de systèmes de détection d'intrusion (IDS) et de systèmes de prévention d'intrusion (IPS), qui font partie des mesures de sécurité du réseau prises pour détecter et arrêter les incidents potentiels et sont des fonctionnalités incluses dans les pare-feu nouvelle génération (NGFW).

 

Quels sont les avantages de l'IDS et de l'IPS ?

L'IDS/IPS surveille tout le trafic sur le réseau pour identifier tout comportement malveillant connu. L'un des moyens par lesquels un attaquant tentera de compromettre un réseau consiste à exploiter une vulnérabilité au sein d'un appareil ou d'un logiciel. L'IDS/IPS identifie ces tentatives d'exploitation et les bloque avant qu'elles ne compromettent avec succès les terminaux du réseau. L'IDS/IPS sont des technologies de sécurité nécessaires, à la fois à la périphérie du réseau et au sein du centre de données, précisément parce qu'elles peuvent arrêter les attaquants pendant qu'ils collectent des informations sur votre réseau.

 

Comment fonctionne un système IDS ?

Trois méthodologies de détection IDS sont généralement utilisées pour détecter les incidents :

  • La détection basée sur les signatures compare les signatures avec les événements observés pour identifier des incidents potentiels. C'est la méthode la plus simple, car elle compare uniquement l'unité d'activité en cours (telle qu'un paquet ou une entrée de journal) à une liste de signatures en utilisant des opérations de comparaison de chaîne.
  • La détection basée sur les anomalies compare les définitions d'une activité considérée comme normale avec les événements observés afin d'identifier les écarts significatifs. Cette méthode de détection peut se révéler très efficace pour repérer les menaces inconnues.
  • L'analyse dynamique des protocoles compare les profils prédéterminés des définitions généralement acceptées de l'activité bénigne du protocole, pour chaque état du protocole, avec les événements observés, afin d'identifier les écarts.

 

 

Quel est l'intérêt des systèmes IDS/IPS ?

Les systèmes de détection d'intrusion (IDS) et de prévention d'intrusion (IPS) surveillent votre réseau en permanence afin d'identifier les incidents potentiels. Ils consignent les informations afférentes dans des journaux, résolvent les incidents et les signalent aux administrateurs chargés de la sécurité. En outre, certains réseaux utilisent l'IDS/IPS pour identifier les problèmes liés aux stratégies de sécurité et dissuader les individus d'enfreindre ces stratégies. Les IDS/IPS sont devenus essentiels à l'infrastructure de sécurité de la plupart des entreprises, précisément parce qu'ils peuvent arrêter les attaquants pendant qu'ils récupèrent des informations sur votre réseau.

 

L'IDS et l'IPS de Juniper

Les pare-feu SRX Series de Juniper Networks, y compris vSRX et cSRX, sont entièrement équipés pour les services de détection et de prévention d'intrusion (IDP). Vous pouvez appliquer de manière sélective diverses techniques de détection et de prévention des attaques sur le trafic réseau passant par le périphérique SRX Series ou le service Secure Edge de votre choix, qui fournit un pare-feu en tant que service. Vous pouvez définir des règles de stratégie pour une section de trafic en fonction d'une zone, d'un réseau ou d'une application, puis de prendre des mesures préventives actives ou passives concernant ce trafic. La SRX Series et le service Secure Edge contiennent tous deux des signatures IPS robustes et continuellement mises à jour pour sécuriser les réseaux contre les attaques. La SRX Series peut transmettre les journaux IDP à tous les systèmes de gestion des incidents et des événements de sécurité (SIEM), tels que Juniper Secure Analytics (JSA).

FAQ sur IDS et IPS

Un pare-feu est-il un IDS ou un IPS ?

Oui. Les véritables pare-feu nouvelle génération contiennent les fonctionnalités IDS et IPS. Cependant, tous les pare-feu ne sont pas des pare-feu nouvelle génération. En outre, un pare-feu bloque et filtre le trafic réseau, tandis qu'IDS et IPS détectent et alertent ou bloquent une tentative d'exploitation, selon la configuration. L'IDS et l'IPS agissent sur le trafic après que le pare-feu ait filtré le trafic, conformément à la politique configurée.

Comment les systèmes IDS et IPS sont-ils mis en œuvre ?

Un système de détection d'intrusion (IDS) est chargé d'identifier les attaques et les techniques et est souvent déployé hors bande en mode écoute seule afin qu'il puisse analyser tout le trafic et générer des événements d'intrusion à partir de trafic suspect ou malveillant. 

Un système de prévention d'intrusions (IPS) est déployé sur le chemin du trafic afin que tout le trafic soit amené à passé par l'appareil pour continuer jusqu'à sa destination. Lors de la détection d'un trafic malveillant, l'IPS interrompt la connexion et abandonne la session ou le trafic.

Un IPS peut-il bloquer le trafic ?

Oui. Un IPS surveille en permanence le trafic à la recherche d'exploits connus pour protéger le réseau. L'IPS compare ensuite le trafic aux signatures existantes. Si une correspondance se produit, l'IPS entreprendra l'une des trois actions suivantes : 1) détecter et consigner le trafic, 2) détecter et bloquer le trafic, ou 3) (l'option recommandée) détecter, consigner et bloquer le trafic. 

Que peut détecter un IDS?

Un IDS détecte les menaces en fonction de modèles d'exploits connus, de comportements malveillants et de techniques d'attaque. Un IDS efficace détecte également les techniques évasives utilisées par les attaquants pour masquer les exploits, telles que la fragmentation des appels de procédure à distance (RPC), le rembourrage HTML et d'autres types de manipulation TCP/IP.

En savoir plus sur ce que Juniper IDS/IPS peut détecter et bloquer sur notre page Signatures.

Un IPS peut-il empêcher les DDoS ?

Un IPS peut empêcher certains types d'attaques DDoS (déni de service distribué). Par exemple, les attaques par déni de service d'application (AppDoS) sont l'une des catégories de menaces que la fonctionnalité IPS peut identifier et protéger contre. Cependant, les menaces DDoS volumétriques nécessitent une solution dédiée comme l'offre Corero DDoS de Juniper.

Quels sont les technologies, solutions et produits IDS et IPS proposés par Juniper ?

Juniper propose à la fois des solutions IDS et IPS via un abonnement logiciel unique déployé sur tous les produits et services de pare-feu de nouvelle génération de Juniper : pare-feu SRX physiques, virtuels et conteneurisés, ou en tant que service au sein de Juniper Secure Edge.