Qu'est-ce que la détection et la prévention d'intrusion (IDS/IPS) ?

Qu'est-ce que la détection et la prévention d'intrusion (IDS/IPS) ?

La détection d'intrusion est le processus qui consiste à surveiller les événements qui se produisent sur votre réseau et à les analyser pour détecter les signes d'éventuels incidents, violations ou menaces imminentes à vos stratégies de sécurité. La prévention d'intrusion consiste à détecter les intrusions puis à résoudre les incidents détectés. Ces mesures de sécurité sont disponibles sous la forme de systèmes de détection d'intrusion (IDS) et de systèmes de prévention d'intrusion (IPS). Ces systèmes sont intégrés à votre réseau afin de détecter les incidents potentiels et d'y mettre fin.

Problèmes résolus par les systèmes IDS/IPS

Un réseau d'entreprise classique comporte plusieurs points d'accès à d'autres réseaux, à la fois publics et privés. Le défi consiste à garantir la sécurité de ces réseaux tout les gardant ouverts à leurs clients. À l'heure actuelle, les attaques sont si sophistiquées qu'elles peuvent déjouer les meilleurs systèmes de sécurité, notamment ceux qui sont seulement protégés par un chiffrement ou des pare-feu. Malheureusement, ces technologies ne peuvent à elles seules contrecarrer les attaques actuelles.

 

 

Quel est l'intérêt des systèmes IDS/IPS ?

Les systèmes de détection d'intrusion (IDS) et de prévention d'intrusion (IPS) surveillent votre réseau en permanence afin d'identifier les incidents potentiels. Ils consignent les informations afférentes dans des journaux, résolvent les incidents et les signalent aux administrateurs chargés de la sécurité. En outre, certains réseaux utilisent l'IDS/IPS pour identifier les problèmes liés aux stratégies de sécurité et dissuader les individus d'enfreindre ces stratégies. Les IDS/IPS sont devenus essentiels à l'infrastructure de sécurité de la plupart des entreprises, précisément parce qu'ils peuvent arrêter les attaquants pendant qu'ils récupèrent des informations sur votre réseau.

Comment fonctionne un système IDS ?

Les trois méthodes de détection des IDS sont généralement appliquées pour détecter des incidents.

  • La détection basée sur les signatures compare les signatures avec les événements observés pour identifier des incidents potentiels. C'est la méthode la plus simple, car elle compare uniquement l'unité d'activité en cours (telle qu'un paquet ou une entrée de journal) à une liste de signatures en utilisant des opérations de comparaison de chaîne.
  • La détection basée sur les anomalies compare les définitions d'une activité considérée comme normale avec les événements observés afin d'identifier les écarts significatifs. Cette méthode de détection peut se révéler très efficace pour repérer les menaces inconnues.
  • L'analyse dynamique des protocoles compare les profils prédéterminés des définitions généralement acceptées de l'activité bénigne du protocole, pour chaque état du protocole, avec les événements observés, afin d'identifier les écarts.

Implémentation de Juniper Networks

Juniper Networks utilise ses passerelles de services SRX Series pour fournir des services de détection et de prévention d'intrusions (IDP). Vous pouvez sélectionner plusieurs techniques de détection et de prévention des attaques à appliquer au trafic réseau à l'aide de l'équipement SRX Series de votre choix. Vous pouvez définir des règles de stratégie pour une section de trafic en fonction d'une zone, d'un réseau ou d'une application, puis de prendre des mesures préventives actives ou passives concernant ce trafic. L'équipement SRX Series dispose d'un ensemble complet de signatures IPS afin de protéger les réseaux des attaques. Nous mettons régulièrement à jour la base de données d'attaques prédéfinies. Le SRX Series permet de transférer des données PCAP (packet capture) provenant de son trafic à une appliance Juniper Secure Analytics (JSA) à l'aide du protocole PCAP Syslog Combination.