Embed Size (px)
Citation preview
1
INTRODUCTION
LE SYSTÈME DE DÉTECTION IDS
LE SYSTÈME DE PRÉVENTION IPS
ETUDE COMPARATIVE ENTRE IDS ET IPS
CONCLUSION & PERSPECTIVES
2
Aujourd’hui, aucun système d’information
n’est sûr à 100% !
Le problème n’est plus de savoir si elle va se faire attaquer, mais quand cela va
arriverPour remédier à ceproblème les entreprises setournent de plus en plusvers les solutions dedétection d’intrusion
Quel est donc le principe de
fonctionnement des systèmes de
détection d’intrusion ?
3
Les entreprises subissent des attaques qui peuvent entraînerdes pertes conséquentes.
Le besoin des entreprises en sécurité d’informatique est deplus en plus important, un élément essentiel d’une bonnepolitique de sécurité est l’utilisation d’un IDS
4
C’est un système qui détecte (tente de détecter)
les intrusions
C’est un processus de découverte et d’analyse de
comportements hostiles dirigé contre un réseau
5
6
Analyse de fonctionnement ou de l’état de système
Analyse de trafic réseau
Constitués d’IDS et de NIDS
7
Basé sur la reconnaissances de schémas déjà
connus
L’attaque doit être connue pour être détectée
Les signatures d’attaques connues sont stockées dans une base; et chaque
événement est comparé au contenu
de cette base
Utilisation d’expressions régulières
Simplicité de mise en
œuvre
Précision (en fonction des règles)
Rapidité de diagnostique
Ne détecte que les attaques
connuesMaintenance
de la base
Techniques d’évasion
possibles dès lors que les
signatures sont connues
AnalyseCapture Alertes
Signatures
8
Basé sur le comportement «
normal » du système
Une attaque peut être
détectée sans être
préalablement connue
Le comportement doit être modélisé : on définit alors un profil
Une déviation par rapport à ce comportement estconsidérée suspecte
Permet la détection d’attaque inconnue
Difficile à tromper
Facilite la création de
règles adaptées à ces attaques
Les faux-positifs sont nombreux Générer un
profil est complexe
Diagnostiques long et précis en
cas d’alerte
9
Journaliser l’évènement
Amorcer certaines
actions sur un réseau ou
hôtes
Avertir un humain avec un message
Avertir un système avec un message
10
Les Systèmes de détection ne sont pas évolutifs, et ils sont
difficilement dé ployables sur les réseaux d’entreprise.
Faux-positif
Faux-négatif
Surcharge de l’IDS
Un IPS ( ) est un IDS qui ajoute des
fonctionnalités de blocage pour une anomalie trouvée à savoir :
11
Interrompre
la connexion
Ralentir
la connexion
Bloquer les
intrusions
12
Des IPS permettant de
surveiller le trafic réseau.
Il est parfois utilisée pour
évoquer la protection des
réseaux sans fils
Des IPS permettant de
surveiller la poste du travail.
En cas de détection de
processus suspect le HIPS
peut le tuer pour mettre fin à
ses agissements
L’IPS peut comporter
plusieurs outils et
méthodes pour empêcher
Les attaquants d’accéder
au réseau Tels qu’un
coupe feu, un anti virus
Faux-négatif
Faux-positif
13
14
IDS IPS • Suite à des avertissements aux
administrateurs des systèmes il
n’est pas conçu pour bloquer les
attaques.
• Contrairement à l’IDS, l’IPS
est capable de bloquer les
attaques.
• L’IDS utilise une application
qui analyse les paquets entiers.
Quand un événement connu est
détecté, un message de journal
est généré détaillant
l'événement.
• Tandis que l’IPS dans ce
même cas il se défend contre
cette attaque par le rejet des
paquet détectés.
La plupart des IDS sont fiables, ce qui explique qu'ils
sont souvent de sécurité. Les avantages qu'ils
présentent face aux autres outils de sécurités les
favorisent mais d'un autre côté cela n'empêche pas que
les meilleurs IDS présentent aussi des lacunes et
quelques inconvénients.
Les systèmes de détection d'intrusions fournissent une
bonne sécurité mais qui n'est pas automatisée. Cela
signifie que l'utilisation des IDS se fait toujours
conjointement à une expertise humaine
15
MERCI POUR VOTRE
ATTENTION
16
