NIDS (Système de Détection d’Intrusion Réseau) et NIPS (Système de Prévention d’Intrusion Réseau)

author
6 minutes, 28 seconds Read
X

Confidentialité & Cookies

Ce site utilise des cookies. En continuant, vous acceptez leur utilisation. En savoir plus, y compris comment contrôler les cookies.

Compris!

Publicités

NIP et NIP (basés sur le comportement, basés sur la signature, basés sur les anomalies, heuristiques)

Un système de détection d’intrusion (IDS) est un logiciel qui s’exécute sur un serveur ou un périphérique réseau pour surveiller et suivre l’activité du réseau. À l’aide d’un IDS, un administrateur réseau peut configurer le système pour surveiller l’activité du réseau à la recherche de comportements suspects pouvant indiquer des tentatives d’accès non autorisées. Les IDS peuvent être configurés pour évaluer les journaux système, examiner les activités réseau suspectes et déconnecter les sessions qui semblent violer les paramètres de sécurité.

IDSs peut être vendu avec des pare-feu. Les pare-feu en eux-mêmes préviendront de nombreuses attaques courantes, mais ils ne disposent généralement pas des capacités d’intelligence ou de reporting nécessaires pour surveiller l’ensemble du réseau. Un IDS, associé à un pare-feu, permet à la fois une posture réactive avec le pare-feu et une posture préventive avec les IDS.

En réponse à un événement, les ID peuvent réagir en désactivant les systèmes, en fermant les ports, en mettant fin aux sessions, en trompant (rediriger vers un pot de miel) et même en éteignant potentiellement votre réseau. Un ID réseau qui prend des mesures actives pour arrêter ou empêcher une intrusion s’appelle un système de prévention des intrusions réseau (NIPS). Lorsqu’ils fonctionnent dans ce mode, ils sont considérés comme des systèmes actifs.

Les systèmes de détection passive enregistrent l’événement et s’appuient sur des notifications pour alerter les administrateurs d’une intrusion. Éviter ou ignorer une attaque est un exemple de réponse passive, où une attaque invalide peut être ignorée en toute sécurité. Un inconvénient des systèmes passifs est le décalage entre la détection des intrusions et les mesures de correction prises par l’administrateur.

Les systèmes de prévention des intrusions (IPS) comme les IDSs suivent le même processus de collecte et d’identification des données et du comportement, avec la possibilité supplémentaire de bloquer (empêcher) l’activité.

Un ID basé sur le réseau examine les patterns réseau, tels qu’un nombre inhabituel ou des demandes destinées à un serveur ou à un service particulier, tel qu’un serveur FTP. Les systèmes d’ID réseau doivent être situés le plus tôt possible, par exemple sur le pare-feu, un robinet réseau, un port span ou un concentrateur, pour surveiller le trafic externe. D’autre part, les systèmes d’ID d’hôte sont placés sur des hôtes individuels où ils peuvent surveiller plus efficacement les événements générés en interne.

L’utilisation d’ID réseau et d’ID hôte améliore la sécurité de l’environnement.

Snort est un exemple de système de détection et de prévention des intrusions réseau. Il effectue l’analyse du trafic et la journalisation des paquets sur les réseaux IP. Snort utilise un langage flexible basé sur des règles pour décrire le trafic qu’il doit collecter ou passer, et un moteur de détection modulaire.

La détection d’intrusion basée sur le réseau tente d’identifier les comportements non autorisés, illicites et anormaux basés uniquement sur le trafic réseau. À l’aide des données capturées, les ID réseau traitent et signalent tout trafic suspect. Contrairement à un système de prévention d’intrusion, un système de détection d’intrusion ne bloque pas activement le trafic réseau. Le rôle d’un ID de réseau est passif, ne recueillant, identifiant, enregistrant et alertant que.

Le système de détection d’intrusion basé sur l’hôte (HIDS) tente d’identifier les comportements non autorisés, illicites et anormaux sur un périphérique spécifique. HIDS implique généralement un agent installé sur chaque système, surveillant et alertant sur l’activité du système d’exploitation local et de l’application. L’agent installé utilise une combinaison de signatures, de règles et d’heuristiques pour identifier les activités non autorisées. Le rôle d’un ID d’hôte est passif, ne recueillant, identifiant, journalisant et alertant que. Tripwire est un exemple de HIDS.

Il n’existe pas de normes ouvertes entièrement matures pour l’ID à l’heure actuelle. L’Internet Engineering Task Force (IETF) est l’organisme qui élabore de nouvelles normes Internet. Ils ont un groupe de travail pour développer un format commun pour les alertes IDS.

Les types de méthodologies de surveillance suivants peuvent être utilisés pour détecter les intrusions et les comportements malveillants : signature, anomalie, surveillance heuristique et basée sur des règles.

Un ID basé sur la signature surveillera les paquets sur le réseau et les comparera à une base de données de signatures ou d’attributs provenant de menaces malveillantes connues. Ceci est similaire à la façon dont la plupart des logiciels antivirus détectent les logiciels malveillants. Le problème est qu’il y aura un décalage entre une nouvelle menace découverte dans la nature et la signature pour détecter cette menace appliquée à vos identifiants.

Une signature d’ID réseau est un modèle que nous voulons rechercher dans le trafic. Les signatures vont de très simples – vérifier la valeur d’un champ d’en–tête – à des signatures très complexes qui peuvent réellement suivre l’état d’une connexion ou effectuer une analyse approfondie du protocole.

Un IDS basé sur des anomalies examine le trafic, l’activité, les transactions ou le comportement en cours pour détecter les anomalies (choses en dehors de la norme) sur les réseaux ou les systèmes pouvant indiquer une attaque. Un IDS basé sur une anomalie surveillera le trafic réseau et le comparera à une ligne de base établie. La ligne de base identifiera ce qui est « normal » pour ce réseau, quel type de bande passante est généralement utilisé, quels protocoles sont utilisés, quels ports et quels périphériques se connectent généralement les uns aux autres, et alertera l’administrateur lorsque du trafic est détecté anormal à la ligne de base.

Une surveillance de sécurité basée sur une heuristique utilise une base de données initiale de types d’attaques connus, mais modifie dynamiquement leur base de signatures en fonction du comportement appris du trafic réseau. Un système heuristique utilise des algorithmes pour analyser le trafic traversant le réseau. Les systèmes heuristiques nécessitent un réglage plus fin pour éviter les faux positifs dans votre réseau.

Un système basé sur le comportement recherche des variations de comportement telles qu’un trafic anormalement élevé, des violations de stratégie, etc. En recherchant des écarts de comportement, il est capable de reconnaître les menaces potentielles et de réagir rapidement.
Semblable aux règles de contrôle d’accès des pare-feu, un système de surveillance de la sécurité basé sur des règles s’appuie sur l’administrateur pour créer des règles et déterminer les actions à entreprendre lorsque ces règles sont transgressées.

• http://netsecurity.about.com/cs/hackertools/a/aa030504.htm
• http://www.sans.org/security-resources/idfaq/
• Guide d’étude CompTIA Sécurité +: Examen SY0-301, Cinquième Édition par Emmett Dulaney
* Passeport de certification CompTIA Security + de Mike Meyers, Deuxième Édition par T. J. Samuelle

http://neokobo.blogspot.com/2012/01/118-nids-and-nips.html

Annonces

Similar Posts

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.