Qu’est-ce qu’une intrusion
ips système de prévention

En termes simples, un système de prévention des intrusions (IPS), également appelé système de prévention de la détection des intrusions (IDPS), n’est rien d’autre qu’une technologie qui garantit qu’un réseau est surveillé pour détecter les activités malveillantes qui visent à exploiter une vulnérabilité connue.

L’objectif principal d’un système de prévention des intrusions est de détecter s’il y a une activité suspecte ou de prévenir complètement (IPS) la menace. Chaque tentative de ce genre est signalée aux gestionnaires de réseau ou au personnel du Centre des opérations de sécurité (SOC).

Pourquoi les systèmes de prévention des intrusions devraient-ils être utilisés?

Les technologies IPS peuvent aider à la détection ou à la prévention des attaques de sécurité réseau, qui incluent des attaques de force brute, des attaques par déni de service (DoS) et des exploits de vulnérabilité. Une vulnérabilité n’est rien d’autre qu’une faiblesse dans un système logiciel, tandis qu’un exploit est une attaque réelle qui est menée en utilisant cette vulnérabilité, de sorte que l’entité accède à un système. Lors de l’annonce d’une exploitation, il y a généralement une petite fenêtre dans laquelle les attaquants peuvent exploiter cette vulnérabilité avant l’application de ce correctif de sécurité. Pour bloquer rapidement de telles attaques, un système de prévention des intrusions peut être mis à profit.

Étant donné que les technologies IPS sont témoins des flux de paquets, elles peuvent être utiles pour faire respecter les protocoles de sécurité et rejeter les protocoles non sécurisés, y compris les versions précédentes de SSL ou les protocoles qui utilisent des chiffrements faibles.

Comment fonctionnent les systèmes de prévention des intrusions?

Les technologies IPS bénéficient d’un accès aux paquets dans le cadre de laquelle elles sont déployées sous forme de systèmes de détection d’intrusion réseau (NIDS) ou de systèmes de détection d’intrusion hôte (HIDS). Quand il s’agit de Network IPS, il ya une vue plus large de l’ensemble du réseau, et il pourrait soit être déployé en ligne dans le réseau ou sur le réseau hors ligne comme un capteur passif qui obtient des paquets à partir d’un réseau TAP ou span port.

La méthode de détection utilisée peut prendre la forme d’une signature ou être basée sur des anomalies. Les signatures prédéfinis sont essentiellement des modèles d’attaques réseau populaires. L’IPS correspond aux flux de paquets avec la signature afin de déterminer si le modèle est le même. Les systèmes de détection des intrusions basés sur des anomalies utilisent l’heuristique pour identifier les menaces, comme la comparaison d’un échantillon de trafic par rapport à une ligne de base connue.

Quelle est la différence entre IDS et IPS ?

Les premières implémentations technologiques ont été déployées en mode détection sur des appareils de sécurité spécifiques. Avec la maturation de la technologie et son mouvement vers des Pare-feu de nouvelle génération ou appareils UTM, l’action par défaut est essentiellement destinée à prévenir le traficmalveillant.

Dans quelques cas, la décision de détecter ou de prévenir le trafic dépend de la confiance dans la protection IPS spécifique. Dans le cas d’une confiance moindre dans une protection ips, il est très probable que de faux positifs sont générés. Un faux positif implique un scénario dans lequel une activité (qui peut être une attaque) est identifiée par l’IDS identifie, bien que l’activité est censée être un comportement acceptable. Par conséquent, plusieurs technologies IPS sont capables de capturer des séquences de paquets à partir de l’événement d’attaque. Ensuite, ceux-ci peuvent être évalués pour décider s’il y avait effectivement une menace, de sorte que la protection ips pourrait être encore améliorée.