Les sondes de sécurité IDS/IPS
Différence
IDS/IPS
Les IPS sont souvent considérés comme des IDS de deuxième génération. Bien qu’il s’agisse d’un abus de langage, cette expression traduit bien le fait que les IPS remplacent petit à petit les IDS. Il est pour autant prématuré de dire que les IDS sont morts, comme l’avait prétendu Gartner Group il y a 2 ans .
-
En fait, les IPS ont avant tout été conçus pour lever les limitations des IDS en matière
de réponse à des attaques. Alors qu’un IDS n’a aucun moyen efficace de bloquer une intrusion
, un IPS pourra, de part son positionnement en coupure, bloquer une intrusion en temps réel (voir NIPS).
En effet, le positionnement en coupure, tel un firewall ou un proxy, est le seul mode permettant d’analyser à la volée les données entrantes ou sortantes et de détruire dynamiquement les paquets intrusifs avant qu’ils n’atteignent leur destination. - Une autre limite à laquelle devaient faire face les IDS il y a quelques années était due à leur incapacité à gérer les hauts débits du fait d’une architecture logicielle. Plusieurs constructeurs ont intégré des circuits spécifiques (ASICs) dans leurs sondes IPS, si bien que le débit devient de moins en moins une problématique.
IPS/Firewall
Contrairement à un firewall « traditionnel », un IPS se caractérise par les points suivants :
- il doit être complètement furtif. Ceci implique que les interfaces de la sonde ne doivent pas être visibles (pas d’adresse IP, pas d’adresse MAC) et que l’équipement ne doit pas se comporter comme un proxy ou implémenter des mécanismes de manipulation des adresses (comme NAT par exemple)
- l’IPS analyse l’intégralité des paquets en transit, depuis les couches réseaux jusqu’au niveau applicatif.
Du coté des solutions commerciales, les principaux acteurs du marché de l’IPS sont McAfee (IntruShield, Entercept), ISS (Proventia), Juniper (IDP) et 3COM/TippingPoint (Unity One).