Système de prévention d'intrusion

Cet article est une ébauche concernant la sécurité informatique. Vous pouvez partager vos connaissances en l’améliorant (comment ?) selon les recommandations des projets correspondants.

Un système de prévention d'intrusion (ou IPS, Intrusion Prevention System) est un outil des spécialistes en sécurité des systèmes d'information, similaire aux IDS, permettant de prendre des mesures afin de diminuer les impacts d'une attaque. C'est un IDS actif, il détecte un balayage automatisé, l'IPS peut bloquer les ports automatiquement. Les IPS peuvent donc parer les attaques connues et inconnues. Comme les IDS, ils ne sont pas fiables à 100 % et risquent même en cas de faux positif de bloquer du trafic légitime.

Fonctionnement des IPS [modifier]

Types d'IPS [modifier]

• Les HIPS (Host-based Intrusion Prevention System) qui sont des IPS permettant de surveiller le poste de travail à travers différentes techniques, ils surveillent les processus, les drivers, les .dll etc. En cas de détection de processus suspect le HIPS peut le tuer pour mettre fin à ses agissements. Les HIPS peuvent donc protéger des attaques de buffer overflow.

• Les NIPS (Network Intrusion Prevention System) sont des IPS permettant de surveiller le trafic réseau, ils peuvent prendre des mesures telles que terminer une session TCP. Une déclinaison en WIPS (Wireless Intrusion Prevention System) est parfois utilisée pour évoquer la protection des réseaux sans-fil.

• Il existe aussi les KIPS (Kernel Intrusion Prevention System) qui permettent de détecter toutes tentatives d'intrusion au niveau du noyau, mais ils sont moins utilisés.

Les techniques de détection d'intrusion [modifier]

Les inconvénients de l'IPS [modifier]

Les IPS ne sont pas des logiciels miracle qui vous permettront de surfer en toute quiétude sur le net. Voici quelques-uns de leurs inconvénients :

• Ils bloquent tout ce qui parait infectieux à leurs yeux, mais n'étant pas fiable à 100 % ils peuvent donc bloquer malencontreusement des applications ou des trafics légitimes.
• Ils laissent parfois passer certaines attaques sans les repérer, et permettent donc aux pirates d'attaquer un PC.
• Ils sont peu discrets et peuvent être découverts lors de l'attaque d'un pirate qui une fois qu'il aura découvert l'IPS s'empressera de trouver une faille dans ce dernier pour le détourner et arriver à son but.

Solutions IPS [modifier]

Cet article ou cette section a trop de liens externes. Les liens externes doivent être des sites de référence dans le domaine du sujet. Il est souhaitable — si cela présente un intérêt — de citer ces liens comme source et de les enlever du corps de l'article ou de la section « Liens externes ».

Libres et OpenSource [modifier]

(Liste triée alphabétiquement)

• Bro (Bro IDS - open source)
• OSSEC (OSSEC HIPS - open source)
• Snort - Inline (IPS reseau) : snort en plus d'être un IDS est également un IPS.
• Winpooch (Winpooch - open source)

Propriétaires [modifier]

(Liste triée alphabétiquement)

• Arkoon Network Security
• Checkpoint
• Cisco Systems
• Cyberoam [1]
• Demarc Security Inc.
• Forescout INC.
• Fortinet
• HP TippingPoint
• Huawei
• Internet Security Systems
• Intrusion Inc.
• Juniper
• Lucid Security
• McAfee
• NetASQ
• NFR Security
• NitroSecurity Inc.
• Nortel
• PaloAltoNetworks Inc.
• Radware
• Reflex Security
• Sonicwall
• Sourcefire
• Stonesoft
• Third Brigade
• TopLayer

Sources [modifier]

• (fr) http://dbprog.developpez.com/securite/ids/IDS.pdf
• (en) http://en.wikipedia.org/wiki/Intrusion_prevention_system

Voir aussi [modifier]

Articles connexes [modifier]

• Système de détection d'intrusion (IDS)

Liens externes [modifier]

• Les IPS, sur le wiki de la communauté officielle ubuntu française
• (fr) IDS, IPS, DLP : il faut l'autorisation de la CNIL Une explication sur les obligations juridiques liées à la mise en place de systèmes de détection d'intrusion.

• Portail de la sécurité informatique