Vidéo: Systéme Détection D'intrusion "IDS" (Intrusion System Detection ) Partie1 2025
Les administrateurs réseau doivent implémenter des systèmes de détection d'intrusion (IDS) et les systèmes de prévention des intrusions (IPS) pour fournir une stratégie de sécurité à l'échelle du réseau. IDS et IPS proposent tous deux une suite similaire d'options. En fait, vous pouvez considérer IPS comme une extension d'IDS car un système IPS déconnecte activement les périphériques ou les connexions considérés comme étant utilisés pour une intrusion.
Les périphériques IDS peuvent être des périphériques réseau fonctionnant en tant qu'appareils ou des serveurs distincts exécutant un logiciel qui exécute le rôle IDS, mais ils peuvent également être installés sur des ordinateurs client ou réseau. Ce dernier est souvent appelé système de détection d'intrusion basé sur l'hôte (HIDS).
Ces périphériques peuvent résider dans votre réseau, derrière votre pare-feu, y détecter des anomalies et / ou être placés en dehors de votre pare-feu. Lorsqu'ils se trouvent en dehors de votre pare-feu, ils sont généralement la cible des mêmes attaques que celles qui s'exécutent sur le pare-feu, vous alertant ainsi des attaques lancées contre votre pare-feu.
Cisco propose plusieurs options pour les systèmes IDS et IPS et les offre en tant que systèmes autonomes ou en tant que modules complémentaires pour vos produits de sécurité existants. Voici deux de ces options:
-
Module de services de sécurité Cisco ASA d'inspection et de prévention avancée
-
Module de détection d'intrusion Cisco Catalyst 6500 (IDSM-2)
IDS et IPS disposent de plusieurs méthodes de détection. Comme les virus sur votre réseau, les intrusions et les attaques ont des caractéristiques qui sont enregistrées comme une signature ou un comportement. Ainsi, lorsque le système IPS voit ce type de données ou de comportement, le système IPS peut passer à l'action.
Un comportement suspect peut également déclencher ces systèmes. Ce comportement peut inclure un système distant essayant d'exécuter une commande ping sur chaque adresse de votre sous-réseau dans l'ordre séquentiel et toute autre activité considérée comme anormale. Lorsque le système IPS voit cette activité, l'IPS peut être configuré pour mettre en liste noire ou bloquer le périphérique source, indéfiniment ou pour une période donnée.
L'autre manière dont ces systèmes peuvent identifier le trafic suspect sur votre réseau est de les faire fonctionner en mode apprentissage pendant un certain temps. Au fil des semaines, ils peuvent classer les modèles de trafic réguliers sur votre réseau, puis limiter le trafic à ces modèles établis.
Si vous introduisez un nouveau logiciel sur votre réseau, vous devrez peut-être ajouter manuellement des règles appropriées ou lancer une période d'apprentissage, puis remettre le système en mode Prévention.Cette nécessité est même vraie pour les systèmes basés sur l'hôte car ils mettent à jour leurs règles à partir du serveur de gestion ou de stratégie qui s'exécute sur le réseau.
Ces systèmes aident à prévenir la propagation d'attaques Day Zero,, qui sont de nouveaux virus ou des attaques réseau différentes de toutes les intrusions réseau précédentes. Parce que ces attaques Day Zero sont nouvelles, vous n'avez pas de signature spécifique pour l'attaque; mais l'attaque doit toujours effectuer les mêmes comportements suspects, qui peuvent être détectés et bloqués.
