Intrusion Prevention System (IPS) : de quoi s’agit-il ?
Un Intrusion Prevention System peut être intéressant pour compléter un pare-feu. Il propose les mêmes fonctions de surveillance et d’analyse qu’un IDS, mais il peut aussi agir par lui-même pour repousser les menaces, contrairement à ce dernier.
Que signifie l’acronyme « IPS » ?
La plupart des utilisateurs considèrent le pare-feu comme une méthode éprouvée permettant de protéger leur système ou réseau contre les attaques extérieures. Dans de nombreux cas, un système de prévention d’intrusion (ou IPS) approprié est recommandé en complément de ce mécanisme de protection. Le fonctionnement du système se décompose en deux étapes. En premier lieu, il remplit les fonctions d’un système de détection d’intrusion (ou IDS) et assure la surveillance, en fonction de son type, de l’hôte, du réseau ou de ces deux éléments, et ce, de manière à détecter rapidement toute action non autorisée. À cette fin, il crée des modèles qu’il compare au véritable trafic de données. La deuxième étape est déclenchée dès lors que le système de prévention d’intrusion détecte une menace. L’IPS peut alors prendre lui-même les mesures qui s’imposent pour la contrer.
Il s’agit là de sa principale différence avec un IDS, celui-ci se contentant d’avertir l’administrateur en cas de problème. Pour sa part, le système de prévention d’intrusion intervient activement et bloque les paquets de données suspects ou interrompt les connexions dangereuses. Il est tout d’abord important que le système de prévention d’intrusion soit correctement configuré, de manière à ce que tous les dangers soient écartés et à ce que le bon fonctionnement du flux de travail conforme ne soit pas entravé. Ensuite, l’IPS doit travailler en étroite collaboration avec le pare-feu pour garantir la meilleure protection possible. Pour y parvenir, le système de prévention d’intrusion se place, de manière générale, juste derrière le pare-feu ; à l’aide de capteurs, il évalue les données système et les paquets du réseau de la manière la plus exhaustive qui soit.
Quels sont les différents types d’Intrusion Prevention Systems ?
Il existe différents types de systèmes de prévention d’intrusion. Leurs différences tiennent principalement au fait qu’ils ne s’utilisent pas au même endroit.
- Systèmes de prévention d’intrusion basés sur l’hôte : les IPS basés sur l’hôte (ou HIPS) s’installent directement sur un terminal, et se contentent de surveiller les données entrantes et sortantes. Ainsi, ils ne peuvent donc fonctionner et repousser toute attaque potentielle que sur l’appareil concerné ; pour cette raison, les HIPS sont souvent combinés à d’autres méthodes, adeptes d’une approche plus large. Le système de prévention d’intrusion basé sur l’hôte agit alors comme une dernière mesure de protection.
- Systèmes de prévention d’intrusion par le réseau : les IPS par le réseau (ou NIPS) peuvent être mis en place à différents emplacements d’un réseau. Ainsi, il leur incombe de contrôler autant que possible l’ensemble des paquets de données envoyés au sein de celui-ci. À cette fin, ils sont installés par l’intermédiaire d’un appareil distinct, ou dans un pare-feu ; tous les systèmes connectés au réseau peuvent alors être analysés, mais aussi protégés.
- Systèmes de prévention d’intrusion sans fil : les WIPS (pour Wireless Intrusion Prevention System) sont conçus spécialement pour être utilisés au sein d’un réseau sans fil. En cas d’accès non autorisé, l’IPS se charge de repérer l’appareil concerné et de l’empêcher d’accéder au réseau.
- Systèmes de prévention d’intrusion basés sur le comportement : pour lutter contre les attaques DDoS, la méthode NBA (pour Network Behavior Analysis, analyse du comportement du réseau) semble tout indiquée. Avec celle-ci, vous pouvez surveiller l’ensemble du trafic de données et détecter toute attaque avant qu’elle ait lieu, de manière à mieux l’éviter.
Comment fonctionne un Intrusion Prevention System ?
La mission d’un système de prévention d’intrusion se décompose en deux parties. Premièrement, le système doit commencer par détecter, préfiltrer, analyser et signaler toute menace potentielle. Sur ce point, le fonctionnement de l’IPS est plutôt semblable à celui d’un système de détection d’intrusion. Deuxièmement, le système de prévention d’intrusion peut aussi intervenir directement en cas de menace, et donc appliquer ses propres mesures d’urgence pour contrer le danger. Quel que soit le cas, l’IPS dispose de différentes méthodes.
Méthodes d’analyse d’un IPS
- Détection des anomalies : pour la détection d’anomalies, les comportements au sein du réseau ou au niveau d’un terminal sont comparés à une norme bien définie. Si d’importants écarts sont constatés par rapport à la norme, alors le système de prévention d’intrusion peut prendre les mesures qui s’imposent pour y remédier. Toutefois, en fonction des réglages choisis, cette méthode est aussi susceptible d’être à l’origine de nombreuses fausses alertes ; c’est l’une des raisons pour lesquelles les systèmes modernes font de plus en plus souvent appel à l’intelligence artificielle (ou IA) pour réduire considérablement ces taux d’erreur.
- Détection des attaques : cette méthode consiste à analyser les paquets de données de manière à repérer toute forme d’attaque déjà connue. Avec les systèmes de prévention d’intrusion de ce type, les résultats obtenus en matière de détection des anciennes menaces sont plutôt convaincants, celles-ci étant identifiées avec un haut degré de probabilité. Néanmoins, cette approche ne convient pas aux nouveaux types d’attaques n’étant pas encore connus.
- IPS basé sur des stratégies : le système de prévention d’intrusion basé sur des stratégies se rencontre beaucoup plus rarement que les deux méthodes exposées ci-dessus. Pour l’utiliser, il convient avant tout de configurer des stratégies de sécurité à la fois spéciales et individuelles ; celles-ci servent alors de base à la surveillance du système concerné.
Mécanismes de défense d’un IPS
Le système de prévention d’intrusion fonctionne en temps réel, sans ralentir le flux de données. S’il détecte une menace à l’aide des méthodes de surveillance présentées ci-dessus, l’IPS peut choisir de se tourner vers différentes options. Si la menace reste relativement inoffensive, il se contente d’en notifier l’administrateur, comme le fait l’IDS ; celui-ci décide alors des mesures qu’il convient de prendre. Toutefois, dans les cas les plus graves, le système de prévention d’intrusion intervient par lui-même. Il est par exemple en mesure d’interrompre et de réinitialiser les voies de transmission, de bloquer les sources ou les sites cibles, voire de rejeter complètement certains paquets de données.
Quels sont les avantages d’un Intrusion Prevention System ?
En utilisant un système de prévention d’intrusion de façon ciblée, vous pouvez profiter de nombreux avantages. La mise en œuvre d’un tel système vous permet en effet de bénéficier d’une dimension de protection supplémentaire. Un IPS est capable de détecter de nombreux risques qui demeurent invisibles pour d’autres outils. Grâce à son préfiltrage, le système de prévention d’intrusion soulage aussi les autres mécanismes, ce qui permet de préserver l’ensemble de l’architecture. Il est également nécessaire de préciser que les différentes possibilités de configuration vous permettent d’adapter votre IPS de manière à ce qu’il réponde exactement à vos besoins. Si cette configuration est effectuée correctement, le système fonctionne alors de manière autonome, ce qui vous permet de gagner du temps.
Quels sont les inconvénients d’un Intrusion Prevention System ?
Si vous l’utilisez correctement, votre système de prévention d’intrusion peut vous rendre de précieux services, mais aussi améliorer considérablement la sécurité de votre réseau. Toutefois, cette méthode comporte aussi quelques inconvénients (potentiels). Nous avons déjà mentionné certains points faibles dans le domaine de la détection des anomalies et des attaques, mais les principaux inconvénients concernent les exigences en matière de configuration matérielle. Généralement, les besoins en ressources d’un système de prévention d’intrusion sont très élevés, sans compter qu’ils sont proportionnels à la taille du réseau concerné. Pour obtenir une véritable valeur ajoutée, il faut donc que vos capacités correspondent à vos besoins. De plus, ces systèmes ne sont pas simples à configurer, surtout si vous débutez. Attention : une mauvaise configuration peut faire apparaître des problèmes au sein du réseau.
- Protection contre les attaques par ransomware
- Analyses antivirus régulières
- Sauvegardes automatiques et restaurations faciles
DenyHosts : le meilleur IPS contre la force brute
DenyHosts est une option intéressante dans le domaine de la lutte contre les attaques par force brute. Ce système de prévention d’intrusion open source a été écrit en Python. Il s’occupe de surveiller les tentatives de connexion SSH et de bloquer les adresses correspondantes s’il enregistre de trop nombreuses tentatives ratées. Vous pouvez accéder au référentiel GitHub officiel de DenyHosts.