Système de prévention d'intrusion
Cet article est une ébauche concernant la sécurité informatique.
Vous pouvez partager vos connaissances en l’améliorant (comment ?) selon les recommandations des projets correspondants.
Cet article ne cite pas suffisamment ses sources ().
Si vous disposez d'ouvrages ou d'articles de référence ou si vous connaissez des sites web de qualité traitant du thème abordé ici, merci de compléter l'article en donnant les références utiles à sa vérifiabilité et en les liant à la section « Notes et références ».
En pratique : Quelles sources sont attendues ? Comment ajouter mes sources ?
Pour les articles homonymes, voir IPS.
Un système de prévention d'intrusion (ou IPS, intrusion prevention system) est un outil des spécialistes en sécurité des systèmes d'information, similaire aux systèmes de détection d'intrusion (ou IDS, intrusion detection system), permettant de prendre des mesures afin de diminuer les impacts d'une attaque. C'est un IDS actif, il peut par exemple détecter un balayage automatisé malveillant, et bloquer les ports.
Les IPS peuvent donc parer les attaques connues et inconnues. Comme les IDS, ils ne sont pas fiables à 100 % et risquent même en cas de faux positif de bloquer du trafic légitime.
Fonctionnement des IPS
Types d'IPS
- Les HIPS (host-based intrusion prevention system, système de prévention des intrusions basées sur l'hôte) qui sont des IPS permettant de surveiller le poste de travail, ou le serveur, à travers différentes techniques, ils surveillent les processus, les pilotes, les .dll etc. En cas de détection de processus suspect le HIPS peut le tuer pour mettre fin à ses agissements. Les HIPS peuvent donc protéger des attaques de buffer overflow.
- Les NIPS (network intrusion prevention system, système de prévention des intrusions par le réseau) sont des IPS permettant de surveiller le trafic réseau, ils peuvent prendre des mesures telles que terminer une session TCP. Une déclinaison en WIPS (wireless intrusion prevention system, système de prévention des intrusions sans fil) est parfois utilisée pour évoquer la protection des réseaux sans-fil.
- Il existe aussi les KIPS (kernel intrusion prevention system), système de prévention des intrusions du noyau) qui permettent de détecter toutes tentatives d'intrusion au niveau du noyau du système d'exploitation, mais ils sont moins utilisés.
Techniques de détection d'intrusion
Inconvénients de l'IPS
Les IPS ne sont pas des logiciels miracle qui vous permettront de surfer en toute quiétude sur le net. Voici quelques-uns de leurs inconvénients :
- Ils bloquent tout ce qui parait infectieux à leurs yeux, mais n'étant pas fiable à 100 % ils peuvent donc bloquer malencontreusement des applications ou des trafics légitimes.
- Ils laissent parfois passer certaines attaques sans les repérer.
- Ils sont peu discrets et peuvent être découverts lors de l'attaque d'un pirate qui une fois qu'il aura découvert l'IPS s'empressera de trouver une faille dans ce dernier pour le détourner et arriver à son but.
Références
- (en) Cet article est partiellement ou en totalité issu de l’article de Wikipédia en anglais intitulé « Intrusion_prevention_system » (voir la liste des auteurs).
- David Burgermeister et Jonathan Krier, « Les systèmes de détection d'intrusions » [PDF], developpez.com,
Voir aussi
Articles connexes
- Système de détection d'intrusion (IDS)
- Systèmes de détection et de prévention d'intrusions dans les systèmes distribués
- Systèmes de détection et de prévention des intrusions pour les systèmes industriels et l'internet des objets
Liens externes
- Les IPS, sur le wiki de la communauté officielle ubuntu française
- (fr) IDS, IPS, DLP : il faut l'autorisation de la CNIL Une explication sur les obligations juridiques liées à la mise en place de systèmes de détection d'intrusion.
