Qu'est-ce qu'un système de prévention des intrusions?
Les systèmes de prévention des intrusions (IPS) sont parmi les mesures de sécurité réseau les plus importantes qu'un réseau puisse avoir. Les IPS sont ce que l'on appelle un système de contrôle, car il détecte non seulement les menaces potentielles pour un système de réseau et son infrastructure, mais cherche à bloquer activement toutes les connexions qui peuvent constituer une menace. Ceci est différent des protections plus passives comme les systèmes de détection d'intrusion.
Qu'est-ce que la technologie IPS?
Un système de prévention des intrusions surveille en permanence le trafic réseau, en particulier au niveau des paquets individuels , pour rechercher d'éventuelles attaques malveillantes. Il collecte des informations sur ces paquets et les signale aux administrateurs système, mais il effectue également ses propres actions préventives. Si un IPS détecte un malware potentiel ou un autre type d'attaque vindicative, il empêchera ces paquets d'accéder au réseau.
Il peut également prendre d'autres mesures, telles que la suppression des failles dans la sécurité du système qui pourraient être continuellement exploitées. Il peut fermer des points d'accès à un réseau et configurer des pare-feu secondaires pour rechercher ces types d'attaques à l'avenir, ajoutant des couches de sécurité supplémentaires aux défenses du réseau.
Quels types d'attaques IPS peut-il empêcher?
Les systèmes de prévention des intrusions peuvent rechercher et protéger contre une variété d'attaques malveillantes potentielles. Ils ont la capacité de détecter et de bloquer les attaques par déni de service (DoS), les attaques par déni de service distribué (DDoS) , les kits d'exploitation, les vers , les virus informatiques et d'autres types de logiciels malveillants
Que fait IPS s'il détecte une attaque?
Un système de prévention des intrusions peut détecter diverses attaques en analysant les paquets et en recherchant des signatures de logiciels malveillants particuliers, mais il peut également tirer parti du suivi comportemental pour rechercher une activité anormale sur un réseau, ainsi que pour surveiller tous les protocoles et politiques de sécurité administrative, et s'ils sont violés .
Si l'une de ces méthodes de détection découvre une attaque potentielle, un IPS peut immédiatement mettre fin à la connexion dont il provient. L'adresse IP incriminée peut ensuite être bloquée si l'IPS est configuré pour le faire, ou si l'utilisateur qui lui est associé ne peut plus accéder au réseau et aux ressources connectées.
Un IPS peut également modifier les paramètres du pare-feu local pour rechercher à nouveau de telles attaques, et peut même supprimer les restes d'une attaque en supprimant les en-têtes affectés par les logiciels malveillants, les pièces jointes infectées et les liens malveillants des serveurs de fichiers et de messagerie.
IDS vs IPS
Les systèmes de détection d'intrusion (IDS) et les systèmes de prévention des intrusions (IPS) peuvent tous deux être liés à la sécurité, mais ils ont des objectifs et des moyens complètement différents à cette fin.
Il existe de nombreux types d'IDS et d'IPS et ils fonctionnent tous un peu différemment. Pour IDS, il existe des systèmes de détection d'intrusion réseau (NIDS) qui se trouvent à des points stratégiques d'un réseau pour détecter les attaques potentielles lorsqu'elles se poursuivent au sein du réseau. Les systèmes HIDS ou hôtes de détection d'intrusion s'exécutent sur des systèmes et des périphériques individuels et ne surveillent que l'activité sur le réseau à destination et en provenance de ce système particulier.
Dans les deux cas, les IDS qui découvrent une attaque potentielle en informeront les administrateurs système.
En revanche, les systèmes IPS joueront un rôle similaire à IDS - et peuvent être utilisés en conjonction avec eux pour une plus grande surveillance du réseau - mais joueront un rôle plus actif dans la protection du réseau. Ils informeront également les administrateurs si des attaques sont détectées, mais ils prendront également des mesures punitives contre les systèmes, les comptes individuels ou les failles de pare-feu pour s'assurer que l'attaque est bloquée et tous les fichiers associés supprimés du réseau.
Comme leur nom l'indique, les systèmes de détection d'intrusion sont conçus pour vous faire savoir si et quand une attaque se produit afin que vous puissiez traiter manuellement le problème. Les systèmes de prévention des intrusions sont conçus pour protéger activement votre système contre les attaques et empêcher de futures attaques en ajustant les paramètres du réseau.