Les définitions et les différences entre une Firewall, un IDS et un IPS deviennent de plus en plus flou à mesure que les capacités technologiques de ces dispositifs augmentent, que les menaces évoluent et que les appellations commerciales deviennent de plus en plus attractives.
Différences
Les différences principales entre ces dispositifs résident dans le fait que le firewall effectue des actions telles que le blocage et le filtrage du trafic alors qu’un IPS va détecter et donner une alerte et un IDS directement empêcher une attaque. On peut dire que les IDS et IPS sont des compléments technologiques aux firewalls.
Notons que depuis certain temps les firewalls (matériels surtout) embarquent directement des IDS et des IPS.
Firewall (Pare-feu)
Les firewalls ne font que filtrer selon des règles
Un firewall est un périphérique ou une application qui autorise le trafic en fonction d’un ensemble de règles configurées. Il analyse les en-têtes de paquet et applique une politique prédéfinie en fonction du type de protocole, de l’adresse source, de l’adresse de destination, du port source et / ou du port de destination. Un pare-feu peut refuser tout trafic ne répondant pas à des critères spécifiques. Les paquets qui ne correspondent pas à la politique sont rejetés.
Exemples logiciels : Netfilter, Zone Alarm, …
Exemples matériels : Cisco, Fortinet, Juniper, NetASQ, …
Les IDS, Intrusion Detection System
Les IDS détectent des événements sur le réseau ou sur un hôte pouvant être malveillant et les signalent
Un IDS (Système de détection d’intrusion) est un dispositif passif ou une application passive qui surveille et analyse des paquets entiers, en-tête et charge utile, traversant le réseau et les compare aux modèles de signatures connues. Il déclenche une alarme lorsqu’il détecte une activité suspecte.
Les activités suspectes pouvant être par exemple des tentatives d’intrusion, des attaques virales, un débit trop important, un trafic suspect.
Les NIDS
Les NIDS (Network Intrusion Detection System) surveillent l’état de la sécurité du réseau en analysant le trafic (les paquets). Si un NIDS détecte une menace il lance une alerte (qui peut servir à entreprendre des actions de blocage). Il est entièrement passif et ne voit qu’une copie du trafic du réseau à surveiller, il ne peut donc pas communiquer avec ce dernier. Il est situé sur un réseau isolé.
Les HIDS
Les HIDS (Host Intrusion Detection System) surveillent l’état de sécurité sur une seule machine en se basant sur les journaux système et analyse l’activité de l’hôte (nombres de processus, d’utilisateurs ou de ressources consommées), l’activité de l’utilisateur lui-même (Horaires, durée de connexion, commandes utilisées, programmes activités) et toutes activités suspectes (Vers, virus, trojans).
Exemples de HIDS : Snort
Un NIDS Master récupère les informations des HIDS et les analyses.
Avantages et Inconvénients des IDS
Les IDS utilisent le mode promiscuité (en écoute)
| Avantages | Inconvénients |
|---|---|
| Pas d’impact sur le réseau (latence, gigue) | Nécessite un bon réglage pour une réaction rapide en cas d’attaque |
| Pas d’impact en cas de défaillance de la sonde | Nécessite une bonne politique de sécurité |
| Ne peut pas stopper des paquets d’initiation de connexion | Plus vulnérable aux attaques de type “flooding” |
| La sonde n’est pas visible pour un attaquant (en théorie) |
Les IPS, Intrusion Prevention System
Les IPS appliquent une politique de blocage précise en fonction de la lecture des logs
Un IPS (Système de prévention d’intrusions) est un dispositif actif ou une application active qui analyse des paquets entiers, en-tête et charge utile, à la recherche d’événements connus. Lorsqu’un événement connu est détecté, le paquet est rejeté.
Ils sont positionnés en coupure, à l’inverse des IDS qui analysent une copie du trafic, les IPS sont directement positionnés sur le réseau et le trafic passe directement à travers eux. L’IPS va donc analyser et stopper en temps réel le trafic suspect.
Les NIPS
Les NIPS (Network Intrusion Prevention System) analysent le trafic réseau en s’appuyant sur une base de données de signatures d’attaques pour bloquer les flux malveillants.
Les HIPS
Les HIPS (Host Intrusion Prevention System) surveillent les différents éléments (Processus, drivers, DLL, etc.) des machines hôtes et bloquent les activités suspectes.
Exemples de HIPS : Fail2ban, Sshguard, Denyhosts
Avantages et Inconvénients des IPS
Les IPS utilisent le mode coupure (ils bloquent le trafic)
| Avantages | Inconvénients |
|---|---|
| Stoppe les paquets d’initiation de connexion | Une défaillance de la sonde peut affecter le réseau |
| Peut stopper les attaques de type “flooding” | La surcharge de trafic sur la sonde impactera le réseau |
| Nécessite une bonne politique de sécurité | |
| Quelques impacts sur le réseau (latence, gigue) | |
| La sonde est visible et en première ligne pour un attaquant) |
Les EDR
EDR pour Endpoint detection and response peuvent détecter les menaces qui existent dans votre environnement réseau et y répondre. Ils peuvent analyser la nature de la menace et fournir des informations sur la manière dont elle a été initiée, les parties de votre réseau qu’elle a attaquées, ce qu’elle est en train de faire et comment stopper l’attaque.
Documentations
https://security.stackexchange.com/questions/44931/difference-between-ids-and-ips-and-firewall#45045
http://igm.univ-mlv.fr/~dr/XPOSE2009/Sonde_de_securite_IDS_IPS/IDS.html
https://blog.varonis.fr/ids-et-ips-en-quoi-sont-ils-differents/
https://www.youtube.com/watch?v=bG8Xb02Lrs4
https://www.fortinet.com/resources/cyberglossary/what-is-edr