Objectifs de certification

CCNA 200-301

  • 1.1 Expliquer le rôle et la fonction des composants réseau

    • 1.1.a Routers
    • 1.1.b Commutateurs (switches) L2 et L3
    • 1.1.c Pare-feu NG (Next-generation firewalls) et IPS
    • 1.1.d Point d’accès (Access points)
    • 1.1.e Controlleurs (Cisco DNA Center and WLC)
    • 1.1.f Points terminaux (Endpoints)
    • 1.1.g Serveurs

ENCOR 350-401

  • 5.5 Describe the components of network security design

    • 5.5.a Threat defense
    • 5.5.b Endpoint security
    • 5.5.c Next-generation firewall
    • 5.5.d TrustSec, MACsec
    • 5.5.e Network access control with 802.1X, MAB, and WebAuth

Concepts IDS IPS

“IDS” et “IPS” sont des objets connexes aux pare-feu dans le rôle de filtrage de sécurité des réseaux. Ils sont le résultat d’une évolution technologique. Un “IDS” détecte des intrusions et il devient “IPS” quand il est capable d’y réagir automatiquement.

Symbole d'IDS/IPS

1. Distinction entre pare-feu et IDS/IPS

Bien qu’ils soient tous deux liés à la sécurité du réseau, un IDS se distingue d’un pare-feu en ce sens qu’un pare-feu surveille les intrusions vers l’extérieur afin de les empêcher de se produire. Les pare-feu limitent l’accès entre les réseaux pour prévenir les intrusions et ne signalent pas une attaque de l’intérieur du réseau. Un IDS décrit une intrusion suspectée une fois qu’elle a eu lieu et signale une alarme. Un IDS surveille également les attaques provenant de l’intérieur d’un système. On y parvient traditionnellement en examinant les communications réseau, en identifiant les heuristiques et les modèles (souvent connus sous le nom de signatures) des attaques informatiques courantes et en prenant des mesures pour alerter les opérateurs. Un système qui termine les connexions s’appelle un système de prévention des intrusions et effectue le contrôle d’accès comme un pare-feu de couche d’application.

2. IDS (système de détection d’intrusion)

Un système de détection d’intrusion (IDS) est un dispositif ou une application logicielle qui surveille un réseau ou des systèmes pour déceler toute activité malveillante ou toute violation de politique de sécurité. Toute activité malveillante ou violation est généralement signalée à un administrateur ou est recueillie de façon centralisée au moyen d’un système de gestion des informations et des événements de sécurité (SIEM). Un système SIEM combine des sorties provenant de sources multiples et utilise des techniques de filtrage des alarmes pour distinguer les activités malveillantes des fausses alarmes.

3. IPS (systèmes de prévention des intrusions)

Les systèmes de prévention des intrusions (IPS), également connus sous le nom de systèmes de détection et de prévention des intrusions (IDPS), sont des dispositifs de sécurité réseau qui surveillent les activités du réseau ou du système pour détecter toute activité malveillante. Les principales fonctions des systèmes de prévention des intrusions sont d’identifier les activités malveillantes, d’enregistrer des informations sur ces activités, de les signaler et de tenter de les bloquer ou de les arrêter.

4. Classification des IPS

Les systèmes de prévention des intrusions peuvent être classés en quatre types différents :

  1. Système de prévention des intrusions en réseau (NIPS) : surveille l’ensemble du réseau à la recherche de trafic suspect en analysant l’activité du protocole.
  2. Système de prévention des intrusions sans fil (WIPS) : surveille un réseau sans fil pour détecter tout trafic suspect en analysant les protocoles de réseau sans fil.
  3. Analyse du comportement du réseau (NBA) : examine le trafic réseau pour identifier les menaces qui génèrent des flux de trafic inhabituels, telles que les attaques par déni de service distribué (DDoS), certaines formes de logiciels malveillants et les violations de règles.
  4. Système de prévention des intrusions basé sur l’hôte (HIPS) : un logiciel installé qui surveille l’activité suspecte d’un seul hôte en analysant les événements qui se produisent sur cet hôte. Il est capable de reporter des alertes ou d’y réagir lui-même.

5. Méthodes de détection des IPS

La majorité des systèmes de prévention des intrusions utilisent l’une des trois méthodes de détection suivantes : l’analyse basée sur la signature, l’analyse statistique des anomalies et l’analyse du protocole dynamique.

  1. Détection basée sur les signatures : L’IDS basé sur les signatures surveille les paquets dans le réseau et compare avec les modèles d’attaque pré-configurés et prédéterminés connus sous le nom de signatures.
  2. Détection statistique basée sur les anomalies : Un IDS basé sur les anomalies surveillera le trafic réseau et le comparera à une base de référence établie. La ligne de base identifiera ce qui est “normal” pour ce réseau - quel type de bande passante est généralement utilisé et quels protocoles sont utilisés. Elle peut cependant déclencher une alarme de faux positif pour une utilisation légitime de la bande passante si les lignes de base ne sont pas configurées intelligemment.
  3. Détection d’analyse de protocole dynamique : Cette méthode identifie les déviations des états du protocole en comparant les événements observés avec des “ profils prédéterminés de définitions généralement acceptées de l’activité bénigne “.

6. IDS/IPS Snort

Snort est capable d’effectuer aussi en temps réel des analyses de trafic et d’auditer les paquets sur un réseau IP. Il peut effectuer des analyses de protocole, des recherches de correspondance de contenu et peut être utilisé pour détecter une grande variété d’attaques et de sondes comme des dépassements de tampon, des scans, des attaques sur des applications, des essais d’emprunte d’OS et bien plus.

Snort se fonde sur des règles pour effectuer ces analyses. Celles-ci sont écrites par Sourcefire ou bien fournies par la communauté. Snort est disponible avec certaines règles de base mais cependant, comme tout logiciel, Snort n’est pas infaillible et demande donc une mise à jour régulière.

Snort peut également être utilisé avec d’autres projets open sources tels que SnortSnarf, ACID, sguil et BASE (qui utilise ACID) afin de fournir une représentation visuelle des données concernant les éventuelles intrusions.

Source : https://fr.wikipedia.org/wiki/Snort

7. IDS/IPS Sourcefire

https://www.cisco.com/c/en/us/services/acquisitions/sourcefire.html

Sourcefire (NASDAQ : FIRE) est une société américaine fondée en 2001 par Martin Roesch, le créateur du logiciel IDS libre Snort.

En octobre 2005, La société israélienne Check Point a tenté d’acquérir Sourcefire pour 225 millions de dollars US, mais en mars 2006 le CFIUS a suspendu la transaction en invoquant des raisons de sécurité nationale.

En 2007, Sourcefire acquiert le projet de logiciel antivirus libre ClamAV, cela a provoqué une crainte dans la communauté de l’antivirus.

Le 23 juillet 2013 Cisco annonce avoir fait l’acquisition de Sourcefire pour un montant de 2,7 milliards de dollars.

Source : https://fr.wikipedia.org/wiki/Sourcefire

8. IDS/IPS Surricata

9. Emplacement et méthodes de déploiement

  • HIPS sur l’hôte
  • Emplacement du NIPS
  • NIPS embarqué ou autogéré (dimensionnement, déploiement)

10. Dernières notes sur les IPS

Source Intrusion detection system

Snort + Barnyard2 + Pulledpork → The easy way! https://joanbono.github.io/Snorter

Modern Honey Network