IDS et IPS

Def et fonctionnement :

Intrusion Detection System :

Un IDS est un système de diagnostique qui est capable de lancer des alertes en cas de problème.
Il existe deux types de détections :

• Signature : la détection est basée sur des signatures un peu comme les malware, cela permet de définir de manière précise le type d'alertes détectée
• Anomalie : ce système est plus efficace car il détecte des comportements
  Il existe de nombreux IDS en fonction du type de système qu'il surveille (protocol, application, hybride)

Intrusion Prevention System :

Un IPS embarque les même fonctionnalités qu'un IDS, mais dispose en plus de la capacité à répondre à une détection. Il existe de nombreux types d'IPS dont les suivants :

• NIPS : network-based IPS : système qui surveille et protège l'entièreté du système d'une entreprise
• WIPS : Wireless IPS : similaire à un NIPS, simplement il se focalise sur le réseau sans fil
• HIPS : host-based IPS : déployé sur des devices ou hosts critiques. Le système surveille et analyse le traffic qui passe à travers
• NBA : Ce système surveille le réseau à la recherche de comportements étrangge ce qui protège par exemple contre le DDoS.

Cas d'usages :

Aujourd'hui, les IPS sont absolument cruciaux et s'ajoutent au firewall. Ils permettent de lutter contre les attaques connues, particulièrement ceux qui analysent les anomalies qui complémentent les firewall.