IDS/IPS et détection d'intrusions
Définition
Un IDS (Intrusion Detection System) surveille le trafic réseau ou l'activité d'un hôte et alerte en cas de comportement suspect. Un IPS (Intrusion Prevention System) fait la même chose mais peut aussi bloquer le trafic malveillant en temps réel. Ce sont des composants essentiels de la défense en profondeur.
Contexte
Les pare-feux filtrent selon des règles statiques (adresses, ports), mais ne détectent pas les attaques sophistiquées à l'intérieur du trafic autorisé (exploits applicatifs, malware dans HTTP). L'IDS/IPS complète le pare-feu en inspectant le contenu des paquets. La certification CCST couvre les concepts fondamentaux de la détection d'intrusions.
Détails techniques
IDS vs IPS
| Critère | IDS | IPS |
|---|---|---|
| Positionnement | Hors bande (copie du trafic via SPAN/TAP) | En ligne (dans le flux de trafic) |
| Action | Détecte et alerte | Détecte, alerte et bloque |
| Impact sur le réseau | Aucun (passif) | Peut ajouter de la latence |
| Risque de faux positif | Alerte inutile | Blocage légitime du trafic (plus critique) |
| Déploiement typique | Monitoring, audit | Protection active en production |
Méthodes de détection
| Méthode | Description | Forces | Faiblesses |
|---|---|---|---|
| Signature-based | Compare le trafic à une base de signatures connues (comme un antivirus) | Précis pour les attaques connues, peu de faux positifs | Ne détecte pas les attaques inconnues (zero-day) |
| Anomaly-based | Établit un profil de trafic normal (baseline) et détecte les déviations | Peut détecter des attaques inconnues | Plus de faux positifs, nécessite un apprentissage |
| Policy-based | Détecte les violations de règles définies par l'administrateur | Personnalisable | Limité à ce qui est explicitement défini |
| Reputation-based | Bloque les sources connues comme malveillantes (IP, domaines) | Rapide, efficace contre les botnets | Dépend de la qualité des bases de réputation |
Types de déploiement
| Type | Périmètre | Exemple |
|---|---|---|
| NIDS / NIPS (Network) | Surveille tout le trafic d'un segment réseau | Cisco Firepower, Snort, Suricata |
| HIDS / HIPS (Host) | Surveille l'activité d'un hôte spécifique (fichiers, processus, logs) | OSSEC, Tripwire |
| Wireless IDS/IPS | Surveille le spectre radio pour détecter les rogue APs, evil twins | Cisco WLC avec CleanAir |
Architecture typique NIPS
Internet ──▶ Pare-feu ──▶ [IPS en ligne] ──▶ Réseau interne
│
Signatures + Anomaly engine
│
Console de gestion (alertes, logs, rapports)
Cisco Firepower (NGIPS)
Cisco Firepower est la plateforme Next-Generation IPS de Cisco, combinant :
- IPS basé sur Snort (signatures + anomalies)
- AMP (Advanced Malware Protection) — analyse de fichiers, sandboxing
- URL filtering — blocage par catégorie de site
- Application Visibility and Control (AVC)
- Gestion centralisée via Firepower Management Center (FMC)
Gestion des faux positifs et des faux négatifs
| Terme | Description | Impact |
|---|---|---|
| Faux positif | Trafic légitime identifié à tort comme malveillant | Blocage de services, perte de productivité |
| Faux négatif | Attaque non détectée | Compromission non détectée |
| Vrai positif | Attaque correctement détectée | Objectif idéal |
| Vrai négatif | Trafic légitime correctement autorisé | Fonctionnement normal |
Tuning : ajuster les signatures, les seuils et les exceptions pour minimiser les faux positifs sans augmenter les faux négatifs. C'est un processus continu.
Exemple concret
Scénario : une université déploie un Cisco Firepower NGIPS pour protéger son réseau campus.
- Le Firepower est placé en ligne entre le pare-feu périmétrique et le réseau interne.
- Les signatures Snort sont mises à jour quotidiennement (Talos Intelligence).
- Un étudiant tente d'exploiter une vulnérabilité Apache Struts (CVE connue) sur un serveur web interne.
- Le NIPS détecte la signature d'exploit → le paquet est droppé et une alerte est envoyée au FMC.
- L'administrateur consulte la console : source IP, destination, signature déclenchée, payload extrait.
- Sur la première semaine, 15 faux positifs sont identifiés (trafic de scan de vulnérabilité interne légitime) → l'administrateur crée des exceptions ciblées pour ces flux.