Qu'est-ce qu'un système de prévention des intrusions ?

December 02, 2021
DansInternet, Réseau Et Sécurité Réseau Domestique

Les systèmes de prévention des intrusions (IPS) sont parmi les plus importants sécurité Internet mesure un réseau peut avoir. Les IPS sont ce que l'on appelle un système de contrôle, car ils détectent non seulement les menaces potentielles pour un système réseau et son infrastructure, mais cherchent également à bloquer activement toutes les connexions qui peuvent constituer une menace. Ceci est différent des protections plus passives comme les systèmes de détection d'intrusion.

Qu'est-ce que la technologie IPS?

Un système de prévention des intrusions surveille en permanence le trafic réseau, notamment au niveau individuel. paquets, pour rechercher d'éventuelles attaques malveillantes. Il collecte des informations sur ces paquets et les signale aux administrateurs système, mais il effectue également ses propres mesures préventives. Si un IPS détecte un potentiel malware ou tout autre type d'attaque vindicative, il empêchera ces paquets d'accéder au réseau.

Il peut également prendre d'autres mesures, telles que la fermeture des failles dans la sécurité du système qui pourraient être continuellement exploitées. Il peut fermer des points d'accès à un réseau ainsi que configurer des

pare-feu à rechercher ce genre d'attaques à l'avenir, en ajoutant des couches de sécurité supplémentaires aux défenses du réseau.

Une image conceptuelle d'un homme d'affaires travaillant sur un ordinateur portable protégé par le réseau. — Natali_Mis / Getty Images

Quels types d'attaques IPS peut-il empêcher?

Les systèmes de prévention des intrusions peuvent rechercher et protéger contre diverses attaques malveillantes potentielles. Ils ont la capacité de détecter et de bloquer les attaques par déni de service (DoS), distribuées déni de service attaques (DDoS), kits d'exploit, vers, virus informatiques, et d'autres types de logiciels malveillants.

Que fait IPS s'il détecte une attaque?

Un système de prévention des intrusions peut détecter diverses attaques en analysant les paquets et en recherchant des signatures de logiciels malveillants particuliers, bien qu'il puisse également tirer parti suivi comportemental pour rechercher une activité anormale sur un réseau, ainsi que pour surveiller tous les protocoles et politiques de sécurité administratifs, et s'ils sont violé.

Si l'une de ces méthodes de détection découvre une attaque potentielle, un IPS peut immédiatement mettre fin à la connexion dont il provient. L'offense adresse IP peut ensuite être bloqué si l'IPS est configuré pour le faire, ou si l'utilisateur qui lui est associé ne peut à nouveau accéder au réseau et aux ressources connectées.

Un IPS peut également modifier les paramètres du pare-feu local pour rechercher à nouveau de telles attaques, et peut même supprimer les restes de une attaque en supprimant les en-têtes affectés par les logiciels malveillants, les pièces jointes infectées et les liens malveillants des fichiers et des e-mails les serveurs.

IDS contre IPS

Systèmes de détection d'intrusion (IDS) et les systèmes de prévention des intrusions (IPS) peuvent tous deux être liés à la sécurité, mais ils ont des objectifs et des moyens totalement différents à cette fin.

Il existe de nombreux types d'IDS et d'IPS et ils fonctionnent tous un peu différemment. Pour l'IDS, il existe des systèmes de détection d'intrusion dans le réseau (NIDS) qui se trouvent à des points stratégiques d'un réseau pour détecter les attaques potentielles lorsqu'elles sont en cours au sein du réseau. Les systèmes HIDS, ou systèmes de détection d'intrusion hôte, s'exécutent sur des systèmes et des appareils individuels et ne surveillent que l'activité sur le réseau allant et venant de ce système particulier.

Dans les deux cas, l'IDS qui découvre une attaque potentielle en informera les administrateurs système.

En revanche, les systèmes IPS joueront un rôle similaire à l'IDS - et peuvent être utilisés avec eux pour une meilleure surveillance du réseau - mais joueront un rôle plus actif dans la protection du réseau. Ils informeront également les administrateurs si des attaques sont détectées, mais ils prendront également des mesures punitives contre tous les systèmes, des comptes individuels ou des failles de pare-feu pour s'assurer que l'attaque est bloquée et tous les fichiers associés supprimés du réseau.

Comme leurs noms l'indiquent, les systèmes de détection d'intrusion sont conçus pour vous permettre de savoir si et quand une attaque se produit afin que vous puissiez traiter manuellement le problème. Les systèmes de prévention des intrusions sont conçus pour protéger activement votre système contre les attaques et pour empêcher de futures attaques en ajustant les paramètres du réseau.