web-dev-qa-db-fra.com

Différence entre IDS et IPS et pare-feu

Les différences entre un IDS et un pare-feu sont que ce dernier empêche le trafic malveillant, tandis que l'IDS:

  • IDS passif: l'IDS ne signale que l'intrusion.
  • IDS actif: l'IDS prend également des mesures contre le problème pour le résoudre ou au moins réduire son impact.

Cependant, quelle est la différence entre un IPS et un pare-feu? Les deux sont un contrôle technique préventif dont le but est de garantir que le trafic réseau entrant est légitime.

38
eez0

La ligne s'est définitivement estompée à mesure que la capacité technologique augmente, les plates-formes sont intégrées et le paysage des menaces change. Au fond, nous avons

  • Pare-fe - Un périphérique ou une application qui analyse les en-têtes de paquets et applique la politique basée sur le type de protocole, l'adresse source, l'adresse de destination, le port source et/ou le port de destination. Les paquets qui ne correspondent pas à la stratégie sont rejetés.
  • Intrusion Detection System - Un appareil ou une application qui analyse des paquets entiers, à la fois en-tête et charge utile, à la recherche d'événements connus. Lorsqu'un événement connu est détecté, un message de journal est généré détaillant l'événement.
  • Intrusion Prevention System - Un appareil ou une application qui analyse des paquets entiers, à la fois en-tête et charge utile, à la recherche d'événements connus. Lorsqu'un événement connu est détecté, le paquet est rejeté.

La différence fonctionnelle entre un IDS et un IPS est assez subtile et n'est souvent rien de plus qu'un changement de paramètre de configuration. Par exemple, dans un module Juniper IDP, passer de la détection à la prévention est aussi aussi simple que de changer une sélection déroulante de LOG en LOG/DROP. Au niveau technique, cela peut parfois nécessiter une refonte de votre architecture de surveillance.

Étant donné la similitude entre les trois systèmes, il y a eu une certaine convergence au fil du temps. Le module Juniper IDP mentionné ci-dessus, par exemple, est en fait un composant complémentaire à un pare-feu. Du point de vue du flux réseau et de l'administration, le pare-feu et l'IDP ne peuvent pas être distingués fonctionnellement, même s'il s'agit techniquement de deux appareils distincts.

Il y a aussi beaucoup de discussions sur le marché de ce qu'on appelle un pare-feu de nouvelle génération (NGFW). Le concept est encore suffisamment nouveau pour que chaque fournisseur ait sa propre définition de ce qui constitue un NGFW, mais pour la plupart, tous conviennent qu'il s'agit d'un appareil qui applique la politique unilatéralement sur plus que de simples informations d'en-tête de paquet réseau. Cela peut faire qu'un seul appareil agisse à la fois comme pare-feu traditionnel et IPS. Parfois, des informations supplémentaires sont collectées, telles que de quel utilisateur provient le trafic, ce qui permet une application encore plus complète des stratégies.

50
Scott Pack

explication pour les nuls

  • pare-feu -> portier; il empêche tous ceux qui essaient de se faufiler par des fenêtres de sous-sol ouvertes, etc., mais une fois que quelqu'un entre par la porte officielle, il laisse entrer tout le monde, surtout. lorsque le propriétaire amène des invités; * n pare-feu n'empêche jamais le trafic malveillant *, il autorise ou bloque simplement le trafic, basé sur le port/ip

  • IDS (passif)/IPS (actif): le gars qui fouille les invités pour trouver des armes, etc.

  • IDS actif vs passif: en mode actif -> botte le cul et est capable de bloquer pendant un certain temps, en mode passif -> envoie simplement des alertes

la seule raison pour laquelle certains voudraient appeler un IPS différent de l'IDS actif est à des fins de marketing.

Un IDS actif est essentiellement appelé un IPS.

4
Lucas Kauffman

L'IDS est un système de détection d'intrusion. Un IPS est un système de prévention des intrusions.

L'IDS surveille uniquement le trafic. L'IDS contient une base de données de signatures d'attaques connues. Et il compare le trafic entrant à la base de données. Si une attaque est détectée, l'IDS signale l'attaque. Mais c'est ensuite à l'administrateur d'agir. L'inconvénient majeur est qu'ils produisent beaucoup de faux positifs.

le IPS se situe entre votre pare-feu et le reste de votre réseau. De ce fait, il peut empêcher le trafic suspect d'atteindre le reste du réseau. Le IPS = surveille les paquets entrants et leur utilisation réelle avant de décider de laisser les paquets dans le réseau.

2
JGallardo

En plus des réponses existantes, je pense à trois différences supplémentaires:

  • Un pare-feu se trouve (généralement) au périmètre du réseau du système, où en tant qu'IDS/IPS peut non seulement fonctionner au niveau du réseau, mais aussi fonctionner au niveau de l'hôte . Ces systèmes IDS/IPS sont appelés IDS/IPS basés sur l'hôte. Ils peuvent surveiller et prendre des mesures contre les processus en cours, les tentatives de connexion suspectes, etc. Les exemples incluent OSSEC et osquery. Peut-être que les logiciels antivirus peuvent également être considérés comme une sorte d'IDS/IPS.

  • Un pare-feu est probablement plus facile à comprendre et à déployer. Il peut également fonctionner seul. Mais un IDS/IPS est plus complexe et doit probablement être intégré à d'autres services. Par exemple, le résultat de l'IDS ira au SIEM pour l'analyse de corrélation, pour les analystes humains, etc.

  • Au moins pour le pare-feu "traditionnel", le noyau est un moteur basé sur des règles. Mais IDS/IPS peut également utiliser des méthodes de détection basées sur les anomalies pour détecter les intrusions.

2
ZillGate

Un pare-feu bloquera le trafic en fonction des informations réseau telles que l'adresse IP, le port réseau et le protocole réseau. Il prendra certaines décisions en fonction de l'état de la connexion réseau.

Un IPS inspectera le contenu de la demande et pourra supprimer, alerter ou potentiellement nettoyer une demande réseau malveillante en fonction de ce contenu. La détermination de ce qui est malveillant est basée soit sur l'analyse du comportement, soit sur par l'utilisation de signatures.

Une bonne stratégie de sécurité consiste à les faire travailler en équipe. Les deux appareils se complètent.

2
Rohit Gera