IDS-IPS

Types d'IDS/IPS

On identifie différents types de systèmes de détection et de prévention d'intrusions :

N-IDS & H-IDS

Network IDS et Host-based IDS. Il s'agit là de systèmes de détection d'intrusions basés au niveau réseau ou au niveau des hôtes.
Généralement, un N-IDS sera constitué d'un serveur positionné judicieusement à un endroit précis du réseau qui analysera tous les flux réseaux qu'il peut voir, pour générer des alertes de tentatives d'intrusions.
Un H-IDS analysera lui les tentatives d'intrusion au sein d'une machine en particulier. On pourra là avoir une architecture basée sur un serveur par hôtes analysées, ainsi qu'un serveur central regroupant les différentes alertes.

N-IPS & H-IPS

Network IDS et Host-based IPS. Il s'agit là de systèmes de prévention d'intrusions. Lorsqu'un IPS au niveau d'une hote ou du réseau détectera une tentative d'intrusion, il génrèrera une alerte et enverra une message à un firewall pour qu'il puisse bloquer le flux suspect.

IDS hybrides

On peut citer "Prelude" comme système hybride.
Un IDS hybride rassemble les caractéristiques de plusieurs IDS. On pourra alors par exemple placer des sondes sur des points stratégiques du réseau, ou sur des machines.
Chacune de ces sondes remontera alors des alertes à une machine centrale, qui va agréger le tout.

Des alertes formattées

Les alertes visent à être formattées. Un groupe de travail au sein de l'IETF : IDWG – « Intrusion Detection Working Group », mène des réflexion et un travail de standardisation des alertes.
Ainsi est née la norme IDMEF –  « Intrusion Detection Message Exchange Format » (RFC 4765), ainsi que le protocole IDXP – « Intrusion Detection eXchange Protocol » (RFC 4767), toujours au statut expérimental.