IDS-IPS
Types d'IDS/IPS
On identifie différents types de systèmes de détection et de prévention d'intrusions :
N-IDS & H-IDS
Network IDS et Host-based IDS. Il s'agit là de systèmes de détection d'intrusions
basés au niveau réseau ou au niveau des hôtes.
Généralement, un N-IDS sera constitué d'un serveur positionné judicieusement
à un endroit précis du réseau qui analysera tous les flux réseaux qu'il peut voir,
pour générer des alertes de tentatives d'intrusions.
Un H-IDS analysera lui les tentatives d'intrusion au sein d'une machine en particulier. On
pourra là avoir une architecture basée sur un serveur par hôtes analysées, ainsi qu'un
serveur central regroupant les différentes alertes.
N-IPS & H-IPS
Network IDS et Host-based IPS. Il s'agit là de systèmes de prévention d'intrusions. Lorsqu'un IPS au niveau d'une hote ou du réseau détectera une tentative d'intrusion, il génrèrera une alerte et enverra une message à un firewall pour qu'il puisse bloquer le flux suspect.
IDS hybrides
On peut citer "Prelude" comme système hybride.
Un IDS hybride rassemble les caractéristiques de plusieurs IDS.
On pourra alors par exemple placer des sondes sur des points stratégiques
du réseau, ou sur des machines.
Chacune de ces sondes remontera alors des alertes à une machine centrale,
qui va agréger le tout.
Des alertes formattées
Les alertes visent à être formattées. Un groupe de travail au sein de l'IETF
: IDWG – « Intrusion Detection Working Group », mène des réflexion et un
travail de standardisation des alertes.
Ainsi est née la norme IDMEF – « Intrusion Detection Message Exchange Format » (RFC 4765), ainsi
que le protocole IDXP – « Intrusion Detection eXchange Protocol » (RFC 4767), toujours
au statut expérimental.