Retour au cours

Systèmes de prévention d'intrusion (IPS)

Maîtrise de la Cybersécurité : de Zéro à Héros

IDS vs IPS

Si un IDS est un système d'alarme, un Système de prévention d'intrusion (IPS) est un système d'alarme qui peut également verrouiller les portes.

Fonctionnalité

Un IPS fonctionne de manière similaire à un IDS en surveillant le trafic, mais il est placé en ligne (in-line) avec le trafic réseau. Lorsqu'il détecte une attaque, il prend des mesures immédiates pour l'arrêter avant qu'elle n'atteigne la cible.

Actions de prévention

Un IPS peut :

  1. Supprimer les paquets malveillants : Jeter immédiatement les paquets à l'origine de l'alerte.
  2. Bloquer l'IP source : Ajouter temporairement ou définitivement une règle au pare-feu pour bloquer tout trafic provenant de l'adresse IP d'origine.
  3. Réinitialiser la connexion : Mettre fin à la session TCP entre l'attaquant et la victime.

Inconvénient

Un IPS peut introduire de la latence et, s'il est mal configuré, bloquer du trafic légitime (Faux Positifs), provoquant potentiellement un déni de service (DoS) auto-infligé.