Panorama : Les systèmes de détection et de prévention d'intrusions
Par JDNet Solutions (Benchmark Group)
URL : http://www.journaldunet.com/solutions/0312/031212_ids_ips.shtml
Lancer l'impression

Vendredi 12 décembre 2003

En savoir plus
Confrontés à une multiplication et à une complexité croissante des remontées d'alertes, les administrateurs de la sécurité et du réseau ont besoin qu'une information structurée et organisée leur soit remontée.

De même, lorsqu'ils déploient une solution ou des matériels de détection (IDS) ou de prévention d'intrusion (IPS), une console d'administration centralisée leur est indispensable, que ce soit pour un ou plusieurs serveurs stratégiques - solutions dites "Host IDS" - ou bien pour l'intégralité du réseau de l'entreprise - solutions "Network IDS" - (lire notre Questions- Réponses sur le sujet).

Fonctionnant comme des solutions anti-virus ou anti-spam, les IDS se réfèrent à une base de signatures d'attaques connues. Mais afin de donner à leur solution plus de réactivité lorsqu'une attaque surgit, certains éditeurs ont décidé de transformer leur offre en IPS (Intrusion Prevention System), axant leur technologie vers la prévention proactive, capable de réagir en temps réel lorsque qu'une anomalie est détectée ou qu'une intrusion est avérée.

Les systèmes de détection et de prévention d'intrusions
Editeur/
solution
Type
Description
Arkoon
Arkoon IDS en coupure
Appliance
IPS
Cet IPS combine à la fois les fonctions de décodage applicatif temps réel et de détection d'intrusion à base de signatures contextuelles.
- Décodage applicatif temps réel : décodage des protocoles applicatifs utilisés, vérification de la conformité de la communication par rapport à la norme du protocole applicatif (RFC), respect des règles d'utilisation de ces protocoles définies par l'administrateur sécurité.
- Détection à base de signatures : plus de 500 signatures répertoriées.
Cisco
NetRanger
Appliance
IDS
Cisco propose deux produits distincts : un IDS réseau et un IDS host.
- Les capteurs réseau comprennent un appareil de sécurité réseau et un module de sécurité qui permet
d'exécuter des fonctions de surveillance et de commutation à partir d'un même châssis. La détection des intrusions se fait en temps réel, notamment en environnement Gigabit et sur des liaisons 802.1q.
- La solution Cisco IDS Host Sensor, développée par Entercept, permet de protéger les serveurs d'entreprise. Elle permet notamment le déploiement d'un grand nombre d'agents afin d'assurer une couverture de sécurité des environnements réseau étendus contre certains vers (type Code Red ou Nimda).
Computer Associates
eTrust Intrusion Detection
Logiciel
IPS
Solution intégrant à la fois protection réseau, gestion des sessions réseau et arrêt des contenus Internet. Une console de gestion centrale, un moteur anti-virus, l'automatisation des mises à jour sont fournies.
Enterasys Networks
Dragon 6.0
Appliance
IDS
Protège à la fois les serveurs (Dragon Host Sensor) et les réseaux (Dragon Network Sensor). Permet également la surveillance de pare-feu, de routeurs et d'IDS d'autres marques. Une gestion par interface Web est proposée ainsi qu'une mise à jour quotidienne des signatures.
ISS
RealSecure et Proventia
Logiciel et appliance
IDS - IPS
Destiné aux réseaux et aux systèmes, la gamme RealSecure propose RealSecure Network Sensor, qui s'installe sur une station dédiée pour contrôler le trafic réseau à la recherche de signatures d'attaques et RealSecure Server Sensor, qui protège les serveurs stratégiques par l'analyse des événements au niveau du noyau du système d'exploitation, des journaux de connexions et de l'activité réseau de ces serveurs. Une console de management - RealSecure Workgroup Manager - offre un reporting de type graphique et une base de données d'assistance en ligne en réponse aux incidents. L'éditeur a récemment lancé une gamme d'appliances IDS (Proventia A Series) et IPS (Proventia G Series : en mode coupure). La gamme Proventia M Series regroupe les technologies d'antivirus, pare-feu, réseaux privés virtuels et protection contre les intrusions au sein d'un seul moteur.
Netasq
IPS-Firewall
Appliance
IPS
Société du nord de la France, Netasq propose une gamme de boîtiers IPS/ pare feu pour PME et grands comptes. Le moteur de sécurité ASQ (Active Security Qualification) de Netasq associe à l'identification contextuelle des paquets suspects (stateful inspection) l'analyse des techniques d'attaque jusqu'aux couches applicatives, ainsi qu'une observation de l'historique multi-session, le traitement des dénis de service et buffer overflow, le repérage des comportements anormaux, signes d'intrusions ou d'attaques même inconnues.
NetScreen
NetScreen Intrusion Detection and Prevention (IDP)
Appliance
IPS
Le spécialiste des pare-feu propose une méthode de détection et de prévention en plusieurs points : signatures d'attaques connues, détection d'anomalies de protocoles et de trafic, mais aussi de portes arrières (backdoor) et de pots de miel (honeypots) de réseau.
Network Associates
Mcafee Entercept et IntruShield Network IDS Sensor
Appliances et logiciel
IDS/IPS
Les rachats respectifs d'Intruvert et d'Entercept Security Technologies (en avril 2003) permettent à Network Associates de proposer deux produits distincts. IntruShield pour la prévention d'intrusions réseau (en appliance) et Entercept pour la prévention d'intrusions système.
- IntruShield Network IDS Sensor est une gamme de boîtiers permettant d'identifier une large gamme d'attaques. L'éditeur met en avant les IDS virtuels qui permettent de segmenter un capteur en capteurs virtuels dont les règles de sécurité sont adaptées au composant protégé.
- Entercept fonctionne selon des règles de comportement et de signatures d'attaques. Prévention des attaques en dépassement de tampon (buffer overflow), prévention des élévations de privilèges et protection des ressources système critiques. Disponible en version desktop et serveurs de données
NFR Security
Sentivist 4.0
Logiciel
IPS
NFR Security s'appuie sur un algorithme de corrélation des alertes dénommé ‘Meta Alert'. L'éditeur applique un processus de discrimination au niveau de chaque élément de la solution : la sonde, le serveur et l'interface d'administration. Ce processus est constitué par des algorithmes relatifs à la suppression des mêmes alertes répétées en permanence ou encore l'empreinte des systèmes d'exploitations et applications, établie selon le profil de vulnérabilité du réseau de l'entreprise. Cette version intègre le support d'IPv6 et est compatible avec les environnemens Ethernet 1 Giga-bit saturés.
Snort
Snort
Logiciel
IDS
Solution issue du monde du logiciel libre, Snort offre un moteur de détection, une analyse des flux HTTP, une surveillance des protocoles et des anomalies de trafic, pour le réseau. (lire notre interview)
Symantec
Symantec Host IDS et Symantec ManHunt
Logiciel
IDS
Le leader mondial de la sécurité se positionne à la fois au niveau des serveurs (Symantec Host IDS) et du réseau (Symantec ManHunt). Ces solutions s'intègrent à Symantec Security Management System pour optimiser la hiérarchisation et l'identification des attaques.
- Symantec Host IDS : fournit un accès aux données granulaires des processus, permet aux administrateurs de définir une grande diversité de configurations de sécurité et de limiter les capacités des serveurs grâce à des politiques définies
- Symantec ManHunt protège les réseaux à des vitesses pouvent aller jusqu'à 2 giga-bits par seconde. Prend en charge le système d'exploitation Red Hat Linux.
TippingPoint Technologies
UnityOne Intrusion Prevention
Appliance
IPS
TippingPoint combine la détection d'intrusion à la protection par pare-feu et à l'évaluation des vulnérabilités d'un système au sein d'appliances uniques qui utilisent des composants ASIC et reposent sur un processeur appelé Threat Suppression Engine (TSE) supportant des vitesses multigigabit. La protection peut se faire sur serveur ou sur réseau.
TopLayer
Attack Mitigator IPS
Appliance
IPS
Boîtier stoppant les attaques de type HTTP, déni de service, SYN Flood, spoofing IP, de protocole et qui détecte les anomalies de trafic. Peut, en raison d'une architecture basée ASIC, fonctionner en environnements de 100 megabits à plusieurs gigabits. Mécanismes de détection de SYN flood et de blockage brevetés.
Watchguard
Gamme Firebox
Appliance
IPS
Spécialisé dans les pare-feu sous forme de boîtiers, Watchguard intègre la prévention d'intrusion au sein de ces matériels. L'éditeur utilise une base de signatures d'attaques, les anomalies de protocoles et de comportements.
Editeur/
solution
Type
Description

[Fabrice Deblock, JDNet]



Pour tout problème de consultation, écrivez au Webmaster
Copyrights et reproductions . Données personnelles
Copyright 2006 Benchmark Group - 69-71 avenue Pierre Grenier
92517 Boulogne Billancourt Cedex, FRANCE