Solutions IPS au niveau du réseau

Dans les solutions au niveau réseau, l’IPS réside dans un dispositif autonome qui demeure sur le chemin ou hors du chemin pour surveiller activement le trafic du réseau et détecter et prévenir les menaces dans la couche réseau ou application. L’IPS-réseau est généralement déployé aux frontières des différentes zones du réseau, par exemple, dans la DMZ, immédiatement derrière le coupe-feu, tel qu’illustré dans le détecteur hors du chemin réseau à la Figure 1.

Figure 1 : IPS hors du chemin réseau dans une DMZ

Dans le cas des solutions qui exigent une intervention immédiate face aux menaces, on doit placer le détecteur sur le chemin réseau. Le dispositif IPS réside alors directement dans le chemin réseau; il inspecte le trafic et l’achemine à destination après avoir appliquer les

signatures activées et les mesures correctives configurées. Les menaces détectées sont bloquées immédiatement.

En plus de détecter les menaces par l’analyse des signatures, le protocole, et l’analyse des anomalies, l’IPS peut inclure les mécanismes suivants pour améliorer la sécurité et réduire les fausses alarmes :

 filtrage par coupe-feu du trafic à inspecter;

 configuration automatique de règles pour l’utilisation de ports non standard lorsque l’on détecte que les applications utilisent de tels ports;

 inspection des paquets avec le protocole SSL;

Organism DMZ Interne

IP

2009 11

 protection contre les débordements de tampon;

 protection contre les techniques évasives telles la fragmentation IP;

 corrélation automatique des attaques, par une évaluation en temps réel des vulnérabilités de système hôte, pour déterminer leur pertinence. Par exemple, un exploit de serveur Web dans un hôte qui n’utilise pas ce type de serveur est non pertinent puisque l’attaque ne peut avoir d’incidence ou d’effet sur l’hôte. La solution requiert d’effectuer une évaluation distincte des vulnérabilités de l’hôte et d’intégrer les résultats à la base de données du détecteur IPS.

Pour inspecter le trafic SSL (Secure Sockets Layer) chiffré, on doit exporter la clé SSL privée de trafic dans le détecteur IPS. Puisque le chiffrement consomme beaucoup de temps de traitement de l’UCT (unité centrale de traitement), le détecteur IPS est généralement doté d’une fonction SSL d’accélération qui permet un déchiffrement plus rapide du trafic. Le détecteur déchiffre le trafic et l’inspecte pour déceler des menaces.

Dans le cas des solutions appliquées hors du chemin réseau, le dispositif peut capter le trafic qui traverse le réseau. L’IPS reçoit le trafic en utilisant le miroitage de port ou un TAP réseau préalablement installé.

Enfin, une fonction centralisée de corrélation peut gérer tous les détecteurs IPS déployés. Elle peut offrir les mécanismes suivants :

 profils de configuration, faciles à déployer, qui permettent à tous les détecteurs IPS d’offrir des fonctions similaires;

 diffusion, au besoin, de modifications de configuration individuelles vers un ou plusieurs détecteurs;

 corrélation limitée d’événements des détecteurs;

 mises à jour automatiques ou manuelles des politiques, par un gestionnaire central, des dispositifs de contrôle de sécurité, tels les coupe-feu, pour contrer toute menace détectée.

2.2.2.1 Miroitage de port

Le miroitage de port, également appelé optimisation de port, permet la connexion directe d’un IPS-réseau à un routeur ou un commutateur. Le trafic d’un des commutateurs est dupliqué, ou mis en miroir, dans le port de surveillance de l’IPS. La plupart des commutateurs modernes offrent le miroitage de port. Le regroupement de ports permet de relier plusieurs ports et de regrouper le trafic en un seul flux par le port miroir.

Le miroitage de port présente toutefois plusieurs inconvénients. Si le trafic de tous les ports est mis en miroir dans le port de surveillance, il y aura un fort taux de collision et plusieurs des paquets seront perdus. Si on utilise cette technique pour surveiller uniquement le trafic qui transite par un ou plusieurs ports spécifiques, il est possible qu’elle échappe certains paquets (messages d’erreur, moitié d’une communication en mode duplex intégral, ou autres données importantes). Il est très difficile de traiter tout le trafic des différents segments d’un réseau local;

il faut pouvoir compter sur un grand nombre de détecteurs IPS, dispositifs qui sont très coûteux.

2.2.2.2 TAP réseau

Un TAP réseau est un dispositif en ligne inséré dans une liaison point à point entre deux dispositifs. Un TAP réseau de base comprend trois interfaces – deux ports d’entrée-sortie et un port de surveillance. Le trafic circule de manière transparente par les deux ports d’entrée-sortie;

une fois le dispositif installé, les deux extrémités de la liaison point à point n’ont aucune

connaissance de sa présence. Lorsque l’IPS se connecte au port de surveillance, le TAP réseau lit tout le trafic qui le traverse. Plusieurs TAP réseau sont munis de deux ports de surveillance, chacun consacré à la transmission des données d’un des ports d’entrée-sortie; ainsi, l’IPS capte le trafic dans les deux directions.

Pour surveiller un vaste réseau, les TAP réseau peuvent être installés dans toutes les liaisons point à point; leur sortie peut être multiplexée par un commutateur ou un panneau TAP. Dans le cas des vastes réseaux à haute vitesse, tels les réseaux de 1Gbps à fibre optique, on doit

habituellement utiliser plusieurs détecteurs IPS reliés à un équilibreur de charge et pris en charge par une ou plusieurs consoles IPS centrales.

Une fois installé, le TAP réseau impose peu ou pas de surcharge au trafic. Un analyste peut activer ou désactiver la fonction de surveillance du trafic d’un IPS par TAP réseau sans qu’il n’y ait d’incidence sur le trafic réseau.