Comparaison des technologies de prévention, de détection et d'antivirus des pare-feu, des intrus et des intrusions dans l'architecture des réseaux organisationnels

Dans ces jours-ci, je lis des systèmes de prévention / détection d'intrusion. Lorsque j'ai lu, j'ai vraiment confondu certains points.

Tout d'abord, les technologies de pare-feu et antivirus sont connues depuis des années, mais maintenant IDS devient populaire.

Ma question comprend:

  • Dans les architectures de réseau organisationnel quand / où utilisons-nous ces systèmes?
  • Quels sont les avantages de l'utilisation de chacun?
  • Est-ce que Firewall contient tous ces autres?

Si vous me donnez des exemples, cela aidera beaucoup.

Merci.

Les systèmes de détection d'intrusion (IDS) et les systèmes de protection contre les intrusions (IPS) sont un sujet plutôt large. En tant que tel, ma réponse ici est loin d'être exhaustive.

Les types d'IDS incluent le réseau et l'hôte.

Les IDS basés sur le réseau, tels que SNORT , analysent et enregistrent le trafic réseau en fonction d'un ensemble de règles. Ces règles correspondent aux vulnérabilités potentielles, ce qui pourrait fournir un avertissement préalable de tentative d'intrusion et de données médico-légales après le fait.

Les IDS basés sur l'hôte comprennent des logiciels tels que AIDE , qui comparent les hachages des fichiers sur le système de fichiers sur une base récurrente. Cela permettrait à quelqu'un de surveiller les changements sur le système et d'identifier les modifications non autorisées.

L'enregistrement central pourrait sans doute faire partie de vos solutions IDS basées sur l'hôte. L'enregistrement central permet de contrôler et d'auditer vos journaux dans un endroit central. En outre, garder les journaux dans un endroit central minimise l'exposition et permet une piste d'audit supplémentaire, dans le cas où un système est compromis et les journaux ne sont plus fiables.

Le filtrage par paquets (pare-feu) est un mécanisme de sécurité pour contrôler le trafic vers et depuis votre réseau. Les pare-feu ne sont pas IDS.

Une infrastructure informatique bien gérée comprend plusieurs de ces technologies et de nombreux professionnels ne les considéreraient pas facultatifs.

Quelques choses que je veux ajouter (IMO, l'excellente réponse de Warner couvre déjà la plupart des points):

Les pare-feu séparent votre réseau en zones avec différents niveaux de confiance:

  • Entreprise externe / interne
  • Host externe / interne
  • Certaines adresses IP dans une liste blanche / liste noire / neutre

IDS, d'autre part, sont souvent utilisés pour distinguer le trafic valide des attaques, bien qu'elles proviennent toutes de la même zone. Une hypothèse naïve qui est souvent faite par les entreprises, c'est que tout le trafic qui provient du réseau local de la société peut faire confiance. Mais cela mène au problème, que même une petite brèche de sécurité, qui semble être inoffensive, sa surface (par exemple, elle permet à l'attaquant d'envoyer certaines requêtes «inoffensives» du serveur Web de l'entreprise au réseau local) peut facilement devenir un problème beaucoup plus important . Donc, IDS suppose plutôt que l'attaquant se trouve quelque part dans le réseau et cherche des anomalies.

Encore une question sur IDS: l'écoute sur un point de votre réseau n'est souvent pas suffisante! En raison de la nature des commutateurs, toutes les attaques ne se propagent pas sur l'ensemble du réseau. Donc, un IDS optimal surveillerait (en théorie)

  1. Tous les hôtes
  2. Tout le trafic réseau entre deux points quelconques.

Il est également utile de surveiller l'état des interrupteurs (pour se défendre contre les attaques comme le vol de port).