Sorry, you need to enable JavaScript to visit this website.

Image CAPTCHA
Saisir les caractères affichés dans l'image.

Les 5 minutes du professeur Audenard – épisode 18 - IPS et Firewall

Les 5 minutes du professeur Audenard – épisode 18 - IPS et Firewall
2014-06-262014-06-26sériesfr
A quel endroit faut-il placer un IPS ? Derrière ou devant son firewall (FW) ? Oui, le bon sens est de positionner l’IPS derrière le FW. Mais quels sont les avantages et les éventuels inconvénients ? Le professeur Audenard vous explique.
Publié le 26 Juin 2014 par Jean-François Audenard dans séries
les 5 minutes du professeur Audenard – épisode 18 - IPS et Firewall


voir la vidéo sur Dailymotion

A quel endroit faut-il placer un IPS ? Derrière ou devant son firewall (FW) ? Oui, le bon sens est de positionner l’IPS derrière le FW. Mais quels sont les avantages et les éventuels inconvénients ? Le professeur Audenard vous explique.


de meilleures performances et une analyse plus poussée

Positionner un IPS derrière le FW permet de bénéficier des fonctions de filtrage du firewall. Ce qui a pour conséquence directe de faire que l’IPS traite moins de trafic.

Cela permettra :

  1. De maximiser l’efficacité de l’IPS : celui-ci n’aura pas à analyser du trafic inutile.
  2. D’augmenter la profondeur/puissance des fonctions d’analyse de l’IPS sur les flux autorisés à transiter (la puissance de traitement de l’IPS pourra donc être « concentrée » sur les flux à priori autorisés).

Positionner un IPS derrière un FW et non pas devant permettra donc de mieux rentabiliser l’IPS et/ou d’augmenter la profondeur de l’analyse. Autrement dit, moins gâchis et si il reste de la puissance de traitement de disponible alors il sera possible d’activer plus de règles d’analyse.

éviter de « pourrir » ses logs

L’un des grands défauts des IPS (et donc des IDS) c’est qu’un IPS génère potentiellement un volume très important de logs.

Trop de logs vont surcharger les systèmes de collecte et d'analyse. Ils vont surtout grandement alourdir le travail des personnes en charge du traitement et de l'analyse des alertes remontées.

Il est donc important de minimiser les logs générés au strict nécessaire. Pour avoir moins de log générés par un IPS il suffit simplement de faire en sorte que l’IPS ne voie que du trafic « pré-traité » et à priori utile.

En positionnant l'IPS derrière le FW et non pas devant :

  1. L'IPS n'analysera que les flux qui auront été autorisés à passer via le firewall : l'IPS n'aura donc pas besoin d'analyser du trafic qui aurait été de toute façon bloqué par le FW. Une attaque présente dans un flux qui aurait été de toute façon bloqué par le FW ne viendra donc pas s’ajouter aux logs.
     
  2. Comme les firewalls modernes ne laissent passer que les flux respectant les normes et standards, en positionnant l’IPS derrière le FW, il ne devra pas analyser ces flux. Encore moins de logs concernant les flux « mal formés ».

Positionner un IPS derrière le FW va donc aussi permettre de diminuer de façon importante le volume de logs générés. Si moins de logs sont générés cela viendra diminuer les coûts de collecte et d’analyse mais permettra surtout de simplifier l’analyse de ces logs.

… néanmoins une certaine perte de visibilité

En positionnant l'IPS derrière le FW, celui-ci aura naturellement moins de visibilité sur les flux à destination du réseau ciblé.
L’IPS sera dans l’incapacité de détecter les tentatives de reconnaissance comme les scans de ports car ces paquets auront potentiellement été bloqués par le FW.

Positionner un IPS (ou plutôt un IDS dans ce cas) en amont du FW, c'est-à-dire devant, offrira "un point de vue" optimal pour un analyste sécurité à la recherche de « signaux faibles ». Cependant, positionner un IDS/IPS devant le Firewall reste un déploiement dont l'intérêt reste limité aux entreprises et organisations les plus matures et avancées.

le déploiement en mode manchot

Si le déploiement d’un IPS derrière le FW reste le grand classique, il est aussi possible de le déployer en « mode manchot ». Dans un tel déploiement l’IPS est positionné au même niveau que le FW, ce dernier étant configuré pour rediriger certains des flux (mais pas d’autres) vers l’IPS. Cela permet de rendre l’ensemble plus résistant mais aussi de monter des architectures plus « customisées » dans lesquelles plusieurs IPS travaillent de concert sans être tous en coupure directe des flux. Les principes sont les mêmes que ceux du « FW en mode manchot connecté sur un routeur ».

IDS et IPS : quelle est la différence

Pour rappel, un IPS (Intrusion Prevention System) et un IDS (Intrusion Detection System) sont des systèmes appartenant à la même famille. Ils analysent les flux réseaux afin d’y détecter les attaques (IDS – Détection uniquement) et dans le cas des IPS les attaques détectées sont bloquées (IPS – Détection puis blocage).

Un IPS peut être configuré en mode « sans blocage », dans ce cas il fonctionne comme un IDS. Les IDS et IPS s’appuient sur des dictionnaires d’attaques connues (les « bases de signatures d’attaques »).

Comme l’IPS doit être en mesure d’intervenir et de bloquer certains flux, celui-ci est classiquement déployé en « coupure » d’un lien réseau. Comme un IDS est « lecture seule » vis-à-vis des flux, ce dernier est souvent déployé sur un « port tap » (ou en mode « sniffing ») afin qu’il soit en mesure d’analyser le trafic (un IDS pouvant être aussi déployé en « coupure »).
 

Le professeur Audenard est sur Twitter : @ProfAudenard – Posez-lui vos questions ou proposez-lui un sujet pour un épisode à venir !

Jean-François (Jeff) Audenard.

1 Commentaire

  • 27 Juin 2014
    2014-06-27
    par
    Jeff Audenard
    Une précision quant aux règles activées sur un IPS et IDS : Sur un IPS le nombre de règles activées est plus réduit. La raison est double. D'un coté cela permet d'augmenter les performances mais surtout de réduire les faux positifs (blocage de flux/paquets par erreur).
    Merci à Franck (@rmkml) pour m'avoir remonté ce point & j'en profite pour vous encourager à aller jeter un oeil à ETPLC (E.T. Proxy Logs Checker - http://etplc.org) pour ceux que la détection d'intrusion intéresse.
    Jeff

Ajouter un commentaire

comments

  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Tags HTML autorisés : <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd> <br>

Plain text

  • Aucune balise HTML autorisée.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.

Email HTML

  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
Image CAPTCHA
Saisir les caractères affichés dans l'image.
Changer d'affichage