ISGroup Conseil en Cybersécurité

Network-Based IDS

Un système de détection d’intrusion réseau (Network-Based IDS) est un système conçu pour surveiller le trafic réseau au sein de son segment réseau en tant que source de données. Cela est généralement réalisé en plaçant la carte réseau en mode promiscuité, ce qui permet de capturer tout le trafic réseau qui traverse le segment réseau auquel elle est connectée. Cependant, le trafic sur d’autres segments réseau et d’autres moyens de communication (tels que les lignes téléphoniques) ne peut pas être surveillé par un IDS réseau.

Comment cela fonctionne

Un IDS réseau analyse les paquets de données qui transitent sur le réseau, en utilisant un capteur positionné stratégiquement pour surveiller le trafic. Le capteur ne peut voir que les paquets transportés sur le segment réseau auquel il est connecté. Les paquets sont considérés comme suspects s’ils correspondent à une signature spécifique, qui représente un modèle de trafic connu pour être associé à des comportements malveillants ou à des tentatives d’intrusion.

Avantages de la surveillance réseau

La surveillance réseau offre plusieurs avantages par rapport aux systèmes de détection d’intrusion basés sur l’hôte (Host-Based IDS) traditionnels :

  1. Couverture étendue : Étant donné que de nombreuses intrusions se produisent via les réseaux, la surveillance du trafic réseau peut détecter des tentatives d’attaque qui pourraient échapper aux systèmes basés sur l’hôte.
  2. Visibilité du trafic : Les IDS réseau peuvent voir tout le trafic qui traverse le segment réseau surveillé, offrant une vision complète des activités réseau.
  3. Détection passive : Ces systèmes fonctionnent de manière passive, en surveillant le trafic sans interférer avec le fonctionnement normal du réseau. Cette approche minimise le risque d’interruption de service.
  4. Identification des attaques : Les IDS réseau sont efficaces pour détecter une large gamme d’attaques, y compris les attaques DDoS, les scans réseau et les tentatives d’accès non autorisées.

Limites

Malgré leurs nombreux avantages, les IDS réseau présentent également certaines limites :

  • Segment limité : Ils ne peuvent surveiller que le trafic du segment réseau auquel ils sont connectés. Le trafic sur d’autres segments ne peut pas être analysé.
  • Chiffrement : Le trafic chiffré ne peut pas être analysé en détail, ce qui peut masquer des activités malveillantes.
  • Ressources : Ils peuvent nécessiter des ressources importantes pour traiter et analyser de grands volumes de trafic réseau, en particulier sur les réseaux à haut débit.

En résumé, les IDS réseau sont des outils puissants pour la détection d’intrusion, offrant une vision approfondie du trafic réseau et augmentant la capacité à identifier des activités suspectes qui pourraient passer inaperçues dans les systèmes basés sur l’hôte. Avec la menace croissante des attaques réseau, l’utilisation de ces systèmes devient de plus en plus cruciale pour garantir la cybersécurité.

In

Leave a Reply

Your email address will not be published. Required fields are marked *