HLBR - Hogwash Light BR

Traduit depuis http://hlbr.sourceforge.net/ips.html par Bénoni MARTIN (benoni.martin a gmail com).
Dernière mise à jour: 11 Jan 06.


Définition d'un IPS

IPS (Intrusion Prevention System) est un système ressemblant à un IDS (Intrusion Detection System) car il permet de détecter les attaques, mais ayant aussi pour objectif de prévenir activement ces attaques. La différence entre les deux systèmes est donc qu'un IPS permet de gérer le trafic suspect en plus de simplement le détecter, ce qui permet d'avoir un meilleur niveau de sécurité réseau. Les IPS font partie intégrante des pare-feux.. 


Les pare-feux

Certains ne connaissent pas la signification exacte du mot pare-feu: un pare-feu est un système de protection utilisé dans les réseaux informatiques ayant des composantes comme le filtrage de paquets, le filtrage statique, IDS, IPS, des relayeurs (proxies), antivirus, etc. Par conséquent, il est faux de dire qu'une machine qui fait tourner IPtables est le pare-feu d'un réseau, car IPtables fait juste du filtrage de paquets et du filtrage statique. Il ne peut qu'analyser le trafic à partir des en-têtes IP des paquets qui passent à sa portée (i.e. il ne contrôle que les adresses source et destination, les ports source et destination, le type de protocole de transport utilisé, etc.). Ce type de filtrage de paquets ne permet donc pas d'analyser par exemple le contenu d'un paquet (champ charge utile). En supposant que n'importe quelle machine sur Internet ait accès à notre serveur web sur le port 80 et à notre serveur de mails sur le port 25, un paquet contenant un virus ou un exploit passera tranquillement à travers IPtables et atteindra notre réseau car Iptables vérifiera juste la source et la destination, en ignorant le contenu.

Le schéma ci-dessous présente un exemple d'un système pare-feu. La partie grisée est le système lui-même:

Firewall Sysytem



Dans l'exemple ci-dessus, l'IPS utilisé (HLBR) a été placé en amont de IPtables ; ce qui nous permet même de protéger la machine faisant tourner IPtables. Cet exemple montre également qu'il n'est pas possible de fournir un degré raisonnable de sécurité sur un réseau avec une simple machine faisant du filtrage de paquets et du filtrage statique (comme beaucoup de gens font).

Regardez à présent le second schéma ci-dessous:



Firewall System


Nous avons maintenant connecté un second HLBR entre le réseau interne et celui contenant tous les serveurs, afin d'apporter un niveau de sécurité encore plus grand à ces derniers. De plus, un honeypot/honeynet a été implémenté juste avant l'accès à Internet, car HLBR peut rediriger d'éventuelles attaques vers le honeypot/net.

La conclusion la plus importante à tirer est qu'un pare-feu doit être composé de plusieurs éléments, chacun travaillant séparément et ne pouvant pas suppléer les autres.

SourceForge.net Logo

back