Site Internet de Medasys

Rate this post

Complémentaire au firewall, la détection d’intrusion permet de réagir en temps réel aux tentatives d’intrusions par : – surveillance active du trafic réseau – centralisation des données des différentes sondes pour une exploitation facilitée

– déclenchement automatiquement des actions en fonction des attaques détectées.

La détection s’effectue suivant une base de signatures d’attaques connues de la sonde. En fonction des attaques ou vulnérabilités que l’on veut détecter, on identifie les actions associées qui peuvent être du type : – Informations (log, envoi de mail vers les administrateurs…) – Kill des connections (Envoi d’un reset de part et d’autre de la connexion) – Reconfiguration du firewall (bloquer certaines adresses par exemple…)

– Reporting (Centralisation des évènements des différents réseaux ou hosts)

La détection d’intrusion permet de déterminer les différents niveaux d’attaques : – Pré investigation d’attaques (scan de ports…) – Activités Suspicieuses (relais de spam…) – Tentatives d’accès non autorisées (chevaux de troies…) – Deny de services (chargen…)

– Décodage protocole (rsh, ssh)

La détection d’intrusion est basée sur une architecture client/serveur, chaque sonde est paramétrable depuis la console en mode sécurisé. (Authentification, canal sécurisé)
La détection d’intrusion peut se faire au niveau réseau (IDS) ou au niveau système (HDS).

Lire aussi...  The Answer Guy Issue 16