les firewalls et les boitiers IPS [Résolu]

[une_tite_question]

Bonjour,

Je dois rendre un rapport de stage sur la configuration des boitiers IPs (Intrusion Prevention System).Et donc dire que ce boitier est meilleur qu'un firewall.
Avez vous des arguments en ce sens ?
Je n'en suis qu'au début de mes recherches,peut être même que je ne suis pas dans le bon forum et si c'est le cas je vous prie de m'excuser.

Merci d'avance

[ram-0000]

C'est bien tu as déjà la conclusion de ton rapport il ne te reste plus que à écrire les pages qu'il y a juste avant. Je trouve cette démarche un peu ... bizarre.

IPS et firewall ne font pas du tout la même chose.
IPS = détection d'attaque
Firewall = équipement permettant la mise en place d'une politique de filtrage.

C'est vrai, certains firewall ont en plus un module IPS

[une_tite_question]

Merci de m'avoir répondu

Citation:

C'est bien tu as déjà la conclusion de ton rapport il ne te reste plus que à écrire les pages qu'il y a juste avant. Je trouve cette démarche un peu ... bizarre.

Je suis preneur de tout conseil quant aux méthodes ( j'suis pas très fort en rapport) mais il me semble que j'aurai droit à la question : qu'est ce que l'IPS apporte en plus.
Sinon est ce que dans l'ips il y aussi une analyse des paquets ou comment fonctionne t il ?

Merci

[ram-0000]

Citation:

Envoyé par une_tite_question

qu'est ce que l'IPS apporte en plus.

Le rôle d'un IPS est de détecter des attaques sur un réseau. Pour cela, il se base une une base de données de signatures d'attaque (comme un anti virus) et dès qu'il reconnait une signature, il en déduit que c'est une attaque et génére une alarme.

Le rôle d'un firewall est tout autre. Son but est de dire (par exemple) que les accès sortant directes en HTTP sont interdits, ils doivent passer par le proxy de l'entreprise. Les accès entrants Netbios sont interdits sauf s'ils proviennent de cette machine externe à destination de cette machine interne, etc. C'est du filtrage pur et dur.

Citation:

Envoyé par une_tite_question

Sinon est ce que dans l'ips il y aussi une analyse des paquets ou comment fonctionne t il ?

Bien sûr qu'il y a une analyse de paquets, c'est même le coeur du logiciel.

Regarde du côté de snort qui est un IDS gratuit.

Merci

[une_tite_question]

OK merci beaucoup

Je vois plus clair maintenant.
Mais j'ai quand même une autre question.
snort est un ids quel est la différence entre un ids qu'on installe sur un poste et un boitier dédié.
Je peux poser la même question pour un firewall ou un IPS.
En gros quelle est la différence de fonctionnement entre un firewall,IPS,IDS matériel et un firewall,IPS,IDS logiciel.
Comme les prix ne sont pas les mêmes est ce qu'on peut s'attendre à ce qu'il y ait une vraie analyse de trames dans les boitiers dédiés et ce qui ne serait pas le cas avec les logiciels ou bien dans les deux cas ce sont des logiciels qui font l'analyse.

Merci d'avance et j'essaie snort dès que possible

[ram-0000]

Citation:

Envoyé par une_tite_question

En gros quelle est la différence de fonctionnement entre un firewall,IPS,IDS matériel et un firewall,IPS,IDS logiciel.

A mon avis, c'est la même chose.

Ce que tu appelles un firewall ou IPS ou IDS matériel est un fait une boite noire (pour toi) vendue ou louée par un constructeur/intégrateur. Mais si tu regardes un peu dedans, tu t'apercois que bien souvent, c'est une carte mère/RAM/CPU/disque dur avec un OS (parfois/souvent Linux) et un software spécifique. Ainsi et sauf erreur de ma part, le firewall Netasq par exemple est une boite avec du hard, Linux et du soft spécifique développe/intégré par Netasq (ce qui n'enlève rien à leur qualité).

Ce que tu appelles un firewall ou IPS ou IDS logiciel, c'est du logiciel (gratuit ou payant) que tu peux/dois installer toi même sur une machine que tu dois fournir (cas de CheckPoint Firewall I par exemple ou encore snort)

[une_tite_question]

OK,
Merci beaucoup pour toutes ces infos et ta disponibilité,ça m'a remis beaucoup d'idées en place.Je marque le post comme résolu.

Merci et à bientôt