A quel endroit faut-il placer un IPS ? Derrière ou devant son firewall (FW) ? Oui, le bon sens est de positionner l’IPS derrière le FW. Mais quels sont les avantages et les éventuels inconvénients ? Le professeur Audenard vous explique.
de meilleures performances et une analyse plus poussée
Positionner un IPS derrière le FW permet de bénéficier des fonctions de filtrage du firewall. Ce qui a pour conséquence directe de faire que l’IPS traite moins de trafic.
Cela permettra :
- De maximiser l’efficacité de l’IPS : celui-ci n’aura pas à analyser du trafic inutile.
- D’augmenter la profondeur/puissance des fonctions d’analyse de l’IPS sur les flux autorisés à transiter (la puissance de traitement de l’IPS pourra donc être « concentrée » sur les flux à priori autorisés).
Positionner un IPS derrière un FW et non pas devant permettra donc de mieux rentabiliser l’IPS et/ou d’augmenter la profondeur de l’analyse. Autrement dit, moins gâchis et si il reste de la puissance de traitement de disponible alors il sera possible d’activer plus de règles d’analyse.
éviter de « pourrir » ses logs
L’un des grands défauts des IPS (et donc des IDS) c’est qu’un IPS génère potentiellement un volume très important de logs.
Trop de logs vont surcharger les systèmes de collecte et d'analyse. Ils vont surtout grandement alourdir le travail des personnes en charge du traitement et de l'analyse des alertes remontées.
Il est donc important de minimiser les logs générés au strict nécessaire. Pour avoir moins de log générés par un IPS il suffit simplement de faire en sorte que l’IPS ne voie que du trafic « pré-traité » et à priori utile.
En positionnant l'IPS derrière le FW et non pas devant :
- L'IPS n'analysera que les flux qui auront été autorisés à passer via le firewall : l'IPS n'aura donc pas besoin d'analyser du trafic qui aurait été de toute façon bloqué par le FW. Une attaque présente dans un flux qui aurait été de toute façon bloqué par le FW ne viendra donc pas s’ajouter aux logs.
- Comme les firewalls modernes ne laissent passer que les flux respectant les normes et standards, en positionnant l’IPS derrière le FW, il ne devra pas analyser ces flux. Encore moins de logs concernant les flux « mal formés ».
Positionner un IPS derrière le FW va donc aussi permettre de diminuer de façon importante le volume de logs générés. Si moins de logs sont générés cela viendra diminuer les coûts de collecte et d’analyse mais permettra surtout de simplifier l’analyse de ces logs.
… néanmoins une certaine perte de visibilité
En positionnant l'IPS derrière le FW, celui-ci aura naturellement moins de visibilité sur les flux à destination du réseau ciblé.
L’IPS sera dans l’incapacité de détecter les tentatives de reconnaissance comme les scans de ports car ces paquets auront potentiellement été bloqués par le FW.
Positionner un IPS (ou plutôt un IDS dans ce cas) en amont du FW, c'est-à-dire devant, offrira "un point de vue" optimal pour un analyste sécurité à la recherche de « signaux faibles ». Cependant, positionner un IDS/IPS devant le Firewall reste un déploiement dont l'intérêt reste limité aux entreprises et organisations les plus matures et avancées.
le déploiement en mode manchot
Si le déploiement d’un IPS derrière le FW reste le grand classique, il est aussi possible de le déployer en « mode manchot ». Dans un tel déploiement l’IPS est positionné au même niveau que le FW, ce dernier étant configuré pour rediriger certains des flux (mais pas d’autres) vers l’IPS. Cela permet de rendre l’ensemble plus résistant mais aussi de monter des architectures plus « customisées » dans lesquelles plusieurs IPS travaillent de concert sans être tous en coupure directe des flux. Les principes sont les mêmes que ceux du « FW en mode manchot connecté sur un routeur ».
IDS et IPS : quelle est la différence
Pour rappel, un IPS (Intrusion Prevention System) et un IDS (Intrusion Detection System) sont des systèmes appartenant à la même famille. Ils analysent les flux réseaux afin d’y détecter les attaques (IDS – Détection uniquement) et dans le cas des IPS les attaques détectées sont bloquées (IPS – Détection puis blocage).
Un IPS peut être configuré en mode « sans blocage », dans ce cas il fonctionne comme un IDS. Les IDS et IPS s’appuient sur des dictionnaires d’attaques connues (les « bases de signatures d’attaques »).
Comme l’IPS doit être en mesure d’intervenir et de bloquer certains flux, celui-ci est classiquement déployé en « coupure » d’un lien réseau. Comme un IDS est « lecture seule » vis-à-vis des flux, ce dernier est souvent déployé sur un « port tap » (ou en mode « sniffing ») afin qu’il soit en mesure d’analyser le trafic (un IDS pouvant être aussi déployé en « coupure »).
Le professeur Audenard est sur Twitter : @ProfAudenard – Posez-lui vos questions ou proposez-lui un sujet pour un épisode à venir !
Jean-François (Jeff) Audenard.
Au sein de la direction sécurité du Groupe Orange, je suis en charge de la veille sécurité et de la sensibilisation à la sécurité. Franchise, optimisme et bonne-humeur sont mes moteurs quotidiens