Cisco édite la version 4.0 de son système de détection d’intrusion, IDS. Le constructeur a mis l’accent sur la gestion des fausses alertes, appelées aussi ‘ faux positifs ‘, qui parasitent les résultats.Un filtrage de premier niveau est effectué grâce à la combinaison de quatre grandes méthodes : le décodage de protocole, qui vérifie la stricte conformité des paquets aux RFC ; le Stateful Pattern Matching, qui se contente de
rechercher des codes malicieux dans les sessions ; le Pattern Matching, qui se fonde sur la base de signatures pour détecter les tentatives d’intrusion ; et enfin, la détection heuristique, qui exploite des méthodes statistiques.Ce dispositif peut être renforcé par le système optionnel Cisco Threat Response (CTR). CTR analyse l’impact de chaque alerte sur le système attaqué et renvoie le niveau de criticité réelle à la console d’administration.Fort de son expérience de constructeur de routeurs, le géant des réseaux a équipé IDS 4.0 d’un Shun. Ce système permet aux administrateurs de modifier, temporairement, la liste des contrôles d’accès
des routeurs pour bloquer certaines attaques.
Sous forme de carte ou de boîtier dédié
IDS 4.0 dispose d’une base de signatures composée de 400 familles d’attaques – y compris l’ARP Spoofing – ce qui lui permet de détecter plus de 1 700 intrusions. Toutefois, en
n’important pas la base de signatures de l’IDS open source Snort, Cisco ne suit pas la tendance qui se dégage actuellement dans le milieu des IDS, comme chez ISS et Enterasys, par exemple.IDS 4.0 est proposé sous deux formes : les boîtiers dédiés Cisco IDS 42xx, et le module IDSM-2, qui s’insère dans les commutateurs Catalyst 6500. Ces deux versions affichent les mêmes caractéristiques fonctionnelles. Seules
les performances diffèrent : les boîtiers analysent une bande passante de 45 Mbit/s à 1 Gbit/s (avec carte accélératrice), les modules IDSM-2 se limitent à 600 Mbit/s.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.