Unified threat management

Sources Wikipedia:

En sécurité informatique, Unified threat management, ou UTM (en français : gestion unifiée des menaces) est un terme inventé par Charles Kolodgy du cabinet de conseil IDC (International Data Corporation) en 2004 et utilisé pour décrire des pare-feu réseau qui possèdent de nombreuses fonctionnalités supplémentaires qui ne sont pas disponibles dans les pare-feu traditionnels.

Parmi les fonctionnalités présentes dans un UTM, outre le pare-feu traditionnel, on cite généralement le filtrage anti-spam, un logiciel antivirus, un système de détection ou de prévention d’intrusion (IDS ou IPS), et un filtrage de contenu applicatif (filtrage URL).

Toutes ces fonctionnalités sont regroupés dans un même boîtier, généralement appelé appliance.

Système de détection d’intrusion

Un système de détection d’intrusion (ou IDS: Intrusion Detection System) est un mécanisme destiné à repérer des activités anormales ou suspectes sur la cible analysée (un réseau ou un hôte). Il permet ainsi d’avoir une connaissance sur les tentatives réussies comme échouées des intrusions.

Les familles de systèmes de détection d’intrusion

Il existe trois grandes familles distinctes d’IDS :

• Les NIDS (Network Based Intrusion Detection System), qui surveillent l’état de la sécurité au niveau du réseau.
• Les HIDS (HostBased Intrusion Detection System), qui surveillent l’état de la sécurité au niveau des hôtes.
• Les IDS hybrides, qui utilisent les NIDS et HIDS pour avoir des alertes plus pertinentes.

Les HIDS sont particulièrement efficaces pour déterminer si un hôte est contaminé et les NIDS permettent de surveiller l’ensemble d’un réseau contrairement à un HIDS qui est restreint à un hôte.

Système de prévention d’intrusion

Un système de prévention d’intrusion (ou IPS, intrusion prevention system) est un outil des spécialistes en sécurité des systèmes d’information, similaire aux IDS, permettant de prendre des mesures afin de diminuer les impacts d’une attaque. C’est un IDS actif, il détecte un balayage automatisé, l’IPS peut bloquer les ports automatiquement. Les IPS peuvent donc parer les attaques connues et inconnues. Comme les IDS, ils ne sont pas fiables à 100 % et risquent même en cas de faux positif de bloquer du trafic légitime.

Fonctionnement des IPS

• Les HIPS (host-based intrusion prevention system) qui sont des IPS permettant de surveiller le poste de travail à travers différentes techniques, ils surveillent les processus, les drivers, les .dll etc. En cas de détection de processus suspect le HIPS peut le tuer pour mettre fin à ses agissements. Les HIPS peuvent donc protéger des attaques de buffer overflow.
• Les NIPS (network intrusion prevention system) sont des IPS permettant de surveiller le trafic réseau, ils peuvent prendre des mesures telles que terminer une session TCP. Une déclinaison en WIPS (wireless intrusion prevention system) est parfois utilisée pour évoquer la protection des réseaux sans-fil.
• Il existe aussi les KIPS (kernel intrusion prevention system) qui permettent de détecter toutes tentatives d’intrusion au niveau du noyau, mais ils sont moins utilisés.