Bonjour,
Les IDS sont les prédécesseurs des IPS, la plupart des clients qui ont utilisés (ou utilisent) des IDS aujourd'hui migrent vers l'IPS ou ne se servent carrément plus de leur IDS (soit il est sur une etagere soit il tourne mais n'est plus maintenu ni surveillé)
L'IDS, c'est la détection d'intrusion, on est capable de dire qu'une attaque se passe sur le réseau, mais celle ci à déjà atteint les serveurs, routeurs et autres éléments.
l'IPS c'est de la prévention, généralement produit en coupure, celui ci ne fait pas que de l'écoute et du reporting, il est actif et selon la configuration, vous pouvez bloquer les attaques et les notifiers.
Des attaques par DDos ou Dos, peuvent être abordées de différentes manières selon les produits, il est possible de bloquer, de notifier ou de limiter l'impact (en rapport avec la bande passante) en créant un systèmes de limitation.
les IPS les plus performants vont être utilisés en périmétrie (Wan, protection des liens directe sur le web) mais également en coeur de réseaux (avec des politiques par exemple de mise en quarantaine d'un poste découvert et ayant un soucis, virus, etc...) voir dans des interconnections de sites hétérogènes.
l'IPS n'est pas la contrairement a ce que peuvent penser certains pour remplacer un Firewall ou un Antivirus, mais il va être fortement complémentaire, n'agissant pas du tout sur le même principe.
Aujourd'hui, les marques les plus connues est réputées sont Tippingpoint, ISS, Mcafee et Juniper. Les mieux classées sont Tippingpoint (leader du marché 36%) ISS / Mcafee (15%) et Juniper (14%) la grosse différence entre ces différentes marques et que le leader est directement arrivé sur le monde de l'IPS alors que les autres sont passés par l'IDS (ISS), ce qui amène quelques défaut (performances, précisions, etc...)
Plusieurs présentations ou études on étaient faites par Frost & Sullivan, Gartners, Infonetics, ICSA, NSS, etc... qui ont fait en 2006/2007 des études globales des leader de ce segment dont les points principaux etaient la granularité et finesse de prévention (% de faille détecté sur une attaque, faux positif, faux négatif, etc...) la performance (temps de latence, débit possible) et la simplicité d'utilisation, d'administration et de reporting (le principe étant de passer le moins de temps possible en configuration et en analyse des reportes effectués)
Voila, pour plus d'informations, il faut aller chercher chez ceux qui ont fait les études (qui sont dispo dans la majorité des cas sur le web) ou se rapprocher de professionnel du métier comme les distributeurs de ces marques ou les marques elle meme...
pour notre part, nous utilisons dans l'entreprise TippingPoint depuis presque 2 ans maintenant...
@+
Audit ids/ips
