Un NIPS (Network Intrusion Prevention System) est l’évolution active du NIDS. Contrairement à ce dernier qui se contente de détecter et alerter, le NIPS est placé en mode inline (dans le flux réseau) et dispose de la capacité de bloquer, rejeter ou modifier en temps réel les paquets malveillants avant qu’ils n’atteignent leur cible.
NIDS vs NIPS : le NIDS observe le trafic via port miroir et génère des alertes sans jamais intervenir sur le flux. Le NIPS est placé inline dans le chemin des données — tout paquet doit passer par lui avant d’atteindre sa destination.
Positionnement et architecture
Mode Inline
Le NIPS est placé directement dans le chemin des données, entre deux équipements réseau (routeur/pare-feu, pare-feu/switch, switch/serveur…). Tout paquet doit transiter par le NIPS avant d’atteindre sa destination, ce qui lui confère la capacité d’agir en temps réel sur le trafic.
Positionnements typiques dans l’infrastructure
- Entre le pare-feu périmétrique et la DMZ : protection des serveurs exposés à Internet
- Entre la DMZ et le LAN interne : protection contre les mouvements latéraux
- En coupure sur les liens inter-VLAN critiques : protection des assets sensibles
- Devant un serveur de base de données : protection contre les injections SQL
Mode Fail-Open vs Fail-Close
| Mode | Comportement en cas de panne | Impact sécurité | Impact disponibilité |
|---|---|---|---|
| Fail-Open | Le trafic passe sans analyse (bypass) | Fort — aucune protection | Nul — continuité garantie |
| Fail-Close | Le trafic est bloqué entièrement | Nul — protection maximale | Élevé — coupure réseau |
| Bypass matériel | Bypass automatique via lien dédié de secours | Acceptable — alertes actives | Minimal — quasi-transparent |
Mécanismes de prévention
Actions disponibles sur un NIPS
- Drop : suppression silencieuse du paquet malveillant sans notification à l’émetteur
- Reject : suppression + envoi d’un TCP RST ou ICMP Unreachable à l’émetteur
- Throttle : limitation de bande passante pour les flux suspects (rate-limiting)
- Shunning / Block IP : blocage temporaire ou permanent de toutes les communications d’une IP source
- Quarantine : isolation de l’hôte compromis dans un VLAN de quarantaine
- TCP Reset : injection d’un paquet RST pour terminer une session suspecte
Contre-mesures spécifiques aux attaques du projet
| Attaque | Outil utilisé | Détection NIPS | Action recommandée |
|---|---|---|---|
| Scan SYN furtif | nmap -sS |
Règle SYN flood / portscan detection | Drop + Block IP source |
| Scan UDP massif | nmap -sU |
Détection scan UDP multiples ports | Drop + Rate-limit |
| Fingerprinting service | nmap -sV |
Détection banner grabbing / OS fingerprint | Alert + Log |
| SYN Flood DoS | hping3 --flood --syn |
SYN rate exceeded threshold | Block IP + Alerte SOC |
| HTTP Flood applicatif | hping3 -p 80 --flood |
HTTP request rate anomaly per IP | Throttle + Block IP |
Solutions du marché
Suricata en mode IPS (recommandé)
Suricata peut fonctionner en mode NIDS ou NIPS. En mode IPS inline (via NFQueue sous Linux ou via DPDK pour hautes performances), il peut bloquer activement les paquets correspondant à des règles.
Configuration en mode IPS (Linux) :
- Utilisation de NFQueue : iptables/nftables redirige le trafic vers Suricata via une queue
- Mode AF_PACKET : capture et injection directe via le driver réseau (plus performant)
- Règles avec action
dropau lieu dealertpour bloquer activement - Logs EVE JSON envoyés vers Wazuh pour corrélation et tableau de bord
Snort 3 en mode NIPS
Snort 3 supporte le mode inline via DAQ (Data Acquisition Library). En mode IPS, les règles peuvent utiliser l’action drop au lieu de alert. Compatible avec NFQueue, DPDK, AF_PACKET.
Stormshield SN160 (solution du projet)
Le boîtier Stormshield SN160 est un NGFW intégrant nativement des fonctionnalités NIPS avancées. Solution française certifiée par l’ANSSI (Visa de Sécurité), elle propose un moteur IPS haute performance avec proxy SSL/TLS pour l’inspection des flux HTTPS chiffrés.
Fonctionnalités NIPS du Stormshield SN160 :
- Moteur IPS intégré avec signatures applicatives (Application Based Signatures — ABS)
- ASQ (Active Security Qualification) : analyse contextuelle et stateful des protocoles
- Protection contre DoS, scans de ports, exploits, protocoles malformés, buffer overflows
- Filtrage géographique : blocage par pays d’origine des connexions
- Proxy SSL/TLS : décryptage et inspection des flux HTTPS (C&C, malwares chiffrés)
- Débit maximal : 400 Mbps (firewall) / 200 Mbps (IPS activé)
Autres solutions
- Cisco FirePOWER NGIPS : threat intelligence Cisco Talos, 60 milliards de requêtes analysées quotidiennement
- Palo Alto Networks Threat Prevention : combine IPS, App-ID, DNS Security et WildFire (sandboxing cloud)
- Fortinet FortiGate IPS : excellent rapport qualité/prix, adapté PME comme grandes entreprises
Tableau comparatif
| Solution | Type | Déploiement | Performance | Certification | Coût |
|---|---|---|---|---|---|
| Suricata IPS | Open Source | Linux NFQ/AF_PKT | Très haute | N/A | Gratuit |
| Snort 3 IPS | Open Source | Linux DAQ/NFQ | Haute | N/A | Gratuit |
| Stormshield SN160 | Appliance NGFW | Inline matériel | Haute (400Mbps) | ANSSI Visa | Moyen |
| Cisco FirePOWER | Appliance/VM | Inline | Très haute | CC EAL4+ | Élevé |
| Palo Alto NGFW | Appliance/VM | Inline | Très haute | CC EAL4+ | Très élevé |
| FortiGate IPS | Appliance/VM | Inline | Haute | CC EAL4+ | Moyen-élevé |
Application au projet Alert’Intrusion
Pour ce projet, deux couches de prévention complémentaires sont déployées :
- Stormshield SN160 : NIPS périmétrique entre Internet et la DMZ (imposé par le cahier des charges), certifié ANSSI, avec proxy SSL pour inspection HTTPS
- Suricata IPS + Wazuh : protection complémentaire en interne, mode IPS pour les flux LAN et détection comportementale post-intrusion
Cette double protection constitue une architecture Defense in Depth conforme aux recommandations de l’ANSSI (guide PDIS).