La sécurité est un sujet brûlant et ce depuis longtempsquelque temps. Il y a de nombreuses années, les virus étaient la seule préoccupation des administrateurs système. Les virus étaient si courants qu'ils ouvraient la voie à une gamme étonnante d'outils de prévention des virus. De nos jours, presque personne ne songerait à utiliser un ordinateur non protégé. Cependant, l'intrusion informatique, ou l'accès non autorisé à vos données par des utilisateurs malveillants, est la «menace du jour». Les réseaux sont devenus la cible de nombreux pirates malveillants qui se donneront beaucoup de mal pour accéder à vos données. Votre meilleure défense contre ces types de menaces est un système de détection ou de prévention des intrusions. Aujourd'hui, nous examinons dix des meilleurs outils gratuits de détection d'intrusions.
Avant de commencer, nous allons d'abord discuter de ladifférentes méthodes de détection des intrusions utilisées. Tout comme il existe de nombreuses façons dont les intrus peuvent pénétrer dans votre réseau, il existe autant de façons, voire davantage, de les détecter. Ensuite, nous allons discuter des deux principales catégories de système de détection d'intrusion: la détection d'intrusion réseau et la détection d'intrusion hôte. Avant de continuer, nous expliquerons ensuite les différences entre la détection des intrusions et la prévention des intrusions. Enfin, nous vous donnerons un bref aperçu de dix des meilleurs outils gratuits de détection d'intrusions que nous pourrions trouver.
Méthodes de détection des intrusions
Il existe essentiellement deux méthodes différentes pourdétecter les tentatives d'intrusion. Il peut s'agir d'une signature ou d'une anomalie. Voyons comment ils diffèrent. La détection d'intrusion basée sur les signatures fonctionne en analysant les données pour des modèles spécifiques qui ont été associés aux tentatives d'intrusion. C'est un peu comme les systèmes antivirus traditionnels qui reposent sur des définitions de virus. Ces systèmes compareront les données avec les modèles de signature d'intrusion pour identifier les tentatives. Leur principal inconvénient est qu'ils ne fonctionnent pas tant que la signature appropriée n'est pas téléchargée sur le logiciel, ce qui se produit généralement après qu'un certain nombre de machines ont été attaquées.
La détection des intrusions basée sur les anomaliesune meilleure protection contre les attaques zero-day, celles qui se produisent avant tout logiciel de détection d'intrusion a eu la chance d'acquérir le fichier de signature approprié. Au lieu d'essayer de reconnaître les modèles d'intrusion connus, ceux-ci rechercheront plutôt des anomalies. Par exemple, ils détecteraient que quelqu'un a essayé d'accéder à un système avec un mauvais mot de passe plusieurs fois, signe commun d'une attaque par force brute. Comme vous l'avez peut-être deviné, chaque méthode de détection a ses avantages. C'est pourquoi les meilleurs outils utilisent souvent une combinaison des deux pour une meilleure protection.
Deux types de systèmes de détection d'intrusion
Tout comme il existe différentes méthodes de détectionil existe également deux principaux types de systèmes de détection d'intrusions. Ils diffèrent principalement par l'emplacement où la détection d'intrusion est effectuée, soit au niveau de l'hôte, soit au niveau du réseau. Là encore, chacun a ses avantages et la meilleure solution - ou la plus sécurisée - est peut-être d'utiliser les deux.
Systèmes de détection d'intrusion hôte (HIDS)
Le premier type de système de détection d'intrusionfonctionne au niveau de l'hôte. Il pourrait, par exemple, vérifier divers fichiers journaux pour détecter tout signe d'activité suspecte. Il pourrait également fonctionner en vérifiant les fichiers de configuration importants pour les modifications non autorisées. C'est ce que ferait un HIDS basé sur une anomalie. D'un autre côté, les systèmes basés sur les signatures regarderaient le même journal et les mêmes fichiers de configuration, mais rechercheraient des schémas d'intrusion connus spécifiques. Par exemple, une méthode d'intrusion particulière peut être connue pour fonctionner en ajoutant une certaine chaîne à un fichier de configuration spécifique que l'IDS basé sur la signature détecterait.
Comme vous auriez pu l'imaginer, les HIDS sont installésdirectement sur l'appareil qu'ils sont censés protéger, vous devrez donc les installer sur tous vos ordinateurs. cependant, la plupart des systèmes ont une console centralisée où vous pouvez contrôler chaque instance de l'application.
Systèmes de détection d'intrusion réseau (NIDS)
Systèmes de détection d'intrusion réseau, ou NIDS,travailler à la frontière de votre réseau pour appliquer la détection. Ils utilisent des méthodes similaires à celles des systèmes de détection des intrusions sur l'hôte. Bien sûr, au lieu de rechercher des fichiers journaux et de configuration, ils examinent le trafic réseau tel que les demandes de connexion. Certaines méthodes d'intrusion sont connues pour exploiter les vulnérabilités en envoyant délibérément des paquets mal formés aux hôtes, les faisant réagir d'une manière particulière. Les systèmes de détection des intrusions sur le réseau pourraient facilement les détecter.
Certains diront que les NIDS sont meilleurs que les HIDScar ils détectent les attaques avant même qu'ils n'atteignent vos ordinateurs. Ils sont également meilleurs car ils ne nécessitent rien d'installation sur chaque ordinateur pour les protéger efficacement. En revanche, ils offrent peu de protection contre les attaques internes qui ne sont malheureusement pas du tout rares. Il s'agit d'un autre cas où la meilleure protection provient de l'utilisation d'une combinaison des deux types d'outils.
Détection d'intrusion contre prévention
Il existe deux genres différents d'outils dans lemonde de la protection contre les intrusions: systèmes de détection des intrusions et systèmes de prévention des intrusions. Bien qu'ils servent un objectif différent, il existe souvent un certain chevauchement entre les deux types d'outils. Comme son nom l'indique, la détection d'intrusion détectera les tentatives d'intrusion et les activités suspectes en général. Dans ce cas, il déclenchera généralement une sorte d'alarme ou de notification. Il appartient ensuite à l'administrateur de prendre les mesures nécessaires pour arrêter ou bloquer cette tentative.
Les systèmes de prévention des intrusions, d'autre part,travailler à empêcher les intrusions de se produire complètement. La plupart des systèmes de prévention des intrusions comprendront un composant de détection qui déclenchera une action chaque fois que des tentatives d'intrusion sont détectées. Mais la prévention des intrusions peut également être passive. Le terme peut être utilisé pour désigner toutes les étapes mises en place pour prévenir les intrusions. Nous pouvons penser à des mesures comme le durcissement des mots de passe, par exemple.
Les meilleurs outils de détection d'intrusion gratuits
Les systèmes de détection d'intrusion peuvent être coûteux,très cher. Heureusement, il existe de nombreuses alternatives gratuites disponibles. nous avons recherché sur Internet certains des meilleurs outils logiciels de détection d'intrusion. Nous en avons trouvé quelques-uns et nous sommes sur le point de passer brièvement en revue les dix meilleurs que nous avons pu trouver.
1. OSSEC
OSSEC, qui signifie Open Source Security, estde loin le système de détection d'intrusion hôte open source leader. OSSEC appartient à Trend Micro, l'un des principaux noms de la sécurité informatique. Le logiciel, lorsqu'il est installé sur des systèmes d'exploitation de type Unix, se concentre principalement sur les fichiers journaux et de configuration. Il crée des sommes de contrôle des fichiers importants et les valide périodiquement, vous alertant si quelque chose d'étrange se produit. Il surveillera et interceptera également toutes les tentatives étranges d'obtenir un accès root. Sous Windows, le système surveille également les modifications de registre non autorisées.
OSSEC, étant un système de détection d'intrusion hôtedoivent être installés sur chaque ordinateur que vous souhaitez protéger. Cependant, il consolidera les informations de chaque ordinateur protégé dans une seule console pour une gestion plus facile. Le logiciel ne fonctionne que sur les systèmes de type Unix mais un agent est disponible pour protéger les hôtes Windows. Lorsque le système détecte quelque chose, une alerte s'affiche sur la console et des notifications sont envoyées par e-mail.
2. Renifler
Tout comme OSSEC était le meilleur HIDS open-source,Snort est le NIDS open source leader. Snort est en fait plus qu'un outil de détection d'intrusion. C'est aussi un renifleur de paquets et un enregistreur de paquets. Mais ce qui nous intéresse pour l'instant, ce sont les fonctionnalités de détection d'intrusion de Snort. Un peu comme un pare-feu, Snort est configuré à l'aide de règles. Les règles de base peuvent être téléchargées sur le site Web de Snort et personnalisées en fonction de vos besoins spécifiques. Vous pouvez également vous abonner aux règles Snort pour vous assurer de toujours obtenir les dernières en fonction de l'évolution des nouvelles menaces.
Les règles Snort de base peuvent détecter une grande variétédes événements tels que les analyses de ports furtifs, les attaques de dépassement de tampon, les attaques CGI, les sondes SMB et les empreintes digitales du système d'exploitation. Ce que votre installation Snort détecte dépend uniquement des règles que vous avez installées. Certaines des règles de base proposées sont basées sur la signature tandis que d'autres sont basées sur les anomalies. L'utilisation de Snort peut vous offrir le meilleur des deux mondes
3. Suricata
Suricata se présente comme une intrusionsystème de détection et de prévention et comme écosystème complet de surveillance de la sécurité du réseau. L’un des meilleurs avantages de cet outil par rapport à Snort est qu’il fonctionne jusqu’à la couche application. Cela permet à l'outil de détecter les menaces qui pourraient passer inaperçues dans d'autres outils en étant réparties sur plusieurs paquets.
Mais Suricata ne fonctionne pas uniquement sur l'applicationcouche. Il surveillera également les protocoles de niveau inférieur tels que TLS, ICMP, TCP et UDP. L'outil comprend également des protocoles tels que HTTP, FTP ou SMB et peut détecter les tentatives d'intrusion cachées dans des demandes par ailleurs normales. Il existe également une fonction d'extraction de fichiers pour permettre aux administrateurs d'examiner eux-mêmes les fichiers suspects.
Sur le plan de l'architecture, Suricata est très bien fait etil répartira sa charge de travail sur plusieurs cœurs et threads de processeur pour les meilleures performances. Il peut même décharger une partie de son traitement sur la carte graphique. C'est une excellente fonctionnalité sur les serveurs car leur carte graphique est principalement au ralenti.
4. Bro Network Security Monitor
Le prochain sur notre liste est un produit appelé le BroNetwork Security Monitor, un autre système de détection d'intrusion réseau gratuit. Bro fonctionne en deux phases: enregistrement et analyse du trafic. Comme Suricata, Bro opère au niveau de la couche application, permettant une meilleure détection des tentatives d'intrusion fractionnée. Il semble que tout soit couplé à Bro et son module d'analyse est composé de deux éléments. Le premier est le moteur d'événements qui suit les événements déclencheurs tels que les connexions TCP nettes ou les requêtes HTTP. Les événements sont ensuite analysés par des scripts de stratégie qui décident de déclencher ou non une alerte et de lancer une action, faisant de Bro une prévention des intrusions en plus d'un système de détection.
Bro vous permettra de suivre HTTP, DNS et FTPainsi que de surveiller le trafic SNMP. C'est une bonne chose car, bien que SNMP soit souvent utilisé pour la surveillance du réseau, ce n'est pas un protocole sécurisé. Bro vous permet également de surveiller les modifications de configuration de l'appareil et les interruptions SNMP. Bro peut être installé sur Unix, Linux et OS X mais il n'est pas disponible pour Windows, peut-être son principal inconvénient.
5. Ouvrez WIPS NG
Open WIPS NG l'a fait sur notre liste principalement parce quec'est le seul qui cible spécifiquement les réseaux sans fil. Open WIPS NG - où WIPS signifie Wireless Intrusion Prevention System - est un outil open source qui comprend trois composants principaux. Tout d'abord, il y a le capteur qui est un appareil stupide qui ne capture que le trafic sans fil et l'envoie au serveur pour analyse. Vient ensuite le serveur. Celui-ci regroupe les données de tous les capteurs, analyse les données recueillies et répond aux attaques. C'est le cœur du système. Le dernier mais non le moindre est le composant d'interface qui est l'interface graphique que vous utilisez pour gérer le serveur et afficher des informations sur les menaces sur votre réseau sans fil.
Cependant, tout le monde n'aime pas Open WIPS NG. Le produit provient du même développeur que Aircrack NG, un renifleur de paquets sans fil et un pirate de mot de passe qui fait partie de la boîte à outils de chaque pirate WiFi. D'un autre côté, étant donné ses antécédents, nous pouvons supposer que le développeur en sait beaucoup sur la sécurité Wi-Fi.
6. Samhain
Samhain est un système de détection d'intrusion d'hôte gratuitqui permet de vérifier l'intégrité des fichiers et de surveiller / analyser les fichiers journaux. De plus, le produit effectue également la détection des rootkits, la surveillance des ports, la détection des exécutables SUID escrocs et les processus cachés. Cet outil a été conçu pour surveiller plusieurs systèmes avec différents systèmes d'exploitation avec une journalisation et une maintenance centralisées. Cependant, Samhain peut également être utilisé comme application autonome sur un seul ordinateur. Samhain peut s'exécuter sur des systèmes POSIX comme Unix Linux ou OS X. Il peut également s'exécuter sur Windows sous Cygwin bien que seul l'agent de surveillance et non le serveur ait été testé dans cette configuration.
L'une des caractéristiques les plus uniques de Samhain est sonmode furtif qui lui permet de fonctionner sans être détecté par d'éventuels attaquants. Trop souvent, les intrus tuent les processus de détection qu'ils reconnaissent, leur permettant de passer inaperçus. Samhain utilise la stéganographie pour cacher ses processus aux autres. Il protège également ses fichiers journaux centraux et ses sauvegardes de configuration avec une clé PGP pour empêcher toute falsification.
7. Fail2Ban
Fail2Ban est une intrusion d'hôte gratuit intéressantesystème de détection qui possède également certaines fonctionnalités de prévention. Cet outil fonctionne en surveillant les fichiers journaux pour détecter les événements suspects tels que les tentatives de connexion infructueuses, les exploits de recherche, etc. Lorsqu'il détecte quelque chose de suspect, il met automatiquement à jour les règles de pare-feu locales pour bloquer l'adresse IP source du comportement malveillant. Il s'agit de l'action par défaut de l'outil, mais toute autre action arbitraire, telle que l'envoi de notifications par e-mail, peut être configurée.
Le système est livré avec divers filtres prédéfinispour certains des services les plus courants comme Apache, Courrier, SSH, FTP, Postfix et bien d'autres. La prévention s'effectue en modifiant les tables de pare-feu de l'hôte. L'outil peut fonctionner avec Netfilter, IPtables ou la table hosts.deny de TCP Wrapper. Chaque filtre peut être associé à une ou plusieurs actions. Ensemble, les filtres et les actions sont appelés prison.
8. AIDE
AIDE est un acronyme pour Advanced IntrusionEnvironnement de détection. Le système gratuit de détection d'intrusion d'hôte se concentre principalement sur la détection des rootkits et les comparaisons de signatures de fichiers. Lorsque vous installez initialement AIDE, il compile une base de données de données d'administration à partir des fichiers de configuration du système. Il est ensuite utilisé comme référence par rapport auquel tout changement peut être comparé et éventuellement annulé si nécessaire.
AIDE utilise à la fois des signatures et des anomaliesanalyse exécutée à la demande et non planifiée ou exécutée en continu. Il s'agit en fait du principal inconvénient de ce produit. Cependant, AIDE est un outil en ligne de commande et un travail CRON peut être créé pour l'exécuter à intervalles réguliers. Et si vous l'exécutez très fréquemment, par exemple toutes les minutes, vous obtiendrez des données en temps quasi réel. A la base, AIDE n'est rien d'autre qu'un outil de comparaison de données. Des scripts externes doivent être créés pour en faire un véritable HIDS.
9. Oignon de sécurité
Security Onion est une bête intéressante qui peutvous fait gagner beaucoup de temps. Ce n'est pas seulement un système de détection ou de prévention des intrusions. Security Onion est une distribution Linux complète axée sur la détection d'intrusions, la surveillance de la sécurité d'entreprise et la gestion des journaux. Il comprend de nombreux outils, dont certains que nous venons de revoir. Par exemple, Security Onion propose Elasticsearch, Logstash, Kibana, Snort, Suricata, Bro, OSSEC, Sguil, Squert, NetworkMiner, etc. Tout cela est livré avec un assistant de configuration facile à utiliser, vous permettant de protéger votre organisation en quelques minutes. Vous pouvez considérer Security Onion comme le couteau suisse de la sécurité informatique des entreprises.
La chose la plus intéressante à propos de cet outil estque vous obtenez tout en une seule installation. Et vous disposez à la fois d'outils de détection d'intrusion réseau et hôte. Il existe des outils qui utilisent une approche basée sur les signatures et certains qui sont basés sur les anomalies. La distribution propose également une combinaison d'outils textuels et GUI. Il y a vraiment un excellent mélange de tout. L'inconvénient, bien sûr, est que vous obtenez tellement que tout configurer peut prendre un certain temps. Mais vous n'avez pas besoin d'utiliser tous les outils. Vous ne pouvez choisir que ceux que vous préférez.
10. Sagan
Sagan est en fait plus un système d'analyse des journauxqu'un véritable IDS, mais il possède des fonctionnalités de type IDS qui, selon nous, justifiaient son inclusion sur notre liste. Cet outil peut regarder les journaux locaux du système sur lequel il est installé, mais il peut également interagir avec d'autres outils. Il pourrait, par exemple, analyser les journaux de Snort, ajoutant efficacement certaines fonctionnalités NIDS à ce qui est essentiellement un HIDS. Et il n'interagira pas seulement avec Snort. Il peut également interagir avec Suricata et il est compatible avec plusieurs outils de création de règles comme Oinkmaster ou Pulled Pork.
Sagan a également des capacités d'exécution de scriptce qui en fait un système de prévention des intrusions brut. Cet outil ne sera probablement pas utilisé comme votre seule défense contre les intrusions, mais ce sera un excellent composant d'un système qui peut incorporer de nombreux outils en corrélant les événements de différentes sources.
Conclusion
Les systèmes de détection d'intrusions ne sont que l'un desde nombreux outils disponibles pour aider les administrateurs réseau et système à assurer le fonctionnement optimal de leur environnement. Tous les outils abordés ici sont excellents, mais chacun a un objectif légèrement différent. Celui que vous choisirez dépendra largement de vos préférences personnelles et de vos besoins spécifiques.
commentaires