- - Systèmes de détection d'intrusion basés sur le réseau: 5 meilleurs outils NIDS à utiliser

Systèmes de détection d'intrusion en réseau: 5 meilleurs outils NIDS à utiliser

Il semble que tout le monde est concerné de nos joursavec sécurité. Cela a du sens lorsque l'on considère l'importance de la cybercriminalité. Les organisations sont ciblées par des pirates qui tentent de voler leurs données ou de leur causer d'autres préjudices. Vous pouvez protéger votre environnement informatique contre ces attaques en utilisant les bons outils et systèmes. Souvent, la première ligne de défense se situe au périmètre du réseau sous la forme de systèmes de détection d'intrusion basés sur le réseau ou NIDS. Ces systèmes analysent le trafic entrant sur votreréseau à partir d'Internet pour détecter toute activité suspecte et vous alerter immédiatement. Les NIDS sont si populaires et si nombreux sont disponibles que trouver le meilleur pour vos besoins peut être une entreprise difficile. Pour vous aider, nous avons rassemblé cette liste des meilleurs systèmes de détection d'intrusion basés sur le réseau.


Nous allons commencer notre voyage en jetant un œil à ladifférents types de système de détection d'intrusion. Il existe essentiellement deux types: basés sur le réseau et basés sur l'hôte. Nous expliquerons leurs différences. Les systèmes de détection d'intrusion diffèrent également sur la méthode de détection qu'ils utilisent. Certains d'entre eux utilisent une approche basée sur les signatures tandis que d'autres s'appuient sur l'analyse comportementale. Les meilleurs outils utilisent une combinaison des deux méthodes de détection. Le marché est saturé de systèmes de détection et de prévention des intrusions. Nous allons explorer comment ils diffèrent et comment ils se ressemblent, car il est important de comprendre la distinction. Enfin, nous passerons en revue les meilleurs systèmes de détection d'intrusion basés sur le réseau et présenterons leurs fonctionnalités les plus importantes.

Détection d'intrusion basée sur le réseau ou sur l'hôte

Les systèmes de détection d'intrusion sont l'un des deuxles types. Ils partagent tous deux un objectif identique - détecter rapidement les tentatives d'intrusion ou les activités suspectes pouvant conduire à des tentatives d'intrusion - mais ils diffèrent par l'emplacement du point d'application qui se réfère à l'endroit où la détection est effectuée. Chaque type d'outil de détection d'intrusion présente des avantages et des inconvénients. Il n'y a pas de véritable consensus sur lequel est préférable. Certains ne jurent que par un type tandis que d'autres ne feront confiance qu'à l'autre. Les deux ont probablement raison. La meilleure solution - ou la plus sécurisée - est probablement celle qui combine les deux types.

Systèmes de détection d'intrusion réseau (NIDS)

Le premier type de système de détection d'intrusion estappelé Network Intrusion Detection System ou NIDS. Ces systèmes fonctionnent à la frontière du réseau pour appliquer la détection. Ils interceptent et examinent le trafic réseau, recherchant des activités suspectes qui pourraient indiquer une tentative d'intrusion et recherchant également des schémas d'intrusion connus. Les intrus tentent souvent d'exploiter les vulnérabilités connues de divers systèmes en envoyant, par exemple, des paquets mal formés à des hôtes, en les faisant réagir d'une manière particulière qui leur permet d'être violés. Un système de détection d'intrusion réseau détectera très probablement ce type de tentative d'intrusion.

Certains soutiennent que la détection d'intrusion réseauLes systèmes sont meilleurs que leur homologue basé sur l'hôte, car ils peuvent détecter les attaques avant même qu'elles n'atteignent vos systèmes. Certains ont également tendance à les préférer car ils ne nécessitent rien d’installation sur chaque hôte pour les protéger efficacement. En revanche, ils offrent peu de protection contre les attaques internes qui ne sont malheureusement pas du tout rares. Pour être détectée, une tentative d'intrusion d'un attaquant doit passer par le NIDS, ce qu'elle fait rarement lorsqu'elle provient de l'intérieur. Toute technologie a ses avantages et ses inconvénients et c'est le cas spécifique de la détection d'intrusion, rien ne vous empêche d'utiliser les deux types d'outils pour une protection ultime.

Systèmes de détection d'intrusion hôte (HIDS)

Les systèmes de détection d'intrusion hôte (HIDS) fonctionnentau niveau de l'hôte; vous l'avez peut-être deviné d'après leur nom. Ils surveilleront, par exemple, divers fichiers journaux et journaux pour détecter tout signe d'activité suspecte. Ils peuvent également détecter les tentatives d'intrusion en vérifiant les fichiers de configuration du système pour détecter les modifications non autorisées. Ils peuvent également examiner ces mêmes fichiers pour des modèles d'intrusion connus spécifiques. Par exemple, une méthode d'intrusion particulière peut être connue pour fonctionner en ajoutant un certain paramètre à un fichier de configuration spécifique. Un bon système de détection d'intrusion basé sur l'hôte le rattraperait.

Bien que leur nom puisse vous faire penser quetous les HIDS sont installés directement sur l'appareil qu'ils sont censés protéger, ce n'est pas nécessairement le cas. Certains devront être installés sur tous vos ordinateurs tandis que d'autres ne nécessiteront que l'installation d'un agent local. Certains font même tout leur travail à distance sans agent. Peu importe comment ils fonctionnent, la plupart des HIDS ont une console centralisée où vous pouvez contrôler chaque instance de l'application et afficher tous les résultats.

Méthodes de détection des intrusions

Les systèmes de détection d'intrusion ne diffèrent pas seulement parpoint d'application, ils diffèrent également par la méthode qu'ils utilisent pour détecter les tentatives d'intrusion. Certains sont basés sur des signatures tandis que d'autres sont basés sur des anomalies. Les premiers fonctionnent en analysant les données pour des modèles spécifiques qui ont été associés aux tentatives d'intrusion. Ceci est similaire aux systèmes de protection antivirus traditionnels qui reposent sur des définitions de virus. La détection des intrusions basée sur les signatures repose sur des signatures ou des modèles d'intrusions. Ils comparent les données capturées avec les signatures d'intrusion pour identifier les tentatives d'intrusion. Bien sûr, ils ne fonctionneront pas tant que la signature appropriée n'aura pas été téléchargée sur le logiciel, ce qui ne peut parfois se produire qu'après un certain nombre de machines attaquées et que les éditeurs de signatures d'intrusion aient eu le temps de publier de nouveaux packages de mise à jour. Certains fournisseurs sont assez rapides tandis que d'autres n'ont pu réagir que quelques jours plus tard. C'est le principal inconvénient de cette méthode de détection.

La détection des intrusions basée sur les anomalies offre une meilleureprotection contre les attaques zero-day, celles qui se produisent avant tout logiciel de détection d'intrusion a eu la chance d'acquérir le fichier de signature approprié. Ils recherchent des anomalies au lieu d'essayer de reconnaître les schémas d'intrusion connus. Par exemple, une personne essayant d'accéder à un système avec un mauvais mot de passe plusieurs fois de suite déclencherait une alerte car il s'agit d'un signe courant d'une attaque par force brute. Ces systèmes peuvent détecter rapidement toute activité suspecte sur le réseau. Chaque méthode de détection présente des avantages et des inconvénients et, tout comme avec les deux types d'outils, les meilleurs outils sont probablement ceux qui utilisent une combinaison d'analyse de signature et de comportement.

Détection ou prévention?

Certaines personnes ont tendance à se confondre entresystèmes de détection et de prévention des intrusions. Bien qu'ils soient étroitement liés, ils ne sont pas identiques bien qu'il existe un certain chevauchement de fonctionnalités entre les deux. Comme son nom l'indique, les systèmes de détection d'intrusion détectent les tentatives d'intrusion et les activités suspectes. Lorsqu'ils détectent quelque chose, ils déclenchent généralement une forme d'alerte ou de notification. Il appartient ensuite aux administrateurs de prendre les mesures nécessaires pour arrêter ou bloquer la tentative d'intrusion.

Les systèmes de prévention des intrusions (IPS) franchissent une étapeplus loin et peut empêcher complètement les intrusions. Les systèmes de prévention des intrusions comprennent un composant de détection - qui est fonctionnellement équivalent à un système de détection des intrusions - qui déclenchera une action corrective automatique chaque fois qu'une tentative d'intrusion est détectée. Aucune intervention humaine n'est requise pour arrêter la tentative d'intrusion. La prévention des intrusions peut également désigner tout ce qui est fait ou mis en place comme un moyen de prévenir les intrusions. Par exemple, le renforcement du mot de passe ou le verrouillage des intrus peuvent être considérés comme des mesures de prévention des intrusions.

Les meilleurs outils de détection d'intrusion réseau

Nous avons recherché le meilleur sur le marchéSystèmes de détection d'intrusion basés sur le réseau. Notre liste contient un mélange de véritables systèmes de détection d'intrusion basés sur l'hôte et d'autres logiciels qui ont un composant de détection d'intrusion basé sur le réseau ou qui peuvent être utilisés pour détecter les tentatives d'intrusion. Chacun de nos outils recommandés peut aider à détecter les tentatives d'intrusion sur votre réseau.

1. Moniteur de menaces SolarWinds - Édition IT Ops (Demo gratuite)

SolarWinds est un nom courant dans le domaine deoutils d'administration réseau. La société existe depuis environ 20 ans et nous a apporté certains des meilleurs outils d'administration de réseau et de système. Son produit phare, le Network Performance Monitor, se classe régulièrement parmi les meilleurs outils de surveillance de la bande passante réseau. SolarWinds propose également d'excellents outils gratuits, chacun répondant à un besoin spécifique des administrateurs réseau. Le serveur Kiwi Syslog et la calculatrice de sous-réseau avancée en sont deux bons exemples.

Pour la détection d'intrusion basée sur le réseau, SolarWinds offre la Surveillance des menaces - Edition IT Ops. Contrairement à la plupart des autres outils SolarWinds, cel'un est un service basé sur le cloud plutôt qu'un logiciel installé localement. Il vous suffit de vous y abonner, de le configurer et il commence à surveiller votre environnement pour détecter les tentatives d'intrusion et quelques autres types de menaces. le Surveillance des menaces - Edition IT Ops combine plusieurs outils. Il possède à la fois une détection d'intrusion sur le réseau et sur un hôte, ainsi qu'une centralisation et une corrélation des journaux, ainsi qu'une gestion des informations et des événements de sécurité (SIEM). Il s'agit d'une suite de surveillance des menaces très complète.

Moniteur de menaces SolarWinds - Édition Ops IT - Tableau de bord

  • DEMO GRATUITE: Moniteur de menaces SolarWinds - Édition IT Ops
  • Lien de téléchargement officiel: https://www.solarwinds.com/threat-monitor/registration

le Surveillance des menaces - Edition IT Ops est toujours à jour, constamment mis à jourrenseignements sur les menaces provenant de sources multiples, y compris les bases de données IP et de réputation de domaine. Il surveille les menaces connues et inconnues. L'outil comporte des réponses intelligentes automatisées permettant de remédier rapidement aux incidents de sécurité, ce qui lui confère des fonctionnalités de type prévention des intrusions.

Les fonctionnalités d’alerte du produit sont assezimpressionnant. Il existe des alarmes multi-conditionnelles à corrélation croisée qui fonctionnent conjointement avec le moteur de réponse active de l'outil et aident à identifier et à résumer les événements importants. Le système de génération de rapports est aussi efficace que son système d’alerte et peut être utilisé pour démontrer la conformité à l’aide de modèles de rapport prédéfinis existants. Vous pouvez également créer des rapports personnalisés pour répondre précisément aux besoins de votre entreprise.

Prix ​​pour le Moniteur de menaces SolarWinds - Édition IT Ops commencez à 4 500 $ pour un maximum de 25 nœuds en 10 joursd'index. Vous pouvez contacter SolarWinds pour un devis détaillé adapté à vos besoins spécifiques. Et si vous préférez voir le produit en action, vous pouvez demander une démo gratuite à SolarWinds.

2. Renifler

Renifler est certainement le NIDS open source le plus connu. Mais Renifler est en fait plus qu'un outil de détection d'intrusion. C'est aussi un renifleur de paquets et un enregistreur de paquets et il contient également quelques autres fonctions. Pour l'instant, nous allons nous concentrer sur les fonctionnalités de détection d'intrusion de l'outil, car c'est le sujet de cet article. La configuration du produit rappelle la configuration d'un pare-feu. Il est configuré à l'aide de règles. Vous pouvez télécharger les règles de base depuis le Renifler site Web et utilisez-les tels quels ou personnalisez-les selon vos besoins. Vous pouvez également vous abonner à Renifler règles pour obtenir automatiquement les dernières règles au fur et à mesure de leur évolution ou de la découverte de nouvelles menaces.

Snort IDS Console sous Windows

Trier est très complet et même ses règles de base peuventdétecter une grande variété d'événements tels que les analyses de ports furtifs, les attaques par dépassement de tampon, les attaques CGI, les sondes SMB et les empreintes digitales du système d'exploitation. Il n'y a pratiquement aucune limite à ce que vous pouvez détecter avec cet outil et ce qu'il détecte dépend uniquement du jeu de règles que vous installez. En ce qui concerne les méthodes de détection, certaines des règles de base de Snort sont basées sur des signatures tandis que d'autres sont basées sur des anomalies. Snort peut donc vous offrir le meilleur des deux mondes.

3. Suricata

Suricata n'est pas seulement un système de détection d'intrusion. Il possède également certaines fonctionnalités de prévention des intrusions. En fait, il est présenté comme un écosystème complet de surveillance de la sécurité du réseau. L’un des meilleurs atouts de cet outil est son fonctionnement jusqu’au niveau de la couche application. Cela en fait un système hybride basé sur un réseau et sur un hôte, qui permet à l'outil de détecter les menaces qui ne passeraient probablement pas inaperçues avec les autres outils.

Capture d'écran Suricata

Suricata est une véritable détection d'intrusion basée sur le réseauSystème et cela ne fonctionne pas seulement au niveau de la couche application. Il surveillera les protocoles de mise en réseau de niveau inférieur tels que TLS, ICMP, TCP et UDP. L'outil comprend et décode également les protocoles de niveau supérieur tels que HTTP, FTP ou SMB et peut détecter les tentatives d'intrusion cachées dans des demandes par ailleurs normales. L'outil dispose également de capacités d'extraction de fichiers permettant aux administrateurs d'examiner tout fichier suspect.

SuricataL’architecture d’application est assez innovante. L'outil répartira sa charge de travail sur plusieurs cœurs et threads de processeur pour optimiser les performances. Au besoin, il peut même décharger une partie de son traitement sur la carte graphique. C'est une fonctionnalité intéressante lorsque vous utilisez l'outil sur des serveurs car leur carte graphique est généralement sous-utilisée.

4. Bro Moniteur de sécurité réseau

le Moniteur de sécurité réseau, un autre système de détection d’intrusion sur le réseau libre. L'outil fonctionne en deux phases: la journalisation du trafic et l'analyse du trafic. Tout comme le Suricata, Moniteur de sécurité réseau fonctionne sur plusieurs couches dans la couche d'application. Cela permet une meilleure détection des tentatives d'intrusion fractionnée. le Moniteur de sécurité réseauLe module d’analyse est composé de deux éléments. Le premier élément est appelé le moteur d'événements et il suit les événements déclencheurs tels que les connexions TCP nettes ou les requêtes HTTP. Les événements sont ensuite analysés par des scripts de politique, le deuxième élément, qui décident de déclencher ou non une alarme et / ou de lancer une action. La possibilité de lancer une action donne au Moniteur de sécurité réseau certaines fonctionnalités de type IPS.

Bro Network Secirity Monitor - Capture d'écran IDS

le Moniteur de sécurité réseau vous permettra de suivre l'activité HTTP, DNS et FTPet il surveillera également le trafic SNMP. C'est une bonne chose car SNMP est souvent utilisé pour la surveillance du réseau mais ce n'est pas un protocole sécurisé. Et comme il peut également être utilisé pour modifier des configurations, il pourrait être exploité par des utilisateurs malveillants. L'outil vous permettra également de surveiller les modifications de configuration de l'appareil et les interruptions SNMP. Il peut être installé sur Unix, Linux et OS X mais il n'est pas disponible pour Windows, ce qui est peut-être son principal inconvénient.

5. Oignon de sécurité

Il est difficile de définir ce que Oignon de sécurité est. Ce n'est pas seulement un système de détection ou de prévention des intrusions. Il s'agit en réalité d'une distribution Linux complète axée sur la détection des intrusions, la surveillance de la sécurité des entreprises et la gestion des journaux. En tant que tel, cela peut faire gagner beaucoup de temps aux administrateurs. Il comprend de nombreux outils, dont certains que nous venons de revoir. Security Onion comprend Elasticsearch, Logstash, Kibana, Snort, Suricata, Bro, OSSEC, Sguil, Squert, NetworkMiner, etc. Pour faciliter la configuration, la distribution est fournie avec un assistant de configuration facile à utiliser, vous permettant de protéger votre organisation en quelques minutes. Si nous devions décrire Oignon de sécurité en une phrase, nous dirions que c'est le couteau suisse de la sécurité informatique des entreprises.

Onion de sécurité - onglet Événements

L'une des choses les plus intéressantes à ce sujetoutil est que vous obtenez tout en une seule installation. Pour la détection d'intrusion, l'outil vous offre des outils de détection d'intrusion basés sur le réseau et sur l'hôte. Le package combine également des outils qui utilisent une approche basée sur les signatures et des outils basés sur les anomalies. En outre, vous trouverez une combinaison d’outils basés sur du texte et d’interface graphique. Il existe vraiment une excellente combinaison d'outils de sécurité. Il y a un inconvénient principal à Security Oignon. Avec autant d'outils inclus, leur configuration peut s'avérer être une tâche considérable. Cependant, vous n'avez pas besoin d'utiliser et de configurer tous les outils. Vous êtes libre de choisir uniquement ceux que vous souhaitez utiliser. Même si vous n'utilisez que quelques-uns des outils inclus, ce serait probablement une option plus rapide que de les installer séparément.

Lire aussi

Qu'est-ce qu'un renifleur de réseau et à quoi sert-il?
ContaCam: Créer un système de surveillance avec des webcams, WDM et DV
Motion Monitor - Transformez votre webcam en caméra de sécurité avec détection de mouvement
Gestionnaire de journaux et d'événements SolarWinds vs Splunk - Examen comparatif
Les chevaux de Troie d'accès à distance (RAT) - Que sont-ils et comment se protéger contre eux?
6 meilleurs systèmes de détection d'intrusion basés sur l'hôte (HIDS) en 2019
7 meilleurs systèmes de prévention des intrusions (IPS) pour 2019
6 outils de gestion de l'information et de la sécurité (SIEM) à vérifier en 2019
14 meilleurs outils de sécurité réseau pour des environnements plus sûrs en 2019
Top 10 des outils de détection d'intrusion: vos meilleures options gratuites pour 2019
Le guide ultime de la sécurité réseau - y compris les outils essentiels
Ajouter Ok Détection Google à tous les écrans de votre appareil [Pas de racine]

commentaires