Tout le monde veut garder les intrus hors de leurmaison. De même, et pour des raisons similaires, les administrateurs de réseau s'efforcent d'empêcher les intrus d'entrer dans les réseaux qu'ils gèrent. Les données constituent l’un des atouts les plus importants de nombreuses organisations d’aujourd’hui. Il est si important que de nombreuses personnes mal intentionnées s’efforcent de voler ces données. Ils le font en utilisant une vaste gamme de techniques pour obtenir un accès non autorisé aux réseaux et aux systèmes. Le nombre de ces attaques semble avoir augmenté de manière exponentielle récemment et, en réaction, des systèmes sont mis en place pour les prévenir. Ces systèmes sont appelés systèmes de prévention des intrusions, ou IPS. Nous examinons aujourd’hui les meilleurs systèmes de prévention des intrusions que nous avons pu trouver.
Nous commencerons par essayer de mieux définir ce queLa prévention des intrusions est. Cela implique bien entendu que nous définissions également ce qu'est une intrusion. Nous explorerons ensuite les différentes méthodes de détection généralement utilisées et les mesures correctives à prendre lors de la détection. Ensuite, nous parlerons brièvement de la prévention des intrusions passives. Ce sont des mesures statiques qui peuvent être mises en place et qui pourraient réduire considérablement le nombre de tentatives d’intrusion. Vous serez peut-être surpris d'apprendre que certains d'entre eux n'ont rien à voir avec les ordinateurs. Alors seulement, avec nous tous sur la même page, nous pourrons enfin examiner certains des meilleurs systèmes de prévention des intrusions que nous avons pu trouver.
Prévention d'intrusion - De quoi s'agit-il?
Il y a des années, les virus étaient pratiquement les seulspréoccupations des administrateurs système. Les virus sont arrivés à un point où ils étaient si courants que l'industrie a réagi en développant des outils de protection antivirus. Aujourd'hui, aucun utilisateur sérieux et avisé ne songe à utiliser un ordinateur sans protection antivirus. Bien que nous n'entendions plus beaucoup de virus, l'intrusion ou l'accès non autorisé à vos données par des utilisateurs malveillants est la nouvelle menace. Les données étant souvent l’atout le plus important d’une entreprise, les réseaux d’entreprise sont devenus la cible de pirates informatiques mal intentionnés qui se donneront beaucoup de mal pour accéder aux données. Tout comme les logiciels de protection antivirus étaient la solution à la prolifération des virus, les systèmes de prévention des intrusions sont la solution aux attaques d’intrus.
Les systèmes de prévention des intrusions font essentiellement deuxdes choses. Premièrement, ils détectent les tentatives d’intrusion et, quand ils détectent des activités suspectes, ils utilisent différentes méthodes pour les arrêter ou les bloquer. Les tentatives d’intrusion peuvent être détectées de deux manières différentes. La détection par signature consiste à analyser le trafic et les données du réseau et à rechercher des modèles spécifiques associés à des tentatives d'intrusion. Ceci est similaire aux systèmes de protection antivirus traditionnels qui reposent sur des définitions de virus. La détection d'intrusion basée sur la signature repose sur des signatures ou des modèles d'intrusion. Le principal inconvénient de cette méthode de détection est qu’elle nécessite le chargement des signatures appropriées dans le logiciel. Et lorsqu'une nouvelle méthode d'attaque est utilisée, il y a généralement un délai avant la mise à jour des signatures d'attaque. Certains fournisseurs fournissent très rapidement les signatures d'attaque mises à jour, tandis que d'autres sont beaucoup plus lents. La fréquence et la rapidité avec lesquelles les signatures sont mises à jour est un facteur important à prendre en compte lors du choix d'un fournisseur.
La détection basée sur les anomalies offre une meilleure protectioncontre les attaques du jour zéro, celles qui se produisent avant les signatures de détection ont eu la possibilité d'être mises à jour. Le processus recherche les anomalies au lieu d'essayer de reconnaître les modèles d'intrusion connus. Par exemple, cela serait déclenché si quelqu'un essayait d'accéder à un système avec un mot de passe incorrect plusieurs fois de suite, signe commun d'une attaque par force brute. Ce n’est qu’un exemple et il existe généralement des centaines d’activités suspectes pouvant déclencher ces systèmes. Les deux méthodes de détection ont leurs avantages et leurs inconvénients. Les meilleurs outils sont ceux qui combinent signature et analyse du comportement pour une protection optimale.
Détecter une tentative d’intrusion est l’une des premièresde les prévenir. Une fois détectés, les systèmes de prévention des intrusions travaillent activement à arrêter les activités détectées. Plusieurs actions correctives différentes peuvent être entreprises par ces systèmes. Ils pourraient, par exemple, suspendre ou désactiver des comptes d'utilisateurs. Une autre action typique consiste à bloquer l'adresse IP source de l'attaque ou à modifier les règles du pare-feu. Si l'activité malveillante provient d'un processus spécifique, le système de prévention peut le tuer. Le démarrage d’un processus de protection est une autre réaction courante et, dans le pire des cas, des systèmes complets peuvent être fermés pour limiter les dommages potentiels. Une autre tâche importante des systèmes de prévention des intrusions consiste à alerter les administrateurs, à enregistrer l'événement et à signaler les activités suspectes.
Mesures de prévention passive des intrusions
Alors que les systèmes de prévention des intrusions peuvent protégercontre de nombreux types d’attaques, rien ne vaut les bonnes mesures de prévention des intrusions passives à l’ancienne. Par exemple, imposer des mots de passe forts est un excellent moyen de protection contre de nombreuses intrusions. Une autre mesure de protection simple consiste à modifier les mots de passe par défaut des équipements. Bien que cela soit moins fréquent dans les réseaux d’entreprise, même si ce n’est pas inhabituel, j’ai trop souvent vu des passerelles Internet avec leur mot de passe administrateur par défaut. En ce qui concerne les mots de passe, le vieillissement des mots de passe est une autre étape concrète qui peut être mise en place pour réduire les tentatives d'intrusion. N'importe quel mot de passe, même le meilleur, peut éventuellement être déchiffré si on dispose de suffisamment de temps. L'ancienneté du mot de passe garantit que les mots de passe seront modifiés avant qu'ils ne soient déchiffrés.
Il y avait juste des exemples de ce qui pourrait être fait pourempêcher passivement les intrusions. Nous pourrions écrire un article entier sur les mesures passives pouvant être mises en place, mais ce n'est pas notre objectif aujourd'hui. Notre objectif est plutôt de présenter certains des meilleurs systèmes de prévention d'intrusion actifs.
Les meilleurs systèmes de prévention des intrusions
Notre liste contient un mélange de divers outils pouvantêtre utilisé pour se protéger contre les tentatives d'intrusion. La plupart des outils inclus sont de vrais systèmes de prévention des intrusions, mais nous incluons également des outils qui, sans être commercialisés en tant que tels, peuvent être utilisés pour prévenir les intrusions. Notre première entrée en est un exemple. N'oubliez pas que, plus que tout, votre choix de l'outil à utiliser doit être guidé par vos besoins spécifiques. Voyons ce que chacun de nos meilleurs outils peut offrir.
1. Gestionnaire de journaux et d'événements SolarWinds (ESSAI GRATUIT)
SolarWinds est un nom connu dans le réseauadministration. Il jouit d'une solide réputation en tant que l'un des meilleurs outils d'administration de réseau et de système. Son produit phare, le moniteur de performances du réseau, se classe régulièrement parmi les meilleurs outils de surveillance de la bande passante du réseau disponibles. SolarWinds est également célèbre pour ses nombreux outils gratuits, chacun répondant à un besoin spécifique des administrateurs réseau. Le serveur Syslog Kiwi ou le serveur TFTP SolarWinds sont deux excellents exemples de ces outils gratuits.
Ne laissez pas le Gestionnaire de journaux et d'événements SolarWindsLe nom te trompe. Il y a beaucoup plus que ce que l'on voit. Certaines des fonctionnalités avancées de ce produit le qualifient de système de détection et de prévention des intrusions, tandis que d'autres le classent dans la gamme SIEM (Security Information and Event Management). L'outil, par exemple, présente une corrélation d'événements en temps réel et une correction en temps réel.
- ESSAI GRATUIT: Gestionnaire de journaux et d'événements SolarWinds
- Lien de téléchargement officiel: https://www.solarwinds.com/log-event-manager-software/registration
le Gestionnaire de journaux et d'événements SolarWinds possède une détection instantanée de suspectactivité (une fonctionnalité de détection d'intrusion) et des réponses automatisées (une fonctionnalité de prévention d'intrusion). Cet outil peut également être utilisé pour effectuer des enquêtes sur les événements de sécurité et des analyses judiciaires. Il peut être utilisé à des fins d'atténuation et de conformité. L'outil propose des rapports éprouvés par l'audit qui peuvent également être utilisés pour démontrer la conformité à divers cadres réglementaires tels que HIPAA, PCI-DSS et SOX. L'outil permet également la surveillance de l'intégrité des fichiers et des périphériques USB. Toutes les fonctionnalités avancées du logiciel en font une plate-forme de sécurité intégrée plus qu'un simple système de gestion des journaux et des événements que son nom vous laisserait croire.
Les fonctionnalités de prévention des intrusions du Gestionnaire de journaux et d'événements SolarWinds fonctionne en mettant en œuvre des actions appelées ActiveRéponses chaque fois que des menaces sont détectées. Différentes réponses peuvent être liées à des alertes spécifiques. Par exemple, le système peut écrire sur les tables de pare-feu pour bloquer l'accès au réseau d'une adresse IP source identifiée comme effectuant des activités suspectes. L'outil peut également suspendre des comptes d'utilisateurs, arrêter ou démarrer des processus et arrêter des systèmes. Vous vous souviendrez que ce sont précisément les actions de correction que nous avons identifiées auparavant.
Prix pour le Gestionnaire de journaux et d'événements SolarWinds varie en fonction du nombre de nœuds surveillés. Les prix commencent à 4585 USD pour un maximum de 30 nœuds surveillés et des licences peuvent être achetées pour un maximum de 2500 nœuds, ce qui rend le produit hautement évolutif. Si vous souhaitez tester le produit et voir par vous-même s'il vous convient, une version d'essai gratuite et complète de 30 jours est disponible.
2. Splunk
Splunk est probablement l'un des systèmes de prévention des intrusions les plus populaires. Il est disponible dans plusieurs éditions différentes avec différents ensembles de fonctionnalités. Splunk Enterprise Security-ou Splunk ES, comme on l'appelle souvent - est ce dont vous avez besoin pour une véritable prévention des intrusions. Le logiciel surveille les données de votre système en temps réel, à la recherche de vulnérabilités et de signes d’activité anormale.
La réponse de sécurité est l’un des points forts du produitcostumes et ce qui en fait un système de prévention des intrusions. Il utilise ce que le fournisseur appelle le Adaptive Response Framework (ARF). Il s'intègre aux équipements de plus de 55 fournisseurs de solutions de sécurité et peut effectuer des réponses automatisées, accélérant les tâches manuelles. Cette combinaison, en cas de correction automatique et d’intervention manuelle, peut vous donner les meilleures chances de prendre rapidement le dessus. L'outil a une interface utilisateur simple et épurée, ce qui en fait une solution gagnante. Parmi les autres fonctionnalités de protection intéressantes figurent la fonction «Notables», qui affiche des alertes personnalisables par l'utilisateur, et le «Asset Investigator», qui permet de signaler les activités malveillantes et d'éviter d'autres problèmes.
Splunk Enterprise SecurityLes informations sur les prix ne sont pas facilement disponibles. Vous devrez contacter le service commercial de Splunk pour obtenir un devis détaillé. C'est un excellent produit pour lequel un essai gratuit est disponible.
3. Sagan
Sagan est fondamentalement un système de détection d'intrusion gratuit. Cependant, l'outil qui dispose de fonctionnalités d'exécution de script peut le placer dans la catégorie Systèmes de prévention des intrusions. Sagan détecte les tentatives d'intrusion via la surveillance des fichiers journaux. Vous pouvez aussi combiner Sagan avec Snort qui peut alimenter sa sortie Sagan donnant à l'outil des capacités de détection d'intrusion basées sur le réseau. En réalité, Sagan peut recevoir des informations de nombreux autres outils tels que Bro ou Suricata, combinant les capacités de plusieurs outils pour une protection optimale.
Il y a un piège à SaganLes capacités d’exécution de script, cependant. Vous devez écrire les scripts de correction. Bien que cet outil ne soit peut-être pas le meilleur moyen de défense contre les intrusions, il pourrait constituer un élément clé d’un système qui intègre plusieurs outils en mettant en corrélation les événements de différentes sources, pour vous offrir le meilleur de nombreux produits.
Tandis que Sagan ne peut être installé que sur Linux, Unix et Mac OS,il peut se connecter aux systèmes Windows pour obtenir leurs événements. Parmi les autres fonctionnalités intéressantes de Sagan, on peut citer le suivi de l’adresse IP et le traitement distribué.
4. OSSEC
Sécurité Open Source, ou OSSEC, est l’un des principaux hébergeurs open-sourceSystème de détection d'intrusion. Nous l’inscrivons sur notre liste pour deux raisons. Sa popularité est telle qu'il a fallu l'inclure, d'autant plus que l'outil vous permet de spécifier des actions à exécuter automatiquement chaque fois que des alertes spécifiques sont déclenchées, ce qui lui confère des fonctionnalités de prévention des intrusions. OSSEC appartient à Trend Micro, l’un des leaders de la sécurité informatique et l’un des meilleurs systèmes de protection antivirus.
Lorsqu'il est installé sur des systèmes d'exploitation de type Unix,Le moteur de détection du logiciel se concentre principalement sur les fichiers journaux et de configuration. Il crée des totaux de contrôle des fichiers importants et les vérifie périodiquement, en vous alertant ou en déclenchant une action corrective chaque fois que quelque chose d'étrange se produit. Il va également surveiller et alerter sur toute tentative anormale d'obtenir un accès root. Sous Windows, le système garde également un œil sur les modifications de registre non autorisées car elles pourraient être le signe révélateur d'une activité malveillante. Toute détection déclenchera une alerte qui sera affichée sur la console centralisée, tandis que les notifications seront également envoyées par courrier électronique.
OSSEC est un système de protection contre les intrusions basé sur l'hôte. En tant que tel, il doit être installé sur chaque ordinateur que vous souhaitez protéger. Cependant, une console centralisée consolide les informations de chaque ordinateur protégé pour une gestion plus facile. le OSSEC La console ne fonctionne que sur les systèmes d'exploitation de type Unix, mais un agent est disponible pour protéger les hôtes Windows. Vous pouvez également utiliser d’autres outils tels que Kibana ou Graylog.
5. Ouvrez WIPS-NG
Nous ne savions pas trop si nous devions inclure Ouvrez WIPS NG sur notre liste. Plus à ce sujet dans un instant. Cela s’explique principalement par le fait qu’il est l’un des seuls produits spécifiquement destiné aux réseaux sans fil. Ouvrez WIPS NG–Où WIPS signifie Wireless Intrusion (Intrusion sans fil)Prevention System est un outil open source composé de trois composants principaux. Il y a d'abord le capteur. Il s'agit d'un processus stupide qui capture simplement le trafic sans fil et l'envoie au serveur pour analyse. Comme vous l'avez probablement deviné, le composant suivant est le serveur. Il agrège les données de tous les capteurs, analyse les données collectées et répond aux attaques. Ce composant est le coeur du système. Le dernier mais non le moindre est le composant d'interface qui est l'interface graphique que vous utilisez pour gérer le serveur et afficher des informations sur les menaces détectées sur votre réseau sans fil.
La principale raison pour laquelle nous avons hésité avant d’inclure Ouvrez WIPS NG sur notre liste, que, aussi bon soit-il, pasTout le monde aime le développeur du produit. Il provient du même développeur que Aircrack NG, un détecteur de paquets sans fil et un pirate de mots de passe qui font partie de la boîte à outils de chaque pirate WiFi. Cela ouvre le débat sur l’éthique du développeur et inquiète certains utilisateurs. Par ailleurs, les antécédents du développeur peuvent être considérés comme une preuve de sa connaissance approfondie de la sécurité Wi-Fi.
6. Fail2Ban
Fail2Ban est une intrusion d'hôte gratuite relativement populairesystème de détection avec fonctions de prévention des intrusions. Le logiciel surveille les fichiers journaux du système pour détecter des événements suspects tels que des tentatives de connexion infructueuses ou des tentatives d’exploitation. Lorsque le système détecte quelque chose de suspect, il réagit en mettant automatiquement à jour les règles de pare-feu locales pour bloquer l'adresse IP source du comportement malveillant. Ceci, bien sûr, implique que certains processus de pare-feu s'exécutent sur la machine locale. C’est le principal inconvénient de cet outil. Cependant, toute autre action arbitraire, telle que l'exécution d'un script correctif ou l'envoi de notifications par courrier électronique, peut être configurée.
Fail2Ban est fourni avec plusieurs détecteurs pré-construitsdes déclencheurs appelés filtres, couvrant certains des services les plus courants tels qu'Apache, Courrier, SSH, FTP, Postfix et bien d'autres. Comme nous l’avons dit, les actions de correction s’effectuent en modifiant les tables de pare-feu de l’hôte. Fail2Ban prend en charge Netfilter, IPtables ou la table hosts.deny de TCP Wrapper. Chaque filtre peut être associé à une ou plusieurs actions. Ensemble, les filtres et les actions sont appelés une prison.
7. Moniteur de sécurité réseau
le Moniteur de sécurité réseau est une autre détection d'intrusion sur le réseau libresystème avec fonctionnalité IPS-like. Cela fonctionne en deux phases, il enregistre d'abord le trafic et ensuite il l'analyse. Cet outil fonctionne sur plusieurs couches jusqu’à la couche d’application, ce qui permet une meilleure détection des tentatives d’intrusion fractionnée. Le module d’analyse du produit est composé de deux éléments. Le premier élément s'appelle le moteur d'événements. Son objectif est de suivre les événements déclencheurs tels que les connexions TCP ou les requêtes HTTP. Les événements sont ensuite analysés par des scripts de stratégie, le deuxième élément. Le travail des scripts de stratégie consiste à décider s’il faut déclencher une alarme, lancer une action ou ignorer l’événement. C’est la possibilité de lancer une action qui donne à la Moniteur de sécurité réseau sa fonctionnalité IPS.
le Moniteur de sécurité réseau a quelques limitations. Il suivra uniquement les activités HTTP, DNS et FTP et surveillera également le trafic SNMP. C’est néanmoins une bonne chose, car le protocole SNMP est souvent utilisé pour la surveillance du réseau malgré ses graves problèmes de sécurité. SNMP a à peine une sécurité intégrée et utilise un trafic non chiffré. Et comme le protocole peut être utilisé pour modifier des configurations, il pourrait facilement être exploité par des utilisateurs malveillants. Le produit surveillera également les modifications de la configuration du périphérique et les interruptions SNMP. Il peut être installé sous Unix, Linux et OS X, mais il n’est pas disponible sous Windows, ce qui constitue peut-être son principal inconvénient. Sinon, c'est un outil très intéressant qui vaut la peine d'être essayé.
commentaires