2.4.1. Systèmes de détection d'intrusions
basée sur l'hôte (HIDS)
Parmi les systèmes de détection d'intrusions
basée sur l'hôte (HIDS), nous pouvons citer : OSSEC, AIDE et
Samhain.
2.4.1.1. OSSEC
OSSEC signifie Open Source RIDS Security. C'est le principal
RIDS disponible et son utilisation est entièrement gratuite. En tant que
système de détection d'intrusion basé sur l'hôte, le
programme se concentre sur les fichiers journaux de l'ordinateur sur lequel
vous l'installez. Il surveille les signatures de somme de contrôle de
tous vos fichiers journaux pour détecter les éventuelles
interférences. Sous Windows, il gardera un oeil sur toute modification
apportée au registre. Sur les systèmes de type Unix, il
surveillera toutes les tentatives d'accès au compte root. Bien qu'OSSEC
soit un projet open source, il appartient en réalité à
Trend Micro, un producteur de logiciels de sécurité de premier
plan.
L'application de surveillance principale peut couvrir un ou
plusieurs hôtes et consolider les données dans une console. Bien
qu'un agent Windows autorise la surveillance des ordinateurs Windows,
l'application principale ne peut être installée que sur un
système de type Unix, ce qui signifie Unix, Linux ou Mac OS. Il existe
une interface pour OSSEC pour le programme principal, mais celle-ci est
installée séparément et n'est plus prise en charge. Les
utilisateurs réguliers d'OSSEC ont découvert d'autres
applications qui fonctionnent bien comme outil frontal pour l'outil de collecte
de données: notamment Splunk, Kibana et Graylog.
44
YABOUI Frèse
Inspection du trafic pour la détection et la
prévention d'intrusions
2.4.1.2. AIDE
«Advanced Intrusion Detection Environment»
(Environnement de détection d'intrusion avancée) est une
tâche ardue. Les développeurs de cet IDS ont donc
décidé de raccourcir son nom en AIDE. Il s'agit d'un HIDS gratuit
qui se concentre sur la détection des rootkits et la comparaison des
signatures de fichiers pour les systèmes d'exploitation Unix et
similaires, de sorte qu'il fonctionne également sur Mac OS et Linux.
Le système compile une base de données de
données admin à partir de fichiers de configuration lors de sa
première installation. Cela crée une base de
référence, puis toute modification de configuration peut
être annulée à chaque fois que des modifications de
paramètres système sont détectées. L'outil comprend
à la fois des méthodes de surveillance des signatures et des
anomalies. Les vérifications du système sont émises
à la demande et ne fonctionnent pas en permanence, ce qui est un peu un
manque à gagner avec ce HIDS. Comme il s'agit d'une fonction de ligne de
commande, vous pouvez planifier son exécution périodique avec une
méthode d'exploitation telle que cron. Si vous voulez des données
en temps quasi réel, vous pouvez simplement planifier leur
exécution très fréquemment.
AIDE n'est en réalité qu'un outil de
comparaison de données et n'incluant aucun langage de script, vous devez
vous appuyer sur vos compétences en scripts shell pour intégrer
des fonctions de recherche de données et d'implémentation de
règles dans ce HIDS. Peut-être que AIDE devrait plutôt
être considéré comme un outil de gestion de la
configuration plutôt que comme un système de détection
d'intrusions.
|