2.4.1.3. Samhain
Samhain, produit par Samhain Design Labs en Allemagne, est un
système de détection d'intrusion basé sur un hôte
qui est libre d'utilisation. Il peut être exécuté sur un
seul ordinateur ou sur plusieurs hôtes, offrant une collecte de
données centralisée sur les événements
détectés par les agents exécutés sur chaque
ordinateur.
Les tâches effectuées par chaque agent incluent
la vérification de l'intégrité des fichiers, la
surveillance des fichiers journaux et des ports. Les processus recherchent des
virus de rootkit, des SUID non autorisés (droits d'accès
utilisateur) et des processus cachés. Le système applique un
cryptage aux communications entre les agents et un contrôleur central
dans les implémentations multi-hôtes. Les connexions pour la
livraison des données de fichier
45
YABOUI Frèse
Inspection du trafic pour la détection et la
prévention d'intrusions
journal incluent des exigences d'authentification,
qui empêchent les intrus de détourner ou de remplacer le
processus de surveillance.
Les données recueillies par Samhain permettent
d'analyser les activités du réseau et de mettre en
évidence les signes avant-coureurs d'une intrusion. Cependant,
cela ne bloquera pas l'intrusion et ne supprimera pas les processus
indésirables. Vous devrez conserver des sauvegardes de vos fichiers de
configuration et de vos identités d'utilisateur afin de résoudre
les problèmes révélés par le moniteur Samhain.
Tableau 4.1: Comparaison des HIDS
HIDS
Critères
|
OSSEC
|
AIDE
|
Samhain
|
Mode de détection
|
Signature
|
Signature et anomalies
|
|
Réaction en temps réel
|
Oui
|
Oui
|
|
Plateforme
|
Windows, Unix, Linux et Mac OS
|
Unix, Linux et Mac OS
|
Unix, Linux et Mac OS
|
Open source
|
Oui
|
|
Oui
|
Coût
|
Gratuit
|
Gratuit
|
Gratuit
|
Source de données à analyser
|
Surveillance des fichiers journaux de l'ordinateur
(données FTP, mail, serveur Web, journaux
d'événement du système
d'exploitation, tables du pare-feu, antivirus, journaux de
trafic),
surveillance du registre, surveillance
|
Comparaison des signatures de fichiers
|
Vérification de l'intégrité des
fichiers, surveillance des fichiers journaux et des ports.
|
|
46
YABOUI Frèse
Inspection du trafic pour la détection et la
prévention d'intrusions
|
de l'accès au compte root
|
|
|
Detection des rootkits
|
Oui
|
Oui
|
Oui
|
Ajout d'add-ons
|
Oui
|
|
|
Nombre d'hôte
|
Un ou plusieurs
|
|
Un ou plusieurs
|
Outil frontal
|
Splunk, Kibana et Graylog
|
|
|
|
2.4.2. Systèmes de détection d'intrusions
réseau (NIDS)
Parmi les systèmes de détection d'intrusions
réseau (NIDS), nous pouvons citer : SNORT, Suricata et Bro.
|