2.4.2.1. SNORT
SNORT est le leader du secteur dans le NIDS, mais son
utilisation est toujours libre. C'est l'un des rares IDS disponibles à
être installé sur Windows. Il a été
créé par Cisco. Le système peut fonctionner selon trois
modes différents et peut mettre en oeuvre des stratégies de
défense. Il s'agit donc d'un système de prévention des
intrusions ainsi que d'un système de détection des intrusions.
Les trois modes de SNORT sont : mode renifleur, enregistreur de paquets et
détection d'intrusion.
Vous pouvez utiliser SNORT comme un renifleur de paquets sans
activer ses fonctionnalités de détection d'intrusion. Dans ce
mode, vous obtenez une lecture en direct des paquets qui transitent par le
réseau. En mode d'enregistrement de paquets, ces détails sont
écrits dans un fichier.
La renommée de SNORT a attiré des adeptes dans
l'industrie du développement de logiciels. Un certain nombre
d'applications créées par d'autres éditeurs de logiciels
peuvent effectuer une analyse plus approfondie des données
collectées par SNORT. Ceux-ci incluent Snorby, BASE, Squil et Anaval.
Ces applications complémentaires vous aident à compenser le fait
que l'interface de SNORT n'est pas très conviviale.
2.4.2.2. Suricata
47
YABOUI Frèse
Inspection du trafic pour la détection et la
prévention d'intrusions
Suricata est probablement la principale alternative à
SNORT. Suricata présente un avantage essentiel par rapport à
SNORT, à savoir qu'il collecte des données au niveau de la couche
application. Cela surmonte le fait que SNORT est aveugle aux signatures
réparties sur plusieurs paquets TCP. Suricata attend que toutes les
données contenues dans les paquets soient assemblées avant de
transférer les informations dans l'analyse.
Bien que le système fonctionne au niveau de la couche
application, il est capable de surveiller l'activité du protocole
à des niveaux inférieurs, tels que IP, TLS, ICMP, TCP et UDP. Il
examine le trafic en temps réel pour différentes applications
réseau, notamment FTP, HTTP et SMB. Le moniteur ne se contente pas de
regarder la structure des paquets. Il peut examiner les certificats TLS et se
concentrer sur les requêtes HTTP et les appels DNS. Une fonction
d'extraction de fichier vous permet d'examiner et d'isoler les fichiers
suspects présentant des caractéristiques d'infection par le
virus.
2.4.2.3. Bro
Bro est un NIDS gratuit qui va au-delà de la
détection d'intrusion et peut également vous fournir d'autres
fonctions de surveillance du réseau. La communauté des
utilisateurs de Bro comprend de nombreuses institutions de recherche
universitaires et scientifiques.
La fonction de détection d'intrusion de Bro est
remplie en deux phases: enregistrement du trafic et analyse. Comme Suricata,
Bro possède un avantage majeur sur SNORT en ce sens que son analyse
s'applique au niveau application. Cela vous donne une visibilité sur les
paquets pour obtenir une analyse plus large de l'activité du protocole
réseau.
Le module d'analyse de Bro a deux éléments qui
travaillent à la fois sur l'analyse de signature et sur la
détection d'anomalies. Le premier de ces outils d'analyse est le moteur
d'événements Bro. Cela permet de suivre les
événements déclencheurs, tels qu'une nouvelle connexion
TCP ou une requête HTTP. Chaque événement est
enregistré, de sorte que cette partie du système est neutre en
termes de stratégie. Elle fournit uniquement une liste
d'événements dans lesquels l'analyse peut révéler
la répétition d'actions ou d'activités présentant
une diversité suspecte générées par le même
compte d'utilisateur.
L'exploitation de ces données
d'événement est effectuée par des scripts de
stratégie. Une condition d'alerte provoquant une action, Bro est donc un
système de prévention des intrusions ainsi qu'un analyseur de
trafic réseau. Les scripts de stratégie peuvent être
personnalisés, mais ils fonctionnent généralement dans un
cadre standard impliquant la correspondance des signatures, la détection
des anomalies et l'analyse des connexions.
48
YABOUI Frèse
Inspection du trafic pour la détection et la
prévention d'intrusions
Vous pouvez suivre les activités HTTP, DNS et FTP avec
Bro, mais aussi surveiller le trafic SNMP, vous permet de vérifier les
modifications de configuration du périphérique et les conditions
d'interruption SNMP. Chaque stratégie est un ensemble de règles
et vous n'êtes pas limité au nombre de stratégies actives
ou aux couches de pile de protocoles que vous pouvez examiner. Aux niveaux
inférieurs, vous pouvez surveiller les attaques par inondation DDoS syn
et détecter le contrôle des ports.
Bro peut être installé sur Unix, Linux et Mac
OS.
Tableau 5.2 : Comparaison des NIDS
NIDS
Critères
|
SNORT
|
Suricata
|
Bro
|
Mode de détection
|
Signatures et anomalies
|
Signatures et anomalies
|
Signatures et anomalies
|
Langage de signatures
|
Règles de SNORT (très facile à
élaborer)
|
Règles de SNORT
|
Règles
|
Réaction en temps réel
|
Oui
|
|
|
Plateforme
|
Windows, Unix et Linux
|
Windows, Unix, Linux et Mac OS
|
Unix, Linux et Mac OS
|
Open source
|
Oui
|
|
|
Coût
|
Gratuit
|
Gratuit
|
Gratuit
|
Source de données à analyser
|
Analyse de port furtif, attaques par dépassement de
mémoire tampon, attaques CGI, sondes SMB, empreintes digitales du
système d'exploitation
|
Données de la couche application, données de la
couche réseau
|
Données de la couche application, données de la
couche réseau
|
Version/fonctionnalité IPS
|
Oui
|
|
Oui
|
|
49
YABOUI Frèse
Inspection du trafic pour la détection et la
prévention d'intrusions
Outils frontal
|
Snorby, BASE, Squil et Anaval
|
Snorby, BASE, Squil et Anaval
|
|
|
2.4.3. Choix des solutions
En ce qui concerne le choix de notre HIDS on note qu'OSSEC et
Samhain se distinguent d'AIDE car ils ont plusieurs sources de données
à analyser et peuvent couvrir plusieurs hôtes. Ceci dit, OSSEC
prend l'avantage grâce à sa disponibilité multiplateforme
et la variété de ses outils frontaux.
Aussi en ce qui concerne le choix de notre NIDS on note que
SNORT se distingue de Suricata car il possède une version IPS et peut
réagir en temps réel. On note aussi que SNORT se distingue de Bro
à cause de la variété de ses outils frontaux et de sa
capacité à réagir en temps réel.
| 
