2.4.4.4. Dépendances de SNORT 2.4.4.4.1.
Barnyard2
Barnyard2 est un fork du projet étable barnyad,
conçue spécifiquement pour SNORT et le nouveau format de fichier
unified2. Barnyard2 est en développement actif et continue de s'adapter
en fonction des commentaires des utilisateurs.
La version actuelle de 2 à 1,8 a les
caractéristiques suivantes:
· traitement des sorties Délestage de vos
fichiers d'alerte de SNORT à un processus dédié, en
minimisant les paquets perdus en soi;
· analyse unified2 fichiers ;
· utilise la syntaxe de configuration similaire à
celle de SNORT pour simplifier le déploiement ;
· supporte tous les plugins de sortie de SNORT (sauf
alert_sf_socket) ainsi que deux plugins supplémentaires (Sguil et
CEF).
Barnyard2 a été écrit à partir de
zéro et tirant parti hors des routines fondamentales de SNORT et
continuellement est aligné sur les dernières versions de SNORT.
Il est distribué sous la licence GPLv2.
2.4.4.4.2. BASE
Par défaut, les alertes de SNORT sont
enregistrées dans un simple fichier texte. L'analyse de ce fichier
n'était pas aisée, même en utilisant des outils de filtre
et de tri. C'est pour cette raison qu'il est vivement conseillé
d'utiliser des outils de monitoring. Parmi ceux-ci, le plus vogue actuellement
est BASE (Basic Analysis and Security Engine), un projet open-source
basé sur Acid (Analysis Console for Intrusion Database). La console BASE
est une application Web écrite en PHP qui interface la base de
données dans laquelle SNORT stocke ses alertes.
Pour fonctionner, BASE a besoin d'un certain nombre de
dépendances :
· Un SGBD installé : par exemple MySQL ;
56
YABOUI Frèse
Inspection du trafic pour la détection et la
prévention d'intrusions
· SNORT : compilé avec le support de ce SGBD ;
· Un serveur http : par exemple Apche ;
· PHP5 : module PHP ;
· PHP5-mysql : interface PHP/MySQL ;
· la bibliothèque ADODB (Active DATA Objects DATA
Base) : c'est une bibliothèque destinée à communiquer avec
différents systèmes de gestion de base de données (SGBD)
comme MySQL, SQL Server,etc. Ecrite au début en PHP, il existe
également une version en Python ;
· PHP-mail : extension PHP ;
· PHP-gd ;
· PHP-pear.
2.4.5. Présentation générale
d'OSSEC
OSSEC est une plate-forme pour surveiller et contrôler
vos systèmes. Il associe tous les aspects de HIDS (détection
d'intrusion sur hôte), de surveillance des journaux et de gestion des
incidents de sécurité (SIM) / gestion des informations de
sécurité et des événements (SIEM) dans une solution
simple, puissante et à code source ouvert.
|