2.4.5.2.7. Vérification de
l'intégrité des fichiers
Toute attaque contre vos réseaux et vos ordinateurs
présente un point commun: ils modifient vos systèmes d'une
manière ou d'une autre. L'objectif de la vérification de
l'intégrité des fichiers (ou FIM - surveillance de
l'intégrité des fichiers) est de détecter ces
modifications et de vous alerter lorsqu'elles se produisent. Il peut s'agir
d'une attaque, d'une utilisation abusive par un employé ou même
d'une faute de frappe par un administrateur. Toute modification de fichier, de
répertoire ou de registre vous sera signalée.
2.4.5.2.8. Surveillance du journal
Votre système d'exploitation veut vous parler, mais
savez-vous écouter? Chaque système d'exploitation, application et
périphérique de votre réseau génère des
journaux (événements) pour vous informer de ce qui se passe.
OSSEC collecte, analyse et corrèle ces journaux pour vous permettre de
savoir s'il se passe quelque chose de suspect (attaque, mauvaise utilisation,
erreur, etc.). Voulez-vous savoir quand une application est installée
sur votre poste client? Ou quand quelqu'un change une règle dans votre
pare-feu? En surveillant vos journaux, OSSEC vous en informera.
2.4.5.2.9. Détection de rootkits
Les pirates informatiques veulent cacher leurs actions, mais en
utilisant la détection
de rootkit, vous pouvez être averti lorsque le
système est modifié de la même manière que les
rootkits.
2.4.5.2.10. Réponse active
Une réponse active permet à OSSEC de prendre des
mesures immédiates lorsque des
alertes spécifiées sont
déclenchées. Cela peut empêcher la propagation d'un
incident avant qu'un administrateur puisse prendre des mesures
2.4.5.3. Systèmes et périphériques
pris en charge par OSSEC
61
YABOUI Frèse
Inspection du trafic pour la détection et la
prévention d'intrusions
Tableau 6.3 : Systèmes et
périphériques pris en charge par OSSEC
systèmes d'exploitation par
l'agent OSSEC
|
Périphériques via Syslog
|
Périphériques et
systèmes
d'exploitation via Agentless
|
· GNU / Linux (toutes
|
· Cisco PIX, ASA et
|
· Cisco PIX, ASA et
|
les distributions, y
|
FWSM (toutes les
|
FWSM (toutes les
|
compris RHEL,
|
versions) ;
|
versions) ;
|
Ubuntu, Slackware,
|
· Routeurs Cisco IOS
|
· Routeurs Cisco IOS
|
Debian, etc.) ;
|
(toutes versions) ;
|
(toutes versions) ;
|
· Windows XP, 2003,
|
· Juniper Netscreen
|
· Juniper Netscreen
|
Vista, 2008 et 2012 ;
|
(toutes les versions) ;
|
(toutes les versions) ;
|
· VMWare ESX 3.0,
3.5 (y compris les
|
· Pare-feu SonicWall
(toutes les versions) ;
|
· Pare-feu SonicWall
(toutes les versions) ;
|
contrôles CIS) ;
|
· Pare-feu Checkpoint
|
· Pare-feu Checkpoint
|
· FreeBSD (toutes les
|
(toutes les versions) ;
|
(toutes les versions) ;
|
versions actuelles) ;
|
· Module Cisco IOS
|
· Tous les systèmes
|
· OpenBSD (toutes les
|
IDS / IPS (toutes les
|
d'exploitation
|
versions actuelles) ;
|
versions) ;
|
spécifiés dans la
|
· NetBSD (toutes les
|
· Sourcefire (Snort)
|
section «Systèmes
|
versions actuelles) ;
|
IDS / IPS (toutes les
|
d'exploitation».
|
· Solaris 2.7, 2.8, 2.9 et
|
versions) ;
|
|
10 ;
|
· Dragon NIDS (toutes
|
|
· AIX 5.2 et 5.3 ;
|
les versions) ;
|
|
· Mac OS X 10.x ;
|
· Checkpoint Smart
|
|
· HP-UX 11.
|
Defense (toutes les
versions) ;
|
|
|
· McAfee VirusScan
|
|
|
Enterprise (v8 et
v8.5) ;
|
|
|
· Proxy Bluecoat
|
|
|
(toutes les versions) ;
|
|
|
· Concentrateurs Cisco
|
|
|
VPN (toutes
versions) ;
|
|
|
· VMWare ESXi 4.x.
|
|
|
Dans ce chapitre, nous avons fait une étude sur
quelques solutions de systèmes de détection d'intrusions
basée sur l'hôte (HIDS) et de systèmes de détection
d'intrusions réseau (NIDS) disponible sur le marché. Ensuite nous
avons identifié le système de détection d'intrusions
basée sur l'hôte (HIDS) le plus efficace et le de systèmes
de détection d'intrusions réseau (NIDS) le plus efficace.
62
YABOUI Frèse
Inspection du trafic pour la détection et la
prévention d'intrusions
Cette partie était consacrée à tout ce
qui est présentation de la notion de système de détection
d'intrusions puis de système de prévention d'intrusions. Aussi
elle nous a permis de faire une étude sur quelques solutions de
systèmes de détection d'intrusions basée sur l'hôte
(HIDS) et de systèmes de détection d'intrusions réseau
(NIDS) disponible sur le marché. Enfin elle nous a permis d'identifier
le système de détection d'intrusions basée sur
l'hôte (HIDS) le plus efficace et le de systèmes de
détection d'intrusions réseau (NIDS) le plus efficace. Nous
allons sans plus tarder nous lancer à la présentation de
l'architecture que nous allons utiliser pour la mise en place de notre
système de détection et de prévention d'intrusions et des
prérequis à considérés, puis nous allons passer
à la configuration et terminer par une simulation de quelques tests
d'intrusions et la détection de celles-ci.
| 
