Sous-sections
Les détecteurs d'intrusion IDS
snort
Snort est un système de détection d'intrusion réseau en
sources ouvertes, capable d'effectuer l'analyse du trafic
en temps réel et de la journalisation de paquets sur des
réseaux IP. Il peut effectuer de l'analyse de protocoles,
de la recherche / correspondance de contenu et peut être
utilisé pour détecter une variété d'attaques et de scans,
tels que des débordements de tampons, des scans de ports
furtifs, des attaques CGI, des scans SMB, des tentatives
d'identification d'OS, et bien plus. Snort utilise un langage
de règles flexibles pour décrire le trafic qu'il
devrait collecter ou laisser passer, ainsi qu'un moteur de
détection qui utilise une architecture modulaire de plugin.
Snort possède aussi des capacités modulaires
d'alertes en temps réel, incorporant des plugins d'alerte et
de journalisation pour syslog, des fichiers textes en
ASCII, de sockets UNIX, de messages WinPopup à des clients
Windows en utilisant smbclient de Samba, de base de
données (Mysql/PostgreSQL/Oracle/ODBC) ou XML.
Snort a trois utilisations principales. Il peut être
utilisé comme un simple renifleur de paquets comme tcp
dump(1), un enregistreur de paquets (utile pour déboguer
le trafic réseau, etc), ou comme un complet système de
détection d'intrusion réseau.
Snort journalise les paquets dans le format binaire tcp
dump(1) , vers une base de données ou dans le format ASCII
décodé de Snort vers une "hiérarchie" de répertoires de
journalisation qui sont nommés d'après l'adresse IP du
système "étranger".
Système |
commande d'installation |
démarrage du programme |
RedHat |
rpm -Uvh snort-*.rpm |
service snortd start |
Mandrake |
urpmi snort |
/etc/init.d/snortd start |
Debian |
apt-get install snort |
/etc/init.d/snortd start |
OpenBSD |
pkg_add snort.*.tgz |
snort -A full -D |
Vous pourrez trouver la liste des règles a utiliser dans le répertoire
/usr/local/share/examples/snort
ensuite il faudra:
- copier le fichier /usr/local/share/examples/snort/snort.conf dans /etc
- modifier le fichier /etc/snort.conf et remplacer la ligne:
var RULE_PATH ./ par
var RULE_PATH /usr/local/share/examples/snort
- ensuite : mkdir /var/log/snort
- enfin pour lancer snort il suffira de tapper la commande:
/usr/local/bin/snort -A full -D -c /etc/snort.conf et directement
l'inclure dans le fichier /etc/rc.local pour qu'il soit lancé à chaque démarrage.
aide
Aide est un très puissant détecteur d'intrusion système
en effet il va tout d'abord cartographier (faire une prise d'empreinte) tous les fichiers sensibles
du système et ensuite vérifier la façon dont ils ont été modifiés, ainsi si celle-ci ne semble
pas correcte alors ``aide'' va signaler toute les modifications effectuées.
Système |
commande d'installation |
démarrage du programme |
RedHat |
rpm -Uvh aide-*.rpm |
service aide start |
Mandrake |
urpmi aide |
/etc/init.d/aide start |
Debian |
apt-get install aide |
/etc/init.d/aide start |
OpenBSD |
pkg_add aide.*.tgz |
aide -check |
Pour se faire:
- il va être nécessaire de créer une base de donnée sur le système existant avec la commande:
aide -init.
- ensuite la base de donnée utilisée étant /var/db/aide.db il sera nécessaire de copier
/var/db/aide.db.new générée par aide -init:
cp /var/db/aide.db.new /var/db/aide.db
- enfin aide -check pour lancer la vérification qui donnera la liste des fichiers modifiés.
|