IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
next up previous contents index index
suivant: Les outils de diagnostique monter: Les solutions de défense précédent: Les solutions de défense   Table des matières   Index

Sous-sections


Les détecteurs d'intrusion IDS


snort

Snort est un système de détection d'intrusion réseau en sources ouvertes, capable d'effectuer l'analyse du trafic en temps réel et de la journalisation de paquets sur des réseaux IP. Il peut effectuer de l'analyse de protocoles, de la recherche / correspondance de contenu et peut être utilisé pour détecter une variété d'attaques et de scans, tels que des débordements de tampons, des scans de ports furtifs, des attaques CGI, des scans SMB, des tentatives d'identification d'OS, et bien plus. Snort utilise un langage de règles flexibles pour décrire le trafic qu'il devrait collecter ou laisser passer, ainsi qu'un moteur de détection qui utilise une architecture modulaire de plugin. Snort possède aussi des capacités modulaires d'alertes en temps réel, incorporant des plugins d'alerte et de journalisation pour syslog, des fichiers textes en ASCII, de sockets UNIX, de messages WinPopup à des clients Windows en utilisant smbclient de Samba, de base de données (Mysql/PostgreSQL/Oracle/ODBC) ou XML.
Snort a trois utilisations principales. Il peut être utilisé comme un simple renifleur de paquets comme tcp dump(1), un enregistreur de paquets (utile pour déboguer le trafic réseau, etc), ou comme un complet système de détection d'intrusion réseau.
Snort journalise les paquets dans le format binaire tcp dump(1) , vers une base de données ou dans le format ASCII décodé de Snort vers une "hiérarchie" de répertoires de journalisation qui sont nommés d'après l'adresse IP du système "étranger".
Système commande d'installation démarrage du programme
RedHat rpm -Uvh snort-*.rpm service snortd start
Mandrake urpmi snort /etc/init.d/snortd start
Debian apt-get install snort /etc/init.d/snortd start
OpenBSD pkg_add snort.*.tgz snort -A full -D

Sous OpenBSD

Vous pourrez trouver la liste des règles a utiliser dans le répertoire /usr/local/share/examples/snort ensuite il faudra:
  1. copier le fichier /usr/local/share/examples/snort/snort.conf dans /etc
  2. modifier le fichier /etc/snort.conf et remplacer la ligne:
    var RULE_PATH ./ par
    var RULE_PATH /usr/local/share/examples/snort
  3. ensuite : mkdir /var/log/snort
  4. enfin pour lancer snort il suffira de tapper la commande:
    /usr/local/bin/snort -A full -D -c /etc/snort.conf et directement l'inclure dans le fichier /etc/rc.local pour qu'il soit lancé à chaque démarrage.


aide

Aide est un très puissant détecteur d'intrusion système en effet il va tout d'abord cartographier (faire une prise d'empreinte) tous les fichiers sensibles du système et ensuite vérifier la façon dont ils ont été modifiés, ainsi si celle-ci ne semble pas correcte alors ``aide'' va signaler toute les modifications effectuées.
Système commande d'installation démarrage du programme
RedHat rpm -Uvh aide-*.rpm service aide start
Mandrake urpmi aide /etc/init.d/aide start
Debian apt-get install aide /etc/init.d/aide start
OpenBSD pkg_add aide.*.tgz aide -check

Pour se faire:
  1. il va être nécessaire de créer une base de donnée sur le système existant avec la commande: aide -init.
  2. ensuite la base de donnée utilisée étant /var/db/aide.db il sera nécessaire de copier /var/db/aide.db.new générée par aide -init:
    cp /var/db/aide.db.new /var/db/aide.db
  3. enfin aide -check pour lancer la vérification qui donnera la liste des fichiers modifiés.

next up previous contents index index
suivant: Les outils de diagnostique monter: Les solutions de défense précédent: Les solutions de défense   Table des matières   Index