Inspection du trafic pour la détection et la prévention d'intrusions

2.4.1. Systèmes de détection d'intrusions basée sur l'hôte (HIDS)

Parmi les systèmes de détection d'intrusions basée sur l'hôte (HIDS), nous pouvons citer : OSSEC, AIDE et Samhain.

2.4.1.1. OSSEC

OSSEC signifie Open Source RIDS Security. C'est le principal RIDS disponible et son utilisation est entièrement gratuite. En tant que système de détection d'intrusion basé sur l'hôte, le programme se concentre sur les fichiers journaux de l'ordinateur sur lequel vous l'installez. Il surveille les signatures de somme de contrôle de tous vos fichiers journaux pour détecter les éventuelles interférences. Sous Windows, il gardera un oeil sur toute modification apportée au registre. Sur les systèmes de type Unix, il surveillera toutes les tentatives d'accès au compte root. Bien qu'OSSEC soit un projet open source, il appartient en réalité à Trend Micro, un producteur de logiciels de sécurité de premier plan.

L'application de surveillance principale peut couvrir un ou plusieurs hôtes et consolider les données dans une console. Bien qu'un agent Windows autorise la surveillance des ordinateurs Windows, l'application principale ne peut être installée que sur un système de type Unix, ce qui signifie Unix, Linux ou Mac OS. Il existe une interface pour OSSEC pour le programme principal, mais celle-ci est installée séparément et n'est plus prise en charge. Les utilisateurs réguliers d'OSSEC ont découvert d'autres applications qui fonctionnent bien comme outil frontal pour l'outil de collecte de données: notamment Splunk, Kibana et Graylog.

44

YABOUI Frèse

Inspection du trafic pour la détection et la prévention d'intrusions

2.4.1.2. AIDE

«Advanced Intrusion Detection Environment» (Environnement de détection d'intrusion avancée) est une tâche ardue. Les développeurs de cet IDS ont donc décidé de raccourcir son nom en AIDE. Il s'agit d'un HIDS gratuit qui se concentre sur la détection des rootkits et la comparaison des signatures de fichiers pour les systèmes d'exploitation Unix et similaires, de sorte qu'il fonctionne également sur Mac OS et Linux.

Le système compile une base de données de données admin à partir de fichiers de configuration lors de sa première installation. Cela crée une base de référence, puis toute modification de configuration peut être annulée à chaque fois que des modifications de paramètres système sont détectées. L'outil comprend à la fois des méthodes de surveillance des signatures et des anomalies. Les vérifications du système sont émises à la demande et ne fonctionnent pas en permanence, ce qui est un peu un manque à gagner avec ce HIDS. Comme il s'agit d'une fonction de ligne de commande, vous pouvez planifier son exécution périodique avec une méthode d'exploitation telle que cron. Si vous voulez des données en temps quasi réel, vous pouvez simplement planifier leur exécution très fréquemment.

AIDE n'est en réalité qu'un outil de comparaison de données et n'incluant aucun langage de script, vous devez vous appuyer sur vos compétences en scripts shell pour intégrer des fonctions de recherche de données et d'implémentation de règles dans ce HIDS. Peut-être que AIDE devrait plutôt être considéré comme un outil de gestion de la configuration plutôt que comme un système de détection d'intrusions.