1.5.2 Solutions de prévention d'attaque force
brute
Dans ce cadre, nous allons citer brièvement quelques
solutions existantes et connues qui assurent la prévention des attaques
par dictionnaire. Ces solutions sont en générales logicielles qui
sont dans leur intégralité des scripts. Nous pouvons citer
24 Chapitre 1. Étude
préliminaire
OpenVAS est un scanner de vulnérabilité qui a
été dérivé de la dernière version gratuite
de Nessus après cet outil a été commercialisé en
2005. Les plugins OpenVAS sont toujours
tentatives de connexion infructueuses. Il enregistre des
informations sur leurs adresses IP d'origine et compare le nombre de tentatives
non-valides à un seuil défini par l'utilisateur. S'il y a eu trop
de tentatives invalides assume une attaque par dictionnaire est en cours et
empêche l'adresse IP de faire d'autres tentatives en l'ajoutant à
/etc/hosts.deny sur le serveur.
Les limites de cette solution sont :
** DenyHosts est limité aux connexions utilisant IPv4. Il
ne fonctionne pas avec IPv6. ** Ne parvient pas à protéger contre
une attaque par force brute distribuée.
** Vulnérable à l'injection de journal distant,
une technique d'attaque similaire à l'injection SQL, dans lequel un nom
d'utilisateur spécialement conçu est utilisé pour
déclencher un bloc contre un site choisi par l'attaquant
** Supporte seulement les attaque force brute sur le service
ssh.
** Utilise le fichier hosts.deny au lieu du pare feu.
Fail2ban : DenyHosts ne fait que
protéger le service ssh. Si on a besoin pour protéger d'autres
services aussi bien, Fail2ban est certainement un meilleur choix. Il est
configurable pour regarder presque tous les services si vous êtes
prêt à modifier sa configuration, mais cela ne devrait pas
être nécessaire que les nouvelles versions de Fail2ban comprennent
des rules par défaut qui conviennent à de nombreux démons
de serveur populaires.Fail2ban utilise des règles iptables pour bloquer
complètement un attaquant pour un laps de temps spécifié,
au lieu de simplement réduire la rapidité, il peut marteler votre
serveur.
Les bénéfices de Fail2ban :
** Supporte tous les services.
** Fonctionne avec la connexion IPV4 et IPV6
** Simple à mettre en oeuvre.
** utilise le pare-feu au lieu de fichier hosts.deny
1.5.3 Solutions de simulation d'intrusion
Comme on a déjà vu un simulateur d'intrusion est
un outil performant qui peut être à la fois une sorte d'attaque ou
un moyen pour s'informer des failles récentes.
SAINTEst un outil d'évaluation des
vulnérabilités. Comme Nessus, il l'habitude d'être libre et
open source, mais est maintenant un produit commercial. SAINT fonctionne sur
Linux et Mac OS X. En fait, SAINT est l'un des rares fournisseurs de scanners
qui ne prennent pas en charge Windows du tout. L'abonnement mensuelle du Saint
est trop cher, il coûte 3 000 $.
Nessus est l'un des scanners les plus populaires et capables
de vulnérabilité, en particulier pour les systèmes UNIX.
Il a d'abord été libre et open source, mais ils ont fermé
le code source en 2005. Il coûte maintenant 2190 $ par année, qui
bat encore beaucoup de ses concurrents. "Nessus Home" version gratuite est
également disponible, même si elle est limitée et seulement
une licence pour l'utilisation du réseau domestique.
Nessus est constamment mis à jour, avec plus de 70.000
plugins. Les dispositifs principaux incluent des contrôles locaux et
distants (authentifié) sécurité, une architecture client /
serveur avec une interface basée sur le web, et un langage de script
intégré pour écrire vos propres plugins ou à
comprendre ceux qui existent déjà.
| 
