4.3. Les systèmes de détection d'intrusion (HIDS/NIDS)

Système de détection d'intrusion, Intrusion Detection System, IDS

Les outils les plus pratiques ! Ces utilitaires permettent de détecter une attaque et de vous en informer. Un IDS analyse tout ce qui se passe sur une station. Il détecte les débordements de droits (obtention du compte root d'une manière suspecte) et d'autres types d'attaques, il contient une base de données sur différentes vulnérabilités.

Système de détection d'intrusion réseau, Network Intrusion Detection System, NIDS

Un NIDS travaille de la même manière, mais sur les données transitant sur le réseau. Il peut détecter en temps réel une attaque s'effectuant sur l'une des vos machines. Il contient une base de données avec tous les codes malicieux et peut détecter leurs envois sur une des machines. Le NIDS travaille comme un sniffer (voir section FIXIT sniffer), sauf qu'il analyse automatiquement les flux de données pour détecter une attaque.

Cette section présentera deux systèmes de détection d'intrusion : un NIDS appelé Snort et IDS hybride Prelude. Il est à noter que ces outils sont distribués comme logiciel libre. Je ne rappellerai pas que le logiciel libre a une avance considérable dans le domaine de la sécurité par rapport à ses concurrents «propriétaires».

4.3.1. Prelude-NIDS

Prelude Hybrid IDS est un des détecteurs d'intrusions les plus connus. Prelude est disponible et libre sur les plateformes Linux, FreeBSD et Windows.

Prelude possède une architecture modulaire et distribuée. Modulaire, car ses composants sont indépendants, et peuvent être facilement mis à jour. Distribuée, car ces composants indépendants interagissent les uns avec les autres. Cela permet d'avoir divers composants installés sur différentes machines et de réduire ainsi la surcharge d'applications.

Ces différents composants sont les sondes et les managers. Les sondes peuvent être de deux types : réseau ou local. Une sonde réseau analyse tout le trafic, pour y détecter d'éventuelles signatures d'attaques. La sonde locale assure la surveillance d'une seule machine, il analyse le comportement du système pour y détecter des tentatives d'exploitation de vulnérabilités internes. Les sondes signalent les tentatives d'attaques par des alertes. Ces alertes sont reçues par le manager qui les interprète et les stocke.

Pour une description complète de Prelude (installation, configuration et utilisation) consultez ce document : http://lehmann.free.fr/PreludeInstall/InstallPrelude.html

4.3.2. Snort

Snort téléchargeable librement sur www.snort.org est un NIDS lui aussi. Il n'est pas structuré comme Prelude. Snort est un programme "monolithique", il ne comporte pas de module comme Prelude, ce qui peut rendre son implémentation dans un réseau un peu moins souple que Prelude. Snort fonctionne en trois modes (Sniffer, PacketLogger et NIDS). Les deux premiers modes ne sont pas intéressants pour la détection d'intrusion. Le troisième mode permet lui d'analyser le trafic réseau pour y détecter d'éventuelles attaques.

Pour une description complète de Snort (installation, configuration et utilisation) consultez ce site : http://www.snort.org/docs/ (en anglais).