La sécurité est un sujet brûlant depuis longtemps. Il y a de nombreuses années, les virus étaient la seule préoccupation des administrateurs système. Les virus étaient si répandus qu’ils ont ouvert la voie à une gamme étonnante d’outils de prévention. De nos jours, presque personne ne songe à utiliser un ordinateur non protégé. Cependant, l'intrusion informatique, ou l'accès non autorisé à vos données par des utilisateurs malveillants, constitue la «menace du jour». Les réseaux sont devenus la cible de nombreux pirates informatiques mal intentionnés qui mettront tout en œuvre pour accéder à vos données. Votre meilleure défense contre ces types de menaces est un système de détection ou de prévention des intrusions. Aujourd’hui, nous examinons dix des meilleurs outils de détection d’intrusion gratuits.

Avant de commencer, nous aborderons d’abord les différentes méthodes de détection d’intrusion utilisées. Tout comme il existe de nombreuses façons pour les intrus de pénétrer sur votre réseau, il existe autant de façons, voire plus, de les détecter. Nous aborderons ensuite les deux principales catégories de système de détection d’intrusion: la détection d’intrusion sur le réseau et la détection d’intrusion sur l’ordinateur hôte. Avant de continuer, nous expliquerons ensuite les différences entre la détection d’intrusion et la prévention des intrusions. Enfin, nous vous donnerons un bref aperçu de dix des meilleurs outils de détection d’intrusion gratuits que nous avons pu trouver.

Méthodes de détection d'intrusion

Il existe essentiellement deux méthodes différentes utilisées pour détecter les tentatives d'intrusion. Il peut s'agir d'une signature ou d'une anomalie. Voyons comment ils diffèrent. La détection d'intrusion basée sur les signatures consiste à analyser les données pour rechercher des modèles spécifiques associés à des tentatives d'intrusion. Cela ressemble un peu aux systèmes antivirus traditionnels qui reposent sur des définitions de virus. Ces systèmes compareront les données avec des modèles de signature d’intrusion pour identifier les tentatives. Leur principal inconvénient est qu’ils ne fonctionnent pas tant que la signature appropriée n’a pas été téléchargée dans le logiciel, ce qui se produit généralement après l’attaque d’un certain nombre de machines.

La détection d'intrusion basée sur les anomalies offre une meilleure protection contre les attaques du jour zéro, celles qui se produisent avant que tout logiciel de détection d'intrusion ait eu la chance d'acquérir le fichier de signature approprié. Au lieu d'essayer de reconnaître les modèles d'intrusion connus, ceux-ci rechercheront des anomalies. Par exemple, ils détectent que quelqu'un a essayé d'accéder plusieurs fois à un système avec un mot de passe incorrect, signe habituel d'une attaque par force brute. Comme vous l'avez peut-être deviné, chaque méthode de détection a ses avantages. C'est pourquoi les meilleurs outils utilisent souvent une combinaison des deux pour la meilleure protection.

Deux types de systèmes de détection d'intrusion

Tout comme il existe différentes méthodes de détection, il existe également deux types principaux de systèmes de détection d'intrusion. Ils diffèrent principalement par l'emplacement où la détection d'intrusion est effectuée, soit au niveau de l'hôte, soit au niveau du réseau. Là encore, chacun a ses avantages et la meilleure solution - ou la plus sécurisée - consiste éventuellement à utiliser les deux.

Systèmes de détection d'intrusion sur l'hôte (HIDS)

Le premier type de système de détection d’intrusion fonctionne au niveau de l’hôte. Il pourrait, par exemple, vérifier divers fichiers journaux pour détecter tout signe d'activité suspecte. Cela pourrait également fonctionner en vérifiant les fichiers de configuration importants pour des modifications non autorisées. C'est ce que feraient les HIDS basés sur les anomalies. D'autre part, les systèmes basés sur les signatures examineraient le même journal et les mêmes fichiers de configuration, mais rechercheraient des modèles d'intrusion spécifiques connus. Par exemple, une méthode d'intrusion particulière peut être connue pour fonctionner en ajoutant une certaine chaîne à un fichier de configuration spécifique que l'IDS basé sur la signature détecterait.

Comme vous pouvez l’imaginer, HIDS s’installant directement sur le périphérique qu’ils sont censés protéger, vous devrez donc les installer sur tous vos ordinateurs. Cependant, la plupart des systèmes ont une console centralisée où vous pouvez contrôler chaque instance de l'application.

Systèmes de détection d'intrusion réseau (NIDS)

Les systèmes de détection d’intrusion sur le réseau, ou NIDS, fonctionnent à la frontière de votre réseau pour appliquer la détection. Ils utilisent des méthodes similaires à celles des systèmes de détection d'intrusion sur l'hôte. Bien sûr, au lieu de rechercher des fichiers de log et de configuration, ils recherchent un trafic réseau tel que des demandes de connexion. Certaines méthodes d’intrusion sont connues pour exploiter des vulnérabilités en envoyant des paquets délibérément mal formés aux hôtes, les faisant réagir de manière particulière. Les systèmes de détection d'intrusion réseau pourraient facilement les détecter.

Certains diront que les NIDS sont meilleurs que les HIDS car ils détectent les attaques avant même qu'elles n'atteignent vos ordinateurs. Ils sont également meilleurs car ils ne nécessitent aucune installation sur chaque ordinateur pour les protéger efficacement. En revanche, ils offrent peu de protection contre les attaques d'initiés, qui ne sont malheureusement pas du tout rares. C'est un autre cas où la meilleure protection consiste à utiliser une combinaison des deux types d'outils.

Détection d'Intrusion Vs Prévention

Il existe deux types d’outils dans le monde de la protection contre les intrusions: les systèmes de détection des intrusions et les systèmes de prévention des intrusions. Bien qu'ils servent un objectif différent, il existe souvent des chevauchements entre les deux types d'outils. Comme son nom l'indique, la détection d'intrusion détectera les tentatives d'intrusion et les activités suspectes en général. Dans ce cas, une alarme ou une notification est généralement déclenchée. Il appartient ensuite à l'administrateur de prendre les mesures nécessaires pour arrêter ou bloquer cette tentative.

Les systèmes de prévention des intrusions, quant à eux, permettent d'empêcher toute intrusion. La plupart des systèmes de prévention des intrusions comporteront un composant de détection qui déclenchera une action chaque fois que des tentatives d’intrusion seront détectées. Mais la prévention des intrusions peut aussi être passive. Ce terme peut être utilisé pour faire référence à toutes les étapes mises en place pour prévenir les intrusions. Nous pouvons penser à des mesures telles que le renforcement du mot de passe, par exemple.

Les meilleurs outils de détection d'intrusion gratuits

Les systèmes de détection d'intrusion peuvent être coûteux, très coûteux. Heureusement, il existe plusieurs alternatives gratuites disponibles. nous avons cherché sur Internet les meilleurs outils logiciels de détection d’intrusion. Nous en avons trouvé quelques-uns et nous sommes sur le point d’examiner brièvement les dix meilleurs que nous avons pu trouver.

1. OSSEC

OSSEC, qui signifie sécurité Open Source, est de loin le principal système de détection d'intrusion d'hôte open source. OSSEC appartient à Trend Micro, l’un des leaders de la sécurité informatique. Le logiciel, lorsqu'il est installé sur des systèmes d'exploitation de type Unix, se concentre principalement sur les fichiers journaux et de configuration. Il crée des sommes de contrôle des fichiers importants et les valide périodiquement, vous alertant en cas d'incident. Il surveillera également toutes les tentatives étranges d’obtention d’un accès root. Sous Windows, le système garde également un œil sur les modifications de registre non autorisées.

OSSEC, en tant que système de détection d’intrusion hôte, doit être installé sur chaque ordinateur que vous souhaitez protéger. Cependant, il consolidera les informations de chaque ordinateur protégé dans une console unique pour une gestion plus facile. Le logiciel ne fonctionne que sur les systèmes Unix-Like, mais un agent est disponible pour protéger les hôtes Windows. Lorsque le système détecte quelque chose, une alerte est affichée sur la console et les notifications sont envoyées par courrier électronique.

2. renifler

Tout comme OSSEC était le meilleur HIDS Open Source, Snort est le principal NIDS Open Source. Snort est en réalité plus qu'un outil de détection d'intrusion. C’est aussi un renifleur de paquets et un enregistreur de paquets. Mais ce qui nous intéresse pour le moment, ce sont les fonctionnalités de détection des intrusions de Snort. Un peu comme un pare-feu, Snort est configuré en utilisant des règles. Les règles de base peuvent être téléchargées à partir du site Web de Snort et personnalisées en fonction de vos besoins spécifiques. Vous pouvez également vous abonner aux règles Snort pour vous assurer de toujours disposer des dernières règles au fur et à mesure de leur évolution, à mesure que de nouvelles menaces sont identifiées.

Les règles Snort de base peuvent détecter une grande variété d'événements, tels que des analyses de ports furtifs, des attaques par dépassement de mémoire tampon, des attaques CGI, des sondes SMB et des empreintes digitales de système d'exploitation. Ce que votre installation Snort détecte dépend uniquement des règles que vous avez installées. Certaines des règles de base proposées sont basées sur la signature alors que d'autres sont basées sur des anomalies. Utiliser Snort peut vous donner le meilleur des deux mondes

3. Suricata

Suricata se présente comme un système de détection et de prévention des intrusions et comme un écosystème complet de surveillance de la sécurité du réseau. L’un des principaux avantages de cet outil par rapport à Snort est qu’il fonctionne jusqu’au niveau de la couche d’application. Cela permet à l'outil de détecter les menaces qui pourraient passer inaperçues dans d'autres outils en étant divisées en plusieurs paquets.

Mais Suricata ne fonctionne pas uniquement au niveau de la couche application. Il surveillera également les protocoles de niveau inférieur tels que TLS, ICMP, TCP et UDP. L'outil comprend également des protocoles tels que HTTP, FTP ou SMB et peut détecter les tentatives d'intrusion cachées dans des requêtes normales. Il existe également une fonction d’extraction de fichiers permettant aux administrateurs d’examiner eux-mêmes les fichiers suspects.

Sur le plan de l’architecture, Suricata est très bien conçu et répartira sa charge de travail sur plusieurs cœurs et threads de processeur pour des performances optimales. Il peut même décharger une partie de son traitement sur la carte graphique. Il s’agit d’une fonctionnalité intéressante sur les serveurs car leur carte graphique est principalement au repos.

4. Moniteur de sécurité réseau

Le suivant sur notre liste est un produit appelé Bro Network Security Monitor, un autre système de détection d’intrusion réseau gratuit. Bro fonctionne en deux phases: enregistrement du trafic et analyse. Comme Suricata, Bro opère au niveau de l'application, ce qui permet une meilleure détection des tentatives d'intrusion fractionnée. Il semble que tout vienne par paire avec Bro et que son module d’analyse se compose de deux éléments. Le premier est le moteur d'événements qui suit les événements déclencheurs tels que les connexions TCP / Internet ou les requêtes HTTP. Les événements sont ensuite analysés par des scripts de règles qui décident de déclencher ou non une alerte et de lancer une action, faisant de Bro une prévention des intrusions en plus d'un système de détection.

Bro vous permettra de suivre les activités HTTP, DNS et FTP et de surveiller le trafic SNMP. C'est une bonne chose car, bien que SNMP soit souvent utilisé pour la surveillance du réseau, il ne s'agit pas d'un protocole sécurisé. Bro vous permet également d'observer les modifications de configuration de périphérique et les interruptions SNMP. Bro peut être installé sur Unix, Linux et OS X mais il n’est pas disponible sous Windows, ce qui constitue peut-être son principal inconvénient.

5. Ouvrez WIPS NG

Open WIPS NG figure sur notre liste principalement parce qu’il est le seul à cibler spécifiquement les réseaux sans fil. Open WIPS NG - où WIPS signifie Système de prévention d'intrusion sans fil (Wireless Intrusion Prevention System) - est un outil open source qui comprend trois composants principaux. Premièrement, il y a le capteur, un périphérique muet qui capture uniquement le trafic sans fil et l'envoie au serveur pour analyse. Suivant est le serveur. Celui-ci agrège les données de tous les capteurs, analyse les données rassemblées et répond aux attaques. C'est le coeur du système. Le dernier élément, mais non le moindre, est le composant d'interface, à savoir l'interface graphique que vous utilisez pour gérer le serveur et afficher des informations sur les menaces sur votre réseau sans fil.

Cependant, tout le monde n’aime pas Open WIPS NG. Le produit provient du même développeur que Aircrack NG: un détecteur de paquets sans fil et un pirate des mots de passe qui font partie de la boîte à outils de chaque pirate WiFi. D'autre part, compte tenu de son expérience, nous pouvons supposer que le développeur en sait assez sur la sécurité Wi-Fi.

6. Samhain

Samhain est un système gratuit de détection d'intrusion sur un hôte qui permet de vérifier l'intégrité des fichiers et de surveiller / analyser les fichiers journaux. En outre, le produit effectue également la détection des rootkits, la surveillance des ports, la détection des fichiers exécutables SUID non autorisés et des processus cachés. Cet outil a été conçu pour surveiller plusieurs systèmes avec divers systèmes d'exploitation avec une journalisation et une maintenance centralisées. Cependant, Samhain peut également être utilisé en tant qu'application autonome sur un seul ordinateur. Samhain peut fonctionner sur des systèmes POSIX tels que Unix Linux ou OS X. Il peut également fonctionner sous Windows sous Cygwin bien que seul l'agent de surveillance, et non le serveur, ait été testé dans cette configuration.

Une des caractéristiques les plus uniques de Samhain est son mode furtif qui lui permet de fonctionner sans être détecté par des attaquants éventuels. Trop souvent, les intrus tuent les processus de détection qu’ils reconnaissent, leur permettant ainsi de passer inaperçus. Samhain utilise la stéganographie pour cacher ses processus aux autres. Il protège également ses fichiers journaux centraux et ses sauvegardes de configuration avec une clé PGP afin d’empêcher toute falsification.

7. Fail2Ban

Fail2Ban est un système de détection d'intrusion d'hôte gratuit et intéressant qui possède également certaines fonctionnalités de prévention. Cet outil surveille les fichiers journaux à la recherche d’événements suspects tels que des tentatives de connexion infructueuses, des tentatives d’exploitation, etc. Lorsqu'il détecte un élément suspect, il met automatiquement à jour les règles de pare-feu locales pour bloquer l’adresse IP source du comportement malveillant. Il s’agit de l’action par défaut de l’outil, mais toute autre action arbitraire, telle que l’envoi de notifications par courrier électronique, peut être configurée.

Le système est livré avec divers filtres prédéfinis pour certains des services les plus courants tels que Apache, Courrier, SSH, FTP, Postfix et bien d’autres. La prévention consiste à modifier les tables de pare-feu de l’hôte. L'outil peut fonctionner avec Netfilter, IPtables ou la table hosts.deny de TCP Wrapper. Chaque filtre peut être associé à une ou plusieurs actions. Ensemble, les filtres et les actions sont appelés une prison.

8. AIDE

AIDE est un acronyme pour Advanced Intrusion Detection Environment. Le système de détection d'intrusion d'hôte gratuit se concentre principalement sur la détection de rootkit et la comparaison de signatures de fichiers. Lorsque vous installez initialement AIDE, il compilera une base de données contenant les données d’administrateur à partir des fichiers de configuration du système. Ceci est ensuite utilisé comme base de référence avec laquelle tout changement peut être comparé et éventuellement annulé si nécessaire.

AIDE utilise à la fois des analyses basées sur les signatures et des anomalies, qui sont exécutées à la demande et non programmées ou en continu. C’est en fait le principal inconvénient de ce produit. Cependant, AIDE est un outil de ligne de commande et un travail CRON peut être créé pour l'exécuter à intervalles réguliers. Et si vous le lancez très souvent (toutes les minutes, par exemple), vous obtiendrez des données en temps quasi réel. AIDE n’est fondamentalement qu’un outil de comparaison de données. Des scripts externes doivent être créés pour en faire un véritable HIDS.

9. Oignon de sécurité

Security Onion est une bête intéressante qui peut vous faire gagner beaucoup de temps. Ce n'est pas simplement un système de détection ou de prévention des intrusions. Security Onion est une distribution Linux complète axée sur la détection d'intrusion, la surveillance de la sécurité d'entreprise et la gestion des journaux. Il comprend de nombreux outils, dont certains que nous venons de passer en revue. Par exemple, Security Onion comprend Elasticsearch, Logstash, Kibana, Snort, Suricata, Bro, OSSEC, Sguil, Squert, NetworkMiner, etc. Tout cela est fourni avec un assistant de configuration facile à utiliser, vous permettant de protéger votre organisation en quelques minutes. Vous pouvez penser à Security Onion en tant que couteau suisse de la sécurité informatique des entreprises.

La chose la plus intéressante à propos de cet outil est que vous obtenez tout en une installation simple. Et vous disposez d'outils de détection d'intrusion sur le réseau et sur l'hôte. Certains outils utilisent une approche basée sur la signature et certains sont basés sur des anomalies. La distribution propose également une combinaison d’outils à base de texte et d’interface graphique. Il y a vraiment un excellent mélange de tout. L'inconvénient, bien sûr, est que vous en avez tellement que la configuration de tout cela peut prendre un certain temps. Mais vous n’avez pas à utiliser tous les outils. Vous pouvez choisir uniquement ceux que vous préférez.

10. Sagan

Sagan est en réalité plus un système d’analyse de journaux qu’un véritable IDS, mais il possède certaines fonctionnalités qui ressemblent à celles de l’IDS qui, à notre avis, justifiaient son inclusion dans notre liste. Cet outil peut consulter les journaux locaux du système sur lequel il est installé, mais il peut également interagir avec d'autres outils. Il pourrait, par exemple, analyser les journaux de Snort, en ajoutant efficacement certaines fonctionnalités NIDS à ce qui est essentiellement un HIDS. Et il n’interagira pas avec Snort. Il peut également interagir avec Suricata et est compatible avec plusieurs outils de création de règles tels que Oinkmaster ou Pulled Pork.

Sagan possède également des capacités d'exécution de script, ce qui en fait un système de prévention des intrusions grossier. Cet outil pourrait ne pas être utilisé comme votre seule défense contre les intrusions, mais ce sera un élément essentiel d’un système capable d’incorporer de nombreux outils en mettant en corrélation des événements provenant de différentes sources.

Conclusion

Les systèmes de détection d'intrusion ne sont que l'un des nombreux outils disponibles pour aider les administrateurs de réseau et de système à assurer le fonctionnement optimal de leur environnement. Tous les outils décrits ici sont excellents, mais chacun a un objectif légèrement différent. Celui que vous choisirez dépendra en grande partie de vos préférences personnelles et de vos besoins spécifiques.

Travaillé Pour Vous: Robert Gaines & George Fleming | Vous Souhaitez Nous Contacter?

Commentaires Sur Le Site: