Différences
Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente | ||
ips [Le 30/09/2010, 17:06] psychederic |
ips [Le 11/09/2022, 11:59] (Version actuelle) moths-art Suppression des espaces en fin de ligne (détecté et corrigé via le bot wiki-corrector (https://forum.ubuntu-fr.org/viewtopic.php?id=2067892) |
||
---|---|---|---|
Ligne 4: | Ligne 4: | ||
====== IPS : Système de prévention d'intrusion ====== | ====== IPS : Système de prévention d'intrusion ====== | ||
- | Un système de prévention d'intrusion (ou IPS, Intrusion Prevention System) est un outil des spécialistes en sécurité des systèmes d'information, similaire aux IDS, sauf que ce système peut prendre des mesures afin de diminuer les risques d'impact d'une attaque. C'est un IDS actif, il détecte un balayage automatisé, l'IPS peut bloquer les ports automatiquement. ( [[wpfr>ips|wikipedia]] ) | + | Un système de prévention d'intrusion (ou IPS, Intrusion Prevention System) est un outil des spécialistes en sécurité des systèmes d'information, similaire aux IDS, sauf que ce système peut prendre des mesures afin de diminuer les risques d'impact d'une attaque. C'est un IDS actif, il détecte un balayage automatisé, l'IPS peut bloquer les ports automatiquement. ([[wpfr>ips|wikipedia]]) |
- | <note important>Étant donné le niveaux informatique requis pour mettre en place un ips , nous déconseillons aux utilisateurs normaux sans grande connaissance en informatique d'essayer. | + | <note important>Étant donné le niveaux informatique requis pour mettre en place un IPS, nous déconseillons aux utilisateurs normaux sans grande connaissance en informatique d'essayer. |
- | Les Système de prévention d'intrusion sont pour le moment destinés aux entreprises. | + | Les système de prévention d'intrusion sont pour le moment destinés aux entreprises. |
</note> | </note> | ||
- | Un ips rentre aujourd'hui dans la nouvelle définition des [[pare-feu|pare-feux]]. | + | Un IPS rentre aujourd'hui dans la nouvelle définition des [[pare-feu|pare-feux]]. |
- | ===== IPS reseau ===== | + | ===== IPS réseau ===== |
- | <note tip>Le mise en place de Snort en tant qu'ips doit se faire avec réflexion et analyse des impactes de tel ou tel type de règles. | + | <note tip>Le mise en place de Snort en tant qu'IPS doit se faire avec réflexion et analyse des impactes de tel ou tel type de règles. |
- | La machine faisant firewall devra avoir 2 cartes réseaux, et avoir suffisamment de mémoire RAM. | + | La machine faisant firewall devra avoir 2 cartes réseaux, et avoir suffisamment de RAM. |
{{ http://doc.emergingthreats.net/pub/Main/SnortConfSamples/BleedingNetworkTopology.gif }} | {{ http://doc.emergingthreats.net/pub/Main/SnortConfSamples/BleedingNetworkTopology.gif }} | ||
Source : [[http://doc.emergingthreats.net/bin/view/Main/SnortConfSamples|emergingthreats.net]] | Source : [[http://doc.emergingthreats.net/bin/view/Main/SnortConfSamples|emergingthreats.net]] | ||
</note> | </note> | ||
+ | * | ||
+ | * [[Suricata]] : un nouvel IPS | ||
* [[Snort Inline]] - solution officielle, désormais intégrée dans snort : compiler avec l'option --enable-inline | * [[Snort Inline]] - solution officielle, désormais intégrée dans snort : compiler avec l'option --enable-inline | ||
- | * [[snort-ai]] ([[http://sourceforge.net/projects/snort-ai/|site]]) : Des plugins pour snort visant à apporter de l'[[intelligence artificielle]] ( capable d'apprendre : donc n'hésitez pas à passer par une série de test réseau avec par exemple [[nessus]] , et autre) | + | * [[https://sourceforge.net/projects/snort-ai/|snort-ai]]) : Des plugins pour snort visant à apporter de l'[[intelligence artificielle]] (capable d'apprendre : donc n'hésitez pas à passer par une série de test réseau avec par exemple [[openvas]], et autre) |
* En conjonction de [[snort]] : | * En conjonction de [[snort]] : | ||
* [[fwsnort]] - ([[apt://fwsnort|installer]]) | * [[fwsnort]] - ([[apt://fwsnort|installer]]) | ||
- | * [[Guardian]] - Active Response for Snort ([[http://www.chaotic.org/guardian/|site]]) | + | * [[http://www.chaotic.org/guardian/|Guardian]] - Active Response for Snort |
- | * [[SnortSam]] ([[http://www.snortsam.net/|site]]) | + | * [[http://www.snortsam.net/|SnortSam]] |
- | * [[Snort2c]] ([[http://snort2c.sourceforge.net/|site]]) ((fork de snort2pf)) | + | * [[http://snort2c.sourceforge.net/|Snort2c]]) ((fork de snort2pf)) |
- | * [[Snort2pf]] ([[http://sourceforge.net/projects/snort2pf/|site]]) | + | * [[https://sourceforge.net/projects/snort2pf/|Snort2pf]] |
- | * [[Barnyard]] : Barnyard permet de prendre en charge l’inscription des événements en base de données et libère donc des resources à Snort qui peut davantage se concentrer sur la détection des intrusions. | + | |
- | * [[hlbr]] | + | |
- | * [[Suricata]] | + | |
+ | * [[http://sagan.softwink.com/|Sagan]] : IDS type snort | ||
+ | |||
+ | * [[hlbr]] | ||
* [[psad]] ([[apt://psad|installer]]) - Détection de scannage de port | * [[psad]] ([[apt://psad|installer]]) - Détection de scannage de port | ||
- | * [[Sagan]] ([[http://sagan.softwink.com/|site]]) : IDS type snort | ||
- | * [[Panoptis]] (NIDS) ([[http://sourceforge.net/projects/panoptis/|site]]) | ||
* [[Denyhosts]] ([[http://denyhosts.sourceforge.net/|site]]) | * [[Denyhosts]] ([[http://denyhosts.sourceforge.net/|site]]) | ||
+ | Anti flood et ddos : | ||
+ | * [[https://sourceforge.net/projects/hexhub/|HeXHub]]) | ||
+ | * [[https://sourceforge.net/projects/panoptis/|Panoptis]] (NIDS) | ||
+ | * [[https://sourceforge.net/projects/alfandega/|Alfandega Firewall]] | ||
+ | * [[https://sourceforge.net/projects/pfw/|PHP Firewall]] | ||
===== IPS hote -HIPS ===== | ===== IPS hote -HIPS ===== | ||
* [[Ossec]] | * [[Ossec]] | ||
- | * [[Samhain]] | + | * [[aide_hips]] |
- | * [[fail2ban]] ([[apt://fail2ban|installer]]) - blocage d'ip suite à des tentives de connections à des services sur une machine ( possiblement une attaque brute force ). | + | * Samhain |
- | * [[bastille]] ([[apt://bastaille,perl-tk|installer]]) : Outil de renforcement de la sécurité système, en mode interractif. | + | * [[fail2ban]] - blocage d'IP suite à des tentatives de connections à des services sur une machine (possiblement une attaque brute force). |
- | + | ||
- | SQL : | + | |
* [[Greensql]] | * [[Greensql]] | ||
=====Monitoring===== | =====Monitoring===== | ||
+ | Libre | ||
* [[Prelude]]. | * [[Prelude]]. | ||
- | * [[BASE]] | + | * BASE |
+ | * [[icinga]] ([[https://www.icinga.org/download/packages/|site]]) | ||
+ | * snort-unified-perl ([[https://code.google.com/p/snort-unified-perl/|site]]) pour lire le format unified de snort ou suricata en perl | ||
+ | * Ossim ([[http://www.alienvault.com/download-ossim|site]]) Outil complet | ||
+ | * Sguil ([[http://sguil.sourceforge.net/screenshots.html|site]]) | ||
+ | |||
+ | Payant : | ||
+ | * Sourcefire (Cost, produced by the company that develops Snort) | ||
+ | * Aanval (Cost) | ||
====Sniffing==== | ====Sniffing==== | ||
* pmacct ([[apt://pmacct|installer]]) | * pmacct ([[apt://pmacct|installer]]) | ||
* nast ([[apt://nast|installer]]) | * nast ([[apt://nast|installer]]) | ||
=====Pages connexes===== | =====Pages connexes===== | ||
- | * voir [[securite]], [[pare-feu]] | + | * voir [[:securite]], [[pare-feu]] |
- | * voir [[reseau]], [[serveur]] | + | * voir [[:reseau]], [[serveur]] |
- | * voir [[rootkit]] et [[antivirus]] | + | * voir [[:rootkit]] et [[antivirus]] |
=====Ressource===== | =====Ressource===== | ||
Ligne 65: | Ligne 77: | ||
====Tutoriels==== | ====Tutoriels==== | ||
* [[http://www.howtoforge.com/snort-ossec-prelude-on-ubuntu-gutsy-gibbon|Intrusion Detection: Snort (IDS), OSSEC (HbIDS) And Prelude (HIDS) On Ubuntu Gutsy Gibbon]] | * [[http://www.howtoforge.com/snort-ossec-prelude-on-ubuntu-gutsy-gibbon|Intrusion Detection: Snort (IDS), OSSEC (HbIDS) And Prelude (HIDS) On Ubuntu Gutsy Gibbon]] | ||
- | * [[http://aldeid.com/index.php/Snort|Présentation, tutoriel, et configuration de l'IDS Snort]] | + | * [[http://aldeid.com/wiki/Snort|Présentation, tutoriel, et configuration de l'IDS Snort]] |
- | * [[http://aldeid.com/index.php/Snort:Contre_mesure:Execution_Guardian|Exécution de test sur snort + Guardian ( d'abord sur une machine virtuel )]] | + | * [[http://aldeid.com/wiki/Snort:Contre_mesure:Execution_Guardian|Exécution de test sur snort + Guardian (d'abord sur une machine virtuel)]] |
====Liens externes==== | ====Liens externes==== | ||
Ligne 77: | Ligne 89: | ||
* [[http://www.authsecu.com/honeypots-honeynet/honeypots-honeynet.php|Les HoneyPots]] | * [[http://www.authsecu.com/honeypots-honeynet/honeypots-honeynet.php|Les HoneyPots]] | ||
- | ===A titre de comparaison === | + | ===A titre de comparaison === |
+ | |||
+ | [[http://bailey.st/blog/smooth-sec/|Smooth Sec]] est une distribution qui implémente suricata et snorby | ||
[[https://projects.honeynet.org/honeywall/|Honeywall]], est une distribution basée sur CentOS, qui collecte les données, analyse et enregistre les communications réseaux jugées anormales. Pour ce faire, Honeywall contient les éléments suivants : | [[https://projects.honeynet.org/honeywall/|Honeywall]], est une distribution basée sur CentOS, qui collecte les données, analyse et enregistre les communications réseaux jugées anormales. Pour ce faire, Honeywall contient les éléments suivants : | ||
Ligne 88: | Ligne 102: | ||
- Un outil de fusion des données (Hflow) | - Un outil de fusion des données (Hflow) | ||
- | [[http://sourceforge.net/projects/efw/|Endian]] (fork d'IPCOP, fork de Smoothwall), distribition destinée à créer un firewall puissant, contenant antivirus ( [[clamav|ClamAV antivirus]] ) ips, snort inline ( règle à ajouter soi meme), Antispam. Interface d'Administration et de monitoring web. ( ainsi que beaucoup d'autres fonctions liés aux services réseaux ). | + | [[https://sourceforge.net/projects/efw/|Endian]] (fork d'IPCOP, fork de Smoothwall), distribution destinée à créer un firewall puissant, contenant antivirus ([[clamav|ClamAV antivirus]]) IPS, snort inline (règle à ajouter soi-même), antispam. Interface d'Administration et de monitoring web. (ainsi que beaucoup d'autres fonctions liés aux services réseaux). |
+ | |||
+ | =====Voir aussi===== | ||
+ | * Sur sourceforge : [[http://sourceforge.net/search/?q=firewall&sort=num_downloads_week&sortdir=desc&limit=25|Firewall]], [[http://sourceforge.net/search/?q=ddos&sort=num_downloads_week&sortdir=desc&limit=25|ddos]] | ||
+ | * [[https://www.darknet.org.uk/|Darknet - The Darkside]] | ||
+ | [[http://en.wikipedia.org/wiki/Computer_security_conference#List_of_annual_hacker_conventions|List of annual hacker conventions]] : bien entendu une grande partie des hackers présent sur certaine conférence, font partie des forces de l'ordre | ||
+ | * [[https://www.defcon.org/|DEF CON® Hacking Conference]] | ||
+ | * [[http://www.snort.org/snort-downloads/additional-downloads#snortsam|Snort Additional Downloads: Add-Ons & Other Cool Projects]] pour d'autres outils; | ||
===== Pages en rapport avec IPS ===== | ===== Pages en rapport avec IPS ===== |