Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentes Révision précédente
Prochaine révision
Révision précédente
ips [Le 30/04/2010, 10:12]
psychederic
ips [Le 11/09/2022, 11:59] (Version actuelle)
moths-art Suppression des espaces en fin de ligne (détecté et corrigé via le bot wiki-corrector (https://forum.ubuntu-fr.org/viewtopic.php?id=2067892)
Ligne 1: Ligne 1:
-{{tag>securite ​pare-feu}}+{{tag>entreprise sécurité ​pare-feu}}
  
 ---- ----
 ====== IPS : Système de prévention d'​intrusion ====== ====== IPS : Système de prévention d'​intrusion ======
  
-Un système de prévention d'​intrusion (ou IPS, Intrusion Prevention System) est un outil des spécialistes en sécurité des systèmes d'​information,​ similaire aux IDS, sauf que ce système peut prendre des mesures afin de diminuer les risques d'​impact d'une attaque. C'est un IDS actif, il détecte un balayage automatisé,​ l'IPS peut bloquer les ports automatiquement. ( [[wpfr>​ips|wikipedia]] )+Un système de prévention d'​intrusion (ou IPS, Intrusion Prevention System) est un outil des spécialistes en sécurité des systèmes d'​information,​ similaire aux IDS, sauf que ce système peut prendre des mesures afin de diminuer les risques d'​impact d'une attaque. C'est un IDS actif, il détecte un balayage automatisé,​ l'IPS peut bloquer les ports automatiquement. ([[wpfr>​ips|wikipedia]])
  
-Un ips rentre aujourd'hui dans la nouvelle définition des [[pare-feu|pare-feux]].+<note important>​Étant donné le niveaux informatique requis pour mettre en place un IPS, nous déconseillons aux utilisateurs normaux sans grande connaissance en informatique d'essayer.
  
-===== IPS reseau ​===== +Les système de prévention d'​intrusion sont pour le moment destinés aux entreprises. 
-<note tip>Le mise en place de Snort en tant qu'ips doit se faire avec réflexion et analyse des impactes de tel ou tel type de règles.+</​note>​ 
 + 
 +Un IPS rentre aujourd'​hui dans la nouvelle définition des [[pare-feu|pare-feux]]. 
 + 
 +===== IPS réseau ​===== 
 + 
 +<note tip>Le mise en place de Snort en tant qu'IPS doit se faire avec réflexion et analyse des impactes de tel ou tel type de règles
 + 
 +La machine faisant firewall devra avoir 2 cartes réseaux, et avoir suffisamment de RAM.
  
-La machine faisant firewall devra avoir 2 cartes réseaux, et avoir suffisamment de mémoire RAM.+{{ http://doc.emergingthreats.net/​pub/​Main/​SnortConfSamples/​BleedingNetworkTopology.gif }} 
 +Source : [[http://​doc.emergingthreats.net/​bin/​view/​Main/​SnortConfSamples|emergingthreats.net]]
 </​note>​ </​note>​
 +   ​* ​
 +   * [[Suricata]] : un nouvel IPS
    * [[Snort Inline]] - solution officielle, désormais intégrée dans snort : compiler avec l'​option --enable-inline    * [[Snort Inline]] - solution officielle, désormais intégrée dans snort : compiler avec l'​option --enable-inline
 +       * [[https://​sourceforge.net/​projects/​snort-ai/​|snort-ai]]) : Des plugins pour snort visant à apporter de l'​[[intelligence artificielle]] (capable d'​apprendre : donc n'​hésitez pas à passer par une série de test réseau avec par exemple [[openvas]],​ et autre)
 +
    * En conjonction de [[snort]] :    * En conjonction de [[snort]] :
        * [[fwsnort]] - ([[apt://​fwsnort|installer]])        * [[fwsnort]] - ([[apt://​fwsnort|installer]])
-       ​* ​[[Guardian]] - Active Response for Snort ([[http://​www.chaotic.org/​guardian/​|site]]) +       * [[http://​www.chaotic.org/​guardian/​|Guardian]] - Active Response for Snort 
-       ​* ​[[SnortSam]] ([[http://​www.snortsam.net/​|site]] +       * [[http://​www.snortsam.net/​|SnortSam]] 
-       ​* ​[[Snort2c]] ([[http://​snort2c.sourceforge.net/​|site]]) ((fork de snort2pf)) +       * [[http://​snort2c.sourceforge.net/​|Snort2c]]) ((fork de snort2pf)) 
-       * [[Snort2pf]] ([[http://​sourceforge.net/​projects/​snort2pf/​|site]]) +       * [[https://​sourceforge.net/​projects/​snort2pf/​|Snort2pf]]
-       * [[Barnyard]] : Barnyard permet de prendre en charge l’inscription des événements en base de données et libère donc des resources à Snort qui peut davantage se concentrer sur la détection des intrusions.  +
-   * [[hlbr]] +
-   * [[Suricata]]+
  
 +   * [[http://​sagan.softwink.com/​|Sagan]] : IDS type snort
  
 +
 +   * [[hlbr]]
    * [[psad]] ([[apt://​psad|installer]]) - Détection de scannage de port    * [[psad]] ([[apt://​psad|installer]]) - Détection de scannage de port
-   * [[fail2ban]] ([[apt://fail2ban|installer]]) - blocage d'ip suite à des tentives de connections à des services sur une machine ( possiblement une attaque brute force ). +   * [[Denyhosts]] ([[http://denyhosts.sourceforge.net/|site]])
-   * [[bastille]] ([[apt://fail2ban|installer]]) : Outil de renforcement de la sécurité système, en mode interractif.+
  
 +Anti flood et ddos :
 +   * [[https://​sourceforge.net/​projects/​hexhub/​|HeXHub]])
 +   * [[https://​sourceforge.net/​projects/​panoptis/​|Panoptis]] (NIDS)
 +   * [[https://​sourceforge.net/​projects/​alfandega/​|Alfandega Firewall]]
 +   * [[https://​sourceforge.net/​projects/​pfw/​|PHP Firewall]]
 ===== IPS hote -HIPS ===== ===== IPS hote -HIPS =====
    * [[Ossec]]    * [[Ossec]]
-   * [[Samhain]]+   * [[aide_hips]] 
 +   ​* ​Samhain 
 +   * [[fail2ban]] - blocage d'IP suite à des tentatives de connections à des services sur une machine (possiblement une attaque brute force). 
 +   * [[Greensql]]
  
 =====Monitoring===== =====Monitoring=====
 +Libre
    * [[Prelude]].    * [[Prelude]].
-   * [[BASE]]+   * BASE 
 +   * [[icinga]] ([[https://​www.icinga.org/​download/​packages/​|site]]) 
 +   * snort-unified-perl ([[https://​code.google.com/​p/​snort-unified-perl/​|site]]) pour lire le format unified de snort ou suricata en perl 
 +   * Ossim ([[http://​www.alienvault.com/​download-ossim|site]]) Outil complet 
 +   * Sguil ([[http://​sguil.sourceforge.net/​screenshots.html|site]])
  
 +Payant :
 +     * Sourcefire (Cost, produced by the company that develops Snort)
 +     * Aanval (Cost)
 +====Sniffing====
 +   * pmacct ([[apt://​pmacct|installer]])
 +   * nast ([[apt://​nast|installer]])
 =====Pages connexes===== =====Pages connexes=====
-   * voir [[securite]],​ [[pare-feu]] +   * voir [[:securite]], [[pare-feu]] 
-   * voir [[reseau]], [[serveur]] +   * voir [[:reseau]], [[serveur]] 
-   * voir [[rootkit]] et [[antivirus]]+   * voir [[:rootkit]] et [[antivirus]]
  
 =====Ressource===== =====Ressource=====
Ligne 46: Ligne 77:
 ====Tutoriels==== ====Tutoriels====
    * [[http://​www.howtoforge.com/​snort-ossec-prelude-on-ubuntu-gutsy-gibbon|Intrusion Detection: Snort (IDS), OSSEC (HbIDS) And Prelude (HIDS) On Ubuntu Gutsy Gibbon]]    * [[http://​www.howtoforge.com/​snort-ossec-prelude-on-ubuntu-gutsy-gibbon|Intrusion Detection: Snort (IDS), OSSEC (HbIDS) And Prelude (HIDS) On Ubuntu Gutsy Gibbon]]
-   * [[ http://​aldeid.com/​index.php/​Snort|Présentation,​ tutoriel, et configuration de l'IDS Snort]] +   * [[http://​aldeid.com/​wiki/​Snort|Présentation,​ tutoriel, et configuration de l'IDS Snort]] 
-       ​* ​ [[http://​aldeid.com/​index.php/​Snort:​Contre_mesure:​Execution_Guardian|Exécution de test sur snort + Guardian ( d'​abord sur une machine virtuel )]] +       ​* ​ [[http://​aldeid.com/​wiki/​Snort:​Contre_mesure:​Execution_Guardian|Exécution de test sur snort + Guardian (d'​abord sur une machine virtuel)]] ​
 ====Liens externes==== ====Liens externes====
 +
 +===honeypot===
 +<note tip>
 +Un [[wpfr>​honeypot]] (en français pot de miel) est un ordinateur ou un programme volontairement vulnérable destiné à attirer et à piéger les pirates informatiques.</​note>​
 +   * http://​www.honeynet.org/​papers/​honeynet/​
 +   * http://​www.spitzner.net/​honeypot.html
 +   * http://​www.tracking-hackers.com/​book/​
 +
 +   * [[http://​www.authsecu.com/​honeypots-honeynet/​honeypots-honeynet.php|Les HoneyPots]]
 +===A titre de comparaison ===
 +
 +[[http://​bailey.st/​blog/​smooth-sec/​|Smooth Sec]] est une distribution qui implémente suricata et snorby
 +
 +[[https://​projects.honeynet.org/​honeywall/​|Honeywall]],​ est une distribution basée sur CentOS, qui collecte les données, analyse et enregistre les communications réseaux jugées anormales. Pour ce faire, Honeywall contient les éléments suivants :
 +
 +- Librairie de capture de trames réseaux (libpcap)
 +- Un logiciel de détection/​prévention d'​intrusions réseaux (Snort Inline)
 +- Un outil de capture et analyse des flux applicatifs (Sebek)
 +- Un outil d'​analyse de netflow (Argus)
 +- Un outil de détection de prise d'​empreinte passif (p0f)
 +- Un outil de fusion des données (Hflow)
 +
 +[[https://​sourceforge.net/​projects/​efw/​|Endian]] (fork d'​IPCOP,​ fork de Smoothwall),​ distribution destinée à créer un firewall puissant, contenant antivirus ([[clamav|ClamAV antivirus]]) IPS, snort inline (règle à ajouter soi-même), antispam. Interface d'​Administration et de monitoring web. (ainsi que beaucoup d'​autres fonctions liés aux services réseaux).
 +
 +=====Voir aussi=====
 +   * Sur sourceforge : [[http://​sourceforge.net/​search/?​q=firewall&​sort=num_downloads_week&​sortdir=desc&​limit=25|Firewall]],​ [[http://​sourceforge.net/​search/?​q=ddos&​sort=num_downloads_week&​sortdir=desc&​limit=25|ddos]]
 +   * [[https://​www.darknet.org.uk/​|Darknet - The Darkside]]
 +[[http://​en.wikipedia.org/​wiki/​Computer_security_conference#​List_of_annual_hacker_conventions|List of annual hacker conventions]] : bien entendu une grande partie des hackers présent sur certaine conférence,​ font partie des forces de l'​ordre
 +   * [[https://​www.defcon.org/​|DEF CON® Hacking Conference]] ​
 +   * [[http://​www.snort.org/​snort-downloads/​additional-downloads#​snortsam|Snort Additional Downloads: Add-Ons & Other Cool Projects]] pour d'​autres outils;
  
 ===== Pages en rapport avec IPS ===== ===== Pages en rapport avec IPS =====
  • ips.1272615142.txt.gz
  • Dernière modification: Le 18/04/2011, 14:40
  • (modification externe)