Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentes Révision précédente
Prochaine révision
Révision précédente
ips [Le 22/07/2010, 13:48]
psychederic
ips [Le 11/09/2022, 11:59] (Version actuelle)
moths-art Suppression des espaces en fin de ligne (détecté et corrigé via le bot wiki-corrector (https://forum.ubuntu-fr.org/viewtopic.php?id=2067892)
Ligne 4: Ligne 4:
 ====== IPS : Système de prévention d'​intrusion ====== ====== IPS : Système de prévention d'​intrusion ======
  
-Un système de prévention d'​intrusion (ou IPS, Intrusion Prevention System) est un outil des spécialistes en sécurité des systèmes d'​information,​ similaire aux IDS, sauf que ce système peut prendre des mesures afin de diminuer les risques d'​impact d'une attaque. C'est un IDS actif, il détecte un balayage automatisé,​ l'IPS peut bloquer les ports automatiquement. ( [[wpfr>​ips|wikipedia]] )+Un système de prévention d'​intrusion (ou IPS, Intrusion Prevention System) est un outil des spécialistes en sécurité des systèmes d'​information,​ similaire aux IDS, sauf que ce système peut prendre des mesures afin de diminuer les risques d'​impact d'une attaque. C'est un IDS actif, il détecte un balayage automatisé,​ l'IPS peut bloquer les ports automatiquement. ([[wpfr>​ips|wikipedia]])
  
-<note important>​Étant donné le niveaux informatique requis pour mettre en place un ips , nous déconseillons aux utilisateurs normaux sans grande connaissance en informatique d'​essayer.+<note important>​Étant donné le niveaux informatique requis pour mettre en place un IPS, nous déconseillons aux utilisateurs normaux sans grande connaissance en informatique d'​essayer.
  
-Les Système ​de prévention d'​intrusion sont pour le moment destinés aux entreprises.+Les système ​de prévention d'​intrusion sont pour le moment destinés aux entreprises.
 </​note>​ </​note>​
  
-Un ips rentre aujourd'​hui dans la nouvelle définition des [[pare-feu|pare-feux]].+Un IPS rentre aujourd'​hui dans la nouvelle définition des [[pare-feu|pare-feux]].
  
-===== IPS reseau ​=====+===== IPS réseau ​=====
  
-<note tip>Le mise en place de Snort en tant qu'ips doit se faire avec réflexion et analyse des impactes de tel ou tel type de règles.+<note tip>Le mise en place de Snort en tant qu'IPS doit se faire avec réflexion et analyse des impactes de tel ou tel type de règles.
  
-La machine faisant firewall devra avoir 2 cartes réseaux, et avoir suffisamment de mémoire ​RAM.+La machine faisant firewall devra avoir 2 cartes réseaux, et avoir suffisamment de RAM.
  
 {{ http://​doc.emergingthreats.net/​pub/​Main/​SnortConfSamples/​BleedingNetworkTopology.gif }} {{ http://​doc.emergingthreats.net/​pub/​Main/​SnortConfSamples/​BleedingNetworkTopology.gif }}
 Source : [[http://​doc.emergingthreats.net/​bin/​view/​Main/​SnortConfSamples|emergingthreats.net]] Source : [[http://​doc.emergingthreats.net/​bin/​view/​Main/​SnortConfSamples|emergingthreats.net]]
 </​note>​ </​note>​
 +   ​* ​
 +   * [[Suricata]] : un nouvel IPS
    * [[Snort Inline]] - solution officielle, désormais intégrée dans snort : compiler avec l'​option --enable-inline    * [[Snort Inline]] - solution officielle, désormais intégrée dans snort : compiler avec l'​option --enable-inline
 +       * [[https://​sourceforge.net/​projects/​snort-ai/​|snort-ai]]) : Des plugins pour snort visant à apporter de l'​[[intelligence artificielle]] (capable d'​apprendre : donc n'​hésitez pas à passer par une série de test réseau avec par exemple [[openvas]],​ et autre)
 +
    * En conjonction de [[snort]] :    * En conjonction de [[snort]] :
        * [[fwsnort]] - ([[apt://​fwsnort|installer]])        * [[fwsnort]] - ([[apt://​fwsnort|installer]])
-       ​* ​[[Guardian]] - Active Response for Snort ([[http://​www.chaotic.org/​guardian/​|site]]) +       * [[http://​www.chaotic.org/​guardian/​|Guardian]] - Active Response for Snort 
-       ​* ​[[SnortSam]] ([[http://​www.snortsam.net/​|site]] +       * [[http://​www.snortsam.net/​|SnortSam]] 
-       ​* ​[[Snort2c]] ([[http://​snort2c.sourceforge.net/​|site]]) ((fork de snort2pf)) +       * [[http://​snort2c.sourceforge.net/​|Snort2c]]) ((fork de snort2pf)) 
-       * [[Snort2pf]] ([[http://​sourceforge.net/​projects/​snort2pf/​|site]]) +       * [[https://​sourceforge.net/​projects/​snort2pf/​|Snort2pf]]
-       * [[Barnyard]] : Barnyard permet de prendre en charge l’inscription des événements en base de données et libère donc des resources à Snort qui peut davantage se concentrer sur la détection des intrusions.  +
-   * [[hlbr]] +
-   * [[Suricata]]+
  
 +   * [[http://​sagan.softwink.com/​|Sagan]] : IDS type snort
  
 +
 +   * [[hlbr]]
    * [[psad]] ([[apt://​psad|installer]]) - Détection de scannage de port    * [[psad]] ([[apt://​psad|installer]]) - Détection de scannage de port
-   * [[Sagan]] ([[http://sagan.softwink.com/​|site]]) ​: IDS type snort+   * [[Denyhosts]] ([[http://denyhosts.sourceforge.net/|site]])
  
 +Anti flood et ddos :
 +   * [[https://​sourceforge.net/​projects/​hexhub/​|HeXHub]])
 +   * [[https://​sourceforge.net/​projects/​panoptis/​|Panoptis]] (NIDS)
 +   * [[https://​sourceforge.net/​projects/​alfandega/​|Alfandega Firewall]]
 +   * [[https://​sourceforge.net/​projects/​pfw/​|PHP Firewall]]
 ===== IPS hote -HIPS ===== ===== IPS hote -HIPS =====
    * [[Ossec]]    * [[Ossec]]
-   * [[Samhain]] +   * [[aide_hips]] 
-   * [[fail2ban]] ​([[apt://​fail2ban|installer]]) ​- blocage d'ip suite à des tentives ​de connections à des services sur une machine ( possiblement une attaque brute force ). +   * Samhain 
-   * [[bastille]] ([[apt://​bastaille,​perl-tk|installer]]) : Outil de renforcement de la sécurité système, en mode interractif. +   * [[fail2ban]] - blocage d'IP suite à des tentatives ​de connections à des services sur une machine (possiblement une attaque brute force).
- +
-SQL :+
    * [[Greensql]]    * [[Greensql]]
  
 =====Monitoring===== =====Monitoring=====
 +Libre
    * [[Prelude]].    * [[Prelude]].
-   * [[BASE]]+   * BASE 
 +   * [[icinga]] ([[https://​www.icinga.org/​download/​packages/​|site]]) 
 +   * snort-unified-perl ([[https://​code.google.com/​p/​snort-unified-perl/​|site]]) pour lire le format unified de snort ou suricata en perl 
 +   * Ossim ([[http://​www.alienvault.com/​download-ossim|site]]) Outil complet 
 +   * Sguil ([[http://​sguil.sourceforge.net/​screenshots.html|site]]
 + 
 +Payant : 
 +     * Sourcefire (Cost, produced by the company that develops Snort) 
 +     * Aanval (Cost)
 ====Sniffing==== ====Sniffing====
    * pmacct ([[apt://​pmacct|installer]])    * pmacct ([[apt://​pmacct|installer]])
    * nast ([[apt://​nast|installer]])    * nast ([[apt://​nast|installer]])
 =====Pages connexes===== =====Pages connexes=====
-   * voir [[securite]],​ [[pare-feu]] +   * voir [[:securite]], [[pare-feu]] 
-   * voir [[reseau]], [[serveur]] +   * voir [[:reseau]], [[serveur]] 
-   * voir [[rootkit]] et [[antivirus]]+   * voir [[:rootkit]] et [[antivirus]]
  
 =====Ressource===== =====Ressource=====
Ligne 61: Ligne 77:
 ====Tutoriels==== ====Tutoriels====
    * [[http://​www.howtoforge.com/​snort-ossec-prelude-on-ubuntu-gutsy-gibbon|Intrusion Detection: Snort (IDS), OSSEC (HbIDS) And Prelude (HIDS) On Ubuntu Gutsy Gibbon]]    * [[http://​www.howtoforge.com/​snort-ossec-prelude-on-ubuntu-gutsy-gibbon|Intrusion Detection: Snort (IDS), OSSEC (HbIDS) And Prelude (HIDS) On Ubuntu Gutsy Gibbon]]
-   * [[ http://​aldeid.com/​index.php/​Snort|Présentation,​ tutoriel, et configuration de l'IDS Snort]] +   * [[http://​aldeid.com/​wiki/​Snort|Présentation,​ tutoriel, et configuration de l'IDS Snort]] 
-       ​* ​ [[http://​aldeid.com/​index.php/​Snort:​Contre_mesure:​Execution_Guardian|Exécution de test sur snort + Guardian ( d'​abord sur une machine virtuel )]] +       ​* ​ [[http://​aldeid.com/​wiki/​Snort:​Contre_mesure:​Execution_Guardian|Exécution de test sur snort + Guardian (d'​abord sur une machine virtuel)]] ​
 ====Liens externes==== ====Liens externes====
  
Ligne 73: Ligne 89:
  
    * [[http://​www.authsecu.com/​honeypots-honeynet/​honeypots-honeynet.php|Les HoneyPots]]    * [[http://​www.authsecu.com/​honeypots-honeynet/​honeypots-honeynet.php|Les HoneyPots]]
-===A titre de comparaison === +===A titre de comparaison === 
 + 
 +[[http://​bailey.st/​blog/​smooth-sec/​|Smooth Sec]] est une distribution qui implémente suricata et snorby
  
 [[https://​projects.honeynet.org/​honeywall/​|Honeywall]],​ est une distribution basée sur CentOS, qui collecte les données, analyse et enregistre les communications réseaux jugées anormales. Pour ce faire, Honeywall contient les éléments suivants : [[https://​projects.honeynet.org/​honeywall/​|Honeywall]],​ est une distribution basée sur CentOS, qui collecte les données, analyse et enregistre les communications réseaux jugées anormales. Pour ce faire, Honeywall contient les éléments suivants :
Ligne 84: Ligne 102:
 - Un outil de fusion des données (Hflow) - Un outil de fusion des données (Hflow)
  
-[[http://​sourceforge.net/​projects/​efw/​|Endian]] (fork d'​IPCOP,​ fork de Smoothwall), ​distribition ​destinée à créer un firewall puissant, contenant antivirus ( [[ClamAV antivirus]] ) ips, snort inline ( règle à ajouter soi meme), Antispam. Interface d'​Administration et de monitoring web. ( ainsi que beaucoup d'​autres fonctions liés aux services réseaux ).+[[https://​sourceforge.net/​projects/​efw/​|Endian]] (fork d'​IPCOP,​ fork de Smoothwall), ​distribution ​destinée à créer un firewall puissant, contenant antivirus ([[clamav|ClamAV antivirus]]) ​IPS, snort inline (règle à ajouter soi-même), antispam. Interface d'​Administration et de monitoring web. (ainsi que beaucoup d'​autres fonctions liés aux services réseaux). 
 + 
 +=====Voir aussi===== 
 +   * Sur sourceforge : [[http://​sourceforge.net/​search/?​q=firewall&​sort=num_downloads_week&​sortdir=desc&​limit=25|Firewall]],​ [[http://​sourceforge.net/​search/?​q=ddos&​sort=num_downloads_week&​sortdir=desc&​limit=25|ddos]] 
 +   * [[https://​www.darknet.org.uk/​|Darknet - The Darkside]] 
 +[[http://​en.wikipedia.org/​wiki/​Computer_security_conference#​List_of_annual_hacker_conventions|List of annual hacker conventions]] : bien entendu une grande partie des hackers présent sur certaine conférence,​ font partie des forces de l'​ordre 
 +   * [[https://​www.defcon.org/​|DEF CON® Hacking Conference]]  
 +   * [[http://​www.snort.org/​snort-downloads/​additional-downloads#​snortsam|Snort Additional Downloads: Add-Ons & Other Cool Projects]] pour d'​autres outils;
  
 ===== Pages en rapport avec IPS ===== ===== Pages en rapport avec IPS =====
  • ips.1279799281.txt.gz
  • Dernière modification: Le 22/07/2010, 13:48
  • par psychederic