Bibou Le Forum
Portail sur la sécurité
 
PortailAccueilRechercherS'enregistrerMembresGroupesConnexion
anipassion.com
Partagez | 
 

 Contrôleurs d'intégrité

Voir le sujet précédent Voir le sujet suivant Aller en bas 
AuteurMessage
K1ks
Extrabibou
Extrabibou
avatar

Masculin
Nombre de messages : 1121
Age : 30
Localisation : ...
Date d'inscription : 12/12/2007

MessageSujet: Contrôleurs d'intégrité   Lun 7 Jan 2008 - 19:46

I.D.S / H.I.P.S
Intrusion Detection System
Contrôleurs d'intégrité




Confrontés à une multiplication et à une complexité croissante des remontées d’alertes, vous avez besoin qu’une information structurée et organisée vous soit donnée.

Vous avez déjà un firewall ou un antivirus équipé d'une telle technologie, mais vous ne savez pas vraiment à quoi cela sert-il ?

Outre la mise en place de pare-feu et de système d'authentification de plus en plus sécurisé, il est nécessaire pour compléter cette politique de sécurité, d'avoir des outils de surveillance pour auditer le système d'information et détecter d'éventuelles intrusions.



Qu'est ce que c'est :

Un système de détection d'intrusion (ou IDS : Intrusion Detection System) est un mécanisme destiné à repérer des activités anormales ou suspectes sur la cible analysée (un réseau ou un hôte). Il permet ainsi d'avoir une connaissance sur les tentatives réussies comme échouées des intrusions (Déni de Services, Backdoors, chevaux de troie, tentatives d’accès non autorisés, exécution de codes malicieux, attaques par débordement de buffeurs…)

Deux méthodes sont principalement utilisées par les SDI : la reconnaissance de signatures et la détection d'anomalies.
La reconnaissance de signatures est une approche consistant à rechercher dans l'activité de l'élément surveillé les signatures (ou empreintes) d'attaques connues. Le SDI fait appel à une bibliothèque de signatures (base de données) et ne peut alors détecter que les attaques dont il possède la signature.
De son côté, la détection d'anomalies utilise l'analyse de statistiques du système : changement de mémoire, utilisation excessive du CPU, etc.
Le SDI signalera les divergences par rapport au fonctionnement normal (ou de référence) des éléments surveillés.
Contrairement au pare-feu, qui traite des requêtes et les interdits, un système de détection d'intrusion analyse de façon continue et ne réagit qu'en cas d'anomalies.


Comment :

Si les activités s’éloignent de la norme, une alerte est générée. La machine peut être surveillée sur plusieurs points :

# Activité de la machine : nombre et liste de processus ainsi que d'utilisateurs, ressources consommées, ...
# Activité de l'utilisateur : horaires et durée des connexions, commandes utilisées, messages envoyés, programmes activés, dépassement du périmètre défini...
# Activité malicieuse d'un ver, virus ou cheval de Troie

L'IDS a pour avantage de n'avoir que peu de faux positifs, et permet d'avoir des alertes pertinentes. Quant à ses inconvénients il faut configurer un HIDS par poste et demande une configuration sur chaque système.


Pourquoi une telle chose :

Il y a quelques années, les éditeurs d'antivirus se doutaient déjà qu'une protection de l'ordinateur purement basé sur les signatures serait tôt ou tard insuffisante.
Conformément à cela, il a été pensé une deuxième fonction de protection. L ' I.D.S est en mesure de détecter les comportements nuisibles et appartient à la catégorie des Behavior Blocker (Anglais "behavior"= comportement).
De plus, tous les programmes actifs dans le système seront surveillés en permanence. Aussitôt qu'un programme affiche un comportement potentiellement nuisible, il sera arrêté et affiché. Ainsi, les exécutions d'un programme aux comportements bizarres seront arrêtées à la demande de l'utilisateur, tout ceci sans signatures.

Ces outils signalent les tentatives de manipulation sur beaucoup d'interfaces du système comme les Autostart, les pilotes, les services, le réseau, etc., toutefois sans indications précises quant à indiquer si une action est en fait nuisible. On peut se représenter cela, un peu comme un pare-feu, qui dans les premiers temps, commencera avec beaucoup de fausses alertes, jusqu'à ce que l'on a entraîné le logiciel. Que ce soit simplement un nouveau pilote que l'on installe ou alors un cheval de Troie malveillant, l'utilisateur doit toujours décider lui-même.




Quelques I.D.S :

ProSecurity : http://www.proactive-hips.com/index.php
Tuto : http://www.malekal.com/tutorial_ProSecurity.php

Dynamic Security Agent (DSA) : http://www.privacyware.com/dynamic_security_agent.html
Tuto : http://www.malekal.com/tutorial_DynamicSecurityAgent.php

AntiHook : http://www.infoprocess.com.au/download.php
Tuto : ______________________________

System Safety Monitor
: http://www.syssafety.com/
Tuto : http://www.malekal.com/tutorial_SystemSafetyMonitor.php

ProcessGuard : http://www.diamondcs.com.au/processguard/index.php?page=download
Tuto : http://www.malekal.com/ProcessGuard.php

DefenseWall HIPS : http://www.softsphere.com/programs/
Tuto : http://www.malekal.com/tutorial_DefenseWall.php
Revenir en haut Aller en bas
 
Contrôleurs d'intégrité
Voir le sujet précédent Voir le sujet suivant Revenir en haut 
Page 1 sur 1
 Sujets similaires
-
» Contrôleurs d'intégrité
» comment vérifier l'intégrité physique d'un forum
» Affichier une infobulle au pointage d'un contrôle
» La Cybercriminalité : Le ministère de l'Intérieur prêt à dévoiler son plan
» Intégrer une page HTML dans son programme ?

Permission de ce forum:Vous ne pouvez pas répondre aux sujets dans ce forum
Bibou le forum :: 
La sécurité
 :: Sécuriser son PC :: 
Prévention
-
Sauter vers: