Académique Documents
Professionnel Documents
Culture Documents
:
Snort :
Snort est un système de détection d'intrusion et de prévention d'intrusion gratuit et
open-source populaire développé par Sourcefire, maintenant propriété de Cisco.
Snort est un système de détection d'intrusion basé sur le réseau (NIDS) open-source qui
utilise des règles pour détecter les activités suspectes sur le réseau
IL fonctionne en capturant les paquets réseau, en les analysant à l'aide de règles pour
détecter les activités suspectes et en générant des alertes en cas de détection de menaces
Les alertes peuvent ensuite être gérées et les journaux peuvent être utilisés pour une analyse
ultérieure
Snort est un outil puissant pour aider les organisations à détecter les menaces sur leur réseau
et à réduire les risques de sécurité
Détecteur d’intrusion open source
Placé en tant que sniffer
Repère des signatures d’attaques
Repère les scans de port rapides
Bonne base de signatures :
o Mise à jour
o Modifiable
Inconvénients :
L’architecture :
Wazuh :
Wazuh est un HIDS open source qui offre une gamme de fonctionnalités de sécurité
pour la détection d’intrusion, la supervision de sécurité, et la réponse aux menaces.
Il intègre OSSEC
Il peut être utilise pour surveiller Endpoint, les services cloud et conteneurs, et pour
agréger et analyser les données provenant de source externe.
il offre une intégration avec Elasticsearch et Kibana pour visualiser les données de
sécurité et les événements détectés.
Wazuh fournit les cas d’utilisation (use cases) suivantes :
L’emplacement de IDS :
L’emplacement de l’ids dépendra des besoins spécifiques de l’infrastructure, en peut
prendre en considération ces point :
Un IDS doit être placé de manière à surveiller le trafic réseau que nous voulons
protéger.
Il doit être placé de manière stratégique pour surveiller les points d'entrée critiques
du réseau, comme le pare-feu et les routeurs.
Il doit avoir la capacité de traiter le volume de trafic réseau qui passe par le réseau à
surveiller.
Position (1) : Sur cette position, l'IDS va pouvoir détecter l'ensemble des attaques frontales,
provenant de l'extérieur, en amont du firewall. Ainsi, beaucoup d'alertes seront remontées
ce qui rendra les logs difficellement consultables. (3atwli s3iba bach nrj3o les logs dialna).
Position (2) : Si l'IDS est placé sur la DMZ, il détectera les attaques qui n'ont pas été filtrées
par le firewall et qui relèvent d'un certain niveau de compétence. Les logs seront plus clairs.
Position (3) : L'IDS peut ici rendre compte des attaques internes, provenant du réseau local
de l'entreprise, et il analysera le flux entre le réseau interne et internet/DMZ.
Donc le meilleur positionnement de IDS est la position 2 et 3.
SURICATA :
Suricata est un NIDS hautes performances conçu pour détecter et prévenir les intrusions sur
le réseau en temps réel.
Suricata, en tant qu'IDS basé sur les signatures, est un moteur de détection des menaces
réseau gratuit et open source, rapide et robuste.
Il est capable de détecter les intrusions en temps réel, de surveiller la sécurité du réseau
(NSM) et de traiter la capture de paquets hors ligne (pcap).
Suricata qui fonctionne au niveau de la couche d'application pour une plus grande visibilité.
Suricata peut surveiller les protocoles de niveau inférieur, notamment UDP, TLS, TCP et
ICMP, ainsi que les protocoles de niveau supérieur tels que SMB, FTP et HTTP.
Le système de détection d'intrusion Suricata contient plusieurs threads dans le même
moteur de détection (executer en different CPU en parallel), ce qui lui permet de diviser les
tâches de traitement.
Suricata il télécharge les régles à partir des bases de signature, et il est possible d’écrire ses
propres régles pour la détection des menaces les plus complex.
Suricata analyse le trafic sur une ou plusieurs interfaces réseaux en fonction de règles activées. Il
génère, par défaut, un fichier JSON