Bibou le forum
Vous souhaitez réagir à ce message ? Créez un compte en quelques clics ou connectez-vous pour continuer.

Bibou Le Forum
Portail sur la sécurité
 
PortailAccueilDernières imagesRechercherS'enregistrerConnexion

Bibou le forum :: 
La sécurité
 :: Sécuriser son PC :: 
Prévention
 

 Contrôleurs d'intégrité

Aller en bas 
AuteurMessage
K1ks
Extrabibou
Extrabibou
K1ks


Masculin
Nombre de messages : 1121
Age : 37
Localisation : ...
Date d'inscription : 11/12/2007

Contrôleurs d'intégrité Empty
MessageSujet: Contrôleurs d'intégrité   Contrôleurs d'intégrité Icon_minitimeLun 7 Jan 2008 - 18:46
I.D.S / H.I.P.S
Intrusion Detection System
Contrôleurs d'intégrité

Contrôleurs d'intégrité Sans_t10


Confrontés à une multiplication et à une complexité croissante des remontées d’alertes, vous avez besoin qu’une information structurée et organisée vous soit donnée.

Vous avez déjà un firewall ou un antivirus équipé d'une telle technologie, mais vous ne savez pas vraiment à quoi cela sert-il ?

Outre la mise en place de pare-feu et de système d'authentification de plus en plus sécurisé, il est nécessaire pour compléter cette politique de sécurité, d'avoir des outils de surveillance pour auditer le système d'information et détecter d'éventuelles intrusions.



Qu'est ce que c'est :

Un système de détection d'intrusion (ou IDS : Intrusion Detection System) est un mécanisme destiné à repérer des activités anormales ou suspectes sur la cible analysée (un réseau ou un hôte). Il permet ainsi d'avoir une connaissance sur les tentatives réussies comme échouées des intrusions (Déni de Services, Backdoors, chevaux de troie, tentatives d’accès non autorisés, exécution de codes malicieux, attaques par débordement de buffeurs…)

Deux méthodes sont principalement utilisées par les SDI : la reconnaissance de signatures et la détection d'anomalies.
La reconnaissance de signatures est une approche consistant à rechercher dans l'activité de l'élément surveillé les signatures (ou empreintes) d'attaques connues. Le SDI fait appel à une bibliothèque de signatures (base de données) et ne peut alors détecter que les attaques dont il possède la signature.
De son côté, la détection d'anomalies utilise l'analyse de statistiques du système : changement de mémoire, utilisation excessive du CPU, etc.
Le SDI signalera les divergences par rapport au fonctionnement normal (ou de référence) des éléments surveillés.
Contrairement au pare-feu, qui traite des requêtes et les interdits, un système de détection d'intrusion analyse de façon continue et ne réagit qu'en cas d'anomalies.


Comment :

Si les activités s’éloignent de la norme, une alerte est générée. La machine peut être surveillée sur plusieurs points :

# Activité de la machine : nombre et liste de processus ainsi que d'utilisateurs, ressources consommées, ...
# Activité de l'utilisateur : horaires et durée des connexions, commandes utilisées, messages envoyés, programmes activés, dépassement du périmètre défini...
# Activité malicieuse d'un ver, virus ou cheval de Troie

L'IDS a pour avantage de n'avoir que peu de faux positifs, et permet d'avoir des alertes pertinentes. Quant à ses inconvénients il faut configurer un HIDS par poste et demande une configuration sur chaque système.


Pourquoi une telle chose :

Il y a quelques années, les éditeurs d'antivirus se doutaient déjà qu'une protection de l'ordinateur purement basé sur les signatures serait tôt ou tard insuffisante.
Conformément à cela, il a été pensé une deuxième fonction de protection. L ' I.D.S est en mesure de détecter les comportements nuisibles et appartient à la catégorie des Behavior Blocker (Anglais "behavior"= comportement).
De plus, tous les programmes actifs dans le système seront surveillés en permanence. Aussitôt qu'un programme affiche un comportement potentiellement nuisible, il sera arrêté et affiché. Ainsi, les exécutions d'un programme aux comportements bizarres seront arrêtées à la demande de l'utilisateur, tout ceci sans signatures.

Ces outils signalent les tentatives de manipulation sur beaucoup d'interfaces du système comme les Autostart, les pilotes, les services, le réseau, etc., toutefois sans indications précises quant à indiquer si une action est en fait nuisible. On peut se représenter cela, un peu comme un pare-feu, qui dans les premiers temps, commencera avec beaucoup de fausses alertes, jusqu'à ce que l'on a entraîné le logiciel. Que ce soit simplement un nouveau pilote que l'on installe ou alors un cheval de Troie malveillant, l'utilisateur doit toujours décider lui-même.

Contrôleurs d'intégrité Sans_t11


Quelques I.D.S :

ProSecurity : http://www.proactive-hips.com/index.php
Tuto : http://www.malekal.com/tutorial_ProSecurity.php

Dynamic Security Agent (DSA) : http://www.privacyware.com/dynamic_security_agent.html
Tuto : http://www.malekal.com/tutorial_DynamicSecurityAgent.php

AntiHook : http://www.infoprocess.com.au/download.php
Tuto : ______________________________

System Safety Monitor : http://www.syssafety.com/
Tuto : http://www.malekal.com/tutorial_SystemSafetyMonitor.php

ProcessGuard : http://www.diamondcs.com.au/processguard/index.php?page=download
Tuto : http://www.malekal.com/ProcessGuard.php

DefenseWall HIPS : http://www.softsphere.com/programs/
Tuto : http://www.malekal.com/tutorial_DefenseWall.php
Revenir en haut Aller en bas
 
Contrôleurs d'intégrité
Revenir en haut 
Page 1 sur 1

Permission de ce forum:Vous ne pouvez pas répondre aux sujets dans ce forum
Bibou le forum :: 
La sécurité
 :: Sécuriser son PC :: 
Prévention
-
Sauter vers: