|
 |
|
 |
|
Les outils de détection d'intrusions gratuits
|
|
 |
|
 |
Tiger-2.2.4
Tiger est un ensemble de scripts qui recherche dans un système les faiblesses qui pourraient permettre à une
utilisation non-autorisée d'en changer les configurations, d'accéder à la racine ou de modifier des fichiers
systèmes importants.
A l'origine, Tiger fut développé à l'université du Texas A&M. Il peut être chargé à partir de l'adresse suivante :
tamu.edu. Il existe plusieurs versions de Tiger disponibles :
· Tiger-2.2.3 pl, la dernière version en date avec des scripts check_devs et cheek_rhost actualisées.
· Tiger-2.2.3 pl-ASC, une version disposant de contribution du Arctic Regional Supercomputer Center ;
· Tiger-2.2-4 pl, version du tiger -2.2.3 avec support linux.
Tiger balaye le système à la recherche de cron, inted, passwd, d'autorisation de fichiers, de pseudonymes et de
variables PATH pour voir s'ils peuvent être utilisés pour accéder au répertoire principal. Il analyse les
vulnérabilités du système via l'utilisation d'inted pour déterminer si un utilisateur peut accéder à distance
au système. Il a recours également aux signatures digitales ; à l'aide de MD5, pour déterminer si les systèmes
de programmes binaires clés ont été modifiés.
Logcheck 1.1.1
Logcheck est un script qui analyse les fichiers journaux des systèmes et recherche toute activité inhabituelle
ainsi que les attaques. Bien entendu, cela veut dire qu'un intrus n'a pas encore obtenu l'accès au répertoire
de l'hôte et ne peut donc modifier les fichiers journaux . L'un des gros problèmes dans la maintenance des fichiers
journaux est la quantité d'information collectée sur des systèmes importants, l'analyse (par scanning) manuelle
des fichiers journaux peut demander plusieurs jours. Logcheck simplifie le contrôle du journal système en classant
les informations reprises dans le journal et en l'envoyant par e-mail à l'administration système.
Logcheck peut être configuré de manière à n'envoyer dans un rapport que les informations que vous souhaitez et
ignorer celles que vous ne désirez pas.
C'est l'un des éléments du projet Abacus, un système de prévention d'intrusion. Cependant, tous les éléments ne
sont pas encore stables. Logcheck est basé sur un programme de contrôle de journal appelé " frequentchech.h ",
un élément du Gauntlet Firewall Package. Le script logcheck.sh est installé sur /usr/local/etc/, ainsi que les
fichiers des mots clés. Le script peut être chargé sur : Logcheck Script
Tripwire
Tripwire est un des outils les plus connus et les plus utiles dans la détection d'intrusion et la récupération qui
s'en suit. Tripwire crée une base de données de signatures des fichiers dans le système et lorsqu'il est exécuté en
mode comparaison, il prévient les administrateurs système des changements dans le système de fichiers. La différence
entre Tripwire et Tiger est que le premier est spécialisé dans les programmes de signature de fichiers et peut utiliser
de multiples fonctions de hashing pour générer des signatures digitales générales.
Tripwire a été développé par le laboratoire Computer Opérations Audit and Security Technology (COAST).
La version publique disponible Tripwire 1.2, est disponible sur : Tripwire.com
Snort
Snort est un système de détection d'intrusion, son auteur est Martin ROESH, il est léger, pas d'interface graphique,
peu coûteux en ressources.
Snort permet définition précise des signatures, détecte les entêtes et dans le contenu des paquets dans IP, TCP, UDP
et ICMP, détection de Nmap (Scan, OS fingerprint), des petits fragments, dénis de service et de débordement de Buffer
(script kiddies) .
Snort peut être chargé sur : Snort.org
|
|
