Afin de mettre en pratique ce qui a été vu dans la fiche théorique de la détection d'intrusion, voici quelques outils que vous pourrez installer et tester.

Tiger

Tiger, également connu sous le nom de "scripts tiger", est un ensemble de scripts d'interpréteur de commandes Bourne, de programmes en C et de fichiers de données destinés à réaliser des études de sécurité sur différents systèmes d'exploitation.

Ces outils peuvent être utilisés de manière ponctuelle ou périodique pour fournir des informations sur les modifications de sécurité du système, et sont donc utilisables comme mécanisme de détection d'intrusion. TIGER s'appuie également sur des outils de sécurité externes pour certaines tâches, et utilise le planificateur de tâches cron ainsi qu'un système d'envoi de courriels pour sa révision périodique.

Le but premier de TIGER est d'identifier les failles potentielles dans la sécurité d'un système.

Tiger est disponible comme paquet standard dans Debian. Pour plus d'information, voir https://tracker.debian.org/pkg/tiger

Logcheck

Logcheck est un logiciel qui analyse les journaux du système afin de détecter toute entrée inattendue pouvant indiquer des problèmes ou des failles de sécurité.

Les entrées de journal, provenant de systemd-journald, rsyslog ou d'un autre démon de journal système, sont comparées à une base de données d'expressions rationnelles fournie par le paquet logcheck-database. Les messages correspondant aux procédures standards sont ignorés, tandis que tout ce qui n'est pas identifié est signalé à l'administrateur du système. Logcheck permet donc une surveillance continue des journaux de manière efficace et proactive pour assurer la sécurité et la stabilité du système.

Logcheck est lui aussi disponible comme paquet standard dans Debian. Pour plus d'information, voir https://tracker.debian.org/pkg/logcheck

Tripwire

Tripwire est un des outils les plus connus et les plus utiles dans la détection d'intrusion et la récupération qui s'en suit. Tripwire crée une base de données de signatures des fichiers dans le système et lorsqu'il est exécuté en mode comparaison, il prévient les administrateurs système des changements dans le système de fichiers. La différence entre Tripwire et Tiger est que le premier est spécialisé dans les programmes de signature de fichiers et peut utiliser de multiples fonctions de hashing pour générer des signatures digitales générales.

Tripwire a été développé par le laboratoire Computer Opérations Audit and Security Technology (COAST).
La version open source de Tripwire, est disponible sur : https://github.com/Tripwire/tripwire-open-source

Tripwire est aussi disponible comme paquet standard dans Debian. Pour plus d'information, voir https://tracker.debian.org/pkg/tripwire

Snort

Snort est le système de prévention d'intrusion (IPS) Open Source le plus connu au monde.

Il utilise une série de règles pour définir les activités réseau malveillantes et les utilise pour identifier les paquets correspondants, générant ainsi des alertes pour les utilisateurs. Snort peut être déployé en ligne pour bloquer ces paquets.

Il a trois utilisations principales : en tant que sniffer de paquets comme tcpdump, en tant qu'enregistreur de paquets - utile pour le débogage du trafic réseau, ou en tant que système de prévention d'intrusion réseau complet.

Snort peut être téléchargé et configuré pour une utilisation personnelle ou professionnelle.

Toujours pareil : Snort est disponible comme paquet standard dans Debian. Pour plus d'information, voir https://tracker.debian.org/pkg/snort

Personal Wifi IDS

Personal Wifi IDS est un script Python utilisé pour détecter et avertir de toutes les attaques Wi-Fi typiques lancées par des pirates Wi-Fi qui cherchent à vous déconnecter de vos points d'accès Wi-Fi légitimes pour vous amener sur un réseau Wi-Fi falsifié, où vous serez totalement vulnérable en termes de sécurité informatique.

Le script détecte les principales attaques lancées à partir d'applications comme aireplay-ng et d'autres exemples de déconnexion. Il avertit également des périphériques inconnus qui tentent de se connecter à votre réseau domestique ou SOHO.

Pour y parvenir, vous devez créer une liste de vos périphériques de confiance, tels que votre ordinateur portable, votre smartphone, votre tablette ou les appareils de vos amis/famille/collègues. Si un périphérique qui n'est pas sur la liste blanche tente de se connecter à votre réseau Wi-Fi, vous serez probablement averti.

Tags

DÉTECTION D'INTRUSION CYBERSÉCURITÉ

Inscription à notre lettre d'information

Inscrivez-vous à notre lettre d'information pour vous tenir au courant de nos actualités et de nos dernières trouvailles.

SecuriteInfo.com est une entreprise française de cybersécurité. Nous proposons différentes solutions matérielles et prestations de services permettant de sécuriser les données des Systèmes d'Information d'entreprises ou de collectivités. Notre périmètre d'intervention couvre l'intégralité de votre système d'information : Sécurité périmétrique, réseaux, accès distants, VPN, solutions anti-spam et anti-malwares, différents audits réseaux et systèmes, vérification de la politique de sécurité, hébergement sécurisé ...