Tout le monde veut garder les intrus hors de leur maison. De même, et pour des raisons similaires, les administrateurs réseau s'efforcent d'éloigner les intrus des réseaux qu'ils gèrent. L'un des atouts les plus importants de nombreuses organisations d'aujourd'hui sont leurs données. Il est si important que de nombreuses personnes mal intentionnées se donnent beaucoup de mal pour voler ces données. Ils le font en utilisant une vaste gamme de techniques pour obtenir un accès non autorisé aux réseaux et aux systèmes. Le nombre de telles attaques semble avoir augmenté de façon exponentielle récemment et, en réaction, des systèmes sont mis en place pour les empêcher. Ces systèmes sont appelés systèmes de prévention des intrusions ou IPS. Aujourd'hui, nous examinons les meilleurs systèmes de prévention d'intrusion que nous puissions trouver.
Nous allons commencer par essayer de mieux définir ce qu'est la prévention des intrusions. Ceci, bien sûr, implique que nous définirons également ce qu'est l'intrusion. Nous explorerons ensuite les différentes méthodes de détection généralement utilisées et les mesures correctives prises lors de la détection. Ensuite, nous parlerons brièvement de la prévention passive des intrusions. Ce sont des mesures statiques qui peuvent être mises en place et qui pourraient réduire drastiquement le nombre de tentatives d'intrusion. Vous pourriez être surpris de découvrir que certains d'entre eux n'ont rien à voir avec les ordinateurs. Alors seulement, avec nous tous sur la même longueur d'onde, nous pourrons enfin passer en revue certains des meilleurs systèmes de prévention des intrusions que nous avons pu trouver.
Prévention des intrusions – De quoi s'agit-il ?
Il y a des années, les virus étaient à peu près les seules préoccupations des administrateurs système. Les virus sont arrivés à un point où ils étaient si courants que l'industrie a réagi en développant des outils de protection contre les virus. Aujourd'hui, aucun utilisateur sérieux et sain d'esprit ne songerait à faire fonctionner un ordinateur sans protection antivirus. Alors que nous n'entendons plus beaucoup parler de virus, l'intrusion - ou l'accès non autorisé à vos données par des utilisateurs malveillants - est la nouvelle menace. Les données étant souvent l'atout le plus important d'une organisation, les réseaux d'entreprise sont devenus la cible de pirates mal intentionnés qui se donneront beaucoup de mal pour accéder aux données. Tout comme les logiciels de protection antivirus étaient la réponse à la prolifération des virus, les systèmes de prévention des intrusions sont la réponse aux attaques d'intrus.
Les systèmes de prévention des intrusions font essentiellement deux choses. Premièrement, ils détectent les tentatives d'intrusion et lorsqu'ils détectent des activités suspectes, ils utilisent différentes méthodes pour les arrêter ou les bloquer. Les tentatives d'intrusion peuvent être détectées de deux manières différentes. La détection basée sur les signatures fonctionne en analysant le trafic et les données du réseau et en recherchant des modèles spécifiques associés aux tentatives d'intrusion. Ceci est similaire aux systèmes de protection antivirus traditionnels qui reposent sur des définitions de virus. La détection d'intrusion basée sur les signatures repose sur des signatures ou des modèles d'intrusion. Le principal inconvénient de cette méthode de détection est qu'elle a besoin des signatures appropriées pour être chargées dans le logiciel. Et lorsqu'il s'agit d'une nouvelle méthode d'attaque, il y a généralement un délai avant que les signatures d'attaque ne soient mises à jour. Certains fournisseurs sont très rapides à fournir des signatures d'attaque mises à jour tandis que d'autres sont beaucoup plus lents. La fréquence et la vitesse de mise à jour des signatures sont un facteur important à prendre en compte lors du choix d'un fournisseur.
La détection basée sur les anomalies offre une meilleure protection contre les attaques zero-day, celles qui se produisent avant que les signatures de détection aient eu une chance d'être mises à jour. Le processus recherche les anomalies au lieu d'essayer de reconnaître les modèles d'intrusion connus. Par exemple, il serait déclenché si quelqu'un tentait d'accéder à un système avec un mauvais mot de passe plusieurs fois de suite, signe courant d'une attaque par force brute. Ceci n'est qu'un exemple et il existe généralement des centaines d'activités suspectes différentes qui peuvent déclencher ces systèmes. Les deux méthodes de détection ont leurs avantages et leurs inconvénients. Les meilleurs outils sont ceux qui utilisent une combinaison d'analyse de signature et de comportement pour la meilleure protection.
La détection des tentatives d'intrusion est l'une des premières parties de leur prévention. Une fois détectés, les systèmes de prévention des intrusions s'efforcent activement d'arrêter les activités détectées. Plusieurs actions correctives différentes peuvent être entreprises par ces systèmes. Ils pourraient, par exemple, suspendre ou désactiver des comptes d'utilisateurs. Une autre action typique consiste à bloquer l'adresse IP source de l'attaque ou à modifier les règles de pare-feu. Si l'activité malveillante provient d'un processus spécifique, le système de prévention pourrait tuer le processus. Le démarrage d'un processus de protection est une autre réaction courante et, dans le pire des cas, des systèmes entiers peuvent être arrêtés pour limiter les dommages potentiels. Une autre tâche importante des systèmes de prévention d'intrusion est d'alerter les administrateurs, d'enregistrer l'événement et de signaler les activités suspectes.
Mesures passives de prévention des intrusions
Bien que les systèmes de prévention des intrusions puissent vous protéger contre de nombreux types d'attaques, rien ne vaut de bonnes mesures de prévention des intrusions passives à l'ancienne. Par exemple, imposer des mots de passe forts est un excellent moyen de se protéger contre de nombreuses intrusions. Une autre mesure de protection simple consiste à modifier les mots de passe par défaut de l'équipement. Bien qu'il soit moins fréquent dans les réseaux d'entreprise, même si ce n'est pas rare, je n'ai vu que trop souvent des passerelles Internet qui avaient toujours leur mot de passe administrateur par défaut. En matière de mots de passe, le vieillissement des mots de passe est une autre étape concrète qui peut être mise en place pour réduire les tentatives d'intrusion. N'importe quel mot de passe, même le meilleur, peut éventuellement être déchiffré, avec suffisamment de temps. Le vieillissement des mots de passe garantit que les mots de passe seront modifiés avant qu'ils ne soient déchiffrés.
Il n'y avait que des exemples de ce qui pouvait être fait pour empêcher passivement les intrusions. Nous pourrions écrire un article entier sur les mesures passives qui peuvent être mises en place mais ce n'est pas notre objectif aujourd'hui. Notre objectif est plutôt de présenter certains des meilleurs systèmes actifs de prévention des intrusions.
Les meilleurs systèmes de prévention des intrusions
Notre liste contient un mélange de divers outils qui peuvent être utilisés pour se protéger contre les tentatives d'intrusion. La plupart des outils inclus sont de véritables systèmes de prévention des intrusions, mais nous incluons également des outils qui, sans être commercialisés en tant que tels, peuvent être utilisés pour empêcher les intrusions. Notre première entrée en est un exemple. N'oubliez pas que, plus que tout, le choix de l'outil à utiliser doit être guidé par vos besoins spécifiques. Voyons donc ce que chacun de nos meilleurs outils a à offrir.
1. SolarWinds Log & Event Manager (ESSAI GRATUIT)
SolarWinds est un nom bien connu dans l'administration de réseau. Il jouit d'une solide réputation pour la fabrication de certains des meilleurs outils d'administration de réseau et de système. Son produit phare, le Network Performance Monitor, se classe régulièrement parmi les meilleurs outils de surveillance de la bande passante réseau disponibles. SolarWinds est également célèbre pour ses nombreux outils gratuits, chacun répondant à un besoin spécifique des administrateurs réseau. Le serveur Kiwi Syslog ou le serveur SolarWinds TFTP sont deux excellents exemples de ces outils gratuits.
Ne laissez pas le nom de SolarWinds Log & Event Manager vous tromper. Il y a bien plus que ce que l'on voit. Certaines des fonctionnalités avancées de ce produit le qualifient de système de détection et de prévention des intrusions tandis que d'autres le placent dans la gamme SIEM (Security Information and Event Management). L'outil, par exemple, propose une corrélation d'événements en temps réel et une correction en temps réel.
Le SolarWinds Log & Event Manager propose une détection instantanée des activités suspectes (une fonctionnalité de détection d'intrusion) et des réponses automatisées (une fonctionnalité de prévention d'intrusion). Cet outil peut également être utilisé pour effectuer des investigations et des analyses judiciaires sur les événements de sécurité. Il peut être utilisé à des fins d'atténuation et de conformité. L'outil propose des rapports vérifiés qui peuvent également être utilisés pour démontrer la conformité à divers cadres réglementaires tels que HIPAA, PCI-DSS et SOX. L'outil dispose également d'une surveillance de l'intégrité des fichiers et d'une surveillance des périphériques USB. Toutes les fonctionnalités avancées du logiciel en font plus une plate-forme de sécurité intégrée qu'un simple système de gestion des journaux et des événements que son nom vous laisserait croire.
Les fonctionnalités de prévention des intrusions de SolarWinds Log & Event Manager fonctionnent en mettant en œuvre des actions appelées réponses actives chaque fois que des menaces sont détectées. Différentes réponses peuvent être liées à des alertes spécifiques. Par exemple, le système peut écrire dans des tables de pare-feu pour bloquer l'accès au réseau d'une adresse IP source qui a été identifiée comme effectuant des activités suspectes. L'outil peut également suspendre des comptes d'utilisateurs, arrêter ou démarrer des processus et arrêter des systèmes. Vous vous souviendrez que ce sont précisément les actions de remédiation que nous avons identifiées auparavant.
La tarification de SolarWinds Log & Event Manager varie en fonction du nombre de nœuds surveillés. Les prix commencent à 4 585 $ pour un maximum de 30 nœuds surveillés et des licences pour un maximum de 2 500 nœuds peuvent être achetées, ce qui rend le produit hautement évolutif. Si vous souhaitez tester le produit et voir par vous-même s'il vous convient, un essai gratuit complet de 30 jours est disponible .
2. Splunk
Splunk est probablement l'un des systèmes de prévention des intrusions les plus populaires. Il est disponible en plusieurs éditions différentes avec différents ensembles de fonctionnalités. Splunk Enterprise Security – ou Splunk ES , comme on l'appelle souvent – est ce dont vous avez besoin pour une véritable prévention des intrusions. Le logiciel surveille les données de votre système en temps réel, à la recherche de vulnérabilités et de signes d'activité anormale.
La réponse de sécurité est l'un des points forts du produit et ce qui en fait un système de prévention des intrusions. Il utilise ce que le fournisseur appelle l'Adaptive Response Framework (ARF). Il s'intègre aux équipements de plus de 55 fournisseurs de sécurité et peut effectuer une réponse automatisée, accélérant les tâches manuelles. Cette combinaison de remédiation automatisée et d'intervention manuelle peut vous donner les meilleures chances de prendre rapidement le dessus. L'outil dispose d'une interface utilisateur simple et épurée, ce qui en fait une solution gagnante. Parmi les autres fonctionnalités de protection intéressantes, citons la fonction « Notables » qui affiche des alertes personnalisables par l'utilisateur et « Asset Investigator » pour signaler les activités malveillantes et prévenir d'autres problèmes.
Les informations tarifaires de Splunk Enterprise Security ne sont pas facilement disponibles. Vous devrez contacter le service commercial de Splunk pour obtenir un devis détaillé. C'est un excellent produit pour lequel un essai gratuit est disponible.
3. Sagan
Sagan est essentiellement un système de détection d'intrusion gratuit. Cependant, l'outil qui a des capacités d'exécution de script qui peut le placer dans la catégorie Systèmes de prévention d'intrusion. Sagan détecte les tentatives d'intrusion grâce à la surveillance des fichiers journaux. Vous pouvez également combiner Sagan avec Snort qui peut transmettre sa sortie à Sagan en donnant à l'outil des capacités de détection d'intrusion basées sur le réseau. En fait, Sagan peut recevoir des contributions de nombreux autres outils tels que Bro ou Suricata, combinant les capacités de plusieurs outils pour la meilleure protection possible.
Il y a cependant un problème avec les capacités d'exécution de script de Sagan . Vous devez écrire les scripts de correction. Bien que cet outil ne soit peut-être pas votre seule défense contre les intrusions, il peut s'agir d'un élément clé d'un système qui intègre plusieurs outils en corrélant des événements provenant de différentes sources, vous offrant ainsi le meilleur de nombreux produits.
Bien que Sagan ne puisse être installé que sur Linux, Unix et Mac OS, il peut se connecter aux systèmes Windows pour obtenir leurs événements. D'autres fonctionnalités intéressantes de Sagan incluent le suivi de l'emplacement des adresses IP et le traitement distribué.
4. OSSEC
Open Source Security , ou OSSEC , est l'un des principaux systèmes de détection d'intrusion basés sur l'hôte open source. Nous l'incluons dans notre liste pour deux raisons. Sa popularité est telle que nous avons dû l'inclure, d'autant plus que l'outil vous permet de spécifier des actions qui sont effectuées automatiquement chaque fois que des alertes spécifiques sont déclenchées, ce qui lui confère des capacités de prévention des intrusions. OSSEC appartient à Trend Micro, l'un des principaux noms de la sécurité informatique et fabricant de l'une des meilleures suites de protection antivirus.
Lorsqu'il est installé sur des systèmes d'exploitation de type Unix, le moteur de détection du logiciel se concentre principalement sur les fichiers journaux et de configuration. Il crée des sommes de contrôle des fichiers importants et les vérifie périodiquement, vous alertant ou déclenchant une action corrective chaque fois que quelque chose d'étrange se produit. Il surveillera et alertera également en cas de tentative anormale d'accès root. Sous Windows, le système surveille également les modifications de registre non autorisées, car elles pourraient être le signe révélateur d'une activité malveillante. Toute détection déclenchera une alerte qui s'affichera sur la console centralisée tandis que des notifications seront également envoyées par email.
OSSEC est un système de protection contre les intrusions basé sur l'hôte. En tant que tel, il doit être installé sur chaque ordinateur que vous souhaitez protéger. Cependant, une console centralisée consolide les informations de chaque ordinateur protégé pour une gestion plus facile. La console OSSEC ne fonctionne que sur les systèmes d'exploitation de type Unix mais un agent est disponible pour protéger les hôtes Windows. Alternativement, d'autres outils tels que Kibana ou Graylog peuvent être utilisés comme frontal de l'outil.
5. Ouvrez WIPS-NG
Nous ne savions pas trop si nous devions inclure Open WIPS NG sur notre liste. Plus à ce sujet dans un instant. Il l'a fait principalement parce que c'est l'un des seuls produits qui cible spécifiquement les réseaux sans fil. Ouvrez WIPS NG– où WIPS signifie Wireless Intrusion Prevention System – est un outil open source composé de trois composants principaux. Tout d'abord, il y a le capteur. Il s'agit d'un processus stupide qui capture simplement le trafic sans fil et l'envoie au serveur pour analyse. Comme vous l'avez probablement deviné, le prochain composant est le serveur. Il agrège les données de tous les capteurs, analyse les données recueillies et répond aux attaques. Ce composant est le cœur du système. Le dernier mais non le moindre est le composant d'interface qui est l'interface graphique que vous utilisez pour gérer le serveur et afficher des informations sur les menaces trouvées sur votre réseau sans fil.
La principale raison pour laquelle nous avons hésité avant d'inclure Open WIPS NG dans notre liste est que, aussi bon soit-il, tout le monde n'aime pas le développeur du produit. Il s'agit du même développeur qu'Aircrack NG, un renifleur de paquets sans fil et un cracker de mot de passe qui fait partie de la boîte à outils de chaque pirate WiFi. Cela ouvre le débat sur l'éthique du développeur et cela rend certains utilisateurs méfiants. D'un autre côté, l'expérience du développeur peut être considérée comme un témoignage de sa connaissance approfondie de la sécurité Wi-Fi.
6. Fail2Ban
Fail2Ban est un système de détection d'intrusion hôte gratuit relativement populaire avec des fonctionnalités de prévention d'intrusion. Le logiciel fonctionne en surveillant les fichiers journaux du système à la recherche d'événements suspects tels que des tentatives de connexion infructueuses ou des recherches d'exploits. Lorsque le système détecte quelque chose de suspect, il réagit en mettant automatiquement à jour les règles de pare-feu local pour bloquer l'adresse IP source du comportement malveillant. Ceci, bien sûr, implique qu'un processus de pare-feu est en cours d'exécution sur la machine locale. C'est le principal inconvénient de l'outil. Cependant, toute autre action arbitraire, telle que l'exécution d'un script correctif ou l'envoi de notifications par courrier électronique, peut être configurée.
Fail2Ban est fourni avec plusieurs déclencheurs de détection prédéfinis appelés filtres, couvrant certains des services les plus courants tels qu'Apache, Courrier, SSH, FTP, Postfix et bien d'autres. Comme nous l'avons dit, les actions de correction sont accomplies en modifiant les tables de pare-feu de l'hôte. Fail2Ban prend en charge Netfilter, IPtables ou la table hosts.deny de TCP Wrapper. Chaque filtre peut être associé à une ou plusieurs actions. Ensemble, les filtres et les actions sont appelés prison.
7. Moniteur de sécurité réseau Bro
Le Bro Network Security Monitor est un autre système de détection d'intrusion réseau gratuit avec une fonctionnalité de type IPS. Il fonctionne en deux phases, il enregistre d'abord le trafic puis l'analyse. Cet outil fonctionne sur plusieurs couches jusqu'à la couche d'application, ce qui permet une meilleure détection des tentatives d'intrusion fractionnées. Le module d'analyse du produit est composé de deux éléments. Le premier élément s'appelle le moteur d'événements et son objectif est de suivre les événements déclencheurs tels que les connexions TCP ou les requêtes HTTP. Les événements sont ensuite analysés par des scripts de politique, le deuxième élément. Le travail des scripts de politique consiste à décider s'il faut déclencher une alarme, lancer une action ou ignorer l'événement. C'est la possibilité de lancer une action qui donne au Bro Network Security Monitor sa fonctionnalité IPS.
Le Bro Network Security Monitor a quelques limitations. Il suivra uniquement l'activité HTTP, DNS et FTP et surveillera également le trafic SNMP. C'est une bonne chose, cependant, car SNMP est souvent utilisé pour la surveillance du réseau malgré ses graves failles de sécurité. SNMP n'a pratiquement aucune sécurité intégrée et utilise un trafic non crypté. Et comme le protocole peut être utilisé pour modifier les configurations, il pourrait facilement être exploité par des utilisateurs malveillants. Le produit gardera également un œil sur les modifications de configuration de l'appareil et les interruptions SNMP. Il peut être installé sur Unix, Linux et OS X mais il n'est pas disponible pour Windows, ce qui est peut-être son principal inconvénient. Sinon, c'est un outil très intéressant qui vaut la peine d'être essayé.
Les balayages de ping peuvent être utilisés à votre avantage de nombreuses façons. Continuez à lire pendant que nous discutons de la façon dont nous présentons les 10 meilleurs outils de balayage Ping que vous pouvez trouver.
Les sites Web sont importants et doivent être constamment surveillés de près pour des performances adéquates. Voici quelques-uns des meilleurs outils de surveillance des sites Web.
Le marché des logiciels de gestion de réseau est très encombré. Raccourcissez votre recherche en suivant nos recommandations des meilleurs outils de gestion de réseau.
Voici un aperçu de certains des meilleurs outils de déploiement de logiciels pour faciliter la gestion d'un nombre illimité de machines
Si vous êtes dans l'industrie de la santé ou si vous êtes impliqué d'une manière ou d'une autre dans l'informatique dans cette industrie, il y a de fortes chances que vous ayez entendu parler de la HIPAA. La portabilité de l'assurance maladie
sFlow est un protocole d'analyse de flux intégré à de nombreux périphériques réseau. Nous passons en revue les cinq meilleurs collecteurs et analyseurs sFlow gratuits.
Pour vous aider à choisir le bon, nous avons présenté les meilleurs outils de surveillance d'infrastructure sans agent et vous ont donné un aperçu rapide de chacun.
Si vous êtes un utilisateur expérimenté de Windows, vous savez probablement et comprenez comment effectuer diverses opérations sur votre PC peut avoir plus d'une approche et
La latence semble être l'ennemi numéro un des réseaux. Ces outils de mesure de la latence vous apprendront comment tester la latence pour détecter, localiser et résoudre les problèmes.
Le moniteur de réseau Windows nécessite des outils avec des exigences limitées. Aujourd'hui, nous examinions les meilleurs outils de surveillance réseau pour Windows 10.
