Meilleur logiciel GRATUIT de détection dintrusion en 2021

La sécurité est un sujet brûlant et cela depuis un certain temps. Il y a de nombreuses années, les virus étaient la seule préoccupation des administrateurs système. Les virus étaient si courants qu'ils ont ouvert la voie à une gamme étonnante d'outils de prévention des virus. De nos jours, presque personne ne songerait à utiliser un ordinateur non protégé. Cependant, l'intrusion informatique, ou l'accès non autorisé à vos données par des utilisateurs malveillants, est la « menace du jour ». Les réseaux sont devenus la cible de nombreux pirates mal intentionnés qui se donneront beaucoup de mal pour accéder à vos données. Votre meilleure défense contre ces types de menaces est un système de détection ou de prévention des intrusions. Aujourd'hui, nous passons en revue dix des meilleurs outils gratuits de détection d'intrusion.

Avant de commencer, nous allons d'abord discuter des différentes méthodes de détection d'intrusion qui sont utilisées. Tout comme il existe de nombreuses façons pour les intrus d'entrer dans votre réseau, il existe autant de façons, peut-être même plus, de les détecter. Ensuite, nous aborderons les deux principales catégories de système de détection d'intrusion : la détection d'intrusion réseau et la détection d'intrusion hôte. Avant de continuer, nous expliquerons ensuite les différences entre la détection d'intrusion et la prévention d'intrusion. Et enfin, nous vous donnerons un bref aperçu de dix des meilleurs outils gratuits de détection d'intrusion que nous avons pu trouver.

Méthodes de détection d'intrusion

Il existe essentiellement deux méthodes différentes utilisées pour détecter les tentatives d'intrusion. Il peut s'agir d'une signature ou d'une anomalie. Voyons en quoi ils diffèrent. La détection d'intrusion basée sur les signatures fonctionne en analysant les données pour des modèles spécifiques qui ont été associés à des tentatives d'intrusion. C'est un peu comme les systèmes antivirus traditionnels qui reposent sur des définitions de virus. Ces systèmes compareront les données avec les modèles de signature d'intrusion pour identifier les tentatives. Leur principal inconvénient est qu'ils ne fonctionnent pas tant que la signature appropriée n'est pas téléchargée sur le logiciel, ce qui se produit généralement après l'attaque d'un certain nombre de machines.

La détection d'intrusion basée sur les anomalies offre une meilleure protection contre les attaques zero-day, celles qui se produisent avant qu'un logiciel de détection d'intrusion n'ait eu la chance d'acquérir le fichier de signature approprié. Au lieu d'essayer de reconnaître les modèles d'intrusion connus, ceux-ci rechercheront plutôt des anomalies. Par exemple, ils détecteraient que quelqu'un a tenté d'accéder à un système avec un mauvais mot de passe à plusieurs reprises, signe courant d'une attaque par force brute. Comme vous l'avez peut-être deviné, chaque méthode de détection a ses avantages. C'est pourquoi les meilleurs outils utiliseront souvent une combinaison des deux pour la meilleure protection.

Deux types de systèmes de détection d'intrusion

Tout comme il existe différentes méthodes de détection, il existe également deux principaux types de systèmes de détection d'intrusion. Ils diffèrent principalement par l'emplacement où la détection d'intrusion est effectuée, soit au niveau de l'hôte, soit au niveau du réseau. Là encore, chacun a ses avantages et la meilleure solution -ou la plus sûre- est peut-être d'utiliser les deux.

Systèmes de détection d'intrusion sur l'hôte (HIDS)

Le premier type de système de détection d'intrusion fonctionne au niveau de l'hôte. Il pourrait, par exemple, vérifier divers fichiers journaux pour tout signe d'activité suspecte. Cela pourrait également fonctionner en vérifiant les fichiers de configuration importants pour les modifications non autorisées. C'est ce que ferait le HIDS basé sur les anomalies. D'un autre côté, les systèmes basés sur les signatures examineraient les mêmes fichiers journaux et de configuration, mais rechercheraient des modèles d'intrusion connus spécifiques. Par exemple, une méthode d'intrusion particulière peut être connue pour fonctionner en ajoutant une certaine chaîne à un fichier de configuration spécifique que l'IDS basé sur les signatures détecterait.

Comme vous avez pu l'imaginer, les HIDS sont installés directement sur l'appareil qu'ils sont censés protéger, vous devrez donc les installer sur tous vos ordinateurs. cependant, la plupart des systèmes disposent d'une console centralisée où vous pouvez contrôler chaque instance de l'application.

Systèmes de détection d'intrusion dans le réseau (NIDS)

Les systèmes de détection d'intrusion dans le réseau, ou NIDS, fonctionnent à la frontière de votre réseau pour renforcer la détection. Ils utilisent des méthodes similaires à celles des systèmes de détection d'intrusion de l'hôte. Bien sûr, au lieu de rechercher les fichiers journaux et de configuration, ils recherchent le trafic réseau tel que les demandes de connexion. Certaines méthodes d'intrusion sont connues pour exploiter les vulnérabilités en envoyant des paquets volontairement malformés aux hôtes, les faisant réagir d'une manière particulière. Les systèmes de détection d'intrusion dans le réseau pourraient facilement les détecter.

Certains diront que les NIDS sont meilleurs que les HIDS car ils détectent les attaques avant même qu'elles n'atteignent vos ordinateurs. Ils sont également meilleurs car ils ne nécessitent aucune installation sur chaque ordinateur pour les protéger efficacement. En revanche, ils offrent peu de protection contre les attaques d'initiés qui ne sont malheureusement pas rares. C'est un autre cas où la meilleure protection vient de l'utilisation d'une combinaison des deux types d'outils.

Détection d'intrusion vs Prévention

Il existe deux genres différents d'outils dans le monde de la protection contre les intrusions : les systèmes de détection d'intrusion et les systèmes de prévention d'intrusion. Bien qu'ils servent un objectif différent, il y a souvent un certain chevauchement entre les deux types d'outils. Comme son nom l'indique, la détection d'intrusion détectera les tentatives d'intrusion et les activités suspectes en général. Lorsque c'est le cas, cela déclenchera généralement une sorte d'alarme ou de notification. Il appartient alors à l'administrateur de prendre les mesures nécessaires pour arrêter ou bloquer cette tentative.

Les systèmes de prévention des intrusions, d'autre part, fonctionnent pour empêcher complètement les intrusions de se produire. La plupart des systèmes de prévention d'intrusion incluront un composant de détection qui déclenchera une action chaque fois que des tentatives d'intrusion seront détectées. Mais la prévention des intrusions peut aussi être passive. Le terme peut être utilisé pour désigner toutes les mesures mises en place pour empêcher les intrusions. On peut penser à des mesures comme le renforcement des mots de passe, par exemple.

Les meilleurs outils gratuits de détection d'intrusion

Les systèmes de détection d'intrusion peuvent être coûteux, très coûteux. Heureusement, il existe de nombreuses alternatives gratuites. nous avons recherché sur Internet certains des meilleurs outils logiciels de détection d'intrusion. Nous en avons trouvé quelques-uns et nous sommes sur le point de passer brièvement en revue les dix meilleurs que nous avons pu trouver.

1. OSSEC

OSSEC , qui signifie Open Source Security, est de loin le premier système de détection d'intrusion hôte open source. OSSEC appartient à Trend Micro, l'un des leaders de la sécurité informatique. Le logiciel, lorsqu'il est installé sur des systèmes d'exploitation de type Unix, se concentre principalement sur les fichiers journaux et de configuration. Il crée des sommes de contrôle des fichiers importants et les valide périodiquement, vous alertant si quelque chose d'étrange se produit. Il surveillera et détectera également toutes les tentatives étranges d'obtenir un accès root. Sous Windows, le système surveille également les modifications de registre non autorisées.

OSSEC, étant un système de détection d'intrusion hôte doit être installé sur chaque ordinateur que vous souhaitez protéger. Il consolidera cependant les informations de chaque ordinateur protégé dans une seule console pour une gestion plus facile. Le logiciel ne fonctionne que sur des systèmes de type Unix, mais un agent est disponible pour protéger les hôtes Windows. Lorsque le système détecte quelque chose, une alerte s'affiche sur la console et des notifications sont envoyées par e-mail.

2. Renifler

Tout comme l'OSSEC était le premier HIDS open source, Snort est le premier NIDS open source. Snort est en fait plus qu'un outil de détection d'intrusion. C'est aussi un renifleur de paquets et un enregistreur de paquets. Mais ce qui nous intéresse pour le moment, ce sont les fonctionnalités de détection d'intrusion de Snort. Un peu comme un pare-feu, Snort est configuré à l'aide de règles. Les règles de base peuvent être téléchargées à partir du site Web de Snort et personnalisées selon vos besoins spécifiques. Vous pouvez également vous abonner aux règles Snort pour vous assurer de toujours recevoir les dernières au fur et à mesure qu'elles évoluent à mesure que de nouvelles menaces sont identifiées.

Les règles de base de Snort peuvent détecter une grande variété d'événements tels que les analyses de ports furtives, les attaques par débordement de tampon, les attaques CGI, les sondes SMB et les empreintes digitales du système d'exploitation. Ce que votre installation Snort détecte dépend uniquement des règles que vous avez installées. Certaines des règles de base proposées sont basées sur des signatures tandis que d'autres sont basées sur des anomalies. L'utilisation de Snort peut vous offrir le meilleur des deux mondes

3. Suricata

Suricata se présente comme un système de détection et de prévention des intrusions et comme un écosystème complet de surveillance de la sécurité du réseau. L'un des meilleurs avantages de cet outil par rapport à Snort est qu'il fonctionne jusqu'à la couche application. Cela permet à l'outil de détecter les menaces qui pourraient passer inaperçues dans d'autres outils en étant réparties sur plusieurs paquets.

Mais Suricata ne fonctionne pas uniquement au niveau de la couche applicative. Il surveillera également les protocoles de niveau inférieur tels que TLS, ICMP, TCP et UDP. L'outil comprend également des protocoles tels que HTTP, FTP ou SMB et peut détecter les tentatives d'intrusion cachées dans des requêtes par ailleurs normales. Il existe également une capacité d'extraction de fichiers pour permettre aux administrateurs d'examiner eux-mêmes les fichiers suspects.

Au niveau de l'architecture, Suricata est très bien fait et il répartira sa charge de travail sur plusieurs cœurs de processeur et threads pour les meilleures performances. Il peut même décharger une partie de son traitement sur la carte graphique. C'est une fonctionnalité intéressante sur les serveurs car leur carte graphique est principalement au ralenti.

4. Moniteur de sécurité réseau Bro

Le prochain sur notre liste est un produit appelé Bro Network Security Monitor , un autre système gratuit de détection d'intrusion sur le réseau. Bro fonctionne en deux phases : l'enregistrement et l'analyse du trafic. Comme Suricata, Bro opère au niveau de la couche application, permettant une meilleure détection des tentatives d'intrusion fractionnées. Il semble que tout vienne par paire avec Bro et que son module d'analyse soit composé de deux éléments. Le premier est le moteur d'événements qui suit les événements déclencheurs tels que les connexions TCP nettes ou les requêtes HTTP. Les événements sont ensuite analysés plus en détail par des scripts de politique qui décident de déclencher ou non une alerte et de lancer une action, faisant de Bro une prévention des intrusions en plus d'un système de détection.

Bro vous permettra de suivre l'activité HTTP, DNS et FTP ainsi que de surveiller le trafic SNMP. C'est une bonne chose car, bien que SNMP soit souvent utilisé pour la surveillance du réseau , il ne s'agit pas d'un protocole sécurisé. Bro vous permet également de surveiller les changements de configuration de l'appareil et les interruptions SNMP. Bro peut être installé sur Unix, Linux et OS X mais il n'est pas disponible pour Windows, peut-être son principal inconvénient.

5.  Ouvrez WIPS NG

Open WIPS NG figure sur notre liste principalement parce que c'est le seul qui cible spécifiquement les réseaux sans fil. Open WIPS NG, où WIPS signifie Wireless Intrusion Prevention System, est un outil open source qui comprend trois composants principaux. Tout d'abord, il y a le capteur qui est un périphérique stupide qui ne capture que le trafic sans fil et l'envoie au serveur pour analyse. Vient ensuite le serveur. Celui-ci agrège les données de tous les capteurs, analyse les données recueillies et répond aux attaques. C'est le cœur du système. Le dernier mais non le moindre est le composant d'interface qui est l'interface graphique que vous utilisez pour gérer le serveur et afficher des informations sur les menaces sur votre réseau sans fil.

Cependant, tout le monde n'aime pas Open WIPS NG. Le produit provient du même développeur qu'Aircrack NG, un renifleur de paquets sans fil et un cracker de mot de passe qui fait partie de la boîte à outils de chaque pirate WiFi. D'un autre côté, compte tenu de son expérience, on peut supposer que le développeur en sait un peu plus sur la sécurité Wi-Fi.

6.  Samhain

Samhain est un système de détection d'intrusion hôte gratuit qui fournit une vérification de l'intégrité des fichiers et une surveillance/analyse des fichiers journaux. En outre, le produit effectue également la détection des rootkits, la surveillance des ports, la détection des exécutables SUID malveillants et des processus cachés. Cet outil a été conçu pour surveiller plusieurs systèmes avec divers systèmes d'exploitation avec une journalisation et une maintenance centralisées. Cependant, Samhain peut également être utilisé comme une application autonome sur un seul ordinateur. Samhain peut fonctionner sur des systèmes POSIX comme Unix Linux ou OS X. Il peut également fonctionner sur Windows sous Cygwin bien que seul l'agent de surveillance et non le serveur ait été testé dans cette configuration.

L'une des fonctionnalités les plus uniques de Samhain est son mode furtif qui lui permet de fonctionner sans être détecté par d'éventuels attaquants. Trop souvent, les intrus tuent les processus de détection qu'ils reconnaissent, leur permettant de passer inaperçus. Samhain utilise la stéganographie pour cacher ses processus aux autres. Il protège également ses fichiers journaux centraux et ses sauvegardes de configuration avec une clé PGP pour empêcher toute falsification.

7.  Fail2Ban

Fail2Ban est un système de détection d'intrusion hôte gratuit intéressant qui possède également des fonctionnalités de prévention. Cet outil fonctionne en surveillant les fichiers journaux à la recherche d'événements suspects tels que des tentatives de connexion infructueuses, des recherches d'exploits, etc. Lorsqu'il détecte quelque chose de suspect, il met automatiquement à jour les règles de pare-feu local pour bloquer l'adresse IP source du comportement malveillant. Il s'agit de l'action par défaut de l'outil, mais toute autre action arbitraire, telle que l'envoi de notifications par e-mail, peut être configurée.

Le système est livré avec divers filtres prédéfinis pour certains des services les plus courants tels qu'Apache, Courrier, SSH, FTP, Postfix et bien d'autres. La prévention s'effectue en modifiant les tables de pare-feu de l'hôte. L'outil peut fonctionner avec Netfilter, IPtables ou la table hosts.deny de TCP Wrapper. Chaque filtre peut être associé à une ou plusieurs actions. Ensemble, les filtres et les actions sont appelés prison.

8. AIDE

AIDE est l'acronyme de Advanced Intrusion Detection Environment. Le système gratuit de détection des intrusions sur l'hôte se concentre principalement sur la détection des rootkits et les comparaisons de signatures de fichiers. Lorsque vous installez initialement AIDE, il compilera une base de données de données d'administration à partir des fichiers de configuration du système. Ceci est ensuite utilisé comme référence par rapport à laquelle tout changement peut être comparé et éventuellement annulé si nécessaire.

AIDE utilise à la fois une analyse basée sur les signatures et sur les anomalies qui est exécutée à la demande et non planifiée ou en cours d'exécution en continu. C'est en fait le principal inconvénient de ce produit. Cependant, AIDE est un outil en ligne de commande et une tâche CRON peut être créée pour l'exécuter à intervalles réguliers. Et si vous l'exécutez très fréquemment, par exemple toutes les minutes environ, vous obtiendrez des données en temps quasi réel. À la base, AIDE n'est rien d'autre qu'un outil de comparaison de données. Des scripts externes doivent être créés pour en faire un véritable HIDS.

9.  Oignon de sécurité

Security Onion est une bête intéressante qui peut vous faire gagner beaucoup de temps. Il ne s'agit pas seulement d'un système de détection ou de prévention des intrusions. Security Onion est une distribution Linux complète axée sur la détection des intrusions, la surveillance de la sécurité de l'entreprise et la gestion des journaux. Il comprend de nombreux outils, dont certains que nous venons de passer en revue. Par exemple, Security Onion comprend Elasticsearch, Logstash, Kibana, Snort, Suricata, Bro, OSSEC, Sguil, Squert, NetworkMiner, etc. Tout cela est fourni avec un assistant de configuration facile à utiliser, vous permettant de protéger votre organisation en quelques minutes. Vous pouvez considérer Security Onion comme le couteau suisse de la sécurité informatique des entreprises.

La chose la plus intéressante à propos de cet outil est que vous obtenez tout en une seule installation simple. Et vous obtenez à la fois des outils de détection d'intrusion sur le réseau et sur l'hôte. Il existe des outils qui utilisent une approche basée sur les signatures et certains qui sont basés sur les anomalies. La distribution propose également une combinaison d'outils textuels et graphiques. Il y a vraiment un excellent mélange de tout. L'inconvénient, bien sûr, est que vous obtenez tellement de choses que la configuration peut prendre un certain temps. Mais vous n'êtes pas obligé d'utiliser tous les outils. Vous ne pouvez choisir que ceux que vous préférez.

10. Sagan

Sagan est en fait plus un système d'analyse de journaux qu'un véritable IDS, mais il possède certaines fonctionnalités de type IDS qui, selon nous, justifiaient son inclusion sur notre liste. Cet outil peut surveiller les journaux locaux du système sur lequel il est installé, mais il peut également interagir avec d'autres outils. Il pourrait, par exemple, analyser les journaux de Snort, ajoutant efficacement des fonctionnalités NIDS à ce qui est essentiellement un HIDS. Et il n'interagira pas seulement avec Snort. Il peut également interagir avec Suricata et il est compatible avec plusieurs outils de création de règles comme Oinkmaster ou Pulled Pork.

Sagan dispose également de capacités d'exécution de scripts, ce qui en fait un système de prévention des intrusions rudimentaire. Cet outil pourrait ne pas être utilisé comme votre seule défense contre les intrusions, mais ce sera un excellent composant d'un système qui peut incorporer de nombreux outils en corrélant des événements provenant de différentes sources.

Conclusion

Les systèmes de détection d'intrusion ne sont que l'un des nombreux outils disponibles pour aider les administrateurs réseau et système à garantir le fonctionnement optimal de leur environnement. Tous les outils discutés ici sont excellents, mais chacun a un objectif légèrement différent. Celui que vous choisirez dépendra en grande partie de vos préférences personnelles et de vos besoins spécifiques.