Les systèmes de détection d'intrusions machine (ou « Host Intrusion Detection Systems », HIDS) et les systèmes de détection d'intrusions réseau (ou « Network Intrusion Detection Systems », NIDS) sont des méthodes de gestion de la sécurité des ordinateurs et des réseaux.
Le nid désigne généralement la structure construite par les oiseaux pour fournir un premier abri à leur progéniture. Les nids sont généralement fabriqués à partir de matériaux organiques tels que brindilles, herbes, mousses ou feuilles, parfois garnis de plumes.
Il existe deux grandes familles distinctes d'IDS : Les N-IDS (Network Based Intrusion Detection System), ils assurent la sécurité au niveau du réseau. Les H-IDS (Host Based Intrusion Detection System), ils assurent la sécurité au niveau des hôtes.
Un système de détection d'intrusion (ou IDS : Intrusion detection System) est un mécanisme destiné à repérer des activités anormales ou suspectes sur la cible analysée (un réseau ou un hôte). Il permet ainsi d'avoir une connaissance sur les tentatives réussie comme échouées des intrusions.
Un système de détection d'intrusions (« Intrusion Detection Systems » ou IDS) est un appareil ou une application qui alerte l'administrateur en cas de faille de sécurité, de violation de règles ou d'autres problèmes susceptibles de compromettre son réseau informatique.
Les différences principales entre ces dispositifs résident dans le fait que le firewall effectue des actions telles que le blocage et le filtrage du trafic alors qu'un IPS va détecter et donner une alerte et un IDS directement empêcher une attaque.
Idéalement, on placerait des IDS sur les trois positions puis on délèguerait la consultation des logs à l'application "acid" (cf http://acidlab.sourceforge.net/) qui permet d'analyser les alertes et d'en présenter clairement les résulats via une interface web complète.
“IDS” et “IPS” sont des objets connexes aux pare-feu dans le rôle de filtrage de sécurité des réseaux. Ils sont le résultat d'une évolution technologique. Un “IDS” détecte des intrusions et il devient “IPS” quand il est capable d'y réagir automatiquement.
OSSEC est un excellent outil pour toute organisation à la recherche d'un IDS capable de détecter les rootkits et de surveiller l'intégrité des fichiers tout en fournissant des alertes en temps réel. Snort est un bon outil pour tous ceux qui recherchent un IDS avec une interface conviviale.
La principale différence entre les deux tient à ce qui se passe ensuite. Les IDS sont des outils de détection et de surveillance qui n'engagent pas d'action de leur propre fait. Les IPS constituent un système de contrôle qui accepte ou rejette un paquet en fonction d'un ensemble de règles.
Pour détecter les intrusions, un système IDS (Intrusion Detection Systems) est mis en place au sein des entreprises pour surveiller et analyser les activités de votre réseau, et les vulnérabilités qui peuvent susciter l'intérêt des hackers.
Snort vérifie le trafic réseau en temps réel et utilise Misuse Detection Engine BASE pour l'analyse. Il compare les paquets de données entrants et sortants avec les entrées de signature nommés dans les règles Snort (Rules).
Le logiciel IPS est placé derrière le pare-feu du réseau et communique en ligne avec le trafic entrant pour mieux prévenir les intrusions.
La plupart des Oiseaux recourrent à ce genre de construction. Mais beaucoup de Mammifères, quelques Poissons même (Epinoches, par exemple), parfois certains Mollusques, surtout une grande quantité d'Insectes fabriquent aussi des nids.
Les systèmes de prévention des intrusions contrôlent l'accès à un réseau informatique et le protègent contre les abus et les attaques. Ces systèmes sont conçus pour surveiller les données d'intrusion et prendre les mesures nécessaires pour éviter qu'une attaque ne se déclenche.
Un nid d'oiseau est un nid où les oiseaux pondent et incubent leurs œufs et élèvent leurs oisillons.
La cybersécurité englobe tous les moyens qui permettent d'assurer la protection et l'intégrité des données, sensibles ou non, au sein d'une infrastructure numérique. C'est une spécialité au sein des métiers des systèmes d'information.
3.2.2 La règle Snort. L'objectif de la règle est, qu'une fois en place, Snort puisse détecter la connexion d'utilisateurs de notre réseau à des domaines FF connus et générer une alerte.
Snort est un Network Intrusion Detection And Prevention System, permettant de surveiller le réseau d'entreprise, mais aussi d'avoir une interaction avec ce dernier, pour agir en fonction d'une possible cyber-attaque.
Snort, lui, offre un format ouvert et documenté qui permet d'écrire les règles de son choix. Un autre avantage est la gratuité au niveau des licences qui permet d'installer des sondes Snort en tout point du réseau.
Fondements de la sécurité informatique
L'intégrité : garantir que les données sont bien celles que l'on croit être. La disponibilité : maintenir le bon fonctionnement du système d'information. La confidentialité : rendre l'information inintelligible à d'autres personnes que les seuls acteurs d'une transaction.
Explique: Dans la mesure où les vers exploitent les failles de sécurité du système, la meilleure façon de limiter les risques d'attaque de ver est de télécharger les mises à jour de sécurité du fournisseur du système d'exploitation et d'appliquer des correctifs sur tous les systèmes vulnérables.
Des mesures de sécurité physiques : sécurité des accès aux locaux ; Des mesures de sécurité informatiques : antivirus, sécurisation des mots de passe, etc.
Le moteur de programme malveillant détecte l'activité de réseau malveillante. Exemple de scénario : Alerte « Suspicion d'activité malveillante (Stuxnet) » . Cette alerte indique que le capteur a détecté une activité réseau suspecte connue pour être liée au programme malveillant Stuxnet.