Changer l'apparence
Documentation : IDS (Intrusion Detection Systems) Introduction
Date de publication : 16.7.2004
Date de modification : 21.2.2005
|
|
Contributeur : Eric Romang
Tout comme les outils de monitoring, traité dans les dossiers précédents, les IDS sont aussi des outils de monitoring. Sauf que ceux-ci ce focalisent sur les intrusions possibles en cours ou ayant eu lieu, sur votre réseau ou votre machine. Attention, en aucun cas un IDS ne peut remplacer un firewall, mais par contre ces deux outils peuvent se combiner.
Les trois principales fonctions d'un IDS sont :
Le monitoring des intrusions.
La détection des intrusions en cours.
La réponse aux intrusions en cours.
La détection des intrusions est basée sur un principe de règles évènementielles qui correspondent à un comportement de tentative d'intrusion. Ces règles sont de part la suite regroupée en catégories (OS, Virus, SCAN, etc.). Si une de ces règles correspond à un comportement suspects, une alerte peut-être remontée à l'administrateur par SMS, Email, etc. L'on peut aussi, enregistrer l'adresse IP ou le nom d'utilisateur de la source de tentative d'intrusion et fermer le compte par exemple.
Deux types de IDS existent :
Les IDS hôte d'une seule machine (HIDS) :
Ce type de IDS ne fait l'analyse que de ce qui se passe en source ou en destination de cette machine.
Les IDS réseau (NIDS) :
Ce type de IDS font l'analyse de tous ce qui se passe sur votre réseau à tous niveau de protocole.
Il est possible bien sûr de combiner ces deux sortes de IDS.
L'IDS peut-ètre pour vous une bonne solution de monitoring supplémentaire pour vérifier le bon fonctionnement de votre réseau ou de votre serveur.
Liste d'exemples de IDS :
NIDS : Snort, OpenSnort, Snort-Inline, Shadow, etc.
HIDS : Logsurfer, Swatch, Scanlogd, Nocol, Tripwire, etc.
IDS Hybrides : Prelude