Vu le nombre de questions par Mel, voici des precisions sur les IDS
(Intrusion Detection System):
Il existe deux sortes d'IDS, un qui se fait au niveau de l'ensemble du
reseau (Network IDS) et l'autre au niveau de la machine elle meme (IDS
Agent). Pour faire une analogie avec un anti-virus, le premier est un
anti-virus arretant les virus au niveau du reseau, et l'autre au niveau de
la machine.
1- Un NIDS (Network Intrusion Detect System) cherche a detecter le trafic
suspect sur un reseau entier, et pour cela il utilise un fichier
(bibliotheque) contenant des modeles d'attaques. Quand un trafic suspect
est detecte, il envoie une alerte indiquant quelle machine semble etre
attaquee et avec quelle methode (par exemple un buffer overflow). Certains
systemes vont meme jusqu'a verrouiller le trafic au niveau du Firewall de
facon automatique.
Exemple: RealSecure network engine, snort...
2- Un IDS Agent (Intrusion Detect System Agent) va surveiller les ports de
la machine sur laquelle il se trouve. Il detecte le trafic suspect au
niveau de la machine et selon le type d'agent enregistre l'alerte ou
intervient pour arreter l'attaque. Les loggers couples a des mecanismes
d'alerte sont des agents IDS.
Exemple: RealSecure system agent, PortSentry, ippl...
Shaddai ecrit: >
> On 28-May-99 Emmanuel DECAEN wrote:
> > J'entendais par sonde reseau, un systeme de detection d'intrusion reseau > > (Network Intrusion Detection), comme par exemple "snort" (qui soit dit en > > passant a pas l'air mal du tout !).
>
> Oui j' ai aussi snort , mais je ne m' en sert pas trop.J' utilise plus souvent > ippl , un logger base sur iplogger , mais code par un francais (cocorico!), et > qui analyse lui aussi les attaques.j' ai demande a un pote d( utiliser tous ces > nukers sur moi, et ils ont tous ete logge, ippl detecte tout ce qui se passe > sur les protocoles : ICMP , TCP , UDP.
Je viens de faire joujou avec, ma premiere impression est tres positive, ca
a l'air sympa ! Il va falloir que je regarde ca de plus pres.