OSSEC, un HIDS qui fait le café

Magazine
Marque
GNU/Linux Magazine
Numéro
128
Mois de parution
juin 2010


Résumé
Tripwire, AIDE, Samhain sont des noms dont vous avez déjà sûrement entendu parler. En effet, ceux sont les trois « Host based Intrusion Detection System » (HIDS) libres les plus répandus, qui sont mentionnés à chaque article traitant de sécurité. Le problème de ces trois HIDS est qu'ils se limitent uniquement à vérifier l'intégrité de certains fichiers de la machine qu'ils protègent et cela n'est bien évidemment pas suffisant. Ainsi, on retrouve généralement en plus de ces outils, des programmes comme rkhunter ou logcheck pour détecter la présence de rootkits sur le système et détecter des comportements étranges à travers l'analyse des logs, deux choses que ces trois HIDS ne sont pas capables de faire. Dans cet article, nous verrons qu'il existe un HIDS libre qui remplit toutes les fonctionnalités nécessaires pour protéger efficacement une ou un ensemble de machines. Cet HIDS se nomme OSSEC.

1. Présentation des HIDS

Les Host based Intrusion Detection System (HIDS), aussi appelés « IDS systèmes » en français, sont des programmes qui surveillent le système sur lequel ils sont installés dans le but de constater une intrusion ou une tentative d'intrusion.

Les moyens mis en œuvre par un HIDS tournent généralement autour de la vérification de l'intégrité du système de fichiers de la machine surveillée. Le fonctionnement basique de ces programmes est alors le suivant :

  • Lors de la première utilisation, le programme construit une base avec les empreintes de tous les fichiers à surveiller. Cette base est chiffrée et éventuellement placée sur un système externe ou un support en lecture seule.
  • À intervalles réguliers, le programme vérifie si chaque empreinte de fichier surveillé coïncide toujours avec celle présente dans la base. Si ce n'est pas le cas, cela veut dire que le fichier a été modifiée et une alerte est remontée à l'administrateur.

Ce...

Cet article est réservé aux abonnés. Il vous reste 96% à découvrir.
à partir de 21,65€ HT/mois/lecteur pour un accès 5 lecteurs à toute la plateforme
J'en profite