Product SiteDocumentation Site

10.3. Mise en place de détection d'intrusion

Debian contient certains outils pour la détection d'intrusion qui permettent de défendre le système local ou d'autres systèmes du même réseau. Ce type de défense est important si le système est très critique ou si vous êtes vraiment paranoïaque. Les approches de détection d'intrusion les plus communes sont la détection statistique d'anomalies et la détection de correspondance de modèle.
Soyez toujours aux aguets de manière à réellement améliorer la sécurité du système avec n'importe lequel de ces outils, vous devez avoir un mécanisme d'alerte et réaction. Un système de détection d'intrusion est inutile si personne n'est prévenu.
Quand une attaque particulière est détectée, la plupart des outils de détection d'intrusion vont soit journaliser l'événement avec syslogd, soit envoyer des courriers au superutilisateur (le destinataire du courrier est habituellement configurable). Un administrateur doit configurer convenablement les outils pour éviter les fausses alertes. Les alertes peuvent également indiquer une attaque en cours et ne seraient pas très utiles un jour plus tard, puisque l'attaque pourrait déjà avoir été couronnée de succès. Assurez-vous donc qu'une règle de sécurité correcte a été mise en place vis-à-vis des alertes et que les mécanismes techniques pour l'implémenter sont en place.
Une source d'informations intéressante est la http://www.cert.org/tech_tips/intruder_detection_checklist.html.

10.3.1. Détection d'intrusion provenant du réseau

Les outils de détection d'intrusions provenant du réseau scrutent le trafic sur un segment de réseau et utilisent cette information comme source de données. Spécifiquement, les paquets du réseau sont examinés et ils sont vérifiés pour voir s'ils correspondent à une certaine signature.
snort est un renifleur flexible de paquets ou un journaliseur qui détecte les attaques selon un dictionnaire de signatures d'attaque. Il détecte diverses attaques et sondes, comme des débordements de capacité, des scans dissimulés de ports, des attaques CGI, des sondes SMB, etc. snort dispose également d'une capacité d'alerte en temps réel. Vous pouvez utiliser snort pour un certain nombre d'hôtes du réseau ainsi que pour l'hôte local. Cet outil peut être installé sur n'importe quel routeur pour garder un œil sur le réseau. Installez-le simplement avec apt-get install snort, suivez les questions et surveillez ses journaux. Pour une infrastructure de sécurité un peu plus large, regardez http://www.prelude-ids.org.
Le paquet snort de Debian est installé avec de nombreuses vérifications de sécurité activées par défaut. Toutefois, vous devriez prendre le temps de personnaliser l'installation pour prendre en compte les services utilisés sur le système. Vous pourriez rechercher des vérifications supplémentaires spécifiques à ces services.
D'autres outils plus simples peuvent être utilisés pour détecter les attaques réseaux. portsentry est un paquet intéressant pour informer lorsqu'un scan du réseau est effectué sur site. D'autres outils comme ippl ou iplogger permettent de détecter certaines attaques IP (TCP et ICMP), même s'ils ne fournissent pas de techniques avancées pour détecter les attaques réseaux (comme le ferait snort).
Vous pouvez essayer chacun de ces outils avec le paquet Debian idswakeup, un générateur de fausses alertes et qui inclut un grand nombre de signature d'attaques communes.

10.3.2. Détection d'intrusion fondée sur l'hôte

La détection d'intrusion fondée sur l'hôte implique d'activer, sur le système à étudier, un logiciel qui utilise les journaux ou les programmes d'audit du système comme source de données. Il scrute les processus suspects, scrute les accès d'hôtes et peut même scruter les changements aux fichiers critiques du système.
tiger est un ancien outil de détection d'intrusion qui a été porté sous Debian depuis la distribution Woody. tiger fournit un ensemble de vérifications de problèmes communs liés aux failles de sécurité, il vérifie la robustesse des mots de passe, les problèmes de système de fichiers, les processus de communications et d'autres façons de compromettre le compte du superutilisateur. Ce paquet contient de nouvelles vérifications de sécurité spécifiques à Debian, y compris les vérifications de sommes de contrôle MD5 des fichiers installés, les emplacements de fichiers n'appartenant pas aux paquets et l'analyse des processus locaux à l'écoute. L'installation par défaut configure tiger pour être exécuté quotidiennement, en générant un compte-rendu envoyé au superutilisateur à propos des compromissions possibles du système.
Des outils d'analyse de journaux comme logcheck peuvent également être utilisés pour détecter des tentatives d'intrusions. Consultez Section 4.13.1, « Utiliser et personnaliser logcheck ».
De plus, des paquets scrutant l'intégrité du système de fichiers (consultez Section 4.17.3, « Vérifier l'intégrité des systèmes de fichiers ») peuvent être utiles dans la détection d'anomalies dans un environnement sécurisé. Une intrusion effective modifiera probablement certains fichiers du système de fichiers local pour court-circuiter les règles de sécurité locales, installer un cheval de Troie ou créer des utilisateurs. De tels événements peuvent être détectés avec les vérificateurs d'intégrité du système de fichiers.