IDS-IPS

HIDS & HIPS (Host Intrusion & Prevention System)

Nous nous focalisons ici sur les systèmes de détection et de prévention des intrusions au niveau des hôtes.
Ces systèmes se basent sur l'intégrité du système pour détecter des intrusions.

Tripwire

Ce logiciel calcule les empruntes (MD5, SHA, etc.) des fichiers spécifiés une première fois, puis vérifiera à des intervales de temps réguliers (via le cron) que l'emprunte actuelle de chacun des fichiers correspond bien à celle calculée précédemment. L'administrateur maintient une base de référence des fichiers à analyser. La robustesse de Tripwire réside dans le fait que les fichiers de fichiers de configuration et la base de données de référence de TripWire sont eux aussi analysés.
Pour toute modification, les empruntes des fichiers de configuration et de la base de données seront donc recalculées.

LogSurfer

Logsurfer lui va analyser les fichiers de journaux (logs) d'une machine et va tenter de reconnaite une signature d'intrusion à l'aide d'expressions régulières (ou regex).
Lorsqu'une intrusion sera détectée, plusieurs actions seront possibles :
* Alerter l'administrateur
* Exécuter une commande
* Ouvrir un contexte (sauvegarde de lignes répondant à un certain critère).

Les actions des HIPS

Les HIPS bloquent les comportements tels que :

* Lecture / écriture de fichiers protégés
* Accès à des ports non autorisés
* Tentative d'exploitation de débordement de pile (détection de Shellcode)
* Accès à certaines zones de la base de registres
* Connexions suspectes (sessions RPC actives anormalement longues sur des machines distantes, etc.)

D'autres H-IDS/H-IPS

parmi la multitude de HIDS/HIPS, on peut aussi citer Tripwire, Logsufer, Swatch, Nocol, Osiris, Prelude (Hybride), Entercept, Okena (Cisco), ServerLock, etc.