Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

Les outils de détection d'intrusions gratuits Tiger-2.2.4 Tiger est un ensemble

Les outils de détection d'intrusions gratuits Tiger-2.2.4 Tiger est un ensemble de scripts qui recherche dans un système les faiblesses qui pourraient permettre à une utilisation non-autorisée d'en changer les configurations, d'accéder à la racine ou de modifier des fichiers systèmes importants. A l'origine, Tiger fut développé à l'université du Texas A&M. Il peut être chargé à partir de l'adresse suivante : tamu.edu. Il existe plusieurs versions de Tiger disponibles : · Tiger-2.2.3 pl, la dernière version en date avec des scripts check_devs et cheek_rhost actualisées. · Tiger-2.2.3 pl-ASC, une version disposant de contribution du Arctic Regional Supercomputer Center ; · Tiger-2.2-4 pl, version du tiger -2.2.3 avec support linux. Tiger balaye le système à la recherche de cron, inted, passwd, d'autorisation de fichiers, de pseudonymes et de variables PATH pour voir s'ils peuvent être utilisés pour accéder au répertoire principal. Il analyse les vulnérabilités du système via l'utilisation d'inted pour déterminer si un utilisateur peut accéder à distance au système. Il a recours également aux signatures digitales ; à l'aide de MD5, pour déterminer si les systèmes de programmes binaires clés ont été modifiés. Logcheck 1.1.1 Logcheck est un script qui analyse les fichiers journaux des systèmes et recherche toute activité inhabituelle ainsi que les attaques. Bien entendu, cela veut dire qu'un intrus n'a pas encore obtenu l'accès au répertoire de l'hôte et ne peut donc modifier les fichiers journaux . L'un des gros problèmes dans la maintenance des fichiers journaux est la quantité d'information collectée sur des systèmes importants, l'analyse (par scanning) manuelle des fichiers journaux peut demander plusieurs jours. Logcheck simplifie le contrôle du journal système en classant les informations reprises dans le journal et en l'envoyant par e-mail à l'administration système. Logcheck peut être configuré de manière à n'envoyer dans un rapport que les informations que vous souhaitez et ignorer celles que vous ne désirez pas. Logcheck peut être chargé sur : Téléchargement Logcheck C'est l'un des éléments du projet Abacus, un système de prévention d'intrusion. Cependant, tous les éléments ne sont pas encore stables. Logcheck est basé sur un programme de contrôle de journal appelé " frequentchech.h ", un élément du Gauntlet Firewall Package. Le script logcheck.sh est installé sur /usr/local/etc/, ainsi que les fichiers des mots clés. Le script peut être chargé sur : Logcheck Script Tripwire Tripwire est un des outils les plus connus et les plus utiles dans la détection d'intrusion et la récupération qui s'en suit. Tripwire crée une base de données de signatures des fichiers dans le système et lorsqu'il est exécuté en mode comparaison, il prévient les administrateurs système des changements dans le système de fichiers. La différence entre Tripwire et Tiger est que le premier est spécialisé dans les programmes de signature de fichiers et peut utiliser de multiples fonctions de hashing pour générer des signatures digitales générales. Tripwire a été développé par le laboratoire Computer Opérations Audit and Security Technology (COAST). La version publique disponible Tripwire 1.2, est disponible sur : Tripwire.com Snort Snort est un système de détection d'intrusion, son auteur est Martin ROESH, il est léger, pas d'interface graphique, peu coûteux en ressources. Snort permet définition précise des signatures, détecte les entêtes et dans le contenu des paquets dans IP, TCP, UDP et ICMP, détection de Nmap (Scan, OS fingerprint), des petits fragments, dénis de service et de débordement de Buffer (script kiddies) . Snort peut être chargé sur : Snort.org Méthode d'Audit de Sécurité Informatique dans l'Entreprise: La méthode FEROS. Introduction La plupart des entreprises a encore des difficultés à concevoir que leur sécurité peut être défaillante. Ceci est particulièrement vrai dans un contexte de PME-PMI. Chaque structure préfère croire que les pertes de données n'arrivent "qu'aux autres" et argue souvent que les audits effectués par des sociétés spécialisées type SSII sont trop onéreux pour leur budget. Malheureusement, les dirigeants ou responsables informatiques oublient de se poser une question cruciale : "combien cela me coûtera-t-il si l'informatique de mon entreprise, ma base de donnée client ou ma comptabilité par exemple, disparaissait ?". En effet, cette question devrait pouvoir sensibiliser n'importe quel décideur responsable, et l'amener à faire valider la cohérence de ses systèmes d'informations et de sauvegardes. Il existe aujourd'hui sur le marché différentes méthodes permettant d'auditer de manière fiable et autonome une entreprise. Cependant, il faut garder en tête que faire appel à des professionnels serait plus judicieux. Dans tous les cas, voici une synthèse des quatre principales méthodes disponibles sur le marché : 1. La méthode Feros 2. La méthode Méhari 3. La méthode Marion 4. La méthode Melissa. La méthode FEROS La méthode FEROS signifie : Fiche d'Expression Rationnelle des Objectifs de Sécurité des Systèmes d'Information. Elle part du constat simple que les Responsables Informatiques sont généralement chargés de veiller sur : - le bon fonctionnement des matériels et réseaux de communication de l'entreprise, - l'intégrité des données qui circulent, sont sauvegardées et archivées. Partant de ce constat, il est donc primordial de définir des objectifs de sécurité à mettre en oeuvre dans l'entreprise. Pour ce faire, il faut commencer par déterminer les besoins de la structure auditée : - identification des données cruciales, - détermination d'un seuil de tolérance de disponibilités ou inaccessibilité des dites données - identification des impératifs légaux incontournables qu'il faut respecter. En parallèle de ces objectifs doivent se trouver les contraintes incontournables que rencontre la société : - contraintes matérielles, - contraitres de limitation de savoir faire en interne, - contrainte de disponibilités des ressources hommes etc. C'est en confrontant les besoins de l'entreprise en matière de sécurité avec les contraintes auxquelles elle doit faire face qu'il faudra déterminer la politique de sécurité à mettre instaurer. Une fois les grands axes de cette politique définis, il est important selon la méthode FEROS de s'interroger sur les menaces que l'entreprise peut rencontrer : - piratage amateur à vocation ludique, - piratage professionnel à la solde de la concurrence, - piratage d'un personnel interne en colère contre l'entreprise etc ..... La méthode FEROS s'articule autour de quatre axes principaux : - un guide permettant à chaque structure auditée de rédiger un questionnaire qui lui sera propre, - le questionnaire structuré qui permettra de mettre en évidence les particularités de l'entreprise, - un glossaire qui définira précisément le sens de chaque terme technique employé pour le vulgariser auprès des décideurs non techniques, - une synthèse des menaces potentielles qui permettra d'en prévoir les parades. Cette méthode émane du SCSSI et vous la retrouverez intégralement sur leur site. Notre opinion : Cette méthode possède le gros avantage d'être simple d'appréhension pour un non initié à la technique. Fonctionnelle et structurée cette méthode permet de réagir rapidement et pourquoi pas de préparer le travail d'une société extérieure qui sera chargée d'approfondir chaque point soulevé par l'application de cette méthode. En effet, elle nous semble être un bon moyen de "préparer le terrain" et donc réaliser des économies substantielles en ne faisant appel à des spécialistes qu'une fois le terrain déblayé. La sécurité et l'Open Source Introduction Depuis Linus Torvalds et son système Linux, l'Open Source s'est considérablement développé. Mais qu'est-ce que l'Open Source ? C'est le fait de rendre public le code source d'un logiciel. L'Open Source est régie par un ensemble de licences, dont la plus connue est la GNU Public License. Ce code source n'est donc plus la possesion privée d'une personne, d'un groupe de personne, ou d'une société, comme c'était le cas depuis la naissance de l'informatique dans les années 60, jusque dans les années 80/90. Les plus grandes entreprises emboitent actuellement le pas des développeurs indépendants et proposent à leur tour des logiciels de qualité professionnelle en Open Source. Mais derrière cet effervescence intellectuelle, quelles sont les conséquences, en matière de sécurité, pour les projets Open Source ? Les avantages Relectures multiples du code Qu'il soit étudiant, professionel, ou tout simplement amateur et quelque soit son niveau, ses méthodes, sa culture, sa nationalité, le programmeur a accès au code. Il peut donc le relire pour le comprendre et anticiper le debuggage. De ces lectures croisées de nombreux bugs sont décelables. Parmis ces bugs, il y en a certainement qui touchent directement la sécurité du logiciel, comme les buffers overflow. On appelle cela des trous de sécurité applicatif. Réactivité de l'open source Un autre avantage de l'open source est le fait que la communauté réagisse plus rapidement dans la correction d'un bug. Cela arrive même fréquemment que le programmeur qui découvre un bug propose aussi le patch qui permette de le corriger, lorsque l'information est rendue publique. Les sociétés traditionnelles de logiciel mettent plus de temps car leur structure est plus hiérarchisée, plus grosse et donc moins réactive. Les inconvénients Relectures multiples du code La relecture multiple du code permet de détecter un plus grand nombre de trous de sécurité dans un logiciel. Par contre, il serait naif de penser que tous les trous de sécurité sont vus ! Les logiciels sont de plus en plus complexes et certains dépassent même la vision que peut avoir un programmeur uploads/Management/ les-outils-de-d-tection.pdf