l'Internet

Les 7 meilleurs systèmes de prévention des intrusions (IPS) pour 2020

Tout le monde veut empêcher les intrus d’entrer chez eux. De plus, et pour des raisons similaires, les administrateurs réseau s’efforcent de garder les intrus hors des réseaux qu’ils gèrent. L’un des atouts les plus importants de nombreuses organisations d’aujourd’hui est leurs données. Il est si important que de nombreuses personnes malveillantes se donnent beaucoup de mal pour voler ces données. Pour ce faire, ils utilisent un large éventail de techniques pour obtenir un accès non autorisé aux réseaux et aux systèmes. Le nombre de ces attaques semble avoir augmenté de façon exponentielle récemment et, en réaction, des systèmes sont mis en place pour les prévenir. Ces systèmes sont appelés systèmes de prévention des intrusions ou IPS.Aujourd’hui, nous examinons les meilleurs systèmes de prévention des intrusions que nous pourrions trouver.

> Nous allons commencer> Ceci, bien sûr, implique que nous définirons également ce qu’est une intrusion. Ensuite, nous explorerons les différentes méthodes de détection couramment utilisées et les mesures de correction prises après la détection. Ensuite, nous parlerons brièvement de la prévention passive des intrusions. Ce sont des mesures statiques qui peuvent être mises en œuvre et qui pourraient réduire considérablement le nombre de tentatives d’intrusion. Vous serez peut-être surpris de constater que certains d’entre eux n’ont rien à voir avec les ordinateurs. Ce n’est qu’alors, avec tout le monde sur la même page, que nous pourrons enfin passer en revue certains des meilleurs systèmes de prévention des intrusions que nous ayons pu trouver.

Prévention des intrusions – De quoi s’agit-il?

Il y a des années, les virus étaient à peu près la seule préoccupation des administrateurs système. Les virus ont atteint un point où ils étaient si courants que l’industrie a réagi en développant des outils de protection antivirus. Aujourd’hui, aucun utilisateur sérieux et sensé ne penserait à faire fonctionner un ordinateur sans protection antivirus. Bien que nous n’entendions plus beaucoup parler de virus, d’intrusions ou d’accès non autorisé à vos données par des utilisateurs malveillants, c’est la nouvelle menace. Les données étant souvent l’atout le plus important d’une organisation, les réseaux d’entreprise sont devenus la cible de pirates malveillants qui ne ménagent aucun effort pour accéder aux données.Tout comme le logiciel de protection antivirus était la réponse à la prolifération des virus, Intrusion Prevention Systems est la réponse aux attaques d’intrus.

Les systèmes de prévention des intrusions font essentiellement deux choses. Premièrement, ils détectent les tentatives d’intrusion et lorsqu’ils détectent une activité suspecte, ils utilisent différentes méthodes pour l’arrêter ou la bloquer. Il existe deux manières différentes de détecter les tentatives d’intrusion. La détection basée sur les signatures fonctionne en analysant les données et le trafic du réseau et en recherchant des modèles spécifiques associés aux tentatives d’intrusion. Ceci est similaire aux systèmes de protection antivirus traditionnels basés sur des définitions de virus. La détection d’intrusion basée sur les signatures est basée sur des signatures ou des modèles d’intrusion. Le principal inconvénient de cette méthode de détection est qu’elle nécessite le chargement des signatures appropriées dans le logiciel.Et lorsqu’une nouvelle méthode d’attaque est utilisée, il y a généralement un délai avant que les signatures d’attaque soient mises à jour. Certains fournisseurs sont très rapides pour fournir des signatures d’attaque à jour, tandis que d’autres sont beaucoup plus lents. La fréquence et la vitesse de mise à jour des signatures sont un facteur important à prendre en compte lors du choix d’un fournisseur.

La détection basée sur les anomalies offre une meilleure protection contre les attaques zero-day, celles qui se produisent avant que les signatures de détection aient eu la possibilité de se mettre à jour. Le processus recherche des anomalies plutôt que d’essayer de reconnaître des schémas d’intrusion connus. Par exemple, cela se déclencherait si quelqu’un essayait d’accéder à un système avec le mauvais mot de passe plusieurs fois de suite, signe courant d’une attaque par force brute. Ce n’est qu’un exemple, et il existe généralement des centaines d’activités suspectes différentes qui peuvent déclencher ces systèmes. Les deux méthodes de détection ont leurs avantages et leurs inconvénients. Les meilleurs outils sont ceux qui utilisent une combinaison d’analyse de signature et de comportement pour la meilleure protection.

La détection des tentatives d’intrusion est l’une des premières étapes pour les empêcher. Une fois détectés, les systèmes de prévention des intrusions travaillent activement pour arrêter les activités détectées. Ces systèmes peuvent prendre plusieurs actions correctives différentes. Ils pourraient, par exemple, suspendre ou désactiver les comptes d’utilisateurs. Une autre action typique consiste à bloquer l’adresse IP source de l’attaque ou à modifier les règles du pare-feu. Si l’activité malveillante provient d’un processus spécifique, le système de prévention pourrait arrêter le processus. Le lancement d’un processus de protection est une autre réaction courante, et dans le pire des cas, des systèmes entiers peuvent être arrêtés pour limiter les dommages potentiels.Une autre tâche importante des systèmes de prévention des intrusions consiste à alerter les administrateurs, à consigner l’événement et à signaler toute activité suspecte.

Mesures de prévention passive des intrusions

Si les systèmes de prévention des intrusions peuvent vous protéger contre de nombreux types d’attaques, rien ne vaut les bonnes vieilles mesures de prévention des intrusions passives. Par exemple, exiger des mots de passe forts est un excellent moyen de se protéger contre de nombreuses intrusions. Une autre mesure de protection simple consiste à modifier les mots de passe par défaut sur votre ordinateur. Bien qu’il soit moins répandu sur les réseaux d’entreprise, bien que cela ne soit pas inconnu, j’ai trop souvent vu des passerelles Internet qui avaient toujours leur mot de passe administrateur par défaut. En ce qui concerne les mots de passe, le vieillissement des mots de passe est une autre étape spécifique qui peut être mise en œuvre pour réduire les tentatives d’intrusion.Tout mot de passe, même le meilleur, peut éventuellement être piraté, avec suffisamment de temps. L’ancienneté des mots de passe garantit que les mots de passe seront modifiés avant qu’ils n’aient été piratés.

Il n’y a que des exemples de ce qui peut être fait pour empêcher passivement les intrusions. Nous pourrions écrire un article complet sur les mesures passives qui peuvent être mises en œuvre, mais ce n’est pas notre objectif aujourd’hui. Au lieu de cela, notre objectif est d’introduire certains des meilleurs systèmes de prévention active des intrusions.

Les meilleurs systèmes de prévention des intrusions

Notre liste contient une combinaison de plusieurs outils qui peuvent être utilisés pour se protéger contre les tentatives d’intrusion. La plupart des outils inclus sont de véritables systèmes de prévention des intrusions, mais nous incluons également des outils qui, bien que non commercialisés en tant que tels, peuvent être utilisés pour prévenir les intrusions. Notre premier article est un exemple. N’oubliez pas que, plus que tout, votre choix de l’outil à utiliser doit être guidé par vos besoins spécifiques. Voyons donc ce que chacun de nos meilleurs outils a à offrir.

1. SolarWinds Log and Event Manager (ESSAI GRATUIT)

SolarWinds est un nom familier dans la gestion de réseau. Il a une solide réputation pour créer certains des meilleurs outils de gestion de système et de réseau. Son produit phare, Network Performance Monitor, se classe systématiquement parmi les meilleurs outils de surveillance de la bande passante réseau disponibles. SolarWinds est également célèbre pour ses nombreux outils gratuits, chacun répondant à un besoin spécifique des administrateurs réseau. Le serveur Kiwi Syslog ou le serveur TFTP SolarWinds sont deux excellents exemples de ces outils gratuits.

Ne vous laissez pas induire en erreur par le nom SolarWinds Log & Event Manager . Il y a bien plus que ce que l’on voit. Certaines des fonctionnalités avancées de ce produit le qualifient de système de détection et de prévention des intrusions, tandis que d’autres le placent dans la gamme SIEM (Security Information and Event Management). L’outil, par exemple, propose une corrélation d’événements en temps réel et une correction en temps réel.

>> ESSAI GRATUIT: SolarWinds Log & Event Manager

  • Lien de téléchargement officiel: https://www.solarwinds.com/log-event-manager-software/registration
  • Le gestionnaire de journaux et d’événements SolarWinds a une détection instantanée des activités suspectes (fonctionnalité de détection d’intrusion) et des réponses automatisées (une fonctionnalité de prévention des intrusions). Cet outil peut également être utilisé pour mener des enquêtes sur les événements médico-légaux et de sécurité. Il peut être utilisé à des fins d’atténuation et de conformité. L’outil présente des rapports audités qui peuvent également être utilisés pour démontrer la conformité à divers cadres réglementaires tels que HIPAA, PCI-DSS et SOX. L’outil dispose également d’une surveillance de l’intégrité des fichiers et de la surveillance des périphériques USB.Toutes les fonctionnalités avancées du logiciel en font une plate-forme de sécurité intégrée plutôt que le système de gestion des événements et des journaux que son nom voudrait vous faire croire.

    Les fonctionnalités de prévention des intrusions de SolarWinds Log & Event Manager fonctionnent en mettant en œuvre des actions appelées réponses actives chaque fois que des menaces sont détectées. Différentes réponses peuvent être liées à des alertes spécifiques. Par exemple, le système peut écrire dans les tables de pare-feu pour bloquer l’accès au réseau à partir d’une adresse IP source qui a été identifiée comme effectuant des activités suspectes. L’outil peut également suspendre les comptes d’utilisateurs, arrêter ou démarrer les processus et arrêter les systèmes. Vous vous souviendrez qu’il s’agit précisément des mesures correctives que nous avons identifiées précédemment.

    Le prix du SolarWinds Log & Event Manager varie en fonction du nombre de nœuds surveillés. Le prix commence à 4 585 $ pour jusqu’à 30 nœuds surveillés et des licences pour jusqu’à 2 500 nœuds peuvent être achetées, ce qui rend le produit hautement évolutif. Si vous souhaitez essayer le produit et voir par vous-même s’il vous convient, un essai gratuit complet de 30 jours est disponible .

    2. Splunk

    Splunk est probablement l’un des systèmes de prévention des intrusions les plus populaires. Il est disponible en plusieurs éditions différentes avec différents ensembles de fonctionnalités. Splunk Enterprise Security, ou Splunk ES , comme on l’appelle souvent, est ce dont vous avez besoin pour une véritable prévention des intrusions. Le logiciel surveille les données de votre système en temps réel, à la recherche de vulnérabilités et de signes d’activité anormale.

    > La> Utilise ce que le fournisseur appelle le Adaptive Response Framework (ARF). Il s’intègre aux équipes de plus de 55 fournisseurs de sécurité et peut effectuer une réponse automatisée, accélérant les tâches manuelles. Cette combinaison d’assainissement automatisé et d’intervention manuelle peut vous donner les meilleures chances de prendre rapidement le dessus. L’outil dispose d’une interface utilisateur simple et épurée, ce qui en fait une solution gagnante. D’autres fonctionnalités intéressantes de protection incluent la fonction «Notable» qui affiche des alertes personnalisables par l’utilisateur et «Asset Investigator» pour signaler les activités malveillantes et éviter d’autres problèmes.

    Les informations de tarification de Splunk Enterprise Security ne sont pas disponibles. Vous devrez contacter le service commercial de Splunk pour un devis détaillé. C’est un excellent produit pour lequel un essai gratuit est disponible.

    3. Sagan

    Sagan est essentiellement un système de détection d’intrusion gratuit. Cependant, l’outil doté de fonctionnalités de script peut le placer dans la catégorie Systèmes de prévention des intrusions. Sagan détecte les tentatives d’intrusion en surveillant les fichiers journaux. Vous pouvez également combiner Sagan avec Snort, qui peut envoyer sa sortie à Sagan, donnant à l’outil des capacités de détection d’intrusion basées sur le réseau. En fait, Sagan peut recevoir des informations de nombreux autres outils tels que Bro ou Suricata, combinant les capacités de divers outils pour la meilleure protection possible.

    > Cependant , il y a un piège dans les capacités de script de Sagan . Vous devez écrire les scripts de correction. Bien que cet outil puisse ne pas être utilisé au mieux comme votre seule défense contre les intrusions, il pourrait être un élément clé d’un système qui intègre plusieurs outils en corrélant les événements de différentes sources, vous offrant ainsi le meilleur de nombreux produits.

    Alors que Sagan ne peut être installé que sur Linux, Unix et Mac OS, il peut se connecter aux systèmes Windows pour obtenir ses événements. D’autres fonctionnalités intéressantes de Sagan incluent le suivi de l’emplacement de l’adresse IP et le traitement distribué.

    4. OSSEC

    Open Source Security , ou OSSEC , est l’un des principaux systèmes de détection d’intrusion open source basés sur l’hôte. Nous l’incluons sur notre liste pour deux raisons. Sa popularité est telle que nous avons dû l’inclure, d’autant plus que l’outil permet de spécifier des actions qui sont effectuées automatiquement chaque fois que des alertes spécifiques sont déclenchées, ce qui lui confère des capacités de prévention des intrusions. OSSEC appartient à Trend Micro, l’un des principaux noms de la sécurité informatique et le fabricant de l’une des meilleures suites de protection antivirus.

    > Quand> Crée les sommes de contrôle des fichiers importants et les vérifie périodiquement, en vous alertant ou en déclenchant une action corrective chaque fois que quelque chose d’étrange se produit. Il surveillera également et alertera sur toute tentative anormale d’obtenir un accès root. Sous Windows, le système est également à la recherche de modifications non autorisées du registre, car elles pourraient être un signe révélateur d’une activité malveillante. Toute détection déclenchera une alerte qui sera affichée sur la console centralisée, tandis que les notifications seront également envoyées par e-mail.

    OSSEC est un système de protection contre les intrusions basé sur l’hôte. En tant que tel, il doit être installé sur chaque ordinateur que vous souhaitez protéger. Cependant, une console centralisée consolide les informations de chaque ordinateur protégé pour une administration facile. La console OSSEC ne fonctionne que sur des systèmes d’exploitation de type Unix, mais un agent est disponible pour protéger les hôtes Windows. Alternativement, d’autres outils tels que Kibana ou Graylog peuvent être utilisés comme interface avec l’outil.

    5. Ouvrez WIPS-NG

    Nous ne savions pas vraiment si nous devrions inclure Open WIPS NG dans notre liste. Plus sur cela dans un instant. Il l’a fait principalement parce que c’est l’un des seuls produits qui cible spécifiquement les réseaux sans fil. Open WIPS NG –Where WIPS signifie Wireless Intrusion Prevention System– est un outil open source composé de trois composants principaux. Tout d’abord, il y a le capteur. C’est un processus idiot qui capture simplement le trafic sans fil et l’envoie au serveur pour analyse. Comme vous l’avez probablement deviné, le prochain composant est le serveur. Regroupez les données de tous les capteurs, analysez les données collectées et répondez aux attaques.Ce composant est le cœur du système. Enfin, il y a le composant d’interface, qui est l’interface graphique que vous utilisez pour gérer le serveur et afficher des informations sur les menaces détectées sur votre réseau sans fil.

    La principale raison pour laquelle nous hésitons avant d’inclure Open WIPS NG dans notre liste est que, aussi bon soit-il, tout le monde n’aime pas le développeur du produit. Il provient du même développeur qu’Aircrack NG, un traqueur de paquets sans fil et un cracker de mot de passe qui fait partie de la boîte à outils de tous les hackers WiFi. Cela ouvre le débat sur l’éthique des développeurs et fait méfier certains utilisateurs. D’autre part, l’expérience du développeur peut être considérée comme un témoignage de sa connaissance approfondie de la sécurité Wi-Fi.

    6. Fail2Ban

    Fail2Ban est un système de détection d’intrusion hôte gratuit relativement populaire avec des fonctionnalités de prévention d’intrusion. Le logiciel fonctionne en surveillant les fichiers journaux du système pour les événements suspects tels que les tentatives de connexion infructueuses ou les recherches d’exploit. Lorsque le système détecte quelque chose de suspect, il réagit en mettant automatiquement à jour les règles de pare-feu locales pour bloquer l’adresse IP source du comportement malveillant. Ceci, bien sûr, implique qu’un processus de pare-feu est en cours d’exécution sur la machine locale. C’est le principal inconvénient de l’outil.Cependant, toute autre action arbitraire peut être configurée, comme l’exécution d’un script correctif ou l’envoi de notifications par e-mail.

    > Fail2Ban > Comme nous l’avons dit, les actions de correction sont accomplies en modifiant les tables de pare-feu de l’hôte. Fail2Ban prend en charge Netfilter, IPtables ou la table hosts.deny du wrapper TCP. Chaque filtre peut être associé à une ou plusieurs actions. Ensemble, les filtres et les actions sont appelés prison.

    7. Moniteur de sécurité réseau Bro

    Le Bro Monitor Network Safety est un autre système de détection d’intrusion réseau gratuit avec des fonctionnalités de type IPS. Il fonctionne en deux phases, d’abord il enregistre le trafic puis il l’analyse. Cet outil fonctionne en plusieurs couches jusqu’à la couche application, ce qui représente une meilleure détection des tentatives d’intrusion fractionnées. Le module d’analyse des produits est composé de deux éléments. Le premier élément est appelé le moteur d’événements et son objectif est de suivre les événements déclencheurs tels que les connexions TCP ou les requêtes HTTP. Les événements sont ensuite analysés par des scripts de stratégie, le deuxième élément. Le travail des scripts de stratégie consiste à décider s’il faut déclencher une alarme, lancer une action ou ignorer l’événement.C’est la possibilité de lancer une action qui donne au Bro Network Security Monitor sa fonctionnalité IPS.

    > Le> Bro Network Security Monitor a certaines limitations. Il suivra uniquement l’activité HTTP, DNS et FTP et surveillera également le trafic SNMP. Cependant, c’est une bonne chose, car SNMP est souvent utilisé pour surveiller le réseau malgré ses graves failles de sécurité. SNMP a peu de sécurité intégrée et utilise un trafic non chiffré. Et comme le protocole peut être utilisé pour modifier les paramètres, il pourrait être facilement exploité par des utilisateurs malveillants. Le produit surveillera également les changements de configuration de périphérique et les interruptions SNMP. Il peut être installé sous Unix, Linux et OS X mais il n’est pas disponible pour Windows, ce qui est peut-être son principal inconvénient.Sinon, c’est un outil très cool qui vaut la peine d’être essayé.

    Articles Similaires

    Deja una respuesta

    Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

    Botón volver arriba