Outils de surveillance d'intrusion

Dernière mise à jour : 21/08/2005

    Voici le troisi√®me volet des articles sur la s√©curit√© sous Linux. Nous allons ici parler de programmes pratiques permettant de surveiller votre Linux contre les intrusions. La plupart de ces programmes ne permettent pas d'emp√™cher des intrusions mais plus de vous indiquer ce qui se passe en cas de tentative d'intrusion (ou de r√©usssite). Il vous appartient de param√©trer des crons √† intervalles r√©guliers pour √™tre inform√© de probl√®mes √©ventuels sur votre machine.


Tripwire - http://sourceforge.net/projects/tripwire

    Tripwire est √† l'origine d√©velopp√© par une companie commerciale. Ce projet est n√©anmoins propos√© librement sous license GPL. La plupart des distributions vous proposent des paquets pour ce logiciel. Une fois install√©, vous pouvez l'initialiser et le param√©trer. Dans l'ordre, il vous faut ici param√©trer une cl√© GPG pour root afin de pouvoir crypter votre fichier de configuration, puis initialiser la base de donn√©es selon votre policy (twpol.txt). Ce fichier doit √™tre taill√© selon vos besoins, ainsi, nul n'est besoin de monitorer /dev si vous ne pensez pas que cela soit n√©cessaire ou bien des parties de /var/log. Donc avant la seconde commande, √©ditez le fichier twpol.txt pour le param√©trer selon vos besoins, puis cryptez-le.

    Pour v√©rifier votre base de donn√©es, vous pouvez utiliser tripwire --check. Ceci g√©n√®rera un rapport g√©n√©ralement plac√© dans /var/lib/tripwire/report/. Il est alors possible de consulter les rapports par l'outil fourni (car par d√©faut, ces rapports sont binaires et pas en mode texte). Il est m√™me possible de crypter les rapports si vous le d√©sirez mais je ne rentrerais pas dans les d√©tails. Vous pouvez indiquer un niveau de d√©tail dans les rapports allant de 0 √† 4. Le mode 0 donne juste le nom du rapport, le mode 1 donne les fichiers ajout√©s/modfi√©s et le mode 4 donne un rapport complet (md5, checksum, inode, etc ...). Si vous d√©sirez int√©grer les derniers fichiers chang√©s dans la base de donn√©es, tournez la seconde commande. Si vous d√©sirez mettre √† jour votre politique de surveillance, utilisez la troisi√®me commande.



AIDE- http://www.cs.tut.fi/~rammer/aide.html

    AIDE est un environnement de d√©tection d'intrusion avanc√© v√©rifiant l'int√©grit√© de vos donn√©es, il est assez similaire √† Tripwire, bien que le fait d'avoir les deux ne fait pas de mal. Apr√®s avoir install√© AIDE, vous devez configurer sa base de donn√©es. Avant de proc√©der √† ceci, √©ditez /etc/aide/aide.conf. Les lignes commen√ßant par ! vous permettent d'ignorer la surveillance de fichiers ou r√©pertoires mentionn√©s.

    Vous devez ensuite initialiser la base de donn√©es, avec la commande aide --init. D√©sormais, une v√©rification une fois par jour devrait √™tre effectu√©e par cron en ex√©cutant la commande : aide --check. Un rapport envoy√© par email √† intervalle r√©guliers est une bonne option.


Snort - http://www.snort.org

    SNORT est un outil open-source de la cat√©gorie des NIDS (Network Intrusion Detection System - Syst√®me de D√©tection d'Intrusion R√©seau). Il est actuellement disponible sur l'essentiel des distributions (et pas seulement Linux d'ailleurs). Son installation est relativement facile. Il vous suffit de param√©trer l'interface sur laquelle vous √©coutez ainsi que votre r√©seau et vous pouvez d√©marrer le d√©mon. Editez donc le fichier /etc/snort

    Une fois le d√©mon d√©marr√©, vous trouverez des logs dans /var/log/snort. Notez trois types de logs, un fichier appell√© alert, un second au format portscan2.xxx et enfin un troisi√®me tcpdump.log.xxx. Le premier vous donne le type d'alerte au format snort, le second vous donne les scans de ports fais sur votre machine (si vous bloquez les paquets avec iptables, ce fichier restera vide) et le dernier contient des logs au format tcpdump qui vous indiqueront ce que l'attaquant a ex√©cut√© comme commande.

    Une des forces de Snort est dans ses r√®gles de surveillance, consid√©rez changer les r√®gles par d√©faut en utilisant ce que les contributions ont √† offrir. Le site officiel a une section de contributions relativement importante qui devrait r√©pondre √† bien des questions.


FwLogWatch - http://fwlogwatch.inside-security.de

    Fwlogwatch est un programme qui analyse les logs des d√©tecteurs d'intrusion (IDS) et permet de filtrer et de prot√©ger votre serveur contre des attaques. Le projet officiel propose le paquet en source, source RPM mais aussi en binaires pour Debian (int√©gr√© dans sarge) et autres RedHat. La particularit√© de ce programme est sa capacit√© √† bloquer ou pr√©venir si une machine se fait attaquer. Sous Debian, il vous suffit de faire un simple apt-get install fwlogwatch. Configurez ensuite le fichier /etc/default/fwlogwatch comme suit. Cette configuration envoie juste un mail toutes les 24h, mais il est possible de le configurer pour recevoir des alertes en temps r√©el et m√™me passer des r√®gles √† IPTables :




    Voil√† qui termine cet article sur les outils de surveillance. Je compl√®terais bient√īt cette page, avec plus de commandes pour tripwire et de nouveaux outils que vous pouvez installer sur votre machine. Si vous avez des suggestions ou d'autres programmes que vous jugez indispensables, √©crivez moi.