IDS : Intrusion Detection Systems

Les solutions disponibles

Les scanneurs de failles

Les scanneurs de failles ont pour particularité de détecter les failles présentes sur une machine ciblée, à un instant donné. Leur fonctionnement est simple et consiste en une succession d'actions visant à récolter un maximum d'informations, à l'instar d'un pirate.

Généralement, les scanneurs de failles fontionne selon le schéma client/serveur. Le serveur, où un deamon est lancé, est chargé de tester un systaème indiqué en essayant toutes les attaques que sa base contient, pendant que le client établit un rapport des résultats obtenus.


Architecture

Architecture générale d'un scanneur de faille


En se basant sur une base de données contenant l'ensemble des failles recensées(tous logiciels confondus) le scanneur effectuera des simulations d'attaques, en s'inspirant des exploits déjà connus. Ce dernier est installé sur le serveur et représente un agent intrusif essentiel au bon déroulement du diagnostic.

L'outil génère alors des rapports (web, pdf ...) qui rendent compte de l'état réel de la sécurité du réseau audité, le dévoilant ainsi sous un autre angle que bien des administrateurs négligent.

Les captures suivantes illustrent ces rapports (sous l'outil "nessus") :


Rapport Nessus, Global

Niveaux d' insécurité détectés


Rapport Nessus, Services à risque

Services dangeureux recensés


De plus, les rapports sont souvent accompagnés d'indications et de conseils qui aiguillent l'administrateur afin qu'il sécurise au mieux son réseau.

Au même titre qu'un anti virus, l'efficactité d'un scanneur de failles dépend crucialement de la fréquence de ses mises à jour. Ainsi, il convient de dééernir des signatures récentes des failles recensées afin d'éviter au mieux les possibilités d'intrusion.



Valid XHTML 1.0!