IPS : Système de prévention d'intrusion

Un système de prévention d'intrusion (ou IPS, Intrusion Prevention System) est un outil des spécialistes en sécurité des systèmes d'information, similaire aux IDS, sauf que ce système peut prendre des mesures afin de diminuer les risques d'impact d'une attaque. C'est un IDS actif, il détecte un balayage automatisé, l'IPS peut bloquer les ports automatiquement. (wikipedia)

Un IPS rentre aujourd'hui dans la nouvelle définition des pare-feux.

• Suricata : un nouvel IPS
• Snort Inline - solution officielle, désormais intégrée dans snort : compiler avec l'option –enable-inline
  • snort-ai) : Des plugins pour snort visant à apporter de l'intelligence artificielle (capable d'apprendre : donc n'hésitez pas à passer par une série de test réseau avec par exemple openvas, et autre)

• En conjonction de snort :
  • fwsnort - (installer)
  • Guardian - Active Response for Snort
  • SnortSam
  • Snort2c) ¹⁾
  • Snort2pf

• Sagan : IDS type snort

• hlbr
• psad (installer) - Détection de scannage de port
• Denyhosts (site)

Anti flood et ddos :

• HeXHub)
• Panoptis (NIDS)
• Alfandega Firewall
• PHP Firewall

• Ossec
• aide_hips
• Samhain
• fail2ban - blocage d'IP suite à des tentatives de connections à des services sur une machine (possiblement une attaque brute force).
• Greensql

Libre

• Prelude.
• BASE
• icinga (site)
• snort-unified-perl (site) pour lire le format unified de snort ou suricata en perl
• Ossim (site) Outil complet
• Sguil (site)

Payant :

• Sourcefire (Cost, produced by the company that develops Snort)
• Aanval (Cost)

• pmacct (installer)
• nast (installer)

• voir securite, pare-feu
• voir reseau, serveur
• voir rootkit et antivirus

• Intrusion Detection: Snort (IDS), OSSEC (HbIDS) And Prelude (HIDS) On Ubuntu Gutsy Gibbon
• Présentation, tutoriel, et configuration de l'IDS Snort
  • Exécution de test sur snort + Guardian (d'abord sur une machine virtuel)

• http://www.honeynet.org/papers/honeynet/
• http://www.spitzner.net/honeypot.html
• http://www.tracking-hackers.com/book/

• Les HoneyPots

Smooth Sec est une distribution qui implémente suricata et snorby

Honeywall, est une distribution basée sur CentOS, qui collecte les données, analyse et enregistre les communications réseaux jugées anormales. Pour ce faire, Honeywall contient les éléments suivants :

- Librairie de capture de trames réseaux (libpcap) - Un logiciel de détection/prévention d'intrusions réseaux (Snort Inline) - Un outil de capture et analyse des flux applicatifs (Sebek) - Un outil d'analyse de netflow (Argus) - Un outil de détection de prise d'empreinte passif (p0f) - Un outil de fusion des données (Hflow)

Endian (fork d'IPCOP, fork de Smoothwall), distribution destinée à créer un firewall puissant, contenant antivirus (ClamAV antivirus) IPS, snort inline (règle à ajouter soi-même), antispam. Interface d'Administration et de monitoring web. (ainsi que beaucoup d'autres fonctions liés aux services réseaux).

• Sur sourceforge : Firewall, ddos
• Darknet - The Darkside

List of annual hacker conventions : bien entendu une grande partie des hackers présent sur certaine conférence, font partie des forces de l'ordre

• DEF CON® Hacking Conference
• Snort Additional Downloads: Add-Ons & Other Cool Projects pour d'autres outils;

Contributeurs : Psychederic, …