Les systèmes de détection d'intrusion (IDS) ont été développés en réponse à la fréquence croissante d'attaques sur les réseaux. En règle générale, le logiciel IDS inspecte les fichiers de configuration de l'hôte pour les paramètres risqués, les fichiers de mots de passe pour les mots de passe suspects et d'autres zones pour détecter les violations qui pourraient s'avérer dangereuses pour le réseau. Il définit également des méthodes permettant au réseau d’enregistrer les activités suspectes et les méthodes d’attaque potentielles et de les signaler à un administrateur. Un IDS est similaire à un pare-feu, mais en plus de protéger contre les attaques provenant de l'extérieur du réseau, un IDS identifie une activité suspecte et des attaques provenant du système.
Certains logiciels IDS peuvent également réagir aux intrusions détectées. Le logiciel qui peut répondre est généralement appelé logiciel IPS (Intrusion Prevention System). Il reconnaît et répond aux menaces connues, en suivant un grand nombre de critères.
En général, un IDS vous montre ce qui se passe, tandis qu'un IPS agit sur des menaces connues. Certains produits combinent les deux caractéristiques. Voici quelques options logicielles IDS et IPS gratuites.
Snort pour Windows
Snort for Windows est un système de détection d'intrusion réseau open source, capable d'analyser le trafic en temps réel et de consigner des paquets sur des réseaux IP. Il peut effectuer une analyse de protocole, une recherche / correspondance de contenu et peut être utilisé pour détecter une variété d'attaques et de sondes, telles que les débordements de mémoire tampon, les analyses de ports furtifs, les attaques CGI, les sondes SMB, les tentatives d'empreinte de système d'exploitation, etc.
Suricata
Suricata est un logiciel open source appelé "Snort on steroids". Il fournit une détection d'intrusion en temps réel, une prévention des intrusions et une surveillance du réseau. Suricata utilise un langage de règles et de signature et des scripts Lua pour détecter les menaces complexes. Il est disponible pour Linux, MacOS, Windows et d'autres plates-formes. Le logiciel est gratuit et plusieurs activités de formation publiques payantes sont programmées chaque année pour les développeurs. Des événements de formation dédiés sont également disponibles auprès de l'Open Information Security Foundation (OISF), qui détient le code Suricata.
Bro IDS
Bro IDS est souvent déployé en conjonction avec Snort. Le langage spécifique au domaine de Bro ne repose pas sur les signatures traditionnelles. Il enregistre tout ce qu'il voit dans une archive d'activité réseau de haut niveau. Le logiciel est particulièrement utile pour l'analyse du trafic et est utilisé dans les environnements scientifiques, les grandes universités, les centres de calcul et les laboratoires de recherche pour la sécurisation de leurs systèmes. Le projet Bro fait partie de la Software Freedom Conservancy.
Prélude OSS
Prelude OSS est la version open source de Prelude Siem, un système de détection d'intrusion hybride innovant, conçu pour être modulaire, distribué, solide et rapide. Prelude OSS convient aux infrastructures informatiques de taille limitée, aux organismes de recherche et à la formation. Il n'est pas destiné aux réseaux de grande taille ou critiques. Les performances de Prelude OSS sont limitées mais servent d’introduction à la version commerciale.
Malware Defender
Malware Defender est un programme IPS gratuit compatible avec Windows et offrant une protection réseau aux utilisateurs avancés. Il gère la prévention des intrusions et la détection de programmes malveillants. Il est bien adapté à un usage domestique, bien que son matériel pédagogique soit compliqué à comprendre pour les utilisateurs moyens. Malware Defender, qui était auparavant un programme commercial, est un système de prévention des intrusions sur l’hôte (HIPS) qui surveille les activités suspectes d’un seul hôte.
