HIDS et systèmes Unix

Conclusion

Il existe de nombreux HIDS et la plupart intègrent une détection d'événements ne répondant pas à la politique de sécurité choisie. En revanche, aucun HIDS ne fournit une solution de sécurité totale : l'intégrité d'un système en fonctionnement ne pouvant être vérifiée de manière sûre. Autrement dit : il n'y a aucun moyen de s'assurer qu'un système exécute ce qu'on lui demande d'exécuter. A ce sujet, la lecture de Reflections on Trusting Trust de Ken Thompson publié chez ACM en 1984 permet de prendre conscience que cette problématique a déjà été identifiée depuis bien longtemps. Cependant, l'ensemble de ces mécanismes mis bout à bout permet déjà de s'assurer un très bon niveau de sécurité car ils intègrent une bonne partie d'une boucle de sécurité : la détection, la notification et dans certains cas (les IPS), une réponse.

Références

• logcheck http://logcheck.org/
• logwatch http://www2.logwatch.org:8080/
• samhain http://la-samhna.de/samhain/
• ossec http://www.ossec.net/
• tripwire http://sourceforge.net/projects/tripwire/
• systrace http://www.citi.umich.edu/u/provos/systrace/
• rkscan http://www.hsc.fr/ressources/outils/rkscan/index.html.en
• chrootkit http://www.chkrootkit.org/
• rootkithunter http://directory.fsf.org/security/system/RootkitHunter.html
• Reflections on trusting trust (ACM) http://www.acm.org/classics/sep95/
• Halting problem (Wikipedia EN) http://en.wikipedia.org/wiki/Halting_problem
• Théorème d'incomplètude de Gödel (Wikipedia FR) http://fr.wikipedia.org/wiki/Th%C3%A9or%C3%A8me[...]

Présentation

• Objectif
• Pré-Requis
• Remerciements

Rappels sur les IDS

• Rappel sur les IDS
  • Les IDS
  • Les HIDS
  • Les mécanismes des HIDS

Les mécanismes

• Les mécanismes des HIDS
  • Surveillance des logs
  • Contrôle d'intégrité des fichiers
  • Détection des rootkits
  • Détection de comportement douteux
• Point de vue pratique
  • Les syscalls par la pratique
  • Etude de syscalls par analyse graphique

Conclusion et références

• Conclusion
• Références
• Contact