HIDS/HIPS

Un HIDS est un système de détection d’intrusion sur un serveur. Pour les puristes, il existe des IDS et des IPS (respectivement Intrusion Detection Systems et des Intrusion Prevention Systems). La différence ? L’un détecte uniquement et l’autre empêche (théoriquement) ces intrusions.

Pourquoi utiliser un HIDS ?

Parce que des zozos vont s’amuser sans relâche à tenter de trouver le mot de passe de vos utilisateurs ou de faire l’inventaire des dossiers et répertoires contenant vos sites web pour en connaître le contenu afin l’exploiter ou d’exploiter les failles du code PHP ou ASP (au autre) de vos pages web dynamiques.

Lequel utiliser ?

Côté systèmes Linux, l’IDS le plus courant est Snort. J’avoue l’avoir testé, et force est de reconnaître qu’il est un peu touffu et complexe, même s’il est très complet et que la communauté d’utilisateurs est réactive. En outre, je n’ai pas trouvé comment l’utiliser en IPS, mais je me repencherai sur la question un peu plus tard.

Je vous recommande fortement Ossec, qui est à la fois très léger et très simple à utiliser. Il suffit de connaître quelques infos de base pour l’installation (qui est automatique), et il n’est ensuite quasiment plus nécessaire d’y toucher, sauf pour le mettre à jour. Et en plus il dispose d’une fonctionnalité active response qui le rend quasiment IPS : il peut bloquer des IP trop entreprenantes ou ce genre de chose ; ceci peut d’ailleurs être paramétré par l’utilisateur, qui peut écrire ses propres scripts lancés en réponse à ce qui a été détecté comme une attaque.

Site officiel de téléchargement : http://ossec.net

Comment installer OSSEC ?

La procédure est décrite sur la page ossec.

Synology SRM Threat Prevention

Voir https://www.cachem.fr/synology-srm-1-2-threat-prevention/