Disponibilité
Tous les outils de cette page sont disponibles au même endroit : ftp CERT.
--------------------------------------------------------------------------------
Logcheck (1.1)
Cet outil se contente de faire une série de Grep sur les logs syslog à partir de fichiers de bizarrerie. Par exemple LOGIN FAILURE.
A cette fin, il est nécessaire d'avoir un fichier syslog.conf adapté qui renvoie TOUS les messages vers UN fichier à faire analyser par Logcheck.
C'est le plus sommaire par son fonctionnement et par conséquent pour la détection d'attaques. Son intérêt est donc limité en ce qui concerne les attaques de type scanning, vol de session, et refus de service.
Pour plus de renseignements : Logcheck
--------------------------------------------------------------------------------
Logsurfer (1.41)
C'est le plus difficile à mettre en oeuvre, car il convient de lui fournir un fichier de configuration adapté.
Mais, par conséquent, il peut être utilisé pour n'importe quel type de Log, puisque c'est à nous -à l'aide d'expression régulière similaires à egrep (GNU regex-0.12 library)- de lui indiquer ce qu'il doit ou ne doit pas rapporter.
Il est donc possible de réaliser des choses assez élaborée grâce à lui, notamment mettre de côté toutes les lignes correspondant à une expression si une autre est apercue, et détruire ces lignes si une autre expression apparait. Par exemple si on repère un paquet ACC (troisième paquet de la connection TCP), on garde tous les paquets concernant cette connection jusqu'au paquet CLO. S'il n'arrive pas (TIM ou RST), on affiche les lignes sauvegardées (appelées contexte).
On peut créer et detruire des règles suivant l'éxecution.
Dans le cas d'une utilisation simple, il est préférable d'employer un script Perl qui sera beaucoup plus rapide à travail égal, et dont le fonctionnement sera plus maîtrisable, en l'absence d'intermédiaire. De plus, le traitement des informations recueillies est plus aisé également.
Concernant son utilisation plus détaillée, voir : Utilisation de Logsurfer
Voir aussi : Logsurfer
--------------------------------------------------------------------------------
Netlog (1.2)
Il permet de "loguer" les connections TCP et UDP, et de faire ensuite le ménage à partir des adresses et ports sources et destinations, de l'heure et de la date. Il nous faut donc fournir une sorte d'access-list de ce qui est autorisé, et il nous fournit tout ce qui n'y est pas.
Il contient aussi un outil (netwatch ou etherscan) capable de détecter un traffic inhabituel, comme un nombre important de tentatives de connection, avec les drivers suivants : telnet, rlogin, rsh, ftp et smtp.
Il ne semble donc pas apporter suffisamment d'informations complémentaires a celles que nous obtenons déjà, les seules détections ont l'air assez figées -on ne peut guère les personnaliser-, et les seules évolutions sont celles que fournissent les créateurs.
Pour plus de renseignements : Netlog
Mar 12 Fév - 11:07