La spin-off de Cabletron, Enterasys, lance la version 5.1 de son IDS (outil de détection des intrusions), Dragon Sensor, issu du rachat de Network Security Wizard. Dragon est le nom d’une famille de produits de sécurité qui se compose de Dragon Sensor (le moteur de capture et/ou d’analyse), de Dragon Policy Manager (gestion des règles), d’Event Flow Process (analyse) et de Dragon Squire (IDS hôte).
Faire face à de larges volumes
Des utilitaires complètent la panoplie, tels ECT, pour la corrélation des événements, ou un script de conversion de signatures Snort en signatures pour Dragon.Dragon Sensor est un IDS orienté réseau qui s’installe non seulement sous Linux (noyau 2.4), mais aussi sous la plupart des Unix (Sun Solaris, HP-UX, FreeBSD, OpenBSD, etc.). La version 5.1 marque une évolution dans plusieurs domaines, dont celui de l’ergonomie, qui était faible au dire même de ses partisans. Cette dernière intègre plus facilement les gestion et corrélation des alertes. Mais la facilité n’est pas systématiquement liée au système d’exploitation sous-jacent.Le journal Network Computing s’est ainsi associé à une université américaine en vue tester dix IDS réseaux sur un campus de dix mille n?”uds. Résultat : les produits Unix étaient jugés plus simples d’utilisation que ceux sous Windows.Les performances ont également été améliorées. Enterasys estime pouvoir tolérer une charge de 500 Mbit/s. Voila qui traduit la tendance de 2001 vers une meilleure maîtrise de la montée en charge. Cette évolution est due à un nouvel algorithme de pattern matching, Dragon Sight, et à l’usage du moteur de capture Turbo Packet, de Linux.Outre la montée en charge, Dragon Sensor apporte des améliorations dans la détection des buffers overflow polymorphiques. Les dépassements de mémoire tampon restent un problème en dépit des rustines logicielles. Du côté de l’administration, la version 5.1 intègre une GUI sous Windows pour l’analyse des événements et un nouveau format de sa base de données (dragon.db). L’objectif est de faire face à de larges volumes tout en tirant parti de l’indexation.Les fonctions déjà connues de Dragon sont aussi présentes. Ainsi, les descriptions de signature sont conformes à CVE (Common vulnerabilities and exposure). Dragon offre en outre l’intérêt de récupérer les informations de Nessus, l’outil d’évaluation des vulnérabilités de Renaud Deraison. Ajoutons la possibilité de rejouer les attaques. La version matérielle comprend un rack 1 U, doté d’un bi-Pentium III à 1 GHz avec 512 Mo de RAM. Livré dans le passé sous FreeBSD 4.x, Dragon a été porté sur le noyau 2.4 de Linux. Le prix : 30 000 dollars en version boîtier et 18 000 dollars en version logicielle.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
