InterSect Alliance offre son système Snare (System iNtrusion Analysis and Reporting Environment) à la communauté Linux. Fonctionnant en tant que module dynamique du noyau, il permet, à la manière du journal d’événement de NT, de contrôler par l’intermédiaire d’une console graphique tous les appels système sur lesquels l’administrateur a décidé de porter son attention. Certes moins complet, mais plus simple d’emploi que Syslog, il contribue à faire accepter Linux comme système sécurisé par les organismes imposant un haut niveau de fiabilité à l’image de la norme C2.
Des difficultés d’installation sur un système biprocesseur
Nous avons installé Snare sur une distribution Red Hat 7.2 pour laquelle l’éditeur propose les packages RPM (Red Hat Package Manager) précompilés et prêts à l’emploi. Sur d’autres distributions, la solution consiste à recompiler les sources au moyen du compilateur GCC et des outils d’autoconfiguration standards. Curieusement, InterSect Alliance n’a pas prévu que son système pouvait être utilisé sur des serveurs multiprocesseurs.En effet, sur le serveur bi-Pentium Dell utilisé pour ces tests, le noyau Linux standard Red Hat fonctionne en mode SMP (Symmetric MultiProcessor) et cohabite avec la version monoprocesseur. Lors de l’installation, les différents fichiers et modules se mélangent entre ces deux noyaux pour finalement signaler une erreur au lancement de l’application. Pour tester ce logiciel, nous avons dû nous résoudre à démarrer en mode UP (UniProcessor), tout s’est alors déroulé normalement.La recompilation à partir des sources n’aurait probablement pas posé ce problème. Installés sous forme de modules dynamiques, le démarrage et l’interruption du service se font sans que l’on soit obligé de redémarrer la machine. L’accès au panneau de contrôle depuis le bureau Gnome autorise le paramétrage facile des alertes et des parties du système à surveiller. Dans la pratique, Snare permet de surveiller efficacement l’activité des utilisateurs du système, telles les applications lancées ou les actions sur le système de fichiers. Son action se borne toutefois à tracer les événements des utilisateurs ayant réussi à se connecter au système.Les appels système suivis sont limités à une trentaine. Le logiciel fait nettement moins bien que la commande Strace, de Debian, qui, lancée manuellement à la demande d’un utilisateur, affiche absolument tous les appels système pour une commande spécifique. Cependant, Strace ne peut pas être utilisée pour surveiller l’activité du système comme le fait Snare. On regrette également que ce dernier ne permette pas de surveiller l’activité réseau du système comme le ferait Snort.org ou Ethereal.com. Véritable analyseur de réseau, ce dernier décortique les trames IP protocole par protocole et émet des alertes lorsque des comportements suspects sont détectés. Enfin, notons que l’accès à ces informations est prévu pour une consultation réseau, mais que cette fonction n’est pas encore implémentée dans la version 8 de Snare testée.
Snare reste mal adapté au mode client-serveur
Snare est bien adapté à l’analyse du comportement des utilisateurs possédant un compte sur un système, mais Ethereal est plus approprié pour la surveillance en mode client-serveur. L’idéal serait bien sûr d’avoir un seul outil pour ces deux types d’utilisation, qui sont vitaux pour contrôler l’ensemble d’un système. Quoi qu’il en soit, InterSect Alliance déclare avoir développé ce logiciel rapidement, en trois mois, afin que les développeurs puissent contribuer à le faire évoluer à partir d’une base.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.