Les outils de détection d'intrusions provenant du réseau scrutent le trafic sur un segment de réseau et utilisent cette information comme source de données. Spécifiquement, les paquets du réseau sont examinés et ils sont vérifiés pour voir s'ils correspondent à une certaine signature.

snort est un renifleur flexible de paquets ou un journaliseur qui détecte les attaques selon un dictionnaire de signatures d'attaque. Il détecte diverses attaques et sondes, comme des débordements de capacité, des scans dissimulés de ports, des attaques CGI, des sondes SMB, etc. snort dispose également d'une capacité d'alerte en temps réel. Vous pouvez utiliser snort pour un certain nombre d'hôtes du réseau ainsi que pour l'hôte local. Cet outil peut être installé sur n'importe quel routeur pour garder un œil sur le réseau. Installez-le simplement avec apt-get install snort, suivez les questions et surveillez ses journaux. Pour une infrastructure de sécurité un peu plus large, regardez http://www.prelude-ids.org.

Le paquet snort de Debian est installé avec de nombreuses vérifications de sécurité activées par défaut. Toutefois, vous devriez prendre le temps de personnaliser l'installation pour prendre en compte les services utilisés sur le système. Vous pourriez rechercher des vérifications supplémentaires spécifiques à ces services.

D'autres outils plus simples peuvent être utilisés pour détecter les attaques réseaux. portsentry est un paquet intéressant pour informer lorsqu'un scan du réseau est effectué sur site. D'autres outils comme ippl ou iplogger permettent de détecter certaines attaques IP (TCP et ICMP), même s'ils ne fournissent pas de techniques avancées pour détecter les attaques réseaux (comme le ferait snort).

Vous pouvez essayer chacun de ces outils avec le paquet Debian idswakeup, un générateur de fausses alertes et qui inclut un grand nombre de signature d'attaques communes.

La détection d'intrusion fondée sur l'hôte implique d'activer, sur le système à étudier, un logiciel qui utilise les journaux ou les programmes d'audit du système comme source de données. Il scrute les processus suspects, scrute les accès d'hôtes et peut même scruter les changements aux fichiers critiques du système.

tiger est un ancien outil de détection d'intrusion qui a été porté sous Debian depuis la distribution Woody. tiger fournit un ensemble de vérifications de problèmes communs liés aux failles de sécurité, il vérifie la robustesse des mots de passe, les problèmes de système de fichiers, les processus de communications et d'autres façons de compromettre le compte du superutilisateur. Ce paquet contient de nouvelles vérifications de sécurité spécifiques à Debian, y compris les vérifications de sommes de contrôle MD5 des fichiers installés, les emplacements de fichiers n'appartenant pas aux paquets et l'analyse des processus locaux à l'écoute. L'installation par défaut configure tiger pour être exécuté quotidiennement, en générant un compte-rendu envoyé au superutilisateur à propos des compromissions possibles du système.

Des outils d'analyse de journaux comme logcheck peuvent également être utilisés pour détecter des tentatives d'intrusions. Consultez Section 4.13.1, « Utiliser et personnaliser logcheck ».

De plus, des paquets scrutant l'intégrité du système de fichiers (consultez Section 4.17.3, « Vérifier l'intégrité des systèmes de fichiers ») peuvent être utiles dans la détection d'anomalies dans un environnement sécurisé. Une intrusion effective modifiera probablement certains fichiers du système de fichiers local pour court-circuiter les règles de sécurité locales, installer un cheval de Troie ou créer des utilisateurs. De tels événements peuvent être détectés avec les vérificateurs d'intégrité du système de fichiers.