Agence nationale de la sécurité des systèmes d’information

Agence nationale de la sécurité des systèmes d’information

Agence nationale de la sécurité des systèmes d’information

Vous êtes ici : Accueil  >  Produits & prestataires  >  Produits CSPN  >  Bro v1.4

Produit certifié au titre de la CSPN

2009/06

21/12/2009

Produit certifié au titre de la CSPN

Rapport de certification - fr Rapport de certification

Cible de sécurité - fr Cible de sécurité

Bro v1.4

Référentiel : Critères pour l'évaluation de sécurité de premier niveau des technologies de l'information, phase expérimentale, version 1.4

Descriptif du produit :

Le produit certifié est Bro v1.4, développé par le Lawrence Berkeley National Laboratory University of California, Berkeley USA .

Bro est un système de détection d'intrusion réseau ("Network Intrusion Detection System") open source, disponible pour les systèmes d'exploitation de type Unix (dont Linux, FreeBSD et OpenBSD), qui analyse le trafic réseau à la recherche de toute activité suspecte (caractéristique d'une attaque ou d'une violation de la politique de sécurité en vigueur sur le réseau surveillé). L'analyse se fait de manière passive : dans sa configuration par défaut, Bro n'altère pas les paquets réseaux qu'il traite.

Bro détecte les intrusions en trois étapes :
- la première consiste à capter le trafic réseau et à décoder les différentes couches protocolaires (de manière à en extraire la sémantique applicative). Cette étape fournit des événements de « haut niveau » qui pourront par la suite être analysés ;
- la seconde (réalisée au cours du déroulement de la première étape) consiste à vérifier la présence de motifs, qui constituent des signatures d'attaques, dans la charge des paquets IP (ou du flux TCP si le ré-assemblement de flux TCP est activé) ou de certains champs des protocoles applicatifs (par exemple, HTTP dans la version évaluée du produit). Des événements sont générés en cas de concordance ;
- la troisième étape consiste à analyser les événements générés lors des deux étapes précédentes par des scripts d'analyse. Cette analyse permet à la fois la détection d'attaques connues au préalable (qui sont décrites en termes de signatures ou d'événements) et d'anomalies (par exemple, la présence de connexions de certains utilisateurs vers certains services ou l'occurrence de tentatives de connexions infructueuses).

Le produit comprend une base de signatures minimaliste. Cette base de signatures, qui n'est plus maintenue et date d'octobre 2003, provient de l'adaptation de la conversion d'une base de signatures fournie avec le produit Snort. Cependant cette base n'est proposée qu'à titre d'exemple. La rédaction des règles est donc laissée à la charge de l'administrateur de Bro.

[En savoir plus]

Développeur(s) / Commanditaire(s) :

Lawrence Berkeley National Laboratory University of California, Berkeley USA / ANSSI

Centre d'évaluation :

AMOSSYS

RÉPUBLIQUE FRANÇAISE | ANSSI © 2010 | Contact | Informations éditeur | Aide et accessibilité | Presse | Plan
Secrétariat général de la défense et de la sécurité nationale Portail de la sécurité informatique Portail du gouvernement Legifrance Service public