Produits certifiés CSPN




Bro v1.4

  • Référence :
    2009/06
  • Date :
    21/12/2009
  • Catégorie : Détection d'intrusions
  • Référentiel : Critères pour l'évaluation de sécurité de premier niveau des technologies de l'information, phase expérimentale, version 1.4
  • Développeur(s) / Commanditaire(s) : Lawrence Berkeley National Laboratory University of California, Berkeley USA / ANSSI
  • Centre d'évaluation : AMOSSYS

Descriptif du produit

Le produit certifié est Bro v1.4, développé par le Lawrence Berkeley National Laboratory University of California, Berkeley USA .

Bro est un système de détection d'intrusion réseau (« Network Intrusion Detection System ») open source, disponible pour les systèmes d'exploitation de type Unix (dont Linux, FreeBSD et OpenBSD), qui analyse le trafic réseau à la recherche de toute activité suspecte (caractéristique d'une attaque ou d'une violation de la politique de sécurité en vigueur sur le réseau surveillé). L'analyse se fait de manière passive : dans sa configuration par défaut, Bro n'altère pas les paquets réseaux qu'il traite.

Bro détecte les intrusions en trois étapes :

  • la première consiste à capter le trafic réseau et à décoder les différentes couches protocolaires (de manière à en extraire la sémantique applicative). Cette étape fournit des événements de « haut niveau » qui pourront par la suite être analysés ;
  • la seconde (réalisée au cours du déroulement de la première étape) consiste à vérifier la présence de motifs, qui constituent des signatures d'attaques, dans la charge des paquets IP (ou du flux TCP si le ré-assemblement de flux TCP est activé) ou de certains champs des protocoles applicatifs (par exemple, HTTP dans la version évaluée du produit). Des événements sont générés en cas de concordance ;
  • la troisième étape consiste à analyser les événements générés lors des deux étapes précédentes par des scripts d'analyse. Cette analyse permet à la fois la détection d'attaques connues au préalable (qui sont décrites en termes de signatures ou d'événements) et d'anomalies (par exemple, la présence de connexions de certains utilisateurs vers certains services ou l'occurrence de tentatives de connexions infructueuses).

Le produit comprend une base de signatures minimaliste. Cette base de signatures, qui n'est plus maintenue et date d'octobre 2003, provient de l'adaptation de la conversion d'une base de signatures fournie avec le produit Snort. Cependant cette base n'est proposée qu'à titre d'exemple. La rédaction des règles est donc laissée à la charge de l'administrateur de Bro.