Nous entendons par ce terme (i) la gestion des attaques et la réponse à y apporter ainsi que (ii) la gestion des intrusions (attaques réussies) et la réponse à y apporter. Les utilitaires qui permettent d'avoir un comportement réactif appartiennent à la classe des logiciels de détection d'intrusions réseau. L'idée de base est qu'il est possible de détecter une instrusion et de réagir... mais bien avant cela, il faut admettre, au-delà de tout caractère émotionnel, que si une attaque se prépare ou a eu lieu, le système est ou était insécurisé. Or, il faut réaliser impérativement qu'il est stupide d'installer des systèmes anti-intrusion tant que les plus élémentaires mesures de sécurité ne sont même pas mises en oeuvre. Par conséquent, il faut absolument appliquer les mesures discutées précédemment avant de penser aux contrôles anti-intrusion.
Pour se faire une image du contrôle d'intrusion la plus élémentaire, considérons les élements suivants. Pour pirater un système, il est nécessaire de déterminer les ports actifs. A cette fin, le pirate essaie de se connecter à chaque port pour déterminer ceux qui sont ouverts. C'est la technique de balayage de ports (ou ports scan en anglais). Il existe des outils très simples pour détecter un balayage des ports, à commencer par une règle de pare-feu qui refuse à l'attaquant tout accès ultérieur. Notez que ceci peut se retourner contre vous si l'attaquant a réussi à usurper votre adresse IP (IP address spoofing ou usurpation d'adresse IP). Cependant, ce qui est important, c'est que les outils de détection de balayage de ports rapportent les adresses IP qui servent à préparer l'attaque. Donc, une requête inverse vous donnera le nom de domaine et une requête whois sur le site d'enregistrement DNS authoritaire adéquat vous révèlera l'adresse physique et le numéro de téléphone du serveur du domaine.
Le contrôle de balayage de ports est la forme la plus élémentaire de surveillance et de réactivité que vous puissiez mettre en oeuvre. A partir d'ici, vous trouverez toute sorte d'outils plus ou moins curieux ou astucieux qui vous rapporteront l'activité du réseau et des processus. Nous vous laissons à votre propre recherche sur ce point, quoique vous pourriez commencer avec Snort traffic scanner http://www.snort.org, le Tripwire intrusion detection system http://www.tripwiresecurity.com et IDSA http://jade.cs.uct.ac.za/idsa.
La surveillance des ports est bien sûr un élément dissuasif pour les pirates. Un réseau devrait être capable de trouver l'origine des attaques et traquer à leur tour les attaquants. La menace d'être découvert fait du piratage un passe-temps bien moins attirant. Il ne vous reste plus alors qu'à connaître les recours légaux que vous pouvez engager à l'endroit de ceux qui tentent de compromettre votre système.