CNAM Cours IDS PDF

Les systmes de dtection dintrusion rseau
Claude Duvallet
Universit du Havre
UFR Sciences et Techniques
Courriel : Claude.Duvallet@gmail.com
Claude Duvallet 1/42
Introduction et contexte
Les diffrents types dIDS
Les mthodes de dtection
Principes gnraux et dploiement
Plan de la prsentation
Introduction
Historique
Introduction
Dtection dattaques : afin de dtecter les attaques que peut
subir un systme, il est ncessaire de disposer dun logiciel
spcialis dont le rle sera de surveiller les donnes qui
transistent sur ce systme et et qui serait capable de ragir si des
donnes semblent suspectes.
Les logiciels qui sont les plus mme deffectuer cette tche sont
les systmes de dtection dintrusion : les IDS.
Dfinition Un systme de dtection dintrusion (ou IDS : Intrusion Detection
System) est un mcanisme destin reprer des activits
anormales ou suspectes sur la cible analyse (un rseau ou un
hte). Il permet ainsi davoir une action de prvention sur les
risques dintrusion. (source : wikipdia).
Introduction
Historique
Historique
Les premiers systmes de dtection dinstrusions ont t initis

par larme amricaine puis par des entreprises.
Plus tard, des projets open-source ont t lancs comme Snort
ou Prelude.
Des produits commerciaux ont aussi vu le jour par le biais
dentreprises spcialises en scurit informatique : Internet
Security Systems, *symantec, Cisco Systems, ...
Les systmes de dtection dintrusions

Les systmes de prvention dintrusions
Les pare-feux

cause de la diversit des attaques que mettent en uvre les pirates,
la dtection dinstrusion doit se faire plusieurs niveaux.
Il existe donc diffrents types dIDS :
Les systmes de dtection dintrusions (IDS)
Les systmes de dtection dintrusions "rseaux" (NIDS)
Les systmes de dtection dintrusions de type hte (HIDS)
Les systmes de dtection dintrusions hybrides
Les systmes de prvention dintrusions (IPS)
Les systmes de prvention dintrusions "noyau" (KIDS/KIPS)
Les pare-feux

Les pare-feux
Les systmes de dtection dintrusions (IDS)

Dfinition : ensemble de composants logiciels et matriels dont la
fonction principale est de dtecter et danalyser toute tentative
deffaction (volontaire ou non).
Fonctions de dtection :
des techniques de sondage (balayage de ports, fingerprinting),
des tentatives de compromission de systmes,
dactivits suspectes internes,
des activits virales,
ou encore des audits de fichiers journaux (logs).
Deux notions fondamentales :

Faux positifs : une alerte provenant dun IDS ais qui ne
correspond pas une attaque relle.
Faux ngatifs : une intrusion relle qui na pas t dtecte.

Les pare-feux
Les systmes de dtection dintrusions "rseaux" (NIDS)
Objectif : analyser de manire passive les flux en transit sur le

rseau et dtecter les intrusions en temps rel.
Un NIDS coute donc tout le trafic rseau, puis lanalyse et
gnre des alertes si des paquets semblent dangereux.
Les NIDS sont les IDS plus intressants et les plus utiles du fait
de lomniprsence des rseaux dans notre vie quotidienne.

Les pare-feux
Les systmes de dtection dintrusions de type hte (HIDS)

Un HIDS se base sur une unique machine, nanalysant cette fois
plus le trafic rseau mais lactivit se passant sur cette machine.
Il analyse en temps rel les flux relatifs une machine ainsi que
les journaux.
Un HIDS a besoin dun systme sain pour vrifier lintgrit des
donns.
Si le systme a t compromis par un pirate, le HIDS ne sera
plus efficace.
Pour parer ces attaques, il existe des KIDS (Kernel Intrusion
Detection System) et KIPS (Kernel Intrusion Prevention System)
qui sont fortement lis au noyau.

Les pare-feux
Les systmes de dtection dintrusions "hybrides"

Gnralement utiliss dans un environnement dcentralis, ils
permettent de runir les informations de diverses sondes places
sur le rseau.
Leur appellation hybride provient du fait quils sont capables
de runir aussi bien des informations provenant dun systme
HIDS quun NIDS.
Lexemple le plus connu dans le monde Open-Source est
Prelude.
Ce framework permet de stocker dans une base de donnes des
alertes provenant de diffrents systmes relativement varis.
Utilisant Snort comme NIDS, et dautres logiciels tels que
Samhain en tant que HIDS, il permet de combiner des outils
puissants tous ensemble pour permettre une visualisation
centralise des attaques.

Les pare-feux
Les systmes de prvention dintrusions (IPS)

Dfinition : ensemble de composants logiciels et matriels dont la
fonction principale est dempcher toute activit suspecte
dtecte au sein dun systme.
Les IPS sont des outils aux fonctions actives , qui en plus de
dtecter une intrusion, tentent de la bloquer.
Les IPS ne sont pas la solution parfaite.
Plusieurs stratgies de prvention dintrusions existent :
host-based memory and process protection : surveille
lexcution des processus et les tue sils ont lair dangereux (buffer
overflow). Cette technologie est utilise dans les KIPS (Kernel
Intrusion Prevention System).
session interception / session sniping : termine une session
TCP avec la commande TCP Reset : RST . Ceci est utilis
dans les NIPS.
gateway intrusion detection : si un systme NIPS est plac en
tant que routeur, il bloque le trafic ; sinon il envoie des messages
dautres routeurs pour modifier leur liste daccs.

Les pare-feux
Les inconvnients des IPS (1/2)

Un IPS possde de nombreux inconvnients :
Le premier est quil bloque toute activit qui lui semble suspecte.
Or, il est impossible dassurer une fiabilit 100% dans
lidentification des attaques.
Un IPS peut donc malencontreusement bloquer du trafic
inoffensif !
Exemple : un IPS peut dtecter une tentative de dni de service
alors quil sagit dune priode charge en trafic.
Les faux positifs sont donc trs dangereux pour les IPS.
Le deuxime inconvnient est quun pirate peut utiliser sa

fonctionnalit de blocage pour mettre hors service un systme.
Prenons lexemple dun individu mal intentionn qui attaque un
systme protg par un IPS, tout en spoofant son adresse IP. Si
ladresse IP spoofe est celle dun nud important du rseau, les
consquences seront catastrophiques.
Pour palier ce problme, de nombreux IPS disposent des white
lists , c--d des listes dadresses rseaux quil ne faut en aucun
cas bloquer.

Les pare-feux
Les inconvnients des IPS (2/2)
Et enfin, le troisime inconvnient et non le moindre : un IPS est

peu discret.
En effet, chaque blocage dattaque, il montre sa prsence.
Cela peut paratre anodin, mais si un pirate remarque la prsence
dun IPS, il tentera de trouver une faille dans celui-ci afin de
rintgrer son attaque... mais cette fois en passant inaperu.
Voil pourquoi les IDS passifs sont souvent prfrs aux IPS.
Cependant, il est intressant de noter que plusieurs IDS (Ex :
Snort, RealSecure, Dragon, ...) ont t dots dune fonctionnalit
de raction automatique certains types dattaques.

Les pare-feux
Les IPS "noyau" (KIDS/KIPS) (1/2)

Dans le cadre du HIDS, lutilisation dun dtecteur dintrusions au
niveau noyau peut savrer parfois ncessaire pour scuriser une
station.
Exemple dun serveur web : il serait dangereux quun accs en
lecture/criture dans dautres rpertoires que celui consultable
via http, soit autoris. Cela pourrait nuire lintgrit du systme.
Grce un KIPS, tout accs suspect peut tre bloqu
directement par le noyau, empchant ainsi toute modification
dangereuse pour le systme.
Le KIPS peut reconnatre des motifs caractristiques du
dbordement de mmoire, et peut ainsi interdire lexcution du
code.

Les pare-feux
Les IPS "noyau" (KIDS/KIPS) (2/2)
Kernel Intrusion Detection Systems/Kernel Intrusion Prevention

Systems
Le KIPS peut galement interdire lOS dexcuter un appel
systme qui ouvrirait un shell de commandes.
Puisquun KIPS analyse les appels systmes, il ralentit
lexcution.
Cest pourquoi ce sont des solutions rarement utilises sur des
serveurs souvent sollicits.
Exemple de KIPS : SecureIIS, qui est une surcouche du serveur
IIS de Microsoft.

Les pare-feux
Les pare-feux
Les pare-feux ne sont pas des IDS proprement parler mais ils
permettent galement de stopper des attaques.
Les pare-feux sont bass sur des rgles statiques afin de
contrler laccs des flux.
Ils travaillent en gnral au niveau des couches basses du
modle OSI (jusquau niveau 4), ce qui est insuffisant pour
stopper une intrusion.
Par exemple, lors de lexploitation dune faille dun serveur Web,
le flux HTTP sera autoris par le pare-feu puisquil nest pas
capable de vrifier ce que contiennent les paquets.

Les pare-feux
Les diffrents types de pare-feux

Il existe trois types de pare-feux :
Les systmes filtrage de paquets sans tat : analyse les
paquets les uns aprs les autres, de manire totalement
indpendante.
Les systmes maintien dtat (stateful) : vrifient que les
paquets appartiennent une session rgulire.
Ce type de pare-feu possde une table dtats o est stock un
suivi de chaque connexion tablie, ce qui permet au pare-feu de
prendre des dcisions adaptes la situation.
Ces pare-feux peuvent cependant tre outrepasss en faisant
croire que les paquets appartiennent une session dj tablie.
Les pare-feux de type proxy : Le pare-feu sintercale dans la

session et analyse linformation afin de vrifier que les changes
protocolaires sont conformes aux normes.
Lapproche par scnario

Lapproche comportementale
Les mthodes rpandues
Les mthodes de dtections

Comprendre les systmes de dtection dintrusionsn ncessite
de se poser les questions :
Comment une intrusion estelle dtecte par un tel systme ?
Quel critre diffrencie un flux contenant une attaque dun flux
normal ?
partir de ces questions, nous pouvons tudier le

fonctionnement interne dun IDS.
Deux techniques principales sont mises en place dans la
dtection dattaques :
La premire consiste dtecter des signatures dattaques
connues dans les paquets circulant sur le rseau.
La seconde, consiste quant elle, dtecter une activit
suspecte dans le comportement de lutilisateur.
= Ces deux techniques, aussi diffrentes soient-elles, peuvent tre

combines au sein dun mme systme afin daccrotre la
scurit.

Cette technique sappuie sur la connaissance des techniques

utilises par les attaquants pour dduire des scnarios typiques.
Elle ne tient pas compte des actions passes de lutilisateur et
utilise des signatures dattaques
ensemble de caractristiques permettant didentifier une activit
intrusive :
une chane alphanumrique,
une taille de paquet inhabituelle,
une trame formate de manire suspecte, ...

Recherche de motifs (pattern matching)

La mthode la plus connue et la plus facile comprendre.
Elle se base sur la recherche de motifs (chanes de caractres ou
suite doctets) au sein du flux de donnes.
LIDS comporte une base de signatures o chaque signature
contient les protocole et port utiliss par lattaque ainsi que le
motif qui permettra de reconnatre les paquets suspects.
Le principal inconvnient de cette mthode est que seules les
attaques reconnues par les signatures seront dtectes.
Il est donc ncessaire de mettre jour rgulirement le base de
signatures.
Un autre inconvnient est que les motifs sont en gnral fixes.

Or, une attaque nest pas toujours identique 100%.
Le moindre octet diffrent par rapport la signature provoquera la
non dtection de lattaque.
Pour les IDS utilisant cette mthode, il est ncessaire dadapter la

base de signatures en fonction du systme protger.

Recherche de motifs dynamiques
Le principe de cette mthode est le mme que prcdemment

mais les signatures des attaques voluent dynamiquement.
LIDS est de ce fait dot de fonctionnalits dadaptation et
dapprentissage.

Analyse de protocoles
Cette mthode se base sur une vrification de la conformit (par
rapport aux RFC) des flux, ainsi que sur lobservation des
champs et paramtres suspects dans les paquets.
Cependant, les diteurs de logiciels et les constructeurs
respectent rarement la lettre les RFC et cette mthode nest
pas toujours trs performante.
Lanalyse protocolaire est souvent implmente par un ensemble
de prprocesseurs, o chaque prprocesseur est charg
danalyser un protocole particulier (FTP, HTTP, ICMP, ...).
Du fait de la prsence de tous ces prprocesseurs, les
performances dans un tel systme sen voient fortement
dgrades.
Lintrt fort de lanalyse protocolaire est quelle permet de
dtecter des attaques inconnues, contrairement au pattern
matching qui doit connatre lattaque pour pouvoir la dtecter.

Analyse heuristique et dtection danomalies
Le but de cette mthode est, par une analyse intelligente, de

dtecter une activit suspecte ou toute autre anomalie.
Par exemple : une analyse heuristique permet de gnrer une
alarme quand le nombre de sessions destination dun port
donn dpasse un seuil dans un intervalle de temps prdfini.

Cette technique consiste dtecter une intrusion en fonction du
comportement pass de lutilisateur.
Pour cela, il faut pralablement dresser un profil utilisateur
partir de ses habitudes et dclencher une alerte lorsque des
vnements hors profil se produisent.
Cette technique peut tre applique non seulement des
utilisateurs mais aussi des applications et services.
Plusieurs mtriques sont possibles : la charge CPU, le volume de
donnes changes, le temps de connexion sur des ressources,
la rpartition statistique des protocoles et applications utiliss, les
heures de connexion, ...

Inconvnients de lapproche comportementale

peu fiable : tout changement dans les habitudes de lutilisateur
provoque une alerte.
ncessite une priode de non fonctionnement pour mettre en
uvre les mcanismes dauto-apprentissage :
si un pirate attaque pendant ce moment, ses actions seront
assimiles un profil utilisateur, et donc passeront inaperues
lorsque le systme de dtection sera compltement mis en place.
ltablissement du profil doit tre souple afin quil ny ait pas trop
de fausses alertes :
le pirate peut discrtement intervenir pour modifier le profil de
lutilisateur afin dobtenir aprs plusieurs jours ou semaines, un
profil qui lui permettra de mettre en place son attaque sans quelle
ne soit dtecte.

Diffrentes mthodes dans lapproche comportementale

Approche probabiliste :
Des probabilits sont tablies permettant de reprsenter une
utilisation courante dune application ou dun protocole.
Toute activit ne respectant pas le modle probabiliste provoquera
la gnration dune alerte.
Exemple : Avec le protocole HTTP, il y a une probabilit de 0.9
quune commande GET soit faite aprs une connexion sur le port
80. Il y a ensuite une probabilit de 0.8 que la rponse cette
commande GET soit HTTP/1.1 200 OK .
Approche statistique :
Le but est de quantifier les paramtres lis lutilisateur : taux
doccupation de la mmoire, utilisation des processeurs, valeur de
la charge rseau, nombre daccs lIntranet par jour, vitesse de
frappe au clavier, sites les plus visits, ...
Elle nest actuellement prsente que dans le domaine de la
recherche, o les chercheurs utilisent des rseaux neuronaux et la
fouille de donnes pour tenter davoir des rsultats convaincants.


Les IDS mlangent gnralement les diffrents mthodes de dtection
dintrusions.
Pattern Matching
algorithmes de recherche de motifs
algorithmes de comptage
algorithmes gntiques
Analyse Protocolaire
conformit aux RFC
Dtection danomalies mthodes heuristiques
Analyse statistique
modles statistiques
Analyse probabiliste
rseaux baysiens
Autres mthodes
rseaux de neurones
systmes experts
fouille de donnes
immunologie
graphes
Dploiement dun NIDS

Principe de prcaution
Un NIDS nest pas suffisant pour assurer la scurit.

Il faut aussi effectuer les actions habituelles :
les systmes et applications doivent tre mises jour
rgulirement (mises jour de scurit).
les systmes utilisant internet doivent tre dans un rseau isol
(DMZ).
chaque utilisateur doit tre averti de importance de la scurit de
ses mots de passe.
les services qui ne sont pas utiliss doivent tre dsactivs.
Le dploiement dun IDS doit tenir compte du systme

dexploitation et les rgles doivent tre correctement configures
par rapport celui-ci.
Lemplacement des sondes est trs important : i.e. lendroit o
lon capture le traffic rseau.
Il faut penser scuriser les sondes et les logs dalerte.
Dploiement dun NIDS

Il faut configurer correctement lIDS pour quil ninonde pas les

rapport dalertes avec des faux positifs.
ils peuvent rendre les rapports dalertes long analyser.
les administrateurs passeront beaucoup de temps distinguer les
faux positifs des vritables intrusions.
Il faut aussi veiller ce que lIDS ne gnre pas de faux ngatifs.

Les dbits actuels des rseaux augementent de plus en plus et
donc les IDS ont de plus en plus de paquets traiter et
analyser.
Dploiement dun NIDS

Les tapes de fonctionnement dun IDS

1
capture de la trame par linterface en mode promiscuit

(promiscous mode).
analyse de la trame et filtrage ventuel en bas niveau.
dtection de la prsence de fragments ou non et passage

ventuel un moteur de reconstruction.
transfert de la trame vers le systme dexploitation.
filtrage ventuel.
applications de divers prprocesseurs en fonction du type de

requte afin de contrer des techniques dvasion dattaques (voir
plus loin).
passage vers le moteur danalyse (protocole, pattern matching,

statistique, ...).
Dploiement dun NIDS

Rpartition de charges et amlioration des performances

sparer les flux et mettre en place plusieurs sondes.
Lutilisation de plusieurs sondes ncessite la corrlation des
informations par le biais de plusieurs actions :
agrgation : rassembler les informations des diffrentes sondes.
fusion : fusionner en supprimant les doublons (mme attaque
dtecte par plusieurs sondes).
corrlation : dfinir un motif commun, cest--dire interprter une
suite dvnements et les rsumer.
= Une corrlation intressante serait de ne garder que les alertes

qui concernent une faille probable du systme.
Les outils
Tcpdump
Wireshark
Snort
Les outils
Tcpdump : outil en ligne de commande permettant dcouter le

rseau.
Ethereal ou Wireshark : logiciel open-source permettant la
capture et lanalyse de traffic rseau en mode graphique.
Snort : systme de dtection dintrusion libre publi sous licence
GNU GPL. lorigine crit par Martin Roesch, il appartient
actuellement Sourcefire.
ACID (Analysis Console for Intrusion Databases) : outil
daministration dun IDS permettant de se connecter la base de
donnes de SNORT.
Les outils
Tcpdump
Wireshark
Snort
Lancement de tcpdump
Il est prfrable de lancer TCPdump en mode super utilisateur
car il passe votre interface rseau en "promiscuous mode" ce qui
ncessite certain privilges.
"promiscuous mode" signifie que votre interface va accepter tous
les paquets IP, mme ceux qui ne lui sont pas destins.
Vous pouvez lancer tcpdump sans option :
Les outils
Tcpdump
Wireshark
Snort
Interprtation de tcpdump
TCPdump gnre une ligne par paquet IP. Avec les options par dfaut,
une ligne ressemble :
10 :27 :46.931012 IP aci-claude.1844 > recher-dns.recherche.domain
Heure darrive du paquet sur linterface rseau

Type de protocole (ici IP, peut tre aussi ARP, IGMP, GRE, ...)
Adresse rseau source
Port rseau source
Adresse rseau destination
Port rseau destination (domain = requte DNS UDP/53)
Les outils
Tcpdump
Wireshark
Snort
Les modes verbeux de tcpdump

Pour en savoir plus sur les paquets changs, vous avez les options
suivantes :
-v
11 :52 :16.126791 IP (tos 0x0, ttl 64, id 0, offset 0, flags

[DF], proto : UDP (17), length : 146)
recher-dns.recherche.domain > aci-claude.1850 : 38664* 1/1/1
165.30.17.172.in-addr.arpa.
-vv

[DF], proto : UDP (17), length : 146)
recher-dns.recherche.domain > aci-claude.1850 : 27392* q :
PTR ? 203.30.17.172.in-addr.arpa. 1/1/1
203.30.17.172.in-addr.arpa.[|domain]
-vvv
...
Pour avoir un dump de chaque paquet :

-A : exemple tcpdump -v -A

[DF], proto : UDP (17), length : 73) aci-claude.mdns >
224.0.0.251.mdns : 0 PTR ? 255.255.17.172.in-addr.arpa. (45)
E..I..@....p...&.........5.0.............255.255.17.172.in-addr.arpa.
Les outils
Tcpdump
Wireshark
Snort
Filtrer les paquests de tcpdump

En fonction de ladresse source ou destination :
tcpdump host www.google.fr

14 :11 :20.438496 IP aci-claude.45050 >
fx-in-f103.google.com.www : . ack 6753 win 5774
<nop,nop,timestamp 176188646 2732389773>
En fonction de ladresse de destination uniquement :
tcpdump dst www.google.fr

14 :20 :41.950306 IP aci-claude.46051 >
fx-in-f99.google.com.www : . ack 6836 win 5774
<nop,nop,timestamp 176329020 3755286292>
En fonction de port utilis :
tcpdump port http

14 :30 :18.440969 IP aci-claude.40621 >
sebulba.privatedns.com.www : P 4245 :4958(713) ack 100806 win
16022 <nop,nop,timestamp 176473139 2858750850
En fonction de protocole utilis :
tcpdump proto TCP

14 :38 :52.774942 IP aci-claude.30961 >
scott.univ-lehavre.fr.ssh : . 18488273 :18489721(1448) ack
10896 win 2516 <nop,nop,timestamp 176601720 707031894>
Les outils
Tcpdump
Wireshark
Snort
Quelques options supplmentaires de tcpdump
-n : ne pas effectuer de rsolution de nom et donc afficher directement

les adresses IP
14 :46 :50.672227 IP 172.17.20.38.30961 >

193.52.167.215.22 : . 14770137 :14771585(1448) ack 8832
win 2516 <nop,nop,timestamp 176721191 707509879>
-i : force lutilisation dune interface (par exemple : -i eth0)
...
man tcpdump : pour obtenir plus dinformation sur les diffrentes
options de tcpdump.
Les outils
Tcpdump
Wireshark
Snort
Lancement de Wireshark
Au moment du lancement de Wireshark, vous obtenez lcran suivant :
Les outils
Tcpdump
Wireshark
Snort
Choix de linterface de capture
Pour dmarrer la capture, il vous faut slectionner dabord une

interface dans le menu Capture/Interface.
Les outils
Tcpdump
Wireshark
Snort
Options de capture
Vous pouvez modifier les options de capture en pressant le bouton
Option :
Les outils
Tcpdump
Wireshark
Snort
Lancement de la capture
Pour lancer la capture, il suffit de presser Start :
Pour arrter la capture et charger celle-ci dans Wireshark, il suffit de

presser Stop :
Les outils
Tcpdump
Wireshark
Snort
Analyse de la capture
Vous pouvez ensuite analyser le rsultat de la capture :
Les outils
Tcpdump
Wireshark
Snort
Installation de Snort
Installer les paquets Snort.

Installer le support mysql pour Snort.
Installer ACID.

CNAM Cours IDS PDF

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

CNAM Cours IDS PDF

Transféré par

Droits d'auteur :

Formats disponibles

Les systmes de dtection dintrusion rseau

Claude Duvallet 1/42

Les systmes de dtection dintrusion rseau

Les diffrents types dIDS

Les mthodes de dtection

Principes gnraux et dploiement

Claude Duvallet 2/42

Les systmes de dtection dintrusion rseau

Claude Duvallet 3/42

Les systmes de dtection dintrusion rseau

Les premiers systmes de dtection dinstrusions ont t initis

Claude Duvallet 4/42

Les systmes de dtection dintrusion rseau

Les systmes de dtection dintrusions

Les diffrents types dIDS

Claude Duvallet 5/42

Les systmes de dtection dintrusion rseau

Les systmes de dtection dintrusions

Les systmes de dtection dintrusions (IDS)

Deux notions fondamentales :

Claude Duvallet 6/42

Les systmes de dtection dintrusion rseau

Les systmes de dtection dintrusions

Les systmes de dtection dintrusions "rseaux" (NIDS)

Objectif : analyser de manire passive les flux en transit sur le

Claude Duvallet 7/42

Les systmes de dtection dintrusion rseau

Les systmes de dtection dintrusions

Les systmes de dtection dintrusions de type hte (HIDS)

Claude Duvallet 8/42

Les systmes de dtection dintrusion rseau

Les systmes de dtection dintrusions

Les systmes de dtection dintrusions "hybrides"

Les systmes de dtection dintrusion rseau

Les systmes de dtection dintrusions

Les systmes de prvention dintrusions (IPS)

Les systmes de dtection dintrusion rseau

Les systmes de dtection dintrusions

Les inconvnients des IPS (1/2)

Le deuxime inconvnient est quun pirate peut utiliser sa

Les systmes de dtection dintrusion rseau

Les systmes de dtection dintrusions

Les inconvnients des IPS (2/2)

Et enfin, le troisime inconvnient et non le moindre : un IPS est

Claude Duvallet 12/42

Les systmes de dtection dintrusion rseau

Les systmes de dtection dintrusions

Les IPS "noyau" (KIDS/KIPS) (1/2)

Les systmes de dtection dintrusion rseau

Les systmes de dtection dintrusions

Les IPS "noyau" (KIDS/KIPS) (2/2)

Kernel Intrusion Detection Systems/Kernel Intrusion Prevention

Claude Duvallet 14/42

Les systmes de dtection dintrusion rseau

Les systmes de dtection dintrusions

Claude Duvallet 15/42

Les systmes de dtection dintrusion rseau

Les systmes de dtection dintrusions

Les diffrents types de pare-feux

Les pare-feux de type proxy : Le pare-feu sintercale dans la

Les systmes de dtection dintrusion rseau

Lapproche par scnario

Les mthodes de dtections