Académique Documents
Professionnel Documents
Culture Documents
CNAM Cours IDS PDF
CNAM Cours IDS PDF
Claude Duvallet
Universit du Havre
UFR Sciences et Techniques
Courriel : Claude.Duvallet@gmail.com
Introduction et contexte
Les diffrents types dIDS
Les mthodes de dtection
Principes gnraux et dploiement
Plan de la prsentation
Introduction et contexte
Introduction et contexte
Les diffrents types dIDS
Les mthodes de dtection
Principes gnraux et dploiement
Introduction
Historique
Introduction
Dtection dattaques : afin de dtecter les attaques que peut
subir un systme, il est ncessaire de disposer dun logiciel
spcialis dont le rle sera de surveiller les donnes qui
transistent sur ce systme et et qui serait capable de ragir si des
donnes semblent suspectes.
Les logiciels qui sont les plus mme deffectuer cette tche sont
les systmes de dtection dintrusion : les IDS.
Dfinition Un systme de dtection dintrusion (ou IDS : Intrusion Detection
System) est un mcanisme destin reprer des activits
anormales ou suspectes sur la cible analyse (un rseau ou un
hte). Il permet ainsi davoir une action de prvention sur les
risques dintrusion. (source : wikipdia).
Introduction et contexte
Les diffrents types dIDS
Les mthodes de dtection
Principes gnraux et dploiement
Introduction
Historique
Historique
Introduction et contexte
Les diffrents types dIDS
Les mthodes de dtection
Principes gnraux et dploiement
Introduction et contexte
Les diffrents types dIDS
Les mthodes de dtection
Principes gnraux et dploiement
Introduction et contexte
Les diffrents types dIDS
Les mthodes de dtection
Principes gnraux et dploiement
Introduction et contexte
Les diffrents types dIDS
Les mthodes de dtection
Principes gnraux et dploiement
Introduction et contexte
Les diffrents types dIDS
Les mthodes de dtection
Principes gnraux et dploiement
Introduction et contexte
Les diffrents types dIDS
Les mthodes de dtection
Principes gnraux et dploiement
Introduction et contexte
Les diffrents types dIDS
Les mthodes de dtection
Principes gnraux et dploiement
Introduction et contexte
Les diffrents types dIDS
Les mthodes de dtection
Principes gnraux et dploiement
Introduction et contexte
Les diffrents types dIDS
Les mthodes de dtection
Principes gnraux et dploiement
Introduction et contexte
Les diffrents types dIDS
Les mthodes de dtection
Principes gnraux et dploiement
Introduction et contexte
Les diffrents types dIDS
Les mthodes de dtection
Principes gnraux et dploiement
Les pare-feux
Les pare-feux ne sont pas des IDS proprement parler mais ils
permettent galement de stopper des attaques.
Les pare-feux sont bass sur des rgles statiques afin de
contrler laccs des flux.
Ils travaillent en gnral au niveau des couches basses du
modle OSI (jusquau niveau 4), ce qui est insuffisant pour
stopper une intrusion.
Par exemple, lors de lexploitation dune faille dun serveur Web,
le flux HTTP sera autoris par le pare-feu puisquil nest pas
capable de vrifier ce que contiennent les paquets.
Introduction et contexte
Les diffrents types dIDS
Les mthodes de dtection
Principes gnraux et dploiement
Introduction et contexte
Les diffrents types dIDS
Les mthodes de dtection
Principes gnraux et dploiement
Introduction et contexte
Les diffrents types dIDS
Les mthodes de dtection
Principes gnraux et dploiement
Introduction et contexte
Les diffrents types dIDS
Les mthodes de dtection
Principes gnraux et dploiement
Introduction et contexte
Les diffrents types dIDS
Les mthodes de dtection
Principes gnraux et dploiement
Introduction et contexte
Les diffrents types dIDS
Les mthodes de dtection
Principes gnraux et dploiement
Analyse de protocoles
Cette mthode se base sur une vrification de la conformit (par
rapport aux RFC) des flux, ainsi que sur lobservation des
champs et paramtres suspects dans les paquets.
Cependant, les diteurs de logiciels et les constructeurs
respectent rarement la lettre les RFC et cette mthode nest
pas toujours trs performante.
Lanalyse protocolaire est souvent implmente par un ensemble
de prprocesseurs, o chaque prprocesseur est charg
danalyser un protocole particulier (FTP, HTTP, ICMP, ...).
Du fait de la prsence de tous ces prprocesseurs, les
performances dans un tel systme sen voient fortement
dgrades.
Lintrt fort de lanalyse protocolaire est quelle permet de
dtecter des attaques inconnues, contrairement au pattern
matching qui doit connatre lattaque pour pouvoir la dtecter.
Claude Duvallet 21/42
Introduction et contexte
Les diffrents types dIDS
Les mthodes de dtection
Principes gnraux et dploiement
Introduction et contexte
Les diffrents types dIDS
Les mthodes de dtection
Principes gnraux et dploiement
Lapproche comportementale
Cette technique consiste dtecter une intrusion en fonction du
comportement pass de lutilisateur.
Pour cela, il faut pralablement dresser un profil utilisateur
partir de ses habitudes et dclencher une alerte lorsque des
vnements hors profil se produisent.
Cette technique peut tre applique non seulement des
utilisateurs mais aussi des applications et services.
Plusieurs mtriques sont possibles : la charge CPU, le volume de
donnes changes, le temps de connexion sur des ressources,
la rpartition statistique des protocoles et applications utiliss, les
heures de connexion, ...
Introduction et contexte
Les diffrents types dIDS
Les mthodes de dtection
Principes gnraux et dploiement
ltablissement du profil doit tre souple afin quil ny ait pas trop
de fausses alertes :
le pirate peut discrtement intervenir pour modifier le profil de
lutilisateur afin dobtenir aprs plusieurs jours ou semaines, un
profil qui lui permettra de mettre en place son attaque sans quelle
ne soit dtecte.
Introduction et contexte
Les diffrents types dIDS
Les mthodes de dtection
Principes gnraux et dploiement
Approche statistique :
Le but est de quantifier les paramtres lis lutilisateur : taux
doccupation de la mmoire, utilisation des processeurs, valeur de
la charge rseau, nombre daccs lIntranet par jour, vitesse de
frappe au clavier, sites les plus visits, ...
Elle nest actuellement prsente que dans le domaine de la
recherche, o les chercheurs utilisent des rseaux neuronaux et la
fouille de donnes pour tenter davoir des rsultats convaincants.
Claude Duvallet 25/42
Introduction et contexte
Les diffrents types dIDS
Les mthodes de dtection
Principes gnraux et dploiement
Introduction et contexte
Les diffrents types dIDS
Les mthodes de dtection
Principes gnraux et dploiement
Introduction et contexte
Les diffrents types dIDS
Les mthodes de dtection
Principes gnraux et dploiement
Principe de prcaution
Introduction et contexte
Les diffrents types dIDS
Les mthodes de dtection
Principes gnraux et dploiement
filtrage ventuel.
Introduction et contexte
Les diffrents types dIDS
Les mthodes de dtection
Principes gnraux et dploiement
Les outils
Tcpdump
Wireshark
Snort
Les outils
Les outils
Tcpdump
Wireshark
Snort
Lancement de tcpdump
Il est prfrable de lancer TCPdump en mode super utilisateur
car il passe votre interface rseau en "promiscuous mode" ce qui
ncessite certain privilges.
"promiscuous mode" signifie que votre interface va accepter tous
les paquets IP, mme ceux qui ne lui sont pas destins.
Vous pouvez lancer tcpdump sans option :
Les outils
Tcpdump
Wireshark
Snort
Interprtation de tcpdump
TCPdump gnre une ligne par paquet IP. Avec les options par dfaut,
une ligne ressemble :
10 :27 :46.931012 IP aci-claude.1844 > recher-dns.recherche.domain
Les outils
Tcpdump
Wireshark
Snort
...
Les outils
Tcpdump
Wireshark
Snort
Les outils
Tcpdump
Wireshark
Snort
...
man tcpdump : pour obtenir plus dinformation sur les diffrentes
options de tcpdump.
Les outils
Tcpdump
Wireshark
Snort
Lancement de Wireshark
Au moment du lancement de Wireshark, vous obtenez lcran suivant :
Les outils
Tcpdump
Wireshark
Snort
Les outils
Tcpdump
Wireshark
Snort
Options de capture
Vous pouvez modifier les options de capture en pressant le bouton
Option :
Les outils
Tcpdump
Wireshark
Snort
Lancement de la capture
Pour lancer la capture, il suffit de presser Start :
Les outils
Tcpdump
Wireshark
Snort
Analyse de la capture
Vous pouvez ensuite analyser le rsultat de la capture :
Les outils
Tcpdump
Wireshark
Snort
Installation de Snort