Vous êtes sur la page 1sur 31

Mahmoud Jamel Ezzena Abir Majida Hammouda Ines Ben Aicha Takwa

Anne Universitaire 2012- 2013

Prsentation Gnrale des IDS

Les diffrents type dIDS

Prsentation Gnrale des IPS

Ou placer un IDS / IPS ?

Conclusion

Outils Open Source (Aspect Pratique)

LIDS (Intrusion Detection System) permet de :


Surveiller Contrler Dtecter Le systme de dtection dintrusion est en voie de devenir un composant critique dune architecture de scurit informatique
1

Un IDS est essentiellement un sniffer coupl avec un moteur qui analyse le trafic selon des rgles Ces rgles dcrivent un trafic signaler LIDS peut analyser Couche Rseau (IP, ICMP) Couche Transport (TCP, UDP) Couche Application (HTTP, Telnet) Selon le type de trafic, lIDS accomplit certaines actions
2

Journaliser lvnement: Source dinformation et vision des menaces courantes Avertir un systme avec un message Exemple: appel SNMP Avertir un humain avec un message Courrier lectronique, SMS, interface web, etc. Amorcer certaines actions sur un rseau ou hte Exemple: mettre fin une connexion rseau, ralentir le dbit des connexions, etc. (rle actif)
3

Faux-Positif Fausse alerte leve par lids Faux-ngatif Attaque qui na pas t repr par lIDS

Sonde Composant de larchitecture IDS qui collecte les informations brutes

Types dIDS

HIDS (Host IDS)

NIDS (Network IDS )

Mise en place dans un ordinateur hte HIDS permet de surveiller le systme et les applications Les journaux systmes, de contrler l'accs aux appels systmes, de vrifier l'intgrit des systmes de fichiers Le HIDS a accs des composants non accessibles sur le rseau
6

Un sonde place dans le rseau Surveille lensemble du rseau Capture et analyse tout le trafic Recherche de paquets suspects

Envoi dalertes

Chacun rpond des besoins spcifiques

HIDS

NIDS
8

Technologie complexe Ncessite un degr dexpertise lev Long optimiser Rputer par gnrer de fausses alertes

IPS = Intrusion Prevention System


Mieux vaut prvenir que gurir

Constat : On suppose pouvoir dtecter une intrusion Pourquoi alors, ne pas la bloquer, lliminer ? IDS vers IPS Techniquement : Un IPS est un IDS qui ajoute des fonctionnalits de blocage pour une anomalie trouve IDS devient actif => IPS
10

Interrompre une connexion Ralentir la connexion Blacklister les sources

11

Avantages Attaque bloque immdiatement Inconvnients Les faux-positifs Peut paralyser le rseau

12

O placer un IDS IPS ?

Connaitre les failles de scurit surveiller les attaques sur un rseau : Extrieur Intrieur Dpend de ce que lon veut ? Voir les attaques (HoneyPot)

13

Ordinateur ou programme volontairement vulnrable destin attirer et piger les pirates But: Occuper le pirate Dcouvrir de nouvelles attaques Garder le maximum de traces de lattaque
14

Position ( 1 ):
avant le Firewall ou le routeur filtrant : dans cette position, la sonde occupe une place de premier choix dans la dtection des attaques de sources extrieures visant lentreprise. Dtection de toutes les attaques Problmes - trop complet - analyse trop complexe bonne pour un Honeypot (pot de miel)
15

Position ( 2 ):
sur la DMZ : dans cette position, la

sonde peut dtecter tout le trafic


non filtr par le Firewall et qui a atteint la zone DMZ.

Complexe

15

Position ( 3 ): sur le rseau interne :le positionnement du NIDS cet endroit nous permet dobserver les tentatives dintrusion parvenues lintrieur du rseau dentreprise ainsi que les tentatives dattaques partir de l'intrieur. 15

NIDS (IDS rseau) Les NIDS (Network Based Intrusion Detection System), surveillent l'tat de la scurit au niveau du rseau. Snort HIDS (IDS machine hte) Les HIDS (HostBased Intrusion Detection System), surveillent surveillent l'tat de la scurit au niveau des htes. OSSEC IDS hybride (NIDS + HIDS) Les IDS hybrides, qui utilisent les NIDS et HIDS pour avoir des alertes plus pertinentes. Prelude 16

S.N.O.R.T. est un NIDS (Network Intrusion Detection System). Cest un NIDS qui sert dtecter les tentatives d'intrusion, pour ce faire, il compare le trafic rseau une base de donnes des attaques connues. Le cas chant, il excute une action prdfinie, qui va de vous prvenir verrouiller le rseau. S.N.O.R.T. nous permettra donc basiquement, de dtecter d'ventuels intrusions, de grer nos logs et sniffer le rseau.

17

SNORT peut tre configur pour fonctionner en 4 modes : le mode sniffer : dans ce mode, SNORT lit les paquets circulant sur le rseau et les affiche dune faon continue sur lcran Le mode packet logger : dans ce mode SNORT journalise le trafic rseau dans des rpertoires sur le disque le mode dtecteur dintrusion rseau (NIDS) : dans ce mode, SNORT analyse le trafic du rseau, compare ce trafic des rgles dj dfinies par lutilisateur et tabli des actions excuter le mode Prvention des intrusion rseau (IPS): cest SNORTinline.
18

OSSEC est un Open Source du systme de dtection d'intrusion base sur l'hte. il effectue l'analyse du journal, la vrification de l'intgrit des fichiers en temps rel d'alerte et de rponse active

19

Prelude, ou Prelude-IDS, est un systme de dtection dintrusion hybride compos de plusieurs plugins, sondes. Prelude a t conu dans le but dtre modulaire, souple, et rsistant aux attaques. Sa modularit permet notamment de lui rajouter facilement de nouveaux types de dtecteurs dintrusion.

20

Dmonstration

21

IDS/IPS en plein Essor Outils essentiels pour surveiller un rseau Pour connaitre les attaques Attention Faille de scurit sur IDS IPS pas encore mature
22

http://dbprog.developpez.com/securite/ids/ Wikipedia.org http://www.groar.org/trad/snort/snortfaq/ writing_snort_rules.html https://trac.preludeids.org/wiki/PreludeHandbook http://lehmann.free.fr/

Only a PREVIEW!

Question ?