Scribd Logo
Importer

Bienvenue sur Scribd !

  • Correction de Systèmes de Détection Des Intrusions PDF

    Transféré par

    Merci
    472 vues3 pages

    Titre original

    Correction de Systèmes De Détection Des Intrusions.pdf

    Copyright

    © © All Rights Reserved

    Formats disponibles

    PDF, TXT ou lisez en ligne sur Scribd

    Avez-vous trouvé ce document utile ?

    Ce contenu est-il inapproprié ?

    Signaler ce document

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
    Signaler comme contenu inapproprié
    472 vues3 pages

    Correction de Systèmes de Détection Des Intrusions PDF

    Transféré par

    Merci

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
    Signaler comme contenu inapproprié
    sur 3

    Correction de Systèmes De Détection Des Intrusions

    Exercice 1 : Notion d’IDS


    1) IDS : Intrusion Detection System
    2) Description de l’IDS illustré par la figure suivante
    - Informations collectées par des sondes
    - Traitement des informations
    - Comparaison avec des données de référence qui correspondent à
    des opérations interdites ou autorisées
    - Si anomalie : déclenchement d’une alarme et éventuellement
    activation d’une réponse active
    3) Définir les termes suivants

    Faux positif : une alerte provenant d'un IDS, mais qui ne correspond pas à une attaque réelle.

    Faux négatif : une intrusion réelle qui n'a pas été détectée par l'IDS

    4) Trois Principaux Types d’IDS avec un exemple de logiciel pour chaque type
    - Les systèmes de détection d'intrusions « réseau » (NIDS)
    - Les systèmes de détection d'intrusions de type hôte (HIDS)
    - Les systèmes de détection d'intrusions « hybrides »

    5) Description de la méthode de détection basé sur l’approche comportementale


    Cette technique consiste à détecter une intrusion en fonction du comportement passé de
    l'utilisateur. Pour cela, il faut préalablement dresser un profil utilisateur à partir de ses
    habitudes et déclencher une alerte lorsque des événements hors profil se produisent.

    Exercice 2 : Réseaux et Pare-feu


    1)
    Routeur1 Routeur2 Routeur3
    Permettre aux utilisateurs internes et externes
    d’accéder aux serveurs HTTP, x x x
    FTP et SMTP du LAN1.
    Permettre à la machine administrateur d’accéder
    x
    aux différents LAN. x
    Permettre aux utilisateurs du LAN1 d’accéder à
    x
    Internet
    2)
    Protocol ACK=
    @IP source @IP dest Port source Port destination Action
    e 1
    193.95.33.
    * >1023 80 TCP * accepter
    5
    193.95.33.
    * 80 >1023 TCP oui accepter
    5
    193.95.33.
    * >1023 80 TCP * accepter
    0
    193.95.33.
    * 80 >1023 TCP oui accepter
    0

    3)
    Router(config)#access-list 115 permit tcp any host 193.95.33.6 eq 23
    Router(config)#access-list 115 permit tcp any host 193.95.33.7 eq 25
    Router(config)#access-list 116 permit tcp host 193.95.33.6 any gt 1023
    Router(config)#access-list 116 permit tcp host 193.95.33.7 any gt 1023

    Exercice 3 : ACL (9 points)


    1. Configuration de la première liste de contrôle d'accès étendue pour R1
    En mode de configuration globale, configurez la première liste de contrôle d'accès
    avec le numéro 110.
    a) Vous souhaitez tout d'abord bloquer le trafic Telnet vers tout emplacement pour
    toutes les adresses IP du réseau 192.168.10.0/24.
    Lorsque vous écrivez l'instruction, vérifiez que vous vous trouvez bien en mode de
    configuration globale.
    R1(config)#access-list 110 deny tcp 192.168.10.0 0.0.0.255 any eq telnet
    b) Bloquez ensuite pour toutes les adresses IP du réseau 192.168.10.0/24 l'accès
    TFTP à l'hôte à l'adresse 192.168.20.254.
    R1(config)#access-list 110 deny udp 192.168.10.0 0.0.0.255 host
    192.168.20.254 eq tftp
    c) Enfin, autorisez tout autre trafic.
    R1(config)#access-list 110 permit ip any any

    2. Configuration de la seconde liste de contrôle d'accès étendue pour R1


    a) Configurez la seconde liste de contrôle d'accès avec le numéro 111. Autorisez l'accès
    www à l'hôte ayant l'adresse 192.168.20.254 à toute adresse IP du réseau
    192.168.11.0/24.
    R1(config)#access-list 111 permit tcp 192.168.11.0 0.0.0.255 host 192.168.20.254
    eq www
    b) Autorisez ensuite l'accès TFTP à l'hôte ayant l'adresse 192.168.20.254 à toutes les
    adresses IP du réseau 192.168.11.0/24.
    R1(config)#access-list 111 permit udp 192.168.11.0 0.0.0.255 host 192.168.20.254
    eq tftp
    c) Bloquez tout autre trafic en provenance du réseau 192.168.11.0/24 vers le réseau
    192.168.20.0/24.
    R1(config)#access-list 111 deny ip 192.168.11.0 0.0.0.255 192.168.20.0 0.0.0.255
    d) Enfin, autorisez tout autre trafic. Cette instruction garantit que le trafic en provenance
    d’autres réseaux n'est pas bloqué.
    R1(config)#access-list 111 permit ip any any

    3. Application des instructions aux interfaces


    Pour appliquer une liste de contrôle d'accès à une interface, passez en mode de
    configuration d'interface.
    Configurez la commande ip access-group numéro-liste-accès {in | out} pour appliquer la
    liste de contrôle d'accès à l'interface.
    a) Chaque liste de contrôle d'accès filtre le trafic entrant. Appliquez la liste 110 à
    l'interface Fast Ethernet 0/0 et la liste 111 à l'interface Fast Ethernet 0/1.
    R1(config)#interface fa0/0
    R1(config-if)#ip access-group 110 in
    b)
    R1(config-if)#interface fa0/1
    R1(config-if)#ip access-group 111 in
    Vérifiez que les listes de contrôle d'accès apparaissent dans la configuration en
    cours de R1 et qu'elles ont été appliquées aux interfaces correctes.

    Vous aimerez peut-être aussi