Académique Documents
Professionnel Documents
Culture Documents
ﺍ
Technique Mohammedia
Université Hassan II de Casablanca
ENSET ﺟﺎﻣﻌﺔ ﺍﻟﺤﺴﻦ ﺍﻟﺜﺎﻧﻲ ﺑﺎﻟﺪﺍﺭ ﺍﻟﺒﻴﻀﺎﺀ
Rapport de la présentation
Filière :
« Génie du Logiciel et des Systèmes Informatiques Distribués »
GLSID
1
Ecole Normale Supérieure de l’Enseignement ﻟﻤﺪﺭﺳﺔ ﺍﻟﻌﻠﻴﺎ ﻸﺳﺎﺗﺬﺓ ﺍﻟﺘﻌﻠﻴﻢ ﺍﻟﺘﻘﻨﻲ المحمدية ﺍ
Technique Mohammedia
Université Hassan II de Casablanca
ENSET ﺟﺎﻣﻌﺔ ﺍﻟﺤﺴﻦ ﺍﻟﺜﺎﻧﻲ ﺑﺎﻟﺪﺍﺭ ﺍﻟﺒﻴﻀﺎﺀ
Abréviation
SNORT: The Open Source Network Intrusion Detection System.
NAT: Network Address Translation
DMZ: Demilitarized Zone
IDS: Intrusion Detection System
NIDS: Intrusion Detection System
HIDS: Host Intrusion Detection Systems
IPS: Intrusion Prevention System
IRC: Internet Relay Chat
NSA: National Security Agency
SANS: Computer & Information Security Training
ISS: Internet Security System
RSDP: Real Secure Desktop Protector
NAC: Network Admission Control
EAP: Extensible Authentication Protocol
VPN: Virtual Private Network
SIM: Security Information Management
CSA: CISCO Security Agent
Dos: Denial of Service
2
Ecole Normale Supérieure de l’Enseignement ﻟﻤﺪﺭﺳﺔ ﺍﻟﻌﻠﻴﺎ ﻸﺳﺎﺗﺬﺓ ﺍﻟﺘﻌﻠﻴﻢ ﺍﻟﺘﻘﻨﻲ المحمدية ﺍ
Technique Mohammedia
Université Hassan II de Casablanca
ENSET ﺟﺎﻣﻌﺔ ﺍﻟﺤﺴﻦ ﺍﻟﺜﺎﻧﻲ ﺑﺎﻟﺪﺍﺭ ﺍﻟﺒﻴﻀﺎﺀ
Table de matière
Abréviation 2
Table de matière 3
Introduction 5
I. Partie théorique 6
1. Le système de détection des intrusions (IDS) 6
1.1Définition de IDS 6
1.2 L'importance d’un système IDS 7
1.3 Fonctions et rôles : 7
2. Les différents types d'IDS 7
2.1 Les systèmes de détection d’intrusions « réseaux » (NIDS) 8
2.1.1 Objectif : 8
2.1.2 Advantages 8
2.1.3 Inconvénients 9
2.2 Les systèmes de détection d’intrusions « host» (HIDS) 10
2.2.1 Advantages 10
2.2.2 Inconvénients 11
3. IPS 11
3.1 Définition 11
3.2 Caractéristiques Communes (IDS et IPS ) 11
3.2.1 Avantages d’IPS 11
3.2.2 Inconvénient d’IPS 12
3.3 Types d'IPS 12
3.3.1 IPS basé sur l'hôte (HIPS) 12
3.3.2 IPS en réseau 12
3.3.2 IPS basé sur l'hôte 12
3.3.2.1 Avantages 12
3.3.2.2 Inconvénients 12
Conclusion 51
Références 52
3
Ecole Normale Supérieure de l’Enseignement ﻟﻤﺪﺭﺳﺔ ﺍﻟﻌﻠﻴﺎ ﻸﺳﺎﺗﺬﺓ ﺍﻟﺘﻌﻠﻴﻢ ﺍﻟﺘﻘﻨﻲ المحمدية ﺍ
Technique Mohammedia
Université Hassan II de Casablanca
ENSET ﺟﺎﻣﻌﺔ ﺍﻟﺤﺴﻦ ﺍﻟﺜﺎﻧﻲ ﺑﺎﻟﺪﺍﺭ ﺍﻟﺒﻴﻀﺎﺀ
Introduction
4
Ecole Normale Supérieure de l’Enseignement ﻟﻤﺪﺭﺳﺔ ﺍﻟﻌﻠﻴﺎ ﻸﺳﺎﺗﺬﺓ ﺍﻟﺘﻌﻠﻴﻢ ﺍﻟﺘﻘﻨﻲ المحمدية ﺍ
Technique Mohammedia
Université Hassan II de Casablanca
ENSET ﺟﺎﻣﻌﺔ ﺍﻟﺤﺴﻦ ﺍﻟﺜﺎﻧﻲ ﺑﺎﻟﺪﺍﺭ ﺍﻟﺒﻴﻀﺎﺀ
I. Partie théorique
1. Le système de détection des intrusions (IDS)
Il y a toujours des risques lorsque votre ordinateur est connecté au réseau
internet. Ces risques peuvent causer des dommages dans votre système, Par
exemple vos données sont perdues ou volées… Les hackers malicieux abusent
toujours des vulnérabilités des services, des applications ou de réseau pour attaquer
votre ordinateur. C’est pourquoi nous avons besoin des bonnes stratégies de
contrôle des packages circulés sur le réseau.
La détection des intrusions permet à des organisations de protéger leur
système contre des menaces qui viennent par l'évolution du réseau et la confiance
sur le système informatique. L’IDS a gagné l’acceptation comme une nécessité
supplémentaire pour l’infrastructure de la sécurité de chaque organisation et
beaucoup d’organisations doivent justifier l’acquisition de IDS.
Pour réaliser cette idée, il est obligatoire de comprendre quelle est l’intrusion?
Comment fonctionne-t- il sur le réseau? À partir de cela, vous pouvez choisir telle
solution pour votre système.
1.1Définition de IDS
Tout d'abord, comme nous avons déjà vu durant le cours avec monsieur EL
GUEMMAT, l’intrusion est causée par les attaques accédant au système via
l’Internet, autorisant l’utilisateur du système qui essayer à gagner les privilèges
supplémentaires pour lesquels ils n’ont pas autorisé, et autorisé les utilisateurs qui
abusent les privilèges donnés.
L'IDS est un ensemble de composants logiciels et matériels dont la fonction
principale est de détecter et analyser toute tentative d’effraction (volontaire ou non).
Détection des intrusions est le processus de surveillance des événements se
trouvant dans un système réseau et les analysant pour détecter les signes des
intrusions, défini comme des tentatives pour compromettre la confidentialité,
intégrité, disponibilité ou éviter des mécanismes de sécurité de l’ordinateur ou du
réseau. En résumant, Le système de détection des intrusions est un logiciel ou un
matériel qui automatise des surveillances et les processus analysés.
Juste comme remarque, les firewalls ne sont pas des IDS à proprement parler, mais
ils permettent également de stopper des attaques. Nous ne pouvions donc pas les
ignorer.
5
Ecole Normale Supérieure de l’Enseignement ﻟﻤﺪﺭﺳﺔ ﺍﻟﻌﻠﻴﺎ ﻸﺳﺎﺗﺬﺓ ﺍﻟﺘﻌﻠﻴﻢ ﺍﻟﺘﻘﻨﻲ المحمدية ﺍ
Technique Mohammedia
Université Hassan II de Casablanca
ENSET ﺟﺎﻣﻌﺔ ﺍﻟﺤﺴﻦ ﺍﻟﺜﺎﻧﻲ ﺑﺎﻟﺪﺍﺭ ﺍﻟﺒﻴﻀﺎﺀ
Afin de détecter les attaques que peut subir un système, il est nécessaire
d’avoir un logiciel spécialisé dont le rôle serait de surveiller les données qui
transitent sur ce système, et qui serait capable de réagir si des données semblent
suspectes.
6
Ecole Normale Supérieure de l’Enseignement ﻟﻤﺪﺭﺳﺔ ﺍﻟﻌﻠﻴﺎ ﻸﺳﺎﺗﺬﺓ ﺍﻟﺘﻌﻠﻴﻢ ﺍﻟﺘﻘﻨﻲ المحمدية ﺍ
Technique Mohammedia
Université Hassan II de Casablanca
ENSET ﺟﺎﻣﻌﺔ ﺍﻟﺤﺴﻦ ﺍﻟﺜﺎﻧﻲ ﺑﺎﻟﺪﺍﺭ ﺍﻟﺒﻴﻀﺎﺀ
2.1.1 Objectif :
L'objectif de NIDS est d'analyser de manière passive les flux en transit sur le
réseau et détecter les intrusions en temps réel. Un NIDS écoute donc tout le trafic
réseau, puis l’analyse et génère des alertes si des paquets semblent dangereux. Les
NIDS étant les IDS plus intéressants et les plus utiles du fait de l’omniprésence des
réseaux dans notre vie quotidienne, ce rapport se concentrera essentiellement sur
les différents types d’IDS et leur fonctionnement.
2.1.2 Advantages
- Le NIDS peut surveiller un grand réseau.
- Le déploiement de NIDS a peu d'impact sur un réseau existant.
7
Ecole Normale Supérieure de l’Enseignement ﻟﻤﺪﺭﺳﺔ ﺍﻟﻌﻠﻴﺎ ﻸﺳﺎﺗﺬﺓ ﺍﻟﺘﻌﻠﻴﻢ ﺍﻟﺘﻘﻨﻲ المحمدية ﺍ
Technique Mohammedia
Université Hassan II de Casablanca
ENSET ﺟﺎﻣﻌﺔ ﺍﻟﺤﺴﻦ ﺍﻟﺜﺎﻧﻲ ﺑﺎﻟﺪﺍﺭ ﺍﻟﺒﻴﻀﺎﺀ
- Les NIDS sont habituellement des dispositifs passifs qui écoutent sur un fil de
réseau sans interférer l'opération normale d'un réseau. Ainsi, il est
habituellement facile de monter un réseau pour inclure IDS avec l'effort
minimal.
- NIDS peut être très sûr contre l'attaque et être même se cache à beaucoup
d'attaquants
2.1.3 Inconvénients
- Il est difficile de traiter tous les paquets circulant sur un grand réseau. De
plus, il ne peut pas reconnaître des attaques pendant le temps de haut trafic.
- Quelques fournisseurs essaient d'implémenter le IDS sur le matériel pour qu’il
marche plus rapidement.
- Plusieurs des avantages de NIDS ne peuvent pas être appliqués pour les
commutateurs modernes. La plupart des commutateurs ne fournissent pas
des surveillances universelles des ports et limitent la gamme de surveillance
de NIDS. Même lorsque les commutateurs fournissent de tels ports de
surveillance, souvent le port simple ne peut pas refléter tout le trafic
traversant le commutateur.
- NIDS ne peut pas analyser des informations chiffrées (cryptées). Ce
problème a lieu dans les organisations utilisant le VPN.
- La plupart des NIDS ne peuvent pas indiquer si une attaque réussit ou non. Il
reconnaît seulement qu'une attaque est initialisée. C'est-à-dire qu'après que
le NIDS détecte une attaque, l’administrateur doit examiner manuellement
chaque host s’il a été en effet pénétré.
- Quelques NIDS provoquent des paquets en fragments. Ces paquets mal
formés font devenir le IDS instable et l'accident.
8
Ecole Normale Supérieure de l’Enseignement ﻟﻤﺪﺭﺳﺔ ﺍﻟﻌﻠﻴﺎ ﻸﺳﺎﺗﺬﺓ ﺍﻟﺘﻌﻠﻴﻢ ﺍﻟﺘﻘﻨﻲ المحمدية ﺍ
Technique Mohammedia
Université Hassan II de Casablanca
ENSET ﺟﺎﻣﻌﺔ ﺍﻟﺤﺴﻦ ﺍﻟﺜﺎﻧﻲ ﺑﺎﻟﺪﺍﺭ ﺍﻟﺒﻴﻀﺎﺀ
2.2.1 Advantages
- Pouvoir surveiller des événements local jusqu’au host, détecter des attaques
qui ne sont pas vues par NIDS
- Marcher dans un environnement dans lequel le trafic de réseau est crypté,
lorsque les sources des informations de host-based sont générées avant
l'encryptage des données ou après le décryptage des données au host de la
destination.
- HIDS n’est pas atteint par le réseau commuté.
- Lorsque HIDS marche sur la trainé de l’audit de SE, ils peuvent détecter le
Cheval de Troie ou les autres attaques concernant à la brèche intégrité de
logiciel.
9
Ecole Normale Supérieure de l’Enseignement ﻟﻤﺪﺭﺳﺔ ﺍﻟﻌﻠﻴﺎ ﻸﺳﺎﺗﺬﺓ ﺍﻟﺘﻌﻠﻴﻢ ﺍﻟﺘﻘﻨﻲ المحمدية ﺍ
Technique Mohammedia
Université Hassan II de Casablanca
ENSET ﺟﺎﻣﻌﺔ ﺍﻟﺤﺴﻦ ﺍﻟﺜﺎﻧﻲ ﺑﺎﻟﺪﺍﺭ ﺍﻟﺒﻴﻀﺎﺀ
2.2.2 Inconvénients
- HIDS est difficile à gérer, et des informations doivent être configurées et
gérées pour chaque host surveillé.
- Puisque au moins des sources de l’information pour HIDS se trouvent sur
l’host de la destination par les attaques, le IDS peut être attaqué et neutralisé
comme une partie de l’attaque.
- HIDS n’est pas bon pour le balayage de réseau de la détection ou les autres
tel que la surveillance qui s’adresse au réseau entier parce que le HIDS ne
voit que les paquets du réseau reçus par ses hosts.
- HIDS peut être neutralisé par certaines attaques de DoS.
- Lorsque HIDS emploie la traîne de l’audit du SE comme des sources des
informations, la somme de l’information est immense, alors il demande le
stockage supplémentaire local dans le système.
3. IPS
3.1 Définition
Qu'est-ce qu'un système de prévention d'intrusion? Un système de prévention
des intrusions (IPS) est un outil de sécurité réseau (qui peut être un périphérique
matériel ou un logiciel) qui surveille en permanence un réseau à la recherche
d'activités malveillantes et prend des mesures pour les empêcher, notamment en les
signalant, en les bloquant ou en les supprimant lorsqu'elles se produisent.
10
Ecole Normale Supérieure de l’Enseignement ﻟﻤﺪﺭﺳﺔ ﺍﻟﻌﻠﻴﺎ ﻸﺳﺎﺗﺬﺓ ﺍﻟﺘﻌﻠﻴﻢ ﺍﻟﺘﻘﻨﻲ المحمدية ﺍ
Technique Mohammedia
Université Hassan II de Casablanca
ENSET ﺟﺎﻣﻌﺔ ﺍﻟﺤﺴﻦ ﺍﻟﺜﺎﻧﻲ ﺑﺎﻟﺪﺍﺭ ﺍﻟﺒﻴﻀﺎﺀ
- Les problèmes de capteurs pouvant avoir une incidence sur le trafic réseaux
- Le surcharge du captur affecte le réseau
- Une certaine incidence sur le réseau
3.3.2.1 Avantages
- Offre une protection spécifique à un système d'exploitation hôte.
- Offre une protection au niveau du système d’exploitation et des
applications.
- Protège l'hôte après déchiffrement des messages.
3.3.2.2 Inconvénients
- Il dépend du système d'exploitation.
- Il doit être installé sur tous les hôtes.
11
Ecole Normale Supérieure de l’Enseignement ﻟﻤﺪﺭﺳﺔ ﺍﻟﻌﻠﻴﺎ ﻸﺳﺎﺗﺬﺓ ﺍﻟﺘﻌﻠﻴﻢ ﺍﻟﺘﻘﻨﻲ المحمدية ﺍ
Technique Mohammedia
Université Hassan II de Casablanca
ENSET ﺟﺎﻣﻌﺔ ﺍﻟﺤﺴﻦ ﺍﻟﺜﺎﻧﻲ ﺑﺎﻟﺪﺍﺭ ﺍﻟﺒﻴﻀﺎﺀ
12
Ecole Normale Supérieure de l’Enseignement ﻟﻤﺪﺭﺳﺔ ﺍﻟﻌﻠﻴﺎ ﻸﺳﺎﺗﺬﺓ ﺍﻟﺘﻌﻠﻴﻢ ﺍﻟﺘﻘﻨﻲ المحمدية ﺍ
Technique Mohammedia
Université Hassan II de Casablanca
ENSET ﺟﺎﻣﻌﺔ ﺍﻟﺤﺴﻦ ﺍﻟﺜﺎﻧﻲ ﺑﺎﻟﺪﺍﺭ ﺍﻟﺒﻴﻀﺎﺀ
13
Ecole Normale Supérieure de l’Enseignement ﻟﻤﺪﺭﺳﺔ ﺍﻟﻌﻠﻴﺎ ﻸﺳﺎﺗﺬﺓ ﺍﻟﺘﻌﻠﻴﻢ ﺍﻟﺘﻘﻨﻲ المحمدية ﺍ
Technique Mohammedia
Université Hassan II de Casablanca
ENSET ﺟﺎﻣﻌﺔ ﺍﻟﺤﺴﻦ ﺍﻟﺜﺎﻧﻲ ﺑﺎﻟﺪﺍﺭ ﺍﻟﺒﻴﻀﺎﺀ
14
Ecole Normale Supérieure de l’Enseignement ﻟﻤﺪﺭﺳﺔ ﺍﻟﻌﻠﻴﺎ ﻸﺳﺎﺗﺬﺓ ﺍﻟﺘﻌﻠﻴﻢ ﺍﻟﺘﻘﻨﻲ المحمدية ﺍ
Technique Mohammedia
Université Hassan II de Casablanca
ENSET ﺟﺎﻣﻌﺔ ﺍﻟﺤﺴﻦ ﺍﻟﺜﺎﻧﻲ ﺑﺎﻟﺪﺍﺭ ﺍﻟﺒﻴﻀﺎﺀ
15
Ecole Normale Supérieure de l’Enseignement ﻟﻤﺪﺭﺳﺔ ﺍﻟﻌﻠﻴﺎ ﻸﺳﺎﺗﺬﺓ ﺍﻟﺘﻌﻠﻴﻢ ﺍﻟﺘﻘﻨﻲ المحمدية ﺍ
Technique Mohammedia
Université Hassan II de Casablanca
ENSET ﺟﺎﻣﻌﺔ ﺍﻟﺤﺴﻦ ﺍﻟﺜﺎﻧﻲ ﺑﺎﻟﺪﺍﺭ ﺍﻟﺒﻴﻀﺎﺀ
16
Ecole Normale Supérieure de l’Enseignement ﻟﻤﺪﺭﺳﺔ ﺍﻟﻌﻠﻴﺎ ﻸﺳﺎﺗﺬﺓ ﺍﻟﺘﻌﻠﻴﻢ ﺍﻟﺘﻘﻨﻲ المحمدية ﺍ
Technique Mohammedia
Université Hassan II de Casablanca
ENSET ﺟﺎﻣﻌﺔ ﺍﻟﺤﺴﻦ ﺍﻟﺜﺎﻧﻲ ﺑﺎﻟﺪﺍﺭ ﺍﻟﺒﻴﻀﺎﺀ
17
Ecole Normale Supérieure de l’Enseignement ﻟﻤﺪﺭﺳﺔ ﺍﻟﻌﻠﻴﺎ ﻸﺳﺎﺗﺬﺓ ﺍﻟﺘﻌﻠﻴﻢ ﺍﻟﺘﻘﻨﻲ المحمدية ﺍ
Technique Mohammedia
Université Hassan II de Casablanca
ENSET ﺟﺎﻣﻌﺔ ﺍﻟﺤﺴﻦ ﺍﻟﺜﺎﻧﻲ ﺑﺎﻟﺪﺍﺭ ﺍﻟﺒﻴﻀﺎﺀ
L'exemple de règle suivant est simple et permet de détecter les tentatives de login
sous l'utilisateur root, pour le protocole ftp (port 21) :
alert tcp any any -> 192.168.1.0/24 21 (content: "USER root"; nocase;
msg: "Tentative d'accès au FTP pour l'utilisateur root";)
18
Ecole Normale Supérieure de l’Enseignement ﻟﻤﺪﺭﺳﺔ ﺍﻟﻌﻠﻴﺎ ﻸﺳﺎﺗﺬﺓ ﺍﻟﺘﻌﻠﻴﻢ ﺍﻟﺘﻘﻨﻲ المحمدية ﺍ
Technique Mohammedia
Université Hassan II de Casablanca
ENSET ﺟﺎﻣﻌﺔ ﺍﻟﺤﺴﻦ ﺍﻟﺜﺎﻧﻲ ﺑﺎﻟﺪﺍﺭ ﺍﻟﺒﻴﻀﺎﺀ
2.1 Description
OSSEC est un HIDS Open Source. Développé initialement dans le but d'analyser
quelques fichiers journaux de différents serveurs, il est devenu aujourd'hui bien plus
puissant qu'un simple analyseur de logs.
Capable d'analyser différents formats de journalisation tels que ceux d’Apache,
syslog, Snort, et intégrant un analyseur d'intégrité système, il est devenu aujourd'hui un
logiciel de détection d'intrusions à part entière. Ses fonctions lui permettent de détecter des
anomalies apparues sur le système. Par exemple, de multiples erreurs 404 dans les logs du
serveur web Apache, la présence d'un rootkit11 caché dans un binaire système, ou encore
des essais d'envoi de mail par relay smtp.
En réalité, grâce à un système de règles entièrement paramétrable via des fichiers
XML, OSSEC est capable de détecter n'importe quelle anomalie. De plus, il est doté d'un
système de « réponse active » qui permet à une commande d’être exécutée lors de la
détection d'une anomalie.
Dans cette partie du TP nous allons mettre en œuvre HIDS via OSSEC. Il s’agit
d'implémenter une machine OSSEC Server et une machine OSSEC Agent, afin de visualiser
les alertes du système via Kibana, comme illustré ci-dessous.
19
Ecole Normale Supérieure de l’Enseignement ﻟﻤﺪﺭﺳﺔ ﺍﻟﻌﻠﻴﺎ ﻸﺳﺎﺗﺬﺓ ﺍﻟﺘﻌﻠﻴﻢ ﺍﻟﺘﻘﻨﻲ المحمدية ﺍ
Technique Mohammedia
Université Hassan II de Casablanca
ENSET ﺟﺎﻣﻌﺔ ﺍﻟﺤﺴﻦ ﺍﻟﺜﺎﻧﻲ ﺑﺎﻟﺪﺍﺭ ﺍﻟﺒﻴﻀﺎﺀ
20
Ecole Normale Supérieure de l’Enseignement ﻟﻤﺪﺭﺳﺔ ﺍﻟﻌﻠﻴﺎ ﻸﺳﺎﺗﺬﺓ ﺍﻟﺘﻌﻠﻴﻢ ﺍﻟﺘﻘﻨﻲ المحمدية ﺍ
Technique Mohammedia
Université Hassan II de Casablanca
ENSET ﺟﺎﻣﻌﺔ ﺍﻟﺤﺴﻦ ﺍﻟﺜﺎﻧﻲ ﺑﺎﻟﺪﺍﺭ ﺍﻟﺒﻴﻀﺎﺀ
21
Ecole Normale Supérieure de l’Enseignement ﻟﻤﺪﺭﺳﺔ ﺍﻟﻌﻠﻴﺎ ﻸﺳﺎﺗﺬﺓ ﺍﻟﺘﻌﻠﻴﻢ ﺍﻟﺘﻘﻨﻲ المحمدية ﺍ
Technique Mohammedia
Université Hassan II de Casablanca
ENSET ﺟﺎﻣﻌﺔ ﺍﻟﺤﺴﻦ ﺍﻟﺜﺎﻧﻲ ﺑﺎﻟﺪﺍﺭ ﺍﻟﺒﻴﻀﺎﺀ
22
Ecole Normale Supérieure de l’Enseignement ﻟﻤﺪﺭﺳﺔ ﺍﻟﻌﻠﻴﺎ ﻸﺳﺎﺗﺬﺓ ﺍﻟﺘﻌﻠﻴﻢ ﺍﻟﺘﻘﻨﻲ المحمدية ﺍ
Technique Mohammedia
Université Hassan II de Casablanca
ENSET ﺟﺎﻣﻌﺔ ﺍﻟﺤﺴﻦ ﺍﻟﺜﺎﻧﻲ ﺑﺎﻟﺪﺍﺭ ﺍﻟﺒﻴﻀﺎﺀ
23
Ecole Normale Supérieure de l’Enseignement ﻟﻤﺪﺭﺳﺔ ﺍﻟﻌﻠﻴﺎ ﻸﺳﺎﺗﺬﺓ ﺍﻟﺘﻌﻠﻴﻢ ﺍﻟﺘﻘﻨﻲ المحمدية ﺍ
Technique Mohammedia
Université Hassan II de Casablanca
ENSET ﺟﺎﻣﻌﺔ ﺍﻟﺤﺴﻦ ﺍﻟﺜﺎﻧﻲ ﺑﺎﻟﺪﺍﺭ ﺍﻟﺒﻴﻀﺎﺀ
24
Ecole Normale Supérieure de l’Enseignement ﻟﻤﺪﺭﺳﺔ ﺍﻟﻌﻠﻴﺎ ﻸﺳﺎﺗﺬﺓ ﺍﻟﺘﻌﻠﻴﻢ ﺍﻟﺘﻘﻨﻲ المحمدية ﺍ
Technique Mohammedia
Université Hassan II de Casablanca
ENSET ﺟﺎﻣﻌﺔ ﺍﻟﺤﺴﻦ ﺍﻟﺜﺎﻧﻲ ﺑﺎﻟﺪﺍﺭ ﺍﻟﺒﻴﻀﺎﺀ
25
Ecole Normale Supérieure de l’Enseignement ﻟﻤﺪﺭﺳﺔ ﺍﻟﻌﻠﻴﺎ ﻸﺳﺎﺗﺬﺓ ﺍﻟﺘﻌﻠﻴﻢ ﺍﻟﺘﻘﻨﻲ المحمدية ﺍ
Technique Mohammedia
Université Hassan II de Casablanca
ENSET ﺟﺎﻣﻌﺔ ﺍﻟﺤﺴﻦ ﺍﻟﺜﺎﻧﻲ ﺑﺎﻟﺪﺍﺭ ﺍﻟﺒﻴﻀﺎﺀ
26
Ecole Normale Supérieure de l’Enseignement ﻟﻤﺪﺭﺳﺔ ﺍﻟﻌﻠﻴﺎ ﻸﺳﺎﺗﺬﺓ ﺍﻟﺘﻌﻠﻴﻢ ﺍﻟﺘﻘﻨﻲ المحمدية ﺍ
Technique Mohammedia
Université Hassan II de Casablanca
ENSET ﺟﺎﻣﻌﺔ ﺍﻟﺤﺴﻦ ﺍﻟﺜﺎﻧﻲ ﺑﺎﻟﺪﺍﺭ ﺍﻟﺒﻴﻀﺎﺀ
- L’agent est reconnu, les donnees de l’agent sont affchees, mais le statut actuel de
l’agent est éteint.
27
Ecole Normale Supérieure de l’Enseignement ﻟﻤﺪﺭﺳﺔ ﺍﻟﻌﻠﻴﺎ ﻸﺳﺎﺗﺬﺓ ﺍﻟﺘﻌﻠﻴﻢ ﺍﻟﺘﻘﻨﻲ المحمدية ﺍ
Technique Mohammedia
Université Hassan II de Casablanca
ENSET ﺟﺎﻣﻌﺔ ﺍﻟﺤﺴﻦ ﺍﻟﺜﺎﻧﻲ ﺑﺎﻟﺪﺍﺭ ﺍﻟﺒﻴﻀﺎﺀ
- Allumer OSSEC.
28
Ecole Normale Supérieure de l’Enseignement ﻟﻤﺪﺭﺳﺔ ﺍﻟﻌﻠﻴﺎ ﻸﺳﺎﺗﺬﺓ ﺍﻟﺘﻌﻠﻴﻢ ﺍﻟﺘﻘﻨﻲ المحمدية ﺍ
Technique Mohammedia
Université Hassan II de Casablanca
ENSET ﺟﺎﻣﻌﺔ ﺍﻟﺤﺴﻦ ﺍﻟﺜﺎﻧﻲ ﺑﺎﻟﺪﺍﺭ ﺍﻟﺒﻴﻀﺎﺀ
- Dans votre server OSSEC, vous accéder kibana par défaut dans les favoris du
browser, ou à partir de ce lien http://localhost:5601/app/kibana#/home?_g=().
29
Ecole Normale Supérieure de l’Enseignement ﻟﻤﺪﺭﺳﺔ ﺍﻟﻌﻠﻴﺎ ﻸﺳﺎﺗﺬﺓ ﺍﻟﺘﻌﻠﻴﻢ ﺍﻟﺘﻘﻨﻲ المحمدية ﺍ
Technique Mohammedia
Université Hassan II de Casablanca
ENSET ﺟﺎﻣﻌﺔ ﺍﻟﺤﺴﻦ ﺍﻟﺜﺎﻧﻲ ﺑﺎﻟﺪﺍﺭ ﺍﻟﺒﻴﻀﺎﺀ
- Vous pouvez ajouter des filtres par temps par exemple, pour la recherche des
alertes, et les agents du système, et visualiser l’historique des événements parvenus
au sein du système.
- Vous trouverez aussi l’historique des alertes créées par les agents et plein
d’informations utiles.
30
Ecole Normale Supérieure de l’Enseignement ﻟﻤﺪﺭﺳﺔ ﺍﻟﻌﻠﻴﺎ ﻸﺳﺎﺗﺬﺓ ﺍﻟﺘﻌﻠﻴﻢ ﺍﻟﺘﻘﻨﻲ المحمدية ﺍ
Technique Mohammedia
Université Hassan II de Casablanca
ENSET ﺟﺎﻣﻌﺔ ﺍﻟﺤﺴﻦ ﺍﻟﺜﺎﻧﻲ ﺑﺎﻟﺪﺍﺭ ﺍﻟﺒﻴﻀﺎﺀ
Kibana vous offre énormément de fonctionnalités, vous pourrez créer vos dashboard,
et administrer les alertes.,etc. Afin de surveiller votre système pour prévenir et détecter toute
action malveillante.
31
Ecole Normale Supérieure de l’Enseignement ﻟﻤﺪﺭﺳﺔ ﺍﻟﻌﻠﻴﺎ ﻸﺳﺎﺗﺬﺓ ﺍﻟﺘﻌﻠﻴﻢ ﺍﻟﺘﻘﻨﻲ المحمدية ﺍ
Technique Mohammedia
Université Hassan II de Casablanca
ENSET ﺟﺎﻣﻌﺔ ﺍﻟﺤﺴﻦ ﺍﻟﺜﺎﻧﻲ ﺑﺎﻟﺪﺍﺭ ﺍﻟﺒﻴﻀﺎﺀ
3.1 Objectifs
· Activer IOS IPS.
· Configurer la journalisation.
· Vérifiez IPS.
32
Ecole Normale Supérieure de l’Enseignement ﻟﻤﺪﺭﺳﺔ ﺍﻟﻌﻠﻴﺎ ﻸﺳﺎﺗﺬﺓ ﺍﻟﺘﻌﻠﻴﻢ ﺍﻟﺘﻘﻨﻲ المحمدية ﺍ
Technique Mohammedia
Université Hassan II de Casablanca
ENSET ﺟﺎﻣﻌﺔ ﺍﻟﺤﺴﻦ ﺍﻟﺜﺎﻧﻲ ﺑﺎﻟﺪﺍﺭ ﺍﻟﺒﻴﻀﺎﺀ
b. Si le package Security Technology n'a pas été activé, utilisez la commande suivante
pour activer le package.
33
Ecole Normale Supérieure de l’Enseignement ﻟﻤﺪﺭﺳﺔ ﺍﻟﻌﻠﻴﺎ ﻸﺳﺎﺗﺬﺓ ﺍﻟﺘﻌﻠﻴﻢ ﺍﻟﺘﻘﻨﻲ المحمدية ﺍ
Technique Mohammedia
Université Hassan II de Casablanca
ENSET ﺟﺎﻣﻌﺔ ﺍﻟﺤﺴﻦ ﺍﻟﺜﺎﻧﻲ ﺑﺎﻟﺪﺍﺭ ﺍﻟﺒﻴﻀﺎﺀ
Reload
34
Ecole Normale Supérieure de l’Enseignement ﻟﻤﺪﺭﺳﺔ ﺍﻟﻌﻠﻴﺎ ﻸﺳﺎﺗﺬﺓ ﺍﻟﺘﻌﻠﻴﻢ ﺍﻟﺘﻘﻨﻲ المحمدية ﺍ
Technique Mohammedia
Université Hassan II de Casablanca
ENSET ﺟﺎﻣﻌﺔ ﺍﻟﺤﺴﻦ ﺍﻟﺜﺎﻧﻲ ﺑﺎﻟﺪﺍﺭ ﺍﻟﺒﻴﻀﺎﺀ
35
Ecole Normale Supérieure de l’Enseignement ﻟﻤﺪﺭﺳﺔ ﺍﻟﻌﻠﻴﺎ ﻸﺳﺎﺗﺬﺓ ﺍﻟﺘﻌﻠﻴﻢ ﺍﻟﺘﻘﻨﻲ المحمدية ﺍ
Technique Mohammedia
Université Hassan II de Casablanca
ENSET ﺟﺎﻣﻌﺔ ﺍﻟﺤﺴﻦ ﺍﻟﺜﺎﻧﻲ ﺑﺎﻟﺪﺍﺭ ﺍﻟﺒﻴﻀﺎﺀ
36
Ecole Normale Supérieure de l’Enseignement ﻟﻤﺪﺭﺳﺔ ﺍﻟﻌﻠﻴﺎ ﻸﺳﺎﺗﺬﺓ ﺍﻟﺘﻌﻠﻴﻢ ﺍﻟﺘﻘﻨﻲ المحمدية ﺍ
Technique Mohammedia
Université Hassan II de Casablanca
ENSET ﺟﺎﻣﻌﺔ ﺍﻟﺤﺴﻦ ﺍﻟﺜﺎﻧﻲ ﺑﺎﻟﺪﺍﺭ ﺍﻟﺒﻴﻀﺎﺀ
Sur R1, créez un répertoire dans flash à l'aide de la commande mkdir. Nommez le répertoire
ipsdir.
37
Ecole Normale Supérieure de l’Enseignement ﻟﻤﺪﺭﺳﺔ ﺍﻟﻌﻠﻴﺎ ﻸﺳﺎﺗﺬﺓ ﺍﻟﺘﻌﻠﻴﻢ ﺍﻟﺘﻘﻨﻲ المحمدية ﺍ
Technique Mohammedia
Université Hassan II de Casablanca
ENSET ﺟﺎﻣﻌﺔ ﺍﻟﺤﺴﻦ ﺍﻟﺜﺎﻧﻲ ﺑﺎﻟﺪﺍﺭ ﺍﻟﺒﻴﻀﺎﺀ
Sur R1, configurez l'emplacement de stockage des signatures IPS sur le répertoire que nous
venons de créer.
38
Ecole Normale Supérieure de l’Enseignement ﻟﻤﺪﺭﺳﺔ ﺍﻟﻌﻠﻴﺎ ﻸﺳﺎﺗﺬﺓ ﺍﻟﺘﻌﻠﻴﻢ ﺍﻟﺘﻘﻨﻲ المحمدية ﺍ
Technique Mohammedia
Université Hassan II de Casablanca
ENSET ﺟﺎﻣﻌﺔ ﺍﻟﺤﺴﻦ ﺍﻟﺜﺎﻧﻲ ﺑﺎﻟﺪﺍﺭ ﺍﻟﺒﻴﻀﺎﺀ
Sur R1, créez un nom de règle IPS à l'aide de la commande ip ips name name en mode de
configuration globale. Nommez la règle IPS iosips.
39
Ecole Normale Supérieure de l’Enseignement ﻟﻤﺪﺭﺳﺔ ﺍﻟﻌﻠﻴﺎ ﻸﺳﺎﺗﺬﺓ ﺍﻟﺘﻌﻠﻴﻢ ﺍﻟﺘﻘﻨﻲ المحمدية ﺍ
Technique Mohammedia
Université Hassan II de Casablanca
ENSET ﺟﺎﻣﻌﺔ ﺍﻟﺤﺴﻦ ﺍﻟﺜﺎﻧﻲ ﺑﺎﻟﺪﺍﺭ ﺍﻟﺒﻴﻀﺎﺀ
IOS IPS prend en charge l'utilisation de syslog pour envoyer une notification d'événement.
La notification Syslog est activée par défaut. Si la console de journalisation est activée, les
messages syslog IPS s'affichent.
40
Ecole Normale Supérieure de l’Enseignement ﻟﻤﺪﺭﺳﺔ ﺍﻟﻌﻠﻴﺎ ﻸﺳﺎﺗﺬﺓ ﺍﻟﺘﻌﻠﻴﻢ ﺍﻟﺘﻘﻨﻲ المحمدية ﺍ
Technique Mohammedia
Université Hassan II de Casablanca
ENSET ﺟﺎﻣﻌﺔ ﺍﻟﺤﺴﻦ ﺍﻟﺜﺎﻧﻲ ﺑﺎﻟﺪﺍﺭ ﺍﻟﺒﻴﻀﺎﺀ
41
Ecole Normale Supérieure de l’Enseignement ﻟﻤﺪﺭﺳﺔ ﺍﻟﻌﻠﻴﺎ ﻸﺳﺎﺗﺬﺓ ﺍﻟﺘﻌﻠﻴﻢ ﺍﻟﺘﻘﻨﻲ المحمدية ﺍ
Technique Mohammedia
Université Hassan II de Casablanca
ENSET ﺟﺎﻣﻌﺔ ﺍﻟﺤﺴﻦ ﺍﻟﺜﺎﻧﻲ ﺑﺎﻟﺪﺍﺭ ﺍﻟﺒﻴﻀﺎﺀ
42
Ecole Normale Supérieure de l’Enseignement ﻟﻤﺪﺭﺳﺔ ﺍﻟﻌﻠﻴﺎ ﻸﺳﺎﺗﺬﺓ ﺍﻟﺘﻌﻠﻴﻢ ﺍﻟﺘﻘﻨﻲ المحمدية ﺍ
Technique Mohammedia
Université Hassan II de Casablanca
ENSET ﺟﺎﻣﻌﺔ ﺍﻟﺤﺴﻦ ﺍﻟﺜﺎﻧﻲ ﺑﺎﻟﺪﺍﺭ ﺍﻟﺒﻴﻀﺎﺀ
43
Ecole Normale Supérieure de l’Enseignement ﻟﻤﺪﺭﺳﺔ ﺍﻟﻌﻠﻴﺎ ﻸﺳﺎﺗﺬﺓ ﺍﻟﺘﻌﻠﻴﻢ ﺍﻟﺘﻘﻨﻲ المحمدية ﺍ
Technique Mohammedia
Université Hassan II de Casablanca
ENSET ﺟﺎﻣﻌﺔ ﺍﻟﺤﺴﻦ ﺍﻟﺜﺎﻧﻲ ﺑﺎﻟﺪﺍﺭ ﺍﻟﺒﻴﻀﺎﺀ
Remarque : La direction vers l'intérieur signifie qu'IPS inspecte uniquement le trafic entrant
dans l'interface. De même, out signifie qu'IPS n'inspecte que le trafic sortant de l'interface.
44
Ecole Normale Supérieure de l’Enseignement ﻟﻤﺪﺭﺳﺔ ﺍﻟﻌﻠﻴﺎ ﻸﺳﺎﺗﺬﺓ ﺍﻟﺘﻌﻠﻴﻢ ﺍﻟﺘﻘﻨﻲ المحمدية ﺍ
Technique Mohammedia
Université Hassan II de Casablanca
ENSET ﺟﺎﻣﻌﺔ ﺍﻟﺤﺴﻦ ﺍﻟﺜﺎﻧﻲ ﺑﺎﻟﺪﺍﺭ ﺍﻟﺒﻴﻀﺎﺀ
45
Ecole Normale Supérieure de l’Enseignement ﻟﻤﺪﺭﺳﺔ ﺍﻟﻌﻠﻴﺎ ﻸﺳﺎﺗﺬﺓ ﺍﻟﺘﻌﻠﻴﻢ ﺍﻟﺘﻘﻨﻲ المحمدية ﺍ
Technique Mohammedia
Université Hassan II de Casablanca
ENSET ﺟﺎﻣﻌﺔ ﺍﻟﺤﺴﻦ ﺍﻟﺜﺎﻧﻲ ﺑﺎﻟﺪﺍﺭ ﺍﻟﺒﻴﻀﺎﺀ
46
Ecole Normale Supérieure de l’Enseignement ﻟﻤﺪﺭﺳﺔ ﺍﻟﻌﻠﻴﺎ ﻸﺳﺎﺗﺬﺓ ﺍﻟﺘﻌﻠﻴﻢ ﺍﻟﺘﻘﻨﻲ المحمدية ﺍ
Technique Mohammedia
Université Hassan II de Casablanca
ENSET ﺟﺎﻣﻌﺔ ﺍﻟﺤﺴﻦ ﺍﻟﺜﺎﻧﻲ ﺑﺎﻟﺪﺍﺭ ﺍﻟﺒﻴﻀﺎﺀ
47
Ecole Normale Supérieure de l’Enseignement ﻟﻤﺪﺭﺳﺔ ﺍﻟﻌﻠﻴﺎ ﻸﺳﺎﺗﺬﺓ ﺍﻟﺘﻌﻠﻴﻢ ﺍﻟﺘﻘﻨﻲ المحمدية ﺍ
Technique Mohammedia
Université Hassan II de Casablanca
ENSET ﺟﺎﻣﻌﺔ ﺍﻟﺤﺴﻦ ﺍﻟﺜﺎﻧﻲ ﺑﺎﻟﺪﺍﺭ ﺍﻟﺒﻴﻀﺎﺀ
48
Ecole Normale Supérieure de l’Enseignement ﻟﻤﺪﺭﺳﺔ ﺍﻟﻌﻠﻴﺎ ﻸﺳﺎﺗﺬﺓ ﺍﻟﺘﻌﻠﻴﻢ ﺍﻟﺘﻘﻨﻲ المحمدية ﺍ
Technique Mohammedia
Université Hassan II de Casablanca
ENSET ﺟﺎﻣﻌﺔ ﺍﻟﺤﺴﻦ ﺍﻟﺜﺎﻧﻲ ﺑﺎﻟﺪﺍﺭ ﺍﻟﺒﻴﻀﺎﺀ
Sylog
Router
49
Ecole Normale Supérieure de l’Enseignement ﻟﻤﺪﺭﺳﺔ ﺍﻟﻌﻠﻴﺎ ﻸﺳﺎﺗﺬﺓ ﺍﻟﺘﻌﻠﻴﻢ ﺍﻟﺘﻘﻨﻲ المحمدية ﺍ
Technique Mohammedia
Université Hassan II de Casablanca
ENSET ﺟﺎﻣﻌﺔ ﺍﻟﺤﺴﻦ ﺍﻟﺜﺎﻧﻲ ﺑﺎﻟﺪﺍﺭ ﺍﻟﺒﻴﻀﺎﺀ
Conclusion
Bien que répandus dans les organisations aujourd’hui, les systèmes de
détection d’intrusions ne représentent qu’un maillon d’une politique de sécurité. En
effet, même si ceux-ci permettent la détection, parfois l’arrêt, des intrusions, ils
restent néanmoins vulnérables eux aussi face aux attaques externes. C’est
pourquoi, pour une sécurité optimale, ces outils doivent être couplés à d’autres,
comme l’indispensable pare-feu. Mais ils doivent aussi être mis à jour, aussi bien le
cœur du logiciel que la base de signatures, qui constitue la base d’une détection
efficace. Il faut également coupler les systèmes de détection entre eux : c’est-à-dire
ne pas hésiter à placer des NIDS et HIDS dans le même réseau. Leurs rôles sont
différents, et chacun apporte ses fonctionnalités.
50
Ecole Normale Supérieure de l’Enseignement ﻟﻤﺪﺭﺳﺔ ﺍﻟﻌﻠﻴﺎ ﻸﺳﺎﺗﺬﺓ ﺍﻟﺘﻌﻠﻴﻢ ﺍﻟﺘﻘﻨﻲ المحمدية ﺍ
Technique Mohammedia
Université Hassan II de Casablanca
ENSET ﺟﺎﻣﻌﺔ ﺍﻟﺤﺴﻦ ﺍﻟﺜﺎﻧﻲ ﺑﺎﻟﺪﺍﺭ ﺍﻟﺒﻴﻀﺎﺀ
Références
- https://www.vmware.com/latam/products/workstation-pro/workstation-pro-evaluation.
html
- https://codebots.com/docs/ubuntu-18-04-virtual-machine-setup
- https://www.youtube.com/watch?v=MNp_2a-yB_w&ab_channel=G.Tech
- https://www.ossec.net/download-ossec/
- https://www.ibm.com/docs/en/snips/4.6.0?topic=rules-configuring-snort
51