Rapport de La Présentation: Glsid

Ecole Normale Supérieure de l’Enseignement ‫ﻟﻤﺪﺭﺳﺔ ﺍﻟﻌﻠﻴﺎ ﻸﺳﺎﺗﺬﺓ ﺍﻟﺘﻌﻠﻴﻢ ﺍﻟﺘﻘﻨﻲ المحمدية‬
‫ﺍ‬
Technique Mohammedia
Université Hassan II de Casablanca
ENSET ‫ﺟﺎﻣﻌﺔ ﺍﻟﺤﺴﻦ ﺍﻟﺜﺎﻧﻲ ﺑﺎﻟﺪﺍﺭ ﺍﻟﺒﻴﻀﺎﺀ‬
Département Mathématiques et Informatique
Rapport de la présentation
Filière :
« Génie du Logiciel et des Systèmes Informatiques Distribués »
GLSID
Année Universitaire : 2022-2023
1
Ecole Normale Supérieure de l’Enseignement ‫ﻟﻤﺪﺭﺳﺔ ﺍﻟﻌﻠﻴﺎ ﻸﺳﺎﺗﺬﺓ ﺍﻟﺘﻌﻠﻴﻢ ﺍﻟﺘﻘﻨﻲ المحمدية‬ ‫ﺍ‬
Abréviation
SNORT: The Open Source Network Intrusion Detection System.
NAT: Network Address Translation
DMZ: Demilitarized Zone
IDS: Intrusion Detection System
NIDS: Intrusion Detection System
HIDS: Host Intrusion Detection Systems
IPS: Intrusion Prevention System
IRC: Internet Relay Chat
NSA: National Security Agency
SANS: Computer & Information Security Training
ISS: Internet Security System
RSDP: Real Secure Desktop Protector
NAC: Network Admission Control
EAP: Extensible Authentication Protocol
VPN: Virtual Private Network
SIM: Security Information Management
CSA: CISCO Security Agent
Dos: Denial of Service
2
Table de matière
Abréviation 2
Table de matière 3
Introduction 5
I. Partie théorique 6
1. Le système de détection des intrusions (IDS) 6
1.1Définition de IDS 6
1.2 L'importance d’un système IDS 7
1.3 Fonctions et rôles : 7
2. Les différents types d'IDS 7
2.1 Les systèmes de détection d’intrusions « réseaux » (NIDS) 8
2.1.1 Objectif : 8
2.1.2 Advantages 8
2.1.3 Inconvénients 9
2.2 Les systèmes de détection d’intrusions « host» (HIDS) 10
2.2.1 Advantages 10
2.2.2 Inconvénients 11
3. IPS 11
3.1 Définition 11
3.2 Caractéristiques Communes (IDS et IPS ) 11
3.2.1 Avantages d’IPS 11
3.2.2 Inconvénient d’IPS 12
3.3 Types d'IPS 12
3.3.1 IPS basé sur l'hôte (HIPS) 12
3.3.2 IPS en réseau 12
3.3.2 IPS basé sur l'hôte 12
3.3.2.1 Avantages 12
3.3.2.2 Inconvénients 12
II. Partie pratique 13

1. Mise en œuvre NIDS avec SNORT 13
2. Mise en œuvre HIDS via OSSEC 20
3. Configurer le système de prévention des intrusions IOS (IPS) 32
Conclusion 51
Références 52
3
Introduction
Les systèmes d'information sont aujourd'hui de plus en plus ouverts sur

Internet. Cette ouverture, a priori bénéfique, pose néanmoins un problème majeur: il
en découle un nombre croissant d'attaques. La mise en place d’une politique de
sécurité autour de ces systèmes est donc primordiale.
Ce que nous appelons intrusion signifie pénétration des systèmes

d'information mais aussi tentatives des utilisateurs locaux d'accéder à de plus hauts
privilèges que ceux qui leur sont attribués, ou tentatives des administrateurs
d'abuser de leurs privilèges
Ce rapport va vous présenter les systèmes de détection et il vous répond les
questions suivantes :
- Pourquoi avez-vous besoin de l'IDS ?
- Comment peut-on installer un système de détection des intrusions ?
- Étude de cas avec le logiciel libre « SNORT » et OSSEC ainsi que la
mise en place d’un IPS
4
I. Partie théorique
1. Le système de détection des intrusions (IDS)
Il y a toujours des risques lorsque votre ordinateur est connecté au réseau
internet. Ces risques peuvent causer des dommages dans votre système, Par
exemple vos données sont perdues ou volées… Les hackers malicieux abusent
toujours des vulnérabilités des services, des applications ou de réseau pour attaquer
votre ordinateur. C’est pourquoi nous avons besoin des bonnes stratégies de
contrôle des packages circulés sur le réseau.
La détection des intrusions permet à des organisations de protéger leur
système contre des menaces qui viennent par l'évolution du réseau et la confiance
sur le système informatique. L’IDS a gagné l’acceptation comme une nécessité
supplémentaire pour l’infrastructure de la sécurité de chaque organisation et
beaucoup d’organisations doivent justifier l’acquisition de IDS.
Pour réaliser cette idée, il est obligatoire de comprendre quelle est l’intrusion?
Comment fonctionne-t- il sur le réseau? À partir de cela, vous pouvez choisir telle
solution pour votre système.
1.1Définition de IDS
Tout d'abord, comme nous avons déjà vu durant le cours avec monsieur EL
GUEMMAT, l’intrusion est causée par les attaques accédant au système via
l’Internet, autorisant l’utilisateur du système qui essayer à gagner les privilèges
supplémentaires pour lesquels ils n’ont pas autorisé, et autorisé les utilisateurs qui
abusent les privilèges donnés.
L'IDS est un ensemble de composants logiciels et matériels dont la fonction
principale est de détecter et analyser toute tentative d’effraction (volontaire ou non).
Détection des intrusions est le processus de surveillance des événements se
trouvant dans un système réseau et les analysant pour détecter les signes des
intrusions, défini comme des tentatives pour compromettre la confidentialité,
intégrité, disponibilité ou éviter des mécanismes de sécurité de l’ordinateur ou du
réseau. En résumant, Le système de détection des intrusions est un logiciel ou un
matériel qui automatise des surveillances et les processus analysés.
Juste comme remarque, les firewalls ne sont pas des IDS à proprement parler, mais
ils permettent également de stopper des attaques. Nous ne pouvions donc pas les
ignorer.
5
1.2 L'importance d’un système IDS

Pour surveiller la circulation des paquets sur le réseau. Vous pouvez
considérez le IDS comme une caméra installée devant votre port. Ça pour savoir qui
essaye d'attaquer votre réseau. Quand une tentative est réussie en passant votre
pare-feu (On va voir le fonctionnement des pare-feu avec nos collègues et
précisément Pfsense voir leur présentation), il va peut être provoquer des menaces.
Alors, vous pouvez diminuer ces menaces en connaissant ces tentatives. Donc cette
topologie vous permettra de vérifier que votre ligne de base du pare-feu est suivi, ou
que quelqu'un a fait une erreur en changeant une règle par exemple de pare-feu. Si
vous savez que votre ligne de base du par feu proscrivent l'utilisation de ftp et votre
système IDS montre des alertes de ftp, alors vous savez que le par feu ne bloque
pas le trafic de FTP. C'est juste un effet secondaire et ne devrait pas être la seule
manière que vous vérifiez la conformité à votre ligne de base.
1.3 Fonctions et rôles :

Détection des techniques de sondage (balayages de ports, fingerprinting),
des tentatives de compromission de systèmes, d’activités suspectes internes, des
activités virales ou encore audit des fichiers de journaux (logs).
Remarque: utopiquement, il s’agit d’un système capable de détecter tout type
d’attaque.
Certains termes sont souvent employés quand on parle d’IDS :
• Faux positif: une alerte provenant d’un IDS mais qui ne correspond pas à
une attaque réelle.
• Faux négatif: une intrusion réelle qui n’a pas été détectée par l’IDS
Afin de détecter les attaques que peut subir un système, il est nécessaire
d’avoir un logiciel spécialisé dont le rôle serait de surveiller les données qui
transitent sur ce système, et qui serait capable de réagir si des données semblent
suspectes.
2. Les différents types d'IDS

Comme nous l’avons vu, les attaques utilisées par les pirates sont très
variées. Certaines utilisent des failles réseaux et d’autres des failles de
programmation. Nous pouvons donc facilement comprendre que la détection
d’intrusions doit se faire à plusieurs niveaux
Ainsi, il existe différents types d’IDS dont nous détaillons ci-dessous les
caractéristiques principales.
6
2.1 Les systèmes de détection d’intrusions « réseaux » (NIDS)

Les services de détection d'intrusion réseau sont une proposition avancée et
coûteuse pour qu'ils fonctionnent correctement et efficacement dans l'environnement
d'une entreprise. Il est souvent utilisé dans les centres de données avec des
fournisseurs d'hébergement cloud pour fournir un niveau supérieur d'assurance de
cybersécurité sur leurs réseaux critiques. Cependant, dans le domaine des PME,
c'est souvent trop cher pour être pratique.
Des exceptions à ces directives générales s'appliquent, en particulier dans les
industries réglementées de la haute finance, les entrepreneurs de la défense
recherchant des certifications de sécurité de haut niveau.
2.1.1 Objectif :
L'objectif de NIDS est d'analyser de manière passive les flux en transit sur le
réseau et détecter les intrusions en temps réel. Un NIDS écoute donc tout le trafic
réseau, puis l’analyse et génère des alertes si des paquets semblent dangereux. Les
NIDS étant les IDS plus intéressants et les plus utiles du fait de l’omniprésence des
réseaux dans notre vie quotidienne, ce rapport se concentrera essentiellement sur
les différents types d’IDS et leur fonctionnement.
2.1.2 Advantages
- Le NIDS peut surveiller un grand réseau.
- Le déploiement de NIDS a peu d'impact sur un réseau existant.
7
- Les NIDS sont habituellement des dispositifs passifs qui écoutent sur un fil de
réseau sans interférer l'opération normale d'un réseau. Ainsi, il est
habituellement facile de monter un réseau pour inclure IDS avec l'effort
minimal.
- NIDS peut être très sûr contre l'attaque et être même se cache à beaucoup
d'attaquants
2.1.3 Inconvénients
- Il est difficile de traiter tous les paquets circulant sur un grand réseau. De
plus, il ne peut pas reconnaître des attaques pendant le temps de haut trafic.
- Quelques fournisseurs essaient d'implémenter le IDS sur le matériel pour qu’il
marche plus rapidement.
- Plusieurs des avantages de NIDS ne peuvent pas être appliqués pour les
commutateurs modernes. La plupart des commutateurs ne fournissent pas
des surveillances universelles des ports et limitent la gamme de surveillance
de NIDS. Même lorsque les commutateurs fournissent de tels ports de
surveillance, souvent le port simple ne peut pas refléter tout le trafic
traversant le commutateur.
- NIDS ne peut pas analyser des informations chiffrées (cryptées). Ce
problème a lieu dans les organisations utilisant le VPN.
- La plupart des NIDS ne peuvent pas indiquer si une attaque réussit ou non. Il
reconnaît seulement qu'une attaque est initialisée. C'est-à-dire qu'après que
le NIDS détecte une attaque, l’administrateur doit examiner manuellement
chaque host s’il a été en effet pénétré.
- Quelques NIDS provoquent des paquets en fragments. Ces paquets mal
formés font devenir le IDS instable et l'accident.
8
2.2 Les systèmes de détection d’intrusions « host» (HIDS)

Un HIDS se base sur une unique machine, en analysant cette fois plus le
trafic réseau mais l’activité se passant sur cette machine. Il analyse en temps réel
les flux relatifs à une machine ainsi que les journaux.
Un HIDS a besoin d’un système sain pour vérifier l’intégrité des données. Si
le système a été compromis par un pirate, le HIDS ne sera plus efficace. Pour parer
à ces attaques, il existe des KIDS (Kernel Intrusion Detection System) et KIPS
(Kernel Intrusion Prevention System) qui sont fortement liés au noyau. Ces types
d’IDS ne sont pas inclus dans notre sujet.
2.2.1 Advantages
- Pouvoir surveiller des événements local jusqu’au host, détecter des attaques
qui ne sont pas vues par NIDS
- Marcher dans un environnement dans lequel le trafic de réseau est crypté,
lorsque les sources des informations de host-based sont générées avant
l'encryptage des données ou après le décryptage des données au host de la
destination.
- HIDS n’est pas atteint par le réseau commuté.
- Lorsque HIDS marche sur la trainé de l’audit de SE, ils peuvent détecter le
Cheval de Troie ou les autres attaques concernant à la brèche intégrité de
logiciel.
9
2.2.2 Inconvénients
- HIDS est difficile à gérer, et des informations doivent être configurées et
gérées pour chaque host surveillé.
- Puisque au moins des sources de l’information pour HIDS se trouvent sur
l’host de la destination par les attaques, le IDS peut être attaqué et neutralisé
comme une partie de l’attaque.
- HIDS n’est pas bon pour le balayage de réseau de la détection ou les autres
tel que la surveillance qui s’adresse au réseau entier parce que le HIDS ne
voit que les paquets du réseau reçus par ses hosts.
- HIDS peut être neutralisé par certaines attaques de DoS.
- Lorsque HIDS emploie la traîne de l’audit du SE comme des sources des
informations, la somme de l’information est immense, alors il demande le
stockage supplémentaire local dans le système.
3. IPS
3.1 Définition
Qu'est-ce qu'un système de prévention d'intrusion? Un système de prévention
des intrusions (IPS) est un outil de sécurité réseau (qui peut être un périphérique
matériel ou un logiciel) qui surveille en permanence un réseau à la recherche
d'activités malveillantes et prend des mesures pour les empêcher, notamment en les
signalant, en les bloquant ou en les supprimant lorsqu'elles se produisent.
3.2 Caractéristiques Communes Des systemes de detection et de

prévention d' intrusion (IDS et IPS )
- Les deux solutions sont disposées comme des capteurs.

- Les deux solutions utilisent des signatures pour détecter les modèles
d’utilisations abusives dans le trafic réseau.
- Les deux peuvent détecter des comportements atomiques (un paquet) ou
composites (plusieurs packet) .
3.2.1 Avantages d’IPS
- Arrête les paquets déclencheurs

- Peut utiliser des techniques de normalisation des flux.
10
3.2.2 Inconvénient d’IPS
- Les problèmes de capteurs pouvant avoir une incidence sur le trafic réseaux
- Le surcharge du captur affecte le réseau
- Une certaine incidence sur le réseau
3.3 Types d'IPS
3.3.1 IPS basé sur l'hôte (HIPS)

- Logiciel installé sur un seul hôte pour surveiller et analyser toute activité
suspecte.
- Permet de surveiller et de protéger les processus du système d'exploitation et
les processus système critiques qui sont propres à l'hôte concerné.
- Combine les logiciels antivirus, antimalware et pare-feu.
3.3.2 IPS en réseau

- Peut être implémenté en utilisant un dispositif IPS dédié ou non.
- Élément essentiel à la prévention des intrusions.
- Les capteurs détectent en temps réel toute activité malveillante et non
autorisée, et peuvent prendre des mesures si nécessaire.
3.3.2 IPS basé sur l'hôte
3.3.2.1 Avantages
- Offre une protection spécifique à un système d'exploitation hôte.
- Offre une protection au niveau du système d’exploitation et des
applications.
- Protège l'hôte après déchiffrement des messages.
3.3.2.2 Inconvénients
- Il dépend du système d'exploitation.
- Il doit être installé sur tous les hôtes.
11
II. Partie pratique

Les prérequis de nos travaux pratiques :
- Des connaissances concernant des intrusions.

- L'utilisation de Linux sous la distribution Ubuntu et CentOs.
- L'utilisation du Packet Tracer.
1. Mise en œuvre NIDS avec SNORT

Maintenant que nous connaissons le but, le fonctionnement mais aussi les
faiblesses des IDS, nous pouvons découvrir plusieurs solutions logicielles
existantes.
Snort est un NIDS / NIPS provenant du monde Open Source. Il s'est imposé
comme le système de détection d'intrusions le plus utilisé. Snort est capable
d'effectuer une analyse du trafic réseau en temps réel et est doté de différentes
technologies de détection d'intrusions telles que l'analyse protocolaire et le pattern
matching. Snort peut détecter de nombreux types d'attaques : buffer overflows,
scans de ports furtifs, attaques CGI, tentatives de fingerprinting de système
d'exploitation…
Snort est doté d'un langage de règles permettant de décrire le trafic qui doit
être accepté ou collecté. De plus, son moteur de détection utilise une architecture
modulaire de plugins.
La figure illustre un réseau avec SNORT :
12
1.1 Installation SNORT

Tout d'abord, nous allons vous présenter les étapes de l'installation du snort sous linux
Ubuntu
13
14
1.2 Configuration Snort
15
16
- Mode écoute : Ce mode permet de lancer snort en mode sniffer et permet

d'observer les paquets que l'IDS perçoit ("snort -v")
1.3 Les règles en SNORT

- Mode "détection d'intrusion" : Le mode IDS permet à snort d'adopter un
comportement particulier en cas de détection d'une (succession) de chaînes
de caractères dans les paquets interceptés ; selon les règles définies dans les
fichiers d'extension ".rules" du répertoire /rules ("snort -A full -d -l ../log -c
$SNORTPATH/snort.conf").
17
les options de la règle(entre parenthèse) qui contiennent

- Le message d'alerte;
- Les conditions qui déterminent l'envoi de l'alerte en fonction du paquet
inspecté.
L'exemple de règle suivant est simple et permet de détecter les tentatives de login
sous l'utilisateur root, pour le protocole ftp (port 21) :
alert tcp any any -> 192.168.1.0/24 21 (content: "USER root"; nocase;
msg: "Tentative d'accès au FTP pour l'utilisateur root";)
18
2. Mise en œuvre HIDS via OSSEC
2.1 Description
OSSEC est un HIDS Open Source. Développé initialement dans le but d'analyser
quelques fichiers journaux de différents serveurs, il est devenu aujourd'hui bien plus
puissant qu'un simple analyseur de logs.
Capable d'analyser différents formats de journalisation tels que ceux d’Apache,
syslog, Snort, et intégrant un analyseur d'intégrité système, il est devenu aujourd'hui un
logiciel de détection d'intrusions à part entière. Ses fonctions lui permettent de détecter des
anomalies apparues sur le système. Par exemple, de multiples erreurs 404 dans les logs du
serveur web Apache, la présence d'un rootkit11 caché dans un binaire système, ou encore
des essais d'envoi de mail par relay smtp.
En réalité, grâce à un système de règles entièrement paramétrable via des fichiers
XML, OSSEC est capable de détecter n'importe quelle anomalie. De plus, il est doté d'un
système de « réponse active » qui permet à une commande d’être exécutée lors de la
détection d'une anomalie.
Dans cette partie du TP nous allons mettre en œuvre HIDS via OSSEC. Il s’agit
d'implémenter une machine OSSEC Server et une machine OSSEC Agent, afin de visualiser
les alertes du système via Kibana, comme illustré ci-dessous.
19
2.2 Mise en place de la machine server OSSEC

- Pour préparer l’environnement du cette partie du tp, vous devez télécharger puis
installer Virtual Appliance, qui joue le rôle du server, et et un agent par exemple
agent windows. Voici le lien vers le téléchargement
https://www.ossec.net/download-ossec/.
- Importer votre virtual machine Ossec “Virtual Appliance”.
20
L'importation peut prendre du temps.
21
- Allumer et accéder à votre machine virtuelle.
22
2.3 Mise en place de l’agent OSSEC

- Installer un agent sur votre machine, garder les options par défaut, en cliquant sur
suivant.
23
- Ouvrir votre logiciel OSSEC Agent Manager.

Deux informations sont requises, adresse ip du machine server et clé d'authentification.
2.4 Addition d’un agent

- Accéder au terminal de la machine server, en tant que super user. Exécutez
manage_agents sur le serveur OSSEC.
24
- Ajouter un agent, en tapant la lettre a.

- Donner un nom et adresse ip à votre agent.
- Confirmer l’addition de votre agent.
2.5 Génération de clé d'authentification

- Une fois l’agent est créé, vous extrayez la clé d'authentification, en tapant la lettre e.
25
- Tappez l’ID de votre agent, la clé d'authentification est générée.
2.6 Authentification de l’agent au processus OSSEC

- Importez la clé générée depuis server OSSEC, et tapez l’adresse du serveur.
26
- Enregistrez et confirmez l’importation de la clé.
- L’agent est reconnu, les donnees de l’agent sont affchees, mais le statut actuel de
l’agent est éteint.
27
- Allumer OSSEC.
- Maintenant l’agent est dans le status de fonctionnement.
28
2.7 Visualisation des alertes avec Kibana

Kibana est une interface utilisateur gratuite et ouverte qui vous permet de visualiser
vos données Elasticsearch et de naviguer dans la Suite Elastic. Vous voulez effectuer le
suivi de la charge de travail liée à la recherche ou comprendre le flux des requêtes dans vos
applications.
Kibana sert à surveiller le système pour prévenir et détecter toute action malveillante.
OSSEC dispose de l’outil Kibana pour la visualisation des alertes.
- Dans votre server OSSEC, vous accéder kibana par défaut dans les favoris du
browser, ou à partir de ce lien http://localhost:5601/app/kibana#/home?_g=().
Cliquez sur dashboard dans le menu à gauche, pour accéder au dashboard.
29
- Vous pouvez ajouter des filtres par temps par exemple, pour la recherche des
alertes, et les agents du système, et visualiser l’historique des événements parvenus
au sein du système.
- Vous trouverez aussi l’historique des alertes créées par les agents et plein
d’informations utiles.
30
Kibana vous offre énormément de fonctionnalités, vous pourrez créer vos dashboard,
et administrer les alertes.,etc. Afin de surveiller votre système pour prévenir et détecter toute
action malveillante.
31
3. Configurer le système de prévention des intrusions IOS

(IPS) à l'aide de l'interface de ligne de commande
3.1 Objectifs
· Activer IOS IPS.
· Configurer la journalisation.
· Modifier une signature IPS.
· Vérifiez IPS.
3.2 Contexte / Scénario

Notre tâche consiste à activer IPS sur R1 pour analyser le trafic entrant sur le
réseau 192.168.1.0. Le serveur étiqueté Syslog est utilisé pour consigner les messages IPS.
Nous devons configurer le routeur pour identifier le serveur syslog pour recevoir les
messages de journalisation. L'affichage de l'heure et de la date correctes dans les
messages syslog est essentiel lors de l'utilisation de syslog pour surveiller le réseau. Donc
on va régler l'horloge et configurer le service d'horodatage pour la connexion aux routeurs.
Enfin, l’activation d’IPS pour produire une alerte et abandonner les paquets de réponse
d'écho ICMP en ligne.
32
Partie 1 : Activer IOS IPS
Étape 1 : activez le package de technologie de sécurité.

a. Sur R1, émettez la commande show version pour afficher les informations de licence
du package technologique. avec la commande show license feature
b. Si le package Security Technology n'a pas été activé, utilisez la commande suivante
pour activer le package.
R1(config)# license boot module c1900 technology-package securityk9
et Accepter le contrat de licence utilisateur final
33
Reload
34
c. Vérifiez que le package Security Technology a été activé à l'aide de la commande

show license feature
35
Étape 2 : Vérifiez la connectivité réseau.

a. Ping de PC-C à PC-A. Le ping devrait réussir.
36
Étape 3 : Créez un répertoire de configuration IOS IPS dans le flash.
Sur R1, créez un répertoire dans flash à l'aide de la commande mkdir. Nommez le répertoire
ipsdir.
37
Étape 4 : Configurez l'emplacement de stockage de la signature IPS.
Sur R1, configurez l'emplacement de stockage des signatures IPS sur le répertoire que nous
venons de créer.
R1(config)# ip ips config location ipsdir
38
Étape 5 : Créez une règle IPS.
Sur R1, créez un nom de règle IPS à l'aide de la commande ip ips name name en mode de
configuration globale. Nommez la règle IPS iosips.
R1(config)# ip ips name iosips
39
Étape 6 : Activez la journalisation.: logging
IOS IPS prend en charge l'utilisation de syslog pour envoyer une notification d'événement.
La notification Syslog est activée par défaut. Si la console de journalisation est activée, les
messages syslog IPS s'affichent.
a. . Activez syslog s'il n'est pas activé.
R1(config)#logging host 192.168.1.50

R1(config)#service timestamps log datetime msec
40
b. Si nécessaire, utilisez la commande clock set du mode EXEC privilégié pour

réinitialiser l'horloge.
clock set 12:44:00 12 december 2022
41
Étape 7 : Configurez IOS IPS pour utiliser les catégories de signature.

Retirez la catégorie toutes les signatures avec la commande true retirée (toutes les
signatures dans la version de signature). Annuler la suppression de la catégorie IOS_IPS
Basic avec la commande false retirée
R1(config)# ip ips signature-category

R1(config-ips-category)# category all
R1(config-ips-category-action)# retired true
42
On va Annuler la suppression de la catégorie IOS_IPS Basic avec la commande false

retirée en utilisant les commandes suivantes:
R1(config-ips-category-action)# category ios_ips basic

R1(config-ips-category-action)# retired false
43
Étape 8 : Appliquez la règle IPS à une interface.

Appliquez la règle IPS à une interface avec la commande ip ips name direction en mode de
configuration d'interface. Appliquez la règle sortante sur l'interface G0/1 de R1. Après avoir
activé IPS, certains messages de journal seront envoyés à la ligne de la console indiquant
que les moteurs IPS sont en cours d'initialisation.
Remarque : La direction vers l'intérieur signifie qu'IPS inspecte uniquement le trafic entrant
dans l'interface. De même, out signifie qu'IPS n'inspecte que le trafic sortant de l'interface.
44
R1(config)# inter g0/1

R1(config-if)# ip ips isoips out
Partie 2 : Modifier la signature
Étape 1 : Modifier l'événement-action d'une signature.
Annulez le retrait de la signature de la demande d'écho (signature 2004, subsig ID 0),

activez-la et modifiez l'action de la signature en alert and drop.
a. Vérifiez la connectivité réseau. Ping de PC-C à PC-A. Le ping devrait réussir.
45
R1(config)# ip ips signature-definition

R1(config-sigdef)# signature 2004
R1(config-sigdef-sig)# status
R1(config-sigdef-sig-status)# retired false
R1(config-sigdef-sig-status)# enabled true
46
le ping est toujour valide
47
R1(config)# ip ips signature-definition

R1(config-sigdef)# signature 2004
R1(config-sigdef-sig)# engine
R1(config-sigdef-sig-engine)# event-action
R1(config-sigdef-sig-engine)# event-action produce-alert

R1(config-sigdef-sig-engine)# event-action deny-packet-inline
Le ping ne va pas réussir
48
Sylog
Router
49
Conclusion
Bien que répandus dans les organisations aujourd’hui, les systèmes de
détection d’intrusions ne représentent qu’un maillon d’une politique de sécurité. En
effet, même si ceux-ci permettent la détection, parfois l’arrêt, des intrusions, ils
restent néanmoins vulnérables eux aussi face aux attaques externes. C’est
pourquoi, pour une sécurité optimale, ces outils doivent être couplés à d’autres,
comme l’indispensable pare-feu. Mais ils doivent aussi être mis à jour, aussi bien le
cœur du logiciel que la base de signatures, qui constitue la base d’une détection
efficace. Il faut également coupler les systèmes de détection entre eux : c’est-à-dire
ne pas hésiter à placer des NIDS et HIDS dans le même réseau. Leurs rôles sont
différents, et chacun apporte ses fonctionnalités.
50
Références
- https://www.vmware.com/latam/products/workstation-pro/workstation-pro-evaluation.
html
- https://codebots.com/docs/ubuntu-18-04-virtual-machine-setup
- https://www.youtube.com/watch?v=MNp_2a-yB_w&ab_channel=G.Tech
- https://www.ossec.net/download-ossec/
- https://www.ibm.com/docs/en/snips/4.6.0?topic=rules-configuring-snort
51

Rapport de La Présentation: Glsid

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Rapport de La Présentation: Glsid

Transféré par

Droits d'auteur :

Formats disponibles

Ecole Normale Supérieure de l’Enseignement ‫ﻟﻤﺪﺭﺳﺔ ﺍﻟﻌﻠﻴﺎ ﻸﺳﺎﺗﺬﺓ ﺍﻟﺘﻌﻠﻴﻢ ﺍﻟﺘﻘﻨﻲ المحمدية‬

Département Mathématiques et Informatique

Année Universitaire : 2022-2023

II. Partie pratique 13

Les systèmes d'information sont aujourd'hui de plus en plus ouverts sur

Ce que nous appelons intrusion signifie pénétration des systèmes

1.2 L'importance d’un système IDS

1.3 Fonctions et rôles :

2. Les différents types d'IDS

2.1 Les systèmes de détection d’intrusions « réseaux » (NIDS)

2.2 Les systèmes de détection d’intrusions « host» (HIDS)

3.2 Caractéristiques Communes Des systemes de detection et de

- Les deux solutions sont disposées comme des capteurs.

3.2.1 Avantages d’IPS

- Arrête les paquets déclencheurs

3.2.2 Inconvénient d’IPS

3.3 Types d'IPS

3.3.1 IPS basé sur l'hôte (HIPS)

3.3.2 IPS en réseau

3.3.2 IPS basé sur l'hôte

II. Partie pratique

- Des connaissances concernant des intrusions.

1. Mise en œuvre NIDS avec SNORT

1.1 Installation SNORT

1.2 Configuration Snort

- Mode écoute : Ce mode permet de lancer snort en mode sniffer et permet

1.3 Les règles en SNORT

les options de la règle(entre parenthèse) qui contiennent

2. Mise en œuvre HIDS via OSSEC

2.2 Mise en place de la machine server OSSEC

- Importer votre virtual machine Ossec “Virtual Appliance”.

L'importation peut prendre du temps.

- Allumer et accéder à votre machine virtuelle.

2.3 Mise en place de l’agent OSSEC

- Ouvrir votre logiciel OSSEC Agent Manager.

2.4 Addition d’un agent

- Ajouter un agent, en tapant la lettre a.

2.5 Génération de clé d'authentification

- Tappez l’ID de votre agent, la clé d'authentification est générée.

2.6 Authentification de l’agent au processus OSSEC

- Enregistrez et confirmez l’importation de la clé.

- Maintenant l’agent est dans le status de fonctionnement.

2.7 Visualisation des alertes avec Kibana

Cliquez sur dashboard dans le menu à gauche, pour accéder au dashboard.

3. Configurer le système de prévention des intrusions IOS

· Modifier une signature IPS.

3.2 Contexte / Scénario

Partie 1 : Activer IOS IPS

Étape 1 : activez le package de technologie de sécurité.

R1(config)# license boot module c1900 technology-package securityk9

et Accepter le contrat de licence utilisateur final

c. Vérifiez que le package Security Technology a été activé à l'aide de la commande

Étape 2 : Vérifiez la connectivité réseau.

Étape 3 : Créez un répertoire de configuration IOS IPS dans le flash.

Étape 4 : Configurez l'emplacement de stockage de la signature IPS.

R1(config)# ip ips config location ipsdir

Étape 5 : Créez une règle IPS.

R1(config)# ip ips name iosips

Étape 6 : Activez la journalisation.: logging

a. . Activez syslog s'il n'est pas activé.

R1(config)#logging host 192.168.1.50

b. Si nécessaire, utilisez la commande clock set du mode EXEC privilégié pour

clock set 12:44:00 12 december 2022