Université Mohammed Premier, Oujda

Faculté multidisciplinaire, Nador

Département d’informatique
⋄ Maroc ⋄

compte rendu
Module : securite de donnes
Data Science and Intelligent Systems .

Par

ghizlane chtouki

TECHNOLOGIE BLOCKCHAIN :COMPTE RENDU 7

Encadré par :
Pr. khalid el makkaoui

année universitaire : 2022/2023

Table des matières

1 Qu’est-ce qu’un système de détection d’intrusion ? . . . . . . . . . . . . . . . . . . . . . . 3

2 exercice 20 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
3 c est quoi snort . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
3.1 Ex 21 :Installer Snort . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
3.2 Installer Npcap . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
3.3 Visualiser la version . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
3.4 Regles de snort . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
3.5 la configuration de snort . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8

2
1 Qu’est-ce qu’un système de détection d’intrusion ?
Un système de détection d’intrusion (IDS) est une solution technologique qui surveille le trafic entrant et
sortant de votre réseau pour détecter les activités suspectes et les violations de politique. Comme son nom
l’indique, le but premier d’un IDS est de détecter et de prévenir les intrusions au sein de votre infrastructure
informatique, puis d’alerter les personnes concernées. Ces solutions peuvent être des dispositifs matériels
ou des applications logicielles.
En règle générale, un IDS fait partie d’un système plus vaste de gestion des informations et des événements
de sécurité (SIEM). Lorsqu’il est mis en œuvre dans le cadre d’un système holistique, votre IDS est votre
première ligne de défense. Il fonctionne pour détecter de manière proactive les comportements inhabituels
et réduire votre temps moyen de détection (MTTD). En fin de compte, plus tôt vous reconnaissez une
tentative d’intrusion ou une intrusion réussie, plus tôt vous pouvez agir et sécuriser votre réseau.
Il convient de noter que la plupart (mais pas tous) des IDS sont uniquement passifs. En d’autres termes,
ils ne protègent pas réellement vos systèmes et réseaux contre les activités malveillantes. Cependant, ils
vous donnent les informations dont vous avez besoin pour assurer la sécurité de vos systèmes. Et lorsqu’il
s’agit de cybersécurité, ce type d’informations est primordial.

2 exercice 20
Un système de détection d’intrusion réseau(NIDS) est une solution qui surveille l’ensemble de votre réseau
via un ou plusieurs points de contact. Pour utiliser un NIDS, vous devez généralement l’installer sur
un élément matériel de votre infrastructure réseau. Une fois installé, votre NIDS échantillonnera chaque
paquet (une collection de données) qui le traverse.
Votre NIDS typique peut examiner tout le trafic qui le traverse. Cela dit, vous ne voudrez peut-être pas
analyser tout ce qui passe par votre NIDS, car vous pourriez finir par manquer une tentative d’intrusion
en raison d’une surcharge d’informations.
Pour lutter contre ce problème, la plupart des NIDS vous permettent de créer un ensemble de "règles"
qui définissent le type de paquets que votre NIDS va récupérer et stocker. Les règles vous permettent de
vous concentrer sur certains types de trafic, mais elles nécessitent également une certaine connaissance
de la syntaxe du NIDS.tandis que Un système de détection d’intrusion sur l’hôte (HIDS) Un système de
détection d’intrusion sur l’hôte (HIDS) va encore plus loin dans l’indépendance du NNIDS. Avec un HIDS,
vous pouvez installer le logiciel IDS sur chaque appareil connecté à votre réseau.
Les HIDS fonctionnent en prenant des "instantanés" de l’appareil qui leur est attribué. En comparant l’ins-
tantané le plus récent aux enregistrements antérieurs, le HIDS peut identifier les différences qui pourraient
indiquer une intrusion.tandis queLes systèmes de détection d’intrusion basés sur les signatures (SIDS)
visent à identifier des modèles et à les associer à des signes d’intrusion connus.
Un PEID s’appuie sur une base de données des intrusions précédentes. Si l’activité au sein de votre réseau
correspond à la « signature » d’une attaque ou d’une violation de la base de données, le système de

3
détection en informe votre administrateur. tandis que D’autre part, un système de détection d’intrusion
basé sur des anomalies (AIDS) peut identifier ces nouvelles intrusions de type « zero-day » .
Un SIDS utilise l’apprentissage automatique (ML) et des données statistiques pour créer un modèle de
comportement « normal ». Chaque fois que le trafic s’écarte de ce comportement typique, le système le
signale comme suspect.
Le principal problème avec le SIDA par rapport au SMSN est le potentiel de faux positifs. Après tout,
toutes les modifications ne sont pas le résultat d’activités malveillantes ; certains sont simplement des
indications de changements dans le comportement organisationnel. Mais parce qu’un SIDS n’a pas de base
de données d’attaques connues à référencer, il peut signaler toutes les anomalies comme des intrusions.
Étant donné que la base de données est l’épine dorsale d’une solution SIDS, des mises à jour fréquentes
de la base de données sont essentielles, car SIDS ne peut identifier que les attaques qu’il reconnaît. Par
conséquent, si votre organisation devient la cible d’une technique d’intrusion inédite , aucune mise à jour
de la base de données ne vous protégera. tandis que

3 c est quoi snort

Snort est un outil libre pour des administrateurs système qui permet de réaliser une analyse en temps réel
du trafic d’un réseau IP pour détecter des intrusions et logger des paquets.
Pour y arriver, Snort analyse des protocoles et recherche tout comportement lié à des attaques et sondes
comme : les dépassements de tampon, scans, attaques sur des CGI, sondes SMB ou essais d’OS fingerprin-
tings.
Snort fonctionne à travers un langage de règles flexible qui permet de décrire le trafic à recueillir et celui à
laisser passer. Son moteur de détection est modulaire ; ce qui signifie que des plugins peuvent augmenter
ses fonctionnalités.
De nombreuses alertes en temps réel signaleront à l’administrateur système la présence d’un comportement
réseau suspect. Attention ! Snort est un outil de ligne de commande.
En plus, Snort est compatible avec IPv6 et peut être utilisé avec les bases de données MySQL, ODBC,
Microsoft SQL Server et Oracle. Il te faudra éditer manuellement le fichier snort.conf pour indiquer le
chemin des fichiers de règles et de classification.

4
3.1 Ex 21 :Installer Snort

5
3.2 Installer Npcap

6
3.3 Visualiser la version

7
3.4 Regles de snort

3.5 la configuration de snort

definir les reseaux internes et reseaux externes

8
specifier les chemins absolue vers les regles

definir le repertoires pour les log

definir les chemin absolue vers le mouteur de detection

9
mettre ajour les noms de blacklist et whitelist

mettere ajour les chemin absolue vers les regles

10
activer les trois regles

11