Académique Documents
Professionnel Documents
Culture Documents
Memoire
Memoire
: DETECTION D’INTRUSION
DEDICACE
À MES PARENTS
À MON FRÈRE ET MA SŒUR
REMERCIEMENTS
Je tiens à exprimer mes sincères et chaleureux remerciements à toutes ces personnes qui ont
travaillé d’arrache pieds avec moi car c’est grâce à vous que ce document a pu être réalisé. Je
parle ici de :
DEDICACE......................................................................................................................... I
REMERCIEMENTS .......................................................................................................... II
TABLE DES MATIERES ................................................................................................ III
LISTE DES SIGLES ET ABREVIATIONS .................................................................... VI
RESUME ........................................................................................................................ VIII
ABSTRACT....................................................................................................................... IX
LISTE DES TABLEAUX................................................................................................... X
LISTE DES FIGURES ..................................................................................................... XI
INTRODUCTION GENERALE .........................................................................................1
CHAPITRE 1 : CONTEXTE ET PROBLEMATIQUE ......................................................
INTRODUCTION ..............................................................................................................
I. PRESENTATION DE LA DSI NF CONSULTING ......................................................
1.............................................................................................
2. ..............................................................................
3. .......................................................................................................................
II. CONTEXTE ET PROBLEMATIQUE ...........................................................................
1. Contexte ..........................................................................................................................
2. Problématique ..................................................................................................................
III. OBJECTIFS DU PROJET ............................................................................................
1. Objectif Général................................................................................................................
2. Objectifs spécifiques ........................................................................................................
IV. METHODOLOGIE .......................................................................................................
CONCLUSION ...................................................................................................................
CHAPITRE 2 : GENERALITES SUR LES RESEAUX, LA SECURITE
INFORMATIQUE ......................................................................................
INTRODUCTION ...............................................................................................................
I. LE RESEAU INFORMATIQUE .............................................................................
1. Définition........................................................................................................
2.Typologie des réseaux.....................................................................................................
3.Topologie des réseaux......................................................................................................
4.Quelques équipements réseau ......................................................................................
5. Modèle en couche ..................................................................................................
RESUME
L’entreprise NF Consulting dans ses missions de prestations de services admet également des
stagiaires qui s’attèlent à aider l’entreprise dans ses marchés et contrats c’est ainsi que
l’entreprise se rend compte de la délicatesse de pouvoir garantir la sécurité de ses données
ainsi que ceux des clients, elle met donc sur pieds le projet de concevoir un réseau local
sécurisé visant à pallier à ce soucis de sécurité. Pour parvenir à ces fins il nous a été confié de
réaliser ce montage, c’est dans cet optique que pour résoudre ce problème de sécurité nous
avons utilisé un Pare-feu pour répondre aux exigences de la confidentialité, l’intégrité,
l’authentification comme on n’est jamais trop en sécurité nous avons eu l’idée d’utiliser un
IDS pour pouvoir détecter sur les intrusions sur trafic du réseau. Pour l’implémentation, nous
avons utilisé GNS3 qui est un émulateur de réseau et dont ses équipements s’appuient sur les
véritables IOS fournis par Cisco et leur confèrent donc l’intégralité des fonctionnalités
originales où nous allons utiliser un serveur Linux qui nous permettra de déployer la solution
de supervision Snort. Les résultats auxquels nous sommes parvenus sont consignés dans ce
mémoire et présentés de façon succincte.
ABSTRACT
NF Consulting enterprise in their missions and services admit equally that trainees which
harness to help the enterprise in their markets and contacts, it is in this way that the enterprise
will realize the securities of their data as well as those of their clients. She also plans to set up
a project to design the secure local area network aimed at alleviating a concern of security. To
achieve these ends, they were entrusted to us to carry out the assembly, it was with this mind
that we had solved this problem of security, we used firewall to solve requirements of
confidentiality, integrity, authentication like we are not total security, we had an idea to use an
IDS in order to detect on network traffic intrusions.
For implementation, we had used GNS3 which is a network emulator and which its equipment
is based on truth IOS provided by CISCO and bestow them the integrality of the original
functionalities, where we shall use LINUX Server which will allow us to deploy the solution
of snort supervision. The results that we finally had are been recorded in this memory and its
been presented succinctly.
INTRODUCTION GENERALE
C’est ainsi que certaines entreprises ou particuliers ayant en leur possession des réseaux
locaux qui leur sont propres ne peuvent pas garantir une sécurité totale de leurs données étant
connectés à internet. Palier à ces difficultés sécuritaires sera un défi à réaliser vue que nous
devons mettre en œuvre un réseau local sécurisé avec détection d’intrusion.
Tout au long de notre travail nous allons dans un premier temps présenter au chapitre un le
contexte et la problématique, dans le second chapitre il sera question de parler des généralités
sur le réseau et la sécurité informatique, ensuite au chapitre trois on parlera de
l’implémentation de la solution et enfin au chapitre quatre il s’agira des résultats et
commentaires.
INTRODUCTION
L'ingénieur dans sa globalité a pour objectif de proposer des solutions durables pour des
problèmes précis. De ce fait la présentation d'un problème doit être circonscrit dans un
contexte bien déterminé. Satisfaire cette affirmation est le lieu pour nous de nous poser la
question de savoir dans quel contexte le problème d'échange des données et la surveillance de
la disponibilité des ressources se laissent relever dans l'entreprise NF Consulting. Il sera donc
question pour nous dans ce chapitre de présenter de façon générale l’entreprise ensuite de
présenter le contexte, la problématique et la méthodologie de notre travail et en présenter les
objectifs visés.
I. PRESENTATION DE NF CONSULTING
1. Historique
La NF CONSULTING est une entreprise SARL crée en 2016 par deux ingénieurs qui sont les
étudiants sortis de IAI-Cameroun option génie logiciel et systèmes et réseaux il s’agit de M.
NDONDJANG CLAUDEL Arion et M. FOTIO TIMENE Marco Steve depuis lors, NF
Consulting est un prestataire de services, et un centre de formation professionnelle. Ces deux
individus de par leurs actions démontrent une application effective de la notion
d’entrepreneuriat encouragé par Monsieur le représentant résidant facilitant ainsi l’insertion
dans le monde de l’emploi.
La promotion du secteur des TIC pour les jeunes sur le plan national et international ;
4. Services
Afin de d’œuvrer pour le développement des entreprises et des citoyens camerounais tant sur
le plan économique qu’intellectuel, l’entreprise NF Consulting met à la disposition de ces
derniers les services suivants :
Infographie
Développement Web/Mobile
Vidéos surveillance
Ces différents services ont pour public cible les ministères, les entreprises publiques,
parapubliques et privées ainsi que les ONG nationales et internationales.
5. Localisation de l’entreprise
NF Consulting Sarl est situé dans la ville de Yaoundé. Elle est facilement localisable grâce à
son plan de localisation suivant :
6. Partenaires
Odigicert
Symantec
CEPI
Digium
Zimbra
Roguewave software
Linux
Lenovo
Cisco
wordPress
laravel
php
Mikrotik
1. Contexte
NF Consulting étant une petite et nouvelle entreprise se voit assurer un grand nombre
d’informations venant des partenaires et clients. En tant qu’entreprise NF consulting se doit
de garantir l’intégrité des données de ses clients ainsi que leurs confidentialités ; vue son lien
à internet elle se fait souvent attaquée ce qui rend difficile sa protection aux vues des attaques
répétées, ses attaques qui passent souvent inaperçues et qui ne sont pas souvent détecter à
temps rendre la tâche ardue à la DSI de pouvoir respecter son rôle.
Il est alors primordial dans l’état actuel des choses de pouvoir implémenter une solution
capable de palier à ces menaces récurrentes tout en assurant une visibilité du trafic
2. Problématique
3. Méthodologie
Afin de mener à bien ce travail et atteindre nos objectifs fixés nous allons suivre la
méthodologie qui est décrite ci-dessous :
Étude de l'existant. Il sera question pour nous dans cette partie de définir un cahier de
charge pour ensemble des taches à réaliser et des besoins logiciels ainsi que matériels.
Analyse des besoins et proposition d'une architecture. Dans cette partie nous allons
définir une architecture pour le réseau local, ceci en prenant en compte tous les outils
présents et les besoins de l'entreprise.
Mise en place Il sera question pour nous dans cette partie de mettre le réseau local sur
pied et virtualité la solution de supervision avant le déploiement proprement dit, ceci
en utilisant un hyperviseur sur notre machine physique.
Tests et déploiement. Dans cette partie nous allons tout d'abord effectuer des tests sur
la solution virtualisée afin de vérifier si elle répond aux exigences de l'entreprise et
corriger des éventuelles erreurs
4. Objectifs
L'objectif ici est de permettre à l'administrateur d'avoir l'information en temps réel sur l'état de
tous les équipements de l'entreprise et des services. Tout ceci en assurant une disponibilité et
une, performance optimale du réseau. Pour ce fait, nous allons donc :
Mettre en place un réseau local sécurisé au sein de l'entreprise ;
Déployer une solution de supervision pour ce dernier.
CONCLUSION
INTRODUCTION
Le réseau informatique est considéré comme le moyen par lequel nous avons la capacité de
relier des équipements et matériels informatiques. Cependant pour les mettre en œuvre cela
nécessite une certaine préparation et configuration afin que ces derniers puissent être
interconnectés et communiquer parfaitement. C’est dans cette optique qu’au cours de ce
chapitre on insistera sur les notions de réseau local, sécurité informatique et détection
d’intrusion
I. RESEAU INFORMATIQUE
1. Définition
Les réseaux sont classés selon des critères parmi lesquels on peut citer l’étendue
géographique ; le milieu dans lequel on se trouve, la vitesse de transfert de données et le cout
financier.
Ce réseau correspond à celui des réseaux intra-entreprise son rayon est de quelques centaines
de mètres et n’excédant pas quelques kilomètres, généralement dit "privé" et est utilisé pour
les bâtiments (maisons, immeubles, entrepôts, etc…) avec une vitesse de transfert
d’informations pouvant aller jusqu’à 100Mbits par seconde.
Le MAN est on peut dire LAN amélioré car il permet à plusieurs de s’interconnecter car son
rayon est beaucoup plus grand il permet de relier des quartiers entre eux voir même des
petites villes entre elles. Ceci grâce à des routeurs ou commutateurs par des liens hauts débits.
C’est un réseau mondial, généralement réseau dit "public" (géré par des opérateurs publics ou
privés) et qui assure la transmission des données sur des longues distances à l’échelle d’un
pays ou de la planète. Par exemple : Internet est un réseau de type WAN.
La topologie est décrite comme la façon donc les équipements informatiques sont mis en
liaison et aussi sa représentation spatiale qui permet de visualiser leurs interconnections. De
ce fait nous distinguons deux topologies à savoir la topologie physique et la topologie logique
i. Topologie physique
Elle définit la manière dont les équipements sont interconnectés entre eux. Dans ce
cas on en distingue plusieurs parmi lesquels on peut citer :
Réseau en anneau : Les équipements sont reliés entre eux par une boucle
fermée Les données circulent dans une direction unique, d'une entité à la
suivante. Les ordinateurs communiquent chacun à leur tour. Cela ressemble à
un bus mais qui serait refermé sur lui-même .
Réseau en maille : les équipements sont tous interconnectés entre eux ce qui
permet la continuité du réseau en cas de panne d’un ordinateur la connexion
ne sera pas rompue car si un hôte est hors service, ses voisins passeront par
une autre route.
Elle précise la manière dont les équipements communiquent entre eux. C’est ainsi que
pour permettre leur interconnexion il nous ait primordial de choisir un protocole
d’accès car les protocoles rendent possible le dialogue entre des machines différentes
en définissant les règles pour réaliser une communication. Comme protocole nous
pouvons énumérer :
Ethernet
Token ring
Ils sont utilisés dans le cadre l’interconnexion dans les réseaux c’est ainsi que nous allons
les énumérer comme suit :
i. Le commutateur ou concentrateur
ii. Le modem
Le modem est appareil qui permet d’adapter les signaux électriques entre le routeur et
le support physique extérieur pour la connexion à un réseau externe (ligne
téléphonique).
Une passerelle est un dispositif qui permet de relier deux réseaux informatiques
comme par exemple un réseau local et Internet. Ainsi, plusieurs ordinateurs ou
l'ensemble du réseau local peuvent accéder à Internet par l'intermédiaire de la
passerelle. Le plus souvent, elle sert également de firewall.
iv. Le firewall
v. Le serveur
– le serveur de fichiers (anglais file server) est utilisé pour le stockage et le partage de
fichiers. Les fichiers placés dans les mémoires de masse du serveur peuvent être
manipulés simultanément par plusieurs clients ;
– le serveur d'impression est utilisé comme intermédiaire entre un ensemble de clients
et un ensemble d’imprimantes. Chaque client peut envoyer des documents à imprimer
aux imprimantes reliées au serveur ;
– le serveur de base de données est utilisé pour stocker et manipuler des données
contenues dans une ou plusieurs bases de données et partagées entre plusieurs clients ;
– le serveur de courrier est utilisé pour stocker et transmettre du courrier électronique ;
– le serveur web stocke et manipule les pages d’un site Web et les transmets sur
demande au client; – le serveur mandataire (anglais proxy) reçoit des demandes, les
contrôle, puis les transmet à d’autres serveurs. Il peut être utilisé pour accélérer le
traitement des demandes (mémoire cache), ou faire appliquer des règlements de
filtrage.
La sécurité dans un réseau local se traduit par plusieurs méthodes permettant de stopper les
attaques malveillantes, à garantir une communication sans faille et l’intégrité des données
d’une entreprise. Ceci se traduit par plusieurs concepts qui sont :
La sécurité d'un réseau locale peut être définie sur trois niveaux :
Niveau physique
Niveau logique
Niveau réseau
Au niveau logique, la notion de sécurité est plus sensible, les utilisateurs sont en contact direct
ou indirect avec le système (données, logiciels, applications, services...). L'accès au système
par tout le monde à un instant voulu peut engendrer des risques qui pourraient exposer ce
dernier. Les utilisateurs doivent être « casés » dans des groupes dont chacun a un niveau
d'accès bien défini par l'administrateur réseau, suivant les besoins du groupe. Si tout le monde
a les mains libres pour accéder au système, une maladresse (erreur) pourrait provoquer des
effets très graves et exposer le système à des attaques externes (si le réseau est interconnecté
avec l'extérieur par exemple). En plus seuls les services et les applications nécessaires doivent
être installés (ou activés) dans les postes des utilisateurs. Une solidité voire une complexité
des mots de passe est également recommandée, car à partir des postes ou comptes clients, un
intrus pourrait accéder aux serveurs suivant le niveau d'accès (c'est le cas d'une attaque par
rebond). Et mieux encore si le réseau local a un accès vers Internet, alors l'accès au web doit
être très restreint : n'importe quel site ne doit être autorisé, n'importe quel fichier ne doit pas
être téléchargé depuis Internet. Encore moins n'importe quelle application ne doit être
installée sans l ' avis de l'administrateur réseau ou système. Sinon c'est l'intégrité du système
qui est exposée à toute menace extérieure. Donc les utilisateurs constituent un maillon
essentiel et sensible de la sécurité du réseau.
Un autre volet très important de la sécurité réseau est l'accès au réseau. La sécurité ici peut se
faire soit par :
4. Politique de sécurité
La sécurité informatique doit être étudiée de telle manière à ne pas empêcher les
utilisateurs de développer les usages qui leur sont nécessaires, et de faire en sorte qu'ils
puissent utiliser le système d'information en toute confiance. C'est la raison pour laquelle
il est nécessaire de définir dans un premier temps une politique de sécurité, dont la mise
en œuvre se fait selon les quatre étapes suivantes :
Identifier les besoins en termes de sécurité, les risques informatiques pesant sur
l'entreprise et leurs éventuelles conséquences
Élaborer des règles et des procédures à mettre en œuvre dans les différents services
de l'organisation pour les risques identifiés ;
Surveiller et détecter les vulnérabilités du système d'information et se tenir
informé des failles sur les applications et matériels utilisés ;
Définir les actions à entreprendre et les personnes à contacter en cas de détection
d'une menace
1. Introduction
Un système de détection d’intrusion (ou IDS : Intrusion Detection System) est un mécanisme
destiné à repérer des activités anormales ou suspectes sur la cible analysée (un réseau ou un
hôte). Il permet ainsi d’avoir une action de prévention et d'intervention sur les risques
d’intrusion. Afin de détecter les attaques que peut subir un système (réseau informatique), il
est nécessaire d’avoir un logiciel spécialisé dont le rôle est de surveiller les données qui
transitent sur ce système, et qui est capable de réagir si des données semblent suspectes.
Ces deux techniques, aussi différentes soient-elles, peuvent être combinées au sein d’un
même système afin d’accroître la sécurité.
Cette technique s’appuie sur la connaissance des techniques utilisées par les attaquants pour
déduire des scénarios typiques. Elle ne tient pas compte des actions passées de l’utilisateur et
utilise des signatures d’attaques existantes (ensemble de caractéristiques permettant
d’identifier une activité intrusive : une chaîne alphanumérique, une taille de paquet
inhabituelle, une trame formatée de manière suspecte, …). Cette technique se base sur :
De manière analogue, cette technique est également utilisée dans les anti-virus. En effet un
anti-virus ne peut reconnaître un virus que si ce dernier est reconnu dans sa base de signatures
virale, d'où la mise à jour régulière des anti-virus.
Un IDS est essentiellement constitué d’un sniffer couplé avec un moteur qui analyse le trafic
et entreprend des actions suivants les règles définies dans l’IDS. Ces règles décrivent le
comportement de l'IDS selon le trafic analysé trafic : Alertes, journalisation des événements
dans des fichiers logs.
Selon le type de trafic, l’IDS accomplit certaines actions définies dans les règles. Certains
termes sont souvent employés quand on parle d’IDS :
• Faux positif : une alerte provenant d’un IDS mais qui ne correspond pas à une attaque réelle
(Fausse Alerte).
• Faux négatif : une intrusion réelle qui n’a pas été détectée par l’IDS
Il existe plusieurs types d’IDS, mais on peut les classer en deux familles :
o NIDS
Les NIDS sont des IDS dédiés aux réseaux. Ils comportent généralement une sonde (machine
par exemple) qui "écoute" sur le segment de réseau à surveiller, un capteur et un moteur qui
réalise l'analyse du trafic afin de détecter les intrusions en temps réel. Un NIDS écoute donc
tout le trafic réseau, puis l’analyse et génère des alertes si des paquets semblent dangereux.
o HIDS
Le HID est basé des hôtes du système. Il est installé de manière à ce qu’il puisse repérer une
intrusion suspecte. C’est ainsi qu’il va enregistrer l’évènement et ensuite faire une notification
à l’hôte. L’HIDS va donc se positionner devant l’hôte et va analyser s’il y’a quelqu’un ou
quelque chose qui essaye de contourner la politique de sécurité de l’hôte.
o IPS
IPS (Intrusion Prevention System) est se place généralement derrière un Pare-feu et va faire la
sélection négative du contenu et par la suite de sa particularité à agir de manière automatique
pourra supprimer ou bloquer des paquets malveillants sur le trafic où depuis l’adresse source.
Contrairement à l’IDS qui se contente juste de surveiller et analyser le trafic en produisant des
alertes, l’IPS quant à lui est actif en agissant mais prend également le risque d’éliminer des
paquets qui ne sont pas des attaques.
Les systèmes de détection d'intrusion sont devenus indispensables lors de la mise en place
d'une infrastructure de sécurité opérationnelle. Ils s'intègrent donc toujours dans un contexte
et dans une architecture imposant des contraintes très diverses. Certains critères imposant le
choix d'un IDS peuvent être dégagés :
Fiabilité : Les alertes générées doivent être justifiées et aucune intrusion ne doit
pouvoir lui échapper.
Réactivité : Un IDS doit être capable de détecter les nouveaux types d'attaques le
plus rapidement possible ; pour cela il doit rester constamment à jour. Des
capacités de mise à jour automatique sont indispensables.
Facilité de mise en œuvre et adaptabilité : Un IDS doit être facile à mettre en
œuvre, surtout s'adapter au contexte dans lequel il doit opérer. Il est inutile d'avoir
un IDS émettant des alertes en moins de 10 secondes si les ressources nécessaires
à une réaction ne sont pas disponibles pour agir dans les mêmes contraintes de
temps.
Performance : la mise en place d'un IDS ne doit en aucun cas affecter les
performances des systèmes surveillés. De plus, il faut toujours avoir la certitude
que l’IDS a la capacité de traiter toute l'information à sa disposition (par exemple
un IDS réseau doit être capable de traiter l'ensemble du flux pouvant se présenter à
un instant donné sans jamais supprimer de paquets) car dans le cas contraire il
devient trivial de masquer les attaques en augmentant la quantité d'information.
Le placement des IDS va dépendre de la politique de sécurité définie dans le réseau. Mais il
existe des positions qu'on peut qualifier de standards, par exemple il serait intéressant de
placer des IDS :
Il est important de bien définir les zones sensibles du système (réseau), ainsi que les zones les
plus attractives pour un pirate. Il faut aussi voire qu'au-delà de l'architecture du réseau, il faut
prendre en compte l'organisation de la sécurité existante :
Face aux menaces d’intrusions, il existe plusieurs solutions concernant le choix d’un IDS. Il
existe des solutions commerciales aussi bien qu’Open Source. Les solutions Open Source
N’ont rien n’à envier aux solutions commerciales. Mieux les solutions commerciales se basent
même sur les Open Source pour améliorer leur produit. La différence notoire entre ces deux
solutions se trouve essentiellement sur le déploiement (éventuellement sur le prix !). Elle
nécessite beaucoup de prés-requis telles que des utilitaires de base ou encore des
connaissances sur le système où le produit va être déployé. Cette situation se présente surtout
quand on est dans un environnement Linux ! Dans l’environnement Windows on ne fait que
suivre les instructions du produit en cochant/décochant des cases, faisant des « suivant ». Pour
les solutions commerciales nous avons entre autres :
1. Bro
C’est un logiciel écrit en C++, est programmé de façon totalement différente de snort, il
s’appuie sur les bases théoriques (filtrage par motif, formatage aux normes RFC, etc..), mais il
intègre un atout majeur : l’analyse du flux réseau. Cette analyse permet de concevoir une
cartographie du réseau et d’en générer un modèle. Ce modèle est comparé en temps réel au
flux de données et toute déviance implique une alerte.
Suricata
C’est un logiciel Open source écrit en C dont le but est la détection d’intrusion, la prévention
d’intrusion et la supervision de sécurité réseau. Il permet l’inspection des paquets en
profondeur, il analyse le trafic sur une ou plusieurs interfaces réseaux en fonction des règles
activées.
2. Snort
C’est un IDS open source. Il est capable d’analyser le trafic sur le réseau en temps réel et les
paquets circulant sur le réseau. Il concurrence actuellement encore plusieurs produits
commerciaux et il y a même certains produits qui se basent sur ce programme ou son moteur
de recherche afin de construire leur solution par-dessus. Il peut exécuter l'analyse de
protocole, et peut être employé pour détecter une variété d'attaques, des tentatives comme des
débordements, des balayages de port de dérobée. Il emploie un langage flexible de règles,
aussi bien qu'un moteur de détection qui utilise une architecture plug-in modulaire. Snort a
des possibilités en temps réel d'alerter. Snort a trois utilisations primaires. Il peut être employé
en tant qu'un renifleur de paquets (comme tcpdump), un enregistreur de paquet ou comme
plein système de détection d'intrusion réseau.
1. Fonctionnement de snort
Snort est un hybride d’IPS et d’IDS utile et efficace. Cet outil va permettre d’analyser le trafic
entrant et sortant du réseau et par analyser le trafic, on entend : Observer les paquets selon
leur signature ou leur signature partielle. Snort peut être configuré pour une réponse passive
dans ce cas il enregistre les intrusions détectées dans un fichier log qui sera analysé par le
responsable en sécurité. Snort peut également être configuré pour une réponse active dans ce
cas snort a pour but de stopper l’attaque au moment de sa détection en interrompant la session
établie entre l’attaquant et sa cible de façon à empêcher le transfert des données ou la
modification du système attaqué c’est ce mode que nous avons configuré. Ainsi il ne va
laisser passer que le trafic légitime. Snort possède une base de signatures qui va être mise-à-
jour quotidiennement, via ses règles. L’IDS va donc agir lorsqu’il va détecter une anomalie
dans un ou plusieurs paquets qu’il va surveiller.
Afin de mieux comprendre le fonctionnement de snort, nous allons présenter les dossiers de
snort et analyser ces règles.
Les règles de snort représentent le coeur de l’IDS. Elles sont téléchargées en ligne via le
framework pulledpork et mises à jour quotidiennement en fonction de nos configurations.
Mais nous pouvons choisir d’écrire nos règles soi-même pour une surveillance personnalisée
de notre réseau. Cependant, il faut savoir comment les écrire.
Exemple de règle : Alerte ICMP $EXTERNAL_NET any -> $HOME_NET any (msg :
‘’Tentative de ping’’ ; sid :55555 ;)
Nous allons essayer de présenter les différentes positions que peut occuper snort dans un
réseau composé d’un firewall et d’une DMZ, l’on peut énumérer trois positions possibles à
savoir :
Avant le firewall, dans cette position snort constitue la première ligne de défense
contre les attaques venant de l’extérieur.
Conclusion
INTRODUCTION
L’entreprise NF Consulting dans ses services veut apporter des solutions à ces problèmes de
sécurité et se propose de réaliser ce projet pourra pallier ces problèmes. C'est dans cette
optique que nous allons mettre sur pied un réseau local au sein de l'entreprise et une solution
de supervision de ce dernier. Pour cela, nous allons dans ce chapitre proposer une
architecture, effectuer le choix des différents outils nécessaires à la réalisation de notre travail
et implémenter la solution.
I. CAHIER DE CHARGE
1. Critique de l’existant
L’architecture matérielle de l’entreprise est telle que :
Tous les ordinateurs ne sont pas tous interconnectés
2. Étude de l’existant
NF Consulting comporte en son sein divers équipements parmi lesquels nous pouvons
citer :
Un serveur
Les switches
Les routeurs
Les postes de travail
Imprimantes et scanner
Pour mener à bien notre projet nous allons avoir besoin des outils suivants :
Logiciel de virtualisation
Une machine Windows
Une machine Ubuntu
Une machine Kali
IDS Snort
i. Logiciel de virtualisation
Les logiciels de virtualisation se sont des outils permettant à la machine physique ou hôte de
disposer des capacités de pouvoir intégrer d’autres machines appelées ‘virtuelles’ ayant des
ressources comme des machines physiques et pouvant être interconnectés à l’aide de certains
protocoles disponibles. Comme logiciel de supervision nous pouvons citer : Virtual box,
VMware, KVM, QEMU
Sa disponibilité
Sa maniabilité et son environnement connu
ii. IDS
D’après le chapitre 2 où nous avons développé la notion d’IDS, mon choix s’est porté sur
SNORT qui a été un système qui m’a été recommandé par son efficacité, ses diverses
fonctionnalités et son fait d’être du fait qu’il Open source.
Installation
L’installation est faite sur sous le système LINUX qui est Ubuntu 18.04
La première chose est de mettre à jour notre système en tapant les commandes suivantes :
4. Architecture retenue
Après étude et analyse de l’existant, nous proposons l’architecture réseau suivante en tenant
compte du matériel existant
Introduction
I. TESTS DE CONNECTIVITE
II.
Conclusion