Systèmes de Détection D'intrusion: Sécurité Active Et Passive

2021/2022
Université Abdelmalek Essaâdi

Faculté des Sciences
Tétouan
Systèmes de détection
d’intrusion
Sécurité active et passive

2
Sécurité active
Filtrer et bloquer des flux (IPS)
Sécurité passive
Détection/Reconnaissance d’intrusions (IDS)
1
Introduction
3
Le trafic habituel qui entre dans votre réseau sert à :

Résoudre des requêtes DNS
Accéder à des pages web
La messagerie SMTP
…
Introduction
3
Le trafic habituel qui entre dans votre réseau sert à :

Résoudre des requêtes DNS
Accéder à des pages web
La messagerie SMTP
…
Un certain pourcentage du trafic sert en fait à des actions malicieuses :

Reconnaître quelles sont les ressources disponibles sur votre réseau
Lancer une attaque de type « déni de service » pour la disponibilité de vos serveurs
Ouvrir une « back door » dans votre réseau
2
IDS : Intrusion Detection System
4
Intrusion: Ensemble d’actions entraînant la compromission de la sécurité

(intégrité, confidentialité, disponibilité, etc.) de l’information possédée par une
organisation.

4

organisation.
Détection d’Intrusions: L’identification de
3
4

organisation.
Ceux qui utilisant le système sans autorisation (ex: intrus).

4

organisation.
Ceux qui ont un accès légitime au système mais sont en train d’abuser de leurs
privilèges.
4
4

organisation.
Ceux qui ont un accès légitime au système mais sont en train d’abuser de leurs
privilèges.
Les tentatives d’utilisation aux systèmes sans autorisation et les tentatives d’abus de
privilèges.

5
Quoi ?
Les IDS, ou systèmes de détection d'intrusions, sont des systèmes software ou

hardware conçus afin de pouvoir:
5
5
Quoi ?

1. automatiserle monitoring d'événements survenant dans un réseau ou sur une
machine particulière,

5
Quoi ?

2. signaler
à l'administrateur système, toute trace d'activité anormale sur ce dernier ou
sur la machine surveillée.
6
5
Quoi ?

2. signaler
L'IDS est un système de détection passif.

5
Quoi ?

2. signaler
L'IDS est un système de détection passif.
l'administrateur décidera ou non de bloquer cette activité.
7
6
Quoi ?
Software/Hardware Système qui automatise le processus d'analyse des
événements d'un ordinateur/réseau pour y détecter des signes de problèmes
de sécurité/attaques ayant pour but de compromettre la confidentialité,
l'intégrité, la disponibilité.

6
Quoi ?
Infrastructure devenu nécessaire pour une organisation/entreprise.
8
6
Quoi ?
Infrastructuredevenu nécessaire pour une organisation/entreprise.
intrusion=attaquant accède au système (e.g., via internet) gagnant des droits interdits.

6
Quoi ?
IDS n'empêche pas les intrusions, mais les détecte.
9
6
Quoi ?
IDS n'empêche pas les intrusions, mais les détecte.
Recherche de signature d'attaque => « pattern » spécifiques indiquant intention
suspecte/malicieuse.

7
Un IDS est essentiellement un sniffer couplé avec un moteur qui

analyse le trafic selon des règles.
10
7

Ces règles décrivent un trafic à signaler

7

L’IDS peut analyser :
11
7

L’IDS peut analyser :
Couche Réseau (IP, ICMP)

Couche Transport (TCP, UDP)
Couche Application (HTTP, Telnet)

8
Pourquoi ?
12
8
Pourquoi ?
augmentation du nombre de réseaux et de leurs tailles

8
Pourquoi ?
prévenir les problèmes en découvrant les attaquants
13
8
Pourquoi ?
détecter les attaques et les problèmes de sécurités non encore détectées/corrigés:

8
Pourquoi ?
bug non corrigés
14
8
Pourquoi ?
bug non corrigés

attaque inconnue ou non publiée

8
Pourquoi ?
bug non corrigés

service/protocole vulnérable aux attaques mais nécessaire
15
8
Pourquoi ?
bug non corrigés

erreur dans la configuration de la part de l'utilisateur/administrateur

8
Pourquoi ?
bug non corrigés

prévenir/empêcher/réduire les attaques
16
8
Pourquoi ?
bug non corrigés

contrôle de qualité de la sécurité (grands réseaux)

8
Pourquoi ?
bug non corrigés

contrôle de qualité de la sécurité (grands réseaux)
obtenir des informations sur les intrusions, faire des corrections (suite à l'intrusion), ...
17
Les quatre modules importants d’un IDS
9

9
1. La journalisation : Enregistrement des évènements dans un fichier,

comme l’arrivée d’un paquet ou une tentative de connexion.
18
9

2. L’analyse : Analyse des journaux afin d’identifier des motifs parmi
la quantité importante de données que l’IDS a recueillie.

9

3. L’action : Prévenir le personnel lorsqu’une situation dangereuse est
détectée par l’activation d’une alarme.
19
9

3. L’action : Prévenir le personnel lorsqu’une situation dangereuse est
détectée par l’activation d’une alarme.
4. La gestion : Les IDS doivent être configurés, mis à jour et gérés
activement de différentes manières.
Les actions d’un IDS

10
Les principales méthodes utilisées pour signaler les intrusions sont les suivantes:
20
10
Envoi d’un email à un ou plusieurs utilisateurs : pour notifier d’une intrusion sérieuse.

10
Journalisation (log) de l’attaque : sauvegarde des détails de l’alerte dans une base de
données centrale, comme par exemple des informations telles que l’adresse IP de
l’intrus, adresse IP de la cible, protocole utilisé.
21
10
Sauvegarde des paquets suspects : sauvegarde de l’ensemble des paquets réseaux
capturés et/ou uniquement les paquets qui ont déclenché une alerte.

10
Démarrage d’une application : lancement d'un programme extérieur pour exécuter une
action spécifique (envoi d’un message sms, émission d’une alerte auditive…).
22
10
Démarrage d’une application : lancement d'un programme extérieur pour exécuter une
action spécifique (envoi d’un message sms, émission d’une alerte auditive…).
Notification visuelle de l’alerte : affichage de l’alerte dans une ou plusieurs console(s)
de management.
Un peu de vocabulaire
11
23
11
Faux positif :
fausse alerte levée par l'IDS
11
Faux positif :
Faux négatif :
attaque (au sens large) qui n'a pas été repérée par l'IDS
24
11
Faux positif :
Faux négatif :
Signature d'attaque: Une signature d'attaque est un motif (patron de
comportement) représentant toute l'information concernant une attaque
connue.
11
Faux positif :
Faux négatif :
Signature d'attaque: Une signature d'attaque est un motif (patron de
comportement) représentant toute l'information concernant une attaque
connue.
Sonde : composant de l'architecture IDS qui collecte les informations brutes
25
Type de système d'information surveillé
12

12
Réseau
NIDS : Network Intrusion Detection System
➢ principe : contrôler le trafic réseau
➢contenu
➢volume
➢ une sonde permet de surveiller plusieurs machines
26
12
Réseau
➢contenu
➢volume
Système
HIDS : Hostbased Intrusion Detection System
➢ principe : contrôler l'activité système
➢logs
➢fichiers
➢processus
➢ une machine nécessite une sonde propre

12
Réseau
➢contenu
➢volume
Système
HIDS : Hostbased Intrusion Detection System
➢ principe : contrôler l'activité système
➢logs
➢fichiers
➢processus
➢ une machine nécessite une sonde propre
Application
➢ sous-genre du HIDS
27
Méthode de détection d’intrusion
13
• Détection d'intrusion par

signature
• Détection d'intrusion par

anomalie
• Que choisir ?
Détection d'intrusion par signature 1/2

14
28
14
Misuse Detection (détection par scénario)

14
Méthode la plus simple, basée sur une reconnaissance de caractères

➢ si Evènement matche Signature alors Alerte
29
14

Facile à implémenter, pour tout type d'IDS

14

L'efficacité de ces IDS est liée à la gestion de la base de signatures
30
14

• mise à jour
• nombre de règles
• signatures suffisamment précises

14

• mise à jour
• nombre de règles
• signatures suffisamment précises
Exemples :
• trouver le motif /winnt/system32/cmd.exe dans une requête HTTP
• trouver le motif FAILED su for root dans un log système
31
15
Capture
16
La capture sert à la récupération du trafic réseau. En général ceci se fait en

temps réel.
32
Capture
16

temps réel.
Son mode de fonctionnement est de copier tout paquet arrivant au niveau de
la couche liaison de données du système d'exploitation.
Capture
16

temps réel.
Son mode de fonctionnement est de copier tout paquet arrivant au niveau de
la couche liaison de données du système d'exploitation.
Il se peut que certains paquets soient ignorés car sous une forte charge, l'OS
ne les copiera plus.
33
Signatures
17
Les bibliothèques de signatures rendent la démarche d'analyse similaire à

celle de l’antivirus quand celles ci s'appuient sur des signatures d'attaques.
le NIDS est efficace s'il connaît l'attaque, mais inefficace dans le cas contraire.
Signatures
17

Les outils à base de signatures requièrent des mises à jour très régulières.
34
Signatures
17

Les outils à base de signatures requièrent des mises à jour très régulières.
Les NIDS ont pour avantage d'être des systèmes temps réel et ont la
possibilité de découvrir des attaques ciblant plusieurs machines à la fois.
Analyse
18
35
Analyse
18
On distingue 2 types d'analyse réseau

par paquet : vision macroscopique, nombreuses possibilités
de flux : vision globale de l'activité du réseau
Analyse
18

Pour l'analyse de paquets on peut s'intéresser aux différentes couches, chacune
étant en mesure de fournir des informations pertinentes
36
Analyse
18

anomalies au niveau de l'entête d'un paquet
• combinaisons exotiques des flags TCP
• mauvaise somme de contrôle
Analyse
18

anomalies au niveau du comportement du protocole
• incohérences des numéros de séquence et d'acquittement TCP
37
Analyse
18

anomalies au niveau du comportement du protocole
• incohérences des numéros de séquence et d'acquittement TCP
couches applications malformées
• négociation SMTP suspecte
• données suspectes
Analyse protocolaire
19
ARP
adresse nulle
adresse source en ff:ff:ff:ff:ff:ff
38
19
ARP
adresse nulle
IP
mauvais checksum
mauvaise taille de paquet
adresse incohérente
19
ARP
adresse nulle
IP
mauvais checksum
UDP
mauvais checksum
39
19
ARP
adresse nulle
IP
mauvais checksum
UDP
mauvais checksum
TCP
mauvais checksum
taillede l'entête incorrecte
flags incohérents
19
ARP
adresse nulle
IP
mauvais checksum
UDP
mauvais checksum
TCP
mauvais checksum
taille de l'entête incorrecte
flags incohérents
40
Analyse des données
20
Il s'agit ici de rechercher dans les données (payload) des chaînes de

caractères suspectes, correspondant à des attaques connues.

20

Exemple :
41
20

Exemple :
si le protocole de couche 4 est TCP

si le port sur lequel se fait la connexion est le port 80
alors le protocole applicatif est HTTP
si de plus la requête, dans l'url, contient la chaîne cmd.exe
alors il s'agit vraisemblablement d'une attaque
une alerte sera alors levée au vu d'une requête type :
http://www.serveur.net/chemin/vers/cmd.exe

21
Avantages
42
21
Avantages
simplicité de mise en œuvre
rapidité du diagnostic
précision (en fonction des règles)
identification du procédé d'attaque

21
Avantages
procédé
cible(s)
source(s)
outil ?
43
21
Avantages
procédé
cible(s)
source(s)
outil ?
facilite donc la réponse à incident

21
Avantages
procédé
cible(s)
source(s)
outil ?
facilitedonc la réponse à incident
très efficace pour la détection sans générer trop de fausses alarme
44
21
Avantages
procédé
cible(s)
source(s)
outil ?
taux faible de faux négatif

21
Avantages
procédé
cible(s)
source(s)
outil ?
peut facilement diagnostiquer une attaque/technique spécifique
45
21
Avantages
procédé
cible(s)
source(s)
outil ?
peut facilement diagnostiquer une attaque/technique spécifique
autorise l'administrateur a traquer les problème de sécurité

22
46
22
Inconvénients
ne détecte que les attaques connues de la base de signatures
maintenance de la base
techniques d'évasion possibles dès lors que les signatures sont connues

22
Inconvénients
ne détecte que les attaques connues de la base de signatures
maintenance de la base
techniques d'évasion possibles dès lors que les signatures sont connues
ne détecte que les attaques connues
difficile de détecter les variantes d'une attaque
mis à jour, entretien de la base difficile
47
Détection d'intrusion par anomalie 1/2
23
On parle aussi de détection d'intrusion comportementale

23

Modélisation du système : création d'un profil normal
48
23

phase d'apprentissage pour définir ce profil

la détection d'intrusion consistera à déceler un écart suspect entre le comportement du
réseau et son profil
Exemples de profil : volume des échanges réseau, appels systèmes d'une application,
commandes usuelles d'un utilisateur...

23


Repose sur des outils de complexités diverses
49
23


Repose sur des outils de complexités diverses
seuils
statistiques
méthodes probabilistes
réseaux de neurones
machines à support de vecteurs

24
50
24
Avantages
permet la détection d'attaques non connues a priori
facilite la création de règles adaptées à ces attaques
difficile à tromper

24
Avantages
Inconvénients
les faux positifs sont relativement nombreux
51
24
Avantages
Inconvénients
lesfaux positifs sont relativement nombreux
générer un profil est complexe :

24
Avantages
Inconvénients
durée de la phase d'apprentissage
activité saine du système durant cette phase ?
52
24
Avantages
Inconvénients
durée de la phase d'apprentissage
activité saine du système durant cette phase ?
en cas d'alerte, un diagnostic précis est souvent nécessaire pour identifier clairement
l'attaque
NIDS : Network Intrusion Detection Systems

25
53
Objectifs d’un NIDS
26
Les NIDS sont utilisés pour contrôler l'activité d'un réseau

de taille variable

26
Les NIDS sont utilisés pour contrôler l'activité d'un réseau

de taille variable
du simple LAN sans routage

au réseau d'entreprise comptant plusieurs milliers de machines et plusieurs centaines
de sous-réseaux
54
27
en des points stratégiques

27

enpériphérie du réseau
contrôle des flux échangés avec l'extérieur
55
27

en périphérie du réseau
au cœur du réseau
contrôle du comportement des utilisateurs internes
recherche d'éventuelles intrusions

27

en périphérie du réseau
au cœur du réseau
contrôle du comportement des utilisateurs internes
recherche d'éventuelles intrusions
des techniques variées
étude par paquets
sansétats
avec états (reconstruction des flux)
analyse de flux
56
Positions d’un NIDS dans le réseau
28
Position(1) : l'IDS va pouvoir détecter

l'ensemble des attaques frontales,
provenant de l'extérieur, en amont du
firewall. Ainsi, beaucoup trop d'alertes
seront remontées ce qui rendra les logs
difficilement consultables.

28

Position(2) : Si l'IDS est placé sur la
DMZ, il détectera les attaques qui n'ont
pas été filtrées par le firewall et qui
relèvent d'un certain niveau de
compétence. Les logs seront ici plus
clairs à consulter puisque les attaques
bénignes ne seront pas recensées.
57
28

Position(2) : Si l'IDS est placé sur la
DMZ, il détectera les attaques qui n'ont
pas été filtrées par le firewall et qui
relèvent d'un certain niveau de Position(3) : L'IDS peut ici rendre compte des
compétence. Les logs seront ici plus attaques internes, provenant du réseau local
clairs à consulter puisque les attaques de l'entreprise.
bénignes ne seront pas recensées.

29
on placerait des IDS sur les trois positions.
58
29

puis on délèguerait la consultation des logs à l'application "acid" (cf
http://acidlab.sourceforge.net/)

29

permet d'analyser les alertes et d'en présenter clairement les résultats via une
interface web complète.
59
29

permet d'analyser les alertes et d'en présenter clairement les résultats via une
interface web complète.
si une seule machine peut être déployée, autant la mettre sur la position 2, cruciale
pour le bons fonctionnement des services.
HIDS : Hostbased Intrusion Detection Systems

30
60
30

31
Un contrôle d'intégrité va consister à vérifier, par une méthode donnée, que

des fichiers déterminés du système n'ont pas été altérés.
61
31

Avant de procéder à ce genre de contrôle, il faut déjà sécuriser au maximum
les accès à ces fichiers :

31

droits sur les fichiers, les répertoires parents
stockage de données sur des périphériques accessibles physiquement en lecture
seule (CD, disquette...)
montage de partitions spécifiques en lecture seule
62
31

droits sur les fichiers, les répertoires parents
stockage de données sur des périphériques accessibles physiquement en lecture
seule (CD, disquette...)
montage de partitions spécifiques en lecture seule
On peut alors s'attaquer au contrôle d'intégrité !

32
Pour détecter des changements sur un fichier, on dispose des méthodes

suivantes :
63
32

suivantes :
1. comparaison avec des copies

32

suivantes :
principe :
64
32

suivantes :
principe :
conserver des copies des fichiers critiques
périodiquement comparer le fichier sur le système et la copie
c'est la méthode la plus apte à détecter s'il y a eu modification, et quelle modification !

32

suivantes :
principe :
mais c'est extrêmement lourd à mettre en œuvre
65
32

suivantes :
principe :
mais c'est extrêmement lourd à mettre en œuvre

capacités de stockage pour les copies
ressources système pour effectuer les comparaisons

33
où stocker la copie ?
66
33
sur le système lui même, dans un répertoire dédié
sur un périphérique amovible (lecture seule)
sur un disque dur pouvant être monté par le système
sur le réseau (comparaison avec un export NFS par exemple)

33
sur le système lui même, dans un répertoire dédié
sur un périphérique amovible (lecture seule)
sur un disque dur pouvant être monté par le système
sur le réseau (comparaison avec un export NFS par exemple)
il est primordial que la copie ne puisse être altérée !
67
34
2. comparaison d'attributs du fichier

34

principe :
68
34

principe :
relever des champs caractéristiques des fichiers à contrôler

34

principe :
comparer ces champs aux valeurs originales
relever les modifications anormales
69
34

principe :
plus léger que la méthode précédente, ce procédé ne permet pas de voir

quelles ont été les modifications apportées aux fichiers

34

principe :
plus léger que la méthode précédente, ce procédé ne permet pas de voir

quelles ont été les modifications apportées aux fichiers
peut permettre de détecter cependant des modifications autres que celle du
contenu du fichier
70
35
de nombreux paramètres peuvent être pris en compte :

35
de nombreux paramètres peuvent être pris en compte :

propriétaire
droits
taille
dates de création, de dernière modification...
71
36
3. comparaison de signatures

36
principe :
72
36
principe :
on calcule une signature de chaque fichier à protéger, avec une fonction
cryptographique, type md5

36
principe :
on compare périodiquement le checksum courant du fichier avec la valeur
originale
73
36
principe :
originale
légère et facile à déployer, cette méthode permet la détection de modifications
du contenu d'un fichier, pas de ses attributs

36
principe :
originale

nécessite un algorithme suffisamment fort
74
36
principe :
originale
nécessite un algorithme suffisamment fort
le fichier de référence ne doit pas pouvoir être modifié !
Déployer un IDS
37
stratégie de déploiement
75
Déployer un IDS
37
securitypolicies, plans, procedures doit être en place
combinaison de HIDS et NIDS recommandé
NIDS installé en premier => plus simple d'installation
puis HIDS sur machine critique
tester de temps en temps les systèmes pour améliorer la configuration
Déployer un IDS
37
Stratégie d'alarme
76
Déployer un IDS
37
Stratégie d'alarme
bienchoisir les types d'alarmes : email, paging, network management protocol traps, ...
recommandation : ne pas mettre en service les alarmes avant un certain temps
d'adaptation / surveillance / test
Déployer un IDS
38
Déployer un HIDS
77
Déployer un IDS
38
Déployer un HIDS
ajoute un niveau de sécurité au NIDS
pas sur tous les machines, seulement les plus critiques
programmer régulièrement une analyse des résultats du HIDS
Déployer un IDS
39
Déployer un NIDS
78
Déployer un IDS
39
Déployer un NIDS
Où mettre le system sensors?
Déployer un IDS
39
Déployer un NIDS
1. derrière un firewall avec accès à l'extérieur :
79
Déployer un IDS
39
Déployer un NIDS
1. derrière un firewall avec accès à l'extérieur :

➔voir les attaques de l'extérieur pénétrant le réseau
➔souligner les problèmes de politiques, performances, ..., du firewall
➔savoir ce qui est attaquer (suivant la position du firewall)
➔si l'attaque n'a pas été reconnu, l'IDS peut reconnaître le trafic sortant
Déployer un IDS
40
2. devant un firewall avec accès à l'extérieur :
80
Déployer un IDS
40

➔connaître le nombre, type d'attaques venant de l'extérieur
Déployer un IDS
40

3. on major network backbones :
81
Déployer un IDS
40

➔analyse maximum trafic, mais augmente la possibilité spoffing attacks
➔détecter action non-autorisé de la part des utilisateurs autorisé
Déployer un IDS
40

4. sur les sous-réseaux critiques
82
Déployer un IDS
40

4. sur les sous-réseaux critiques
➔détecter les attaques ciblant les systèmes et ressources critiques
➔réduire les ressources nécessaires aux IDS
Avantages & Limitation des IDS

41
Avantages
83
41
Avantages
Analyser et étudier les événement système et les utilisateurs
Tester le niveau de sécurité d'un système
Connaître l'état de sécurité d'un système et en connaître les modifications
Reconnaître les patterns d'événement qui correspondent à une attaque
Reconnaître les patterns d''activité qui correspondent statistiquement à une attaque
Managing OS audit et logging
Alerter les bonnes personnes lors d'une attaque
Mesurer la robustesse de la politique de sécurité
Procurer des informations de base sur la politique de sécurité
Permettre a des non experts de maintenir les systèmes

42
Limitations
84
42
Limitations
Ne permet pas de :

42
Limitations
Ne permet pas de :
renforcer certains mécanismes (firewalls, identifications, encryptions, ...)
détecter, reporter, répondre à une attaque instantanément
détecter attaques nouvelles ou variantes d'attaques
répondre à une attaque complexe
automatisé tout : pas d'interversion humaine
résister aux attaques contre IDS
85
IDS : logiciel + matériel
43
IDS : logiciels
44
Bro
86
Les outils
45
Tcpdump : outil en ligne de commande permettant d’écouter le réseau.
Les outils
45

Ethereal ou Wireshark : logiciel open-source permettant la capture et
l’analyse de traffic réseau en mode graphique.
87
Les outils
45

Snort : système de détection d’intrusion libre publié sous licence GNU GPL.
À l’origine écrit par Martin Roesch, il appartient actuellement à Sourcefire.
Les outils
45

Snort : système de détection d’intrusion libre publié sous licence GNU GPL.
À l’origine écrit par Martin Roesch, il appartient actuellement à Sourcefire.
ACID (Analysis Console for Intrusion Databases) : outil d’aministration
d’un IDS permettant de se connecter la base de données de SNORT.
88
Lancement de tcpdump
46
Il est préférable de lancer TCPdump en mode super utilisateur car il passe votre
interface réseau en "promiscuous mode" ce qui nécessite certain privilèges.
46
"promiscuous mode" signifie que votre interface va accepter tous les paquets IP,
même ceux qui ne lui sont pas destinés.
89
46
Vous pouvez lancer tcpdump sans option :
46
Vous pouvez lancer tcpdump sans option :
90
Interprétation de tcpdump
47
TCPdump génére une ligne par paquet IP. Avec les options par défaut, une ligne ressemble à :
47
10:27 :46.931012 IP aci-claude.1844 > recher-dns.recherche.domain
→ Heure d’arrivée du paquet sur l’interface réseau
91
47
10 :27 :46.931012 IP aci-claude.1844 > recher-dns.recherche.domain
→ Type de protocole (ici IP, peut être aussi ARP, IGMP, GRE, ...)
47
→ Adresse réseau source
92
47

→ Port réseau source
47


→ Adresse réseau destination
93
47


→ Adresse réseau destination

→ Port réseau destination (domain = requête DNS UDP/53)
Lancement de Wireshark
48
Au moment du lancement de Wireshark, vous obtenez l’écran suivant:
94
Lancement de Wireshark
48
Au moment du lancement de Wireshark, vous obtenez l’écran suivant:
Choix de l’interface de capture

49
Pour démarrer la capture, il vous faut sélectionner d’abord une interface dans le menu
Capture/Interface.
95
Choix de l’interface de capture
49
Pour démarrer la capture, il vous faut sélectionner d’abord une interface dans le menu
Capture/Interface.
Options de capture
50
Vous pouvez modifier les options de capture en pressant le bouton

Option :
96
Options de capture
50
Vous pouvez modifier les options de capture en pressant le bouton

Option :
Lancement de la capture
51
Pour lancer la capture, il suffit de presser Start :
97
51
51
Pour arrêter la capture et charger celle-ci dans Wireshark, il suffit de presser Stop :
98
51
Pour arrêter la capture et charger celle-ci dans Wireshark, il suffit de presser Stop :
Analyse de la capture
52
Vous pouvez ensuite analyser le résultat de la capture :
99
Analyse de la capture
52
Vous pouvez ensuite analyser le résultat de la capture :
Snort
53
Système de détection d'intrusion réseau (NIDS)

Auteur : Martin Roesh (21.12.1998)
Version actuelle 2.9.8.2
Logiciel libre de droit
Taille des sources faibles
Portable sur plusieurs types de plateformes
Installation et configuration simples
Détection en temps réel et puissante
100
Fonctionnalités
54
Détection au niveau des protocoles :

IP, TCP, UDP, ICMP
Fonctionnalités
54

IP, TCP, UDP, ICMP
Détection d'activités anormales
Stealthscan - Découverte d'empreinte d'OS

Code ICMP "invalide"
101
Fonctionnalités
54

IP, TCP, UDP, ICMP

Détection des petits fragments
Fonctionnalités
54

IP, TCP, UDP, ICMP


Détection de dénis de service
102
Fonctionnalités
54

IP, TCP, UDP, ICMP


Détection de débordement de buffer
Fonctionnalités
54

IP, TCP, UDP, ICMP


Détection de débordement de buffer
…
103
Créer ses propres règles
Syntaxe générale :
Action : alert, log, pass, activate, dynamic

Protocole : tcp/udp/icmp
Options d’une règle :
15 mots clés disponibles

ack,msg, flags, react, resp, content-list, …
Action protocole @src #port_src ->|<> @dest #port_dest [(options_de_règle)]


104
Action protocole @src #port_src ->|<> @dest #port_dest [(options_de_règle)]

(mot_clé:valeur;mot_clé2:valeur2;…)


56
msg
Description de la règle
flags
Test
des drapeaux TCP (ACK, SYN…), opérateur logique (+,*,!)
Exemple : (flags:SF;msg:"SYN FIN scan")
ack
Teste
le champ d’acquittement TCP pour une valeur donnée
Exemple : (flags:A;ack:0;msg:"NMap TCP ping")
TTL
Teste
la valeur du TTL
Exemple : (alert tcp any any -> any any(msg: “Traceroute";TTL:1)
105
57
resp
Met en œuvre des réponses flexibles
Exemple : (alert tcp any any -> 192.168.0.1/24 1524 (flags:S; resp:rst_all; msg: "Root
shell backdoor attempt";)
Valeur : rst_all - envoie des paquets TCP_RST dans les deux directions
react
Réponse active (block, msg) sur connexions HTTP.
Exemple : (alert tcp any any <> 192.168.0.1/24 80 (content-list: "adults"; msg: “Adult
sites"; react: block,msg)
Sources
58
Wikipédia (http://fr.wikipedia.org)
Snort (http://www.snort.org)
Mag-securs (http://www.mag-securs.com/)
Computer Security Institute (http://www.gocsi.com/)
Sécurité.org (http://www.securite.org/)
CGSecurity (http://www.cgsecurity.org)
Groar : écriture des règles snort (http://www.groar.org/trad/snort/snort-

faq/writing_snort_rules.html)
HSC : consultant en sécurité informatique (www.hsc.fr)
106

Systèmes de Détection D'intrusion: Sécurité Active Et Passive

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Systèmes de Détection D'intrusion: Sécurité Active Et Passive

Transféré par

Droits d'auteur :

Formats disponibles

2021/2022

Université Abdelmalek Essaâdi

Sécurité active et passive

Le trafic habituel qui entre dans votre réseau sert à :

Le trafic habituel qui entre dans votre réseau sert à :

Un certain pourcentage du trafic sert en fait à des actions malicieuses :

Intrusion: Ensemble d’actions entraînant la compromission de la sécurité

IDS : Intrusion Detection System

Intrusion: Ensemble d’actions entraînant la compromission de la sécurité

Intrusion: Ensemble d’actions entraînant la compromission de la sécurité

IDS : Intrusion Detection System

Intrusion: Ensemble d’actions entraînant la compromission de la sécurité

Intrusion: Ensemble d’actions entraînant la compromission de la sécurité

IDS : Intrusion Detection System

Les IDS, ou systèmes de détection d'intrusions, sont des systèmes software ou

Les IDS, ou systèmes de détection d'intrusions, sont des systèmes software ou

IDS : Intrusion Detection System

Les IDS, ou systèmes de détection d'intrusions, sont des systèmes software ou

Les IDS, ou systèmes de détection d'intrusions, sont des systèmes software ou

IDS : Intrusion Detection System

Les IDS, ou systèmes de détection d'intrusions, sont des systèmes software ou

IDS : Intrusion Detection System

IDS : Intrusion Detection System

IDS : Intrusion Detection System

Un IDS est essentiellement un sniffer couplé avec un moteur qui

Un IDS est essentiellement un sniffer couplé avec un moteur qui

IDS : Intrusion Detection System

Un IDS est essentiellement un sniffer couplé avec un moteur qui

L’IDS peut analyser :

Un IDS est essentiellement un sniffer couplé avec un moteur qui

L’IDS peut analyser :

Couche Réseau (IP, ICMP)

IDS : Intrusion Detection System

IDS : Intrusion Detection System

détecter les attaques et les problèmes de sécurités non encore détectées/corrigés:

IDS : Intrusion Detection System

détecter les attaques et les problèmes de sécurités non encore détectées/corrigés:

 bug non corrigés

détecter les attaques et les problèmes de sécurités non encore détectées/corrigés:

 bug non corrigés

IDS : Intrusion Detection System

détecter les attaques et les problèmes de sécurités non encore détectées/corrigés:

 bug non corrigés

détecter les attaques et les problèmes de sécurités non encore détectées/corrigés:

 bug non corrigés

IDS : Intrusion Detection System

détecter les attaques et les problèmes de sécurités non encore détectées/corrigés:

 bug non corrigés

détecter les attaques et les problèmes de sécurités non encore détectées/corrigés:

 bug non corrigés

IDS : Intrusion Detection System

détecter les attaques et les problèmes de sécurités non encore détectées/corrigés:

 bug non corrigés

Les quatre modules importants d’un IDS

1. La journalisation : Enregistrement des évènements dans un fichier,

1. La journalisation : Enregistrement des évènements dans un fichier,

Les quatre modules importants d’un IDS

1. La journalisation : Enregistrement des évènements dans un fichier,

1. La journalisation : Enregistrement des évènements dans un fichier,

Les actions d’un IDS

Les actions d’un IDS

Les actions d’un IDS

Type de système d'information surveillé

bug non corrigés

bug non corrigés

bug non corrigés

bug non corrigés

bug non corrigés

bug non corrigés

bug non corrigés

Méthode la plus simple, basée sur une reconnaissance de caractères

Méthode la plus simple, basée sur une reconnaissance de caractères

Méthode la plus simple, basée sur une reconnaissance de caractères

Méthode la plus simple, basée sur une reconnaissance de caractères

Méthode la plus simple, basée sur une reconnaissance de caractères

si le protocole de couche 4 est TCP

ne détecte que les attaques connues

difficile de détecter les variantes d'une attaque

mis à jour, entretien de la base difficile