Académique Documents
Professionnel Documents
Culture Documents
Systèmes de détection
d’intrusion
Sécurité active
Filtrer et bloquer des flux (IPS)
Sécurité passive
Détection/Reconnaissance d’intrusions (IDS)
1
Introduction
3
Introduction
3
2
IDS : Intrusion Detection System
4
3
IDS : Intrusion Detection System
4
4
IDS : Intrusion Detection System
4
Quoi ?
5
IDS : Intrusion Detection System
5
Quoi ?
Quoi ?
6
IDS : Intrusion Detection System
5
Quoi ?
Quoi ?
7
IDS : Intrusion Detection System
6
Quoi ?
Software/Hardware Système qui automatise le processus d'analyse des
événements d'un ordinateur/réseau pour y détecter des signes de problèmes
de sécurité/attaques ayant pour but de compromettre la confidentialité,
l'intégrité, la disponibilité.
Quoi ?
Software/Hardware Système qui automatise le processus d'analyse des
événements d'un ordinateur/réseau pour y détecter des signes de problèmes
de sécurité/attaques ayant pour but de compromettre la confidentialité,
l'intégrité, la disponibilité.
Infrastructure devenu nécessaire pour une organisation/entreprise.
8
IDS : Intrusion Detection System
6
Quoi ?
Software/Hardware Système qui automatise le processus d'analyse des
événements d'un ordinateur/réseau pour y détecter des signes de problèmes
de sécurité/attaques ayant pour but de compromettre la confidentialité,
l'intégrité, la disponibilité.
Infrastructuredevenu nécessaire pour une organisation/entreprise.
intrusion=attaquant accède au système (e.g., via internet) gagnant des droits interdits.
Quoi ?
Software/Hardware Système qui automatise le processus d'analyse des
événements d'un ordinateur/réseau pour y détecter des signes de problèmes
de sécurité/attaques ayant pour but de compromettre la confidentialité,
l'intégrité, la disponibilité.
Infrastructuredevenu nécessaire pour une organisation/entreprise.
intrusion=attaquant accède au système (e.g., via internet) gagnant des droits interdits.
IDS n'empêche pas les intrusions, mais les détecte.
9
IDS : Intrusion Detection System
6
Quoi ?
Software/Hardware Système qui automatise le processus d'analyse des
événements d'un ordinateur/réseau pour y détecter des signes de problèmes
de sécurité/attaques ayant pour but de compromettre la confidentialité,
l'intégrité, la disponibilité.
Infrastructuredevenu nécessaire pour une organisation/entreprise.
intrusion=attaquant accède au système (e.g., via internet) gagnant des droits interdits.
IDS n'empêche pas les intrusions, mais les détecte.
Recherche de signature d'attaque => « pattern » spécifiques indiquant intention
suspecte/malicieuse.
10
IDS : Intrusion Detection System
7
11
IDS : Intrusion Detection System
7
Pourquoi ?
12
IDS : Intrusion Detection System
8
Pourquoi ?
augmentation du nombre de réseaux et de leurs tailles
Pourquoi ?
augmentation du nombre de réseaux et de leurs tailles
prévenir les problèmes en découvrant les attaquants
13
IDS : Intrusion Detection System
8
Pourquoi ?
augmentation du nombre de réseaux et de leurs tailles
prévenir les problèmes en découvrant les attaquants
Pourquoi ?
augmentation du nombre de réseaux et de leurs tailles
prévenir les problèmes en découvrant les attaquants
14
IDS : Intrusion Detection System
8
Pourquoi ?
augmentation du nombre de réseaux et de leurs tailles
prévenir les problèmes en découvrant les attaquants
Pourquoi ?
augmentation du nombre de réseaux et de leurs tailles
prévenir les problèmes en découvrant les attaquants
15
IDS : Intrusion Detection System
8
Pourquoi ?
augmentation du nombre de réseaux et de leurs tailles
prévenir les problèmes en découvrant les attaquants
Pourquoi ?
augmentation du nombre de réseaux et de leurs tailles
prévenir les problèmes en découvrant les attaquants
16
IDS : Intrusion Detection System
8
Pourquoi ?
augmentation du nombre de réseaux et de leurs tailles
prévenir les problèmes en découvrant les attaquants
Pourquoi ?
augmentation du nombre de réseaux et de leurs tailles
prévenir les problèmes en découvrant les attaquants
17
Les quatre modules importants d’un IDS
9
18
Les quatre modules importants d’un IDS
9
19
Les quatre modules importants d’un IDS
9
Les principales méthodes utilisées pour signaler les intrusions sont les suivantes:
20
Les actions d’un IDS
10
Les principales méthodes utilisées pour signaler les intrusions sont les suivantes:
Envoi d’un email à un ou plusieurs utilisateurs : pour notifier d’une intrusion sérieuse.
Les principales méthodes utilisées pour signaler les intrusions sont les suivantes:
Envoi d’un email à un ou plusieurs utilisateurs : pour notifier d’une intrusion sérieuse.
Journalisation (log) de l’attaque : sauvegarde des détails de l’alerte dans une base de
données centrale, comme par exemple des informations telles que l’adresse IP de
l’intrus, adresse IP de la cible, protocole utilisé.
21
Les actions d’un IDS
10
Les principales méthodes utilisées pour signaler les intrusions sont les suivantes:
Envoi d’un email à un ou plusieurs utilisateurs : pour notifier d’une intrusion sérieuse.
Journalisation (log) de l’attaque : sauvegarde des détails de l’alerte dans une base de
données centrale, comme par exemple des informations telles que l’adresse IP de
l’intrus, adresse IP de la cible, protocole utilisé.
Sauvegarde des paquets suspects : sauvegarde de l’ensemble des paquets réseaux
capturés et/ou uniquement les paquets qui ont déclenché une alerte.
Les principales méthodes utilisées pour signaler les intrusions sont les suivantes:
Envoi d’un email à un ou plusieurs utilisateurs : pour notifier d’une intrusion sérieuse.
Journalisation (log) de l’attaque : sauvegarde des détails de l’alerte dans une base de
données centrale, comme par exemple des informations telles que l’adresse IP de
l’intrus, adresse IP de la cible, protocole utilisé.
Sauvegarde des paquets suspects : sauvegarde de l’ensemble des paquets réseaux
capturés et/ou uniquement les paquets qui ont déclenché une alerte.
Démarrage d’une application : lancement d'un programme extérieur pour exécuter une
action spécifique (envoi d’un message sms, émission d’une alerte auditive…).
22
Les actions d’un IDS
10
Les principales méthodes utilisées pour signaler les intrusions sont les suivantes:
Envoi d’un email à un ou plusieurs utilisateurs : pour notifier d’une intrusion sérieuse.
Journalisation (log) de l’attaque : sauvegarde des détails de l’alerte dans une base de
données centrale, comme par exemple des informations telles que l’adresse IP de
l’intrus, adresse IP de la cible, protocole utilisé.
Sauvegarde des paquets suspects : sauvegarde de l’ensemble des paquets réseaux
capturés et/ou uniquement les paquets qui ont déclenché une alerte.
Démarrage d’une application : lancement d'un programme extérieur pour exécuter une
action spécifique (envoi d’un message sms, émission d’une alerte auditive…).
Notification visuelle de l’alerte : affichage de l’alerte dans une ou plusieurs console(s)
de management.
Un peu de vocabulaire
11
23
Un peu de vocabulaire
11
Faux positif :
fausse alerte levée par l'IDS
Un peu de vocabulaire
11
Faux positif :
fausse alerte levée par l'IDS
Faux négatif :
attaque (au sens large) qui n'a pas été repérée par l'IDS
24
Un peu de vocabulaire
11
Faux positif :
fausse alerte levée par l'IDS
Faux négatif :
attaque (au sens large) qui n'a pas été repérée par l'IDS
Signature d'attaque: Une signature d'attaque est un motif (patron de
comportement) représentant toute l'information concernant une attaque
connue.
Un peu de vocabulaire
11
Faux positif :
fausse alerte levée par l'IDS
Faux négatif :
attaque (au sens large) qui n'a pas été repérée par l'IDS
Signature d'attaque: Une signature d'attaque est un motif (patron de
comportement) représentant toute l'information concernant une attaque
connue.
Sonde : composant de l'architecture IDS qui collecte les informations brutes
25
Type de système d'information surveillé
12
Réseau
NIDS : Network Intrusion Detection System
➢ principe : contrôler le trafic réseau
➢contenu
➢volume
➢ une sonde permet de surveiller plusieurs machines
26
Type de système d'information surveillé
12
Réseau
NIDS : Network Intrusion Detection System
➢ principe : contrôler le trafic réseau
➢contenu
➢volume
➢ une sonde permet de surveiller plusieurs machines
Système
HIDS : Hostbased Intrusion Detection System
➢ principe : contrôler l'activité système
➢logs
➢fichiers
➢processus
➢ une machine nécessite une sonde propre
Réseau
NIDS : Network Intrusion Detection System
➢ principe : contrôler le trafic réseau
➢contenu
➢volume
➢ une sonde permet de surveiller plusieurs machines
Système
HIDS : Hostbased Intrusion Detection System
➢ principe : contrôler l'activité système
➢logs
➢fichiers
➢processus
➢ une machine nécessite une sonde propre
Application
➢ sous-genre du HIDS
27
Méthode de détection d’intrusion
13
• Que choisir ?
28
Détection d'intrusion par signature 1/2
14
29
Détection d'intrusion par signature 1/2
14
30
Détection d'intrusion par signature 1/2
14
31
15
Capture
16
32
Capture
16
Capture
16
33
Signatures
17
le NIDS est efficace s'il connaît l'attaque, mais inefficace dans le cas contraire.
Signatures
17
le NIDS est efficace s'il connaît l'attaque, mais inefficace dans le cas contraire.
Les outils à base de signatures requièrent des mises à jour très régulières.
34
Signatures
17
le NIDS est efficace s'il connaît l'attaque, mais inefficace dans le cas contraire.
Les outils à base de signatures requièrent des mises à jour très régulières.
Les NIDS ont pour avantage d'être des systèmes temps réel et ont la
possibilité de découvrir des attaques ciblant plusieurs machines à la fois.
Analyse
18
35
Analyse
18
Analyse
18
36
Analyse
18
Analyse
18
37
Analyse
18
Analyse protocolaire
19
ARP
adresse nulle
adresse source en ff:ff:ff:ff:ff:ff
38
Analyse protocolaire
19
ARP
adresse nulle
adresse source en ff:ff:ff:ff:ff:ff
IP
mauvais checksum
mauvaise taille de paquet
adresse incohérente
Analyse protocolaire
19
ARP
adresse nulle
adresse source en ff:ff:ff:ff:ff:ff
IP
mauvais checksum
mauvaise taille de paquet
adresse incohérente
UDP
mauvais checksum
39
Analyse protocolaire
19
ARP
adresse nulle
adresse source en ff:ff:ff:ff:ff:ff
IP
mauvais checksum
mauvaise taille de paquet
adresse incohérente
UDP
mauvais checksum
TCP
mauvais checksum
taillede l'entête incorrecte
flags incohérents
Analyse protocolaire
19
ARP
adresse nulle
adresse source en ff:ff:ff:ff:ff:ff
IP
mauvais checksum
mauvaise taille de paquet
adresse incohérente
UDP
mauvais checksum
TCP
mauvais checksum
taille de l'entête incorrecte
flags incohérents
40
Analyse des données
20
41
Analyse des données
20
http://www.serveur.net/chemin/vers/cmd.exe
Avantages
42
Détection d'intrusion par signature 2/2
21
Avantages
simplicité de mise en œuvre
rapidité du diagnostic
précision (en fonction des règles)
identification du procédé d'attaque
Avantages
simplicité de mise en œuvre
rapidité du diagnostic
précision (en fonction des règles)
identification du procédé d'attaque
procédé
cible(s)
source(s)
outil ?
43
Détection d'intrusion par signature 2/2
21
Avantages
simplicité de mise en œuvre
rapidité du diagnostic
précision (en fonction des règles)
identification du procédé d'attaque
procédé
cible(s)
source(s)
outil ?
facilite donc la réponse à incident
Avantages
simplicité de mise en œuvre
rapidité du diagnostic
précision (en fonction des règles)
identification du procédé d'attaque
procédé
cible(s)
source(s)
outil ?
facilitedonc la réponse à incident
très efficace pour la détection sans générer trop de fausses alarme
44
Détection d'intrusion par signature 2/2
21
Avantages
simplicité de mise en œuvre
rapidité du diagnostic
précision (en fonction des règles)
identification du procédé d'attaque
procédé
cible(s)
source(s)
outil ?
facilitedonc la réponse à incident
très efficace pour la détection sans générer trop de fausses alarme
taux faible de faux négatif
Avantages
simplicité de mise en œuvre
rapidité du diagnostic
précision (en fonction des règles)
identification du procédé d'attaque
procédé
cible(s)
source(s)
outil ?
facilitedonc la réponse à incident
très efficace pour la détection sans générer trop de fausses alarme
taux faible de faux négatif
peut facilement diagnostiquer une attaque/technique spécifique
45
Détection d'intrusion par signature 2/2
21
Avantages
simplicité de mise en œuvre
rapidité du diagnostic
précision (en fonction des règles)
identification du procédé d'attaque
procédé
cible(s)
source(s)
outil ?
facilitedonc la réponse à incident
très efficace pour la détection sans générer trop de fausses alarme
taux faible de faux négatif
peut facilement diagnostiquer une attaque/technique spécifique
autorise l'administrateur a traquer les problème de sécurité
46
Détection d'intrusion par signature 2/2
22
Inconvénients
ne détecte que les attaques connues de la base de signatures
maintenance de la base
techniques d'évasion possibles dès lors que les signatures sont connues
Inconvénients
ne détecte que les attaques connues de la base de signatures
maintenance de la base
techniques d'évasion possibles dès lors que les signatures sont connues
47
Détection d'intrusion par anomalie 1/2
23
48
Détection d'intrusion par anomalie 1/2
23
49
Détection d'intrusion par anomalie 1/2
23
50
Détection d'intrusion par anomalie 2/2
24
Avantages
permet la détection d'attaques non connues a priori
facilite la création de règles adaptées à ces attaques
difficile à tromper
Avantages
permet la détection d'attaques non connues a priori
facilite la création de règles adaptées à ces attaques
difficile à tromper
Inconvénients
les faux positifs sont relativement nombreux
51
Détection d'intrusion par anomalie 2/2
24
Avantages
permet la détection d'attaques non connues a priori
facilite la création de règles adaptées à ces attaques
difficile à tromper
Inconvénients
lesfaux positifs sont relativement nombreux
générer un profil est complexe :
Avantages
permet la détection d'attaques non connues a priori
facilite la création de règles adaptées à ces attaques
difficile à tromper
Inconvénients
lesfaux positifs sont relativement nombreux
générer un profil est complexe :
durée de la phase d'apprentissage
activité saine du système durant cette phase ?
52
Détection d'intrusion par anomalie 2/2
24
Avantages
permet la détection d'attaques non connues a priori
facilite la création de règles adaptées à ces attaques
difficile à tromper
Inconvénients
lesfaux positifs sont relativement nombreux
générer un profil est complexe :
durée de la phase d'apprentissage
activité saine du système durant cette phase ?
en cas d'alerte, un diagnostic précis est souvent nécessaire pour identifier clairement
l'attaque
53
Objectifs d’un NIDS
26
54
Objectifs d’un NIDS
27
55
Objectifs d’un NIDS
27
analyse de flux
56
Positions d’un NIDS dans le réseau
28
57
Positions d’un NIDS dans le réseau
28
58
Positions d’un NIDS dans le réseau
29
59
Positions d’un NIDS dans le réseau
29
60
HIDS : Hostbased Intrusion Detection Systems
30
61
HIDS : Hostbased Intrusion Detection Systems
31
62
HIDS : Hostbased Intrusion Detection Systems
31
63
HIDS : Hostbased Intrusion Detection Systems
32
64
HIDS : Hostbased Intrusion Detection Systems
32
65
HIDS : Hostbased Intrusion Detection Systems
32
où stocker la copie ?
66
HIDS : Hostbased Intrusion Detection Systems
33
où stocker la copie ?
sur le système lui même, dans un répertoire dédié
sur un périphérique amovible (lecture seule)
sur un disque dur pouvant être monté par le système
sur le réseau (comparaison avec un export NFS par exemple)
où stocker la copie ?
sur le système lui même, dans un répertoire dédié
sur un périphérique amovible (lecture seule)
sur un disque dur pouvant être monté par le système
sur le réseau (comparaison avec un export NFS par exemple)
67
HIDS : Hostbased Intrusion Detection Systems
34
68
HIDS : Hostbased Intrusion Detection Systems
34
69
HIDS : Hostbased Intrusion Detection Systems
34
70
HIDS : Hostbased Intrusion Detection Systems
35
droits
taille
71
HIDS : Hostbased Intrusion Detection Systems
36
3. comparaison de signatures
3. comparaison de signatures
principe :
72
HIDS : Hostbased Intrusion Detection Systems
36
3. comparaison de signatures
principe :
on calcule une signature de chaque fichier à protéger, avec une fonction
cryptographique, type md5
3. comparaison de signatures
principe :
on calcule une signature de chaque fichier à protéger, avec une fonction
cryptographique, type md5
on compare périodiquement le checksum courant du fichier avec la valeur
originale
73
HIDS : Hostbased Intrusion Detection Systems
36
3. comparaison de signatures
principe :
on calcule une signature de chaque fichier à protéger, avec une fonction
cryptographique, type md5
on compare périodiquement le checksum courant du fichier avec la valeur
originale
légère et facile à déployer, cette méthode permet la détection de modifications
du contenu d'un fichier, pas de ses attributs
3. comparaison de signatures
principe :
on calcule une signature de chaque fichier à protéger, avec une fonction
cryptographique, type md5
on compare périodiquement le checksum courant du fichier avec la valeur
originale
légère et facile à déployer, cette méthode permet la détection de modifications
74
HIDS : Hostbased Intrusion Detection Systems
36
3. comparaison de signatures
principe :
on calcule une signature de chaque fichier à protéger, avec une fonction
cryptographique, type md5
on compare périodiquement le checksum courant du fichier avec la valeur
originale
légère et facile à déployer, cette méthode permet la détection de modifications
du contenu d'un fichier, pas de ses attributs
nécessite un algorithme suffisamment fort
Déployer un IDS
37
stratégie de déploiement
75
Déployer un IDS
37
stratégie de déploiement
securitypolicies, plans, procedures doit être en place
combinaison de HIDS et NIDS recommandé
NIDS installé en premier => plus simple d'installation
puis HIDS sur machine critique
tester de temps en temps les systèmes pour améliorer la configuration
Déployer un IDS
37
stratégie de déploiement
securitypolicies, plans, procedures doit être en place
combinaison de HIDS et NIDS recommandé
NIDS installé en premier => plus simple d'installation
puis HIDS sur machine critique
tester de temps en temps les systèmes pour améliorer la configuration
Stratégie d'alarme
76
Déployer un IDS
37
stratégie de déploiement
securitypolicies, plans, procedures doit être en place
combinaison de HIDS et NIDS recommandé
NIDS installé en premier => plus simple d'installation
puis HIDS sur machine critique
tester de temps en temps les systèmes pour améliorer la configuration
Stratégie d'alarme
bienchoisir les types d'alarmes : email, paging, network management protocol traps, ...
recommandation : ne pas mettre en service les alarmes avant un certain temps
d'adaptation / surveillance / test
Déployer un IDS
38
Déployer un HIDS
77
Déployer un IDS
38
Déployer un HIDS
ajoute un niveau de sécurité au NIDS
pas sur tous les machines, seulement les plus critiques
programmer régulièrement une analyse des résultats du HIDS
Déployer un IDS
39
Déployer un NIDS
78
Déployer un IDS
39
Déployer un NIDS
Où mettre le system sensors?
Déployer un IDS
39
Déployer un NIDS
Où mettre le system sensors?
79
Déployer un IDS
39
Déployer un NIDS
Où mettre le system sensors?
Déployer un IDS
40
80
Déployer un IDS
40
Déployer un IDS
40
81
Déployer un IDS
40
Déployer un IDS
40
82
Déployer un IDS
40
Avantages
83
Avantages & Limitation des IDS
41
Avantages
Analyser et étudier les événement système et les utilisateurs
Tester le niveau de sécurité d'un système
Limitations
84
Avantages & Limitation des IDS
42
Limitations
Ne permet pas de :
Limitations
Ne permet pas de :
renforcer certains mécanismes (firewalls, identifications, encryptions, ...)
85
IDS : logiciel + matériel
43
IDS : logiciels
44
Bro
86
Les outils
45
Les outils
45
87
Les outils
45
Les outils
45
88
Lancement de tcpdump
46
Il est préférable de lancer TCPdump en mode super utilisateur car il passe votre
interface réseau en "promiscuous mode" ce qui nécessite certain privilèges.
Lancement de tcpdump
46
Il est préférable de lancer TCPdump en mode super utilisateur car il passe votre
interface réseau en "promiscuous mode" ce qui nécessite certain privilèges.
"promiscuous mode" signifie que votre interface va accepter tous les paquets IP,
même ceux qui ne lui sont pas destinés.
89
Lancement de tcpdump
46
Il est préférable de lancer TCPdump en mode super utilisateur car il passe votre
interface réseau en "promiscuous mode" ce qui nécessite certain privilèges.
"promiscuous mode" signifie que votre interface va accepter tous les paquets IP,
même ceux qui ne lui sont pas destinés.
Vous pouvez lancer tcpdump sans option :
Lancement de tcpdump
46
Il est préférable de lancer TCPdump en mode super utilisateur car il passe votre
interface réseau en "promiscuous mode" ce qui nécessite certain privilèges.
"promiscuous mode" signifie que votre interface va accepter tous les paquets IP,
même ceux qui ne lui sont pas destinés.
Vous pouvez lancer tcpdump sans option :
90
Interprétation de tcpdump
47
TCPdump génére une ligne par paquet IP. Avec les options par défaut, une ligne ressemble à :
Interprétation de tcpdump
47
TCPdump génére une ligne par paquet IP. Avec les options par défaut, une ligne ressemble à :
10:27 :46.931012 IP aci-claude.1844 > recher-dns.recherche.domain
→ Heure d’arrivée du paquet sur l’interface réseau
91
Interprétation de tcpdump
47
TCPdump génére une ligne par paquet IP. Avec les options par défaut, une ligne ressemble à :
10 :27 :46.931012 IP aci-claude.1844 > recher-dns.recherche.domain
→ Heure d’arrivée du paquet sur l’interface réseau
10 :27 :46.931012 IP aci-claude.1844 > recher-dns.recherche.domain
→ Type de protocole (ici IP, peut être aussi ARP, IGMP, GRE, ...)
Interprétation de tcpdump
47
TCPdump génére une ligne par paquet IP. Avec les options par défaut, une ligne ressemble à :
10 :27 :46.931012 IP aci-claude.1844 > recher-dns.recherche.domain
→ Heure d’arrivée du paquet sur l’interface réseau
10 :27 :46.931012 IP aci-claude.1844 > recher-dns.recherche.domain
→ Type de protocole (ici IP, peut être aussi ARP, IGMP, GRE, ...)
10 :27 :46.931012 IP aci-claude.1844 > recher-dns.recherche.domain
92
Interprétation de tcpdump
47
TCPdump génére une ligne par paquet IP. Avec les options par défaut, une ligne ressemble à :
10 :27 :46.931012 IP aci-claude.1844 > recher-dns.recherche.domain
→ Heure d’arrivée du paquet sur l’interface réseau
10 :27 :46.931012 IP aci-claude.1844 > recher-dns.recherche.domain
→ Type de protocole (ici IP, peut être aussi ARP, IGMP, GRE, ...)
10 :27 :46.931012 IP aci-claude.1844 > recher-dns.recherche.domain
Interprétation de tcpdump
47
TCPdump génére une ligne par paquet IP. Avec les options par défaut, une ligne ressemble à :
10 :27 :46.931012 IP aci-claude.1844 > recher-dns.recherche.domain
→ Heure d’arrivée du paquet sur l’interface réseau
10 :27 :46.931012 IP aci-claude.1844 > recher-dns.recherche.domain
→ Type de protocole (ici IP, peut être aussi ARP, IGMP, GRE, ...)
10 :27 :46.931012 IP aci-claude.1844 > recher-dns.recherche.domain
93
Interprétation de tcpdump
47
TCPdump génére une ligne par paquet IP. Avec les options par défaut, une ligne ressemble à :
10 :27 :46.931012 IP aci-claude.1844 > recher-dns.recherche.domain
→ Heure d’arrivée du paquet sur l’interface réseau
10 :27 :46.931012 IP aci-claude.1844 > recher-dns.recherche.domain
→ Type de protocole (ici IP, peut être aussi ARP, IGMP, GRE, ...)
10 :27 :46.931012 IP aci-claude.1844 > recher-dns.recherche.domain
Lancement de Wireshark
48
94
Lancement de Wireshark
48
Pour démarrer la capture, il vous faut sélectionner d’abord une interface dans le menu
Capture/Interface.
95
Choix de l’interface de capture
49
Pour démarrer la capture, il vous faut sélectionner d’abord une interface dans le menu
Capture/Interface.
Options de capture
50
96
Options de capture
50
Lancement de la capture
51
97
Lancement de la capture
51
Lancement de la capture
51
Pour arrêter la capture et charger celle-ci dans Wireshark, il suffit de presser Stop :
98
Lancement de la capture
51
Pour arrêter la capture et charger celle-ci dans Wireshark, il suffit de presser Stop :
Analyse de la capture
52
99
Analyse de la capture
52
Snort
53
100
Fonctionnalités
54
Fonctionnalités
54
101
Fonctionnalités
54
Fonctionnalités
54
102
Fonctionnalités
54
Fonctionnalités
54
…
103
Créer ses propres règles
Syntaxe générale :
Syntaxe générale :
Action protocole @src #port_src ->|<> @dest #port_dest [(options_de_règle)]
104
Créer ses propres règles
Syntaxe générale :
Action protocole @src #port_src ->|<> @dest #port_dest [(options_de_règle)]
(mot_clé:valeur;mot_clé2:valeur2;…)
msg
Description de la règle
flags
Test
des drapeaux TCP (ACK, SYN…), opérateur logique (+,*,!)
Exemple : (flags:SF;msg:"SYN FIN scan")
ack
Teste
le champ d’acquittement TCP pour une valeur donnée
Exemple : (flags:A;ack:0;msg:"NMap TCP ping")
TTL
Teste
la valeur du TTL
Exemple : (alert tcp any any -> any any(msg: “Traceroute";TTL:1)
105
Créer ses propres règles
57
resp
Met en œuvre des réponses flexibles
Exemple : (alert tcp any any -> 192.168.0.1/24 1524 (flags:S; resp:rst_all; msg: "Root
shell backdoor attempt";)
Valeur : rst_all - envoie des paquets TCP_RST dans les deux directions
react
Réponse active (block, msg) sur connexions HTTP.
Exemple : (alert tcp any any <> 192.168.0.1/24 80 (content-list: "adults"; msg: “Adult
sites"; react: block,msg)
Sources
58
Wikipédia (http://fr.wikipedia.org)
Snort (http://www.snort.org)
Mag-securs (http://www.mag-securs.com/)
Sécurité.org (http://www.securite.org/)
CGSecurity (http://www.cgsecurity.org)
106