Académique Documents
Professionnel Documents
Culture Documents
avoir le droit.
•Les intrus peuvent être des individus internes ou externes, qui tentent
d'accéder aux ressources ou de nuire au système d’information.
La tentative d’attaque ou d’ intrusion vise la confidentialité, l’intégrité
et/ou la disponibilité d’un système, d’une application et/ou d’un réseau.
•La détection d’intrusion consiste à:
1.Collecter de façon automatisé les activités (évènements) du système,
d’application ou du réseau à surveiller
2.Analyser les données des activités collectées
3.Alerter en cas de détection d’une signature d’intrusion
Sonde:
Le composant d’IDS qui collecte les informations brutes
Après avoir collecté des données à partir d’une source de
données (système), l’IDS stocke ses données afin de les traiter.
L’étape de traitement consiste à détecter les intrusions, il y a
toujours un traitement parallèle afin d’augmenter le taux de
détection.
Pour la détection, IDS compare les données traitées avec les
données de références (afin de signaler une attaque s’il existe).
S’il y a une détection, IDS exploite les contre-mesures (données
de configuration) propre à cet attaque et déclenche une alarme
au système: c’est la réponse active à l’intrusion.
Parfois, au niveau de traitement, l’IDS bloque des données qui
peuvent être une intrusion malgré elle n’est pas enregistrée dans
les données de configurations. Donc une alarme est envoyée au
administrateur du système de sécurité afin de réagir.
Dans le cas d’une décision positive (présence d’une attaque), il
va déterminer un contre-mesure concernant cette attaque et
enregistre son profil ou sa signature dans les données de
références afin d’être une attaque connue lors d’un prochain
traitement.
Evasion: Attaque informatique ou technique qui détourne les équipements de
détection d’intrusion ( non détecté par les IDS)
1 . Source de données:
OS 4 . granularité de l’analyse:
Application Par lot
Réseau
continue
Autres IDS
5. comportement après analyse:
2 . méthode de détection:
informatif
Approche
Défensif
comportementale
Contre-attaque
Approche par scénarios
3 . Architecture (analyse et collecte):
Centralisée
Distribuée
• Se base sur une base de signature d’attaques
Recherche s’il existe une signature qui correspond à
l’évènement collecté.
• Nécessite la mise a jour en continue de la base de signature.
• Inconvénient: ne peut pas identifier de nouvelles attaques
• Deux types:
Pattern matching: Comparer les paquets aux signatures
Stateful matching: Comparer les signatures aux plusieurs
évènements en même temps.
IDS à recherche de motifs (exemple)
recherche d’une séquence d’informations particulières dans un
évènement d’audit
problème classique de reconnaissance de langage
Avantages
fiabilité pour les attaques connues
Inconvénients
Inconvénients
fiabilité
mise en œuvre:
construction du réseau, paramétrage du réseau, complexité,
problèmes spécifiques liés aux réseaux de neurones
Trois types d’IDS:
Network Intrusion Detection System (NIDS) IDS Réseau:
• Surveiller le trafic réseaux: contenu des paquets (entête et
données) et paramètres du trafic (Volume, cibles, etc.)
• L’utilisation d’une sonde permet la surveillance d’une zone du
réseaux (plusieurs machines)
Host-based Intrusion Detection System (HIDS) IDS Système:
• Surveiller les évènements sur les journaux de logs, l’intégrité des
fichiers et les accès au processus.
• L’utilisation d’une sonde propre pour chaque machine
IDS Hybride
•Combinaison d’un NIDS et d’un HIDS
• Les NIDS surveillent le trafic sur le réseau en analysant les paquets
• Solutions NIDS:
Libre: Snort, Suricata IDS, Bro IDS
Propriétaire: Cisco Secure IDS
•Avantages:
Avec seulement quelques NIDS bien positionnés on peut surveiller de
très grand réseaux.
Déployer un NIDS a un faible impact sur le réseau
Une sonde d’un NIDS est un équipement passif écoutant le trafic sur sa
carte réseau
Invisible aux attaquants (pas besoin d’avoir une adresse sur le réseau).
•Inconvénients:
Problèmes de charges réseaux une attaque peut ne pas être
détectée.
Impossible d’analyser le trafic chiffré (VPN, HTTPS, SSH).
Problèmes liés aux paquets mal formés faux positifs.
Base de signatures toujours incomplètes et à mettre à jour
•Le Host based IDS analyse le fonctionnement ou l'état d’une machine sur
laquelle il est installé.
• Il a pour rôle de:
Analyser les journaux systèmes
Contrôler l’accès aux processus système
Vérifier l’intégrité des fichier du système
•Pour vérifier l'intégrité des fichiers et générer des alertes, les Host- based IDS
sont basées sur une analyse des information provenant du système, mais
peuvent s‘appuyer sur des fonctionnalités d'audit propres et non au système
d'exploitation.
•Les HIDS sont installées sur des machines sensibles
•Les alertes sont remontées vers une machine centrale appelée console
d’administration.
Host-based IDS (HIDS)
•Avantages:
La capacité des HIDS à traiter des évènements locaux
qu’un NIDS ne peut pas collecter.
Les HIDS peuvent aider à détecter des chevaux de Trois ou
d’autres problèmes d’intégrité.
•Inconvénients:
Difficultés d’administration : HIDS à configurer et à
manager pour chaque machine surveillée.
Certains types d’attaques exemple Déni de service
peuvent gêner le fonctionnement d’un HIDS (il ne sont pas
invisibles).
• Un IDS hybride rassemble les fonctionnalités d’un NIDS et HIDS
• L’IDS hybride est utilisé dans un environnement décentralisé avec une supervisons
centralise.
Placement stratégique des sondes sur le réseau.
Centraliser les informations en provenance de plusieurs
emplacements (sondes) sur le réseau.
Avoir une vision globale sur les composants du système
d’information.
• Le déploiement d’un IDS se fait en fonction de la topologie du réseau et de la
politique de sécurité.
Position (2):
- Seul le trafic vers le DMZ est analysé.
- Détecter les attaques non filtré par le Firewall.
Position (3):
- Analyser le trafic et détecter les attaques au niveau réseau locale.
- Détecter la majorité des attaques
-Les attaques internes sont les plus fréquents (Virus, Cheval de Troie, …)
• L’IPS est un outil de défense proactif (prévention/protection) contre les intrusions
et attaques actives.
L’IPS ne remplace pas l’IDS ou le Firewall
IPS et IDS sont des systèmes complémentaires
• Il permet de prendre des mesures afin de diminuer les impacts d'une attaque.
IPS=IDS+ réaction