Vous êtes sur la page 1sur 44

Les Systme de Dtection et Prvention dIntrusion (IDS/IPS)

FSB- Master TRT1

Mejda GUIZANI

Plan

Prsentation Gnrale des IDS Les diffrents type dIDS Les mthodes de dtection Prsentation Gnrale des IPS Ou placer un IDS / IPS ? Outils Open Source (Aspect Pratique): SNORT

Prsentation gnrale des IDS

Quest-ce quun IDS ?


LIDS (Intrusion Detection System)
Surveiller Contrler Dtecter Ajoute un niveau de scurit supplmentaire par rapport celui fournit par le firewall Pousse linterprtation du trafic plus loin que le firewall Le systme de dtection dintrusion est en voie de devenir un composant critique dune architecture de scurit informatique.

Dfinitions:
Systme de dtection dintrusion: Les systmes de dtection des

intrusions peuvent tre vus comme tant des logiciels qui effectuent un filtrage dans le but de dtecter les signatures dun nombre dattaques.
Signature : dfinit ou dcrit un modle de trafic Filtre: transcrit la description dune signature dans un code lisible par la

machine pour que le dtecteur dispose des moyens de retenir le trafic intressant.
Un filtre est destin dtecter les signatures dattaques Alerte: dsigne un message rapportant des actions qui ont eu lieu et qui

sont observes dans les fichiers logs, le flux de trafic rseau ou dans le comportement de lentit.

Dfinitions:
Faux-Positif
Fausse alerte leve par lids

Faux-ngatif
Attaque qui na pas t repr par lIDS Evasion Technique utilise pour dissimuler une attaque et faire en sorte quelle ne soit pas dcele par lIDS

Sonde :
Composant de larchitecture IDS qui collecte les informations brutes

De quoi est constitu un IDS?


Un IDS est essentiellement un sniffer coupl avec un moteur qui analyse le trafic selon des Rgles. Ces rgles dcrivent un trafic signaler LIDS peut analyser
Couche Rseau (IP, ICMP) Couche Transport (TCP, UDP) Couche Application (HTTP, Telnet)

Selon le type de trafic, lIDS accomplit certaines actions

Action dun IDS?


Journaliser lvnement
Source dinformation et vision des menaces courantes

Avertir un systme avec un message


Exemple: appel SNMP

Avertir un humain avec un message


Courrier lectronique, SMS, interface web, etc.

Amorcer certaines actions sur un rseau ou hte


Exemple: mettre fin une connexion rseau, ralentir le dbit des connexions, etc. (rle actif)

Les diffrents types dIDS?

Les Types dIDS?


Il existe deux types dIDS
HIDS (host IDS) NIDS (Network IDS)

Le Host IDS
Les informations sont collectes depuis chaque machine. Les informations sont gnre partir du noyau du systme dexploitation ou de fichiers dhistorique (log file).

Possibilit de gestion centralise en localisant les informations recueillis vers un serveur


central. Avantages: Possibilit de dtecter des attaques invisibles par un NIDS.

Possibilit de dtecter des attaques sur des liaisons crypts.


Ne sont pas affects par les contraintes de larchitecture du rseau. Inconvnients: Ncessit de configurer le dtecteur sur chacune des machines controler

Le dtecteur est plus facile attaquer.


Ne sont pas efficaces contres les attaques distribues. Influence sur la performance des machines (consommation excessive des ressources).

Le Network IDS
Dtectent les attaques en recueillant et en analysant les paquets qui circulent dans le rseau. Installs sur des machines ddies (facilit de scurisation). Placs chacun au niveau dun segment du rseau. Avantages: Un petit nombre de dtecteurs peut contrler tout un rseau de plusieurs machines.

Leur installation ninflue pas larchitecture du rseau.


Les machines sur lesquelles sont installs les dtecteurs sont trs scurises. Inconvnients:

Ne permettent pas de contrler les liaisons cryptes (VPN).

Certains dtecteurs sont vulnrables aux attaques rseau utilisant la fragmentation.

Le Application based IDS


Ils sont ddis des applications spcifiques. Utilisent les informations contenus dans les fichiers log. Efficaces pour certaines attaques fondes sur le dpassement de privilge. Avantages: Possibilit de dtecter des attaques sur des liaisons crypts.

Inconvnients:
Les fichiers log utiliss par les applications courantes ne sont pas au mme degr de protection que ceux du systme dexploitation. Ne dpassent pas le cadre de lanalyse du comportement des utilisateurs.

Architecture dun IDS?

Architecture dun IDS?


Le capteur: le capteur observe lactivit du systme par le

biais dune source de donnes et fournit lanalyseur une


squence dvenement qui informe de lvolution de ltat du systme. On distingue 3 types de capteur: Les capteurs systme: collectent de donnes produites par le systme
dexploitation des machines (HIDS).

Les capteurs rseau: collectent des donnes en coutant le trafic rseau.


Les capteurs applicatifs: collectent des donnes produites par les applications

Architecture dun IDS?


Lanalyseur: lobjectif est de dterminer si le flux

dvenements fourni des lments caractritiques dune activit


malveillante. Le manager: cest le responsable de la prsentation des alertes loprateur. il peut raliser les fonctions de corrlation dalertes Assurer le traitement de lincident

SNORT
Open source Peu couteux en ressources Pas dinterface graphique Grande base de signatures mise jour Gestion du rassemblage Analyse protocolaire (ex:ping of death) et pattern matching 3 modes de fonctionnement : Sniffer de paquets Logger de paquets Dtection / Prvention dintrusions Langage de description des rgles

SNORT
Open source Peu couteux en ressources Pas dinterface graphique Grande base de signatures mise jour Gestion du rassemblage Analyse protocolaire (ex:ping of death) et pattern matching 3 modes de fonctionnement : Sniffer de paquets Logger de paquets Dtection / Prvention dintrusions Langage de description des rgles

SNORT : Les rgles

Syntaxe gnrale :
Action protocole @src #port_src ->|<> @dest #port_dest [(options_de_rgle)]

Action : alert, log, pass, activate, dynamic Protocole : tcp/udp/icmp Options dune rgle :
(mot_cl:valeur;mot_cl2:valeur2;)

15 mots cls disponibles


ack,msg, flags, react, resp, content-list,

SNORT : Les rgles


> msg

Description de la rgle
> flags

Test des drapeaux TCP (ACK, SYN), oprateur logique (+,*,!) Exemple : (flags:SF;msg:"SYN FIN scan")
> ack

Teste le champ dacquittement TCP pour une valeur donne Exemple : (flags:A;ack:0;msg:"NMap TCP ping")
> TTL

Teste la valeur du TTL Exemple : (alert tcp any any -> any any(msg: Traceroute";TTL:1)

SNORT : Les rgles


> resp Met en uvre des rponses flexibles Exemple : (alert tcp any any -> 192.168.0.1/24 1524 (flags:S; resp:rst_all; msg: "Root shell backdoor attempt";) Valeur : rst_all - envoie des paquets TCP_RST dans les deux directions > react Rponse active (block, msg) sur connexions HTTP. Exemple : (alert tcp any any <> 192.168.0.1/24 80 (content-list: "adults"; msg: Adult sites"; react: block,msg)

Merci pour votre Attention

Vous aimerez peut-être aussi