Vous êtes sur la page 1sur 17

IDS / IPS

Réalisée par :

Aissa Marwa
Allouche Awatef
Filali Sameh
Hosni Sabrine
Soui Soumaya
Plan

1.Introduction
2.Système de Détection
d’Intrusion(IDS)
3. Système de Prévention
d’Intrusion(IPS)
4.Etude de cas pratique
5.Conclusion

1
Introduction

• Sécurité des systèmes d’information


insuffisante

IDS-IPS

2
Système de Détection d’Intrusion(IDS)

Selon des règles, cet équipement permet de:

•Surveiller
•Contrôler
•Détecter

3
Système de Détection d’Intrusion(IDS)

• Types:
 HIDS(Host-IDS): analyse et
interprétation des activités hôte
 NIDS(Network-IDS):analyse et
interprétation des paquets circulant sur
le réseau
les 2 sont complémentaires

4
Mode de fonctionnement IDS

Détection d’anomalie (Approche comportementale)

Mode détection
Reconnaissance de signature(Approche par
scénarios)

Passive

Mode réponse
Active

5
Mode de fonctionnement IDS
Approche Approche par
comportementale scénarios
Capacité de détecter Efficacité : algorithme de
des nouvelles attaques « pattern matching »

habitudes des Fiabilité:déterministe et


Avantages
utilisateurs apprises exacte
automatiquement Eviter les faux-positifs

Risque d’attaque Consommation  de


lors de la construction mémoire et de temps
des profils processeur si le nombre
Inconvénients de signatures est
Faux-positifs important
Faux -négatifs

6
Mode de fonctionnement IDS

Trafic/Application

Détection

Alerte

Réaction selon
configuration Analyse humaine

Logs Collecte infos sur Bloquer le port


l’attaque
7
Positionnement

8
Système de Prévention d’Intrusion(IPS)

+
détection blocage

 IPS = IDS actif

9
Mode de fonctionnement IPS

Application

Action

Décision en temps réel

refuser permettre

alerte
Exécuter une action
10
Etude de cas pratique 1/4
• NIDS open source
• Conçu en 1998 par Marty Roesh
• Le plus répandu
• Grande base de signatures mise à jour
• Analyse protocolaire et pattern matching
• Langage de description des règles

 3 modes de fonctionnement :
Sniffer de paquets
Loguer de paquets
Détection / Prévention d’intrusions

11
Etude de cas pratique 2/4
1.Exécuter

• Chercher les interfaces disponibles:


C:\Snort\bin> Snort -W
• Exécuter snort:

C:\Snort\bin> Snort –c c:\Snort\etc\Snort.conf -l


c:\Snort\log –A console –i
num_iterface

12
Etude de cas pratique 3/4

2.Ecrire sa propre règle

Alert tcp any any -> any any (content: ’’www.youtube.com’’;


msg:’’ someone visiting youtube now’’; sid:1000002; )

• Ajouter dans snort.conf:


Include $Rule-path\ youtube.rule

13
Etude de cas pratique 4/4

14
Conclusion
IDS IPS

Open source
Larges communauté Bloquer attaques
Avantages d’utilisateurs immédiatement
Bonne base de signature

Inconvénients Technologie Paralyser le réseau


complexe Faux positif

15

Vous aimerez peut-être aussi