Vous êtes sur la page 1sur 29

Université Mohammed 1

Ecole national des sciences appliquées

Mise en place d’un système de


détection d’intrusion

Présenté par: Encadré par: :


Elycheikh EL-MAALOUM Mr. SEFRAOUI
Zakaria ZEKHNINI
Mohammed RAZZOK
Introduction
2002

DOS

Perte
500 000 $

2
Plan

1. Les notions générales de la sécurité


informatique
2. Systèmes de détection d’intrusion(IDS)
3. SNORT
4. Snort et base de données
5. Mise en service d’un IDS
6. Conclusion
3
Les notions générales de la
sécurité informatique

La sécurité assure :

Disponibilité Intégrité Confidentialité Auditabilité

4
Terminologie de la sécurité

Vulnérabilité Intrusion Menace

5
Les outils de la sécurité

Antivirus

Firewalls
Agent
d’authentification
Les outils de
la sécurité
informatique

VPN
IDS
6
Les attaques informatiques

Types d’attaques

Attaque par
Attaque directe rebond

7
Les techniques d’attaques

Attaque par déni de Rendre des services


service (DOS) indisponibles.

Attaque man in the Ecoute le trafic entre


middle  deux interlocuteurs

8
Système de détection d’intrusion

IDS

Des composantes logiciels et matériel

Analyser le trafic

Détecter des intrusions

Générer des alertes 9


Nécessité d’un IDS

Les pare-feu ne contrent pas toutes les


menaces
L’existence des failles potentielles
Remonter la source de l’attaque
Détecter les techniques employés
Les traces sont des preuves tangibles

10
Les types d’IDS

IDS

IDS IDS
Hybride
hôte réseau

Le plus utilisé
actuellement
11
Positionnement de l’IDS dans le réseau

12
Méthodes de détection d’intrusion

IDS

À signature Comportementaux

S’appuie sur Permet

Connaissance des Détection des


attaques nouvelles attaques
13
Type de réponse d’un IDS
Réponse
IDS
Passive Active

Détecter Détecter

Enregistrer
Arrêter l’attaque
l’attaque
14
SNORT
 Open source
 Détection d’une variété d'attaques:
 Débordements de tampons
 Scans de ports furtifs
 Tentatives d'identification DOS
 Common gateway interface
 Scans server message block

15
Les composants principaux de SNORT
Sniffing
Décodeur de paquets

Préprocesseurs
Règles
Moteur de détection

Journalisation
Système d’alerte et
d’enregistrement Arrête de
l’attaque
16
Les modes de snort

Mode renifleur « sniffer »


Mode d’enregistrement de snort
Mode de détection d’intrusion

17
Les règles de snort
L’entête de la règle Les options de la règle
L’entête de la règle:

IP Port IP Port
Action Protocole Direction
Source Source destination destination

Les options de la règle:


Messages d'alerte
Les informations sur les parties du paquet qui
doivent être inspectées 18
Snort et base de données MySQL

Permet l’enregistrement des journaux et des


alertes dans une base de données MySQL.
◦ Maintenir les données d'historique
◦ L'analyse des informations enregistrées

19
Les différents scénarios d'utilisation
d'une base de données avec Snort

20
Mise en service d’un système de
détection d’intrusion

Attaquante Cible

1-Test de connectivité avec une machine Windows


2-Attaque de type DOS (déni de service)
3-Détection par mot-clé (terrorisme)
4-Fenêtre box en Snort 21
Test de connectivité avec une
machine Windows
Capture les paquets

Cherche la présence d’une


chaine de caractère
dans les paquet
oui
Afficher un message
d’alerte
« Ping issue d’une
machine Windows »

22
Attaque de type DOS (déni de
service)
Capture les paquets

Nombre de connexion pendant une


durée de temps
>=
Seuil définie par
l’utilisateur(100paquets pendant 5s)
oui

Affiche un message d’alerte


«une attaque DOS détecté »

23
Détection par mot-clé (terrorisme)

Capture les paquets

Cherche la présence d’un


mot-clé « terrorisme »

oui
Affiche un message
d’alerte
« Ping issue d’une
machine Windows »

24
Fenêtre box en Snort
Données
SNORT

alert

Création d’un script shell(programme) qui permet:

Vérification de l’inscription
de nouvelles alertes dans le
fichier  « alert »
oui

Affiche les alertes


dans une fenêtre box
25
Snort en mode détection d’intrusion et
l’enregistrement dans la base de données

26
Conclusion

La sécurité à 100% reste un idéal à


atteindre

Bien formaliser une politique de sécurité

27
Perspectives

Prévenir les personnes chargées de la sécurité


par:
◦ Courrier électronique
◦ Téléphone

Mode graphique

28

Vous aimerez peut-être aussi