Académique Documents
Professionnel Documents
Culture Documents
1
Par : Keita Sira
PLAN
Introduction Définition/
01 02 Caractéristiques/
Architecture
Différence entre Pare-
03 Types d’IDS 04 feu, Anti-virus et IDS
05 Méthodes d'IDS
06 Avantages
/Inconvénients
Défis
07 08 Conclusion
2
INTRODUCTION
Les systèmes de détection d'intrusion sont utilisés pour détecter les anomalies dans le but
d'attraper les pirates avant qu'ils ne causent de réels dommages à un réseau. Les IDS
peuvent être basés sur le réseau ou sur l'hôte. Un système de détection d'intrusion basé sur
l'hôte est installé sur l'ordinateur client, tandis qu'un système de détection d'intrusion basé
sur le réseau réside sur le réseau.
Bien que la détection et le signalement d'anomalies soient les principales fonctions d'un
IDS, certains systèmes de détection d'intrusion sont capables de prendre des mesures
lorsqu'une activité malveillante ou un trafic anormal est détecté, notamment en bloquant le
trafic envoyé à partir d'adresses Internet Protocol (IP) suspectes.
3
QU'EST-CE QUE L'IDS ?
4
IDS
5
CARACTÉRISTIQUES DES IDS
6
CARACTÉRISTIQUES DES IDS…
7
L’ARCHITECTURE D’UN IDS
8
ARCHITECTURE …
1. Capteur :
Le capteur observe l’activité du système par le biais d’une source de données
et fournit à l’analyseur une séquence d’événements qui renseignent de
l’évolution de l’état du système. Le capteur peut se contenter de transmettre
directement ces données brutes, mais en général un prétraitement est
effectué. On distingue classiquement trois types de capteurs en fonction des
sources de données utilisées pour observer l’activité du système : les capteurs
système, les capteurs réseau et les capteurs applicatifs.
9
ARCHITECTURE …
3. Manager : Le manager collecte les alertes produites par le capteur, les met en forme et
les présente à l’opérateur. Éventuellement, le manager est chargé de la réaction à
adopter qui peut être :
Confinement de l’attaque, qui a pour but de limiter les effets de l’attaque.
Eradication de l’attaque, qui tente d’arrêter l’attaque. • Recouvrement, qui est l’étape de
restauration du système dans un état sain.
Diagnostic, qui est la phase d’identification du problème.
10
OÙ POSITIONNER UN IDS?
11
OÙ POSITIONNER UN IDS?...
Ainsi, beaucoup trop d'alertes seront remontées ce qui rendra les logs
difficilement consultables.
qui n'ont pas été filtrées par le firewall et qui relèvent d'un certain
13
TYPES D’IDS
réseaux les plus vulnérables. Le NIDS surveille tout le trafic circulant vers et
depuis les appareils sur le réseau, en prenant des décisions basées sur le
Les NIDS sont des IDS dédiés aux réseaux. Ils comportent généralement une
moteur qui réalise l'analyse du trafic afin de détecter les intrusions en temps
réel. 15
NIDS…
Un NIDS écoute donc tout le trafic réseau, puis l’analyse et génère des alertes si des
paquets semblent dangereux
16
NIDS…
L’implantation d’un NIDS sur un réseau se fait de la façon suivante: des capteurs
(souvent de simples hôtes) sont placés aux endroits stratégiques du réseau et
génèrent les alertes s’ils détectent une attaque ces alertes sont envoyées a une
console sécurisé qui les analyse et les traite éventuellement. Cette console est
généralement située sur un réseau isolé qui relie uniquement les capteurs et la
console.
On peut placer les capteurs dans deux endroits différents :
• A l’intérieur du pare-feu : Si les capteurs se trouvent à l’intérieur du pare-feu, il
sera plus facile de dire si le pare-feu a été mal configuré et nous pouvons ainsi
savoir si une attaque est venue par ce pare-feu.
• A l’extérieur du pare-feu : Les capteurs placés à l’extérieur du pare-feu servent à
la détection et l’analyse d’attaques. Il offre l’avantage d’écrire dans les logs, ainsi
l’administrateur voit ce qu’il doit modifier dans la configuration du pare-feu.
17
PROTOCOL-BASED INTRUSION
DETECTION SYSTEM (PIDS)
Un système de détection d'intrusion basé sur un protocole est généralement
installé sur un serveur Web. Il surveille et analyse le protocole entre un
utilisateur/appareil et le serveur. Un PIDS se trouve normalement à l'avant
d'un serveur et surveille le comportement et l'état du protocole.
18
PIDS…
19
HOST-BASED INTRUSION DETECTION SYSTEM
(HIDS)
Le système de détection d'intrusion basé sur l'hôte HIDS fonctionne sur des
appareils indépendants, c'est-à-dire qu'un hôte sur le réseau surveille les paquets
entrants et sortants et alerte l'administrateur en cas d'activité malveillante. Il prend
un instantané des fichiers systèmes existants pour identifier les anomalies. S'il y a
des divergences dans le fichier envoyé ou si quelque chose a été supprimé, une
alerte est envoyée à l'administrateur pour des investigations plus approfondies.
21
HIDS…
22
HIDS…
23
APPLICATION PROTOCOL-BASED INTRUSION
DETECTION SYSTEM (APIDS)
24
APIDS…
25
HYBRID-BASED INTRUSION DETECTION SYSTEM
(IDS HYBRIDE)
l'agent hôte sont combinées avec les informations du réseau pour une vue complète
du système. Le système de détection d'intrusion hybride est plus puissant que les
autres systèmes.
26
IDS HYBRIDE…
Les sondes agissent comme un NIDS ou un HIDS ,il permet de réunir les
informations de diverses sondes placées sur le réseau. L’exemple le plus
connu dans le monde Open-Source est Prelude.
Cet IDS permet de stocker dans une base de données des alertes provenant
de différents systèmes relativement variés.
Utilisant Snort comme NIDS, et d’autres logiciels tels que Samhain en tant
que HIDS, il permet de combiner des outils puissants tous ensemble pour
permettre une visualisation centralisée des attaques.
27
PARE-FEU ET ANTIVIRUS VS. IDS
• Pare-feu
• Bloque le trafic entrant ou sortant potentiellement dangereux
• Ne détecte pas les intrusions
• Antivirus
• Analyse les fichiers pour identifier ou éliminer soit :
Logiciel malveillant
Virus informatiques
• Intrusion Detection Systems
• Alerte un ou plusieurs administrateurs d'une activité suspecte
• Recherche les intrusions avant qu'elles ne surviennent
28
MÉTHODES DE DÉTECTION DU DÉPLOIEMENT D'IDS
Tout IDS utilise différentes méthodes pour détecter le trafic réseau malveillant.
Certaines d'entre elles sont:
1. Détection des signatures : Les systèmes de détection d'intrusion basés sur les
signatures utilisent les empreintes digitales des menaces connues pour les
surveiller. Une fois que le trafic ou les paquets malveillants sont détectés, l'IDS
génère une signature pour analyser le trafic entrant afin de détecter les schémas
malveillants connus. L'IDS basé sur les signatures peut détecter les attaques dont
les modèles sont déjà présents dans le système mais sont incapables de détecter le
trafic réseau malveillant ou d'attaque nouveau ou inconnu.
29
MÉTHODES IDS…
30
MÉTHODES IDS…
31
AVANTAGES DES SYSTÈMES DE
DÉTECTION D'INTRUSION
32
AVANTAGES…
33
INCONVENIENTS
34
DÉFIS DES SYSTÈMES DE DÉTECTION D'INTRUSION
36
DÉFIS…
37
DÉFIS…
4. Savoir comment faire face aux menaces :Un problème courant auquel
les organisations sont confrontées est le manque de capacité appropriée de réponse aux
incidents. Identifier un problème est une demi-chose; savoir comment réagir de manière
appropriée est une chose difficile et critique. Une réponse efficace aux incidents
nécessite un expert qui sait comment remédier aux menaces et quelles procédures sont
nécessaires pour résoudre le problème. Parfois, un système de détection d'intrusion à
domicile donne de fausses alarmes, alors gardez un œil sur le type de menaces et sur la
façon dont vous devez les gérer. L'équipe de cyber sécurité doit être mise à jour avec les
derniers progrès et mises à jour dans l'IDS et les domaines clés de la cyber sécurité.
38
PRATIQUE
39
LE LOGICIEL “SNORT”
40
LE LOGICIEL “SNORT”…
41
CONCLUSION
Cet exposé nous a permis d’avoir une idée claire sur les applications du domaine
de la sécurité informatique. Nous avons également découvert les IDS et amélioré
notre aptitude à utiliser LINUX lors de la partie pratique.
42