SYSTÈMES DE DÉTECTION D'INTRUSION (IDS)

1
Par : Keita Sira
 PLAN

Introduction Définition/
01 02 Caractéristiques/
Architecture
Différence entre Pare-
03 Types d’IDS 04 feu, Anti-virus et IDS

05 Méthodes d'IDS
06 Avantages
/Inconvénients

Défis
07 08 Conclusion
2
 INTRODUCTION

Les systèmes de détection d'intrusion sont utilisés pour détecter les anomalies dans le but
d'attraper les pirates avant qu'ils ne causent de réels dommages à un réseau. Les IDS
peuvent être basés sur le réseau ou sur l'hôte. Un système de détection d'intrusion basé sur
l'hôte est installé sur l'ordinateur client, tandis qu'un système de détection d'intrusion basé
sur le réseau réside sur le réseau.

Bien que la détection et le signalement d'anomalies soient les principales fonctions d'un
IDS, certains systèmes de détection d'intrusion sont capables de prendre des mesures
lorsqu'une activité malveillante ou un trafic anormal est détecté, notamment en bloquant le
trafic envoyé à partir d'adresses Internet Protocol (IP) suspectes.

3
 QU'EST-CE QUE L'IDS ?

Un système de détection d'intrusion (IDS) est un système qui surveille le trafic

réseau pour détecter toute activité suspecte et alerte lorsqu'une telle activité est
découverte.

Un système de détection d'intrusion (IDS) est une technologie de sécurité réseau

conçue à l'origine pour détecter les exploits de vulnérabilité contre une application
ou un ordinateur cible.

L'IDS est également un dispositif d'écoute uniquement. L'IDS surveille le trafic et

rapporte les résultats à un administrateur. Il ne peut pas prendre automatiquement
des mesures pour empêcher un exploit détecté de prendre le contrôle du système.

4
 IDS

Un IDS (Intrusion Detection System) est un ensemble de composants logiciels et/ou

matériels dont la fonction principale est de détecter et analyser des activités anormales
ou suspectes sur la cible analysée (un réseau ou un hôte). Il permet ainsi d'avoir une
connaissance sur les tentatives réussies comme échouées des intrusions.
Certains termes sont souvent employés quand on parle d'IDS :
• Faux positif : une alerte provenant d'un IDS, mais qui ne correspond pas à une
attaque réelle.
• Faux négatif : une intrusion réelle qui n'a pas été détectée par l'IDS.

5
 CARACTÉRISTIQUES DES IDS

Parmi les caractéristiques souhaitables trouvées dans un système de

détection d’intrusion nous pouvons citer :

• Résister aux tentatives de corruption, c'est-à-dire, il doit pouvoir

détecter s’il a subi lui-même une modification indésirable.

• Utiliser un minimum de ressources de système sous surveillance.

6
 CARACTÉRISTIQUES DES IDS…

• S’adapter au cours du temps aux changements du système

surveillé et du comportement des utilisateurs.
• Etre facilement configurable pour implémenter une politique
de sécurité spécifique d’un réseau

7
 L’ARCHITECTURE D’UN IDS

L’architecture est constituée de trois composants constituant classiquement un

système de détection d’intrusions

8
 ARCHITECTURE …

1. Capteur :
Le capteur observe l’activité du système par le biais d’une source de données
et fournit à l’analyseur une séquence d’événements qui renseignent de
l’évolution de l’état du système. Le capteur peut se contenter de transmettre
directement ces données brutes, mais en général un prétraitement est
effectué. On distingue classiquement trois types de capteurs en fonction des
sources de données utilisées pour observer l’activité du système : les capteurs
système, les capteurs réseau et les capteurs applicatifs.

9
 ARCHITECTURE …

2. Analyseur: L’objectif de l’analyseur est de déterminer si le flux d’événements fourni

par le capteur contient des éléments caractéristiques d’une activité malveillante.

3. Manager : Le manager collecte les alertes produites par le capteur, les met en forme et
les présente à l’opérateur. Éventuellement, le manager est chargé de la réaction à
adopter qui peut être :
 Confinement de l’attaque, qui a pour but de limiter les effets de l’attaque.

 Eradication de l’attaque, qui tente d’arrêter l’attaque. • Recouvrement, qui est l’étape de
restauration du système dans un état sain.
 Diagnostic, qui est la phase d’identification du problème.

10
 OÙ POSITIONNER UN IDS?

Il existe plusieurs endroits stratégiques où il convient de placer un IDS. Le

schéma suivant illustre un réseau local ainsi que les trois positions que peut y
prendre un IDS :

11
 OÙ POSITIONNER UN IDS?...

• Position ( 1 ): Sur cette position, l'IDS va pouvoir détecter l'ensemble

des attaques frontales, provenant de l'extérieur, en amont du firewall.

Ainsi, beaucoup trop d'alertes seront remontées ce qui rendra les logs

difficilement consultables.

• Position ( 2 ): Si l'IDS est placé sur la DMZ, il détectera les attaques

qui n'ont pas été filtrées par le firewall et qui relèvent d'un certain

niveau de compétence. Les logs seront ici plus clairs à consulter

puisque les attaques bénines ne seront pas recensées. 12

 OÙ POSITIONNER UN IDS?...

• Position ( 3 ): L'IDS peut ici rendre compte des attaques

internes, provenant du réseau local de l'entreprise. Il peut être
judicieux d'en placer un à cet endroit étant donné le fait que
80% des attaques proviennent de l'intérieur. De plus, si des
trojans ont contaminé le parc informatique (navigation peu
méfiante sur internet) il pourront êtres ici facilement identifiés
pour être ensuite éradiqués.

13
 TYPES D’IDS

1. Network-based Intrusion Detection System (Système de détection

d'intrusion basé sur le réseau)

2. Protocol-based Intrusion Detection System (

Système de détection d'intrusion basé sur un protocole)

3. Application-based Intrusion Detection System(

Système de détection d'intrusion basé sur les applications)

4. Host-based Intrusion Detection System (

Système de détection d'intrusion basé sur l'hôte)

5. Hybrid Intrusion Detection System (

Système de détection d'intrusion hybride) 14
NETWORK-BASED INTRUSION DETECTION SYSTEM
(NIDS)

Un IDS réseau surveille un réseau protégé complet. Il est déployé sur

l'ensemble de l'infrastructure à des points stratégiques, tels que les sous-

réseaux les plus vulnérables. Le NIDS surveille tout le trafic circulant vers et

depuis les appareils sur le réseau, en prenant des décisions basées sur le

contenu des paquets et les métadonnées.

Les NIDS sont des IDS dédiés aux réseaux. Ils comportent généralement une

machine qui écoute sur le segment de réseau à surveiller, un capteur et un

moteur qui réalise l'analyse du trafic afin de détecter les intrusions en temps

réel. 15
 NIDS…

Un NIDS écoute donc tout le trafic réseau, puis l’analyse et génère des alertes si des
paquets semblent dangereux

16
 NIDS…
L’implantation d’un NIDS sur un réseau se fait de la façon suivante: des capteurs
(souvent de simples hôtes) sont placés aux endroits stratégiques du réseau et
génèrent les alertes s’ils détectent une attaque ces alertes sont envoyées a une
console sécurisé qui les analyse et les traite éventuellement. Cette console est
généralement située sur un réseau isolé qui relie uniquement les capteurs et la
console.
On peut placer les capteurs dans deux endroits différents :
• A l’intérieur du pare-feu : Si les capteurs se trouvent à l’intérieur du pare-feu, il
sera plus facile de dire si le pare-feu a été mal configuré et nous pouvons ainsi
savoir si une attaque est venue par ce pare-feu.
• A l’extérieur du pare-feu : Les capteurs placés à l’extérieur du pare-feu servent à
la détection et l’analyse d’attaques. Il offre l’avantage d’écrire dans les logs, ainsi
l’administrateur voit ce qu’il doit modifier dans la configuration du pare-feu.

17
 PROTOCOL-BASED INTRUSION
DETECTION SYSTEM (PIDS)
Un système de détection d'intrusion basé sur un protocole est généralement
installé sur un serveur Web. Il surveille et analyse le protocole entre un
utilisateur/appareil et le serveur. Un PIDS se trouve normalement à l'avant
d'un serveur et surveille le comportement et l'état du protocole.

18
 PIDS…

PIDS, un système de détection d'intrusion basé sur un protocole,

est un système ou un agent qui réside systématiquement à l'avant
du serveur pour contrôler et interpréter le protocole entre
l'utilisateur et le serveur
Il sert à sécuriser le serveur Web en surveillant le flux de
protocole HTTPS. Une utilisation typique de PIDS est à l'avant du
serveur Web, en gardant un contrôle sur le flux HTTP ou HTTPS.

19
 HOST-BASED INTRUSION DETECTION SYSTEM
(HIDS)

Un IDS basé sur l'hôte surveille l'infrastructure informatique sur laquelle il

est installé. En d'autres termes, il est déployé sur un end point spécifique
pour le protéger contre les menaces internes et externes. L'IDS y parvient
en analysant le trafic, en enregistrant les activités malveillantes et en
notifiant les autorités désignées.

Les systèmes de détection d’intrusion basés sur l’hôte analysent

exclusivement l’information concernant cet hôte. Comme ils n’ont pas à
contrôler le trafic du réseau mais seulement les activités d’un hôte ils se
montrent habituellement plus précis sur les types d’attaques 20
 HIDS…

Le système de détection d'intrusion basé sur l'hôte HIDS fonctionne sur des
appareils indépendants, c'est-à-dire qu'un hôte sur le réseau surveille les paquets
entrants et sortants et alerte l'administrateur en cas d'activité malveillante. Il prend
un instantané des fichiers systèmes existants pour identifier les anomalies. S'il y a
des divergences dans le fichier envoyé ou si quelque chose a été supprimé, une
alerte est envoyée à l'administrateur pour des investigations plus approfondies.

21
 HIDS…

De plus, nous remarquons immédiatement l’impact sur la machine concernée

comme par exemple si un utilisateur l’attaquait avec succès. Ces IDS utilisent
deux types de sources pour fournir une information sur l’activité : les logs et
les traces d’audit du système d’exploitation. Chacun a ses avantages : les
traces d’audit sont plus précises, détaillées et fournissent une meilleure
information alors que les logs qui ne fournissent que l’information essentielle
sont plus petits

22
HIDS…

23
 APPLICATION PROTOCOL-BASED INTRUSION
DETECTION SYSTEM (APIDS)

Un APIDS est un système ou un agent qui se trouve

généralement à l'intérieur de la partie serveur. Il suit et interprète
la correspondance sur les protocoles spécifiques à l'application.
Par exemple, cela surveillerait le protocole SQL vers le
middleware lors des transactions avec le serveur Web.

24
 APIDS…

APIDS est un système qui reste au sein d'un groupe de serveurs.

Il identifie les intrusions en surveillant et en interprétant la communication sur

des protocoles spécifiques à l'application.

APIDS utilise le langage machine pour établir la ligne de base du comportement

attendu du système en termes de bande passante, de pièces, de protocole et
d'utilisation de l'appareil.

25
 HYBRID-BASED INTRUSION DETECTION SYSTEM
(IDS HYBRIDE)

Un système de détection d'intrusion hybride combine deux ou plusieurs approches

de détection d'intrusion. En utilisant ce système, les données du système ou de

l'agent hôte sont combinées avec les informations du réseau pour une vue complète

du système. Le système de détection d'intrusion hybride est plus puissant que les

autres systèmes.

Les systèmes de détections d’intrusions hybrides, rassemblent les caractéristiques de

plusieurs systèmes de détections différents. En pratique, on trouve la combinaison

des NIDS et HIDS qui permettent de surveiller le réseau et l’hôte.

26
 IDS HYBRIDE…

Les sondes agissent comme un NIDS ou un HIDS ,il permet de réunir les
informations de diverses sondes placées sur le réseau. L’exemple le plus
connu dans le monde Open-Source est Prelude.
 Cet IDS permet de stocker dans une base de données des alertes provenant
de différents systèmes relativement variés.
 Utilisant Snort comme NIDS, et d’autres logiciels tels que Samhain en tant
que HIDS, il permet de combiner des outils puissants tous ensemble pour
permettre une visualisation centralisée des attaques.

27
 PARE-FEU ET ANTIVIRUS VS. IDS

• Pare-feu
• Bloque le trafic entrant ou sortant potentiellement dangereux
• Ne détecte pas les intrusions
• Antivirus
• Analyse les fichiers pour identifier ou éliminer soit :
 Logiciel malveillant
 Virus informatiques
• Intrusion Detection Systems
• Alerte un ou plusieurs administrateurs d'une activité suspecte
• Recherche les intrusions avant qu'elles ne surviennent

28
 MÉTHODES DE DÉTECTION DU DÉPLOIEMENT D'IDS

Tout IDS utilise différentes méthodes pour détecter le trafic réseau malveillant.
Certaines d'entre elles sont:

1. Détection des signatures : Les systèmes de détection d'intrusion basés sur les
signatures utilisent les empreintes digitales des menaces connues pour les
surveiller. Une fois que le trafic ou les paquets malveillants sont détectés, l'IDS
génère une signature pour analyser le trafic entrant afin de détecter les schémas
malveillants connus. L'IDS basé sur les signatures peut détecter les attaques dont
les modèles sont déjà présents dans le système mais sont incapables de détecter le
trafic réseau malveillant ou d'attaque nouveau ou inconnu.

29
 MÉTHODES IDS…

2. Détection d'une anomalie: Le système de détection d'intrusion basé sur les

anomalies a été introduit pour détecter les attaques malveillantes inconnues à
mesure que de nouvelles méthodes d'attaque sont développées rapidement. Cette
méthode de détection utilise l'apprentissage automatique pour créer un modèle
d'activité fiable, et tout ce qui vient est comparé à ce modèle pour détecter le
trafic ou les modèles malveillants. La méthode basée sur l'apprentissage
automatique a une propriété mieux généralisée par rapport à l'IDS basé sur la
signature et est entraînée avec l'application du système de détection d'intrusion et
les configurations matérielles.

30
 MÉTHODES IDS…

3. Détection hybride : Cet IDS utilise un système de détection

basé à la fois sur les signatures et sur les anomalies et lui permet
de détecter les menaces potentielles avec un taux d'erreur
minimum.

31
 AVANTAGES DES SYSTÈMES DE
DÉTECTION D'INTRUSION

Outre le déclenchement des alarmes, le logiciel du système de détection d'intrusion

aide également à configurer les règles, les politiques et les actions respectives à
entreprendre.
Voici les avantages de l'utilisation d'un IDS :
1. Il surveille les routeurs, les pare-feu, les serveurs de clés et les fichiers et
utilise sa base de données pour déclencher l'alarme et envoyer des
notifications.
2. Offrez une gestion centralisée pour la corrélation de l'attaque.

32
 AVANTAGES…

3.Agit comme une couche de protection supplémentaire pour l'entreprise.

4. Il analyse différentes attaques, identifie leurs modèles et aide l'administrateur

à organiser et mettre en œuvre un contrôle efficace.

5. Fournir aux administrateurs système la possibilité de quantifier l'attaque.

6. Un système de détection d'intrusion dans la cyber sécurité aide à détecter les

problèmes de cyber sécurité.

33
 INCONVENIENTS

• Difficulté à dire si les observations faites pour un utilisateur particulier

correspondent à des activités que l’on voudrait prohiber.
• Pour un utilisateur au comportement instable, toute activité est normale.
• Pas de prise en compte des tentatives de collusion entre utilisateurs.
• Utilisateur pouvant changer lentement de comportement dans le but d’habituer
le système à un comportement intrusif.

34
 DÉFIS DES SYSTÈMES DE DÉTECTION D'INTRUSION

Les entreprises sont confrontées à quatre défis clés lors de la gestion

des systèmes IDS :
1. Garantir un déploiement efficace : Pour assurer un haut
niveau de visibilité, les entreprises doivent s'assurer que leur
système de détection d'intrusion sans fil est optimisé et
correctement installé. Bien que le déploiement d'IDS puisse être
délicat, et s'il n'est pas effectué correctement, il peut créer des
vulnérabilités pour les actifs critiques.
35
 DÉFIS…

2. Comprendre et examiner les alertes :

Les alertes IDS donnent très peu d'informations, ce qui est parfois difficile à
étudier. Vous pouvez être en retard avec des informations telles que la cause de
l'attaque ou les actions supplémentaires nécessaires pour s'opposer à une
menace. En outre, l'examen des alertes IDS peut demander beaucoup de temps
et de ressources, ce qui peut nécessiter des informations supplémentaires pour
identifier la gravité de l'attaque.

36
 DÉFIS…

3. Gérer un volume élevé d'alertes :

Étant donné que la grande majorité des attaques sont générées par la détection
d'intrusion, il peut être difficile pour les équipes internes d'identifier chacune
d'entre elles. Parfois, ces alertes système sont des faux positifs, difficiles à
filtrer. En outre, certains IDS sont préchargés avec des signatures d'alerte
définies qui sont insuffisantes pour de nombreuses organisations.

37
 DÉFIS…

4. Savoir comment faire face aux menaces :Un problème courant auquel
les organisations sont confrontées est le manque de capacité appropriée de réponse aux
incidents. Identifier un problème est une demi-chose; savoir comment réagir de manière
appropriée est une chose difficile et critique. Une réponse efficace aux incidents
nécessite un expert qui sait comment remédier aux menaces et quelles procédures sont
nécessaires pour résoudre le problème. Parfois, un système de détection d'intrusion à
domicile donne de fausses alarmes, alors gardez un œil sur le type de menaces et sur la
façon dont vous devez les gérer. L'équipe de cyber sécurité doit être mise à jour avec les
derniers progrès et mises à jour dans l'IDS et les domaines clés de la cyber sécurité.

38
PRATIQUE

39
 LE LOGICIEL “SNORT”

Snort est un système de détection d’intrusion open source. Il est

capable d’effectuer en temps réel des analyses de trafic et de logger
les paquets sur un réseau IP. Il peut effectuer des analyses de
protocole, recherche et correspondance de contenu et peut être utilisé
pour détecter une grande variété d’attaques et des tentatives comme
des balayages de port de dérobée, des tentatives d'empreinte de OS, et
beaucoup plus.

40
 LE LOGICIEL “SNORT”…

Lorsque des comportements suspects sont détectés, Snort envoie

une alerte en temps réel à syslog, à un fichier d'alertes distinct.
Snort a trois utilisations primaires. Il peut être employé en tant
qu'un renifleur de paquet (Sniffer) comme tcpdump, un
enregistreur de paquet (logs) (utile pour le trafic de réseau
corrigeant, etc....), ou comme plein système soufflé de détection
d'intrusion de réseau

41
 CONCLUSION

Cet exposé nous a permis d’avoir une idée claire sur les applications du domaine
de la sécurité informatique. Nous avons également découvert les IDS et amélioré
notre aptitude à utiliser LINUX lors de la partie pratique.

Cependant, nous avons rencontrer de nombreux problèmes au cours de

l’élaboration de ce travail. Ces derniers consistent principalement en des
difficultés rencontrées lors de l’installation de SNORT et de nombreuses
configurations à faire.

42