INTRUSION

INFORMATIQUE
 Définition
L’intrusion est le fait pour une personne ou un
objet de pénétrer, dans un espace (physique ou
logique ou relationnel) défini ou sa présence n’est
pas souhaitée
L’intrusion est constatée des le franchissement de
la limite entre l’exterieur et l’interieur même si
cette limite n’est pas symbolique
Les différents types d'intrusion
Le cheval de Troie
Le ver
Le virus
Les bombes logiques
L’attaque en déni de service
Le pourriel ou spam
L’adware
Le spyware
Etc …
 Compétences requises

La compréhension des réseaux IP (les architectures

existantes, les protocoles utilises, …) et des couches
applicatives de niveau 7 doit permettre de détecter les
anomalies protocolaires qui sont synonymes d’attaques
La connaissance des serveurs dédiés et de leur
architecture logicielle afin de les enrichir de nouvelles
fonctions et de les sécuriser encore plus
 Compétences requises
La maitrise des sondes réseau et l’analyse des logs
dans le but de déceler les attaques et d’ecrire les scripts
de commande qui piloteront le firewall
Comprendre les besoins du client afin de consacrer en
priorité la politique de défense aux fonctions vitales du
réseaux de l’entreprise
 Modes de détection
Passif
IDS pour Intrusion Detection Systems
Actif
IPS pour Intrusion Prevention Systems
 IDS et IPS
Un système de détection d'intrusion (IDS) et un
système de prévention d'intrusion (IPS) sont
d'excellentes technologies pour détecter et prévenir
les activités malveillantes sur les réseaux, systèmes et
applications.
 Solutions IDS et IPS entrent en
jeu

Les menaces évoluent constamment et les entreprises

sont confrontées à de nouvelles menaces inconnues
difficiles à détecter et à prévenir.
 IDS
Intrusion Detection
Systems
SYSTÈMES DE DÉTECTION D’INTRUSION
Pourquoi se protéger ?

Il suffit de connecter n'importe quelle machine

fraichement installée à Internet et cette dernière se
retrouve vérollée en très peu de temps
De nombreux programmes de sabotages ont été mis
au point (virus, vers, backdoor, trojan, rootkit,
exploits ...) et font parfois preuves d'une agressivité
redoutable.
 Les attaques

Les attaques réseau ;

Les attaques par portes dérobées (backdoors) et
canaux de communication cachés (cover channels) ;
Les attaques sur les services, qui gagnent une
importance croissante (de nos jours, à peu près 60%
des intrusions se font via le Web).
 Détection d'attaques : les IDS
Pourquoi utiliser un IDS ?

La surveillance du trafic d’un (plusieurs) réseau(x)

de machines en vue de la surveillance « Temps Réel »
du trafic, par opposition à la consultation des traces («
Logs ») qui se fait forcement en différé, sans parler
des difficultés de repérer des failles.
 Détection d'attaques : les IDS
Ce que qu’on peut attendre d’un IDS : l’émission d’alertes qui
permettront la détection de la préparation d’une attaque, (scans
massifs à la recherche de failles sur un ensemble de machines…), une
attaque en cours (trafic sur des ports correspondants à des failles), et à
posteriori, la détection d’une machine compromise avant qu’elle ne
puisse servir de base d’attaques vers d’autres systèmes.

En outre, il permet d’éditer des rapports permettant d’avoir une

vision globale du degré de sécurité d’un réseau ou d’un ensemble de
machines, et cela de différents niveaux.
Comment fonctionne un IDS ?
- Détection d'intrusion basée sur les
signatures :
un système IDS peut identifier une attaque en la
vérifiant pour un comportement ou un modèle
spécifique comme des signatures malveillantes,
des séquences d'octets, etc. un motif.
Comment fonctionne un IDS ?
- Détection basée sur la réputation :
C'est à ce moment qu'un IDS peut détecter les
cyberattaques en fonction de leurs scores de
réputation. Si le score est bon, le trafic obtiendra
un laissez-passer, mais si ce n'est pas le cas, le
système vous informera immédiatement pour
agir.
Comment fonctionne un IDS ?
- Détection basée sur les anomalies :
Il peut détecter les intrusions et les violations de
l'ordinateur et du réseau en surveillant les activités
du réseau pour classer un soupçon. Il peut détecter
les attaques connues et inconnues et s'appuie sur
l'apprentissage automatique pour créer un modèle
d'activité fiable et le comparer à de nouveaux
comportements.
 Les différents types d'IDS

NIDS
HIDS
Hybride
 NIDS
Network Intrusion Detection System
Objectif : Analyser de manière passive les flux en transit sur le réseau
et détecter les intrusions en temps réel.
Un NIDS écoute donc tout le trafic réseau, puis l’analyse et génère des
alertes si des paquets semblent dangereux.
 HIDS
Host Intrusion Detection System

Un HIDS se base sur une unique machine, n’analysant

cette fois plus le trafic réseau mais l’activité se passant sur
cette machine. Il analyse en temps réel les flux relatifs à une
machine ainsi que les journaux.
 Hybride
NIDS + HIDS

Utilisant Snort comme NIDS, et d’autres logiciels

tels que Samhain en tant que HIDS, il permet de
combiner des outils puissants tous ensemble pour
permettre une visualisation centralisée des attaques.
 Les méthodes de détection

L’approche par scénario (misuse detection)

Recherche de motifs (pattern matching)

Analyse de protocoles

Analyse heuristique et détection d’anomalies

 IPS
Intrusion Prevention
Systems
Système de prévention des intrusions
IPS
Un système de prévention des intrusions (IPS) fait
référence à une application logicielle ou à un
dispositif de sécurité réseau pour identifier les
activités malveillantes et les menaces et les prévenir.
Puisqu'il fonctionne à la fois pour la détection et la
prévention, il est également appelé système de
détection et de prévention de l'identité (IDPS).
 NIPS

Il analyse les paquets de données dans un réseau

Système de prévention des intrusions basé sur le réseau

pour trouver les vulnérabilités et les prévenir en

collectant des données sur les applications, les hôtes
autorisés, les systèmes d'exploitation, le trafic normal,
etc.
 NBA
Analyse du comportement du réseau

Cela dépend de la détection d'intrusion basée

sur les anomalies et vérifie les écarts par rapport
au comportement normal/habituel.
 WIPS
Système de prévention des intrusions sans fil

Il peut détecter et prévenir les menaces telles

que les points d'accès compromis, l'usurpation
d'identité MAC, les attaques par déni de service,
les erreurs de configuration des points d'accès,
les pots de miel, etc.
Outils de détection d’intrusion
 Tiger

Un ensemble de scripts d'interpréteur de

commandes Bourne, de programmes en C et de
fichiers de données destinés à réaliser des études
de sécurité sur différents systèmes d'exploitation.
Le but premier de TIGER est d'identifier les
failles potentielles dans la sécurité d'un système.
Un logiciel qui analyse les journaux du
Logcheck

système afin de détecter toute entrée inattendue

pouvant indiquer des problèmes ou des failles de
sécurité.
Un des outils les plus connus et les plus utiles
dans la détection d'intrusion et la récupération
Tripwire

qui s'en suit.

Tripwire crée une base de données de
signatures des fichiers dans le système et
lorsqu'il est exécuté en mode comparaison
Il utilise une série de règles pour définir les
activités réseau malveillantes et les utilise pour
identifier les paquets correspondants, générant
ainsi des alertes pour les utilisateurs.
Snort

Snort peut être déployé en ligne pour bloquer

ces paquets.
Un script Python utilisé pour détecter et avertir
de toutes les attaques Wi-Fi typiques lancées par
des pirates Wi-Fi qui cherchent à vous
déconnecter de vos points d'accès Wi-Fi
légitimes Personal Wifi IDS
 Mise en oeuvre d'IDS
Snort est un système de détection d'intrusions
réseau en ' Open Source ', capable d'effectuer
l'analyse du trafic en temps réel.
Positionnement de SNORT dans le réseau
Avant le Firewall ou le routeur filtrant
Positionnement du snort après le firewall
Positionnement du snort sur le réseau
interne