Différent types D`IDS - M2

Download Report

Transcript Différent types D`IDS - M2 

I N ST I TU T
SUPERIEUR
INFORMATIQUE
‫المـعهـد العــالـي لإلعالمـية‬
Exposé
Sujet:
Réalisé par:
SFARI Marwa
BOUHAJJA Lamia
BEN AMMAR Dorra
TOUEYBI Marwa
MDIMAGH Donia
Année universitaire
2012-2013
I N ST I TU T
SUPERIEUR
INFORMATIQUE
‫المـعهـد العــالـي لإلعالمـية‬
PLAN DE L’EXPOSÉ
Présentation d’un IDS
Présentation d’un IPS
Mode de fonctionnement
Méthodes de détections
Déploiement d’un IDS/IPS
Conclusion
I N ST I TU T
SUPERIEUR
INFORMATIQUE
‫المـعهـد العــالـي لإلعالمـية‬
PLAN DE L’EXPOSÉ
Présentation d’un IDS
Présentation d’un IPS
Mode de fonctionnement
Méthodes de détections
Déploiement d’un IDS/IPS
Conclusion
INTRODUCTION
Qu'est ce qu'une intrusion
Les différent types d’intrusion :
Cheval de Troie
Ver (worm)
Virus
DOS
Bombes logiques
Spyware
I N ST I TU T
SUPERIEUR
INFORMATIQUE
‫المـعهـد العــالـي لإلعالمـية‬
PLAN DE L’EXPOSÉ
Présentation d’un IDS
Présentation d’un IPS
Mode de fonctionnement
Méthodes de détections
Déploiement d’un IDS/IPS
Conclusion
PRÉSENTATION D’UN IDS
Qu’est ce que la détection d’intrusion
L’IDS (Intrusion Detection System )
Surveiller
Contrôler
Détecter
PRÉSENTATION D’UN IDS
IDS = Sniffer + moteur
L’IDS peut analyser :
Couche Réseau (IP, ICMP)
Couche Transport (TCP, UDP)
Couche Application (HTTP, Telnet)
DIFFÉRENT TYPES D’IDS
Types d’IDS :
HIDS (Host IDS)
NIDS (Network IDS)
 Surveiller le système
et les applications
 Capturer / analyser le
trafic
 Accès à des composants
non-accessibles
sur
le

Rechercher des
paquets
réseau
suspects

des
 Envoyer
Surveiller
unalertes
seul hôte
I N ST I TU T
SUPERIEUR
INFORMATIQUE
‫المـعهـد العــالـي لإلعالمـية‬
PLAN DE L’EXPOSÉ
Présentation d’un IDS
Présentation d’un IPS
Mode de fonctionnement
Méthodes de détections
Déploiement d’un IDS/IPS
Conclusion
PRÉSENTATION D’UN IPS
IPS = Intrusion Prévention System
Détection
IPS
Blocage
IDS actif
DIFFÉRENT TYPES D’IPS
Types d’IPS :
HIPS (Host IPS)
NIPS (Network IPS)
 Installé
Lecture en
/ écriture
coupure
dede
réseau
fichiers protégés
 Analyse
Accès à des
statique
ports des
non
autorisés
flux
Analyse
Accès
à certaines
dynamique
zones
de laflux
des
base de registres
 Connexions suspectes
I N ST I TU T
SUPERIEUR
INFORMATIQUE
‫المـعهـد العــالـي لإلعالمـية‬
PLAN DE L’EXPOSÉ
Présentation d’un IDS
Présentation d’un IPS
Mode de fonctionnement
Méthodes de détections
Déploiement d’un IDS/IPS
Conclusion
MODE DE FONCTIONNEMENT
Capture de trame en mode promiscuité
Analyse de la trame
Détection des fragments
Transfer de la trame vers le SE
Filtrage
Application de divers préprocesseurs
Passage vers le moteur d’analyse
I N ST I TU T
SUPERIEUR
INFORMATIQUE
‫المـعهـد العــالـي لإلعالمـية‬
PLAN DE L’EXPOSÉ
Présentation d’un IDS
Présentation d’un IPS
Mode de fonctionnement
Méthodes de détections
Déploiement d’un IDS/IPS
Conclusion
MÉTHODES DE DÉTECTION
1/3
Deux approches Principales :
 Par scénario
 Comportementale
MÉTHODES DE DÉTECTION
Approche par scénario / signature
2/3
MÉTHODES DE DÉTECTION
Approche comportementale
3/3
I N ST I TU T
SUPERIEUR
INFORMATIQUE
‫المـعهـد العــالـي لإلعالمـية‬
PLAN DE L’EXPOSÉ
Présentation d’un IDS
Présentation d’un IPS
Mode de fonctionnement
Méthodes de détections
Déploiement d’un IDS/IPS
Conclusion
DÉPLOIEMENT D’UN IDS / IPS
Détection
-plugins
Output
stage
-plugins
Préprocesseur
-Plugins
Logs
-Output
modules
(SQL,…)
-SMS, vocal, …
Paquet
DÉPLOIEMENT D’UN IDS / IPS
1
3
2
Réseau
interne
DMZ
I N ST I TU T
SUPERIEUR
INFORMATIQUE
‫المـعهـد العــالـي لإلعالمـية‬
PLAN DE L’EXPOSÉ
Présentation d’un IDS
Présentation d’un IPS
Mode de fonctionnement
Méthodes de détections
Déploiement d’un IDS/IPS
Conclusion
CONCLUSION
Vulnérabilité aux attaques externes
NIDS
HIDS
KIDS
règles de détection
d’intrusion