File - M2

Download Report

Transcript File - M2 

IDS / IPS
Réalisée par :
Aissa Marwa
Allouche Awatef
Filali Sameh
Hosni Sabrine
Soui Soumaya
Plan
1.Introduction
2.Système de Détection
d’Intrusion(IDS)
3. Système de Prévention
d’Intrusion(IPS)
4.Etude de cas pratique
5.Conclusion
1
Introduction
• Sécurité des systèmes d’information
insuffisante
IDS-IPS
2
Système de Détection d’Intrusion(IDS)
Selon des règles, cet équipement permet de:
•Surveiller
•Contrôler
•Détecter
3
Système de Détection d’Intrusion(IDS)
• Types:
HIDS(Host-IDS): analyse et
interprétation des activités hôte
NIDS(Network-IDS):analyse et
interprétation des paquets circulant
sur le réseau
les 2 sont complémentaires
4
Mode de fonctionnement IDS
Détection d’anomalie (Approche comportementale)
Mode détection
Reconnaissance de signature(Approche par
scénarios)
Passive
Mode réponse
Active
5
Mode de fonctionnement IDS
Approche
Approche par
comportementale
scénarios
Avantages
Inconvénients
Capacité de détecter
des nouvelles attaques
Efficacité : algorithme de
« pattern matching »
habitudes des
utilisateurs apprises
automatiquement
Fiabilité:déterministe et
exacte
Eviter les faux-positifs
Risque d’attaque
lors de la construction
des profils
Consommation de
mémoire et de temps
processeur si le nombre
de signatures est
important
Faux -négatifs
Faux-positifs
6
Mode de fonctionnement IDS
Trafic/Application
Détection
Alerte
Réaction selon
configuration
Logs
Collecte infos sur
l’attaque
7
Analyse humaine
Bloquer le port
Positionnement
8
Système de Prévention d’Intrusion(IPS)
+
blocage
détection

IPS = IDS actif
9
Mode de fonctionnement IPS
Application
Action
Décision en temps réel
refuser
permettre
alerte
Exécuter une action
10
Etude de cas pratique 1/4
•
•
•
•
•
•
NIDS open source
Conçu en 1998 par Marty Roesh
Le plus répandu
Grande base de signatures mise à jour
Analyse protocolaire et pattern matching
Langage de description des règles
 3 modes de fonctionnement :
Sniffer de paquets
Loguer de paquets
Détection / Prévention d’intrusions
11
Etude de cas pratique 2/4
1.Exécuter
• Chercher les interfaces disponibles:
C:\Snort\bin> Snort -W
• Exécuter snort:
C:\Snort\bin> Snort –c c:\Snort\etc\Snort.conf -l
c:\Snort\log –A console –i num_iterface
.
12
Etude de cas pratique 3/4
2.Ecrire sa propre règle
Alert tcp any any -> any any (content: ’’www.youtube.com’’;
msg:’’ someone visiting youtube now’’; sid:1000002; )
• Ajouter dans snort.conf:
Include $Rule-path\ youtube.rule
13
Etude de cas pratique 4/4
14
Conclusion
IDS
Avantages
Inconvénients
IPS
Open source
Bloquer attaques
Larges communauté
immédiatement
d’utilisateurs
Bonne base de signature
Paralyser le réseau
Faux positif
Technologie
complexe
15