Scribd
Importer
167 vues16 pages

Outils de détection d'intrusion (IDS)

Ce document décrit les outils de détection d'intrusion (IDS) et prévention d'intrusion (IPS). Il explique leurs différents types, méthodes de détection, avantages et inconvénients. L'exemple de Snort est également présenté.

Transféré par

ShayMa
Copyright
© © All Rights Reserved
Nous prenons très au sérieux les droits relatifs au contenu. Si vous pensez qu’il s’agit de votre contenu, signalez une atteinte au droit d’auteur ici.
Formats disponibles
Téléchargez aux formats PDF, TXT ou lisez en ligne sur Scribd
167 vues16 pages

Outils de détection d'intrusion (IDS)

Ce document décrit les outils de détection d'intrusion (IDS) et prévention d'intrusion (IPS). Il explique leurs différents types, méthodes de détection, avantages et inconvénients. L'exemple de Snort est également présenté.

Transféré par

ShayMa
Copyright
© © All Rights Reserved
Nous prenons très au sérieux les droits relatifs au contenu. Si vous pensez qu’il s’agit de votre contenu, signalez une atteinte au droit d’auteur ici.
Formats disponibles
Téléchargez aux formats PDF, TXT ou lisez en ligne sur Scribd

Les outils de dtection dintrusion

(IDS)
IDS

LIDS (Intrusion Dtection System)


=quipement surveiller et de contrler lactivit dun
rseau / hte donn,
dtecter des activits anormales ou suspectes
tentatives dintrusions et ventuellement de ragir
ces tentatives.
= sniffer +moteur qui analyse le trafic selon des rgles.
Couche Rseau (IP, ICMP)
Couche Transport (TCP, UDP)
Couche Application (HTTP, Telnet)
Les diffrents types dIDS
Il existe deux types dIDS :
HIDS (Host IDS)
NIDS (Network IDS )
Host IDS : surveille un seul hte & a accs des
composants non accessibles sur le rseau.
Exp: la base de registre de WINDOWS.
Network IDS: = sonde place dans le rseau qui:
-Surveille lensemble du rseau
-Capture et analyse tous le trafic
-Recherche de paquets suspects
-Envoi dalertes

AIDS (Application based IDS


Apports
Dcouvrir les attaquants.
Dtecter les attaques et problmes de scurits non encore
dtectes ou non corrigs
Bug non corrigs,
attaque inconnue ou non publie,
Service ou protocole vulnrable aux attaques mais ncessaire,
Erreur dans la configuration de la part de l'utilisateur ou de
ladministrateur
Prvenir, empcher ou rduire les attaques dans le cadre du
contrle de qualit de la scurit pour les grands rseaux.
Obtenir des informations sur les intrusions, faire des corrections
(suite l'intrusion).
Fonctionnement dun IDS

La capture: sert la rcupration de trafic rseau


- La plupart des NIDS utilisent la bibliothque
standard de capture de paquet lib cap.
- Son mode de fonctionnement est de copier
(sous Linux) tout paquet arrivant au niveau de la couche
liaison de donnes du systme d'exploitation.
Signatures:
- Modle recherch l'intrieur d'un paquet de donnes.
- dtecter une ou plusieurs types d'attaques.
- Ex.prsence de " scripts/iisadmin " dans un paquet allant
vers votre serveur web peut indiquer une activit d'intrus.
Alertes:
= notifications pour l'utilisateur d'une activit d'intrus.
IDS informer l'administrateur de ces alertes.
Ex. fentres,e-mail et ainsi de suite, etc.
Performances
Faux positif = (fausse alerte) lorsquune
tentative dintrusion ne constituant aucune
menace relle est dtecte par lIDS.
Faux ngatif = une tentative dintrusion
constituant une relle menace nest pas
dtecte par lIDS.
Mthodes de dtections
Comportementale
Dtection danomalie
Vrification dintgrit
Approche probabiliste : probabilit davoir un vnement aprs un autre.
utilisation courante dune application ou dun protocole. Toute activit ne
respectant pas le modle probabiliste provoquera la gnration dune
alerte.
Approche statistique : quantifier les paramtres lis lutilisateur : taux
doccupation de la mmoire, utilisation des processeurs, valeur de la charge
rseau, nombre daccs lIntranet par jour, vitesse de frappe au clavier,
sites les plus visits etc.
Cette mthode est trs difficile mettre en place. Elle nest actuellement
prsente que dans le domaine de la recherche, o les chercheurs utilisent
des rseaux neuronaux et la fouille de donnes (data mining) pour tenter
davoir des rsultats convaincants.
Mthodes de dtection : Par
anomalie

-Base sur le comportement normal du systme


-Une dviation par rapport ce comportement est
considre suspecte
- Le comportement doit tre modlis : on dfinit alors
un profil
-Une attaque peut tre dtecte sans tre pralablement connue
-Beaucoup de faux positifs
Dtection par signatures

Reconnaissances de schmas dj connus


Utilisation dexpressions rgulires
Les signatures stockes dans une base;
- chaque vnement est compar au contenu de cette base
Lattaque doit tre connue pour tre dtecte
Peu de faux-positifs
Prsentation Gnrale des IPS

IPS = Intrusion Prvention System


Techniquement :
Un IPS est un IDS qui ajoute des fonctionnalits de blocage
pour une anomalie trouve.
IDS devient actif => IPS.
Avantages: Lattaque est bloque immdiatement.
Inconvnients : beaucoup de faux positifs ce qui peut
paralyser le rseau
Avantages et inconvnients des
IDS et IPS
Les avantages :
-Dtection en temps rel
-Multisondes
- Possibilit dagir contre les attaques
Les inconvnients:
- Certaines attaques sont indtectable
-Taux de perte de paquets non nul
-Les logiciels de dtection dintrusions peuvent
tre attaqus
Exemple dun sniffer : SNORT

Cest un systme de dtection dintrusion rseau (NIDS)


Installation et configuration simple
Dtection en temps rel et puissante
Bas sur la bibliothque de capture (jpcap)
Mthode de dtection utilise : mthode par scnarios (analyse
des signatures)
Dtection au niveau des protocoles:
-IP -TCP -UDP -ICMP
Les composants de SNORT
- Le dcodeur de paquet: rcupre les paquets de diffrentes
interfaces rseau et les prpare pour passer dans le
prprocesseur .
-Le Prprocesseur : arrange ou modifie les paquets de donnes.
-Le Moteur De Dtection: dtecte si il existe une possible activit
d'intrusion dans un paquet.
-Systme d'alerte et de Log : Dpendant sur ce que le moteur de
dtection trouve l'intrieur d'un paquet, le paquet peut tre
noter dans le fichier Log ou produire une alerte.
- Modules De Sortie : effectuer diffrentes oprations comme
sauvegarder les modules de sortie gnrs par le systme
d'alerte.
Positionnement des sondes

Vous aimerez peut-être aussi