IDS / IPS Réalisée par : Aissa Marwa Allouche Awatef Filali Sameh Hosni Sabrine Soui Soumaya.
-
Upload
elodie-thevenin -
Category
Documents
-
view
129 -
download
5
Transcript of IDS / IPS Réalisée par : Aissa Marwa Allouche Awatef Filali Sameh Hosni Sabrine Soui Soumaya.
Plan
1.Introduction2.Système de Détection
d’Intrusion(IDS)3. Système de Prévention
d’Intrusion(IPS)4.Etude de cas pratique5.Conclusion
1
Système de Détection d’Intrusion(IDS)
•Surveiller•Contrôler•Détecter
Selon des règles, cet équipement permet de:
3
Système de Détection d’Intrusion(IDS)
• Types:HIDS(Host-IDS): analyse et
interprétation des activités hôte NIDS(Network-IDS):analyse et
interprétation des paquets circulant sur le réseau
les 2 sont complémentaires
4
Mode de fonctionnement IDS
Mode détection
Mode réponse
Détection d’anomalie (Approche comportementale)
Reconnaissance de signature(Approche par scénarios)
Passive
Active
5
Mode de fonctionnement IDS
Approche comportementa
le
Approche par scénarios
Avantages
Inconvénients
Efficacité : algorithme de « pattern matching »
Fiabilité:déterministe et exacteEviter les faux-positifs
Consommation de mémoire et de temps processeur si le nombre de signatures est importantFaux -négatifs
Capacité de détecter des nouvelles attaques
habitudes des utilisateurs apprises automatiquementRisque d’attaque lors de la construction des profils
Faux-positifs
6
Mode de fonctionnement IDS
Trafic/Application
Détection
Alerte
Réaction selon configuration Analyse humaine
Logs Bloquer le port
Collecte infos sur l’attaque
7
Mode de fonctionnement IPS
Application
Action
Décision en temps réel
refuser permettre
alerte Exécuter une action10
Etude de cas pratique 1/4
• NIDS open source• Conçu en 1998 par Marty Roesh • Le plus répandu • Grande base de signatures mise à jour• Analyse protocolaire et pattern matching• Langage de description des règles
3 modes de fonctionnement : Sniffer de paquetsLoguer de paquetsDétection / Prévention d’intrusions
11
Etude de cas pratique 2/41.Exécuter
• Chercher les interfaces disponibles: C:\Snort\bin> Snort -W • Exécuter snort:
C:\Snort\bin> Snort –c c:\Snort\etc\Snort.conf -l c:\Snort\log –A console –i
num_iterface
.
12
Etude de cas pratique 3/4
2.Ecrire sa propre règle
Alert tcp any any -> any any (content: ’’www.youtube.com’’; msg:’’ someone visiting youtube now’’; sid:1000002; )
• Ajouter dans snort.conf: Include $Rule-path\ youtube.rule
13
Conclusion
IDS IPS
Avantages
Inconvénients
Bloquer attaques immédiatement
Paralyser le réseauFaux positif
Open sourceLarges communauté d’utilisateursBonne base de signature
Technologie complexe
15