IDS / IPS

Réalisée par :

Aissa Marwa

Allouche Awatef

Filali Sameh

Hosni Sabrine

Soui Soumaya

Plan

1.Introduction2.Système de Détection

d’Intrusion(IDS)3. Système de Prévention

d’Intrusion(IPS)4.Etude de cas pratique5.Conclusion

1

Introduction

• Sécurité des systèmes d’information insuffisante

IDS-IPS

2

Système de Détection d’Intrusion(IDS)

•Surveiller•Contrôler•Détecter

Selon des règles, cet équipement permet de:

3

Système de Détection d’Intrusion(IDS)

• Types:HIDS(Host-IDS): analyse et

interprétation des activités hôte NIDS(Network-IDS):analyse et

interprétation des paquets circulant sur le réseau

les 2 sont complémentaires

4

Mode de fonctionnement IDS

Mode détection

Mode réponse

Détection d’anomalie (Approche comportementale)

Reconnaissance de signature(Approche par scénarios)

Passive

Active

5

Mode de fonctionnement IDS

Approche comportementa

le

Approche par scénarios

Avantages

Inconvénients

Efficacité : algorithme de « pattern matching »

Fiabilité:déterministe et exacteEviter les faux-positifs

Consommation  de mémoire et de temps processeur si le nombre de signatures est importantFaux -négatifs

Capacité de détecter des nouvelles attaques

habitudes des utilisateurs apprises automatiquementRisque d’attaque lors de la construction des profils

Faux-positifs

6

Mode de fonctionnement IDS

Trafic/Application

Détection

Alerte

Réaction selon configuration Analyse humaine

Logs Bloquer le port

Collecte infos sur l’attaque

7

Positionnement

8

Système de Prévention d’Intrusion(IPS)

blocagedétection

+

IPS = IDS actif

9

Mode de fonctionnement IPS

Application

Action

Décision en temps réel

refuser permettre

alerte Exécuter une action10

Etude de cas pratique 1/4

• NIDS open source• Conçu en 1998 par Marty Roesh • Le plus répandu • Grande base de signatures mise à jour• Analyse protocolaire et pattern matching• Langage de description des règles

3 modes de fonctionnement : Sniffer de paquetsLoguer de paquetsDétection / Prévention d’intrusions

11

Etude de cas pratique 2/41.Exécuter

• Chercher les interfaces disponibles: C:\Snort\bin> Snort -W • Exécuter snort:

C:\Snort\bin> Snort –c c:\Snort\etc\Snort.conf -l c:\Snort\log –A console –i

num_iterface

.

12

Etude de cas pratique 3/4

2.Ecrire sa propre règle

Alert tcp any any -> any any (content: ’’www.youtube.com’’; msg:’’ someone visiting youtube now’’; sid:1000002; )

• Ajouter dans snort.conf: Include $Rule-path\ youtube.rule

13

Etude de cas pratique 4/4

14

Conclusion

IDS IPS

Avantages

Inconvénients

Bloquer attaques immédiatement

Paralyser le réseauFaux positif

Open sourceLarges communauté d’utilisateursBonne base de signature

Technologie complexe

15