Location via proxy:   [ UP ]  
[Report a bug]   [Manage cookies]                
Scribd Logo
Importer

Bienvenue sur Scribd !

  • 1K vues

    Présentation IPS IDS

    Transféré par

    infcom
    Ce document présente les différents types d'IDS et d'IPS, leurs caractéristiques et leur placement sur un réseau. Il décrit également des outils open source comme Snort, OSSEC et Prelude.

    Droits d'auteur :

    Attribution Non-Commercial (BY-NC)
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd

    Présentation IPS IDS

    Transféré par

    infcom
    1K vues31 pages
    Ce document présente les différents types d'IDS et d'IPS, leurs caractéristiques et leur placement sur un réseau. Il décrit également des outils open source comme Snort, OSSEC et Prelude.

    Description originale:

    WAFA KAmoun ISITCOM

    Copyright

    © Attribution Non-Commercial (BY-NC)

    Formats disponibles

    PDF, TXT ou lisez en ligne sur Scribd

    Avez-vous trouvé ce document utile ?

    Ce contenu est-il inapproprié ?

    Ce document présente les différents types d'IDS et d'IPS, leurs caractéristiques et leur placement sur un réseau. Il décrit également des outils open source comme Snort, OSSEC et Prelude.

    Droits d'auteur :

    Attribution Non-Commercial (BY-NC)
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
    Télécharger au format pdf ou txt
    1K vues31 pages

    Présentation IPS IDS

    Transféré par

    infcom
    Ce document présente les différents types d'IDS et d'IPS, leurs caractéristiques et leur placement sur un réseau. Il décrit également des outils open source comme Snort, OSSEC et Prelude.

    Droits d'auteur :

    Attribution Non-Commercial (BY-NC)
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
    Télécharger au format pdf ou txt
    Vous êtes sur la page 1sur 31

    Mahmoud Jamel Ezzena Abir Majida Hammouda Ines Ben Aicha Takwa

    Anne Universitaire 2012- 2013

    Prsentation Gnrale des IDS

    Les diffrents type dIDS

    Prsentation Gnrale des IPS

    Ou placer un IDS / IPS ?

    Conclusion

    Outils Open Source (Aspect Pratique)

    LIDS (Intrusion Detection System) permet de :


    Surveiller Contrler Dtecter Le systme de dtection dintrusion est en voie de devenir un composant critique dune architecture de scurit informatique
    1

    Un IDS est essentiellement un sniffer coupl avec un moteur qui analyse le trafic selon des rgles Ces rgles dcrivent un trafic signaler LIDS peut analyser Couche Rseau (IP, ICMP) Couche Transport (TCP, UDP) Couche Application (HTTP, Telnet) Selon le type de trafic, lIDS accomplit certaines actions
    2

    Journaliser lvnement: Source dinformation et vision des menaces courantes Avertir un systme avec un message Exemple: appel SNMP Avertir un humain avec un message Courrier lectronique, SMS, interface web, etc. Amorcer certaines actions sur un rseau ou hte Exemple: mettre fin une connexion rseau, ralentir le dbit des connexions, etc. (rle actif)
    3

    Faux-Positif Fausse alerte leve par lids Faux-ngatif Attaque qui na pas t repr par lIDS

    Sonde Composant de larchitecture IDS qui collecte les informations brutes

    Types dIDS

    HIDS (Host IDS)

    NIDS (Network IDS )

    Mise en place dans un ordinateur hte HIDS permet de surveiller le systme et les applications Les journaux systmes, de contrler l'accs aux appels systmes, de vrifier l'intgrit des systmes de fichiers Le HIDS a accs des composants non accessibles sur le rseau
    6

    Un sonde place dans le rseau Surveille lensemble du rseau Capture et analyse tout le trafic Recherche de paquets suspects

    Envoi dalertes

    Chacun rpond des besoins spcifiques

    HIDS

    NIDS
    8

    Technologie complexe Ncessite un degr dexpertise lev Long optimiser Rputer par gnrer de fausses alertes

    IPS = Intrusion Prevention System


    Mieux vaut prvenir que gurir

    Constat : On suppose pouvoir dtecter une intrusion Pourquoi alors, ne pas la bloquer, lliminer ? IDS vers IPS Techniquement : Un IPS est un IDS qui ajoute des fonctionnalits de blocage pour une anomalie trouve IDS devient actif => IPS
    10

    Interrompre une connexion Ralentir la connexion Blacklister les sources

    11

    Avantages Attaque bloque immdiatement Inconvnients Les faux-positifs Peut paralyser le rseau

    12

    O placer un IDS IPS ?

    Connaitre les failles de scurit surveiller les attaques sur un rseau : Extrieur Intrieur Dpend de ce que lon veut ? Voir les attaques (HoneyPot)

    13

    Ordinateur ou programme volontairement vulnrable destin attirer et piger les pirates But: Occuper le pirate Dcouvrir de nouvelles attaques Garder le maximum de traces de lattaque
    14

    Position ( 1 ):
    avant le Firewall ou le routeur filtrant : dans cette position, la sonde occupe une place de premier choix dans la dtection des attaques de sources extrieures visant lentreprise. Dtection de toutes les attaques Problmes - trop complet - analyse trop complexe bonne pour un Honeypot (pot de miel)
    15

    Position ( 2 ):
    sur la DMZ : dans cette position, la

    sonde peut dtecter tout le trafic


    non filtr par le Firewall et qui a atteint la zone DMZ.

    Complexe

    15

    Position ( 3 ): sur le rseau interne :le positionnement du NIDS cet endroit nous permet dobserver les tentatives dintrusion parvenues lintrieur du rseau dentreprise ainsi que les tentatives dattaques partir de l'intrieur. 15

    NIDS (IDS rseau) Les NIDS (Network Based Intrusion Detection System), surveillent l'tat de la scurit au niveau du rseau. Snort HIDS (IDS machine hte) Les HIDS (HostBased Intrusion Detection System), surveillent surveillent l'tat de la scurit au niveau des htes. OSSEC IDS hybride (NIDS + HIDS) Les IDS hybrides, qui utilisent les NIDS et HIDS pour avoir des alertes plus pertinentes. Prelude 16

    S.N.O.R.T. est un NIDS (Network Intrusion Detection System). Cest un NIDS qui sert dtecter les tentatives d'intrusion, pour ce faire, il compare le trafic rseau une base de donnes des attaques connues. Le cas chant, il excute une action prdfinie, qui va de vous prvenir verrouiller le rseau. S.N.O.R.T. nous permettra donc basiquement, de dtecter d'ventuels intrusions, de grer nos logs et sniffer le rseau.

    17

    SNORT peut tre configur pour fonctionner en 4 modes : le mode sniffer : dans ce mode, SNORT lit les paquets circulant sur le rseau et les affiche dune faon continue sur lcran Le mode packet logger : dans ce mode SNORT journalise le trafic rseau dans des rpertoires sur le disque le mode dtecteur dintrusion rseau (NIDS) : dans ce mode, SNORT analyse le trafic du rseau, compare ce trafic des rgles dj dfinies par lutilisateur et tabli des actions excuter le mode Prvention des intrusion rseau (IPS): cest SNORTinline.
    18

    OSSEC est un Open Source du systme de dtection d'intrusion base sur l'hte. il effectue l'analyse du journal, la vrification de l'intgrit des fichiers en temps rel d'alerte et de rponse active

    19

    Prelude, ou Prelude-IDS, est un systme de dtection dintrusion hybride compos de plusieurs plugins, sondes. Prelude a t conu dans le but dtre modulaire, souple, et rsistant aux attaques. Sa modularit permet notamment de lui rajouter facilement de nouveaux types de dtecteurs dintrusion.

    20

    Dmonstration

    21

    IDS/IPS en plein Essor Outils essentiels pour surveiller un rseau Pour connaitre les attaques Attention Faille de scurit sur IDS IPS pas encore mature
    22

    http://dbprog.developpez.com/securite/ids/ Wikipedia.org http://www.groar.org/trad/snort/snortfaq/ writing_snort_rules.html https://trac.preludeids.org/wiki/PreludeHandbook http://lehmann.free.fr/

    Only a PREVIEW!

    Question ?

    Vous aimerez peut-être aussi