Location via proxy:   [ UP ]  
[Report a bug]   [Manage cookies]                
Scribd Logo
Importer

Bienvenue sur Scribd !

  • 62 vues

    IPS Ouiame

    Transféré par

    OUIAME EL HEZZAM

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PPTX, PDF, TXT ou lisez en ligne sur Scribd

    IPS Ouiame

    Transféré par

    OUIAME EL HEZZAM
    62 vues32 pages

    Copyright

    © © All Rights Reserved

    Formats disponibles

    PPTX, PDF, TXT ou lisez en ligne sur Scribd

    Avez-vous trouvé ce document utile ?

    Ce contenu est-il inapproprié ?

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PPTX, PDF, TXT ou lisez en ligne sur Scribd
    Télécharger au format pptx, pdf ou txt
    62 vues32 pages

    IPS Ouiame

    Transféré par

    OUIAME EL HEZZAM

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PPTX, PDF, TXT ou lisez en ligne sur Scribd
    Télécharger au format pptx, pdf ou txt
    sur 32

    Présentation générale des IPS

    Les IPS
    • IPS = Intrusion Prevention System
    – Mieux vaut prévenir que guérir
    – Constat :
    – On suppose pourvoir détecter une intrusion
    – Pourquoi alors, ne pas la bloquer, l’éliminer ?
    IDS vers IPS
    – Terme à la base plutôt marketing
    – Techniquement :
    • Un IPS est un IDS qui ajoute des fonctionnalités de blocage pour une
    anomalie trouvée
    • IDS devient actif => IPS
    Les IPS :
    • Objectifs :
    – Interrompre une connexion
    – Ralentir la connexion
    – Blacklister les sources
    • Moyens :
    – Règle Firewall
    – QoS
    – Intervention applicatif (Proxy)
    Les IPS :
    • Avantages
    – Attaque bloquée immédiatement
    • Inconvénients
    – Les faux-positifs
    – Peut paralyser le réseau
    Où placer un IDS IPS ?
    Placer un IDS
    • Dépend de ce que l’ont veut ?
    – Voir les attaques (HoneyPot)
    • Connaitre les failles de sécurité
    – surveiller les attaques sur un réseau :
    • Extérieur
    • Intérieur
    Où placer un IDS IPS
    Position ( 1 ):
    •Détection de toutes les attaques
    •Problèmes
    •Log trop complet analyse trop complexe :
    •bon pour un Honeypot (pot de miel)
    Position ( 2 ):
    •Placer dans la DMZ
    •Détecte les attaques
    •non filtrer par le par feu
    •Complexe
    •Non bénigne log clair .
    Position ( 3 ): Comme 2 + Attaque interne
    •Judicieux car 80% des attaques sont de l’intérieur
    •Trojans
    •Virus
    •Etc
    Un autre IDS particulier: le Honeypot
    • Ordinateur ou programme volontairement vulnérable destiné à attirer
    et à piéger les pirates
    • But:
    – Occuper le pirate
    – Découvrir de nouvelles attaques
    – Garder le maximum de traces de l’attaque
    Les 2 types Honeypot
    • Faible interaction:
    – Les plus simple (ex: Honeyd)
    – Émulation de services sans réel système sous-jacent
    • Forte interaction:
    – Utilisation d’un réel système d’exploitation plus ou moins sécurisé
    Fonctionnement de Honeyd
    • Démon qui créé plusieurs hôtes virtuels sur le réseau
    • Simule l’existence de services actifs sur les hôtes virtuels
    • Les informations sur l’OS simulé sont issues d’un fichier d’empreinte
    nmap
    • Toutes les connexions entrantes et sortantes sont enregistrées
    Les Honeypots
    • Littérature:
    – Virtual Honeypots: From Botnet Tracking to Intrusion Detection
    • Niels Provos, Thorsten Holz

    Réseau Néron artificielles


    Aspect pratique
    • Étude de différents outils OpenSource
    – Snort
    • Fonctionnement et mise en place
    – Bro
    • Comparaison avec snort
    • Fonctionnement et Mise en place
    – Prelude-IDS
    • Généralité
    Snort (NIDS)
    • IDS open source
    • Conçu en 1998 par Marty Roesh racheté par SourceFire
    • Le plus répandu
    – + 2 000 000 de téléchargements
    • MAJ Temps réel
    – (OINKMAster) Payant via SourceFire
    • Sinon attendre version de mise à jour
    – Bleeding gratuit , CERT
    Snort
    • Fonctionnalité
    – Permet d’interagir avec le firewall pour bloquer des intrusion (IPS) «
    snort natif, snort-inline, autres plugins »
    – Possibilité de créer ses propres règles et plugins
    – Ne permet pas l’envoi d’email ou SMS pour avertir
    • Utilisation d’autre logiciel en complément
    – LogSurfer ou Swatch
    – Installation
    • Binaire/sources (Au choix)
    Snort : Constitution
    Modulaire
    – Décodeur De Paquets (Packet decoder)
    – Préprocesseurs (Preprocessors)
    – Moteur De Détection (Detection Engine)
    • ALGO : AHO-CORASICK
    – Système d'alerte et d'enregistrement de log (Logging and Alerting
    System)
    – Modules De Sortie (Output Module) : Possibilité d’enregistrer les logs
    dans une BDD (MYSQL/PSQL)
    Snort : Constitution

    • Configuration sous Unix


    • – /etc/snort/snort.conf
    • 1 Configuration des variables pour le réseau
    – Configuration des reseaux a écouter
    – Configuration des services à logguer (http/dns/etc…)
    • 2 Configuration des pré-processeurs
    • 3 Configuration des plugins de sortie
    – MySQL/psql/écran/etc…
    • 4 Choix des règles à utiliser
    – /etc/snort/rules (ensemble des signatures)
    Les règles Snort

    • Exemples de règles:
    – Pour détecter les tentatives de login sous l'utilisateur root, pour le protocole ftp (port
    21):
    • alert tcp any any -> 192.168.1.0/24 21 (content: "USER root"; nocase;
    msg: "FTP root user access attempt";)
    – Tentative d’accès à des sites non autorisés:
    • alert tcp any any <> 192.168.1.0/24 any (content-list: "adults"; msg:
    "Adults list access attempt"; react: block;)
    Snort et les interfaces Graphiques

    • ACID/BASE :
    – Permet de voir les log dans une BDD
    – Catégorise
    – Lien vers failles de sécurité
    Base
    Le NIDS Bro

    • NIDS Open Source


    – Développé par Berkeley (Chercheurs)
    – Langage de script propre à Bro
    – Utilisation d’expression régulières dans les signatures
    – Possibilité d’exécuter des programmes tiers après détection d’intrusion
    • Exemple: reconfigurer un routeur
    – Compatible avec les règles Snort
    • Grâce à snort2bro
    – Dynamic Protocol Detection
    Le fonctionnement de Bro

    • Architecture en 3 couches:
    – Module Packet Capture : sniffe le trafic réseau et l’envoie à la couche
    supérieure
    – Module Event Engine : Analyse les flux et les paquets
    – Module Policy Layer : utilise les scripts Bro pour traiter les événements
    et appliquer les politiques
    Signature Bro

    • Exemple de Signature Bro:


    signature sid-1327 {
    ip-proto == tcp
    src-ip != local_nets
    dst-ip == local_nets
    dst-port == 22
    event "EXPLOIT ssh CRC32 overflow"
    tcp-state established,originator
    payload /\x00\x01\x57\x00\x00\x00\x18/
    payload /.{7}\xFF\xFF\xFF\xFF\x00\x00/
    }
    Comparatif Snort - Bro
    Snort Bro
    Avantages + nouvelles règles très régulièrement + forte customisation -> IDS très
    proposées difficile à détecter par un pirate
    + nombreux plugins, frontends, consoles + langage de script puissant
    de management, ... + configuration très simple grâce à
    +mise en oeuvre basique rapide un
    + beaucoup de documentations script interactif
    + fichiers d'alertes très complets (header
    des paquets, lien vers description de
    l'attaque, ...)
    Inconvénients - configuration essentiellement par -fichiers d'alertes pas très
    édition de fichiers texte compréhensibles
    - de nombreuses fonctionnalités payantes -peu d'informations dans les
    rapports
    d'alertes
    -documentation incomplète
    -aucune interface graphique
    Prelude-IDS (Hybride)

    • IDS hybride 1998:


    – NIDS : NetWork Intrusion Detection System ;
    – HIDS : Host based Intrusion Detection System
    – LML : Log Monitoring Lackey.
    • Standard IDMEF (Intrusion Detection Message Exchange Format)
    • Possibilité de stocker les logs dans une BDD
    – MYSQL/PSQL
    • Supporte :
    – SNORT / NESSUS et + de 30 analyseurs de logs
    • Documentation diffuse et peu abondante
    Prelude-IDS (Hybride)

    • Framework
    – Une bibliothèque de génération de messages IDMEF
    – gestionnaire d’événements
    – un analyseur de logs et d’une console de visualisation des alertes.
    Prelude-IDS (Hybride)

    • Fonctionnement
    – Les capteurs remontent des alertes à un manager Prelude.
    • Snort
    • Syslog
    • Prelude lml
    – Le manager :
    • Collecte les alertes
    • Transforme les alertes au format de Prelude en un format lisible
    • Permet des contre-mesures à une attaque
    – La communication entre les différents programmes se fait au format IDMEF (Intrusion
    Detection Message Exchange Format).
    • Utilisation du format XML car très générique comme format
    Prelude-IDS

    • Composition
    – Libprelude (la librairie Prelude) : la base
    • Gestion de la connexion et communication entre composants
    • Interface permettant l'intégration de plugins
    – Prelude-LML (la sonde locale)
    • Alerte locale
    • Basée sur l'application à des « objets »
    • Pour la surveillance des systèmes:
    – Unix : syslog
    – Windows : ntsyslog.
    – Prelude-Manager (le contrôleur)
    • Prelude-manager centralise les messages des sondes réseaux et locales, et les traduit en alertes.
    • responsable de la centralisation et de la journalisation
    Prelude-IDS (Hybride)

    • Configuration
    – Installation de l’ensemble du framework
    – Configuration du manager
    • /etc/prelude-manager/prelude-manager.conf
    – Configuration de lml
    • /etc/prelude-lml/prelude-lml.conf
    – Configurationde prelude
    • /etc/prelude/default/
    – Client.conf
    – Idmef-client.conf
    – Global.conf
    – Ajout de sonde : exemple snort
    • prelude-admin register snort "idmef:w" x.x.x.x --uid=0 --gid=0
    Prelude-IDS

    • Frontend
    – Prewikka (officiel)
    – Php-frontend (mort)
    – Perl Frontend Prelude (Austère)
    Conclusion

    • IDS/IPS en plein Essor


    • Algorithme de recherche de signature
    • Outils essentiels
    – pour surveiller un réseau
    – Pour connaitre les attaques
    • Attention
    – Faille de sécurité sur IDS
    – IPS pas encore mature
    Bibliographie( en les citant avant[1]) / Références [1]: site page année …)

    • http://dbprog.developpez.com/securite/ids/
    • Cours CEA (Vincent Glaume)
    • Wikipedia.org
    • Ecriture de règles:
    – http://www.groar.org/trad/snort/snortfaq/
    • writing_snort_rules.html
    • https://trac.prelude-ids.org/wiki/PreludeHandbook
    • http://lehmann.free.fr/
    Notes :
    • Réseau Néron artificielles
    • Page 11 intelligence artificielles Partie aya
    • Résumer
    • Rapport / résumer une semaine dernier délai
    • Intro gene
    • Ids ips
    • Tech
    • Conc ( pour chaque chapitre )
    • Les outils qui implémentes
    • Intro
    • Ids ips
    • Les technique de traitements des ids et les ips
    • Les technique du machine Learning appliquer sur les ips et les ids
    • Les outils qui implémentes / ou bien / programmer carrement avec python
    • Conclusion generale

    Vous aimerez peut-être aussi