970 likes | 2.12k Views
IDS / IPS. Réalisée par : Aissa Marwa Allouche Awatef Filali Sameh Hosni Sabrine Soui Soumaya. Plan. 1.Introduction 2.Système de Détection d’Intrusion(IDS) 3. Système de Prévention d’Intrusion(IPS) 4.Etude de cas pratique 5.Conclusion. 1.
E N D
IDS / IPS Réalisée par : AissaMarwa AlloucheAwatef FilaliSameh Hosni Sabrine Soui Soumaya
Plan 1.Introduction 2.Système de Détection d’Intrusion(IDS) 3. Système de Prévention d’Intrusion(IPS) 4.Etude de cas pratique 5.Conclusion 1
Introduction • Sécurité des systèmes d’information insuffisante IDS-IPS 2
Système de Détection d’Intrusion(IDS) Selon des règles, cet équipement permet de: • Surveiller • Contrôler • Détecter 3
Système de Détection d’Intrusion(IDS) • Types: • HIDS(Host-IDS): analyse et interprétation des activités hôte • NIDS(Network-IDS):analyse et interprétation des paquets circulant sur le réseau les 2 sont complémentaires 4
Mode de fonctionnement IDS Détection d’anomalie (Approche comportementale) Mode détection Reconnaissance de signature(Approche par scénarios) Passive Mode réponse Active 5
Mode de fonctionnement IDS Approche comportementale Approche par scénarios • Capacité de détecter des nouvelles attaques • habitudes des utilisateurs apprises automatiquement • Efficacité : algorithme de « pattern matching » • Fiabilité:déterministe et exacte • Eviter les faux-positifs Avantages • Consommation de mémoire et de temps processeur si le nombre de signatures est important • Faux -négatifs • Risque d’attaque lors de la construction des profils • Faux-positifs Inconvénients 6
Mode de fonctionnement IDS Trafic/Application Détection Alerte Réaction selon configuration Analyse humaine Collecte infos sur l’attaque Logs Bloquer le port 7
Système de Prévention d’Intrusion(IPS) + blocage détection IPS = IDS actif 9
Mode de fonctionnement IPS Application Action Décision en temps réel refuser permettre alerte Exécuter une action 10
Etude de cas pratique 1/4 • NIDS open source • Conçu en 1998 par Marty Roesh • Le plus répandu • Grande base de signatures mise à jour • Analyse protocolaire et pattern matching • Langage de description des règles • 3 modes de fonctionnement : • Sniffer de paquets • Loguer de paquets • Détection / Prévention d’intrusions 11
Etude de cas pratique 2/4 1.Exécuter • Chercher les interfaces disponibles: C:\Snort\bin> Snort -W • Exécuter snort: C:\Snort\bin> Snort –c c:\Snort\etc\Snort.conf -l c:\Snort\log –A console –i num_iterface . 12
Etude de cas pratique 3/4 2.Ecrire sa propre règle Alerttcpanyany -> anyany(content: ’’www.youtube.com’’; msg:’’ someonevisitingyoutubenow’’; sid:1000002; ) • Ajouter dans snort.conf: Include $Rule-path\ youtube.rule 13
Conclusion IDS IPS • Open source • Larges communauté d’utilisateurs • Bonne base de signature • Bloquer attaques immédiatement Avantages Inconvénients • Paralyser le réseau • Faux positif • Technologie complexe 15