Upload
gaston-antoine
View
115
Download
2
Embed Size (px)
Citation preview
Détection d’intrusions
Illustration avec Snort
2
Introduction
• Pourquoi un IDS ?
3
Les différents IDS
• Les NIDS – Network Intrusion Detection System
• Les HIDS– Host Intrusion Detection System
• Les IPS– Intrusion Protection System
4
Les NIDS
5
Les HIDS
6
Les IPS
7
Les techniques de détéction
• L'analyse comportementale• Vérification de la pile protocolaire• Vérification des protocoles applicatifs• La gestion de ressources• Le Pattern matching
8
L'analyse comportementale
• Basé sur les “habitudes”
• Nécessite un apprentissage péalable
• Peu fiable sur certains réseaux
9
Vérification de la pile protocolaire
• Comparaison au travers de structures définis
• Peu de fausses erreurs
10
Vérification de la pile protocolaire
11
Vérification des protocoles applicatifs
• Analyse du contenu et non de la structure
12
La gestion de ressources
• Surveillance précise des ressources – CPU– RAM– HDD– etc
• Peu pratique sur des réseaux importants – Plutôt utile sur HIDS
13
Le Pattern Matching
• Comparaison à une base de signatures
• Charge CPU élevée quand traffic important
• Nécessite une mise à jour de la BDS
14
Le Pattern Matching
15
Les alertes
• Affichage temp réel• Génération de fichier Log• Enregistrement Base de donnée• Envoi traps SNMP• Et bien d’autres ...
16
Snort
• Présentation• Possibilités• Structure de Snort• La détection• Interface (exemple avec BASE)• Les addons• Démo
17
Présentation
• Open Source (GPL)• Codé parMarty Roesch• Repris Sourcefire, Inc.• Snort est un moteur de détection– Add-ons disponibles– Alertes– Configuration– Rules
18
Possibilités
• Détection signatures et anomalies• Communauté active– Mise à jours
• Gére détection et prévention• Prévention grâce à– Snort Inline– FlexResp2
19
Structure
20
Interfacage
• BASE– ACID
• SGUIL– Module Squert
21
BASE
• Basic Analysis and Security Engine– Interface Web– Rapports– Graphique– Visualisation temps réel
22
BASE
23
SGUIL
• Même principe que Base
• Pas d’interface Web
• Module Squert :– Compte rendu léger
24
SGUIL
25
Addons
• Oinkmaster– Gestion de mises à jours :• Officielles• Bleeding Snort• Tiers
26
Addons
• Snort Inline– IPS basé sur snort– Permet la communication avec parefeu• Récupération de données• Mise en place de contremesures
27
Techniques Anti-IDS
• ROMAIN
28
Conclusion
• Plus non négligeable• Sécurité ne peut être garantie à 100%• Nécessite une implémentation correct• Peu avoir des effets inverses
29
Démo