Click here to load reader

Rapport Pfe Nids

  • View
    2.416

  • Download
    1

Embed Size (px)

DESCRIPTION

PFE: NIDS (Système de détection d'intrusions réseau).

Text of Rapport Pfe Nids

ISET NABEUL Dpartement informatique

Informatique rseaux

Introduction gnraleLe prsent rapport contient une description dtaille du processus de ralisation de ntre projet de fin dtude qui consiste dvelopper une application permettant la dtection des intrusions dans un rseau.

En fait ntre rapport a t structur en trois chapitres. Le premier chapitre intitul Etat de lart qui comporte une description dtaill de la future application ralise ainsi que son cadre. Nous avons rserv le second chapitre pour dtailler ltude conceptuelle. Dans le troisime chapitre nous avons donn une prsentation assez dtaille des modules raliss dans le cadre de notre projet.

Projet de fin dtudes

1

ISET NABEUL Dpartement informatique

Informatique rseaux

Chapitre 1

Etat de lart

Projet de fin dtudes

2

ISET NABEUL Dpartement informatique

Informatique rseaux

I. Problmatique

Les systmes dinformation sont aujourdhui de plus en plus ouverts sur Internet. Cette ouverture, a priori bnfique, pose nanmoins un problme majeur : il en dcoule un nombre croissant dattaques. La mise en place dune politique de scurit autour de ces systmes est donc primordiale. Outre la mise en place de pare-feux et de systmes dauthentification de plus en plus scuriss, il est ncessaire, pour complter cette politique de scurit, davoir des outils de surveillance pour auditer le systme dinformation et dtecter dventuelles intrusions. En effet de plus en plus dentreprises subissent des attaques qui peuvent entraner des pertes consquentes. Le besoin des entreprises en scurit informatique est de plus en plus important, et un lment essentiel dune bonne politique de scurit est lutilisation dun systme de dtection dintrusion. Afin de dtecter les attaques que peut subir un systme, il est ncessaire davoir un logiciel spcialis dont le rle serait de surveiller les donnes qui transitent sur ce systme, et qui serait capable de ragir si des donnes semblent suspectent. Plus communment appel IDS (Intrusion Detection Systems), les systmes de dtection dintrusions conviennent parfaitement pour raliser cette tche.

Projet de fin dtudes

3

ISET NABEUL Dpartement informatique

Informatique rseaux

II. Prsentation du projetNotre projet intitul Dveloppement dune solution de dtection dintrusion consiste dtecter toute tentative dattaque rseau grce un systme de dtection dintrusion. Notre future application permettra de : Analyser les paquets qui transitent dans le rseau Envoyer un SMS ladministrateur pour notifier une intrusion Journaliser les attaques Notifier les alertes dans une console de management

En fait notre application peut tourner sous trois modes : 1) Renifleur rseau (Sniffer) Dans ce mode, notre application lit les paquets circulant sur le rseau et les affiches dune faon continue sur lcran. 2) Packet Logger Dans ce mode, notre application enregistre les paquets capturs sur le rseau dans des fichiers organiss par type de protocole. 3) Dtecteur dintrusion Dans ce mode, lIDS analyse le trafic rseau, compare ce trafic avec des signatures dattaques dfini dans une base de donnes. Lors de dtection dune intrusion, ladministrateur sera notifi par SMS et par la console de management au mme temps.

Projet de fin dtudes

4

ISET NABEUL Dpartement informatique

Informatique rseaux

III. Cadre du projet

Le sujet qui nous a t propos consiste dvelopper un systme de dtection dintrusion rseau, au profil de lagence nationale de scurit informatique (ANSI), qui est lanc en 1990 comme "Unit de gestion par Objectifs pour la ralisation du dveloppement de la scurit informatique" au sein du secrtariat d'tat en informatique, dont le rle tait de suivre de prs les derniers dveloppements en matire de scurit Informatique et de veiller l'amlioration de la scurit des applications et infrastructures nationales critiques et qui a t cre ensuite comme une entreprise publique caractre non administratif dote de la personnalit morale et de lautonomie financire qui a pour objectif deffectuer un contrle gnrale des systmes informatiques et des rseaux relevant des divers organismes publics et privs. L'agence effectue un contrle gnral des systmes informatiques et des rseaux relevant des divers organismes publics et privs, elle est charge des missions suivantes: Veiller l'excution des orientations nationales et de la stratgie gnrale en matire de scurit des systmes informatiques et des rseaux Suivre l'excution des plans et des programmes relatifs la scurit informatique dans le secteur public l'exception des applications particulires la dfense et la scurit nationale et assurer la coordination entre les intervenants dans ce domaine

Assurer la veille technologique dans le domaine de la scurit informatique Etablir des normes spcifiques la scurit informatique et laborer des guides techniques en l'objet et procder leur publication Veiller l'excution des rglementations relatives l'obligation de l'audit priodique de la scurit des systmes informatiques et des rseaux

Projet de fin dtudes

5

ISET NABEUL Dpartement informatique

Informatique rseaux

IV. Etude thoriquea) Les diffrents types dattaquesLinformatique tant un domaine trs vaste, le nombre de vulnrabilits prsentes sur un systme peut donc tre important. Ainsi, les attaques visant ces failles peuvent tre la fois trs varies et trs dangereuses.

1) Les attaques rseaux Ce type dattaque se base principalement sur des failles lies aux protocoles ou leur implmentation.i. Les techniques de scan

Les scans de ports ne sont pas des attaques proprement parler. Le but des scans est de dterminer quels sont les ports ouverts, et donc en dduire les services qui sont excuts sur la machine cible.ii. IP Spoofing

Le but est de se faire passer pour une autre machine en truquant les paquets IP. Cette technique peut tre utile dans le cas dauthentifications bases sur adresse IP.iii. ARP Spoofing

Cette technique permet de rediriger le trafic dune machine vers une autre. Grce cette redirection, une personne mal intentionne peut se faire passer pour une autre. De plus, le pirate peut rerouter les paquets quil reoit vers le vritable destinataire, ainsi lutilisateur usurp ne rendra compte de rien.iv. DNS Spoofing

Le but de cette attaque est de fournir de fausses rponses aux requtes DNS, c'est--dire indiquer une fausse adresse IP pour un nom de domaine.v. Fragments attacks

Cette technique permet de passer outre les protections des quipements de filtrage IP.

Projet de fin dtudes

6

ISET NABEUL Dpartement informatique

Informatique rseaux

vi. TCP Session Hijacking

Le but de cette attaque est de rediriger un flux TCP afin de pouvoir outre passer une protection par mot de passe. 2) Les attaques applicatives Les attaques applicatives se basent sur des failles dans les programmes utiliss, ou encore des erreurs de configuration.i. Les problmes de configuration

Il est rare que les administrateurs rseaux configurent correctement un programme, ils se contentent dutiliser les configurations par dfaut. Celles-ci sont souvent non scurises afin de faciliter lexploitation du logiciel.ii. Les bugs

Lis un problme dans le code source, ils peuvent amener lexploitation de failles. On ne peut rien faire contre ce type de problmes, si ce nest attendre un correctif de la part du dveloppeur.iii. Les buffer overflows

Issus dune erreur de programmation, ils permettent lexploitation dun shellcode distance. Ce dernier permettra une personne mal intentionne dexcuter des commandes sur le systme distant, pouvant aller jusqu sa destruction.iv. Les scripts

Ils sexcutent sur un serveur et renvoie un rsultat au client.v. Les injections SQL

Le but des injections SQL est dinjecter du code SQL dans une requte de base de donnes. Ainsi, il est possible de rcuprer des informations se trouvant dans la base ou encore dtruire des donnes.vi. Man in the middle

Cette attaque permet de dtourner le trafic entre deux stations. Totalement transparente pour le client, le pirate joue le rle de proxy. Il accdera ainsi toutes les communications et pourra en obtenir les informations sans que lutilisateur sen rende compte.Projet de fin dtudes 7

ISET NABEUL Dpartement informatique

Informatique rseaux

b) Les diffrents types de systmes de dtection dintrusionUn systme de dtection dintrusion est un ensemble de composants logiciels et matriels dont la fonction principale est de dtecter et analyser toute tentative deffraction. Il existe trois grandes familles distinctes dIDS : Les systmes de dtection dintrusions rseau NIDS (Network Based Intrusion Detection System), qui surveillent l'tat de la scurit au niveau du rseau. Les systmes de dtection dintrusions de type hte HIDS (Host Based Intrusion Detection System), qui surveillent l'tat de la scurit au niveau des htes. Les systmes de dtection dintrusions hybrides, qui utilisent les NIDS et HIDS pour avoir des alertes plus pertinentes. 1) Les mthodes de dtection dintrusions Les mthodes de dtection d'intrusions utilises l'heure actuelle reposent essentiellement sur l'observation d'vnements et leur analyse. La collecte d'informations constitue donc la premire tape dans tout systme de dtection d'intrusions. Il s'agit d'une part des informations fournies par le journal systme, les journaux propres certaines applications comme les serveurs de courrier lectronique, mais aussi de donnes provenant de sondes installes par les outils de dtection eux-mmes. Le rle des outils de dtection d'intrusions consiste alors exploiter cette masse d'informations, appele audit, de manire y dtecter des vnements signalant potentiellement une intrusion. Deux approches ont t proposes ce jour, l'approche c