La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

1 SECURITE DU SYSTEME DINFORMATION (SSI) Institut Supérieur de Comptabilité et dAdministration des Entreprises 2010-2011.

Présentations similaires


Présentation au sujet: "1 SECURITE DU SYSTEME DINFORMATION (SSI) Institut Supérieur de Comptabilité et dAdministration des Entreprises 2010-2011."— Transcription de la présentation:

1

2 1 SECURITE DU SYSTEME DINFORMATION (SSI) Institut Supérieur de Comptabilité et dAdministration des Entreprises

3 systèmes de détection d'intrusions IDS On appelle IDS (Intrusion Detection System) un mécanisme écoutant le trafic réseau de manière furtive afin de repérer des activités anormales ou suspectes et permettant ainsi d'avoir une action de prévention sur les risques d'intrusion

4 Il existe deux grandes familles distinctes dIDS : Les N-IDS (Network Intrusion Detection System), ils assurent la sécurité au niveau du réseau. Les H-IDS (Host Intrusion Detection System), ils assurent la sécurité au niveau des hôtes. Un N-IDS nécessite un matériel dédié et constitue un système capable de contrôler les paquets circulant sur un ou plusieurs lien(s) réseau dans le but de découvrir si un acte malveillant ou anormal a lieu. Le N-IDS place une ou plusieurs cartes dinterface réseau du système dédié en mode promiscuité (promiscuous mode), elles sont alors en mode « furtif » afin quelles naient pas dadresse IP. Elles nont pas non plus de pile de protocole attachée. Il est fréquent de trouver plusieurs IDS sur les différentes parties du réseau et en particulier de placer une sonde à l'extérieur du réseau afin d'étudier les tentatives d'attaques ainsi qu'une sonde en interne pour analyser les requêtes ayant traversé le pare-feu ou bien menée depuis l'intérieur.

5 Le H-IDS réside sur un hôte particulier et la gamme de ces logiciels couvre donc une grande partie des systèmes dexploitation tels que Windows, Solaris, Linux, HP-UX, Aix, etc… Le H-IDS se comporte comme un démon ou un service standard sur un système hôte. Traditionnellement, le H-IDS analyse des informations particulières dans les journaux de logs (syslogs, messages, lastlog, wtmp…) et aussi capture les paquets réseaux entrant/sortant de lhôte pour y déceler des signaux dintrusions (Déni de Services, Backdoors, chevaux de troie, tentatives daccès non autorisés, execution de codes malicieux, attaques par débordement de buffeurs…).

6 Le trafic réseau est généralement constitué de datagrammes IP. Un N-IDS est capable de capturer les paquets lorsquils circulent sur les liaisons physiques sur lesquelles il est connecté. Un N-IDS consiste en une pile TCP/IP qui réassemble les datagrammes IP et les connexions TCP pour reconnaitre les intrusions.

7 6 Principe de Fonctionnement des Detecteurs d Intrusion (NIDS) N IDS Internet Contrôle des attaques infiltrées à travers les flux permis via le firewall (Web, Chat..) SANS LES RETARDER Rôle dun N IDS –Sans gêner les flux légitimes (se place en mode de sniffage sur le réseau): détecter toute tentative dattaque, en observant quun scénario dattaque est en cours ET La bloquer, si cest un NIDS actif (cas de toutes les solutions commerciales et quelques solutions open-source) + Peut interractivement modifier les régles de filtrage du Firewall, pour bloquer ladresse dun attaquant externe, au niveau du Firewall externe. Alerter et Logger + Peut interactivement modifier les règles de filtrage du Firewall, pour toutes les solutions Open-source Il peut aussi être utilisé pour détecter toute violation de la politique de sécurité (tel que des utilisations non autorisées de systèmes/services OU mauvaises utilisations de systèmes/services... )

8 7 D é tecteurs d intrusions : Emplacements Le placement des NIDS va dépendre de la politique de sécurité, mais il serait opportun de – coupler des IDS avec chaque Firewall extrene : Dans la zone démilitarisée, surtout « publiques » (sderveur Web/messagerie,..) – Dans le (ou les) réseau privé, pour Controller les intrusions internes (ou depuis le réseau externe), – Eventuellement : Sur la patte extérieure du firewall (NIDS passif), afin de détecter de maniére précoce des signes d'attaques sur le Firewall externe. Internet NIDS

9 Les différentes actions des IDS Reconfiguration déquipement tierces (firewall, ACL sur routeurs) : Ordre envoyé par le N-IDS à un équipement tierce (filtreur de paquets, pare-feu) pour une reconfiguration immédiate dans le but de bloquer un intrus source dintrusions. Cette reconfiguration est possible par passage des informations détaillant une alerte (en tête(s) de paquet(s)). Envoi dune trap SNMP à un hyperviseur tierce : Envoi de lalerte (et le détail des informations la constituant) sous format dun datagramme SNMP à une console tierce comme HP OpenView, Tivoli,

10 Envoi dun à un ou plusieurs utilisateurs : Envoi dun à une ou plusieurs boîtes au lettre pour notifier dune intrusion sérieuse Journalisation (log) de lattaque : Sauvegarde des détails de lalerte dans une base de données centrale comme par exemple les informations suivantes: de de la cible, protocole utilisé, … Sauvegarde des paquets suspicieux : Sauvegarde de lensemble des paquets réseaux (raw packets) capturés et/ou seul(s) les paquets qui ont déclenchés une alerte.

11 Démarrage dune application : Lancement d'un programme extérieur pour exécuter une action spécifique (envoi dun message sms, émission dune alerte auditive…). Envoi dun "ResetKill" : Construction d'un paquet TCP FIN pour forcer la fin dune connexion (uniquement valable sur des techniques dintrusions utilisant le protocole de transport TCP). Notification visuelle de lalerte : Affichage de lalerte dans une ou plusieurs console(s) de management

12 11 Cat é gories de D é tecteurs d intrusions :IDS et IPS On peut classer les IDS suivant deux catégories : – Les IDS « Classiques », basés sur les signatures (traces dattaques connues). Inconvénients : Ne reconnaissent que les signatures dattaques présentes dans leur base de signature (bibliothèque), qui doivent être mis à jour réguliérement. Avantages : très efficaces, contre les attaques connues. – IDS comportementaux, dits aussi IPS (Intrusion Prevention Systems) : Les IPS ne se basent pas uniquement sur les signatures, mais essayent de détecter (et bloquer) toute activité, sortant de la normale. Avantages : Permettent de détecter des attaques non encore connues. Inconvénients : Génèrent beaucoup de fausses alertes (dites « false positives »), correspondant à des activités non intrusives. De plus, leur mise en œuvre comprend toujours une phase d'apprentissage, réservée aux initiés.

13 IPS/IDS LIPS est un Système de Prévention/Protection contre les intrusions et non plus seulement de reconnaissance et de signalisation des intrusions comme la plupart des IDS le sont. La principale différence entre un IDS (réseau) et un IPS (réseau) tient principalement en 2 caractéristiques : le positionnement en coupure sur le réseau de lIPS et non plus seulement en écoute sur le réseau pour lIDS (traditionnellement positionné comme un sniffer sur le réseau).sniffer la possibilité de bloquer immédiatement les intrusions et ce quel que soit le type de protocole de transport utilisé et sans reconfiguration dun équipement tierce, ce qui induit que lIPS est constitué en natif dune technique de filtrage de paquets et de moyens de bloquages (drop connection, drop offending packets, block intruder, …)

14 13 Network- IDS Internet Firewall PROTECTION MINIMALE des fronti é res d un R é seau = Firewall + N-IDS


Télécharger ppt "1 SECURITE DU SYSTEME DINFORMATION (SSI) Institut Supérieur de Comptabilité et dAdministration des Entreprises 2010-2011."

Présentations similaires


Annonces Google