La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

RE161 IDS : Intrusion Detection System Le trafic habituel qui entre dans votre réseau sert à : Résoudre des requêtes DNS Accéder à des pages web La messagerie.

Publié parBéatrice Imbert Modifié depuis plus de 10 années

Présentations similaires

Présentation au sujet: "RE161 IDS : Intrusion Detection System Le trafic habituel qui entre dans votre réseau sert à : Résoudre des requêtes DNS Accéder à des pages web La messagerie."— Transcription de la présentation:

1 RE161 IDS : Intrusion Detection System Le trafic habituel qui entre dans votre réseau sert à : Résoudre des requêtes DNS Accéder à des pages web La messagerie SMTP … Un certain pourcentage du trafic sert en fait à des actions malicieuses : Reconnaître quelles sont les ressources disponibles sur votre réseau Lancer une attaque de type « déni de service » pour la disponibilité de vos serveurs Ouvrir une « back door » dans votre réseau

2 RE162 IDS : Intrusion Detection System Un IDS est normalement capable de détecter ce genre de trafic… LIDS sert dabord à déterminer si des attaques arrivent sur votre réseau. Les attaques classiques arriveront en premier Un IDS « standard » est suffisant dans la phase dobservation Il va permettre de savoir ce qui arrive sur votre réseau : 10 reconnaissances par jour ? 1000 reconnaissances par jour ? Si vous êtes lobjet dattaques fréquentes et variées, un IDS dernier modèle va être indispensable…

3 3 Les 2 types dIDS Analogy based IDS Capture du trafic pendant une période de temps hugée représentative Compare ensuite les propriétés (statistiques, temporelles, …) du trafic courant à cette mesure de référence Détecte de nouvelles attaques sans mise à jour du système Génère beaucoup de fausses alertes dans le cas où la forme du trafic évoue dans le temps

4 4 Les 2 types dIDS Signature based IDS Comparaison du trafic à une base de signatures, en regardant les en-têtes et la charge utile des paquets Beaucoup moins de fausses alarmes Incapable de détecter de nouvelles attaques sans une mise à jour régulière de la base des signatures

5 RE165 IDS : placement LIDS peut être exécuté par : Le firewall filtrant Un équipement spécialisé qui va alors agir sur les filtres du firewall. Cet équipement doit être placé en série ou en sonde à lentrée du réseau Cet équipement doit avoir de bonnes capacités de traitement car il vérifie tous les flux ! Sur un serveur particulier pour protéger ce serveur Peut aussi être compliqué quand il y a beaucoup de serveurs Networ- based IDS (NIDS) Host- based IDS (HIDS)

6 RE166 IDS : placement LIDS peut être placé de deux manières : In-line : en série Inspecte forcément tout le trafic Peut directement agir sur le trafic par filtrage Passive Monitiring : passif ou sonde Nest pas obligé de tout inspecter Fait agir le routeur ou la firewall (retard)

7 RE167 IDS : placement En tête de réseau, on compare ce que détecte lIDS sur le lien public, avec ce quil détecte après le premier filtrage Si il y a des VPNs sur le firewall, le premier IDS ne verra rien dans les paquets cryptés Il faut donc en utiliser un autre avant le réseau interne Le coût peut être très élevé

8 8 IDS : logiciel + matériel

9 9 IDS : logiciels Computer Associates : eTrust® Secure Content Manager

10 10 IDS : mise en garde Mise en garde : Les IDS sont des systèmes « jeunes » dont la fiabilité nest pas totale Cela ne doit en aucun cas être lunique moyen de protection Un firewall correctement installé doit utiliser tous les outils Les IDS peuvent : Indiquer des attaques qui nen sont pas (fausses détections) Ne pas détecter de vraies attaques (absence de détection)

11 11 IDS : actions Un IDS peut avoir plusieurs actions : Générer des alarmes sans bloquer les paquets Mettre fin « poliment » aux sessions suspectes Bloquer les sessions suspectes Des alarmes sont générées dans tous les cas !

12 12 IDS : signatures Un IDS cherche lapparition de séquences particulières dans : Les en-têtes (type « context ») La charge utile des paquets (type « content ») Un paquet (type « atomic ») Une série de paquets (type « compound ») Une série de paquets appartenant à des sessions différentes (type « compound »)

13 RE1613 IDS : signatures Les attaques connues sont rangées en plusieurs catégories : Information : tout ce qui peut en fait être considéré comme « normal » sur le réseau comme les « echo request ICMP » Reconnaissance : requêtes vers des ressources qui ne sont normalement pas disponibles Ping sweeps, DNS queries, port scanning Access : tout ce qui a pour but de prendre le contrôle dune machine de votre réseau Requêtes particulières, exploitation des défauts des systèmes dexploitation Denial of Service : tout ce qui a pour but de diminuer les performances dune machine, voire de la rendre indisponible TCP SYN floods, ping of death, smurf, fraggle trinoo, …

Télécharger ppt "RE161 IDS : Intrusion Detection System Le trafic habituel qui entre dans votre réseau sert à : Résoudre des requêtes DNS Accéder à des pages web La messagerie."

Présentations similaires

Sécurité informatique

Sécurité informatique
L’Essentiel sur… La sécurité de la VoIP

L’Essentiel sur… La sécurité de la VoIP
GEF 435 Principes des systèmes d’exploitation

GEF 435 Principes des systèmes d’exploitation
Protection du réseau périphérique avec ISA 2004

Protection du réseau périphérique avec ISA 2004
Sécurité du Réseau Informatique du Département de l’Équipement

Sécurité du Réseau Informatique du Département de l’Équipement
Sécurité informatique

Sécurité informatique
Franck BARBIEU – Romain GARDON

Franck BARBIEU – Romain GARDON
GEF 435 Principes des systèmes d’exploitation

GEF 435 Principes des systèmes d’exploitation
- Couche 7 - Couche application. Sommaire 1)Introduction 1)DNS 1)FTP et TFTP 1)HTTP 1)SNMP 1)SMTP 1)Telnet.

- Couche 7 - Couche application. Sommaire 1)Introduction 1)DNS 1)FTP et TFTP 1)HTTP 1)SNMP 1)SMTP 1)Telnet.
DUDIN Aymeric MARINO Andrès

DUDIN Aymeric MARINO Andrès
Patrick PROY Sébastien MATHON DESS Réseaux - promotion 1999/2000

Patrick PROY Sébastien MATHON DESS Réseaux - promotion 1999/2000
Conception de la sécurité pour un réseau Microsoft

Conception de la sécurité pour un réseau Microsoft
Les Firewall DESS Réseaux 2000/2001

Les Firewall DESS Réseaux 2000/2001
Vue d'ensemble Présentation multimédia : Rôle du routage dans l'infrastructure réseau Activation et configuration du service Routage et accès distant Configuration.

Vue d'ensemble Présentation multimédia : Rôle du routage dans l'infrastructure réseau Activation et configuration du service Routage et accès distant Configuration.
Vue d'ensemble Implémentation de la sécurité IPSec

Vue d'ensemble Implémentation de la sécurité IPSec
2-Generalites FTP:Protocole De transfert de fichiers sur un réseau TCP/IP. Permet de copier des fichiers depuis ou vers un autre ordinateur du reseaux,d'administrer.

2-Generalites FTP:Protocole De transfert de fichiers sur un réseau TCP/IP. Permet de copier des fichiers depuis ou vers un autre ordinateur du reseaux,d'administrer.
Www.rennes.supelec.fr/DADDiRéunion du 22 mai 20071 DADDi Dependable Anomaly Detection with Diagnosis ACISI 2004.

du 22 mai DADDi Dependable Anomaly Detection with Diagnosis ACISI 2004.
DADDi Réunion de travail 11 octobre 2007 : Analyse des données brutes fournies par Supélec.

DADDi Réunion de travail 11 octobre 2007 : Analyse des données brutes fournies par Supélec.
Cours Présenté par …………..

Cours Présenté par …………..
Le piratage informatique

Le piratage informatique

Présentations similaires

Annonces Google