SECURITE DU SYSTEME D’INFORMATION (SSI)

Slides:



Advertisements
Présentations similaires
Act Informatik SERVICES INFORMATIQUES ET RESEAUX POUR LES PROFESSIONNELS
Advertisements

L’Essentiel sur… La sécurité de la VoIP
VoIP 1 Chapitre 1 – La VoIP.
Page d accueil.
Botnet, défense en profondeur
ADMINISTRATION RESEAU
SSTIC 2004 Gaël Delalleau Zencom Secure Solutions Mesure locale des temps d'exécution : application.
- Couche 7 - Couche application. Sommaire 1)Introduction 1)DNS 1)FTP et TFTP 1)HTTP 1)SNMP 1)SMTP 1)Telnet.
Firewall sous Linux Netfilter / iptables.
DUDIN Aymeric MARINO Andrès
Patrick PROY Sébastien MATHON DESS Réseaux - promotion 1999/2000
Les Firewall DESS Réseaux 2000/2001
Projet SeVeCom (Secure Vehicular Communications)
Présentation de Nagios
Vue d'ensemble Présentation multimédia : Rôle du routage dans l'infrastructure réseau Activation et configuration du service Routage et accès distant Configuration.
Vue d'ensemble Implémentation de la sécurité IPSec
Architecture de réseaux
Réseaux Privés Virtuels
Authentification contre Masquarade
2-Generalites FTP:Protocole De transfert de fichiers sur un réseau TCP/IP. Permet de copier des fichiers depuis ou vers un autre ordinateur du reseaux,d'administrer.
simulateur de réseau de machines UML connectées par WiFi mode ad-hoc
UDP – User Datagram Protocol
Nadjar Marion LES ANTIVIRUS.
Introduction aux réseaux
SECURITE DU SYSTEME D’INFORMATION (SSI)
Architecture Réseau Modèle OSI et TCP.
1 Sécurité Informatique : Proxy Présenter par : Mounir GRARI.
IDS / IPS : détecter et se protéger des intrusions
Le filtrage IP Ahmed Serhrouchni ENST’Paris CNRS.
IDS : Intrusion Detection System
Le protocole FTP.
Les relations clients - serveurs
Détection d’intrusions
RE161 IDS : Intrusion Detection System Le trafic habituel qui entre dans votre réseau sert à : Résoudre des requêtes DNS Accéder à des pages web La messagerie.
Module : Technologies des serveurs réseaux : Les technologies de sécurité Présenter par : Mounir GRARI.
IDS / IPS Réalisée par : Aissa Marwa Allouche Awatef Filali Sameh
Test d ’un système de détection d ’intrusions réseaux (NIDS)
Les dangers d'Internet (virus et autres)
AMPIGNY Christophe - 10/12/2001
Sommaire Dans ce chapitre, nous aborderons :
Sécurité Les Virus Logiciels non sollicités et réalisant des opérations malveillantes ou destructrices Typologie –D’application :introduit par recopie.
Expose sur « logiciel teamviewer »
OSI et TCP/IP CNAM
Les listes de contrôle d’accès
Introduction à la sécurité des réseaux Khaled Sammoud
Jean-Luc Archimbaud CNRS/UREC
SOLUTION DE VIDEOSURVEILLANCE SUR IP
Institut Supérieur d’Informatique
Pr ZEGOUR DJAMEL EDDINE Ecole Supérieure d’Informatique (ESI)
1  Pare feu  Antivirus  Chasse aux espions  Anti Spam La Sécurité sur nos ordinateurs PC Zombies : Sur les 600 millions de machines connectées au monde,
Auvray Vincent Blanchy François Bonmariage Nicolas Mélon Laurent
Répartition des adresses IP
Département de physique/Infotronique
Introduction à la sécurité des interconnexions Internet
Groupe 3 De Greef Didier Oozeer Tommy Piette Marc Renard Guy
PROJET EQUIPEMENTS Choix d’equipements pour les visiteurs.
Sécurité et Internet Formation.
Offre de service Sécurité des systèmes d’information
IPSec Formation.
SNMP Simple Network Management Protocol
Yonel Grusson.
3.3 Communication et réseaux informatiques
Sécurité : Architecture et Firewall
JeanDo Lénard – Fondamentaux de l'Internet – Hetic –30 Janvier 2007 page 1 Fondamentaux de l'Internet (FDI) JeanDo Lénard
V- Identification des ordinateurs sur le réseau
Architecture Client/Serveur
VERSION AVRIL 2015 L’offre Hélios. Présentation C’est une box modulable sur mesure Un portefeuille complet de services de sécurité informatique pour les.
Projet de Voix sur IP / Téléphonie sur IP
Chapitre 8 Protection du trafic réseau à l'aide de la sécurité IPSec et de certificats Module S43.
SOLUTION DE VIDEOSURVEILLANCE SUR IP. Premier serveur de vidéosurveillance en réseau, CamTrace possède une architecture innovante qui permet d’isoler.
Transcription de la présentation:

SECURITE DU SYSTEME D’INFORMATION (SSI) Institut Supérieur de Comptabilité et d’Administration des Entreprises SECURITE DU SYSTEME D’INFORMATION (SSI) 2010-2011 1

systèmes de détection d'intrusions IDS On appelle IDS (Intrusion Detection System) un mécanisme écoutant le trafic réseau de manière furtive afin de repérer des activités anormales ou suspectes et permettant ainsi d'avoir une action de prévention sur les risques d'intrusion

Il existe deux grandes familles distinctes d’IDS  : Les N-IDS (Network Intrusion Detection System), ils assurent la sécurité au niveau du réseau. Les H-IDS (Host Intrusion Detection System), ils assurent la sécurité au niveau des hôtes. Un N-IDS nécessite un matériel dédié et constitue un système capable de contrôler les paquets circulant sur un ou plusieurs lien(s) réseau dans le but de découvrir si un acte malveillant ou anormal a lieu. Le N-IDS place une ou plusieurs cartes d’interface réseau du système dédié en mode promiscuité (promiscuous mode), elles sont alors en mode « furtif » afin qu’elles n’aient pas d’adresse IP. Elles n’ont pas non plus de pile de protocole attachée. Il est fréquent de trouver plusieurs IDS sur les différentes parties du réseau et en particulier de placer une sonde à l'extérieur du réseau afin d'étudier les tentatives d'attaques ainsi qu'une sonde en interne pour analyser les requêtes ayant traversé le pare-feu ou bien menée depuis l'intérieur.

Le H-IDS réside sur un hôte particulier et la gamme de ces logiciels couvre donc une grande partie des systèmes d’exploitation tels que Windows, Solaris, Linux, HP-UX, Aix, etc… Le H-IDS se comporte comme un démon ou un service standard sur un système hôte. Traditionnellement, le H-IDS analyse des informations particulières dans les journaux de logs (syslogs, messages, lastlog, wtmp…) et aussi capture les paquets réseaux entrant/sortant de l’hôte pour y déceler des signaux d’intrusions (Déni de Services, Backdoors, chevaux de troie, tentatives d’accès non autorisés, execution de codes malicieux, attaques par débordement de buffeurs…).

Le trafic réseau est généralement constitué de datagrammes IP Le trafic réseau est généralement constitué de datagrammes IP. Un N-IDS est capable de capturer les paquets lorsqu’ils circulent sur les liaisons physiques sur lesquelles il est connecté. Un N-IDS consiste en une pile TCP/IP qui réassemble les datagrammes IP et les connexions TCP pour reconnaitre les intrusions.

N IDS Principe de Fonctionnement des Detecteurs d’Intrusion (NIDS) Internet SANS LES RETARDER Contrôle des attaques infiltrées à travers les flux permis via le firewall (Web, Chat..) Rôle d’un N IDS Sans gêner les flux légitimes (se place en mode de sniffage sur le réseau): détecter toute tentative d’attaque, en observant qu’un scénario d’attaque est en cours ET La bloquer, si c’est un NIDS actif (cas de toutes les solutions commerciales et quelques solutions open-source) + Peut interractivement modifier les régles de filtrage du Firewall, pour bloquer l’adresse d’un attaquant externe, au niveau du Firewall externe. Alerter et Logger + Peut interactivement modifier les règles de filtrage du Firewall, pour toutes les solutions Open-source Il peut aussi être utilisé pour détecter toute violation de la politique de sécurité (tel que des utilisations non autorisées de systèmes/services OU mauvaises utilisations de systèmes/services... )

Détecteurs d’intrusions : Emplacements Le placement des NIDS va dépendre de la politique de sécurité, mais il serait opportun de coupler des IDS avec chaque Firewall extrene : Dans la zone démilitarisée, surtout « publiques » (sderveur Web/messagerie, ..) Dans le (ou les) réseau privé, pour Controller les intrusions internes (ou depuis le réseau externe), Eventuellement : Sur la patte extérieure du firewall (NIDS passif), afin de détecter de maniére précoce des signes d'attaques sur le Firewall externe. NIDS Internet NIDS NIDS

Les différentes actions des IDS Reconfiguration d’équipement tierces (firewall, ACL sur routeurs) : Ordre envoyé par le N-IDS à un équipement tierce (filtreur de paquets, pare-feu) pour une reconfiguration immédiate dans le but de bloquer un intrus source d’intrusions. Cette reconfiguration est possible par passage des informations détaillant une alerte (en tête(s) de paquet(s)). Envoi d’une trap SNMP à un hyperviseur tierce : Envoi de l’alerte (et le détail des informations la constituant) sous format d’un datagramme SNMP à une console tierce comme HP OpenView, Tivoli,

Envoi d’un e-mail à un ou plusieurs utilisateurs : Envoi d’un e-mail à une ou plusieurs boîtes au lettre pour notifier d’une intrusion sérieuse Journalisation (log) de l’attaque : Sauvegarde des détails de l’alerte dans une base de données centrale comme par exemple les informations suivantes: timestamp, @IP de l’intrus, @IP de la cible, protocole utilisé, … Sauvegarde des paquets suspicieux : Sauvegarde de l’ensemble des paquets réseaux (raw packets) capturés et/ou seul(s) les paquets qui ont déclenchés une alerte.

Démarrage d’une application : Lancement d'un programme extérieur pour exécuter une action spécifique (envoi d’un message sms, émission d’une alerte auditive…). Envoi d’un "ResetKill" : Construction d'un paquet TCP FIN pour forcer la fin d’une connexion (uniquement valable sur des techniques d’intrusions utilisant le protocole de transport TCP). Notification visuelle de l’alerte : Affichage de l’alerte dans une ou plusieurs console(s) de management

Catégories de Détecteurs d’intrusions :IDS et IPS On peut classer les IDS suivant deux catégories : Les IDS « Classiques », basés sur les signatures (traces d’attaques connues). Inconvénients : Ne reconnaissent que les signatures d’attaques présentes dans leur base de signature (bibliothèque), qui doivent être mis à jour réguliérement. Avantages : très efficaces, contre les attaques connues. IDS comportementaux, dits aussi IPS (Intrusion Prevention Systems) : Les IPS ne se basent pas uniquement sur les signatures, mais essayent de détecter (et bloquer) toute activité, sortant de la normale. Avantages : Permettent de détecter des attaques non encore connues. Génèrent beaucoup de fausses alertes (dites « false positives »), correspondant à des activités non intrusives. De plus, leur mise en œuvre comprend toujours une phase d'apprentissage, réservée aux initiés.

IPS/IDS L’IPS est un Système de Prévention/Protection contre les intrusions et non plus seulement de reconnaissance et de signalisation des intrusions comme la plupart des IDS le sont. La principale différence entre un IDS (réseau) et un IPS (réseau) tient principalement en 2 caractéristiques  : le positionnement en coupure sur le réseau de l’IPS et non plus seulement en écoute sur le réseau pour l’IDS (traditionnellement positionné comme un sniffer sur le réseau). la possibilité de bloquer immédiatement les intrusions et ce quel que soit le type de protocole de transport utilisé et sans reconfiguration d’un équipement tierce, ce qui induit que l’IPS est constitué en natif d’une technique de filtrage de paquets et de moyens de bloquages (drop connection, drop offending packets, block intruder, …)

PROTECTION “MINIMALE” des frontiéres d’un Réseau = Firewall + N-IDS Network- IDS Firewall Internet

Feed-back: Politique de confidentialité Feed-back
Do Not Sell My Personal Information
Notre projet: SlidePlayer Les conditions d'utilisation

© 2024 SlidePlayer.fr Inc. All rights reserved.