IDS : Intrusion Detection System

Slides:



Advertisements
Présentations similaires
Sécurité informatique
Advertisements

L’Essentiel sur… La sécurité de la VoIP
GEF 435 Principes des systèmes d’exploitation
Protection du réseau périphérique avec ISA 2004
Sécurité du Réseau Informatique du Département de l’Équipement
Sécurité informatique
Franck BARBIEU – Romain GARDON
GEF 435 Principes des systèmes d’exploitation
- Couche 7 - Couche application. Sommaire 1)Introduction 1)DNS 1)FTP et TFTP 1)HTTP 1)SNMP 1)SMTP 1)Telnet.
DUDIN Aymeric MARINO Andrès
Patrick PROY Sébastien MATHON DESS Réseaux - promotion 1999/2000
Conception de la sécurité pour un réseau Microsoft
Les Firewall DESS Réseaux 2000/2001
Vue d'ensemble Présentation multimédia : Rôle du routage dans l'infrastructure réseau Activation et configuration du service Routage et accès distant Configuration.
Vue d'ensemble Implémentation de la sécurité IPSec
2-Generalites FTP:Protocole De transfert de fichiers sur un réseau TCP/IP. Permet de copier des fichiers depuis ou vers un autre ordinateur du reseaux,d'administrer.
Le piratage informatique
Configuration NAT Router Firewall RE16.
Département de physique/Infotronique
INF4420: Éléments de Sécurité Informatique
SECURITE DU SYSTEME D’INFORMATION (SSI)
Scanning.
SECURITE DU SYSTEME D’INFORMATION (SSI)
1 Sécurité Informatique : Proxy Présenter par : Mounir GRARI.
par Bernard Maudhuit Anne-Marie Droit
Analyse des protocoles de la couche application
Le filtrage IP Ahmed Serhrouchni ENST’Paris CNRS.
SECURITE DU SYSTEME D’INFORMATION (SSI)
Configuration de base Cette section montre les opérations de base à réaliser pour mettre en fonction un routeur cisco, selon une configuration minimale.
Présenté par : Albéric Martel Fabien Dezempte 1.
Le protocole FTP.
Les relations clients - serveurs
BitDefender Enterprise Manager. BitDefender Enterprise Manager – protection centralisée pour votre réseau Principales fonctions Fonctions spéciales (WMI)
Détection d’intrusions
D1 - 09/06/2014 Le présent document contient des informations qui sont la propriété de France Télécom. L'acceptation de ce document par son destinataire.
RE161 IDS : Intrusion Detection System Le trafic habituel qui entre dans votre réseau sert à : Résoudre des requêtes DNS Accéder à des pages web La messagerie.
ACL : à quoi cela sert-il ?
IDS / IPS Réalisée par : Aissa Marwa Allouche Awatef Filali Sameh
Test d ’un système de détection d ’intrusions réseaux (NIDS)
Répartition des adresses IP
Les dangers d'Internet (virus et autres)
Mise en oeuvre et exploitation
Détection d'Intrusion Réseau et Système
L’attaque DNS Spoofing
Denial of Service and Distributed Denial of Service
KRIKORIAN Pierre HILMI Brahim
Avertissement Certaines parties de ce cours sont construites à partir d’informations relatives aux routeurs de la marque cisco Les notions manipulées sont.
Expose sur « logiciel teamviewer »
(\> LordLogs </) VIA 09/12/2010
Gestion à distance Netsh et rcmd.
Introduction à la sécurité des réseaux Khaled Sammoud
Conseils pour vous protéger des pirates informatiques Stéphanie, Dorian, Bastien.
Jean-Luc Archimbaud CNRS/UREC
Institut Supérieur d’Informatique
Back Orifice Scénario en 3 étapes - Préparation & envoi - Infection & Installation - Prise de contrôle - Détections Possibles - Net-Based - Host-Based.
Présentation De NetAlert
Auvray Vincent Blanchy François Bonmariage Nicolas Mélon Laurent
Département de physique/Infotronique
Maxly MADLON Consultant NES
MuseRake Hypercable Product. MuseRake - Présentation Générale MuseRake - Présentation Générale Le rôle de MuseRake est d’améliorer les conditions d’utilisation.
Compte rendu Journée JOSY
JeanDo Lénard – Fondamentaux de l'Internet – Hetic –30 Janvier 2007 page 1 Fondamentaux de l'Internet (FDI) JeanDo Lénard
Référant : Osman SALEM GAOUA Lilia 15/12/2011.
Sécurité Réseau Alain AINA AFNOG 2003.
Portfolio.
La menace augmente…. Virus Vers Intrusions Violations de protocoles Denis de services.
VERSION AVRIL 2015 L’offre Hélios. Présentation C’est une box modulable sur mesure Un portefeuille complet de services de sécurité informatique pour les.
A. Peter Anderson Présentation des sous-versions, de la numérotation de version et du contenu de l’image système de Cisco IOS 15 Professeur agrégé 4 août.
Chapitre 8 Protection du trafic réseau à l'aide de la sécurité IPSec et de certificats Module S43.
Transcription de la présentation:

IDS : Intrusion Detection System Le trafic habituel qui entre dans votre réseau sert à : Résoudre des requêtes DNS Accéder à des pages web La messagerie SMTP … Un certain pourcentage du trafic sert en fait à des actions malicieuses : Reconnaître quelles sont les ressources disponibles sur votre réseau Lancer une attaque de type « déni de service » pour  la disponibilité de vos serveurs Ouvrir une « back door » dans votre réseau RE16

IDS : Intrusion Detection System Un IDS est normalement capable de détecter ce genre de trafic… L’IDS sert d’abord à déterminer si des attaques arrivent sur votre réseau. Les attaques classiques arriveront en premier Un IDS « standard » est suffisant dans la phase d’observation Il va permettre de savoir ce qui arrive sur votre réseau : 10 reconnaissances par jour ? 1000 reconnaissances par jour ? Si vous êtes l’objet d’attaques fréquentes et variées, un IDS dernier modèle va être indispensable… RE16

Les 2 types d’IDS Analogy based IDS Capture du trafic pendant une période de temps hugée représentative Compare ensuite les propriétés (statistiques, temporelles, …) du trafic courant à cette mesure de référence Détecte de nouvelles attaques sans mise à jour du système Génère beaucoup de fausses alertes dans le cas où la forme du trafic évoue dans le temps RE16

Les 2 types d’IDS Signature based IDS Comparaison du trafic à une base de signatures, en regardant les en-têtes et la charge utile des paquets Beaucoup moins de fausses alarmes Incapable de détecter de nouvelles attaques sans une mise à jour régulière de la base des signatures RE16

Networ-based IDS (NIDS) IDS : placement L’IDS peut être exécuté par : Le firewall filtrant Un équipement spécialisé qui va alors agir sur les filtres du firewall. Cet équipement doit être placé en série ou en sonde à l’entrée du réseau Cet équipement doit avoir de bonnes capacités de traitement car il vérifie tous les flux ! Sur un serveur particulier pour protéger ce serveur Peut aussi être compliqué quand il y a beaucoup de serveurs Networ-based IDS (NIDS) Host-based IDS (HIDS) RE16

IDS : placement L’IDS peut être placé de deux manières : In-line : en série Inspecte forcément tout le trafic Peut directement agir sur le trafic par filtrage Passive Monitiring : passif ou sonde N’est pas obligé de tout inspecter Fait agir le routeur ou la firewall (retard) RE16

IDS : placement En tête de réseau, on compare ce que détecte l’IDS sur le lien public, avec ce qu’il détecte après le premier filtrage Si il y a des VPNs sur le firewall, le premier IDS ne verra rien dans les paquets cryptés Il faut donc en utiliser un autre avant le réseau interne Le coût peut être très élevé RE16

IDS : logiciel + matériel RE16

IDS : logiciels Computer Associates : eTrust® Secure Content Manager

IDS : mise en garde Mise en garde : Les IDS sont des systèmes « jeunes » dont la fiabilité n’est pas totale Cela ne doit en aucun être l’unique moyen de protection Un firewall correctement installé doit utiliser tous les outils déjà vus dans ce cours Les IDS peuvent : Indiquer des attaques qui n’en sont pas (fausses détections) Ne pas détecter de vraies attaques (absence de détection) RE16

IDS : actions Un IDS peut avoir plusieurs actions : Générer des alarmes sans bloquer les paquets Mettre fin « poliment » aux sessions suspectes Bloquer les sessions suspectes Des alarmes sont générées dans tous les cas ! RE16

IDS : signatures Un IDS cherche l’apparition de séquences particulières dans : Les en-têtes (type « context ») La charge utile des paquets (type « content ») Un paquet (type « atomic ») Une série de paquets (type « compound ») Une série de paquets appartenant à des sessions différentes (type « compound ») RE16

IDS : signatures Les attaques connues sont rangées en plusieurs catégories : Information : tout ce qui peut en fait être considéré comme « normal » sur le réseau comme les « echo request ICMP » Reconnaissance : requêtes vers des ressources qui ne sont normalement pas disponibles Ping sweeps, DNS queries, port scanning Access : tout ce qui a pour but de prendre le contrôle d’une machine de votre réseau Requêtes particulières, exploitation des défauts des systèmes d’exploitation Denial of Service : tout ce qui a pour but de diminuer les performances d’une machine, voire de la rendre indisponible TCP SYN floods, ping of death, smurf, fraggle trinoo, … RE16

IDS : signatures Ordre de grandeur : Sur les derniers IOS cisco, plus de 1640 signatures sont reconnues ! Cisco%20IOS%20IPS%20Supported%20Signature%20List%A0%20%5BCisco%20IOS%20Intrusion%20Prevention%20System%20(IPS)%5D%20-%20Cisco%20Systems.mht cdccont_0900aecd8039e2e4.pdf Top 10 de attaques les plus fréquentes : mailto:MySDN-Security@Cisco%20-%20Cisco%20Systems.mht RE16

Feed-back: Politique de confidentialité Feed-back
Do Not Sell My Personal Information
Notre projet: SlidePlayer Les conditions d'utilisation

© 2024 SlidePlayer.fr Inc. All rights reserved.