IDS / IPS Réalisée par : Aissa Marwa Allouche Awatef Filali Sameh

Slides:



Advertisements
Présentations similaires
La GNU/GPL v3 du point de vue des administrations publiques _______ L'importance des SaaS Pascal Verniory responsable du service juridique du Centre.
Advertisements

Karima Boudaoud, Charles McCathieNevile
Revue de presse Master 2 RET
Protection du réseau périphérique avec ISA 2004
Baptiste ARNAULT, Manel ZERELLI, Thierry SORIANO
Sécurité du Réseau Informatique du Département de l’Équipement
E-Justice, Droit et Justice en réseaux dans l’ Union Européenne
Introduction aux environnements de developpement.
Tolérance aux défaillances de logiciel
Défaillance des IDS (?) Julien Bourgeois Maître de conférences – LIFC
Nicolas Galliot M2SIR David Raspilaire
Les Firewall DESS Réseaux 2000/2001
Routeurs, services et produits associés pour les PME
Exposé Système Netware 5 11 /10/ 2001 Aurélie Démolis
Présentation de Nagios
Module 3 : Gestion et analyse du service DHCP
Vue d'ensemble Présentation multimédia : Rôle du routage dans l'infrastructure réseau Activation et configuration du service Routage et accès distant Configuration.
Vue d'ensemble Implémentation de la sécurité IPSec
Cours Présenté par …………..
wireless sensor networks
Monique THONNAT et Nathanaël ROTA Projet ORION
Solutions de gestion de l’énergie
Thème-3 Corps humain et santé
Scanning.
SECURITE DU SYSTEME D’INFORMATION (SSI)
Architecture Réseau Modèle OSI et TCP.
ADR Active and Dynamic Routing. Plan Introduction au routage Les réseaux actifs Les agents Mise à jour des matrices de routage Architecture du routage.
IDS / IPS : détecter et se protéger des intrusions
IDS : Intrusion Detection System
Virtual Local Area Network
CRUSOE Researches Présentation Azwalaro – – © Crusoe Researches.
Dessin Vectoriel Collaboratif
Interprétation de séquences dimages pour des applications MédiaSpace Alberto AVANZI François BREMOND Monique THONNAT Projet ORION INRIA de Sophia Antipolis.
DELIRIUM 2 Projet IA41 6 Janvier 2010 MICHEL Xavier GENET Stéphane
Détection d’intrusions
Module 3 : Analyse des performances du serveur
D1 - 09/06/2014 Le présent document contient des informations qui sont la propriété de France Télécom. L'acceptation de ce document par son destinataire.
RE161 IDS : Intrusion Detection System Le trafic habituel qui entre dans votre réseau sert à : Résoudre des requêtes DNS Accéder à des pages web La messagerie.
Simulateur interactif de QOS dans un routeur
Les NAC Network Access Control
Commutation de niveau 5 Guillaume CASSIN Charles DESMOULINS 24 Mars 2001.
Service DHCP.
Les IDS Philippe Sèvre le 10/01/2009.
‘‘Open Data base Connectivity‘‘
Service de surveillance Cacti
Comparaison entre RIP et OSPF en utilisant OPNET
Nicolas FISCHBACH Senior Manager, Network Engineering/Security - COLT Telecom - version 1.0 Le facteur.
Test d ’un système de détection d ’intrusions réseaux (NIDS)
Snort Présentation : Franck OLLIVE.
1 Gestion des intérêts d’une communauté au moyen d’un agent intelligent El Bachir Boukherouaa, El Bachir Gardouh, Claude Frasson Laboratoire HERON Informatique.
La veille technologique au service de l’innovation CCI 28, le 14 avril 2009 Estelle SAPIN Chargée de mission Agence Régionale d’Informations Stratégiques.
Les Access-lists sur routeurs Cisco
Sysml et le domaine de l’architecture et construction
Détection d'Intrusion Réseau et Système
L’attaque DNS Spoofing
Denial of Service and Distributed Denial of Service
Jeu de Librairies Virtuelles « DLL » Windows pour la réalisation de programmes informatiques.
Configuration d’un serveur DNS sous GNU/Linux : BIND
Lydia BOUZAR-BENLABIOD Salem BENFERHAT Thouraya BOUBANA-TEBIBEL
1 Registration Physique Séminaire du Master Davide Bazzi Université de Fribourg
Institut Supérieur d’Informatique
Back Orifice Scénario en 3 étapes - Préparation & envoi - Infection & Installation - Prise de contrôle - Détections Possibles - Net-Based - Host-Based.
SIO SI2 : Support Réseau des Accès Utilisateurs
Collecte de données agricoles à l’aide de Réseaux de Capteurs Sans Fil
Groupe 7: Remote Buffer Overflow. Attaque sur lpd, démon de l’imprimante. Berteletti Elia, ELEC23 Bodart Jerome, INFO 23 Depoterre Jean-Charles, INFO23.
Séminaire INGI 2591 Attaques Web Accardo Nicolas INFO 22 Blerot Olivier INFO 22 Couvreur Pascal INFO 22 Depry Fabian INFO 23.
Outil de Supervision Réseau
PRÉSENTATION AGL LES TESTS LOGICIELS LES TEST LOGICIELS 1 Mickael BETTINELLI Brandon OZIOL Gaétan PHILIPPE Simon LUAIRE.
Chapitre 8 Protection du trafic réseau à l'aide de la sécurité IPSec et de certificats Module S43.
Transcription de la présentation:

IDS / IPS Réalisée par : Aissa Marwa Allouche Awatef Filali Sameh Hosni Sabrine Soui Soumaya

Plan 1.Introduction 2.Système de Détection d’Intrusion(IDS) 3. Système de Prévention d’Intrusion(IPS) 4.Etude de cas pratique 5.Conclusion 1

Introduction IDS-IPS Sécurité des systèmes d’information insuffisante SOUMAYA Sécurité insuffisante: La pare feu ne contrent pas touts les menaces Innovation constante des techniques de haking Failles des sys exploitation 2

Système de Détection d’Intrusion(IDS) Selon des règles, cet équipement permet de: Surveiller Contrôler Détecter SABRINE 3

Système de Détection d’Intrusion(IDS) Types: HIDS(Host-IDS): analyse et interprétation des activités hôte NIDS(Network-IDS):analyse et interprétation des paquets circulant sur le réseau les 2 sont complémentaires MARWA 4

Mode de fonctionnement IDS Détection d’anomalie (Approche comportementale) Mode détection Reconnaissance de signature(Approche par scénarios) SAMEH Passive Mode réponse Active 5

Mode de fonctionnement IDS Approche comportementale Approche par scénarios Capacité de détecter des nouvelles attaques habitudes des utilisateurs apprises automatiquement Efficacité : algorithme de « pattern matching » Fiabilité:déterministe et exacte Eviter les faux-positifs Avantages Risque d’attaque lors de la construction des profils Faux-positifs Consommation  de mémoire et de temps processeur si le nombre de signatures est important Faux -négatifs Inconvénients 6

Mode de fonctionnement IDS Trafic/Application Détection Alerte MARWA Réaction selon configuration Analyse humaine Collecte infos sur l’attaque Logs Bloquer le port 7

Positionnement 8 AWATEF Position ( 1 ): •Détection de toutes les attaques •Problèmes •Log trop complet analyse trop complexe : •bon pour un Honeypot (pot de miel) Position ( 2 ): •Placer dans la DMZ •Détecte les attaques •non filtrer par le par feu •Complexe •Non bénigne log clair . Position ( 3 ): Comme 2 + Attaque interne •Judicieux car 80% des attaques sont de l’intérieur •Trojans •Virus •Etc. 8

Système de Prévention d’Intrusion(IPS) + détection blocage SABRINE Même rôle que l’IDS + détecter un balayage automatisé. bloquer les ports automatiquement. peut prendre des mesures diminuer les risques d'impact d'une attaque.  IPS = IDS actif 9

Mode de fonctionnement IPS Application Action Décision en temps réel SOUMAYA refuser permettre alerte Exécuter une action 10

Etude de cas pratique 1/4 NIDS open source Conçu en 1998 par Marty Roesh Le plus répandu Grande base de signatures mise à jour Analyse protocolaire et pattern matching Langage de description des règles 3 modes de fonctionnement : Sniffer de paquets Loguer de paquets Détection / Prévention d’intrusions awatef 11

Etude de cas pratique 2/4 1.Exécuter Chercher les interfaces disponibles: C:\Snort\bin> Snort -W Exécuter snort: C:\Snort\bin> Snort –c c:\Snort\etc\Snort.conf -l c:\Snort\log –A console –i num_iterface . SAMEH Exécuter snort c’est-à-dire le mettre en écoute ou en attente d’une intrusion 12

Etude de cas pratique 3/4 2.Ecrire sa propre règle Alert tcp any any -> any any (content: ’’www.youtube.com’’; msg:’’ someone visiting youtube now’’; sid:1000002; ) Ajouter dans snort.conf: Include $Rule-path\ youtube.rule Ecrire une règle: détecter chaque fois un utilisateur visite youtube Exécuter snort une autre fois pour savoir sil marche bien Pour faire un est a cette regle visiter youtube et voir la console sil ya une alerte 13

Etude de cas pratique 4/4 14

Conclusion IDS IPS Avantages Inconvénients Open source Larges communauté d’utilisateurs Bonne base de signature Bloquer attaques immédiatement Avantages Inconvénients SAMEH Paralyser le réseau Faux positif Technologie complexe 15

Merci pour votre attention