IDS / IPS Réalisée par : Aissa Marwa Allouche Awatef Filali Sameh Hosni Sabrine Soui Soumaya

Plan 1.Introduction 2.Système de Détection d’Intrusion(IDS) 3. Système de Prévention d’Intrusion(IPS) 4.Etude de cas pratique 5.Conclusion 1

Introduction IDS-IPS Sécurité des systèmes d’information insuffisante SOUMAYA Sécurité insuffisante: La pare feu ne contrent pas touts les menaces Innovation constante des techniques de haking Failles des sys exploitation 2

Système de Détection d’Intrusion(IDS) Selon des règles, cet équipement permet de: Surveiller Contrôler Détecter SABRINE 3

Système de Détection d’Intrusion(IDS) Types: HIDS(Host-IDS): analyse et interprétation des activités hôte NIDS(Network-IDS):analyse et interprétation des paquets circulant sur le réseau les 2 sont complémentaires MARWA 4

Mode de fonctionnement IDS Détection d’anomalie (Approche comportementale) Mode détection Reconnaissance de signature(Approche par scénarios) SAMEH Passive Mode réponse Active 5

Mode de fonctionnement IDS Approche comportementale Approche par scénarios Capacité de détecter des nouvelles attaques habitudes des utilisateurs apprises automatiquement Efficacité : algorithme de « pattern matching » Fiabilité:déterministe et exacte Eviter les faux-positifs Avantages Risque d’attaque lors de la construction des profils Faux-positifs Consommation  de mémoire et de temps processeur si le nombre de signatures est important Faux -négatifs Inconvénients 6

Mode de fonctionnement IDS Trafic/Application Détection Alerte MARWA Réaction selon configuration Analyse humaine Collecte infos sur l’attaque Logs Bloquer le port 7

Positionnement 8 AWATEF Position ( 1 ): •Détection de toutes les attaques •Problèmes •Log trop complet analyse trop complexe : •bon pour un Honeypot (pot de miel) Position ( 2 ): •Placer dans la DMZ •Détecte les attaques •non filtrer par le par feu •Complexe •Non bénigne log clair . Position ( 3 ): Comme 2 + Attaque interne •Judicieux car 80% des attaques sont de l’intérieur •Trojans •Virus •Etc. 8

Système de Prévention d’Intrusion(IPS) + détection blocage SABRINE Même rôle que l’IDS + détecter un balayage automatisé. bloquer les ports automatiquement. peut prendre des mesures diminuer les risques d'impact d'une attaque.  IPS = IDS actif 9

Mode de fonctionnement IPS Application Action Décision en temps réel SOUMAYA refuser permettre alerte Exécuter une action 10

Etude de cas pratique 1/4 NIDS open source Conçu en 1998 par Marty Roesh Le plus répandu Grande base de signatures mise à jour Analyse protocolaire et pattern matching Langage de description des règles 3 modes de fonctionnement : Sniffer de paquets Loguer de paquets Détection / Prévention d’intrusions awatef 11

Etude de cas pratique 2/4 1.Exécuter Chercher les interfaces disponibles: C:\Snort\bin> Snort -W Exécuter snort: C:\Snort\bin> Snort –c c:\Snort\etc\Snort.conf -l c:\Snort\log –A console –i num_iterface . SAMEH Exécuter snort c’est-à-dire le mettre en écoute ou en attente d’une intrusion 12

Etude de cas pratique 3/4 2.Ecrire sa propre règle Alert tcp any any -> any any (content: ’’www.youtube.com’’; msg:’’ someone visiting youtube now’’; sid:1000002; ) Ajouter dans snort.conf: Include $Rule-path\ youtube.rule Ecrire une règle: détecter chaque fois un utilisateur visite youtube Exécuter snort une autre fois pour savoir sil marche bien Pour faire un est a cette regle visiter youtube et voir la console sil ya une alerte 13

Etude de cas pratique 4/4 14

Conclusion IDS IPS Avantages Inconvénients Open source Larges communauté d’utilisateurs Bonne base de signature Bloquer attaques immédiatement Avantages Inconvénients SAMEH Paralyser le réseau Faux positif Technologie complexe 15

Merci pour votre attention