Les IDS Philippe Sèvre le 10/01/2009.

Slides:



Advertisements
Présentations similaires
Faculté des sciences et techniques de Configuration d’APACHE
Advertisements

[Nom du présentateur] [Titre/position/statut du présentateur] Webinaire pour [nom du groupe] [Nom de l'institution] [Date]
Samba contrôleur de domaine
Installer un serveur FTP
CRÉER UNE APPLICATION INTERNET RELIEE A UNE BASE DE DONNEES
GESTION D’IMPRISSION SOUS WINDOWS & LINUX
Master Professionnelle Sciences et Techniques 2 juillet
M2: Les parefeux Université Paris II & LRI Michel de Rougemont 1.Quest ce quun parefeu ? 2.Architecture des parefeux.
VLC UMVF Fiche Veille Statut Logiciel gratuit, open source
Comment installer un serveur CamTrace ?
MySQL I / Présentation. II / Administration et Outils.
Vue d'ensemble Implémentation de la sécurité IPSec
TOOLKIT INSTALLATION Disponible pour i686 uniquement sur marianne. ( Version unique pour.
Xavier Tannier Yann Jacob Sécurite Web.
La configuration Apache 2.2 Lhébergement virtuel.
réalisé par: FreeWays Security Club
Pour paramétrer les diverses lettres-clés et leur valeur
L’utilisation des bases de données
Mars 2013 Grégory Petit
JDBC ou comment manipuler une base de données en Java ?
Les instructions PHP pour l'accès à une base de données MySql
IDS : Intrusion Detection System
BERNARDIN Benoît Lycée Louis Pergaud
Module : Technologies des serveurs réseaux : Webmin
Xavier Tannier Sécurite Web.
L’utilisation des bases de données
Détection d’intrusions
Staf2x - Portails - ORTELLI TOUVET1 Installation de PhpWebSite Commencer par télécharger le portail: Dézipper le fichier.
PhP-MySQL Pagora 2012/2013 CTD 1 - Presentation de moi ^^
1 CGP2P XtremWeb :mise en œuvre et management Laboratoire de laccelerateur lineaire, Paris Sud University, Orsay, France
RE161 IDS : Intrusion Detection System Le trafic habituel qui entre dans votre réseau sert à : Résoudre des requêtes DNS Accéder à des pages web La messagerie.
Un outil de tests de sécurité V 1.3
Novembre – Décembre 2005 Version Conclusion État de lart de la sécurité informatique Auteurs : Stéphan GUIDARINI – Consultant Senior Sébastien DESSE.
La sécurité des serveur Web
Les NAC Network Access Control
Gestion de configuration Linux avec etckeeper
Ipchains TP 1 TP 2 TP 3 Installer un serveur web sur votre poste,
IDS / IPS Réalisée par : Aissa Marwa Allouche Awatef Filali Sameh
Utilisation avancée de linux
CHAPITRE 4 : Gestion des Utilisateurs et Groupes
Master 1 ère année Sécurité des Systèmes Informatique 1 Compilation à partir du code source  Pouvoir installer un logiciel avant qu’il ne soit packager.
Test d ’un système de détection d ’intrusions réseaux (NIDS)
Installation / utilisation
Date : Juillet 2014 Formation : TAI Formateur : Tayeb BENDJELTI
GROUPE BTS IRIS 2 Informatique et Réseaux pour l’industrie et les Services techniques E-6 PROJET INFORMATIQUE REVUE N°2      INTERROGATION DE LA BASE DE.
Présentattion Le service NIS (Network Information System)
L’attaque DNS Spoofing
PHP 5° PARTIE : LES COOKIES
Bases de données Open Source Pierre Crépieux 13/03/2008.
Greta des monts du cantal
Interconnexion de réseaux par des routeurs sous GNU/Linux
Expose sur « logiciel teamviewer »
OCSInventory Formation CISCAM 2008.
Gestion à distance Netsh et rcmd.
VPN sous Linux Essaka Cynthia Serbin Laurent. Sommaire  Introduction  Vpnd  LRP  Freeswan.
Mise en place d’un Intranet
Back Orifice Scénario en 3 étapes - Préparation & envoi - Infection & Installation - Prise de contrôle - Détections Possibles - Net-Based - Host-Based.
Utilisation avancée de linux Réseau Démarrage et arrêt.
Master 1 ère année Sécurité des Systèmes Informatique 1 Gestion de modules  Un module est un morceau de code qui peut être chargé à la volée dans le noyau.
Introduction aux lignes de commandes
S'initier au HTML et aux feuilles de style CSS Cours 5.
Maxly MADLON Consultant NES
Quattor : Opérations Courantes - G. Philippon/M. Jouvin4-5/2/2009Quattor : Opérations Courantes - G. Philippon Opérations courantes.
Theme : VPN avec IPSEC et OPENVPN
Projet Réseau Octobre 2005 Groupe 7: Armand D’Ussel et Cédric Jeannin.
■ Atteindre la base académique ■ Utiliser le site central pour trouver le site de l’établissement: ■ Accepter.
Installation d’un serveur en réseau. Vmware Qu’est-ce que c’est ? - C’est un logiciel qui permet de virtualiser une machine par le biais d’une autre.
Séminaire de rentrée cours de programmation web & Wordpress
Chapitre 8 Protection du trafic réseau à l'aide de la sécurité IPSec et de certificats Module S43.
Samba contrôleur de domaine Linux – Ubuntu Samba
Transcription de la présentation:

Les IDS Philippe Sèvre le 10/01/2009

Introduction IDS : Intrusion Détection System (Système de détection d’Intrusion) Ce sont des logiciels permettant de mettre en évidences les intrusions dans les systèmes Il existe actuellement deux types d’IDS : Les HIDS (Host based IDS) Les NIDS (Network IDS)

Les HIDS Ils sont installés sur une machine et vont permettre de vérifier l’intégrité des fichiers systèmes (binaire, fichiers de configuration, etc) Il calculent des sommes md5 des fichiers sensibles et stockent le résultat dans un fichier crypté. Périodiquement, on lance un nouveau calcul d’intégrité ce qui permet de détecter les changement survenus dans les fichiers

HIDS – Suite On devrait installer un HIDS sur chaque serveur exposé (en particulier ceux qui se trouvent dans la DMZ) C'est le seul procédé sûr permettant de mettre en évidence une intrusion Quelques exemples d’HIDS : Tripwire (http://tripwire.org) : versions Linux et Windows Aide (http://www.cs.tut.fi/~rammer/aide.html) OSSEC

Installation de Tripwire Installer le paquetage tripwire Lancer /etc/tripwire/twinstall.sh Donner les passphrases Editer le fichier /etc/tripwire/twpol.txt pour l’adapter aux besoins Lancer tripwire –init pour générer la base Lancer tripwire –check pour vérifier Pour obtenir un rapport texte : twprint –m r –twrfile /var/lib/tripwire/report/nomdureport.twr

Les fichiers de configuration tripwire :Permet de créer la base, de vérifier l'intégrité du système, mettre à jour la base. twadmin : Permet de créer les clés (du site et local), de créer les fichiers tw.pol et tw.cfg à partir de leur version texte. Permet de signer des fichiers. twprint : Permet de générer le rapport ou la base en texte clair. twcfg.txt : Fichier de configuration de tripwire. Inchangé Il se transforme une fois crypté en tw.cfg.  twpol.txt : Fichier contenant les règles de police à appliquer.  Attention aux modifications.Se transforme en tw.pol une fois crypté twinstall.sh : script qui crée les clés si elles n'existent pas, et qui crypte les deux fichiers précédents. A réutiliser à chaque modification de l'un d'eux. 

Tripwire - Suite En case de mise à jour des règles (pol) : modifier la version en claire de ce fichier twpol.txt, puis recréer le fichier crypté avec la commande : twadmin --create-polfile -S site.key /etc/tripwire/twpol.txt. Puis regénérer la base : supprimer l’ancienne, puis tripwire --init. Mise à jour de la base Pour mettre à jour votre base de données après des modifications et à partir du rapport d'intégrité, utiliser la commande : tripwire --update --twrfile /var/lib/tripwire/report/nomdurapport.twr . S'ouvre alors le rapport dans l'éditeur vi. Cocher les cases pour accepter la mise à jour ou ne pas l'accepter. Sauvegardez et quittez vi avec :x on vous demande alors la passphrase.  Une fois cela fait, les fichiers acceptés ne seront plus dans les rapports.

Les NIDS Ils consistent à analyser les paquets entrant sur une interface et à détecter en temps réel des motifs répertoriés dans une base (+ de 1200 pour Snort) Utilisés en général pour détecter une variété d'attaques et de scans tels que des débordements de tampons, des scans de ports furtifs, des attaques CGI, des scans SMB, des tentatives d'identification d'OS, des DOS, attaques applicatives (SQL injection, …) et d’autres ….

Les NIDS – Suite Nécessitent beaucoup de puissance (Attention sur les liens à 100 Mb/s ou Gigabit) Doivent être placés sur le port d’entrée Un NIDS doit être branché sur un HUB après le routeur ou bien sur un port SPAN (Switch Port Analysis) pour pouvoir récupérer tous les paquets Génèrent un gros (ou très gros) volume de log Produisent également des faux positifs (fausses alertes) Importance des bases de signatures ...

Les NIDS – suite - 2 Détection active : en cas de détection d'alerte, on met en oeuvre des règles de protection (filtrage pare-feu iptables, TCP wrapper) : IPS (Intrusion Prevention System) Ces actions sont délicates à mettre en oeuvre .. Ou passive

Les NIDS - Quelques exemples Snort : très utilisé Prelude : architecture modulaire

SNORT Cf http://www.snort.org Snort utilise un fichier téléchargeable de règles mises à jour une permanence pour détecter les attaques (+ de 2700 à ce jour) Snort peut utiliser mysql ou postgresql pour stocker les logs ACID est un add-on permettant d’obtenir des statistiques depuis une interface Web

SNORT – Installation Installer le paquetage : Et éventuellement les paquetages mysql et Acid Récupérer sur le site de snort le dernier fichier de règles (.tar.gz) et le décompacter dans le répertoire /etc/snort/rules En cas d’utilisation de base de données lancer le script create_mysql dans /usr/share/doc/snortxxx Éditer le fichier snort.conf

Snort – Paramétrage Éditer snort pour adapter : var HOME_NET [172.16.0.0/16] Changer éventuellement la redirection des logs pour envoyer dans mysql : #output database:log,mysql,user=root password=test dbname=SNORT host=localhost Décommenter et modifier cette ligne par : output database:log,mysql,user=user_snort password=snort_pwd dbname=snort host=localhost

SNORT utilisation Snort peut fonctionner en renifleur simple : snort –v En NIDS, simplement taper service snort start Ou peut alors aller examiner les logs après avoir lancé un scan avec nmap ou nessus

Feed-back: Politique de confidentialité Feed-back
Do Not Sell My Personal Information
Notre projet: SlidePlayer Les conditions d'utilisation

© 2024 SlidePlayer.fr Inc. All rights reserved.