IDS / IPS Réalisée par : Aissa Marwa Allouche Awatef Filali Sameh

Présentation au sujet: "IDS / IPS Réalisée par : Aissa Marwa Allouche Awatef Filali Sameh"— Transcription de la présentation:

1 IDS / IPS Réalisée par : Aissa Marwa Allouche Awatef Filali Sameh
Hosni Sabrine Soui Soumaya

2 Plan 1.Introduction 2.Système de Détection d’Intrusion(IDS) 3. Système de Prévention d’Intrusion(IPS) 4.Etude de cas pratique 5.Conclusion 1

3 Introduction IDS-IPS Sécurité des systèmes d’information insuffisante
SOUMAYA Sécurité insuffisante: La pare feu ne contrent pas touts les menaces Innovation constante des techniques de haking Failles des sys exploitation 2

4 Système de Détection d’Intrusion(IDS)
Selon des règles, cet équipement permet de: Surveiller Contrôler Détecter SABRINE 3

5 Système de Détection d’Intrusion(IDS)
Types: HIDS(Host-IDS): analyse et interprétation des activités hôte NIDS(Network-IDS):analyse et interprétation des paquets circulant sur le réseau les 2 sont complémentaires MARWA 4

6 Mode de fonctionnement IDS
Détection d’anomalie (Approche comportementale) Mode détection Reconnaissance de signature(Approche par scénarios) SAMEH Passive Mode réponse Active 5

7 Mode de fonctionnement IDS
Approche comportementale Approche par scénarios Capacité de détecter des nouvelles attaques habitudes des utilisateurs apprises automatiquement Efficacité : algorithme de « pattern matching » Fiabilité:déterministe et exacte Eviter les faux-positifs Avantages Risque d’attaque lors de la construction des profils Faux-positifs Consommation  de mémoire et de temps processeur si le nombre de signatures est important Faux -négatifs Inconvénients 6

8 Mode de fonctionnement IDS
Trafic/Application Détection Alerte MARWA Réaction selon configuration Analyse humaine Collecte infos sur l’attaque Logs Bloquer le port 7

9 Positionnement 8 AWATEF Position ( 1 ):
•Détection de toutes les attaques •Problèmes •Log trop complet analyse trop complexe : •bon pour un Honeypot (pot de miel) Position ( 2 ): •Placer dans la DMZ •Détecte les attaques •non filtrer par le par feu •Complexe •Non bénigne log clair . Position ( 3 ): Comme 2 + Attaque interne •Judicieux car 80% des attaques sont de l’intérieur •Trojans •Virus •Etc. 8

10 Système de Prévention d’Intrusion(IPS)
+ détection blocage SABRINE Même rôle que l’IDS + détecter un balayage automatisé. bloquer les ports automatiquement. peut prendre des mesures diminuer les risques d'impact d'une attaque.  IPS = IDS actif 9

11 Mode de fonctionnement IPS
Application Action Décision en temps réel SOUMAYA refuser permettre alerte Exécuter une action 10

12 Etude de cas pratique 1/4 NIDS open source
Conçu en 1998 par Marty Roesh Le plus répandu Grande base de signatures mise à jour Analyse protocolaire et pattern matching Langage de description des règles 3 modes de fonctionnement : Sniffer de paquets Loguer de paquets Détection / Prévention d’intrusions awatef 11

13 Etude de cas pratique 2/4 1.Exécuter
Chercher les interfaces disponibles: C:\Snort\bin> Snort -W Exécuter snort: C:\Snort\bin> Snort –c c:\Snort\etc\Snort.conf -l c:\Snort\log –A console –i num_iterface . SAMEH Exécuter snort c’est-à-dire le mettre en écoute ou en attente d’une intrusion 12

14 Etude de cas pratique 3/4 2.Ecrire sa propre règle
Alert tcp any any -> any any (content: ’’ msg:’’ someone visiting youtube now’’; sid: ; ) Ajouter dans snort.conf: Include $Rule-path\ youtube.rule Ecrire une règle: détecter chaque fois un utilisateur visite youtube Exécuter snort une autre fois pour savoir sil marche bien Pour faire un est a cette regle visiter youtube et voir la console sil ya une alerte 13

15 Etude de cas pratique 4/4 14

16 Conclusion IDS IPS Avantages Inconvénients Open source
Larges communauté d’utilisateurs Bonne base de signature Bloquer attaques immédiatement Avantages Inconvénients SAMEH Paralyser le réseau Faux positif Technologie complexe 15

17 Merci pour votre attention