La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Les IDS Philippe Sèvre le 10/01/2009.

Publié parMaude Lemaitre Modifié depuis plus de 10 années

Présentations similaires

Présentation au sujet: "Les IDS Philippe Sèvre le 10/01/2009."— Transcription de la présentation:

1 Les IDS Philippe Sèvre le 10/01/2009

2 Introduction IDS : Intrusion Détection System (Système de détection d’Intrusion) Ce sont des logiciels permettant de mettre en évidences les intrusions dans les systèmes Il existe actuellement deux types d’IDS : Les HIDS (Host based IDS) Les NIDS (Network IDS)

3 Les HIDS Ils sont installés sur une machine et vont permettre de vérifier l’intégrité des fichiers systèmes (binaire, fichiers de configuration, etc) Il calculent des sommes md5 des fichiers sensibles et stockent le résultat dans un fichier crypté. Périodiquement, on lance un nouveau calcul d’intégrité ce qui permet de détecter les changement survenus dans les fichiers

4 HIDS – Suite On devrait installer un HIDS sur chaque serveur exposé (en particulier ceux qui se trouvent dans la DMZ) C'est le seul procédé sûr permettant de mettre en évidence une intrusion Quelques exemples d’HIDS : Tripwire ( : versions Linux et Windows Aide ( OSSEC

5 Installation de Tripwire
Installer le paquetage tripwire Lancer /etc/tripwire/twinstall.sh Donner les passphrases Editer le fichier /etc/tripwire/twpol.txt pour l’adapter aux besoins Lancer tripwire –init pour générer la base Lancer tripwire –check pour vérifier Pour obtenir un rapport texte : twprint –m r –twrfile /var/lib/tripwire/report/nomdureport.twr

6 Les fichiers de configuration
tripwire :Permet de créer la base, de vérifier l'intégrité du système, mettre à jour la base. twadmin : Permet de créer les clés (du site et local), de créer les fichiers tw.pol et tw.cfg à partir de leur version texte. Permet de signer des fichiers. twprint : Permet de générer le rapport ou la base en texte clair. twcfg.txt : Fichier de configuration de tripwire. Inchangé Il se transforme une fois crypté en tw.cfg.  twpol.txt : Fichier contenant les règles de police à appliquer.  Attention aux modifications.Se transforme en tw.pol une fois crypté twinstall.sh : script qui crée les clés si elles n'existent pas, et qui crypte les deux fichiers précédents. A réutiliser à chaque modification de l'un d'eux. 

7 Tripwire - Suite En case de mise à jour des règles (pol) : modifier la version en claire de ce fichier twpol.txt, puis recréer le fichier crypté avec la commande : twadmin --create-polfile -S site.key /etc/tripwire/twpol.txt. Puis regénérer la base : supprimer l’ancienne, puis tripwire --init. Mise à jour de la base Pour mettre à jour votre base de données après des modifications et à partir du rapport d'intégrité, utiliser la commande : tripwire --update --twrfile /var/lib/tripwire/report/nomdurapport.twr . S'ouvre alors le rapport dans l'éditeur vi. Cocher les cases pour accepter la mise à jour ou ne pas l'accepter. Sauvegardez et quittez vi avec :x on vous demande alors la passphrase.  Une fois cela fait, les fichiers acceptés ne seront plus dans les rapports.

8 Les NIDS Ils consistent à analyser les paquets entrant sur une interface et à détecter en temps réel des motifs répertoriés dans une base (+ de 1200 pour Snort) Utilisés en général pour détecter une variété d'attaques et de scans tels que des débordements de tampons, des scans de ports furtifs, des attaques CGI, des scans SMB, des tentatives d'identification d'OS, des DOS, attaques applicatives (SQL injection, …) et d’autres ….

9 Les NIDS – Suite Nécessitent beaucoup de puissance (Attention sur les liens à 100 Mb/s ou Gigabit) Doivent être placés sur le port d’entrée Un NIDS doit être branché sur un HUB après le routeur ou bien sur un port SPAN (Switch Port Analysis) pour pouvoir récupérer tous les paquets Génèrent un gros (ou très gros) volume de log Produisent également des faux positifs (fausses alertes) Importance des bases de signatures ...

10 Les NIDS – suite - 2 Détection active : en cas de détection d'alerte, on met en oeuvre des règles de protection (filtrage pare-feu iptables, TCP wrapper) : IPS (Intrusion Prevention System) Ces actions sont délicates à mettre en oeuvre .. Ou passive

11 Les NIDS - Quelques exemples
Snort : très utilisé Prelude : architecture modulaire

12 SNORT Cf http://www.snort.org
Snort utilise un fichier téléchargeable de règles mises à jour une permanence pour détecter les attaques (+ de 2700 à ce jour) Snort peut utiliser mysql ou postgresql pour stocker les logs ACID est un add-on permettant d’obtenir des statistiques depuis une interface Web

13 SNORT – Installation Installer le paquetage :
Et éventuellement les paquetages mysql et Acid Récupérer sur le site de snort le dernier fichier de règles (.tar.gz) et le décompacter dans le répertoire /etc/snort/rules En cas d’utilisation de base de données lancer le script create_mysql dans /usr/share/doc/snortxxx Éditer le fichier snort.conf

14 Snort – Paramétrage Éditer snort pour adapter :
var HOME_NET [ /16] Changer éventuellement la redirection des logs pour envoyer dans mysql : #output database:log,mysql,user=root password=test dbname=SNORT host=localhost Décommenter et modifier cette ligne par : output database:log,mysql,user=user_snort password=snort_pwd dbname=snort host=localhost

15 SNORT utilisation Snort peut fonctionner en renifleur simple :
snort –v En NIDS, simplement taper service snort start Ou peut alors aller examiner les logs après avoir lancé un scan avec nmap ou nessus

Télécharger ppt "Les IDS Philippe Sèvre le 10/01/2009."

Présentations similaires

Faculté des sciences et techniques de Configuration d’APACHE

Faculté des sciences et techniques de Configuration d’APACHE
Www.mendeley.com [Nom du présentateur] [Titre/position/statut du présentateur] Webinaire pour [nom du groupe] [Nom de l'institution] [Date]

[Nom du présentateur] [Titre/position/statut du présentateur] Webinaire pour [nom du groupe] [Nom de l'institution] [Date]
Samba contrôleur de domaine

Samba contrôleur de domaine
Installer un serveur FTP

Installer un serveur FTP
CRÉER UNE APPLICATION INTERNET RELIEE A UNE BASE DE DONNEES

CRÉER UNE APPLICATION INTERNET RELIEE A UNE BASE DE DONNEES
GESTION D’IMPRISSION SOUS WINDOWS & LINUX

GESTION D’IMPRISSION SOUS WINDOWS & LINUX
Master Professionnelle Sciences et Techniques 2 juillet 2007 1.

Master Professionnelle Sciences et Techniques 2 juillet
M2: Les parefeux Université Paris II & LRI Michel de Rougemont 1.Quest ce quun parefeu ? 2.Architecture des parefeux.

M2: Les parefeux Université Paris II & LRI Michel de Rougemont 1.Quest ce quun parefeu ? 2.Architecture des parefeux.
VLC UMVF Fiche Veille Statut Logiciel gratuit, open source

VLC UMVF Fiche Veille Statut Logiciel gratuit, open source
Comment installer un serveur CamTrace ?

Comment installer un serveur CamTrace ?
MySQL I / Présentation. II / Administration et Outils.

MySQL I / Présentation. II / Administration et Outils.
Vue d'ensemble Implémentation de la sécurité IPSec

Vue d'ensemble Implémentation de la sécurité IPSec
TOOLKIT INSTALLATION Disponible pour i686 uniquement sur marianne. ( Version unique pour.

TOOLKIT INSTALLATION Disponible pour i686 uniquement sur marianne. ( Version unique pour.
Xavier Tannier Yann Jacob Sécurite Web.

Xavier Tannier Yann Jacob Sécurite Web.
La configuration Apache 2.2 Lhébergement virtuel.

La configuration Apache 2.2 Lhébergement virtuel.
réalisé par: FreeWays Security Club

réalisé par: FreeWays Security Club
Pour paramétrer les diverses lettres-clés et leur valeur

Pour paramétrer les diverses lettres-clés et leur valeur
L’utilisation des bases de données

L’utilisation des bases de données
Mars 2013 Grégory Petit

Mars 2013 Grégory Petit
JDBC ou comment manipuler une base de données en Java ?

JDBC ou comment manipuler une base de données en Java ?

Présentations similaires

Annonces Google