Conception et développement d’une solution de
corrélation et d’interprétation des logs de l’IDS
open source «SNORT»
Réalis...
 Introduction
 IDS
 IDS SNORT
 Fonctionnalités de l’application
 Réalisation
 Conclusion
 perspectives
 La sécurité informatique
o Indispensable.
o Évolutive .
• La politique de sécurité :
o Prévention
• L’atteinte de ces objectifs repose sur les trois
grands piliers de la sécurité...
 Qu’est ce qu’un IDS ?
o C’est un système qui détecte les
intrusions (Intrusion Detection System) .
o C’est un processus ...
 Pourquoi un IDS ?
• La sécurité active n’est pas suffisante
• Remonter la source de l’attaque
• Détecter les techniques ...
o Les NIDS : Network Internet Detection System
 Types d’IDS
o Les HIDS : Host Internet Detection System
- Détection des a...
• Détecteur d’intrusion Open Source
• Unix et Windows
• Placé en tant que Sniffer
• Repère des signatures d’attaques
• Rep...
Points forts
o Open source
o Large communauté d’utilisateurs
 Beaucoup de contributions
 Beaucoup de documentations
o Bo...
inconvénients
o difficulté d’installation et de
configuration
oPas d'interface graphique
Gérer les utilisateurs .
Gérer les sondes .
Consulter les statistiques .
Générer un rapport .
 UML
 PHP
 MySQL
 VMware Workstation.
• Découvrir le monde de la sécurité .
• Manipulation de VMware Workstation.
• Technologies de développement .
 Interpréter de nouveaux services :
• Système de corrélation.
• Gestion de signatures .
IDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAU
Prochain SlideShare
Chargement dans…5
×

IDS,SNORT ET SÉCURITÉ RESEAU

938 vues

Publié le

PFE

Publié dans : Technologie
0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
938
Sur SlideShare
0
Issues des intégrations
0
Intégrations
5
Actions
Partages
0
Téléchargements
101
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive
  • Madame la présidente du jury ; mesdames les membres de jury, nous avons l’honneur de vous présenter le travail de notre projet de Fin d’études en systèmes de détection d’intrusion et intitulé « Conception et développement d’une solution de corrélation et d’interprétation des logs de l’IDS open source SNORT », encadré par Mme. Karima MAALAOUI et Mr. Aôs AOUINI
  • Nous avons adopté le plan suivant afin de présenter cet exposé :
    Après avoir introduit le sujet nous allons présenter les IDS ainsi que l’IDS SNORT afin de mieux entrer au vif du sujet .
    ensuite nous allons présenter l’analyse , nous allons ensuite
    montrer notre travail et nous terminons par une conclusion ainsi qu’une perspectives.
  • La sécurité des systèmes d’informations est indispensable quel que soit le domaine d’utilisation de l’information à manipuler, C’est pour cela qu’on cherche de nouvelles solutions de sécurité, le plus souvent les moins coûteuses mais qui permettent d’améliorer les solutions déjà existantes et renforcent toute entité du réseau en matière de protection.
    Et cela suivant une politique de sécurité bien précise.
  • La politique de sécurité consiste à rassembler les objectifs de sécurité et les moyens disponibles de l’entreprise et les analyser . Générer des règles et des procédures à appliquer pour établir un niveau de sécurité conforme aux besoins de l’entreprise.
    L’atteinte de ces objectifs repose sur :
    Détection .
    Réaction .
    Prévention .

    Ce qui nous pousse a parler des IDS qui seront presentié par mon collègue .

  • On appelle IDS (Intrusion Detection System) un mécanisme écoutant le trafic réseau de manière furtive afin de repérer des activités anormales ou suspectes et permettant ainsi d'avoir une action de prévention sur les risques d'intrusion.

  • Ces IDS sont déployés afin de renforcer la sécurité existante , de remonter la source de l’attaque et détecter le techniques d’attaques employés.

    En cas d’intrusion , les IDS permettent de garder les traces comme preuves tangibles .
  • IL existe plusieurs types d’IDS .

    Les NIDS : Network Internet Detection System
    Conçu pour la détection des activités malveillantes en analysant les flots d’information échangés sur un réseau.

    Les HIDS : Host Internet Detection System
    - conçu pour la détection des activités malveillantes en analysant les évènements observés par un ordinateur hôte.

  • Voici une figure qui montre l’emplacement des IDS :
    Il est fréquent de trouver plusieurs IDS sur les différentes parties du réseau et en particulier de placer une sonde à l'extérieur du réseau afin d'étudier les tentatives d'attaques ainsi qu'une sonde en interne pour analyser les requêtes ayant traversé le pare-feu ou bien menée depuis l'intérieur.

    Pour la suite du sujet , nous avons choisit de traiter un IDS bien particulier : il s’agit de L’IDS SNORT
  • SNORT est un système de détection d'intrusion libre
    .
    Il est capable d'effectuer aussi en temps réel des analyses de trafic et de logger les paquets sur un réseau IP. Il peut effectuer des analyses de protocole, recherche et correspondance de contenu et peut être utilisé pour détecter une grande variété d'attaques

    SNORT est fourni avec certaines règles de base mais cependant, comme tout logiciel, SNORT nécessite une mise à jour régulière.
  • Il est un des plus actifs NIDS Open Source et possède une communauté importante contribuant à son succès .

    SNORT est fourni avec certaines règles de base mais cependant, comme tout logiciel, SNORT nécessite une mise à jour régulière.
  • Cela dit sa configuration pose de nombreuse difficultés et prend un temps non négligeable pour la maitrise de cette configuration .

    ET à cela s’ajoute l’absence d’interface graphique qui complique encore plus la tache de gestion de cette IDS .

    ET c’est dans ce contexte que nous intervenons par le développement d’ une application web afin d'assurer une plus grande convivialité , de supporter l'intervention de plusieurs administrateurs de sécurité et d'optimiser au mieux le processus de détection d’intrusions.
  • Voici les différentes fonctionnalités qu’ offre notre application :

    *Gestion des utilisateurs qui permet de gérer les comptes utilisateurs afin d’attribuer l’autorisation aux informaticiens qualifiés pour pouvoir lancer l’analyse des logs et réagir en cas d’intrusion.
    *Gestion des sondes: Cette fonctionnalité permet à l’utilisateur d'ajouter ou de supprimer une ou plusieurs sondes.
    *Consultation de statistiques car Le programme doit permettre à l’utilisateur de consulter des statistiques à partir de la base de données de SNORT. Ces informations seront affichées, par la suite, et triées selon des critères prédéfinis.
    *programme envisagé peut éditer un rapport bien rédigé.
  • Voici le diagramme de cas d’utilisation finale raffiné qui montre le différentes fonctionnalités et comme vous pouvez voir

    L’administrateur a accès a tout les fonctionnalités contrairement a l’utilisateur qui peut que consulter les statistiques ou générer un rapport
  • Nous avons donc choisi d’utiliser une approche de conception dite UML .

    Le système contient une base de données et un ensemble de processus. Pour implémenter la base de données, nous avons utilisé Mysql et pour implémenter les processus, nous avons utilisé l’outil Php
  • Voici la première interface de notre application . En saisissant un identifiant et un mot de passe valides, l’utilisateur peut accéder à la page d’accueil
  • Cette dernière lui permet d’approcher toutes les autres fonctionnalités. ( gérer sonde , gérer utilisateur , afficher les statistiques ou encore générer un rapport . )
  • Cette page montre une description des sondes disponibles et tous les détails de chaque sonde.
    Elle permet aussi d’ajouter ou supprimer ces sondes
  • Cette page est conçue afin d’ajouter de nouveau utilisateur ou de supprimer les anciens utilisateurs comme le montre la figure .
  •  
    Cette page permet de collecter des informations concernant la base de données de SNORT. Ces informations seront affichées sous forme tabulaire ou graphique, par la suite, et afficher selon des critères prédéfinis comme le montre la capture d’écran suivante.
  • La fin de chaque analyse effectuée par SNORT, l’utilisateur a la possibilité générer un rapport d’analyse comportant les informations utiles sur les intrusions qui ont eu lieu durant cette analyse comme le montre a figure suivante. Ce rapport peut être enyoyer par mail ou bien être imprimer .


  • ce projet a été fructueux car il nous a permis de découvrir le monde de la sécurité , de se familiariser avec les bases de données et d'apprendre les différentes techniques de développement web
  • contrairement à d'autre IDS , SNORT est capable de configurer plusieurs sondes à la fois et dans ce contexte L'approche présentée peut être étendue par l'interprétation de la corrélation de ces différentes sondes et leurs gestion de trafic .
  • IDS,SNORT ET SÉCURITÉ RESEAU

    1. 1. Conception et développement d’une solution de corrélation et d’interprétation des logs de l’IDS open source «SNORT» Réalisé par: LAHMAR Meher CHAOUACHI Marouen Encadrée par : Mme Karima MAALAOUI (FSB) M. Aôs AOUINI (Group Nesma) République Tunisienne Ministère de l’Enseignement Supérieur, de la Recherche Scientifique et de la Technologie -- Université de Carthage A.U. : 2011 – 2012 Faculté des Sciences de Bizerte 1
    2. 2.  Introduction  IDS  IDS SNORT  Fonctionnalités de l’application  Réalisation  Conclusion  perspectives
    3. 3.  La sécurité informatique o Indispensable. o Évolutive .
    4. 4. • La politique de sécurité : o Prévention • L’atteinte de ces objectifs repose sur les trois grands piliers de la sécurité informatique: o objectifs de sécurité . o Les règles et les procédures à appliquer . o Détection o Réaction
    5. 5.  Qu’est ce qu’un IDS ? o C’est un système qui détecte les intrusions (Intrusion Detection System) . o C’est un processus de découverte et d’analyse de comportements hostiles dirigé contre un réseau.
    6. 6.  Pourquoi un IDS ? • La sécurité active n’est pas suffisante • Remonter la source de l’attaque • Détecter les techniques employés • En cas d’intrusion, les traces sont des preuves tangibles.
    7. 7. o Les NIDS : Network Internet Detection System  Types d’IDS o Les HIDS : Host Internet Detection System - Détection des activités malveillantes . - Détection des activités malveillantes . - Seulement couvre une machine. - IDS doit être placé sur le système où il y a des information critiques/sensibles pour l’entreprise.
    8. 8. • Détecteur d’intrusion Open Source • Unix et Windows • Placé en tant que Sniffer • Repère des signatures d’attaques • Repère les scans de port rapides
    9. 9. Points forts o Open source o Large communauté d’utilisateurs  Beaucoup de contributions  Beaucoup de documentations o Bonne base de signatures  Mise à jour  Modifiable
    10. 10. inconvénients o difficulté d’installation et de configuration oPas d'interface graphique
    11. 11. Gérer les utilisateurs . Gérer les sondes . Consulter les statistiques . Générer un rapport .
    12. 12.  UML  PHP  MySQL  VMware Workstation.
    13. 13. • Découvrir le monde de la sécurité . • Manipulation de VMware Workstation. • Technologies de développement .
    14. 14.  Interpréter de nouveaux services : • Système de corrélation. • Gestion de signatures .

    ×