Actions du vent sur les bâtiments selon lEurocode 1 – Partie 1-4.pdf
Installation et configuration d'un système de Détection d'intrusion (IDS)
1. PROJET
Installation et configuration d'un système de
Détection d'intrusion (IDS)
Réalisé par:
KHRICHFA Charif
INSTITUT SUPERIEUR DU GENIE APPLIQUE
Année universitaire 2015/2016
3. Introduction
L’ouverture des systèmes et leurs interconnexions avec le réseau Internet ont fait
que les attaques soient de plus en plus nombreuses et diversifiées les unes que des
autres.
Outre la mise en place de pare-feu et de systèmes d’authentification, il est de nos
jours nécessaire de mettre en place un système de détection d’intrusion.
nous allons commencer par donner une présentation générale de SNORT, ensuite
nous allons présenter sa manipulation : fonctionnalités, installation et
configuration. Enfin, nous allons terminer par donner une conclusion et des
perspectives pour ce travail.
3
4. Cahier de charge
Le but du mini projet et l’étude et la mise en place d’un système de détection d’intrusion,
SNORT qui doit être capable d'effectuer des analyses de trafic et de loger les paquets sur
un réseau IP.
Il peut effectuer des analyses de protocole, recherche/correspondance de contenu et peut
être utilisé pour détecter une grande variété d'attaques et de sondes comme des
dépassements de buffers, scans, attaques sur des CGI, sondes SMB, essai d'OS
fingerprintings et bien plus
4
5. Etude comparative
Il existe trois grandes familles distinctes d'un système de détection d'intrusion (ou
IDS : Intrusion Détection System) est un mécanisme destiné à repérer des activités anormales
ou suspectes sur la cible analysée (un réseau ou un hôte). Il permet ainsi d'avoir une
connaissance sur les tentatives réussies comme échouées des intrusions. IDS :
NIDS
HIDS
IDS
5
6. Les NIDS (Network Based Intrusion Detection System), Surveillent l'état de la
sécurité au niveau du réseau.
Les HIDS (HostBased Intrusion Detection System), Surveillent l'état de la
sécurité au niveau des hôtes.
Les IDS hybrides, Utilisent les NIDS et HIDS pour avoir des alertes plus
pertinentes.
6 Etude comparative
8. NIDS
Le NIDS est un logiciel qui, installé sur un matériel généralement dédié, place la carte
réseau du système hôte en mode promiscuité (toutes les trames sont remontées à la couche
IP indépendamment de l'adresse MAC de destination) afin de remonter tout le trafic réseau
au logiciel NIDS. Ce trafic est alors analysé en fonction d’un ensemble de règles et de
signatures d’attaques pour déterminer s’il faut générer des actions (log, alerte, …).
Un NIDS se découpe en trois grandes parties : La capture, les signatures et les alertes.
8
9. SNORT
SNORT est un NIDS écrit par Martin Roesch, disponible sous licence GNU, son code
source est accessible et modifiable à partir de l’URL : « http://www.snort.org » SNORT
permet d’analyser le trafic réseau de type IP, il peut être configuré pour fonctionner en trois
modes :
Le mode sniffer
Le mode « packet logger »
Le mode détecteur d’intrusion réseau (NIDS)
Le mode Prévention des intrusions réseau (IPS),
9
10. SNORT
Le mode sniffer : Dans ce mode, SNORT lit les paquets circulant sur le réseau et les
affiche d’une façon continue sur l’écran.
Le mode « packet logger » : Dans ce mode SNORT journalise le trafic réseau dans des
répertoires sur le disque.
Le mode détecteur d’intrusion réseau (NIDS) : dans ce mode, SNORT analyse le trafic
du réseau, compare ce trafic à des règles déjà définies par l’utilisateur et établi des actions à
exécuter.
Le mode Prévention des intrusions réseau (IPS), c’est SNORT-inline.
10
12. Conclusion
L’objectif de ce projet est Installation et configuration d'un système de Détection d'intrusion
(IDS) sous linux, nous avons eu l’occasion d’approfondir nos connaissances dans le domaine
du politique de sécurité sous linux.
Cependant il est important de souligner que ce projet a été très intéressant et notamment il
nous a permis de bénéficier de nouvelles connaissances venues compléter celles que nous
avons acquises tout au long de notre formation.
12
Notes de l'éditeur
Position (1)
Sur cette position, l'IDS va pouvoir détecter l'ensemble des attaques frontales, provenant de l'extérieur, en amont du firewall. Ainsi, beaucoup trop d'alertes seront remontées ce qui rendra les logs difficilement consultables.
Position (2)
Si l'IDS est placé sur la DMZ, il détectera les attaques qui n'ont pas été filtrées par le firewall et qui relèvent d'un certain niveau de compétence. Les logs seront ici plus clairs à consulter puisque les attaques bénins ne seront pas recensées.
Position (3)
L'IDS peut ici rendre compte des attaques internes, provenant du réseau local de l'entreprise. Il peut être judicieux d'en placer un à cet endroit étant donné le fait que 80% des attaques proviennent de l'intérieur. De plus, si des trojans ont contaminé le parc informatique (navigation peu méfiante sur internet) ils pourront être ici facilement identifiés pour être ensuite éradiqués