2. Mise en place d’un système de
détection d’intrusion
(Snort,FWSnort,RKHunter)
Kais MADI
Encadrée par:
Mr . Zied OURDA
2
3. PLAN
Introduction
Sécurité de réseaux informatiques
Attaque au réseaux informatique
Les solutions courante
Système de détection d’intrusion
Snort
FWSnort
RKHunter
Base
PulledPork
Active Response sous Windows
Conclusion
3
4. Introduction
Après une année qui a établi un nouveau record pour
les logiciels malveillants, avec 26 millions de nouveaux
malware, de téraoctet d’information privée sont volé.
Le cyber guerre a été l'un des grands titres de
l'année. Donc il est nécessaire d’utilise une ensemble
des moyens techniques, organisationnels, juridiques
et humains et le mis en place pour
conserver, rétablir, et garantir la sécurité du système
d'information.
4
6. Attaque au réseaux informatique
Attaque Dos Scan de port
ARP Poisoning
ICMP redirect
SYN Flood
UDP Flood
6
7. Solution courante
Architecture réseau Le contrôle externe de
Sécurisée sécurité
Sécurité des équipements
réseau
Protection des systèmes Contrôle interne de
et des applications réseau sécurité
7
9. Système de détection d’intrusion
Ensemble de composants logiciels et matériels dont la
fonction principale est de détecter tout type
d’attaque.
9
10. Type de système de détection
d’intrusion
Les systèmes de détection d’intrusions réseaux
Les systèmes de détection d’intrusions de type hôte
Les systèmes de détection d’intrusions hybrides
Les systèmes de prévention d’intrusions
10
11. Technique de détection
Par signature
les IDS réseaux se basent sur un ensemble de signatures
qui représentent chacune le profil d'une attaque.
Par anomalie
Leur déploiement nécessite une phase d'apprentissage
pendant laquelle l'outil va apprendre le comportement
"normal" des fluxs applicatifs présents sur son réseau.
Par Vérification d’intégrité
11
12. Emplacement d’un ids dans le
réseaux
Mail Serveur
Web Serveur
FTP Serveur
DMZ
IDS Mangement Station
Réseaux interne 12
14. Snort
Snort est un système de détection d'intrusion libre à
l'origine écrit par Martin Roesch, il appartient
actuellement à Sourcefire. Il combinant les avantages
de la signature, l’analyse de protocole, et l’inspection
basée sur les anomalies.
14
15. Paquets décodeur
le choix de décodeur et
dépend de protocole de
couche liaison. Snort
supporte un certain
nombre de protocole de
couches liaison
telque,Ethernet, 802.11,
Token Ring, FDDI, Cisco
HDLC, SLIP, PPP, et PF
d'OpenBSD.
15
16. Préprocesseur
il fournie une variété de
fonctions, de la
normalisation du
protocole, à la détection
statique, à détection basée
sur l’anomalie.
16
17. Moteur de détection
La plupart de la capacité de
Snort pour détecter les attaques
se matérialise dans les règles qui
sont utilisés pour construire le
moteur de détection.
17
18. Génération d’alerte
si les données correspondent
à une règle dans le moteur de
détection, une alerte est
déclenchée. Les alertes
peuvent être envoyées à un
fichier journal, via une
connexion réseau, à travers
des sockets UNIX ou Windows
Popup (SMB), ou SNMP
alertes traps.il peut être
également stockée dans une
base de données comme
MySQL et Postgres.
18
20. FWSnort
FWSnort est un système de
prévention d'intrusion
agissant de pair avec le pare-
feu iptable ( intégré dans
ubuntu) afin de bloquer des
attaques réseau qu'il
détecte. fwsnort, comme
son nom l'indique, convertit
les règles de Snort dans le
pare-feu iptables.
20
22. Basic Analysis and
Security Engine est une
interface graphique écrite
en PHP utilisée pour
afficher les logs générés
par l'IDS Snort et envoyés
dans la base de données.
22
27. Conclusion
je fais une étude théorique de système de détection d’intrusion
et finalement j’ai réussi à mis en place le système de détection
d’intrusion snort, et je fais une étude pratique sur le attaque du
réseau informatiques et je tester avec l’outil Snort comment
détectera ces attaques. Ainsi je réussis à intégrer d’autres outils
de sécurité comme le firewall iptable et le Nips fwsnort et le Hids
rkhunter avec snort pour améliorer la sécurité de réseaux. et j’ai
crée une application de réponse active sur le système
d’exploitation windows.
Ce travail peut-être amélioré, par l’implémentation de ce
système de NIDSsnort ,IPS fwsnort,hids rkhunter sous
l’architecture cloud computing.
27