SlideShare une entreprise Scribd logo
1  sur  23
Conception et développement d’une solution de
corrélation et d’interprétation des logs de l’IDS
open source «SNORT»
Réalisé par: LAHMAR Meher
CHAOUACHI Marouen
Encadrée par :
Mme Karima MAALAOUI (FSB)
M. Aôs AOUINI (Group Nesma)
République Tunisienne
Ministère de l’Enseignement Supérieur,
de la Recherche Scientifique et de la Technologie
--
Université de Carthage
A.U. : 2011 – 2012
Faculté des Sciences de
Bizerte
1
 Introduction
 IDS
 IDS SNORT
 Fonctionnalités de l’application
 Réalisation
 Conclusion
 perspectives
 La sécurité informatique
o Indispensable.
o Évolutive .
• La politique de sécurité :
o Prévention
• L’atteinte de ces objectifs repose sur les trois
grands piliers de la sécurité informatique:
o objectifs de sécurité .
o Les règles et les procédures à appliquer .
o Détection
o Réaction
 Qu’est ce qu’un IDS ?
o C’est un système qui détecte les
intrusions (Intrusion Detection System) .
o C’est un processus de découverte et
d’analyse de comportements hostiles
dirigé contre un réseau.
 Pourquoi un IDS ?
• La sécurité active n’est pas suffisante
• Remonter la source de l’attaque
• Détecter les techniques employés
• En cas d’intrusion, les traces sont des
preuves tangibles.
o Les NIDS : Network Internet Detection System
 Types d’IDS
o Les HIDS : Host Internet Detection System
- Détection des activités malveillantes .
- Détection des activités malveillantes .
- Seulement couvre une machine.
- IDS doit être placé sur le système où il y a des information
critiques/sensibles pour l’entreprise.
• Détecteur d’intrusion Open Source
• Unix et Windows
• Placé en tant que Sniffer
• Repère des signatures d’attaques
• Repère les scans de port rapides
Points forts
o Open source
o Large communauté d’utilisateurs
 Beaucoup de contributions
 Beaucoup de documentations
o Bonne base de signatures
 Mise à jour
 Modifiable
inconvénients
o difficulté d’installation et de
configuration
oPas d'interface graphique
Gérer les utilisateurs .
Gérer les sondes .
Consulter les statistiques .
Générer un rapport .
 UML
 PHP
 MySQL
 VMware Workstation.
• Découvrir le monde de la sécurité .
• Manipulation de VMware Workstation.
• Technologies de développement .
 Interpréter de nouveaux services :
• Système de corrélation.
• Gestion de signatures .
IDS,SNORT ET SÉCURITÉ RESEAU

Contenu connexe

Tendances

Les systèmes de détection et prévention d’intrusion
Les systèmes de détection et prévention d’intrusionLes systèmes de détection et prévention d’intrusion
Les systèmes de détection et prévention d’intrusion
Intissar Dguechi
 
Supervision de réseau informatique - Nagios
Supervision de réseau informatique - NagiosSupervision de réseau informatique - Nagios
Supervision de réseau informatique - Nagios
Aziz Rgd
 

Tendances (20)

Mise En Place d'une Solution de Supervision Réseau
Mise En Place d'une Solution de Supervision Réseau Mise En Place d'une Solution de Supervision Réseau
Mise En Place d'une Solution de Supervision Réseau
 
Rapport projet fin d'étude
Rapport projet fin d'étudeRapport projet fin d'étude
Rapport projet fin d'étude
 
Mise en place d’une solution de tests de sécurité pour les passerelles réside...
Mise en place d’une solution de tests de sécurité pour les passerelles réside...Mise en place d’une solution de tests de sécurité pour les passerelles réside...
Mise en place d’une solution de tests de sécurité pour les passerelles réside...
 
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
 
Snort
SnortSnort
Snort
 
Les systèmes de détection et prévention d’intrusion
Les systèmes de détection et prévention d’intrusionLes systèmes de détection et prévention d’intrusion
Les systèmes de détection et prévention d’intrusion
 
Supervision d'un réseau informatique avec Nagios
Supervision d'un réseau informatique avec NagiosSupervision d'un réseau informatique avec Nagios
Supervision d'un réseau informatique avec Nagios
 
sécurité informatique
sécurité informatiquesécurité informatique
sécurité informatique
 
Rapport nagios miniprojet
Rapport nagios miniprojetRapport nagios miniprojet
Rapport nagios miniprojet
 
Mise en place de la telephonie ip avec Asterisk
Mise en place de la telephonie ip avec AsteriskMise en place de la telephonie ip avec Asterisk
Mise en place de la telephonie ip avec Asterisk
 
Pfe master fst_final_decembre2015
Pfe master fst_final_decembre2015Pfe master fst_final_decembre2015
Pfe master fst_final_decembre2015
 
CONCEPTION ET REALISATION D ’ UNE APPLICATION WEB POUR GESTION DE P ROJETS DE...
CONCEPTION ET REALISATION D ’ UNE APPLICATION WEB POUR GESTION DE P ROJETS DE...CONCEPTION ET REALISATION D ’ UNE APPLICATION WEB POUR GESTION DE P ROJETS DE...
CONCEPTION ET REALISATION D ’ UNE APPLICATION WEB POUR GESTION DE P ROJETS DE...
 
Supervision de réseau informatique - Nagios
Supervision de réseau informatique - NagiosSupervision de réseau informatique - Nagios
Supervision de réseau informatique - Nagios
 
Rapport finiale
Rapport finialeRapport finiale
Rapport finiale
 
Mini projet Zabbix
Mini projet ZabbixMini projet Zabbix
Mini projet Zabbix
 
Rapport pfe Conceptionet Developpement d'une Application web et Mobile
Rapport pfe Conceptionet Developpement d'une Application web et  Mobile Rapport pfe Conceptionet Developpement d'une Application web et  Mobile
Rapport pfe Conceptionet Developpement d'une Application web et Mobile
 
Ch_1 - Généralités sur la sécurité informatique.pdf
Ch_1 - Généralités sur la sécurité informatique.pdfCh_1 - Généralités sur la sécurité informatique.pdf
Ch_1 - Généralités sur la sécurité informatique.pdf
 
ETUDES ET DÉPLOIEMENT DUNE SOLUTION VOIP BASÉE SUR ASTERISK
ETUDES ET DÉPLOIEMENT DUNE SOLUTION VOIP BASÉE SUR ASTERISKETUDES ET DÉPLOIEMENT DUNE SOLUTION VOIP BASÉE SUR ASTERISK
ETUDES ET DÉPLOIEMENT DUNE SOLUTION VOIP BASÉE SUR ASTERISK
 
Memoire final sfallou
Memoire final sfallouMemoire final sfallou
Memoire final sfallou
 
projet fin d'étude IWAN
projet fin d'étude IWANprojet fin d'étude IWAN
projet fin d'étude IWAN
 

En vedette

Presentation des failles_de_securite
Presentation des failles_de_securitePresentation des failles_de_securite
Presentation des failles_de_securite
Borni Dhifi
 
La sécurité informatique
La sécurité informatiqueLa sécurité informatique
La sécurité informatique
Saber Ferjani
 
Intrusions et gestion d’incidents informatique
Intrusions et gestion d’incidents informatiqueIntrusions et gestion d’incidents informatique
Intrusions et gestion d’incidents informatique
michelcusin
 
Comment réussir un projet de supervision de sécurité #SIEM #Succès
Comment réussir un projet de supervision de sécurité #SIEM #SuccèsComment réussir un projet de supervision de sécurité #SIEM #Succès
Comment réussir un projet de supervision de sécurité #SIEM #Succès
David Maillard
 

En vedette (20)

Rapport sécurité
Rapport sécuritéRapport sécurité
Rapport sécurité
 
Presentation des failles_de_securite
Presentation des failles_de_securitePresentation des failles_de_securite
Presentation des failles_de_securite
 
Sécurité des Systèmes d'Information et de l'Information
Sécurité des Systèmes d'Information et de l'InformationSécurité des Systèmes d'Information et de l'Information
Sécurité des Systèmes d'Information et de l'Information
 
Securite informatique
Securite informatiqueSecurite informatique
Securite informatique
 
Sécurité des systèmes d'information
Sécurité des systèmes d'informationSécurité des systèmes d'information
Sécurité des systèmes d'information
 
Memoire addour drifa
Memoire addour drifaMemoire addour drifa
Memoire addour drifa
 
La sécurité informatique
La sécurité informatiqueLa sécurité informatique
La sécurité informatique
 
Premiers pas avec snort
Premiers pas avec snortPremiers pas avec snort
Premiers pas avec snort
 
Présentation pfe inchaallah
Présentation pfe inchaallahPrésentation pfe inchaallah
Présentation pfe inchaallah
 
Intrusions et gestion d’incidents informatique
Intrusions et gestion d’incidents informatiqueIntrusions et gestion d’incidents informatique
Intrusions et gestion d’incidents informatique
 
Baudoin karle-ids-ips
Baudoin karle-ids-ipsBaudoin karle-ids-ips
Baudoin karle-ids-ips
 
IPTV
IPTVIPTV
IPTV
 
Piratage informatique
Piratage informatiquePiratage informatique
Piratage informatique
 
Exposé hackers
Exposé hackersExposé hackers
Exposé hackers
 
Ids
IdsIds
Ids
 
Interfaces adaptatives. Agents adaptatifs.
Interfaces adaptatives. Agents adaptatifs.Interfaces adaptatives. Agents adaptatifs.
Interfaces adaptatives. Agents adaptatifs.
 
Snort implementation
Snort implementationSnort implementation
Snort implementation
 
Les Firewalls
Les FirewallsLes Firewalls
Les Firewalls
 
Comment réussir un projet de supervision de sécurité #SIEM #Succès
Comment réussir un projet de supervision de sécurité #SIEM #SuccèsComment réussir un projet de supervision de sécurité #SIEM #Succès
Comment réussir un projet de supervision de sécurité #SIEM #Succès
 
Allagui.Oussama.CV
Allagui.Oussama.CVAllagui.Oussama.CV
Allagui.Oussama.CV
 

Similaire à IDS,SNORT ET SÉCURITÉ RESEAU

Comment les administrateurs de systèmes peuvent ils détecter les pirates info...
Comment les administrateurs de systèmes peuvent ils détecter les pirates info...Comment les administrateurs de systèmes peuvent ils détecter les pirates info...
Comment les administrateurs de systèmes peuvent ils détecter les pirates info...
michelcusin
 
Installation et Configuration d_un systeme de Detection d_intrusion (IDS).pdf
Installation et Configuration d_un systeme de Detection d_intrusion (IDS).pdfInstallation et Configuration d_un systeme de Detection d_intrusion (IDS).pdf
Installation et Configuration d_un systeme de Detection d_intrusion (IDS).pdf
ngombeemmanuel
 

Similaire à IDS,SNORT ET SÉCURITÉ RESEAU (20)

Comment les administrateurs de systèmes peuvent ils détecter les pirates info...
Comment les administrateurs de systèmes peuvent ils détecter les pirates info...Comment les administrateurs de systèmes peuvent ils détecter les pirates info...
Comment les administrateurs de systèmes peuvent ils détecter les pirates info...
 
Reveelium Smart Predictive Analytics - Datasheet FR
Reveelium Smart Predictive Analytics - Datasheet FRReveelium Smart Predictive Analytics - Datasheet FR
Reveelium Smart Predictive Analytics - Datasheet FR
 
Installation et Configuration d_un systeme de Detection d_intrusion (IDS).pdf
Installation et Configuration d_un systeme de Detection d_intrusion (IDS).pdfInstallation et Configuration d_un systeme de Detection d_intrusion (IDS).pdf
Installation et Configuration d_un systeme de Detection d_intrusion (IDS).pdf
 
La sécurité au service de l’innovation [#CloudAccelerate 13/06/2014 @ IBM CC ...
La sécurité au service de l’innovation [#CloudAccelerate 13/06/2014 @ IBM CC ...La sécurité au service de l’innovation [#CloudAccelerate 13/06/2014 @ IBM CC ...
La sécurité au service de l’innovation [#CloudAccelerate 13/06/2014 @ IBM CC ...
 
Prés kais
Prés kaisPrés kais
Prés kais
 
Mémoire de Master 2 sur les IPS &IDS Open source
Mémoire de Master 2 sur les IPS &IDS Open sourceMémoire de Master 2 sur les IPS &IDS Open source
Mémoire de Master 2 sur les IPS &IDS Open source
 
Parlons Sécurité IT avec Access et Ludovic Peny (Sophos)
Parlons Sécurité IT avec Access et Ludovic Peny (Sophos)Parlons Sécurité IT avec Access et Ludovic Peny (Sophos)
Parlons Sécurité IT avec Access et Ludovic Peny (Sophos)
 
Intelligence économique : Le monitoring
Intelligence économique : Le monitoringIntelligence économique : Le monitoring
Intelligence économique : Le monitoring
 
La sécurité sur iOS par Arnaud de Bock
La sécurité sur iOS par Arnaud de BockLa sécurité sur iOS par Arnaud de Bock
La sécurité sur iOS par Arnaud de Bock
 
siris1.pdf
siris1.pdfsiris1.pdf
siris1.pdf
 
ITrust Company Overview FR
ITrust Company Overview FRITrust Company Overview FR
ITrust Company Overview FR
 
IBM SW Les nouveaux enjeux de la sécurité
IBM SW Les nouveaux enjeux de la sécuritéIBM SW Les nouveaux enjeux de la sécurité
IBM SW Les nouveaux enjeux de la sécurité
 
Cyber threat intelligence
Cyber threat intelligenceCyber threat intelligence
Cyber threat intelligence
 
politique de sécurité a mettre en place
politique de sécurité a mettre en place politique de sécurité a mettre en place
politique de sécurité a mettre en place
 
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p
 
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p
 
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p
 
Baromètre BlackNoise 2022.pdf
Baromètre BlackNoise 2022.pdfBaromètre BlackNoise 2022.pdf
Baromètre BlackNoise 2022.pdf
 
IBM Security Intelligence Juin-2016
IBM Security Intelligence Juin-2016IBM Security Intelligence Juin-2016
IBM Security Intelligence Juin-2016
 
Présentation1.pptx
Présentation1.pptxPrésentation1.pptx
Présentation1.pptx
 

IDS,SNORT ET SÉCURITÉ RESEAU

  • 1. Conception et développement d’une solution de corrélation et d’interprétation des logs de l’IDS open source «SNORT» Réalisé par: LAHMAR Meher CHAOUACHI Marouen Encadrée par : Mme Karima MAALAOUI (FSB) M. Aôs AOUINI (Group Nesma) République Tunisienne Ministère de l’Enseignement Supérieur, de la Recherche Scientifique et de la Technologie -- Université de Carthage A.U. : 2011 – 2012 Faculté des Sciences de Bizerte 1
  • 2.  Introduction  IDS  IDS SNORT  Fonctionnalités de l’application  Réalisation  Conclusion  perspectives
  • 3.  La sécurité informatique o Indispensable. o Évolutive .
  • 4. • La politique de sécurité : o Prévention • L’atteinte de ces objectifs repose sur les trois grands piliers de la sécurité informatique: o objectifs de sécurité . o Les règles et les procédures à appliquer . o Détection o Réaction
  • 5.  Qu’est ce qu’un IDS ? o C’est un système qui détecte les intrusions (Intrusion Detection System) . o C’est un processus de découverte et d’analyse de comportements hostiles dirigé contre un réseau.
  • 6.  Pourquoi un IDS ? • La sécurité active n’est pas suffisante • Remonter la source de l’attaque • Détecter les techniques employés • En cas d’intrusion, les traces sont des preuves tangibles.
  • 7. o Les NIDS : Network Internet Detection System  Types d’IDS o Les HIDS : Host Internet Detection System - Détection des activités malveillantes . - Détection des activités malveillantes . - Seulement couvre une machine. - IDS doit être placé sur le système où il y a des information critiques/sensibles pour l’entreprise.
  • 8.
  • 9. • Détecteur d’intrusion Open Source • Unix et Windows • Placé en tant que Sniffer • Repère des signatures d’attaques • Repère les scans de port rapides
  • 10. Points forts o Open source o Large communauté d’utilisateurs  Beaucoup de contributions  Beaucoup de documentations o Bonne base de signatures  Mise à jour  Modifiable
  • 11. inconvénients o difficulté d’installation et de configuration oPas d'interface graphique
  • 12. Gérer les utilisateurs . Gérer les sondes . Consulter les statistiques . Générer un rapport .
  • 13.
  • 14.  UML  PHP  MySQL  VMware Workstation.
  • 15.
  • 16.
  • 17.
  • 18.
  • 19.
  • 20.
  • 21. • Découvrir le monde de la sécurité . • Manipulation de VMware Workstation. • Technologies de développement .
  • 22.  Interpréter de nouveaux services : • Système de corrélation. • Gestion de signatures .

Notes de l'éditeur

  1. Madame la présidente du jury ; mesdames les membres de jury, nous avons l’honneur de vous présenter le travail de notre projet de Fin d’études en systèmes de détection d’intrusion et intitulé « Conception et développement d’une solution de corrélation et d’interprétation des logs de l’IDS open source SNORT », encadré par Mme. Karima MAALAOUI et Mr. Aôs AOUINI
  2. Nous avons adopté le plan suivant afin de présenter cet exposé : Après avoir introduit le sujet nous allons présenter les IDS ainsi que l’IDS SNORT afin de mieux entrer au vif du sujet . ensuite nous allons présenter l’analyse , nous allons ensuite montrer notre travail et nous terminons par une conclusion ainsi qu’une perspectives.
  3. La sécurité des systèmes d’informations est indispensable quel que soit le domaine d’utilisation de l’information à manipuler, C’est pour cela qu’on cherche de nouvelles solutions de sécurité, le plus souvent les moins coûteuses mais qui permettent d’améliorer les solutions déjà existantes et renforcent toute entité du réseau en matière de protection. Et cela suivant une politique de sécurité bien précise.
  4. La politique de sécurité consiste à rassembler les objectifs de sécurité et les moyens disponibles de l’entreprise et les analyser . Générer des règles et des procédures à appliquer pour établir un niveau de sécurité conforme aux besoins de l’entreprise. L’atteinte de ces objectifs repose sur : Détection . Réaction . Prévention . Ce qui nous pousse a parler des IDS qui seront presentié par mon collègue .
  5. On appelle IDS (Intrusion Detection System) un mécanisme écoutant le trafic réseau de manière furtive afin de repérer des activités anormales ou suspectes et permettant ainsi d'avoir une action de prévention sur les risques d'intrusion.
  6. Ces IDS sont déployés afin de renforcer la sécurité existante , de remonter la source de l’attaque et détecter le techniques d’attaques employés. En cas d’intrusion , les IDS permettent de garder les traces comme preuves tangibles .
  7. IL existe plusieurs types d’IDS . Les NIDS : Network Internet Detection System Conçu pour la détection des activités malveillantes en analysant les flots d’information échangés sur un réseau. Les HIDS : Host Internet Detection System - conçu pour la détection des activités malveillantes en analysant les évènements observés par un ordinateur hôte.
  8. Voici une figure qui montre l’emplacement des IDS : Il est fréquent de trouver plusieurs IDS sur les différentes parties du réseau et en particulier de placer une sonde à l'extérieur du réseau afin d'étudier les tentatives d'attaques ainsi qu'une sonde en interne pour analyser les requêtes ayant traversé le pare-feu ou bien menée depuis l'intérieur. Pour la suite du sujet , nous avons choisit de traiter un IDS bien particulier : il s’agit de L’IDS SNORT
  9. SNORT est un système de détection d'intrusion libre . Il est capable d'effectuer aussi en temps réel des analyses de trafic et de logger les paquets sur un réseau IP. Il peut effectuer des analyses de protocole, recherche et correspondance de contenu et peut être utilisé pour détecter une grande variété d'attaques SNORT est fourni avec certaines règles de base mais cependant, comme tout logiciel, SNORT nécessite une mise à jour régulière.
  10. Il est un des plus actifs NIDS Open Source et possède une communauté importante contribuant à son succès . SNORT est fourni avec certaines règles de base mais cependant, comme tout logiciel, SNORT nécessite une mise à jour régulière.
  11. Cela dit sa configuration pose de nombreuse difficultés et prend un temps non négligeable pour la maitrise de cette configuration . ET à cela s’ajoute l’absence d’interface graphique qui complique encore plus la tache de gestion de cette IDS . ET c’est dans ce contexte que nous intervenons par le développement d’ une application web afin d'assurer une plus grande convivialité , de supporter l'intervention de plusieurs administrateurs de sécurité et d'optimiser au mieux le processus de détection d’intrusions.
  12. Voici les différentes fonctionnalités qu’ offre notre application : *Gestion des utilisateurs qui permet de gérer les comptes utilisateurs afin d’attribuer l’autorisation aux informaticiens qualifiés pour pouvoir lancer l’analyse des logs et réagir en cas d’intrusion. *Gestion des sondes: Cette fonctionnalité permet à l’utilisateur d'ajouter ou de supprimer une ou plusieurs sondes. *Consultation de statistiques car Le programme doit permettre à l’utilisateur de consulter des statistiques à partir de la base de données de SNORT. Ces informations seront affichées, par la suite, et triées selon des critères prédéfinis. *programme envisagé peut éditer un rapport bien rédigé.
  13. Voici le diagramme de cas d’utilisation finale raffiné qui montre le différentes fonctionnalités et comme vous pouvez voir L’administrateur a accès a tout les fonctionnalités contrairement a l’utilisateur qui peut que consulter les statistiques ou générer un rapport
  14. Nous avons donc choisi d’utiliser une approche de conception dite UML . Le système contient une base de données et un ensemble de processus. Pour implémenter la base de données, nous avons utilisé Mysql et pour implémenter les processus, nous avons utilisé l’outil Php
  15. Voici la première interface de notre application . En saisissant un identifiant et un mot de passe valides, l’utilisateur peut accéder à la page d’accueil
  16. Cette dernière lui permet d’approcher toutes les autres fonctionnalités. ( gérer sonde , gérer utilisateur , afficher les statistiques ou encore générer un rapport . )
  17. Cette page montre une description des sondes disponibles et tous les détails de chaque sonde. Elle permet aussi d’ajouter ou supprimer ces sondes
  18. Cette page est conçue afin d’ajouter de nouveau utilisateur ou de supprimer les anciens utilisateurs comme le montre la figure .
  19.   Cette page permet de collecter des informations concernant la base de données de SNORT. Ces informations seront affichées sous forme tabulaire ou graphique, par la suite, et afficher selon des critères prédéfinis comme le montre la capture d’écran suivante.
  20. La fin de chaque analyse effectuée par SNORT, l’utilisateur a la possibilité générer un rapport d’analyse comportant les informations utiles sur les intrusions qui ont eu lieu durant cette analyse comme le montre a figure suivante. Ce rapport peut être enyoyer par mail ou bien être imprimer .
  21. ce projet a été fructueux car il nous a permis de découvrir le monde de la sécurité , de se familiariser avec les bases de données et d'apprendre les différentes techniques de développement web
  22. contrairement à d'autre IDS , SNORT est capable de configurer plusieurs sondes à la fois et dans ce contexte L'approche présentée peut être étendue par l'interprétation de la corrélation de ces différentes sondes et leurs gestion de trafic .