SlideShare une entreprise Scribd logo
Mise en place d’un système de détection/prévention
d’intrusion (IDS/IPS)
Réalisé par: Prof:
Manassé Achim KPAYA M. YOUSSEF
M1RSI 2014-2015
Email: kparmel123@gmail.com
I INSTITUT SUPERIEUR
I INFORMATIQUE
PLAN DU TRAVAIL
INTRODUCTION
OBJECTIF
NOTION DE IDS/IPS
LES TYPES D’IDS: CAS DE SNORT
EMPLACEMENT DANS LE RESEAU
PRINCIPE DE FONCTIONNEMENT
INSTALLATION ET CONFIGURATION
INSTALLATION DES PRÉREQUIS
TEST
CONCLUSION
Email: kparmel123@gmail.com
I-INTRODUCTION
Devant la complexité croissante des réseaux qui est devenu de plus en plus
gigantesque et étendue, on se trouvera devant le défi de se contribuer à la recherche
des solutions répondant à la question suivante :
Comment protéger mon réseau contre les pirates et les malware ?
Dans le cadre de ce projet, nous nous intéressons à concevoir et implémenter
un système de détection d'Intrusion :
Un système de détection d’intrusion (IDS) est un mécanisme écoutant le trafic réseau
de manière furtive afin de repérer des activités anormales ou suspectes et permettant
aussi d’avoir une action de prévention sur les risques d’intrusion. Dans le cadre de ce
projet nous nous intéresserons aux outils de détection d'intrusions réseaux (IDS) plus
particulièrement à snort , permettant de détecter des intrusions réseau à temps réel .
Email: kparmel123@gmail.com
II-OBJECTIF
L’objectif de notre travail est:
 Etudier et analyser tous les aspects traités par un système de détection /
prévention d’intrusion réseau.
 Etude de cas : snort
 Installation et configuration de snort
 Tests de détection d’intrusion en utilisant : x
 des règles prédéfinies de snort.
 Tests et évaluations de performance de IDS Snort.
Email: kparmel123@gmail.com
III-NOTION DE IDS/IPSUn système de détection d’intrusion (ou IDS : Intrusion Detection System) et prevention
(IDP: Intrusion Prevention System) sont des mécanismes destinés à repérer des activités
anormales ou suspectes sur la cible analysée (un réseau ou un hôte). Il permet ainsi d’avoir
une action de prévention et d'intervention sur les risques d’intrusion. Afin de détecter les
attaques que peut subir un système (réseau informatique), il est nécessaire d’avoir un logiciel
spécialisé dont le rôle est de surveiller les données qui transitent sur ce système, et qui est
capable de réagir si des données semblent suspectes.
Pour bien gérer un système de détection d’intrusions, il est important de comprendre
comment celui-ci fonctionne :
Comment reconnaître/définir une intrusion?
Comment une intrusion est-elle détectée par un tel système ?
Quels critères différencient un flux contenant une attaque d’un flux normal ?
Ces questions nous ont amené à étudier le fonctionnement interne des IDS .
Email: kparmel123@gmail.com
IV-LES TYPES D’IDS
Il existe plusieurs types d’IDS, mais on peut les classer en deux familles :
Les NIDS : Network IDS, système de détection d'intrusion réseau
Les HIDS : Host IDS, système de détection d'intrusion de type hôte Les autres IDS
sont en réalité des dérivées de ces familles : les IDS Hybrides, les IPS (systèmes de
prévention d’intrusions).
Email: kparmel123@gmail.com
V-POSITIONNEMENT DE SNORT DANS UN
RÉSEAU
L’emplacement physique de la sonde SNORT sur le réseau a un impact
considérable sur son efficacité.
Dans le cas d’une architecture classique, composée d’un Firewall et
d’une DMZ, deux positions sont généralement envisageables:
Email: kparmel123@gmail.com
Avant le Firewall ou le routeur filtrant :
Firewall
SERVEUR DNS
SERVEUR FTP
Attaquant
Sonde Snort
Internet
Email: kparmel123@gmail.com
Sur la DMZ
Firewall
SERVEUR DNS
SERVEUR FTP
Attaquant
Sonde Snort
Internet
Email: kparmel123@gmail.com
VI-INSTALLATION ET CONFIGURATION
VI-1-INSTALLATION DES PRÉ-REQUIS
L’installation des prés-requis est souvent délicate. Car les prés-requis dépendent
souvent aussi d’autres paquets à installer. Raison pour laquelle avant d’installer ces
prés-requis nous allons faire une mise à jour système pour s’assurer qu’on a au moins
des outils de base pour démarrer. Pour cela on ouvre un terminal et on se connecte en
tant que root et on exécute les commandes suivantes :
#apt-get update
#apt-get upgrade
Pour l’installation de certains prés-requis il est plus prudent de faire :
#apt-get install nom_paquet
Ainsi le paquet et ses dépendances seront installés.
Il se trouve que la plus part des prés-requis à installer sont contenus dans d'autres
paquets.
Email: kparmel123@gmail.com
Installation des dépendances :
#apt-get update
#apt-get upgrade
Pour Snort
#apt-get install libpcap*
#apt-get install libprelude*
Pour Mysql
#apt-get install mysql-server
#apt-get install phpmyadmin
#apt-get install libmysqlclient15-dev
#apt-get install libpcre3*
#apt-get install libnet1*
#apt-get install libssl-dev
Le serveur mysql va servir de la base de donnée pour nos différentes alertes et règles.
Email: kparmel123@gmail.com
Pour BASE :
#apt-get install adodb*
#apt-get install php5*
#apt-get install apache2*
#apt-get install libapache2-mod-php5
#apt-get install php-pear
#apt-get install php5-cli
#apt-get install libphp-adodb
#apt-get install php5-gd
La BASE est une application développée en PHP, Qui permet de gérer l’interface graphique
de snort. C'est une version améliorée de ACID nous aurons besoin donc d’installer PHP.
Maintenant que toutes les dépendances sont installées, nous allons passer à l ’installation de
snort et les autres serveurs.
Installation de snort
Pour installer snort, il suffit d’éxécuter la commande suivante:
#apt-get install snort
Une fois l’installer, on revient sur notre terminale pour paramétrer snort:
#dpkg-reconfigure snort nous dévons voir apparaitre l’interface suivante:
Email: kparmel123@gmail.com
On choisit boot pour passer à l’étape suivante:
Email: kparmel123@gmail.com
On laisse l’interface par défaut et on fait suivant:
Email: kparmel123@gmail.com
Ici avant de mettre cette adresse, on doit faire ifconfig dans notre terminal pour récupérer
l’adresse ip:
Email: kparmel123@gmail.com
On choisit no pour ne pas paramétrer le mode:
Email: kparmel123@gmail.com
On laisse cette partie par défaut et on fait suivant:
Email: kparmel123@gmail.com
On choisit yes si on souhaite recevoir les alertes par mail sinon on choisit no:
Email: kparmel123@gmail.com
On entre notre e-mail:
Email: kparmel123@gmail.com
Installation de snort-mysql
Après la compilation il nous faut installer le daemon : snort-mysql . Nous allons installer
snort-mysql en ligne de commande :
#apt-get install snort-mysql
Lors de l’installation, une interface graphique s’ouvre on fait entrer pour laisser continuer
l’installation. Une fois l’installation terminée, on revient sur notre terminal pour taper:
#dpkg-reconfigure snort-mysql
On sera redirigé vers la fenêtre suivante:
Email: kparmel123@gmail.com
On choisit boot pour poursuivre l’installation:
Email: kparmel123@gmail.com
Ici on entre l’adresse ip de notre serveur:
Email: kparmel123@gmail.com
On choisit no puis suivant:
Email: kparmel123@gmail.com
On choisit no pour passer au renseignement de la base de donnée:
Email: kparmel123@gmail.com
On choisit yes pour renseigner la base de donnée:
Email: kparmel123@gmail.com
En suite on met localhost comme le nom d’hôte du serveur de base de donnée:
Email: kparmel123@gmail.com
Le nom de notre base de donnée, ici snort:
Email: kparmel123@gmail.com
On met le nom d’utilisateur; moi je l’ai nommé snort:
Email: kparmel123@gmail.com
On renseigne ensuite le mot de passe:
Email: kparmel123@gmail.com
Enfin on valide les informations pour quitter:
Email: kparmel123@gmail.com
Configuration de snort:
Nous allons découvrir snort ainsi que ses fichiers de configuration. Snort comporte plusieurs
fichiers de configuration. Les plus importants sont :
/etc/snort/snort.conf (fichier de configuration principal) et les fichiers .rules se trouvant dans
le répertoire /etc/snort/rules/ .
Editons le fichier /etc/snort/snort.conf
Nous devons chercher et modifier les lignes qui suivent:
var HOME_NET any: indique l'adresse de l’interface réseau qui écoute le trafic . La
valeur par défaut est any . On peut personnaliser en mettant l'adresse ip de l'interface ou du
réseau à protéger.
var RULE_PATH /etc/snort/rules /: ici on précise le répertoire où se trouvent les fichiers
.rules
On doit decommenter cette ligne et le modifier:
output database :alert,mysql,user=snort password=passerdbname=snort host=localhost:
ici on indique à snort qu 'il faut enregistrer les événements dans une base de donnée mysql
avec les paramètres ci-dessus. Le nom de la base de donnée snort, le nom d’utilisateur snort et
le mot de snort. Vous pouvez choisir les noms qui vous conviennent
Email: kparmel123@gmail.com
Création des règles
Avant de configurer mysql, nous allons créer des règles qui vont permettre à notre serveur
de détecter les requêtes qui viennent de l’exterieur. Pour ce faire, éditons le fichier
/etc/snort/local.rules remplissons le comme suit:
Cela veut dire tout trafic ICMP ou TCP venant de n’importe où vers n’importe quelle
destinations entraine une alerte de type HTTP, FTP, SSH, ARP…Email: kparmel123@gmail.com
Configuration de MySQL
Nous allons configurer MySQL pour stocker les alertes et autres événements générés par
snort. Pour cela on se connecte à la base de données MySQL en tant que root :
Mysql –uroot –h localhost –ppasser
Et on crée la base de donné comme suit:
Email: kparmel123@gmail.com
Une fois la base de donnée créée, nous devons l’activer en insérant les commandes de
base. on se rend dans: /usr/share/doc/snort-mysql puis entre la commande suivante:
Puis on doit modifier le fichier de notre acide base pour voir si la base
de donnée a été prise en compte. On édite le fichier:
/etc/acidbase/database.php et on apporte les modifications suivantes:
Email: kparmel123@gmail.com
Installation et Configuration de BASE
BASE est un utilitaire graphique, écrit en php , qui va nous permettre de visualiser à
temps réel les alertes et autres informations que snort va «enregistrer » dans la base
de donnée MySQL .
Son installation est simple, il suffit de taper dans un terminal cette commande:
#apt-get install acidbase.
Une fois l’installation faite, on édite le fichier /etc/acidbase/database.php dont nous
avons fait un peu plus haut pour vérifier s’il a pris en compte notre base de donnée.
Email: kparmel123@gmail.com
Une fois l’installation terminée, on ouvre un navigateur puis entrer ce lien pour accéder à
l’interface graphique de notre acidbase: http://localhost/acidbase
Attention: Si la base de donnée n’est pas bien configurée, ça ne marchera pas.
Email: kparmel123@gmail.com
On clique sur Create BASE AG pour voir les paramètres configurés avec succès:
Partie en rouge:
Email: kparmel123@gmail.com
À ce niveau l'application base est bien installée. Nous allons nous connecter sur base en
tant que root , on peut créer aussi un autre utilisateur différent de root . Àprés connexion,
voici les premières infos qui s’affichent :
Email: kparmel123@gmail.com
VII-TEST DE FONCTIONNEMENT
Après avoir installé et configuré tous les paquets nécessaires, nous allons voir maintenant
comment notre système fonctionne. Pour passer au test, nous devons nous rassurer que la
machine serveur est connectée à l’internet. Nous devons installer également une machine
cliente qui va jouer le rôle d’attaquant. Dans mon cas, j’ai installé BacTrack. On doit
lancer une requête soit ICMP soit ARP et autres depuis cette machine à l’adresse de notre
serveur snort pour voir s’il va détecter les requêtes qui viendront de l’exterieur ensuite
d’alerter l’administrateur.
Nous allons commencer par démarrer tous nos services:
Email: kparmel123@gmail.com
On lance notre serveur par cette commande: snort -v
Email: kparmel123@gmail.com
Ensuite coté attaquant: on ouvrir le terminal pour entrer ces scripts:
L’adresse: 192.168.134.133 c’est l’adresse ip de notre serveur snort et 192.168.134.2
c’est celle de passerelle par défaut
Alors obtenu ces adresse? Nous devons repartir sur notre serveur et cliquer sur
l’icone de notre connexion internet et récupérer les adresses soulignées en bleu dans
la figure suivante:
Email: kparmel123@gmail.com
Email: kparmel123@gmail.com
Après avoir entré les comandes ci-haut, on lance une requette ARP à notre serveur par cette
commande: arpspoof –i eth0 –t 192.168.134.133 192.168.134.2.
Noubliez pas, les adresses qu’on vient de rentrer sont les adresses qu’on avait récupérées sur la
machine serveur.
Email: kparmel123@gmail.com
Lançons une requête ICMP depuis la machine cliente:
Email: kparmel123@gmail.com
Résultats analysés pas BASE pendant et après le test:
Nous voyons que la base a analysé deux requettes: TCP et ICMP lors du test:
Email: kparmel123@gmail.com
Donc snort a détecté des actions qui étaient définies comme une intrusion. Et on
remarquera aussi que trop d'alertes ont été générées par snort. Dans les conditions réelles il
serait difficile de gérer toutes ces alertes.
Pour pallier à cela il faut choisir des règles « non sensibles » dans les fichiers .rules.
Email: kparmel123@gmail.com
VIII-CONCLUSION
Nous avons présenté dans ce chapitre un outil important pour la détection d’intrusion
concernant l’outil Snort. Nous avons donnés touts les étapes d’installation et
configuration de cet outil. Les systèmes de détection d’intrusion, en particuliers snort,
peuvent être assimilés à de simples alarmes qui se déclenchent une fois qu’ 'ils
découvrent une intrusion.
Ce qui constitue une limite notoire pour l’IDSsnort. Mais cela ouvre des pistes de
réflexion pour mettre en place des outils ou mécanismes “post-détection”,c’est à dire
des outils à vocation « actives » (permettant par exemple de bloquer la connexion de
la machine source » en cas d’intrusion.
Email: kparmel123@gmail.com

Contenu connexe

Tendances

Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )
Saadaoui Marwen
 
mémoire de projet de fin d'études
mémoire de projet de fin d'études mémoire de projet de fin d'études
mémoire de projet de fin d'études
MortadhaBouallagui
 
Presentation pfe ingenieur d etat securite reseau et systemes
Presentation pfe ingenieur d etat securite reseau et systemesPresentation pfe ingenieur d etat securite reseau et systemes
Presentation pfe ingenieur d etat securite reseau et systemes
Hicham Moujahid
 
Vpn d’acces avec cisco asa 5500 et client
Vpn d’acces avec cisco asa 5500 et clientVpn d’acces avec cisco asa 5500 et client
Vpn d’acces avec cisco asa 5500 et client
Manassé Achim kpaya
 
Etude et mise en place d’un VPN
Etude et mise en place d’un VPNEtude et mise en place d’un VPN
Etude et mise en place d’un VPN
Charif Khrichfa
 
Rapport mise en place d'un sevrer VPN .
   Rapport mise en place d'un sevrer VPN .   Rapport mise en place d'un sevrer VPN .
Rapport mise en place d'un sevrer VPN .
Mouad Lousimi
 
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sakka Mustapha
 
Installer et configurer NAGIOS sous linux
Installer et configurer NAGIOS sous linuxInstaller et configurer NAGIOS sous linux
Installer et configurer NAGIOS sous linux
Zakariyaa AIT ELMOUDEN
 
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
Tidiane Sylla
 
Installation de snort avec pulled pork
Installation de snort avec pulled porkInstallation de snort avec pulled pork
Installation de snort avec pulled pork
SamiMessaoudi4
 
Mise En Place d'une Solution de Supervision Réseau
Mise En Place d'une Solution de Supervision Réseau Mise En Place d'une Solution de Supervision Réseau
Mise En Place d'une Solution de Supervision Réseau
Yaya N'Tyeni Sanogo
 
sécurité informatique
sécurité informatiquesécurité informatique
sécurité informatique
Mohammed Zaoui
 
Rapport nagios miniprojet
Rapport nagios miniprojetRapport nagios miniprojet
Rapport nagios miniprojet
Ayoub Rouzi
 
Rapport finiale
Rapport finialeRapport finiale
Rapport finiale
marwenbencheikhali
 
projet fin d'étude IWAN
projet fin d'étude IWANprojet fin d'étude IWAN
projet fin d'étude IWAN
Med Amine El Abed
 
Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...
Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...
Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...
Alaaeddine Tlich
 
Wazuh Pre.pptx
Wazuh Pre.pptxWazuh Pre.pptx
Wazuh Pre.pptx
emnabenamor3
 
Supervision de réseau informatique - Nagios
Supervision de réseau informatique - NagiosSupervision de réseau informatique - Nagios
Supervision de réseau informatique - Nagios
Aziz Rgd
 

Tendances (20)

Snort implementation
Snort implementationSnort implementation
Snort implementation
 
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )
 
mémoire de projet de fin d'études
mémoire de projet de fin d'études mémoire de projet de fin d'études
mémoire de projet de fin d'études
 
Presentation pfe ingenieur d etat securite reseau et systemes
Presentation pfe ingenieur d etat securite reseau et systemesPresentation pfe ingenieur d etat securite reseau et systemes
Presentation pfe ingenieur d etat securite reseau et systemes
 
Vpn d’acces avec cisco asa 5500 et client
Vpn d’acces avec cisco asa 5500 et clientVpn d’acces avec cisco asa 5500 et client
Vpn d’acces avec cisco asa 5500 et client
 
Etude et mise en place d’un VPN
Etude et mise en place d’un VPNEtude et mise en place d’un VPN
Etude et mise en place d’un VPN
 
Rapport mise en place d'un sevrer VPN .
   Rapport mise en place d'un sevrer VPN .   Rapport mise en place d'un sevrer VPN .
Rapport mise en place d'un sevrer VPN .
 
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
 
Installer et configurer NAGIOS sous linux
Installer et configurer NAGIOS sous linuxInstaller et configurer NAGIOS sous linux
Installer et configurer NAGIOS sous linux
 
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
 
Installation de snort avec pulled pork
Installation de snort avec pulled porkInstallation de snort avec pulled pork
Installation de snort avec pulled pork
 
Mise En Place d'une Solution de Supervision Réseau
Mise En Place d'une Solution de Supervision Réseau Mise En Place d'une Solution de Supervision Réseau
Mise En Place d'une Solution de Supervision Réseau
 
sécurité informatique
sécurité informatiquesécurité informatique
sécurité informatique
 
Rapport nagios miniprojet
Rapport nagios miniprojetRapport nagios miniprojet
Rapport nagios miniprojet
 
Rapport finiale
Rapport finialeRapport finiale
Rapport finiale
 
projet fin d'étude IWAN
projet fin d'étude IWANprojet fin d'étude IWAN
projet fin d'étude IWAN
 
Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...
Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...
Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...
 
Wazuh Pre.pptx
Wazuh Pre.pptxWazuh Pre.pptx
Wazuh Pre.pptx
 
Supervision de réseau informatique - Nagios
Supervision de réseau informatique - NagiosSupervision de réseau informatique - Nagios
Supervision de réseau informatique - Nagios
 
Nagios
NagiosNagios
Nagios
 

En vedette

Rapport sécurité
Rapport sécuritéRapport sécurité
Rapport sécurité
Mohammed Zaoui
 
Securite informatique
Securite informatiqueSecurite informatique
Securite informatique
Souhaib El
 
Cours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts ClésCours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts Clés
Franck Franchin
 
Sécurité des systèmes d'information
Sécurité des systèmes d'informationSécurité des systèmes d'information
Sécurité des systèmes d'information
Franck Franchin
 
La sécurité informatique
La sécurité informatiqueLa sécurité informatique
La sécurité informatiqueSaber Ferjani
 
Intrusions et gestion d’incidents informatique
Intrusions et gestion d’incidents informatiqueIntrusions et gestion d’incidents informatique
Intrusions et gestion d’incidents informatique
michelcusin
 
Sécurité informatique
Sécurité informatiqueSécurité informatique
Sécurité informatique
oussama Hafid
 
Acme Presentation
Acme PresentationAcme Presentation
Acme Presentation
OfficerReports.com
 
Premiers pas avec snort
Premiers pas avec snortPremiers pas avec snort
Premiers pas avec snort
Fathi Ben Nasr
 
Comment désinstaller oracle sous windows 7 et 8
Comment désinstaller oracle sous windows 7 et 8Comment désinstaller oracle sous windows 7 et 8
Comment désinstaller oracle sous windows 7 et 8
Manassé Achim kpaya
 
Comment réussir un projet de supervision de sécurité #SIEM #Succès
Comment réussir un projet de supervision de sécurité #SIEM #SuccèsComment réussir un projet de supervision de sécurité #SIEM #Succès
Comment réussir un projet de supervision de sécurité #SIEM #SuccèsDavid Maillard
 
Développement d’un prototype logiciel pour l’analyse webométrique
Développement d’un prototype logiciel pour l’analyse webométriqueDéveloppement d’un prototype logiciel pour l’analyse webométrique
Développement d’un prototype logiciel pour l’analyse webométriqueRAUDIN33
 
SERVICES RESEAUX AVANCES
SERVICES RESEAUX AVANCESSERVICES RESEAUX AVANCES
SERVICES RESEAUX AVANCES
Manassé Achim kpaya
 
Translation d'adresse réseau (NAT)
Translation d'adresse réseau (NAT)Translation d'adresse réseau (NAT)
Translation d'adresse réseau (NAT)
Manassé Achim kpaya
 
VPN NOMADE AVEC AUTHENTIFICATIO AD SOUS CISCO ASA
VPN NOMADE AVEC AUTHENTIFICATIO AD SOUS CISCO ASAVPN NOMADE AVEC AUTHENTIFICATIO AD SOUS CISCO ASA
VPN NOMADE AVEC AUTHENTIFICATIO AD SOUS CISCO ASA
Manassé Achim kpaya
 
La Fibre Depuis La Maison
La Fibre Depuis La MaisonLa Fibre Depuis La Maison
La Fibre Depuis La Maison
Marc Duchesne
 
Claroline : Present et Futur
Claroline : Present et FuturClaroline : Present et Futur
Claroline : Present et Futur
Claroline
 
Authentification Forte 2
Authentification Forte 2Authentification Forte 2
Authentification Forte 2
Sylvain Maret
 
Cc Presentation Tsec Tri(31mai2010)
Cc Presentation Tsec Tri(31mai2010)Cc Presentation Tsec Tri(31mai2010)
Cc Presentation Tsec Tri(31mai2010)
msinghlcc
 

En vedette (20)

Rapport sécurité
Rapport sécuritéRapport sécurité
Rapport sécurité
 
Baudoin karle-ids-ips
Baudoin karle-ids-ipsBaudoin karle-ids-ips
Baudoin karle-ids-ips
 
Securite informatique
Securite informatiqueSecurite informatique
Securite informatique
 
Cours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts ClésCours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts Clés
 
Sécurité des systèmes d'information
Sécurité des systèmes d'informationSécurité des systèmes d'information
Sécurité des systèmes d'information
 
La sécurité informatique
La sécurité informatiqueLa sécurité informatique
La sécurité informatique
 
Intrusions et gestion d’incidents informatique
Intrusions et gestion d’incidents informatiqueIntrusions et gestion d’incidents informatique
Intrusions et gestion d’incidents informatique
 
Sécurité informatique
Sécurité informatiqueSécurité informatique
Sécurité informatique
 
Acme Presentation
Acme PresentationAcme Presentation
Acme Presentation
 
Premiers pas avec snort
Premiers pas avec snortPremiers pas avec snort
Premiers pas avec snort
 
Comment désinstaller oracle sous windows 7 et 8
Comment désinstaller oracle sous windows 7 et 8Comment désinstaller oracle sous windows 7 et 8
Comment désinstaller oracle sous windows 7 et 8
 
Comment réussir un projet de supervision de sécurité #SIEM #Succès
Comment réussir un projet de supervision de sécurité #SIEM #SuccèsComment réussir un projet de supervision de sécurité #SIEM #Succès
Comment réussir un projet de supervision de sécurité #SIEM #Succès
 
Développement d’un prototype logiciel pour l’analyse webométrique
Développement d’un prototype logiciel pour l’analyse webométriqueDéveloppement d’un prototype logiciel pour l’analyse webométrique
Développement d’un prototype logiciel pour l’analyse webométrique
 
SERVICES RESEAUX AVANCES
SERVICES RESEAUX AVANCESSERVICES RESEAUX AVANCES
SERVICES RESEAUX AVANCES
 
Translation d'adresse réseau (NAT)
Translation d'adresse réseau (NAT)Translation d'adresse réseau (NAT)
Translation d'adresse réseau (NAT)
 
VPN NOMADE AVEC AUTHENTIFICATIO AD SOUS CISCO ASA
VPN NOMADE AVEC AUTHENTIFICATIO AD SOUS CISCO ASAVPN NOMADE AVEC AUTHENTIFICATIO AD SOUS CISCO ASA
VPN NOMADE AVEC AUTHENTIFICATIO AD SOUS CISCO ASA
 
La Fibre Depuis La Maison
La Fibre Depuis La MaisonLa Fibre Depuis La Maison
La Fibre Depuis La Maison
 
Claroline : Present et Futur
Claroline : Present et FuturClaroline : Present et Futur
Claroline : Present et Futur
 
Authentification Forte 2
Authentification Forte 2Authentification Forte 2
Authentification Forte 2
 
Cc Presentation Tsec Tri(31mai2010)
Cc Presentation Tsec Tri(31mai2010)Cc Presentation Tsec Tri(31mai2010)
Cc Presentation Tsec Tri(31mai2010)
 

Similaire à Mise en place d’un système de détection

Les attaques MITM
Les attaques MITMLes attaques MITM
Les attaques MITM
Ahmed Contre Ennahdha
 
Hackernew
HackernewHackernew
Hackernew
Leila Aman
 
Installation Et Configuration De Monkey Spider
Installation Et Configuration De Monkey SpiderInstallation Et Configuration De Monkey Spider
Installation Et Configuration De Monkey Spider
Mohamed Ben Bouzid
 
Barcamp presentation Cybersecurite by saphia
Barcamp presentation Cybersecurite by saphiaBarcamp presentation Cybersecurite by saphia
Barcamp presentation Cybersecurite by saphia
BarcampCameroon
 
Guide pratique openssl sous debian
Guide pratique openssl sous debianGuide pratique openssl sous debian
Guide pratique openssl sous debianyahyaf10
 
Gestion-des-parcs-informatiques Windows et Linux.pptx
Gestion-des-parcs-informatiques Windows et Linux.pptxGestion-des-parcs-informatiques Windows et Linux.pptx
Gestion-des-parcs-informatiques Windows et Linux.pptx
ssusercbaa22
 
Rapport Windows Serveur 2008 "Active Directory Management"
Rapport Windows Serveur 2008 "Active Directory Management"Rapport Windows Serveur 2008 "Active Directory Management"
Rapport Windows Serveur 2008 "Active Directory Management"
Ayoub Rouzi
 
Inf4420 final a05-solutions
Inf4420 final a05-solutionsInf4420 final a05-solutions
Inf4420 final a05-solutionsmouad11
 
Les attaques
Les attaquesLes attaques
Les attaques
nadia sassi
 
Tuto VP IPSEC Site-to-site
Tuto VP IPSEC Site-to-siteTuto VP IPSEC Site-to-site
Tuto VP IPSEC Site-to-site
Dimitri LEMBOKOLO
 
(Tutoriel) Installer et Utiliser Huginn - Outil de veille open source
(Tutoriel) Installer et Utiliser Huginn - Outil de veille open source(Tutoriel) Installer et Utiliser Huginn - Outil de veille open source
(Tutoriel) Installer et Utiliser Huginn - Outil de veille open source
Cell'IE
 
Rapport des travaux
Rapport des travauxRapport des travaux
Rapport des travaux
Bouras Mohamed
 
VPN site-to-site.pdf
VPN site-to-site.pdfVPN site-to-site.pdf
VPN site-to-site.pdf
gorguindiaye
 
Dossier E6 Makosso_Kevin
Dossier E6 Makosso_KevinDossier E6 Makosso_Kevin
Dossier E6 Makosso_Kevin
KevinMakosso1
 
Mise en place d’un laboratoire de sécurité « Scénarios d’Attaques et Détectio...
Mise en place d’un laboratoire de sécurité « Scénarios d’Attaques et Détectio...Mise en place d’un laboratoire de sécurité « Scénarios d’Attaques et Détectio...
Mise en place d’un laboratoire de sécurité « Scénarios d’Attaques et Détectio...
Trésor-Dux LEBANDA
 
Sécuriser son site wordpress
Sécuriser son site wordpressSécuriser son site wordpress
Sécuriser son site wordpress
Prénom Nom de famille
 
Reseau entreprise
Reseau entrepriseReseau entreprise
Reseau entreprise
SAIDRAISS2
 
Mise en place d'un système de messagerie sécurisée pour une PME/PMI
Mise en place d'un système de messagerie sécurisée pour une PME/PMIMise en place d'un système de messagerie sécurisée pour une PME/PMI
Mise en place d'un système de messagerie sécurisée pour une PME/PMIPapa Cheikh Cisse
 
Prévention et traitement du hack de serveurs
Prévention et traitement du hack de serveursPrévention et traitement du hack de serveurs
Prévention et traitement du hack de serveurs
Amen.fr
 

Similaire à Mise en place d’un système de détection (20)

Les attaques MITM
Les attaques MITMLes attaques MITM
Les attaques MITM
 
Hackernew
HackernewHackernew
Hackernew
 
Installation Et Configuration De Monkey Spider
Installation Et Configuration De Monkey SpiderInstallation Et Configuration De Monkey Spider
Installation Et Configuration De Monkey Spider
 
Barcamp presentation Cybersecurite by saphia
Barcamp presentation Cybersecurite by saphiaBarcamp presentation Cybersecurite by saphia
Barcamp presentation Cybersecurite by saphia
 
Guide pratique openssl sous debian
Guide pratique openssl sous debianGuide pratique openssl sous debian
Guide pratique openssl sous debian
 
Gestion-des-parcs-informatiques Windows et Linux.pptx
Gestion-des-parcs-informatiques Windows et Linux.pptxGestion-des-parcs-informatiques Windows et Linux.pptx
Gestion-des-parcs-informatiques Windows et Linux.pptx
 
Rapport Windows Serveur 2008 "Active Directory Management"
Rapport Windows Serveur 2008 "Active Directory Management"Rapport Windows Serveur 2008 "Active Directory Management"
Rapport Windows Serveur 2008 "Active Directory Management"
 
Inf4420 final a05-solutions
Inf4420 final a05-solutionsInf4420 final a05-solutions
Inf4420 final a05-solutions
 
Les attaques
Les attaquesLes attaques
Les attaques
 
Tuto VP IPSEC Site-to-site
Tuto VP IPSEC Site-to-siteTuto VP IPSEC Site-to-site
Tuto VP IPSEC Site-to-site
 
(Tutoriel) Installer et Utiliser Huginn - Outil de veille open source
(Tutoriel) Installer et Utiliser Huginn - Outil de veille open source(Tutoriel) Installer et Utiliser Huginn - Outil de veille open source
(Tutoriel) Installer et Utiliser Huginn - Outil de veille open source
 
Rapport des travaux
Rapport des travauxRapport des travaux
Rapport des travaux
 
VPN site-to-site.pdf
VPN site-to-site.pdfVPN site-to-site.pdf
VPN site-to-site.pdf
 
Nagios twil
Nagios twilNagios twil
Nagios twil
 
Dossier E6 Makosso_Kevin
Dossier E6 Makosso_KevinDossier E6 Makosso_Kevin
Dossier E6 Makosso_Kevin
 
Mise en place d’un laboratoire de sécurité « Scénarios d’Attaques et Détectio...
Mise en place d’un laboratoire de sécurité « Scénarios d’Attaques et Détectio...Mise en place d’un laboratoire de sécurité « Scénarios d’Attaques et Détectio...
Mise en place d’un laboratoire de sécurité « Scénarios d’Attaques et Détectio...
 
Sécuriser son site wordpress
Sécuriser son site wordpressSécuriser son site wordpress
Sécuriser son site wordpress
 
Reseau entreprise
Reseau entrepriseReseau entreprise
Reseau entreprise
 
Mise en place d'un système de messagerie sécurisée pour une PME/PMI
Mise en place d'un système de messagerie sécurisée pour une PME/PMIMise en place d'un système de messagerie sécurisée pour une PME/PMI
Mise en place d'un système de messagerie sécurisée pour une PME/PMI
 
Prévention et traitement du hack de serveurs
Prévention et traitement du hack de serveursPrévention et traitement du hack de serveurs
Prévention et traitement du hack de serveurs
 

Plus de Manassé Achim kpaya

VPN NOMADE AVEC AUTHENTIFICATIO AD SOUS ROUTEUR CISCO
VPN NOMADE AVEC AUTHENTIFICATIO AD SOUS ROUTEUR CISCOVPN NOMADE AVEC AUTHENTIFICATIO AD SOUS ROUTEUR CISCO
VPN NOMADE AVEC AUTHENTIFICATIO AD SOUS ROUTEUR CISCO
Manassé Achim kpaya
 
Installation et configuration d'apache tomcat
Installation et configuration d'apache tomcatInstallation et configuration d'apache tomcat
Installation et configuration d'apache tomcat
Manassé Achim kpaya
 
Mis en place d'un herbergement multiple sous centos 6.
Mis en place d'un herbergement multiple sous centos 6.Mis en place d'un herbergement multiple sous centos 6.
Mis en place d'un herbergement multiple sous centos 6.
Manassé Achim kpaya
 
MESSAGERIE EXCHANGE 2013 SOUS WINDOWS SERVEUR 2012
MESSAGERIE EXCHANGE 2013 SOUS WINDOWS SERVEUR 2012MESSAGERIE EXCHANGE 2013 SOUS WINDOWS SERVEUR 2012
MESSAGERIE EXCHANGE 2013 SOUS WINDOWS SERVEUR 2012
Manassé Achim kpaya
 
Mise en place d'un système de messagerie sous debian avec: postfix, dovecot, ...
Mise en place d'un système de messagerie sous debian avec: postfix, dovecot, ...Mise en place d'un système de messagerie sous debian avec: postfix, dovecot, ...
Mise en place d'un système de messagerie sous debian avec: postfix, dovecot, ...
Manassé Achim kpaya
 
Mis en place d'un serveur web avec herbergement multiple sous centos 6.
Mis en place d'un serveur web avec herbergement multiple sous centos 6.Mis en place d'un serveur web avec herbergement multiple sous centos 6.
Mis en place d'un serveur web avec herbergement multiple sous centos 6.Manassé Achim kpaya
 

Plus de Manassé Achim kpaya (7)

VPN NOMADE AVEC AUTHENTIFICATIO AD SOUS ROUTEUR CISCO
VPN NOMADE AVEC AUTHENTIFICATIO AD SOUS ROUTEUR CISCOVPN NOMADE AVEC AUTHENTIFICATIO AD SOUS ROUTEUR CISCO
VPN NOMADE AVEC AUTHENTIFICATIO AD SOUS ROUTEUR CISCO
 
Installation et configuration d'apache tomcat
Installation et configuration d'apache tomcatInstallation et configuration d'apache tomcat
Installation et configuration d'apache tomcat
 
Rapport sp
Rapport spRapport sp
Rapport sp
 
Mis en place d'un herbergement multiple sous centos 6.
Mis en place d'un herbergement multiple sous centos 6.Mis en place d'un herbergement multiple sous centos 6.
Mis en place d'un herbergement multiple sous centos 6.
 
MESSAGERIE EXCHANGE 2013 SOUS WINDOWS SERVEUR 2012
MESSAGERIE EXCHANGE 2013 SOUS WINDOWS SERVEUR 2012MESSAGERIE EXCHANGE 2013 SOUS WINDOWS SERVEUR 2012
MESSAGERIE EXCHANGE 2013 SOUS WINDOWS SERVEUR 2012
 
Mise en place d'un système de messagerie sous debian avec: postfix, dovecot, ...
Mise en place d'un système de messagerie sous debian avec: postfix, dovecot, ...Mise en place d'un système de messagerie sous debian avec: postfix, dovecot, ...
Mise en place d'un système de messagerie sous debian avec: postfix, dovecot, ...
 
Mis en place d'un serveur web avec herbergement multiple sous centos 6.
Mis en place d'un serveur web avec herbergement multiple sous centos 6.Mis en place d'un serveur web avec herbergement multiple sous centos 6.
Mis en place d'un serveur web avec herbergement multiple sous centos 6.
 

Dernier

05_UMT STAR_Vers une indexation de la longévité fonctionnelle en ovin lait
05_UMT STAR_Vers une indexation de la longévité fonctionnelle en ovin lait05_UMT STAR_Vers une indexation de la longévité fonctionnelle en ovin lait
05_UMT STAR_Vers une indexation de la longévité fonctionnelle en ovin lait
Institut de l'Elevage - Idele
 
Alternative - Complément au Tramway et 3ème lien de la ville de Québec
Alternative - Complément  au Tramway et 3ème lien de la ville de Québec  Alternative - Complément  au Tramway et 3ème lien de la ville de Québec
Alternative - Complément au Tramway et 3ème lien de la ville de Québec
Daniel Bedard
 
PROVINLAIT - Bâtiment et bien-être estival
PROVINLAIT - Bâtiment et bien-être estivalPROVINLAIT - Bâtiment et bien-être estival
PROVINLAIT - Bâtiment et bien-être estival
idelewebmestre
 
Alternative - Complément au Tramway et 3 ème lien de la ville de Quebec (PDF)
Alternative - Complément au Tramway  et 3 ème lien de la ville de Quebec (PDF)Alternative - Complément au Tramway  et 3 ème lien de la ville de Quebec (PDF)
Alternative - Complément au Tramway et 3 ème lien de la ville de Quebec (PDF)
Daniel Bedard
 
04_UMT STAR_Étude de nouveaux caractères en lien avec la santé et le bien-êtr...
04_UMT STAR_Étude de nouveaux caractères en lien avec la santé et le bien-êtr...04_UMT STAR_Étude de nouveaux caractères en lien avec la santé et le bien-êtr...
04_UMT STAR_Étude de nouveaux caractères en lien avec la santé et le bien-êtr...
Institut de l'Elevage - Idele
 
01_UMT STAR_étude de la résilience et des compromis entre résilience et effic...
01_UMT STAR_étude de la résilience et des compromis entre résilience et effic...01_UMT STAR_étude de la résilience et des compromis entre résilience et effic...
01_UMT STAR_étude de la résilience et des compromis entre résilience et effic...
Institut de l'Elevage - Idele
 
QCM de révision pour la haute qualité.pdf
QCM de révision pour la haute qualité.pdfQCM de révision pour la haute qualité.pdf
QCM de révision pour la haute qualité.pdf
ffffourissou
 
02_UMT STAR_un nouveau biomarqueur de résilience basé sur les métabolites du ...
02_UMT STAR_un nouveau biomarqueur de résilience basé sur les métabolites du ...02_UMT STAR_un nouveau biomarqueur de résilience basé sur les métabolites du ...
02_UMT STAR_un nouveau biomarqueur de résilience basé sur les métabolites du ...
Institut de l'Elevage - Idele
 
Rénovation des prairies sans labour est-ce possible en bio.pdf
Rénovation des prairies sans labour est-ce possible en bio.pdfRénovation des prairies sans labour est-ce possible en bio.pdf
Rénovation des prairies sans labour est-ce possible en bio.pdf
idelewebmestre
 
03_UMT STAR_compromis entre résistance au parasitisme et efficience alimentai...
03_UMT STAR_compromis entre résistance au parasitisme et efficience alimentai...03_UMT STAR_compromis entre résistance au parasitisme et efficience alimentai...
03_UMT STAR_compromis entre résistance au parasitisme et efficience alimentai...
Institut de l'Elevage - Idele
 
Note Agro-climatique et prairies n°4 - Juin 2024
Note Agro-climatique et prairies n°4 - Juin 2024Note Agro-climatique et prairies n°4 - Juin 2024
Note Agro-climatique et prairies n°4 - Juin 2024
idelewebmestre
 

Dernier (11)

05_UMT STAR_Vers une indexation de la longévité fonctionnelle en ovin lait
05_UMT STAR_Vers une indexation de la longévité fonctionnelle en ovin lait05_UMT STAR_Vers une indexation de la longévité fonctionnelle en ovin lait
05_UMT STAR_Vers une indexation de la longévité fonctionnelle en ovin lait
 
Alternative - Complément au Tramway et 3ème lien de la ville de Québec
Alternative - Complément  au Tramway et 3ème lien de la ville de Québec  Alternative - Complément  au Tramway et 3ème lien de la ville de Québec
Alternative - Complément au Tramway et 3ème lien de la ville de Québec
 
PROVINLAIT - Bâtiment et bien-être estival
PROVINLAIT - Bâtiment et bien-être estivalPROVINLAIT - Bâtiment et bien-être estival
PROVINLAIT - Bâtiment et bien-être estival
 
Alternative - Complément au Tramway et 3 ème lien de la ville de Quebec (PDF)
Alternative - Complément au Tramway  et 3 ème lien de la ville de Quebec (PDF)Alternative - Complément au Tramway  et 3 ème lien de la ville de Quebec (PDF)
Alternative - Complément au Tramway et 3 ème lien de la ville de Quebec (PDF)
 
04_UMT STAR_Étude de nouveaux caractères en lien avec la santé et le bien-êtr...
04_UMT STAR_Étude de nouveaux caractères en lien avec la santé et le bien-êtr...04_UMT STAR_Étude de nouveaux caractères en lien avec la santé et le bien-êtr...
04_UMT STAR_Étude de nouveaux caractères en lien avec la santé et le bien-êtr...
 
01_UMT STAR_étude de la résilience et des compromis entre résilience et effic...
01_UMT STAR_étude de la résilience et des compromis entre résilience et effic...01_UMT STAR_étude de la résilience et des compromis entre résilience et effic...
01_UMT STAR_étude de la résilience et des compromis entre résilience et effic...
 
QCM de révision pour la haute qualité.pdf
QCM de révision pour la haute qualité.pdfQCM de révision pour la haute qualité.pdf
QCM de révision pour la haute qualité.pdf
 
02_UMT STAR_un nouveau biomarqueur de résilience basé sur les métabolites du ...
02_UMT STAR_un nouveau biomarqueur de résilience basé sur les métabolites du ...02_UMT STAR_un nouveau biomarqueur de résilience basé sur les métabolites du ...
02_UMT STAR_un nouveau biomarqueur de résilience basé sur les métabolites du ...
 
Rénovation des prairies sans labour est-ce possible en bio.pdf
Rénovation des prairies sans labour est-ce possible en bio.pdfRénovation des prairies sans labour est-ce possible en bio.pdf
Rénovation des prairies sans labour est-ce possible en bio.pdf
 
03_UMT STAR_compromis entre résistance au parasitisme et efficience alimentai...
03_UMT STAR_compromis entre résistance au parasitisme et efficience alimentai...03_UMT STAR_compromis entre résistance au parasitisme et efficience alimentai...
03_UMT STAR_compromis entre résistance au parasitisme et efficience alimentai...
 
Note Agro-climatique et prairies n°4 - Juin 2024
Note Agro-climatique et prairies n°4 - Juin 2024Note Agro-climatique et prairies n°4 - Juin 2024
Note Agro-climatique et prairies n°4 - Juin 2024
 

Mise en place d’un système de détection

  • 1. Mise en place d’un système de détection/prévention d’intrusion (IDS/IPS) Réalisé par: Prof: Manassé Achim KPAYA M. YOUSSEF M1RSI 2014-2015 Email: kparmel123@gmail.com I INSTITUT SUPERIEUR I INFORMATIQUE
  • 2. PLAN DU TRAVAIL INTRODUCTION OBJECTIF NOTION DE IDS/IPS LES TYPES D’IDS: CAS DE SNORT EMPLACEMENT DANS LE RESEAU PRINCIPE DE FONCTIONNEMENT INSTALLATION ET CONFIGURATION INSTALLATION DES PRÉREQUIS TEST CONCLUSION Email: kparmel123@gmail.com
  • 3. I-INTRODUCTION Devant la complexité croissante des réseaux qui est devenu de plus en plus gigantesque et étendue, on se trouvera devant le défi de se contribuer à la recherche des solutions répondant à la question suivante : Comment protéger mon réseau contre les pirates et les malware ? Dans le cadre de ce projet, nous nous intéressons à concevoir et implémenter un système de détection d'Intrusion : Un système de détection d’intrusion (IDS) est un mécanisme écoutant le trafic réseau de manière furtive afin de repérer des activités anormales ou suspectes et permettant aussi d’avoir une action de prévention sur les risques d’intrusion. Dans le cadre de ce projet nous nous intéresserons aux outils de détection d'intrusions réseaux (IDS) plus particulièrement à snort , permettant de détecter des intrusions réseau à temps réel . Email: kparmel123@gmail.com
  • 4. II-OBJECTIF L’objectif de notre travail est:  Etudier et analyser tous les aspects traités par un système de détection / prévention d’intrusion réseau.  Etude de cas : snort  Installation et configuration de snort  Tests de détection d’intrusion en utilisant : x  des règles prédéfinies de snort.  Tests et évaluations de performance de IDS Snort. Email: kparmel123@gmail.com
  • 5. III-NOTION DE IDS/IPSUn système de détection d’intrusion (ou IDS : Intrusion Detection System) et prevention (IDP: Intrusion Prevention System) sont des mécanismes destinés à repérer des activités anormales ou suspectes sur la cible analysée (un réseau ou un hôte). Il permet ainsi d’avoir une action de prévention et d'intervention sur les risques d’intrusion. Afin de détecter les attaques que peut subir un système (réseau informatique), il est nécessaire d’avoir un logiciel spécialisé dont le rôle est de surveiller les données qui transitent sur ce système, et qui est capable de réagir si des données semblent suspectes. Pour bien gérer un système de détection d’intrusions, il est important de comprendre comment celui-ci fonctionne : Comment reconnaître/définir une intrusion? Comment une intrusion est-elle détectée par un tel système ? Quels critères différencient un flux contenant une attaque d’un flux normal ? Ces questions nous ont amené à étudier le fonctionnement interne des IDS . Email: kparmel123@gmail.com
  • 6. IV-LES TYPES D’IDS Il existe plusieurs types d’IDS, mais on peut les classer en deux familles : Les NIDS : Network IDS, système de détection d'intrusion réseau Les HIDS : Host IDS, système de détection d'intrusion de type hôte Les autres IDS sont en réalité des dérivées de ces familles : les IDS Hybrides, les IPS (systèmes de prévention d’intrusions). Email: kparmel123@gmail.com
  • 7. V-POSITIONNEMENT DE SNORT DANS UN RÉSEAU L’emplacement physique de la sonde SNORT sur le réseau a un impact considérable sur son efficacité. Dans le cas d’une architecture classique, composée d’un Firewall et d’une DMZ, deux positions sont généralement envisageables: Email: kparmel123@gmail.com
  • 8. Avant le Firewall ou le routeur filtrant : Firewall SERVEUR DNS SERVEUR FTP Attaquant Sonde Snort Internet Email: kparmel123@gmail.com
  • 9. Sur la DMZ Firewall SERVEUR DNS SERVEUR FTP Attaquant Sonde Snort Internet Email: kparmel123@gmail.com
  • 10. VI-INSTALLATION ET CONFIGURATION VI-1-INSTALLATION DES PRÉ-REQUIS L’installation des prés-requis est souvent délicate. Car les prés-requis dépendent souvent aussi d’autres paquets à installer. Raison pour laquelle avant d’installer ces prés-requis nous allons faire une mise à jour système pour s’assurer qu’on a au moins des outils de base pour démarrer. Pour cela on ouvre un terminal et on se connecte en tant que root et on exécute les commandes suivantes : #apt-get update #apt-get upgrade Pour l’installation de certains prés-requis il est plus prudent de faire : #apt-get install nom_paquet Ainsi le paquet et ses dépendances seront installés. Il se trouve que la plus part des prés-requis à installer sont contenus dans d'autres paquets. Email: kparmel123@gmail.com
  • 11. Installation des dépendances : #apt-get update #apt-get upgrade Pour Snort #apt-get install libpcap* #apt-get install libprelude* Pour Mysql #apt-get install mysql-server #apt-get install phpmyadmin #apt-get install libmysqlclient15-dev #apt-get install libpcre3* #apt-get install libnet1* #apt-get install libssl-dev Le serveur mysql va servir de la base de donnée pour nos différentes alertes et règles. Email: kparmel123@gmail.com
  • 12. Pour BASE : #apt-get install adodb* #apt-get install php5* #apt-get install apache2* #apt-get install libapache2-mod-php5 #apt-get install php-pear #apt-get install php5-cli #apt-get install libphp-adodb #apt-get install php5-gd La BASE est une application développée en PHP, Qui permet de gérer l’interface graphique de snort. C'est une version améliorée de ACID nous aurons besoin donc d’installer PHP. Maintenant que toutes les dépendances sont installées, nous allons passer à l ’installation de snort et les autres serveurs. Installation de snort Pour installer snort, il suffit d’éxécuter la commande suivante: #apt-get install snort Une fois l’installer, on revient sur notre terminale pour paramétrer snort: #dpkg-reconfigure snort nous dévons voir apparaitre l’interface suivante: Email: kparmel123@gmail.com
  • 13. On choisit boot pour passer à l’étape suivante: Email: kparmel123@gmail.com
  • 14. On laisse l’interface par défaut et on fait suivant: Email: kparmel123@gmail.com
  • 15. Ici avant de mettre cette adresse, on doit faire ifconfig dans notre terminal pour récupérer l’adresse ip: Email: kparmel123@gmail.com
  • 16. On choisit no pour ne pas paramétrer le mode: Email: kparmel123@gmail.com
  • 17. On laisse cette partie par défaut et on fait suivant: Email: kparmel123@gmail.com
  • 18. On choisit yes si on souhaite recevoir les alertes par mail sinon on choisit no: Email: kparmel123@gmail.com
  • 19. On entre notre e-mail: Email: kparmel123@gmail.com
  • 20. Installation de snort-mysql Après la compilation il nous faut installer le daemon : snort-mysql . Nous allons installer snort-mysql en ligne de commande : #apt-get install snort-mysql Lors de l’installation, une interface graphique s’ouvre on fait entrer pour laisser continuer l’installation. Une fois l’installation terminée, on revient sur notre terminal pour taper: #dpkg-reconfigure snort-mysql On sera redirigé vers la fenêtre suivante: Email: kparmel123@gmail.com
  • 21. On choisit boot pour poursuivre l’installation: Email: kparmel123@gmail.com
  • 22. Ici on entre l’adresse ip de notre serveur: Email: kparmel123@gmail.com
  • 23. On choisit no puis suivant: Email: kparmel123@gmail.com
  • 24. On choisit no pour passer au renseignement de la base de donnée: Email: kparmel123@gmail.com
  • 25. On choisit yes pour renseigner la base de donnée: Email: kparmel123@gmail.com
  • 26. En suite on met localhost comme le nom d’hôte du serveur de base de donnée: Email: kparmel123@gmail.com
  • 27. Le nom de notre base de donnée, ici snort: Email: kparmel123@gmail.com
  • 28. On met le nom d’utilisateur; moi je l’ai nommé snort: Email: kparmel123@gmail.com
  • 29. On renseigne ensuite le mot de passe: Email: kparmel123@gmail.com
  • 30. Enfin on valide les informations pour quitter: Email: kparmel123@gmail.com
  • 31. Configuration de snort: Nous allons découvrir snort ainsi que ses fichiers de configuration. Snort comporte plusieurs fichiers de configuration. Les plus importants sont : /etc/snort/snort.conf (fichier de configuration principal) et les fichiers .rules se trouvant dans le répertoire /etc/snort/rules/ . Editons le fichier /etc/snort/snort.conf Nous devons chercher et modifier les lignes qui suivent: var HOME_NET any: indique l'adresse de l’interface réseau qui écoute le trafic . La valeur par défaut est any . On peut personnaliser en mettant l'adresse ip de l'interface ou du réseau à protéger. var RULE_PATH /etc/snort/rules /: ici on précise le répertoire où se trouvent les fichiers .rules On doit decommenter cette ligne et le modifier: output database :alert,mysql,user=snort password=passerdbname=snort host=localhost: ici on indique à snort qu 'il faut enregistrer les événements dans une base de donnée mysql avec les paramètres ci-dessus. Le nom de la base de donnée snort, le nom d’utilisateur snort et le mot de snort. Vous pouvez choisir les noms qui vous conviennent Email: kparmel123@gmail.com
  • 32. Création des règles Avant de configurer mysql, nous allons créer des règles qui vont permettre à notre serveur de détecter les requêtes qui viennent de l’exterieur. Pour ce faire, éditons le fichier /etc/snort/local.rules remplissons le comme suit: Cela veut dire tout trafic ICMP ou TCP venant de n’importe où vers n’importe quelle destinations entraine une alerte de type HTTP, FTP, SSH, ARP…Email: kparmel123@gmail.com
  • 33. Configuration de MySQL Nous allons configurer MySQL pour stocker les alertes et autres événements générés par snort. Pour cela on se connecte à la base de données MySQL en tant que root : Mysql –uroot –h localhost –ppasser Et on crée la base de donné comme suit: Email: kparmel123@gmail.com
  • 34. Une fois la base de donnée créée, nous devons l’activer en insérant les commandes de base. on se rend dans: /usr/share/doc/snort-mysql puis entre la commande suivante: Puis on doit modifier le fichier de notre acide base pour voir si la base de donnée a été prise en compte. On édite le fichier: /etc/acidbase/database.php et on apporte les modifications suivantes: Email: kparmel123@gmail.com
  • 35. Installation et Configuration de BASE BASE est un utilitaire graphique, écrit en php , qui va nous permettre de visualiser à temps réel les alertes et autres informations que snort va «enregistrer » dans la base de donnée MySQL . Son installation est simple, il suffit de taper dans un terminal cette commande: #apt-get install acidbase. Une fois l’installation faite, on édite le fichier /etc/acidbase/database.php dont nous avons fait un peu plus haut pour vérifier s’il a pris en compte notre base de donnée. Email: kparmel123@gmail.com
  • 36. Une fois l’installation terminée, on ouvre un navigateur puis entrer ce lien pour accéder à l’interface graphique de notre acidbase: http://localhost/acidbase Attention: Si la base de donnée n’est pas bien configurée, ça ne marchera pas. Email: kparmel123@gmail.com
  • 37. On clique sur Create BASE AG pour voir les paramètres configurés avec succès: Partie en rouge: Email: kparmel123@gmail.com
  • 38. À ce niveau l'application base est bien installée. Nous allons nous connecter sur base en tant que root , on peut créer aussi un autre utilisateur différent de root . Àprés connexion, voici les premières infos qui s’affichent : Email: kparmel123@gmail.com
  • 39. VII-TEST DE FONCTIONNEMENT Après avoir installé et configuré tous les paquets nécessaires, nous allons voir maintenant comment notre système fonctionne. Pour passer au test, nous devons nous rassurer que la machine serveur est connectée à l’internet. Nous devons installer également une machine cliente qui va jouer le rôle d’attaquant. Dans mon cas, j’ai installé BacTrack. On doit lancer une requête soit ICMP soit ARP et autres depuis cette machine à l’adresse de notre serveur snort pour voir s’il va détecter les requêtes qui viendront de l’exterieur ensuite d’alerter l’administrateur. Nous allons commencer par démarrer tous nos services: Email: kparmel123@gmail.com
  • 40. On lance notre serveur par cette commande: snort -v Email: kparmel123@gmail.com
  • 41. Ensuite coté attaquant: on ouvrir le terminal pour entrer ces scripts: L’adresse: 192.168.134.133 c’est l’adresse ip de notre serveur snort et 192.168.134.2 c’est celle de passerelle par défaut Alors obtenu ces adresse? Nous devons repartir sur notre serveur et cliquer sur l’icone de notre connexion internet et récupérer les adresses soulignées en bleu dans la figure suivante: Email: kparmel123@gmail.com
  • 43. Après avoir entré les comandes ci-haut, on lance une requette ARP à notre serveur par cette commande: arpspoof –i eth0 –t 192.168.134.133 192.168.134.2. Noubliez pas, les adresses qu’on vient de rentrer sont les adresses qu’on avait récupérées sur la machine serveur. Email: kparmel123@gmail.com
  • 44. Lançons une requête ICMP depuis la machine cliente: Email: kparmel123@gmail.com
  • 45. Résultats analysés pas BASE pendant et après le test: Nous voyons que la base a analysé deux requettes: TCP et ICMP lors du test: Email: kparmel123@gmail.com
  • 46. Donc snort a détecté des actions qui étaient définies comme une intrusion. Et on remarquera aussi que trop d'alertes ont été générées par snort. Dans les conditions réelles il serait difficile de gérer toutes ces alertes. Pour pallier à cela il faut choisir des règles « non sensibles » dans les fichiers .rules. Email: kparmel123@gmail.com
  • 47. VIII-CONCLUSION Nous avons présenté dans ce chapitre un outil important pour la détection d’intrusion concernant l’outil Snort. Nous avons donnés touts les étapes d’installation et configuration de cet outil. Les systèmes de détection d’intrusion, en particuliers snort, peuvent être assimilés à de simples alarmes qui se déclenchent une fois qu’ 'ils découvrent une intrusion. Ce qui constitue une limite notoire pour l’IDSsnort. Mais cela ouvre des pistes de réflexion pour mettre en place des outils ou mécanismes “post-détection”,c’est à dire des outils à vocation « actives » (permettant par exemple de bloquer la connexion de la machine source » en cas d’intrusion. Email: kparmel123@gmail.com