SlideShare une entreprise Scribd logo
Les IDS et IPS Open Source
Alexandre MARTIN
Jonathan BRIFFAUT
Master 2 Informatique - ASR 2
Plan
 Présentation Générale des IDS
 Les différents type d’IDS
 Les méthodes de détection
 Présentation Générale des IPS
 Ou placer un IDS / IPS ?
 Outils Open Source (Aspect Pratique)
– SNORT
– Prelude-IDS
– BRO
Master 2 Informatique - ASR 3
Présentation générale des IDS
Master 2 Informatique - ASR 4
Qu’est-ce qu’un IDS ?
 L’IDS (Intrusion Detection System)
– Surveiller
– Contrôler
– Détecter
 Le système de détection d’intrusion est
en voie de devenir un composant
critique d’une architecture de sécurité
informatique
Master 2 Informatique - ASR 5
Justificatif
 Nombre de failles élevés:
– 3273 nouvelles entre Janvier et Juillet
2007
 Coût d’une attaque est élevé:
– Code Red/Nimda est estimé à 3.2 Milliards $ par
Computer Economics
 Les outils pour lancer les attaques sont
facilement disponibles et exploitables
Master 2 Informatique - ASR 6
De quoi est constitué un IDS?
 Un IDS est essentiellement un sniffer couplé
avec un moteur qui analyse le trafic selon des
règles
 Ces règles décrivent un trafic à signaler
 L’IDS peut analyser
– Couche Réseau (IP, ICMP)
– Couche Transport (TCP, UDP)
– Couche Application (HTTP, Telnet)
 Selon le type de trafic, l’IDS accomplit
certaines actions
Master 2 Informatique - ASR 7
Vocabulaire
 Faux-Positif
– Fausse alerte levée par l’ids
 Faux-négatif
– Attaque qui n’a pas été repéré par l’IDS
 Evasion
– Technique utilisée pour dissimuler une attaque et
faire en sorte qu’elle ne soit pas décelée par l’IDS
 Sonde :
– Composant de l’architecture IDS qui collecte les
informations brutes
Master 2 Informatique - ASR 8
Actions d’un IDS
 Journaliser l’événement
– Source d’information et vision des menaces
courantes
 Avertir un système avec un message
– Exemple: appel SNMP
 Avertir un humain avec un message
– Courrier électronique, SMS, interface web, etc.
 Amorcer certaines actions sur un réseau ou
hôte
– Exemple: mettre fin à une connexion réseau,
ralentir le débit des connexions, etc. (rôle actif)
Master 2 Informatique - ASR 9
Après la Détection
 Comprendre l’attaque en cours
– Recueillir le maximum d’information
• Cibles
• Sources
• Procédé
 Archiver, tracer : Corrélation avec d’autre
événements
 Préparer une réponse :
– Sur le court terme : black-listage
– Sur le long terme : application de patches, action en justice…
Master 2 Informatique - ASR 10
Les différents types D’IDS
Master 2 Informatique - ASR 11
Les types d’IDS
 Il existe deux types d’IDS :
– HIDS (Host IDS)
– NIDS (Network IDS )
Master 2 Informatique - ASR 12
Le Host IDS
 Basé dans un ordinateur hôte
 HIDS permet de surveiller le système et les
applications
– Les journaux systèmes,
– de contrôler l'accès aux appels systèmes,
– de vérifier l'intégrité des systèmes de fichiers
 Le HIDS à accès à des composants non-
accessibles sur le réseau
– Exemple: la base de registre de Windows
 Ne surveille qu’un seul hôte
Master 2 Informatique - ASR 13
Le Network IDS
 Un sonde placée dans le réseau
– Surveille l’ensemble du réseau
– Capture et analyse tout le trafic
– Recherche de paquets suspects
• Contenu des données
• Adresses IP ou MAC source ou destination
• …
– Envoi d’alertes
Master 2 Informatique - ASR 14
HIDS et NIDS
 Chacun répond à des besoins
spécifiques
 HIDS particulièrement efficaces pour
déterminer si un hôte est contaminé
 NIDS permet de surveiller l’ensemble
d’un réseau ≠ HIDS qui est restreint à
un hôte
Master 2 Informatique - ASR 15
Les méthodes de détection
Master 2 Informatique - ASR 16
Les méthodes de détection
 2 approches principales pour les IDS:
– Par signature
– Comportementale
• Détection d’anomalie
• Vérification d’intégrité
Master 2 Informatique - ASR 17
Méthodes de détection : Par Signature
 Par signature:
– Basé sur la reconnaissances de schémas déjà
connus
– Utilisation d’expressions régulières
– Les signatures d’attaques connues sont stockées
dans une base; et chaque événement est
comparé au contenu de cette base
• Si correspondance l’alerte est levée
– L’attaque doit être connue pour être détectée
– Peu de faux-positifs
Master 2 Informatique - ASR 18
Méthodes de détection : Par Signature
 Méthode la plus simple, basé sur :
– Si EVENEMENT matche SIGNATURE Alors ALERTE
 Facile à implémenter pour tout type d’IDS
 L’efficacité des ids est liée à la gestion de leur base
de signatures
– MAJ
– Nombre de règles
– Signatures suffisamment précises
 Exemples
– Trouver le « motif /winnt/system32/cmd.exe » dans une requête http
– Trouver le motif « failed su for root » dans un log système
Master 2 Informatique - ASR 19
Méthodes de détection : Par Signature
 Recherche de motif (pattern matching)
– Différents algorithmes
• Ceux pour envoyer les négatifs
– E2XB
• Ceux pour peu de signature
– BOYER MOORE
– Knuth-Morris-Pratt (KMP).
• Nombreuse Signature :
– AHO-CORASICK
» AUTOMATE DETERMINISTE A*X
» A = alphabet
» X ensemble fini de mots à rechercher
Master 2 Informatique - ASR 20
Méthodes de détection : Par Signature
 Avantage
– Simplicité de mise en œuvre
– Rapidité de diagnostic
– Précision (en fonction des régles)
– Identification du procédé d’attaque
• Procédé
• Cibles
• Sources
• Outils
 Inconvénients
– Ne détecte que les attaques connues
– Maintenance de la base
– Techniques d’évasion possibles dès lors que les signatures sont
connues
Master 2 Informatique - ASR 21
Méthodes de détection : Par anomalie
 Basée sur le comportement « normal » du système
 Une déviation par rapport à ce comportement est
considérée suspecte
 Le comportement doit être modélisé : on définit alors
un profil
 Une attaque peut être détectée sans être
préalablement connue
Master 2 Informatique - ASR 22
Méthodes de détection : Par anomalie
 Modélisation du système : création d’un profil normal
– Phase d’apprentissage
– Détecter une intrusion consiste a détecter un écart
– Exemple de profil :
• Volumes des échanges réseau
• Appels systèmes d’une application
• Commandes usuelles d’un utilisateur
– Repose sur des outils de complexité diverses
• Seuils
• Statistique
• Méthodes probabilistes
• Etc.
– Complexité de l’implémentation et du déploiement
Master 2 Informatique - ASR 23
Méthodes de détection : Par anomalie
 Avantages
– Permet la détection d’attaque inconnue
– Facilite la création de règles adaptées à ces attaques
– Difficile à tromper
 Inconvénients
– Les faux-positifs sont nombreux
– Générer un profil est complexe
• Durée de la phase d’apprentissage
• Activité saine du système durant cette phase ?
– Diagnostics long et précis en cas d’alerte
Master 2 Informatique - ASR 24
Méthodes de détection : Par intégrité
 Vérification d’intégrité
– Génération d’une somme de contrôle sur
des fichiers d’un système
– Une comparaison est alors effectuée avec
une somme de contrôle de référence
– Exemple : une page web
– Méthode couramment employée par les
HIDS
Master 2 Informatique - ASR 25
Points négatifs des IDS
 Technologie complexe
 Nécessite un degré d’expertise élevé
 Long à optimiser
 Réputer pour générer de fausses
alertes
 Encore immature
Master 2 Informatique - ASR 26
Présentation générale des IPS
Master 2 Informatique - ASR 27
Les IPS
 IPS = Intrusion Prevention System
– Mieux vaut prévenir que guérir
 Constat :
– On suppose pourvoir détecter une intrusion
– Pourquoi alors, ne pas la bloquer, l’éliminer ?
 IDS vers IPS
– Terme à la base plutôt marketing
– Techniquement :
• Un IPS est un IDS qui ajoute des fonctionnalités de blocage
pour une anomalie trouvée
• IDS devient actif = IPS
Master 2 Informatique - ASR 28
Les IPS : SUITE
 Objectifs :
– Interrompre une connexion
– Ralentir la connexion
– Blacklister les sources
 Moyens :
– Règle Firewall
– QoS
– Intervention applicatif (Proxy)
Master 2 Informatique - ASR 29
IPS : suite
 Avantages
– Attaque bloquée immédiatement
 Inconvénients
– Les faux-positifs
– Peut paralyser le réseau
Master 2 Informatique - ASR 30
Où placer un IDS IPS ?
Master 2 Informatique - ASR 31
Placer un IDS
 Dépend de ce que l’ont veut ?
– Voir les attaques (HoneyPot)
• Connaitre les failles de sécurité
– surveiller les attaques sur un réseau :
• Extérieur
• Intérieur
Master 2 Informatique - ASR 32
Où placer un IDS IPS
Position ( 1 ):
•Détection de toutes les attaques
•Problèmes
•Log trop complet analyse trop complexe :
•bon pour un Honeypot (pot de miel)
Position ( 2 ):
•Placer dans la DMZ
•Détecte les attaques
•non filtrer par le par feu
•Complexe
•Non bénigne log clair
. Position ( 3 ): Comme 2 + Attaque interne
•Judicieux car 80% des attaques sont de
l’intérieur
•Trojans
•Virus
•Etc.
Master 2 Informatique - ASR 33
Un autre IDS particulier: le
Honeypot
 Ordinateur ou programme
volontairement vulnérable destiné à
attirer et à piéger les pirates
 But:
– Occuper le pirate
– Découvrir de nouvelles attaques
– Garder le maximum de traces de l’attaque
Master 2 Informatique - ASR 34
Les 2 types Honeypot
 Faible interaction:
– Les plus simple (ex: Honeyd)
– Émulation de services sans réel système
sous-jacent
 Forte interaction:
– Utilisation d’un réel système d’exploitation
plus ou moins sécurisé
Master 2 Informatique - ASR 35
Fonctionnement de Honeyd
 Démon qui créé plusieurs hôtes virtuels
sur le réseau
 Simule l’existence de services actifs sur
les hôtes virtuels
 Les informations sur l’OS simulé sont
issues d’un fichier d’empreinte nmap
 Toutes les connexions entrantes et
sortantes sont enregistrées
Master 2 Informatique - ASR 36
Les Honeypots
 Littérature:
– Virtual Honeypots: From Botnet
Tracking to Intrusion Detection
• Niels Provos, Thorsten Holz
Master 2 Informatique - ASR 37
Aspect pratique
 Etude de différents outils OpenSource
– Snort
• Fonctionnement et mise en place
– Bro
• Comparaison avec snort
• Fonctionnement et Mise en place
– Prelude-IDS
• Généralité
Master 2 Informatique - ASR 38
Snort (NIDS)
 IDS open source
 Conçu en 1998 par Marty Roesh racheté par
SourceFire
 Le plus répandu
– + 2 000 000 de téléchargements
 MAJ Temps réel
– (OINKMAster) Payant via SourceFire
• Sinon attendre version de mise à jour
– Bleeding gratuit , CERT
Master 2 Informatique - ASR 39
Snort
 Fonctionnalité
– Permet d’interagir avec le firewall pour bloquer
des intrusion (IPS) « snort natif, snort-inline,
autres plugins »
– Possibilité de créer ses propres règles et plugins
– Ne permet pas l’envoi d’email ou SMS pour avertir
• Utilisation d’autre logiciel en complément
– LogSurfer ou Swatch
– Installation
• Binaire/sources (Au choix)
Master 2 Informatique - ASR 40
Snort : Constitution
 Modulaire
– Décodeur De Paquets (Packet decoder)
– Préprocesseurs (Preprocessors)
– Moteur De Détection (Detection Engine)
• ALGO : AHO-CORASICK
– Système d'alerte et d'enregistrement de
log (Logging and Alerting System)
– Modules De Sortie (Output Module) :
Possibilité d’enregistrer les logs dans une
BDD (MYSQL/PSQL)
Master 2 Informatique - ASR 41
Snort : Constitution
 Configuration sous Unix
– /etc/snort/snort.conf
• 1 Configuration des variables pour le réseau
– Configuration des reseaux a écouter
– Configuration des services à logguer (http/dns/etc…)
• 2 Configuration des pré-processeurs
• 3 Configuration des plugins de sortie
– Mysql/psql/ecran/etc…
• 4 Choix des règles à utiliser
– /etc/snort/rules (ensemble des
signatures)
Master 2 Informatique - ASR 42
Les règles Snort
 Exemples de règles:
– Pour détecter les tentatives de login sous
l'utilisateur root, pour le protocole ftp (port 21):
• alert tcp any any - 192.168.1.0/24 21 (content: USER
root; nocase; msg: FTP root user access attempt;)
– Tentative d’accès à des sites non autorisés:
• alert tcp any any  192.168.1.0/24 any (content-list:
adults; msg: Adults list access attempt; react: block;)
Master 2 Informatique - ASR 43
Snort et les interfaces Graphiques
 ACID/BASE
– Permet de voir les log dans une BDD
– Catégorise
– Lien vers failles de sécurité
Master 2 Informatique - ASR 44
Base
Master 2 Informatique - ASR 45
Le NIDS Bro
 NIDS Open Source
– Développé par Berkeley (Chercheurs)
– Langage de script propre à Bro
– Utilisation d’expression régulières dans les
signatures
– Possibilité d’exécuter des programmes tiers après
détection d’intrusion
• Exemple: reconfigurer un routeur
– Compatible avec les règles Snort
• Grâce à snort2bro
– Dynamic Protocol Detection
Master 2 Informatique - ASR 46
Le fonctionnement de Bro
 Architecture en 3 couches:
– Module Packet Capture: sniffe le trafic
réseau et l’envoie à la couche supérieure
– Module Event Engine: Analyse les flux et
les paquets
– Module Policy Layer: utilise les scripts Bro
pour traiter les événements et appliquer les
politiques
Master 2 Informatique - ASR 47
Signature Bro
Exemple de Signature Bro:
signature sid-1327 {
ip-proto == tcp
src-ip != local_nets
dst-ip == local_nets
dst-port == 22
event EXPLOIT ssh CRC32 overflow
tcp-state established,originator
payload /x00x01x57x00x00x00x18/
payload /.{7}xFFxFFxFFxFFx00x00/
}
Master 2 Informatique - ASR 48
Comparatif Snort - Bro
Snort Bro
Avantages + nouvelles règles très régulièrement
proposées
+ nombreux plugins, frontends, consoles
de management, ...
+ mise en œuvre basique rapide
+ beaucoup de documentations
+ fichiers d'alertes très complets (header
des paquets, lien vers description de
l'attaque, ...)
+ forte customisation - IDS très
difficile à détecter par un pirate
+ langage de script puissant
+ configuration très simple grâce à un
script interactif
Inconvénients - configuration essentiellement par
édition de fichiers texte
- de nombreuses fonctionnalités payantes
-fichiers d'alertes pas très
compréhensibles
-peu d'informations dans les rapports
d'alertes
-documentation incomplète
-aucune interface graphique
Master 2 Informatique - ASR 49
Prelude-IDS (Hybride)
 IDS hybride 1998:
– NIDS : NetWork Intrusion Detection System ;
– HIDS : Host based Intrusion Detection System
– LML : Log Monitoring Lackey.
 Standard IDMEF (Intrusion Detection Message
Exchange Format)
 Possibilité de stocker les logs dans une BDD
– MYSQL/PSQL
 Supporte :
– SNORT / NESSUS et + de 30 analyseurs de logs
 Documentation diffuse et peu abondante
Master 2 Informatique - ASR 50
Prelude-IDS (Hybride)
 Framework
– Une bibliothèque de génération de
messages IDMEF
– gestionnaire d’événements
– un analyseur de logs et d’une console de
visualisation des alertes.
Master 2 Informatique - ASR 51
Prelude-IDS (Hybride)
 Fonctionnement
– Les capteurs remontent des alertes à un manager Prelude.
• Snort
• Syslog
• Prelude lml
– Le manager :
• Collecte les alertes
• Transforme les alertes au format de Prelude en un format
lisible
• Permet des contre-mesures à une attaque
– La communication entre les différents programmes se fait au format
IDMEF (Intrusion Detection Message Exchange Format).
• Utilisation du format XML car très générique comme format
Master 2 Informatique - ASR 52
Prelude-IDS
 Composition
– Libprelude (la librairie Prelude) : la base
• Gestion de la connexion et communication entre composants
• Interface permettant l'intégration de plugins
– Prelude-LML (la sonde locale)
• Alerte locale
• Basée sur l'application à des « objets »
• Pour la surveillance des systèmes
– Unix : syslog
– Windows : ntsyslog.
– Prelude-Manager (le contrôleur)
• Prelude-manager centralise les messages des sondes réseaux
et locales, et les traduit en alertes.
• responsable de la centralisation et de la journalisation
Master 2 Informatique - ASR 53
Prelude-IDS (Hybride)
 Configuration
– Installation de l’ensemble du framework
– Configuration du manager
• /etc/prelude-manager/prelude-manager.conf
– Configuration de lml
• /etc/prelude-lml/prelude-lml.conf
– Configurationde prelude
• /etc/prelude/default/
– Client.conf
– Idmef-client.conf
– Global.conf
– Ajout de sonde : exemple snort
• prelude-admin register snort idmef:w x.x.x.x --uid=0 --gid=0
Master 2 Informatique - ASR 54
Prelude-IDS
 Frontend
– Prewikka (officiel)
– Php-frontend (mort)
– Perl Frontend Prelude (Austère)
Master 2 Informatique - ASR 55
Conclusion
 IDS/IPS en plein Essor
 Algorithme de recherche de signature
 Outils essentiels
– pour surveiller un réseau
– Pour connaitre les attaques
 Attention
– Faille de sécurité sur IDS
– IPS pas encore mature
Master 2 Informatique - ASR 56
Bibliographie
 http://dbprog.developpez.com/securite/ids/
 Cours CEA (Vincent Glaume)
 Wikipedia.org
 Ecriture de règles:
– http://www.groar.org/trad/snort/snort-
faq/writing_snort_rules.html
 https://trac.prelude-ids.org/wiki/PreludeHandbook
 http://lehmann.free.fr/

Contenu connexe

Tendances

Securite informatique
Securite informatiqueSecurite informatique
Securite informatique
Souhaib El
 
Cisco ASA
Cisco ASACisco ASA
Cisco ASA
Thomas Moegli
 
IDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAUIDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAU
CHAOUACHI marwen
 
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
Tidiane Sylla
 
Sécurité informatique
Sécurité informatiqueSécurité informatique
Sécurité informatique
oussama Hafid
 
Etude et mise en place d’une solution open source de gestion de la sécurité d...
Etude et mise en place d’une solution open source de gestion de la sécurité d...Etude et mise en place d’une solution open source de gestion de la sécurité d...
Etude et mise en place d’une solution open source de gestion de la sécurité d...
Mohammed LAAZIZLI
 
Cyber attaques APT avec le framework MITRE ATT&CK
Cyber attaques APT avec le framework MITRE ATT&CKCyber attaques APT avec le framework MITRE ATT&CK
Cyber attaques APT avec le framework MITRE ATT&CK
EyesOpen Association
 
Sécurité informatique - Etat des menaces
Sécurité informatique - Etat des menacesSécurité informatique - Etat des menaces
Sécurité informatique - Etat des menaces
Maxime ALAY-EDDINE
 
Sécurité des Systèmes d'Information et de l'Information
Sécurité des Systèmes d'Information et de l'InformationSécurité des Systèmes d'Information et de l'Information
Sécurité des Systèmes d'Information et de l'Information
Shema Labidi
 
Présentation sécurité informatique naceur chafroud de cynapsys
Présentation sécurité informatique naceur chafroud de cynapsysPrésentation sécurité informatique naceur chafroud de cynapsys
Présentation sécurité informatique naceur chafroud de cynapsys
Jihen KOCHBATI
 
Vpn d’acces avec cisco asa 5500 et client
Vpn d’acces avec cisco asa 5500 et clientVpn d’acces avec cisco asa 5500 et client
Vpn d’acces avec cisco asa 5500 et client
Manassé Achim kpaya
 
Ch_1 - Généralités sur la sécurité informatique.pdf
Ch_1 - Généralités sur la sécurité informatique.pdfCh_1 - Généralités sur la sécurité informatique.pdf
Ch_1 - Généralités sur la sécurité informatique.pdf
Nafissa11
 
Gestion des vulnérabilités dans l'IoT
Gestion des vulnérabilités dans l'IoTGestion des vulnérabilités dans l'IoT
Gestion des vulnérabilités dans l'IoT
Maxime ALAY-EDDINE
 
Gouvernance de la sécurite des Systèmes d'Information Volet-1
Gouvernance de la sécurite des Systèmes d'Information Volet-1Gouvernance de la sécurite des Systèmes d'Information Volet-1
Gouvernance de la sécurite des Systèmes d'Information Volet-1
PRONETIS
 
Enjeux et évolutions de la sécurite informatique
Enjeux et évolutions de la sécurite informatiqueEnjeux et évolutions de la sécurite informatique
Enjeux et évolutions de la sécurite informatique
Maxime ALAY-EDDINE
 
La Sécurité informatiques
La Sécurité informatiquesLa Sécurité informatiques
La Sécurité informatiques
Nouriddin BEN ZEKRI
 
SMSI.pdf
SMSI.pdfSMSI.pdf
SMSI.pdf
HajarSalimi
 
Sécurité des réseaux
Sécurité des réseauxSécurité des réseaux
Sécurité des réseaux
Sehla Loussaief Zayen
 
Sensibilisation sur la cybersécurité
Sensibilisation sur la cybersécuritéSensibilisation sur la cybersécurité
Sensibilisation sur la cybersécurité
OUSMANESoumailaYaye
 
Les systèmes de détection et prévention d’intrusion
Les systèmes de détection et prévention d’intrusionLes systèmes de détection et prévention d’intrusion
Les systèmes de détection et prévention d’intrusion
Intissar Dguechi
 

Tendances (20)

Securite informatique
Securite informatiqueSecurite informatique
Securite informatique
 
Cisco ASA
Cisco ASACisco ASA
Cisco ASA
 
IDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAUIDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAU
 
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
 
Sécurité informatique
Sécurité informatiqueSécurité informatique
Sécurité informatique
 
Etude et mise en place d’une solution open source de gestion de la sécurité d...
Etude et mise en place d’une solution open source de gestion de la sécurité d...Etude et mise en place d’une solution open source de gestion de la sécurité d...
Etude et mise en place d’une solution open source de gestion de la sécurité d...
 
Cyber attaques APT avec le framework MITRE ATT&CK
Cyber attaques APT avec le framework MITRE ATT&CKCyber attaques APT avec le framework MITRE ATT&CK
Cyber attaques APT avec le framework MITRE ATT&CK
 
Sécurité informatique - Etat des menaces
Sécurité informatique - Etat des menacesSécurité informatique - Etat des menaces
Sécurité informatique - Etat des menaces
 
Sécurité des Systèmes d'Information et de l'Information
Sécurité des Systèmes d'Information et de l'InformationSécurité des Systèmes d'Information et de l'Information
Sécurité des Systèmes d'Information et de l'Information
 
Présentation sécurité informatique naceur chafroud de cynapsys
Présentation sécurité informatique naceur chafroud de cynapsysPrésentation sécurité informatique naceur chafroud de cynapsys
Présentation sécurité informatique naceur chafroud de cynapsys
 
Vpn d’acces avec cisco asa 5500 et client
Vpn d’acces avec cisco asa 5500 et clientVpn d’acces avec cisco asa 5500 et client
Vpn d’acces avec cisco asa 5500 et client
 
Ch_1 - Généralités sur la sécurité informatique.pdf
Ch_1 - Généralités sur la sécurité informatique.pdfCh_1 - Généralités sur la sécurité informatique.pdf
Ch_1 - Généralités sur la sécurité informatique.pdf
 
Gestion des vulnérabilités dans l'IoT
Gestion des vulnérabilités dans l'IoTGestion des vulnérabilités dans l'IoT
Gestion des vulnérabilités dans l'IoT
 
Gouvernance de la sécurite des Systèmes d'Information Volet-1
Gouvernance de la sécurite des Systèmes d'Information Volet-1Gouvernance de la sécurite des Systèmes d'Information Volet-1
Gouvernance de la sécurite des Systèmes d'Information Volet-1
 
Enjeux et évolutions de la sécurite informatique
Enjeux et évolutions de la sécurite informatiqueEnjeux et évolutions de la sécurite informatique
Enjeux et évolutions de la sécurite informatique
 
La Sécurité informatiques
La Sécurité informatiquesLa Sécurité informatiques
La Sécurité informatiques
 
SMSI.pdf
SMSI.pdfSMSI.pdf
SMSI.pdf
 
Sécurité des réseaux
Sécurité des réseauxSécurité des réseaux
Sécurité des réseaux
 
Sensibilisation sur la cybersécurité
Sensibilisation sur la cybersécuritéSensibilisation sur la cybersécurité
Sensibilisation sur la cybersécurité
 
Les systèmes de détection et prévention d’intrusion
Les systèmes de détection et prévention d’intrusionLes systèmes de détection et prévention d’intrusion
Les systèmes de détection et prévention d’intrusion
 

Similaire à Mémoire de Master 2 sur les IPS &IDS Open source

Installation et Configuration d_un systeme de Detection d_intrusion (IDS).pdf
Installation et Configuration d_un systeme de Detection d_intrusion (IDS).pdfInstallation et Configuration d_un systeme de Detection d_intrusion (IDS).pdf
Installation et Configuration d_un systeme de Detection d_intrusion (IDS).pdf
ngombeemmanuel
 
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p
Abdellah Alahyane
 
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p
Jean AMANI
 
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p
Abdellah Alahyane
 
Présentation1.pptx
Présentation1.pptxPrésentation1.pptx
Présentation1.pptx
ZokomElie
 
La sécurité.pptx
La sécurité.pptxLa sécurité.pptx
La sécurité.pptx
unanissa
 
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p
AAMOUMHicham
 
Cours sécurité 2_asr
Cours sécurité 2_asrCours sécurité 2_asr
Cours sécurité 2_asr
TECOS
 
Les attaques reseaux par zellagui Amine
Les attaques reseaux par zellagui AmineLes attaques reseaux par zellagui Amine
Les attaques reseaux par zellagui Amine
Zellagui Amine
 
ASFWS 2011 - L’importance du protocole HTTP dans la menace APT
ASFWS 2011 - L’importance du protocole HTTP dans la menace APTASFWS 2011 - L’importance du protocole HTTP dans la menace APT
ASFWS 2011 - L’importance du protocole HTTP dans la menace APT
Cyber Security Alliance
 
Présentation Mémoire Cybersecurity .pptx
Présentation Mémoire Cybersecurity .pptxPrésentation Mémoire Cybersecurity .pptx
Présentation Mémoire Cybersecurity .pptx
KODJO10
 
Snort
SnortSnort
Snort
TchadowNet
 
Copy of PARTIE-1 Introduction à la cyber sécurité.pdf
Copy of PARTIE-1 Introduction à la cyber sécurité.pdfCopy of PARTIE-1 Introduction à la cyber sécurité.pdf
Copy of PARTIE-1 Introduction à la cyber sécurité.pdf
simogamer3
 
Resume-theorique-M209-V1-version-provisoire-0909_2.pdf
Resume-theorique-M209-V1-version-provisoire-0909_2.pdfResume-theorique-M209-V1-version-provisoire-0909_2.pdf
Resume-theorique-M209-V1-version-provisoire-0909_2.pdf
FootballLovers9
 
Réseaux-et-Sécurité.pdf
Réseaux-et-Sécurité.pdfRéseaux-et-Sécurité.pdf
Réseaux-et-Sécurité.pdf
MoufidaHajjaj
 
Jeudi de l AFAI - Evolutions des menaces et adaptation des SOC
Jeudi de l AFAI - Evolutions des menaces et adaptation des SOCJeudi de l AFAI - Evolutions des menaces et adaptation des SOC
Jeudi de l AFAI - Evolutions des menaces et adaptation des SOC
Antoine Vigneron
 
siris1.pdf
siris1.pdfsiris1.pdf
siris1.pdf
ssuserdd27481
 
Parlons Sécurité IT avec Access et Ludovic Peny (Sophos)
Parlons Sécurité IT avec Access et Ludovic Peny (Sophos)Parlons Sécurité IT avec Access et Ludovic Peny (Sophos)
Parlons Sécurité IT avec Access et Ludovic Peny (Sophos)
ACCESS Group
 
Introduction à La Sécurité Informatique 1/2
Introduction à La Sécurité Informatique 1/2Introduction à La Sécurité Informatique 1/2
Introduction à La Sécurité Informatique 1/2
Sylvain Maret
 

Similaire à Mémoire de Master 2 sur les IPS &IDS Open source (20)

Prés kais
Prés kaisPrés kais
Prés kais
 
Installation et Configuration d_un systeme de Detection d_intrusion (IDS).pdf
Installation et Configuration d_un systeme de Detection d_intrusion (IDS).pdfInstallation et Configuration d_un systeme de Detection d_intrusion (IDS).pdf
Installation et Configuration d_un systeme de Detection d_intrusion (IDS).pdf
 
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p
 
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p
 
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p
 
Présentation1.pptx
Présentation1.pptxPrésentation1.pptx
Présentation1.pptx
 
La sécurité.pptx
La sécurité.pptxLa sécurité.pptx
La sécurité.pptx
 
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p
 
Cours sécurité 2_asr
Cours sécurité 2_asrCours sécurité 2_asr
Cours sécurité 2_asr
 
Les attaques reseaux par zellagui Amine
Les attaques reseaux par zellagui AmineLes attaques reseaux par zellagui Amine
Les attaques reseaux par zellagui Amine
 
ASFWS 2011 - L’importance du protocole HTTP dans la menace APT
ASFWS 2011 - L’importance du protocole HTTP dans la menace APTASFWS 2011 - L’importance du protocole HTTP dans la menace APT
ASFWS 2011 - L’importance du protocole HTTP dans la menace APT
 
Présentation Mémoire Cybersecurity .pptx
Présentation Mémoire Cybersecurity .pptxPrésentation Mémoire Cybersecurity .pptx
Présentation Mémoire Cybersecurity .pptx
 
Snort
SnortSnort
Snort
 
Copy of PARTIE-1 Introduction à la cyber sécurité.pdf
Copy of PARTIE-1 Introduction à la cyber sécurité.pdfCopy of PARTIE-1 Introduction à la cyber sécurité.pdf
Copy of PARTIE-1 Introduction à la cyber sécurité.pdf
 
Resume-theorique-M209-V1-version-provisoire-0909_2.pdf
Resume-theorique-M209-V1-version-provisoire-0909_2.pdfResume-theorique-M209-V1-version-provisoire-0909_2.pdf
Resume-theorique-M209-V1-version-provisoire-0909_2.pdf
 
Réseaux-et-Sécurité.pdf
Réseaux-et-Sécurité.pdfRéseaux-et-Sécurité.pdf
Réseaux-et-Sécurité.pdf
 
Jeudi de l AFAI - Evolutions des menaces et adaptation des SOC
Jeudi de l AFAI - Evolutions des menaces et adaptation des SOCJeudi de l AFAI - Evolutions des menaces et adaptation des SOC
Jeudi de l AFAI - Evolutions des menaces et adaptation des SOC
 
siris1.pdf
siris1.pdfsiris1.pdf
siris1.pdf
 
Parlons Sécurité IT avec Access et Ludovic Peny (Sophos)
Parlons Sécurité IT avec Access et Ludovic Peny (Sophos)Parlons Sécurité IT avec Access et Ludovic Peny (Sophos)
Parlons Sécurité IT avec Access et Ludovic Peny (Sophos)
 
Introduction à La Sécurité Informatique 1/2
Introduction à La Sécurité Informatique 1/2Introduction à La Sécurité Informatique 1/2
Introduction à La Sécurité Informatique 1/2
 

Mémoire de Master 2 sur les IPS &IDS Open source

  • 1. Les IDS et IPS Open Source Alexandre MARTIN Jonathan BRIFFAUT
  • 2. Master 2 Informatique - ASR 2 Plan Présentation Générale des IDS Les différents type d’IDS Les méthodes de détection Présentation Générale des IPS Ou placer un IDS / IPS ? Outils Open Source (Aspect Pratique) – SNORT – Prelude-IDS – BRO
  • 3. Master 2 Informatique - ASR 3 Présentation générale des IDS
  • 4. Master 2 Informatique - ASR 4 Qu’est-ce qu’un IDS ? L’IDS (Intrusion Detection System) – Surveiller – Contrôler – Détecter Le système de détection d’intrusion est en voie de devenir un composant critique d’une architecture de sécurité informatique
  • 5. Master 2 Informatique - ASR 5 Justificatif Nombre de failles élevés: – 3273 nouvelles entre Janvier et Juillet 2007 Coût d’une attaque est élevé: – Code Red/Nimda est estimé à 3.2 Milliards $ par Computer Economics Les outils pour lancer les attaques sont facilement disponibles et exploitables
  • 6. Master 2 Informatique - ASR 6 De quoi est constitué un IDS? Un IDS est essentiellement un sniffer couplé avec un moteur qui analyse le trafic selon des règles Ces règles décrivent un trafic à signaler L’IDS peut analyser – Couche Réseau (IP, ICMP) – Couche Transport (TCP, UDP) – Couche Application (HTTP, Telnet) Selon le type de trafic, l’IDS accomplit certaines actions
  • 7. Master 2 Informatique - ASR 7 Vocabulaire Faux-Positif – Fausse alerte levée par l’ids Faux-négatif – Attaque qui n’a pas été repéré par l’IDS Evasion – Technique utilisée pour dissimuler une attaque et faire en sorte qu’elle ne soit pas décelée par l’IDS Sonde : – Composant de l’architecture IDS qui collecte les informations brutes
  • 8. Master 2 Informatique - ASR 8 Actions d’un IDS Journaliser l’événement – Source d’information et vision des menaces courantes Avertir un système avec un message – Exemple: appel SNMP Avertir un humain avec un message – Courrier électronique, SMS, interface web, etc. Amorcer certaines actions sur un réseau ou hôte – Exemple: mettre fin à une connexion réseau, ralentir le débit des connexions, etc. (rôle actif)
  • 9. Master 2 Informatique - ASR 9 Après la Détection Comprendre l’attaque en cours – Recueillir le maximum d’information • Cibles • Sources • Procédé Archiver, tracer : Corrélation avec d’autre événements Préparer une réponse : – Sur le court terme : black-listage – Sur le long terme : application de patches, action en justice…
  • 10. Master 2 Informatique - ASR 10 Les différents types D’IDS
  • 11. Master 2 Informatique - ASR 11 Les types d’IDS Il existe deux types d’IDS : – HIDS (Host IDS) – NIDS (Network IDS )
  • 12. Master 2 Informatique - ASR 12 Le Host IDS Basé dans un ordinateur hôte HIDS permet de surveiller le système et les applications – Les journaux systèmes, – de contrôler l'accès aux appels systèmes, – de vérifier l'intégrité des systèmes de fichiers Le HIDS à accès à des composants non- accessibles sur le réseau – Exemple: la base de registre de Windows Ne surveille qu’un seul hôte
  • 13. Master 2 Informatique - ASR 13 Le Network IDS Un sonde placée dans le réseau – Surveille l’ensemble du réseau – Capture et analyse tout le trafic – Recherche de paquets suspects • Contenu des données • Adresses IP ou MAC source ou destination • … – Envoi d’alertes
  • 14. Master 2 Informatique - ASR 14 HIDS et NIDS Chacun répond à des besoins spécifiques HIDS particulièrement efficaces pour déterminer si un hôte est contaminé NIDS permet de surveiller l’ensemble d’un réseau ≠ HIDS qui est restreint à un hôte
  • 15. Master 2 Informatique - ASR 15 Les méthodes de détection
  • 16. Master 2 Informatique - ASR 16 Les méthodes de détection 2 approches principales pour les IDS: – Par signature – Comportementale • Détection d’anomalie • Vérification d’intégrité
  • 17. Master 2 Informatique - ASR 17 Méthodes de détection : Par Signature Par signature: – Basé sur la reconnaissances de schémas déjà connus – Utilisation d’expressions régulières – Les signatures d’attaques connues sont stockées dans une base; et chaque événement est comparé au contenu de cette base • Si correspondance l’alerte est levée – L’attaque doit être connue pour être détectée – Peu de faux-positifs
  • 18. Master 2 Informatique - ASR 18 Méthodes de détection : Par Signature Méthode la plus simple, basé sur : – Si EVENEMENT matche SIGNATURE Alors ALERTE Facile à implémenter pour tout type d’IDS L’efficacité des ids est liée à la gestion de leur base de signatures – MAJ – Nombre de règles – Signatures suffisamment précises Exemples – Trouver le « motif /winnt/system32/cmd.exe » dans une requête http – Trouver le motif « failed su for root » dans un log système
  • 19. Master 2 Informatique - ASR 19 Méthodes de détection : Par Signature Recherche de motif (pattern matching) – Différents algorithmes • Ceux pour envoyer les négatifs – E2XB • Ceux pour peu de signature – BOYER MOORE – Knuth-Morris-Pratt (KMP). • Nombreuse Signature : – AHO-CORASICK » AUTOMATE DETERMINISTE A*X » A = alphabet » X ensemble fini de mots à rechercher
  • 20. Master 2 Informatique - ASR 20 Méthodes de détection : Par Signature Avantage – Simplicité de mise en œuvre – Rapidité de diagnostic – Précision (en fonction des régles) – Identification du procédé d’attaque • Procédé • Cibles • Sources • Outils Inconvénients – Ne détecte que les attaques connues – Maintenance de la base – Techniques d’évasion possibles dès lors que les signatures sont connues
  • 21. Master 2 Informatique - ASR 21 Méthodes de détection : Par anomalie Basée sur le comportement « normal » du système Une déviation par rapport à ce comportement est considérée suspecte Le comportement doit être modélisé : on définit alors un profil Une attaque peut être détectée sans être préalablement connue
  • 22. Master 2 Informatique - ASR 22 Méthodes de détection : Par anomalie Modélisation du système : création d’un profil normal – Phase d’apprentissage – Détecter une intrusion consiste a détecter un écart – Exemple de profil : • Volumes des échanges réseau • Appels systèmes d’une application • Commandes usuelles d’un utilisateur – Repose sur des outils de complexité diverses • Seuils • Statistique • Méthodes probabilistes • Etc. – Complexité de l’implémentation et du déploiement
  • 23. Master 2 Informatique - ASR 23 Méthodes de détection : Par anomalie Avantages – Permet la détection d’attaque inconnue – Facilite la création de règles adaptées à ces attaques – Difficile à tromper Inconvénients – Les faux-positifs sont nombreux – Générer un profil est complexe • Durée de la phase d’apprentissage • Activité saine du système durant cette phase ? – Diagnostics long et précis en cas d’alerte
  • 24. Master 2 Informatique - ASR 24 Méthodes de détection : Par intégrité Vérification d’intégrité – Génération d’une somme de contrôle sur des fichiers d’un système – Une comparaison est alors effectuée avec une somme de contrôle de référence – Exemple : une page web – Méthode couramment employée par les HIDS
  • 25. Master 2 Informatique - ASR 25 Points négatifs des IDS Technologie complexe Nécessite un degré d’expertise élevé Long à optimiser Réputer pour générer de fausses alertes Encore immature
  • 26. Master 2 Informatique - ASR 26 Présentation générale des IPS
  • 27. Master 2 Informatique - ASR 27 Les IPS IPS = Intrusion Prevention System – Mieux vaut prévenir que guérir Constat : – On suppose pourvoir détecter une intrusion – Pourquoi alors, ne pas la bloquer, l’éliminer ? IDS vers IPS – Terme à la base plutôt marketing – Techniquement : • Un IPS est un IDS qui ajoute des fonctionnalités de blocage pour une anomalie trouvée • IDS devient actif = IPS
  • 28. Master 2 Informatique - ASR 28 Les IPS : SUITE Objectifs : – Interrompre une connexion – Ralentir la connexion – Blacklister les sources Moyens : – Règle Firewall – QoS – Intervention applicatif (Proxy)
  • 29. Master 2 Informatique - ASR 29 IPS : suite Avantages – Attaque bloquée immédiatement Inconvénients – Les faux-positifs – Peut paralyser le réseau
  • 30. Master 2 Informatique - ASR 30 Où placer un IDS IPS ?
  • 31. Master 2 Informatique - ASR 31 Placer un IDS Dépend de ce que l’ont veut ? – Voir les attaques (HoneyPot) • Connaitre les failles de sécurité – surveiller les attaques sur un réseau : • Extérieur • Intérieur
  • 32. Master 2 Informatique - ASR 32 Où placer un IDS IPS Position ( 1 ): •Détection de toutes les attaques •Problèmes •Log trop complet analyse trop complexe : •bon pour un Honeypot (pot de miel) Position ( 2 ): •Placer dans la DMZ •Détecte les attaques •non filtrer par le par feu •Complexe •Non bénigne log clair . Position ( 3 ): Comme 2 + Attaque interne •Judicieux car 80% des attaques sont de l’intérieur •Trojans •Virus •Etc.
  • 33. Master 2 Informatique - ASR 33 Un autre IDS particulier: le Honeypot Ordinateur ou programme volontairement vulnérable destiné à attirer et à piéger les pirates But: – Occuper le pirate – Découvrir de nouvelles attaques – Garder le maximum de traces de l’attaque
  • 34. Master 2 Informatique - ASR 34 Les 2 types Honeypot Faible interaction: – Les plus simple (ex: Honeyd) – Émulation de services sans réel système sous-jacent Forte interaction: – Utilisation d’un réel système d’exploitation plus ou moins sécurisé
  • 35. Master 2 Informatique - ASR 35 Fonctionnement de Honeyd Démon qui créé plusieurs hôtes virtuels sur le réseau Simule l’existence de services actifs sur les hôtes virtuels Les informations sur l’OS simulé sont issues d’un fichier d’empreinte nmap Toutes les connexions entrantes et sortantes sont enregistrées
  • 36. Master 2 Informatique - ASR 36 Les Honeypots Littérature: – Virtual Honeypots: From Botnet Tracking to Intrusion Detection • Niels Provos, Thorsten Holz
  • 37. Master 2 Informatique - ASR 37 Aspect pratique Etude de différents outils OpenSource – Snort • Fonctionnement et mise en place – Bro • Comparaison avec snort • Fonctionnement et Mise en place – Prelude-IDS • Généralité
  • 38. Master 2 Informatique - ASR 38 Snort (NIDS) IDS open source Conçu en 1998 par Marty Roesh racheté par SourceFire Le plus répandu – + 2 000 000 de téléchargements MAJ Temps réel – (OINKMAster) Payant via SourceFire • Sinon attendre version de mise à jour – Bleeding gratuit , CERT
  • 39. Master 2 Informatique - ASR 39 Snort Fonctionnalité – Permet d’interagir avec le firewall pour bloquer des intrusion (IPS) « snort natif, snort-inline, autres plugins » – Possibilité de créer ses propres règles et plugins – Ne permet pas l’envoi d’email ou SMS pour avertir • Utilisation d’autre logiciel en complément – LogSurfer ou Swatch – Installation • Binaire/sources (Au choix)
  • 40. Master 2 Informatique - ASR 40 Snort : Constitution Modulaire – Décodeur De Paquets (Packet decoder) – Préprocesseurs (Preprocessors) – Moteur De Détection (Detection Engine) • ALGO : AHO-CORASICK – Système d'alerte et d'enregistrement de log (Logging and Alerting System) – Modules De Sortie (Output Module) : Possibilité d’enregistrer les logs dans une BDD (MYSQL/PSQL)
  • 41. Master 2 Informatique - ASR 41 Snort : Constitution Configuration sous Unix – /etc/snort/snort.conf • 1 Configuration des variables pour le réseau – Configuration des reseaux a écouter – Configuration des services à logguer (http/dns/etc…) • 2 Configuration des pré-processeurs • 3 Configuration des plugins de sortie – Mysql/psql/ecran/etc… • 4 Choix des règles à utiliser – /etc/snort/rules (ensemble des signatures)
  • 42. Master 2 Informatique - ASR 42 Les règles Snort Exemples de règles: – Pour détecter les tentatives de login sous l'utilisateur root, pour le protocole ftp (port 21): • alert tcp any any - 192.168.1.0/24 21 (content: USER root; nocase; msg: FTP root user access attempt;) – Tentative d’accès à des sites non autorisés: • alert tcp any any 192.168.1.0/24 any (content-list: adults; msg: Adults list access attempt; react: block;)
  • 43. Master 2 Informatique - ASR 43 Snort et les interfaces Graphiques ACID/BASE – Permet de voir les log dans une BDD – Catégorise – Lien vers failles de sécurité
  • 44. Master 2 Informatique - ASR 44 Base
  • 45. Master 2 Informatique - ASR 45 Le NIDS Bro NIDS Open Source – Développé par Berkeley (Chercheurs) – Langage de script propre à Bro – Utilisation d’expression régulières dans les signatures – Possibilité d’exécuter des programmes tiers après détection d’intrusion • Exemple: reconfigurer un routeur – Compatible avec les règles Snort • Grâce à snort2bro – Dynamic Protocol Detection
  • 46. Master 2 Informatique - ASR 46 Le fonctionnement de Bro Architecture en 3 couches: – Module Packet Capture: sniffe le trafic réseau et l’envoie à la couche supérieure – Module Event Engine: Analyse les flux et les paquets – Module Policy Layer: utilise les scripts Bro pour traiter les événements et appliquer les politiques
  • 47. Master 2 Informatique - ASR 47 Signature Bro Exemple de Signature Bro: signature sid-1327 { ip-proto == tcp src-ip != local_nets dst-ip == local_nets dst-port == 22 event EXPLOIT ssh CRC32 overflow tcp-state established,originator payload /x00x01x57x00x00x00x18/ payload /.{7}xFFxFFxFFxFFx00x00/ }
  • 48. Master 2 Informatique - ASR 48 Comparatif Snort - Bro Snort Bro Avantages + nouvelles règles très régulièrement proposées + nombreux plugins, frontends, consoles de management, ... + mise en œuvre basique rapide + beaucoup de documentations + fichiers d'alertes très complets (header des paquets, lien vers description de l'attaque, ...) + forte customisation - IDS très difficile à détecter par un pirate + langage de script puissant + configuration très simple grâce à un script interactif Inconvénients - configuration essentiellement par édition de fichiers texte - de nombreuses fonctionnalités payantes -fichiers d'alertes pas très compréhensibles -peu d'informations dans les rapports d'alertes -documentation incomplète -aucune interface graphique
  • 49. Master 2 Informatique - ASR 49 Prelude-IDS (Hybride) IDS hybride 1998: – NIDS : NetWork Intrusion Detection System ; – HIDS : Host based Intrusion Detection System – LML : Log Monitoring Lackey. Standard IDMEF (Intrusion Detection Message Exchange Format) Possibilité de stocker les logs dans une BDD – MYSQL/PSQL Supporte : – SNORT / NESSUS et + de 30 analyseurs de logs Documentation diffuse et peu abondante
  • 50. Master 2 Informatique - ASR 50 Prelude-IDS (Hybride) Framework – Une bibliothèque de génération de messages IDMEF – gestionnaire d’événements – un analyseur de logs et d’une console de visualisation des alertes.
  • 51. Master 2 Informatique - ASR 51 Prelude-IDS (Hybride) Fonctionnement – Les capteurs remontent des alertes à un manager Prelude. • Snort • Syslog • Prelude lml – Le manager : • Collecte les alertes • Transforme les alertes au format de Prelude en un format lisible • Permet des contre-mesures à une attaque – La communication entre les différents programmes se fait au format IDMEF (Intrusion Detection Message Exchange Format). • Utilisation du format XML car très générique comme format
  • 52. Master 2 Informatique - ASR 52 Prelude-IDS Composition – Libprelude (la librairie Prelude) : la base • Gestion de la connexion et communication entre composants • Interface permettant l'intégration de plugins – Prelude-LML (la sonde locale) • Alerte locale • Basée sur l'application à des « objets » • Pour la surveillance des systèmes – Unix : syslog – Windows : ntsyslog. – Prelude-Manager (le contrôleur) • Prelude-manager centralise les messages des sondes réseaux et locales, et les traduit en alertes. • responsable de la centralisation et de la journalisation
  • 53. Master 2 Informatique - ASR 53 Prelude-IDS (Hybride) Configuration – Installation de l’ensemble du framework – Configuration du manager • /etc/prelude-manager/prelude-manager.conf – Configuration de lml • /etc/prelude-lml/prelude-lml.conf – Configurationde prelude • /etc/prelude/default/ – Client.conf – Idmef-client.conf – Global.conf – Ajout de sonde : exemple snort • prelude-admin register snort idmef:w x.x.x.x --uid=0 --gid=0
  • 54. Master 2 Informatique - ASR 54 Prelude-IDS Frontend – Prewikka (officiel) – Php-frontend (mort) – Perl Frontend Prelude (Austère)
  • 55. Master 2 Informatique - ASR 55 Conclusion IDS/IPS en plein Essor Algorithme de recherche de signature Outils essentiels – pour surveiller un réseau – Pour connaitre les attaques Attention – Faille de sécurité sur IDS – IPS pas encore mature
  • 56. Master 2 Informatique - ASR 56 Bibliographie http://dbprog.developpez.com/securite/ids/ Cours CEA (Vincent Glaume) Wikipedia.org Ecriture de règles: – http://www.groar.org/trad/snort/snort- faq/writing_snort_rules.html https://trac.prelude-ids.org/wiki/PreludeHandbook http://lehmann.free.fr/