1
Mise en place d’un système de
     détection d’intrusion
 (Snort,FWSnort,RKHunter)
             Kais MADI
           Encadrée par:
          Mr . Zied OURDA




                2
PLAN

Introduction
Sécurité de réseaux informatiques
Attaque au réseaux informatique
Les solutions courante
Système de détection d’intrusion
Snort
FWSnort
RKHunter
Base
PulledPork
Active Response sous Windows
Conclusion

                              3
Introduction


Après une année qui a établi un nouveau record pour
les logiciels malveillants, avec 26 millions de nouveaux
malware, de téraoctet d’information privée sont volé.
Le cyber guerre a été l'un des grands titres de
l'année. Donc il est nécessaire d’utilise une ensemble
des moyens techniques, organisationnels, juridiques
et humains et le mis en place pour
conserver, rétablir, et garantir la sécurité du système
d'information.

                          4
Sécurité de réseaux
   informatique




         5
Attaque au réseaux informatique


 Attaque Dos           Scan de port
   ARP Poisoning
   ICMP redirect
   SYN Flood
   UDP Flood




                   6
Solution courante


Architecture réseau              Le contrôle externe de
Sécurisée                        sécurité
Sécurité des équipements
réseau
Protection des systèmes          Contrôle interne de
et des applications réseau       sécurité



                             7
Système de détection
     d’intrusion




         8
Système de détection d’intrusion


  Ensemble de composants logiciels et matériels dont la
  fonction principale est de détecter tout type
  d’attaque.




                          9
Type de système de détection
          d’intrusion


Les systèmes de détection d’intrusions réseaux
Les systèmes de détection d’intrusions de type hôte
Les systèmes de détection d’intrusions hybrides
Les systèmes de prévention d’intrusions




                        10
Technique de détection


Par signature
  les IDS réseaux se basent sur un ensemble de signatures
  qui représentent chacune le profil d'une attaque.
Par anomalie
  Leur déploiement nécessite une phase d'apprentissage
  pendant laquelle l'outil va apprendre le comportement
  "normal" des fluxs applicatifs présents sur son réseau.
Par Vérification d’intégrité

                          11
Emplacement d’un ids dans le
                       réseaux

                                              Mail Serveur




                                              Web Serveur




                                              FTP Serveur




                                                DMZ
IDS Mangement Station




             Réseaux interne   12
SNORT




  13
Snort


Snort est un système de détection d'intrusion libre à
l'origine écrit par Martin Roesch, il appartient
actuellement à Sourcefire. Il combinant les avantages
de la signature, l’analyse de protocole, et l’inspection
basée sur les anomalies.




                         14
Paquets décodeur


               le choix de décodeur et
               dépend de protocole de
               couche liaison. Snort
               supporte un certain
               nombre de protocole de
               couches liaison
               telque,Ethernet, 802.11,
               Token Ring, FDDI, Cisco
               HDLC, SLIP, PPP, et PF
               d'OpenBSD.



      15
Préprocesseur




            il fournie une variété de
            fonctions, de la
            normalisation du
            protocole, à la détection
            statique, à détection basée
            sur l’anomalie.



     16
Moteur de détection



              La plupart de la capacité de
              Snort pour détecter les attaques
              se matérialise dans les règles qui
              sont utilisés pour construire le
              moteur de détection.




        17
Génération d’alerte


               si les données correspondent
               à une règle dans le moteur de
               détection, une alerte est
               déclenchée. Les alertes
               peuvent être envoyées à un
               fichier journal, via une
               connexion réseau, à travers
               des sockets UNIX ou Windows
               Popup (SMB), ou SNMP
               alertes traps.il peut être
               également stockée dans une
               base de données comme
               MySQL et Postgres.
        18
FWSnort




  19
FWSnort


FWSnort est un système de
prévention d'intrusion
agissant de pair avec le pare-
feu iptable ( intégré dans
ubuntu) afin de bloquer des
attaques réseau qu'il
détecte. fwsnort, comme
son nom l'indique, convertit
les règles de Snort dans le
pare-feu iptables.
                                 20
Basic




 21
Basic Analysis and
Security Engine est une
interface graphique écrite
en PHP utilisée pour
afficher les logs générés
par l'IDS Snort et envoyés
dans la base de données.



                             22
Active Response sous Windows




             23
24
SASS
     XML computing
     Cloud




25
DEMO




 26
Conclusion


je fais une étude théorique de système de détection d’intrusion
et finalement j’ai réussi à mis en place le système de détection
d’intrusion snort, et je fais une étude pratique sur le attaque du
réseau informatiques et je tester avec l’outil Snort comment
détectera ces attaques. Ainsi je réussis à intégrer d’autres outils
de sécurité comme le firewall iptable et le Nips fwsnort et le Hids
rkhunter avec snort pour améliorer la sécurité de réseaux. et j’ai
crée une application de réponse active sur le système
d’exploitation windows.
 Ce travail peut-être amélioré, par l’implémentation de ce
système de NIDSsnort ,IPS fwsnort,hids rkhunter sous
l’architecture cloud computing.

                              27
28

Prés kais

  • 1.
  • 2.
    Mise en placed’un système de détection d’intrusion (Snort,FWSnort,RKHunter) Kais MADI Encadrée par: Mr . Zied OURDA 2
  • 3.
    PLAN Introduction Sécurité de réseauxinformatiques Attaque au réseaux informatique Les solutions courante Système de détection d’intrusion Snort FWSnort RKHunter Base PulledPork Active Response sous Windows Conclusion 3
  • 4.
    Introduction Après une annéequi a établi un nouveau record pour les logiciels malveillants, avec 26 millions de nouveaux malware, de téraoctet d’information privée sont volé. Le cyber guerre a été l'un des grands titres de l'année. Donc il est nécessaire d’utilise une ensemble des moyens techniques, organisationnels, juridiques et humains et le mis en place pour conserver, rétablir, et garantir la sécurité du système d'information. 4
  • 5.
  • 6.
    Attaque au réseauxinformatique Attaque Dos Scan de port ARP Poisoning ICMP redirect SYN Flood UDP Flood 6
  • 7.
    Solution courante Architecture réseau Le contrôle externe de Sécurisée sécurité Sécurité des équipements réseau Protection des systèmes Contrôle interne de et des applications réseau sécurité 7
  • 8.
    Système de détection d’intrusion 8
  • 9.
    Système de détectiond’intrusion Ensemble de composants logiciels et matériels dont la fonction principale est de détecter tout type d’attaque. 9
  • 10.
    Type de systèmede détection d’intrusion Les systèmes de détection d’intrusions réseaux Les systèmes de détection d’intrusions de type hôte Les systèmes de détection d’intrusions hybrides Les systèmes de prévention d’intrusions 10
  • 11.
    Technique de détection Parsignature les IDS réseaux se basent sur un ensemble de signatures qui représentent chacune le profil d'une attaque. Par anomalie Leur déploiement nécessite une phase d'apprentissage pendant laquelle l'outil va apprendre le comportement "normal" des fluxs applicatifs présents sur son réseau. Par Vérification d’intégrité 11
  • 12.
    Emplacement d’un idsdans le réseaux Mail Serveur Web Serveur FTP Serveur DMZ IDS Mangement Station Réseaux interne 12
  • 13.
  • 14.
    Snort Snort est unsystème de détection d'intrusion libre à l'origine écrit par Martin Roesch, il appartient actuellement à Sourcefire. Il combinant les avantages de la signature, l’analyse de protocole, et l’inspection basée sur les anomalies. 14
  • 15.
    Paquets décodeur le choix de décodeur et dépend de protocole de couche liaison. Snort supporte un certain nombre de protocole de couches liaison telque,Ethernet, 802.11, Token Ring, FDDI, Cisco HDLC, SLIP, PPP, et PF d'OpenBSD. 15
  • 16.
    Préprocesseur il fournie une variété de fonctions, de la normalisation du protocole, à la détection statique, à détection basée sur l’anomalie. 16
  • 17.
    Moteur de détection La plupart de la capacité de Snort pour détecter les attaques se matérialise dans les règles qui sont utilisés pour construire le moteur de détection. 17
  • 18.
    Génération d’alerte si les données correspondent à une règle dans le moteur de détection, une alerte est déclenchée. Les alertes peuvent être envoyées à un fichier journal, via une connexion réseau, à travers des sockets UNIX ou Windows Popup (SMB), ou SNMP alertes traps.il peut être également stockée dans une base de données comme MySQL et Postgres. 18
  • 19.
  • 20.
    FWSnort FWSnort est unsystème de prévention d'intrusion agissant de pair avec le pare- feu iptable ( intégré dans ubuntu) afin de bloquer des attaques réseau qu'il détecte. fwsnort, comme son nom l'indique, convertit les règles de Snort dans le pare-feu iptables. 20
  • 21.
  • 22.
    Basic Analysis and SecurityEngine est une interface graphique écrite en PHP utilisée pour afficher les logs générés par l'IDS Snort et envoyés dans la base de données. 22
  • 23.
  • 24.
  • 25.
    SASS XML computing Cloud 25
  • 26.
  • 27.
    Conclusion je fais uneétude théorique de système de détection d’intrusion et finalement j’ai réussi à mis en place le système de détection d’intrusion snort, et je fais une étude pratique sur le attaque du réseau informatiques et je tester avec l’outil Snort comment détectera ces attaques. Ainsi je réussis à intégrer d’autres outils de sécurité comme le firewall iptable et le Nips fwsnort et le Hids rkhunter avec snort pour améliorer la sécurité de réseaux. et j’ai crée une application de réponse active sur le système d’exploitation windows. Ce travail peut-être amélioré, par l’implémentation de ce système de NIDSsnort ,IPS fwsnort,hids rkhunter sous l’architecture cloud computing. 27
  • 28.