![Page 1: Détection dintrusions Illustration avec Snort. Introduction Pourquoi un IDS ? 2](https://reader036.vdocuments.mx/reader036/viewer/2022062307/551d9db5497959293b8d99d0/html5/thumbnails/1.jpg)
Détection d’intrusions
Illustration avec Snort
![Page 2: Détection dintrusions Illustration avec Snort. Introduction Pourquoi un IDS ? 2](https://reader036.vdocuments.mx/reader036/viewer/2022062307/551d9db5497959293b8d99d0/html5/thumbnails/2.jpg)
2
Introduction
• Pourquoi un IDS ?
![Page 3: Détection dintrusions Illustration avec Snort. Introduction Pourquoi un IDS ? 2](https://reader036.vdocuments.mx/reader036/viewer/2022062307/551d9db5497959293b8d99d0/html5/thumbnails/3.jpg)
3
Les différents IDS
• Les NIDS – Network Intrusion Detection System
• Les HIDS– Host Intrusion Detection System
• Les IPS– Intrusion Protection System
![Page 4: Détection dintrusions Illustration avec Snort. Introduction Pourquoi un IDS ? 2](https://reader036.vdocuments.mx/reader036/viewer/2022062307/551d9db5497959293b8d99d0/html5/thumbnails/4.jpg)
4
Les NIDS
![Page 5: Détection dintrusions Illustration avec Snort. Introduction Pourquoi un IDS ? 2](https://reader036.vdocuments.mx/reader036/viewer/2022062307/551d9db5497959293b8d99d0/html5/thumbnails/5.jpg)
5
Les HIDS
![Page 6: Détection dintrusions Illustration avec Snort. Introduction Pourquoi un IDS ? 2](https://reader036.vdocuments.mx/reader036/viewer/2022062307/551d9db5497959293b8d99d0/html5/thumbnails/6.jpg)
6
Les IPS
![Page 7: Détection dintrusions Illustration avec Snort. Introduction Pourquoi un IDS ? 2](https://reader036.vdocuments.mx/reader036/viewer/2022062307/551d9db5497959293b8d99d0/html5/thumbnails/7.jpg)
7
Les techniques de détéction
• L'analyse comportementale• Vérification de la pile protocolaire• Vérification des protocoles applicatifs• La gestion de ressources• Le Pattern matching
![Page 8: Détection dintrusions Illustration avec Snort. Introduction Pourquoi un IDS ? 2](https://reader036.vdocuments.mx/reader036/viewer/2022062307/551d9db5497959293b8d99d0/html5/thumbnails/8.jpg)
8
L'analyse comportementale
• Basé sur les “habitudes”
• Nécessite un apprentissage péalable
• Peu fiable sur certains réseaux
![Page 9: Détection dintrusions Illustration avec Snort. Introduction Pourquoi un IDS ? 2](https://reader036.vdocuments.mx/reader036/viewer/2022062307/551d9db5497959293b8d99d0/html5/thumbnails/9.jpg)
9
Vérification de la pile protocolaire
• Comparaison au travers de structures définis
• Peu de fausses erreurs
![Page 10: Détection dintrusions Illustration avec Snort. Introduction Pourquoi un IDS ? 2](https://reader036.vdocuments.mx/reader036/viewer/2022062307/551d9db5497959293b8d99d0/html5/thumbnails/10.jpg)
10
Vérification de la pile protocolaire
![Page 11: Détection dintrusions Illustration avec Snort. Introduction Pourquoi un IDS ? 2](https://reader036.vdocuments.mx/reader036/viewer/2022062307/551d9db5497959293b8d99d0/html5/thumbnails/11.jpg)
11
Vérification des protocoles applicatifs
• Analyse du contenu et non de la structure
![Page 12: Détection dintrusions Illustration avec Snort. Introduction Pourquoi un IDS ? 2](https://reader036.vdocuments.mx/reader036/viewer/2022062307/551d9db5497959293b8d99d0/html5/thumbnails/12.jpg)
12
La gestion de ressources
• Surveillance précise des ressources – CPU– RAM– HDD– etc
• Peu pratique sur des réseaux importants – Plutôt utile sur HIDS
![Page 13: Détection dintrusions Illustration avec Snort. Introduction Pourquoi un IDS ? 2](https://reader036.vdocuments.mx/reader036/viewer/2022062307/551d9db5497959293b8d99d0/html5/thumbnails/13.jpg)
13
Le Pattern Matching
• Comparaison à une base de signatures
• Charge CPU élevée quand traffic important
• Nécessite une mise à jour de la BDS
![Page 14: Détection dintrusions Illustration avec Snort. Introduction Pourquoi un IDS ? 2](https://reader036.vdocuments.mx/reader036/viewer/2022062307/551d9db5497959293b8d99d0/html5/thumbnails/14.jpg)
14
Le Pattern Matching
![Page 15: Détection dintrusions Illustration avec Snort. Introduction Pourquoi un IDS ? 2](https://reader036.vdocuments.mx/reader036/viewer/2022062307/551d9db5497959293b8d99d0/html5/thumbnails/15.jpg)
15
Les alertes
• Affichage temp réel• Génération de fichier Log• Enregistrement Base de donnée• Envoi traps SNMP• Et bien d’autres ...
![Page 16: Détection dintrusions Illustration avec Snort. Introduction Pourquoi un IDS ? 2](https://reader036.vdocuments.mx/reader036/viewer/2022062307/551d9db5497959293b8d99d0/html5/thumbnails/16.jpg)
16
Snort
• Présentation• Possibilités• Structure de Snort• La détection• Interface (exemple avec BASE)• Les addons• Démo
![Page 17: Détection dintrusions Illustration avec Snort. Introduction Pourquoi un IDS ? 2](https://reader036.vdocuments.mx/reader036/viewer/2022062307/551d9db5497959293b8d99d0/html5/thumbnails/17.jpg)
17
Présentation
• Open Source (GPL)• Codé parMarty Roesch• Repris Sourcefire, Inc.• Snort est un moteur de détection– Add-ons disponibles– Alertes– Configuration– Rules
![Page 18: Détection dintrusions Illustration avec Snort. Introduction Pourquoi un IDS ? 2](https://reader036.vdocuments.mx/reader036/viewer/2022062307/551d9db5497959293b8d99d0/html5/thumbnails/18.jpg)
18
Possibilités
• Détection signatures et anomalies• Communauté active– Mise à jours
• Gére détection et prévention• Prévention grâce à– Snort Inline– FlexResp2
![Page 19: Détection dintrusions Illustration avec Snort. Introduction Pourquoi un IDS ? 2](https://reader036.vdocuments.mx/reader036/viewer/2022062307/551d9db5497959293b8d99d0/html5/thumbnails/19.jpg)
19
Structure
![Page 20: Détection dintrusions Illustration avec Snort. Introduction Pourquoi un IDS ? 2](https://reader036.vdocuments.mx/reader036/viewer/2022062307/551d9db5497959293b8d99d0/html5/thumbnails/20.jpg)
20
Interfacage
• BASE– ACID
• SGUIL– Module Squert
![Page 21: Détection dintrusions Illustration avec Snort. Introduction Pourquoi un IDS ? 2](https://reader036.vdocuments.mx/reader036/viewer/2022062307/551d9db5497959293b8d99d0/html5/thumbnails/21.jpg)
21
BASE
• Basic Analysis and Security Engine– Interface Web– Rapports– Graphique– Visualisation temps réel
![Page 22: Détection dintrusions Illustration avec Snort. Introduction Pourquoi un IDS ? 2](https://reader036.vdocuments.mx/reader036/viewer/2022062307/551d9db5497959293b8d99d0/html5/thumbnails/22.jpg)
22
BASE
![Page 23: Détection dintrusions Illustration avec Snort. Introduction Pourquoi un IDS ? 2](https://reader036.vdocuments.mx/reader036/viewer/2022062307/551d9db5497959293b8d99d0/html5/thumbnails/23.jpg)
23
SGUIL
• Même principe que Base
• Pas d’interface Web
• Module Squert :– Compte rendu léger
![Page 24: Détection dintrusions Illustration avec Snort. Introduction Pourquoi un IDS ? 2](https://reader036.vdocuments.mx/reader036/viewer/2022062307/551d9db5497959293b8d99d0/html5/thumbnails/24.jpg)
24
SGUIL
![Page 25: Détection dintrusions Illustration avec Snort. Introduction Pourquoi un IDS ? 2](https://reader036.vdocuments.mx/reader036/viewer/2022062307/551d9db5497959293b8d99d0/html5/thumbnails/25.jpg)
25
Addons
• Oinkmaster– Gestion de mises à jours :• Officielles• Bleeding Snort• Tiers
![Page 26: Détection dintrusions Illustration avec Snort. Introduction Pourquoi un IDS ? 2](https://reader036.vdocuments.mx/reader036/viewer/2022062307/551d9db5497959293b8d99d0/html5/thumbnails/26.jpg)
26
Addons
• Snort Inline– IPS basé sur snort– Permet la communication avec parefeu• Récupération de données• Mise en place de contremesures
![Page 27: Détection dintrusions Illustration avec Snort. Introduction Pourquoi un IDS ? 2](https://reader036.vdocuments.mx/reader036/viewer/2022062307/551d9db5497959293b8d99d0/html5/thumbnails/27.jpg)
27
Techniques Anti-IDS
• ROMAIN
![Page 28: Détection dintrusions Illustration avec Snort. Introduction Pourquoi un IDS ? 2](https://reader036.vdocuments.mx/reader036/viewer/2022062307/551d9db5497959293b8d99d0/html5/thumbnails/28.jpg)
28
Conclusion
• Plus non négligeable• Sécurité ne peut être garantie à 100%• Nécessite une implémentation correct• Peu avoir des effets inverses
![Page 29: Détection dintrusions Illustration avec Snort. Introduction Pourquoi un IDS ? 2](https://reader036.vdocuments.mx/reader036/viewer/2022062307/551d9db5497959293b8d99d0/html5/thumbnails/29.jpg)
29
Démo