WOW !! MUCH LOVE ! SO WORLD PEACE !
Fond bitcoin pour l'amélioration du site: 1memzGeKS7CB3ECNkzSn2qHwxU6NZoJ8o
  Dogecoin (tips/pourboires): DCLoo9Dd4qECqpMLurdgGnaoqbftj16Nvp


Home | Publier un mémoire | Une page au hasard

 > 

Mise en place d'un système de détection d'intrusion avec snort.

( Télécharger le fichier original )
par Yanice CHACHA
Ecole Supérieure de Gestion d'Informatique et des Sciences - Licence en Ingénierie Informatique et Réseaux (Option: Systèmes Réseaux et Sécurité;) 2013
  

précédent sommaire suivant

Bitcoin is a swarm of cyber hornets serving the goddess of wisdom, feeding on the fire of truth, exponentially growing ever smarter, faster, and stronger behind a wall of encrypted energy

Deuxième partie :

Réalisé et présenté par Yanice CHACHA

17

Mise en place d'un système de détection d'intrusion avec SNORT

I. Objectifs

Les objectifs que nous poursuivons dans cette mise en oeuvre sont les suivants :

- Mettre en place un système capable de détecter tout type de trafic à l'entrée du réseau que l'on veut sécuriser

- Pouvoir bloquer automatiquement toutes connexions entrantes dans le réseau suite à une tentative d'intrusion

II. IDS, IPS et Choix de SNORT A- Les IDS

1. Qu'est-ce que la détection d'intrusion ?

En sécurité informatique, la détection d'intrusion est l'acte de détecter les actions qui essaient de compromettre la confidentialité, l'intégrité ou la disponibilité d'une ressource. La détection d'intrusion peut être effectuée manuellement ou automatiquement. Dans le processus de détection d'intrusion manuelle, un analyste humain procède à l'examen de fichiers de logs à la recherche de tout signe suspect pouvant indiquer une intrusion

2. Définition d'un IDS

Un IDS (Intrusion Detection System) est un mécanisme destinée à repérer les activités anormales ou suspectes sur la cible analysée (réseau ou hôte). Il permet ainsi d'avoir une connaissance sur les tentatives reçues réussies comme échouées des tentatives.

3. Pourquoi faut - il mettre un IDS ?

Schématiquement il existe deux types de sécurité en informatique que sont la sécurité active et la sécurité passive. La sécurité active regroupe les actions sur les flux (autorisations et interdictions etc. ...) ; on y retrouve les pare-feu, les relais applicatifs, les relayeurs de messagerie etc... La sécurité passive, elle n'agit pas sur les flux entrants. Elle permet de reconnaître les flux hostiles. On y retrouve les IDS.

En effet la sécurité active n'est pas suffisante puisque le pare-feu ne peut contrer toutes les menaces, les techniques de hacking sont en constante innovation et il existe de potentielles failles selon les fonctionnalités des systèmes sans compter que ces failles sont inhérentes pour certains OS. Les IDS permettent de remonter la source des attaques, la détection des techniques employées et les traces en cas d'intrusion qui constituent des preuves tangibles. Ils sont une aide indispensable pour se prémunir des intrusions en prenant des mesures de sécurité adéquates.

4. Fonctionnement d'un IDS

Lorsqu'une intrusion est découverte par un IDS, les actions typiques qu'il peut entreprendre sont par exemple d'enregistrer l'information pertinente dans un fichier ou une base de données, de générer une alerte par e-mail ou un message sur un pager ou un téléphone mobile. Déterminer quelle est réellement l'intrusion détectée et entreprendre certaines actions pour y mettre fin ou l'empêcher de se reproduire, ne font généralement pas partie du domaine de la détection d'intrusion. Cependant, quelques formes de réaction automatique peuvent être implémentées par l'interaction de l'IDS et de systèmes de contrôle d'accès tels que les pare-feu. Les techniques de détection d'intrusion. Deux techniques de détection d'intrusion sont généralement mises en oeuvre par les IDS courants :

La détection d'abus (misuse detection) : dans la détection d'abus (aussi appelée détection de mauvaise utilisation), l'IDS analyse l'information recueillie et la compare (pattern matching, approche par scénarii) avec une base de données

Réalisé et présenté par Yanice CHACHA

18

Mise en place d'un système de détection d'intrusion avec SNORT

de signatures (motifs définis, caractéristiques explicites) d'attaques connues (i.e., qui ont déjà été documentées), et toute activité correspondante est considérée comme une attaque (avec différents niveaux de sévérité).

La détection d'anomalie (anomaly detection) : la détection d'anomalie de comportement est une technique assez ancienne (elle est utilisée également pour détecter des comportements suspects en téléphonie, comme le phreaking). L'idée principale est de modéliser durant une période d'apprentissage le comportement «normal» d'un système/programme/utilisateur en définissant une ligne de conduite (dite baseline ou profil3), et de considérer ensuite (en phase de détection) comme suspect tout comportement inhabituel (les déviations significatives par rapport au modèle de comportement «normal»).

Trafic réseau/Application

Détection
Abus/Anomalie

Alerte

Réaction IDS selon
configuration

Analyse Humaine

Logs

Collecte

d'informat
ions sur

l'attaque/l'
attaquant

Blocage

Schéma de fonctionnement d'un IDS

précédent sommaire suivant






Bitcoin is a swarm of cyber hornets serving the goddess of wisdom, feeding on the fire of truth, exponentially growing ever smarter, faster, and stronger behind a wall of encrypted energy







© Memoire Online 2000-2023
Pour toute question contactez le webmaster

"Enrichissons-nous de nos différences mutuelles "   Paul Valery