WOW !! MUCH LOVE ! SO WORLD PEACE !
Fond bitcoin pour l'amélioration du site: 1memzGeKS7CB3ECNkzSn2qHwxU6NZoJ8o
  Dogecoin (tips/pourboires): DCLoo9Dd4qECqpMLurdgGnaoqbftj16Nvp


Home | Publier un mémoire | Une page au hasard

 > 

Etude de mise en place d'un système de détection d'intrusion avec alerte


par Ahmed Cherif Haidara
Groupe ISI (Senegal) - BTS (Licence professionnelle) 2022
  

précédent sommaire

Bitcoin is a swarm of cyber hornets serving the goddess of wisdom, feeding on the fire of truth, exponentially growing ever smarter, faster, and stronger behind a wall of encrypted energy

4.4.3 Présentation de Suricata

Suricata est un logiciel open source de détection d'intrusion (IDS), de prévention d'intrusion (IPS), et de supervision de sécurité réseau (NSM). Il est développé par la fondation OISF (Open Information Security Fondation). Suricata permet l'inspection des Paquets en Profondeur.

4.4.4 Présentation de Snort

Le système de détection et de prévention des intrusions (IDS/IPS) Snort a la capacité d'effectuer une analyse du trafic en temps réel et un enregistrement des paquets sur les réseaux IP. Snort effectue l'analyse des protocoles, la recherche et la mise en correspondance des contenus.

4.4.5 Présentation de OSSEC

OSSEC est un HIDS (Host Intrusion Détection System). Il a pour objectif de détecter un comportement anormal sur une machine. Il collecte les informations qui lui sont envoyées par les équipements, il utilise les signatures ou le comportement pour détecter une anomalie. Un agent est installé sur chacune des machines. Je vais vous expliquer comment mettre celui-ci en place lors de ce tutoriel.

3Comparaison de solution libre

Solutions

Points fort

Point Faible

Pfsense

-Filtrage des sources de destinations au niveau des adresses IP, protocole et port UDP TCP

-Capacité à limiter le nombre de connexion règle par règle.

-Pfsense utilise pf0 pour filtrer un système d'exploitation qui initie la connexion utilisant des systèmes FreeBSD

-La mauvaise configuration peut causer des problèmes

-Mettre en danger en ayant pas trop métriser la sécurité ou fait des recherches

SURICATA

-Analyse protocolaire

-Interactionavecles transferts de fichiers

-performance élevé

-Mono serveur

-Vulnérabilités des sondes

Taux positifs

SNORT

-Base de signature importante

-Documentation riche

-Couplage avec d'autres outils

-Moteur de détection

Mis à jour régulière de la signature

-Vulnérabilités des ondes

-nombreuses fonctionnalités payantes

-Avoir des connaissances en sécurité

OSSEC

-Vérification de l'intégrité de la solution

-Surveillances de journal

-Détection de rootkit

-Manques informations sur les alertes

-vulnérabilités des sondes

4.5.6 Outil technologie mise en oeuvre

Pour installer pfsense on aura besoin de télécharger le fichier iso dans le site de pfsense et commencer à crées la machine virtuelle dans Virtual box.

4.5.7 Outil technologie mise en oeuvre

Pour installer pfsense on aura besoin de télécharger le fichier iso dans le site de pfsense et commencer à crées la machine virtuelle dans Virtual box.

Ø Installation de pfsense

ü Pour l'installation de pfsense nous allons télécharger le fichier iso dans le site de pfsense

Configuration des protocoles SMTP, IMAP, et POP3 pour la notification par E-mail sur pfsense. Avant d'établir cette notification il faudra d'abord configurer quelques ptotocoles qui nous sont indispensable et qui nous pemettra de configurer la notification par E-mail. Tout d'abord la machine virtuelle utilisée est Debian11.

Ø Configurer le Protocole DNS et vérifier s'il fonctonne après en utilisant nslookup.

Ø Configurer postfix qui est un serveur de messagerie électronique qui permet d'accéder aux mail sans problèmes après configuration.

Ø Configurer Dovecot qui est un serveur IMAP et POP3 destiné à fonctionner sur plusieurs systèmes d'eploitation comme (Linux/UNIX, FreeBSD, MacOS).

Ø Faire en sorte que la machine hote et le serveur puisse communiquer.

Après avoir fini de configurer les services cités alors on entrer dans l'interface graphique de pfsense et on clique sur Advanced.

Figure 9Dérouler le menu services puis cliquez sur Advanced

Après cela on clique sur Notifications à droite puis on renseigne les champs vides. L'adresse IPv4 du serveur SMTP et le port utilisé pour envoyer les notifications, et le délai de connexion.

Figure 10 Renseigner les champs et passer à l'étape suivante

Toujours renseigner tous les champs disponible en mettant les deux emails créer et en mettant le nom de celui qui recevra l'email ou la notification puis cluqez sur TEST SMTP settings si c'est bien configuré vous verrez la notification sur Thunderbird qui vous permettra d'entrer les deux emails d'envoyer des emails a ces deux utilisateurs.

Figure 11 Remplir tous les champs et cliquez sur TEST SMTP Settings

Comme on le voit ici le message a été envoyé avec succès.

Figure 12 Message envoyé avec succès alors la configuration est bonne.

Alors vérifions si nous avons reçus la notification par e-mail envoyé par pfsense avec Thunderbird.

Figure 13 Interface de Thunderbird pour identifier les emails créer

Après avoir cliqué sur E-mail on entre les informations des utilisateurs et leurs emails respectifs.

Figure 14 Entrer le nom, l'e-mail et le mot de passe de l'utilisateur.

Avec une notification en couleur verte Thunderbird nous montre que cet utilisateur est bien enregistré parmi dans la base de donnée.

Figure 15 L'utilisateur a bien été enregistré dans le base.

Figure 16 Cette fenêtre nous montres les informations du domaine du serveur entrant et sortant

Le compte a été créer avec succès et maintenant on clique sur le bouton finish pour terminer.

Figure 17 Compte créer avec succès et on passe au deuxième utilisateur.

On passe à l'étape de création de l'e-mail du deuxième utilisateur.

Figure 18 Même procédure que le premier utilisateur.

Figure 19 Ce compte aussi a été créer avec succès.

Voici les e-mails et les notifications que pfsense nous a envoyé.

Figure 20Voici les emails envoyés par pfsense

Fin de la configuration et la notification par E-mail avec pfsense.

Configuration de SNORT sur pfsense avec Kali linux.

Installation de Snort pour la détection d'intrusion avec alerte. Tout d'abord veuillez-vous authentifiez avant d'accéder à l'interface web de pfsense où vous allez cliquer sur « System > Package Manager »

Figure 21 Cliquer sur Package Manager pour Commence installer Snort

Puis ensuite sur la barre de recherche on tape le mot SNORT puis on procède à l'installation de SNORT.

Figure 22 On clique sur Avalable Package puis rechercher Snort et l'installer

Après avoir fait la recherche de SNORT dans la barre de recherche on clique sur Install pour l'installation. Pfsense propose la dernière version de SNORT donc il suffit juste de l'installer.

Figure 23Snort n'est pas installé d'abord procéder à l'installation

Voici SNORT après avoir fini son installation il figure parmi les listes despaquets installés.

Figure 24 Snort est installé avec succès passons à l'étape suivante

Sur les menus qui s'affichent dans l'interface web cliquer sur « Services vous verrez les paquets déjà installés pour y accéder et cliquer sur SNORT.

Figure 25 Cliquer sur Snort et accéder à la page suivante pour commencer la configuration

Avant d'ajouter une interface Snort il faudra configurer Snort dans Global Setting avec un Oinkcode qui se dans leur site et pour y insérer le hash générer.

Figure 26 Cliquer sur Global Setting pour aller dans les paramètres globaux.

Après avoir cliqué sur Services Snort Global Settings avant de commencer l'installation veuillez-vous inscrire sur Snort car nous auront besoin d'un code générer directement dans votre compte Snort.

Figure 27 Créer un compte Snort pout générer le code à insérer

Voici après avoir créé le compte connectez-vous avec ce compte puis accéder à votre oinkcode.

Figure 28 Après avoir créé un compte Snort connectez-vous et généré le hash

Le Oinkcode permet de générer un code permettant de configurer de Snort dans l'interface web de pfsense.

Figure 29 Vous Sélectionnez Oinkcode pour le code à générer.

Ce code générer nous sera utile dans la partie suivante pour la configuration de Snort.

Figure 30 Voici le code générer que nous allons utiliser puis copier dans la page web de pfsense.

Copier le Oinkcode qui se trouve au niveau de Snort et le coller ici. La configuration consiste à activer quelques options

Figure 31Paramètres Globale ou nous allons commencer la configuration

Télécharger les mises à jour de Snort afin qu'il prenne en compte les modifications effectuées.

Figure 32 Cette partie consiste à télécharger les mise à jour de Snort afin que les configurations soient appliquées.

Comme on peut le voir sur cette image ci-dessous les mises à jours ont bien été télécharger.

Figure 33 Les mises à jours ont bien été télécharger comme on peut l'observer

Figure 34 Commencer la configuration de l'interface et ensuite créer les alertes.

Figure 35 Cocher les cases ensuite sur LAN Catégories

Après avoir terminé la configuration on enregistre en cliquant sur Save.On valide donc le tout, et on retourne à la liste des interfaces de Snort pour cliquer sur Start.

Figure 36 Apres configuration voici la règles créer pour Snort

On utilisera Kali linux et nmap permet de scanner et de tester des intrusions qui est compatible avec Snort.

Figure 37 Kali linux nous servira de client pour l'intrusion

Ce triangle jaune signifie qu'il y a eu des attaques ou des intrusions et que pfsense les a bloqués. Cela signifie que l'action choisie ici est une alerte.

Figure 38 Détection des intrusions avec Pfsense dans le bloc Alertes

Fin de configuration de SNORT

Début de configuration d'un portail captif avec Kali linux.

Figure 39 Cliquez sur Services ensuite sur Captive portail

Après avoir cliquez sur services et captive portail on donne le nom de la zone et sa description puis cliquer sur Save & continue.

Figure 40 Renseigner le nom de la zone et ça description

Cocher la case Enable Captive Portail pour activer le portail captif afin de commencer la configuration.

Après voir cocher Enable Captive Portail alors on choisit le LAN de pfsense pour continuer.

Figure 41 Après avoir fait la description alors il faut choisir le LAN pour continuer.

CONCLUSION :

En conclusion pour maintenir les équipements réseaux des entreprises à jour et préserver leurs sécurités, les administrateurs réseaux doivent effectuer des mises à jour afin d'enregistrer régulles données pour

des entreprises pour plus tard les récupérer et de faire des régulière des serveurs,afin d'assurer le bon fonctionnementdes équipements réseau et faire mais la meilleur des options est la sécurité des systèmes qui convient parfaitement aux entreprises qui ont toujours besoin de sécurisé leurs données où de sécurisé les informations sensibles pouvant les affecter et même donné accès à des intrus pour infecter leurs travaillent. La sécurité informatique de nos jours joue un rôle très important dans l'informatique elle permet l'authentification complexe afin d'éviter des attaques et mieux protéger les entreprises.

Les IPS et IDS sont des moyens utilisés presque dans beaucoup d'entreprises de nos jours car avec les différents type d'attaques qui existent de nos jours ces entreprises ont besoins de beaucoup de protocoles afin d'assurer la sécurité et éviter des brutes force qui mettra en danger les entreprises concernées.

Ce chapitre nous a permis de mieux connaître les différents réseaux et protocoles, ces services utilisent des dispositifs et des technologies haute qualités. Il nous a aussi permet de se familiariser avec les routeurs, en connaissant ces différent composants, son rôle et de savoir comment établir une liaison distante entre un routeur et son administrateur

BIBLIOGRAPHIE

Bibliographie :

WEBOGRAPHIE

Wébographie:

https://www.pfsense.org/download/?section=downloads: 24/08/2022, 17h30mn

http://labrat.fr/article/installation-de-pfsense.html: 26/08/2022, 10h10mn

https://www.osnet.eu/fr/content/pfsense-definitive-guide-tout-sur-pfsense4:04/09/2022, 17h10mn

http://labrat.fr/article/installation-de-pfsense.html: 06/09/2022, 14h22mn

Système de prévention d'intrusion -- Wikipédia (wikipedia.org) : 09/09/2022, 23h10mn

Système de détection d'intrusion -- Wikipédia (wikipedia.org) :10/09/2022, 08h21mn

https://fr.wikipedia.org/wiki/FreeBSD : 25/09/2022, 22h56

Pfsense sécurise votre système d'information - GPL Expert 25/09/2022, 00h05

Table des matières

Dédicace I

Remerciements II

Avant-propos III

Glossaire IV

Liste des figures VI

Liste des tableaux VIII

Introduction Générale 1

PREMIERE PARTIE : CADRE THEORIQUE ET CADRE METHODOLOGIQUE 2

I Cadre Théorique. 3

1.1 Problématique 3

1.2 Objectif de Recherche 3

1.3 Hypothèse de recherches 3

1.4 Pertinence du Sujet 4

II Cadre Méthodologique 5

2.1 Cadre de l'étude 5

2.2 Délimitation du champ de l'étude 5

2.3 Technique d'investigation 5

2.4 Difficultés rencontrées 5

DEUXIEME PARTIE : CADRE CONCEPTUEL 6

III Rappel sur le Réseau et la Sécurité 7

3.1 Rappel sur les Réseaux 7

3.1.1 Définition des Réseaux Informatiques 7

3.1.1.1 Les type de réseaux 7

3.1.1.2 Définition des réseaux sans fil 7

3.1.1.3 Les Réseaux WPAN (Wireless Personale Area Network) 7

3.1.1.4 Les réseaux locaux LAN (Local Area Network) 8

3.1.1.5 Les réseaux locaux WLAN (Wireless Local Area Network) 8

3.1.1.6 Les réseaux locaux WMAN (Wireless Metropolitan Area Network) 8

3.1.1.7 Les réseaux MAN 8

3.1.1.8 Les réseaux locaux WAN 9

3.1.1.9 Les attaques réseaux 9

3.1.1.10 Les attaques réseaux sans fil 9

3.1.1.11 L'interception des données 9

3.1.1.12 L'usurpation d'adresse IP 9

3.1.1.13 Les réseaux locaux VLAN (Virtual Local Area Network) 9

3.1.1.14 Les réseaux locaux sans fils (WIFI) 9

3.1.2 Catégories des réseaux informatiques 9

3.1.2.1 Les réseaux P2P (Peer to Peer où pair à pair) 9

3.1.2.2 Les réseaux serveurs/clients 10

3.1.3 Les différent types de topologie réseau 10

3.1.3.1 Définition du topologie réseau 10

3.1.3.2 Topologie en bus 10

3.1.3.3 Topologie en étoile 10

3.1.3.4 Topologie en anneau 11

3.1.3.5 Topologie en arbre 11

3.1.3.6 Modèle OSI 12

3.1.4 Les différents types de routages 13

3.1.4.1 Définition du concept Routage 13

3.1.4.2 Routage statique 13

3.1.4.3 Routage Dynamique 13

3.1.4.4 Le routage centralisé 13

3.1.5 Classification des couches du modèle OSI 13

3.1.5.1 Définition du modèle OSI 13

3.1.5.2 Couche Application 14

3.1.5.3 La couche Présentation 14

3.1.5.4 La couche Session 14

3.1.5.5 La couche Transport 14

3.1.5.6 La couche Réseau 14

3.1.5.7 La couche liaison de données 14

3.1.5.8 La couche Physique 15

3.1.5.9 Protocole DHCP : Configuration Dynamique d'Hôte 15

3.1.5.10 Protocole DNS : système des Noms de Domaine 15

3.1.5.11 Protocole FTP : Transfert de Fichiers 16

3.1.5.12 Protocole HTTP : Transfert HyperText 17

3.1.4.13 IMAP et IMAP4 : protocole d'accès aux messages Internet (version 4) 17

3.1.4.14 POP et POP3 : Post Office Protocol (version 3) 18

3.1.4.15 SMTP : protocole de transfert de courrier simple 18

3.1.4.16 Telnet : protocole d'émulation de terminal 19

3.1.4.17 SNMP : protocole de gestion de réseau simple 19

3.1.4.18 Le protocol LPP (Lightweight Présentation Protocol) 20

3.1.4.19 Protocoles réseau de couche Session 20

3.1.4.20 Protocoles de réseau de couche de Transport (TCP) 20

3.1.4.21 UDP : User Datagram Protocol 21

3.1.4.22 Protocoles IPv4 21

3.1.4.23 IPv6 : Internet Protocol version 6 21

3.1.4.24 ICMP : Internet Control Message Protocol 22

3.1.4.25 Protocoles réseau de la couche liaison de données(ARP) 22

III.2 Rappels sur la sécurité 22

3.2.1 Définition 22

3.2.1 Les objectifs spécifiques de la sécurité 23

3.2.2 Les différents types d'attaques 24

3.2.3 Les techniques d'attaques 24

IV Généralités sur les systèmes de détection et de prévention 25

4.1 Présentation des systèmes de détections d'intrusion 25

4.1.1 Les différents types de détection d'intrusion 26

4.1.2 Classification des systèmes de détection d'intrusion 26

4.2 Présentation des systèmes de prévention d'intrusion 27

4.2.1 Les différents types de système de préventions d'intrusions 27

4.2.2 La différence entre IPS et IDS 28

4.3 Présentation de solution 29

4.3.1 Choix de solution 29

4.3.2 La sécurité améliorée 29

4.3.3 Automatisation des taches 29

4.3.4 La conformité aux règles 29

4.3.5 Raison de choix de solution 29

31

TROISIEME PARTIE : MISE EN OEUVRE DE LA SOLUTION 31

4.4 Présentation de la solution retenue 32

4.4.1 Architecture de Solution 32

4.4.2 Déploiement 33

4.4.3 Présentation de Suricata 34

4.4.4 Présentation de Snort 34

4.4.5 Présentation de OSSEC 34

4.5.6 Outil technologie mise en oeuvre 35

4.5.7 Outil technologie mise en oeuvre 36

précédent sommaire






Bitcoin is a swarm of cyber hornets serving the goddess of wisdom, feeding on the fire of truth, exponentially growing ever smarter, faster, and stronger behind a wall of encrypted energy








"Soit réservé sans ostentation pour éviter de t'attirer l'incompréhension haineuse des ignorants"   Pythagore