Loading presentation...

Present Remotely

Send the link below via email or IM

Copy

Present to your audience

Start remote presentation

  • Invited audience members will follow you as you navigate and present
  • People invited to a presentation do not need a Prezi account
  • This link expires 10 minutes after you close the presentation
  • A maximum of 30 users can follow your presentation
  • Learn more about this feature in our knowledge base article

Do you really want to delete this prezi?

Neither you, nor the coeditors you shared it with will be able to recover it again.

DeleteCancel

Make your likes visible on Facebook?

Connect your Facebook account to Prezi and let your likes appear on your timeline.
You can change this under Settings & Account at any time.

No, thanks

Système de Détection d'Intrusion (IDS) - Soutenance

Soutenance DUT vélizy
by

Constantin Jais

on 1 July 2015

Comments (0)

Please log in to add your comment.

Report abuse

Transcript of Système de Détection d'Intrusion (IDS) - Soutenance

Réalisation d'un IDS
Soutenance de stage de fin d'études
Entreprise
Organisme privé et indépendant qui aide à concrétiser des projets à caractère philanthropique, éducatif, scientifique, social ou culturel.

Créée en 1969, gère 151 millions d'€ consacrés à la sélection, la distribution et au suivi de :
- 9.400 projets
- 775 fondations sous égide
- 415.000 donateurs
Système de détection d'intrusion
Déploiement d'un Système de Détection d'Intrusion :

1. Enjeux
2. Périmètre du projet
3. État de l’art
4. Choix

5. Mise en œuvre
6. Retour d’expérience
Plan
Enjeux
Analyses des besoins
Intrusion Detection System
Network-Based IDS
État de l'art
Périmètre du projet
Prelude
Security Information and Event Management
Techniques de détection
OSSEC
Host-Based IDS
Délimitation du projet
Mise en œuvre d'un IDS
- État de l'art
- Analyse comparative des solutions
- Déploiement de la solution
- Manuel utilisateur
Périmètre du projet
Contraintes
Détecter un comportement malveillant
Fenêtre sur l'activité du réseau
Intrusion Detection System
Principale source de règles de sécurités Open Source pour les IDS.

Décode liaison de données framework, protocole IP, TCP ou un paquet UDP.

Dispose de nombreux plug-in permettant d'alerter la perte de paquet.

Simplicté.
Snort
IDS 2.0
Multi-threading

Détection automatique du protocole

Script Lua

Réputation d'IP
Suricata
Intrusion Detection System
Paramétrage complet

Compilation manuel
Bro-ids
IPS
Intrusion Prevention System
Se protéger, face à une hausse de la cybercriminalité avec des ressources limitées
Tuteurs :
- Christophe Bregeras
- Frédéric Denin
Conclusion
Retour d'expérience
Les sources du projet
La sécurité informatique
- Indispensable
- Évolutive
"
I
ntrusion
D
etection
S
ystem "

But : repérer une éventuelle intrusion sur le réseau

Sonde(s) + console de supervision

Actions : alertes, journalisation, contre-mesures...
"
I
ntrusion
P
revention
S
ystem"

But : prévenir une intrusion

Prévention proactive

Blocage en amont

Deux grandes familles distinctes :

IDS basés sur les connaissances

Signatures / Scénarios


Analyse heuristique
Approche statistique, probabiliste...
Systèmes experts
Comportements suspects
Recherche de motifs
Analyse de protocoles
Corrélation d'événements
IDPS
Limites de l'IDS

Quantité d'alertes

Inneficace face aux "zero day threats"

Ne protège pas d'une attaque
Attention aux blocages!

Vecteur d'attaques

Manque de discrétion

Définir une politique de sécurité

Qualifier les événements et alertes

Remédier aux vulnérabilités

Assurer une maintenance continue

Combinaison des méthodes

Solutions hybrides

Produits souvent sous-exploités
S'adapter aux besoins de la Fondation de France
Choisir une solution
Systèmes de Détection d'Intrusions
Méthode de détection
Approche comportementale
Approche par
scénario
Comportement après détection
Passif
Actif
Source des données à analyser
Audit
système
Paquets du
réseau
Analyse périodique
Audit
applicatif
Fréquence
d'utilisation
Surveillance continue
Analyse des logs

Intégrité de fichier et (Windows registres)

Détection des rootkits
Les 4+1 vues du système
Architecture du projet
Action efféctuée sur le système
Action réussie
Source de l'attaque
Payload envoyé
Besoins fonctionnels
Configurer l’application
Gérer les règles
Notifier les alertes
Détecter les intrusions
Conviviale
Fiabilité
Accessibilité
Besoins non fonctionnels
Informe
Informe
Déployer l'IDS
Tester les composants en local
Avant la mise en production
L'installation finale peut demander la reconfiguration de switchs
Coupure du réseau, qui doit être réduite au maximum

Design de l'architecture
Nombre de sondes
Méthode de connexion des sondes TAP ou SPAN?
IDS load balancer?
Où placer les sondes?
Sonde est active ou passive?
Constantin Jaïs
- 585 bénévoles
- 182 salariés
- 7 délégations régionales
Cadre du stage
Sniffer
- Capture de trames sur le réseau.


Analyse
- Recherche par signatures, anomalies...


Décision
- Journaliser l'événement et alerter.
Avantages :
- Filtrer le trafic
- Détection des scans
- Information sur les intrusions outrepassant le Firewall
Intrusion Detection System
Honeypots
Volontairement vulnérable aux attaques informatiques

Trafic réduit tout est suspect par nature.
Limites de l'IPS
Tendances
Installation
Avez - vous des questions ?
Tests
Scripts
Reste à faire
Path Traversal sur une application web
alert tcp any any -> $SERV_IP_TEST $HTTP_PORTS (msg: "CVE-2013-1791- Webgrind Path Traversal"; content:"index.php?file=/etc/passwd&op=fileviewer"; http_uri; flow:to_server; classtype:web-application-attack; reference:cve,2013-1791; sid:999999; rev:1;)
OS / RAM / Stockage / Cartes réseaux
OSSIM
Règles génériques
Évolutions possibles
Who watches the watchmen
Sécuriser
Éditer la configuration, supprimer l'adresse IP des interfaces de contrôle...
Crypter les mots de passe dans la ldap
Ajouter des scripts
Tests de pénétration / vulnérabilité
UPnC
TAP / SPAN
Cunningham, B. (2007). The best damn IT security management book period. Burlington, MA: Syngress.
Grance, T., Kent, K., & Kim, B. (2004). Computer security incident handling guide: Recommendations of the National Institute of Standards and Technology. Gaithersburg, MD: National Institute of Standards and Technology.
How to select the best IDS/IPS solution: A step-by-step guide. (2013, May 16). Retrieved October 20, 2014, from http://wiki.aanval.com/wiki/Library%3AHow_to_Select_the_Best_IDS/IPS_Solution%3A_A_Step-By-Step_Guide_and_IDS/IPS_Features_Comparison
IPS VS IDS vs firewalls. (n.d.). Retrieved October 20, 2014, from http://www.internet-computer-security.com/Firewall/IPS.html
Krause, M., & Tipton, H. F. (2007). Information security management handbook. Boca Raton, Fla.: Auerbach Publ.
Rouse, M. (n.d.). Denial of service (DoS). Retrieved October 19, 2014, from http://searchsoftwarequality.techtarget.com/definition/denial-of-service
Schifreen, R. (2006). Defeating the hacker: A non-technical guide to computer security. Chichester, England: Wiley.
IDS Categories
According to how an IDS captures information:
Network
Intrusion Detection System (NIDS)
Host-based
Intrusion Detection System (HIDS)
Listens/Analyzes traffic in a network
Capture data package
Compare with database signatures

It is installed as an agent in each host
Listens/analyzes system logs
Full transcript