Détection d’intrusions

Illustration avec Snort

2

Introduction

• Pourquoi un IDS ?

3

Les différents IDS

• Les NIDS – Network Intrusion Detection System

• Les HIDS– Host Intrusion Detection System

• Les IPS– Intrusion Protection System

4

Les NIDS

5

Les HIDS

6

Les IPS

7

Les techniques de détéction

• L'analyse comportementale• Vérification de la pile protocolaire• Vérification des protocoles applicatifs• La gestion de ressources• Le Pattern matching

8

L'analyse comportementale

• Basé sur les “habitudes”

• Nécessite un apprentissage péalable

• Peu fiable sur certains réseaux

9

Vérification de la pile protocolaire

• Comparaison au travers de structures définis

• Peu de fausses erreurs

10

Vérification de la pile protocolaire

11

Vérification des protocoles applicatifs

• Analyse du contenu et non de la structure

12

La gestion de ressources

• Surveillance précise des ressources – CPU– RAM– HDD– etc

• Peu pratique sur des réseaux importants – Plutôt utile sur HIDS

13

Le Pattern Matching

• Comparaison à une base de signatures

• Charge CPU élevée quand traffic important

• Nécessite une mise à jour de la BDS

14

Le Pattern Matching

15

Les alertes

• Affichage temp réel• Génération de fichier Log• Enregistrement Base de donnée• Envoi traps SNMP• Et bien d’autres ...

16

Snort

• Présentation• Possibilités• Structure de Snort• La détection• Interface (exemple avec BASE)• Les addons• Démo

17

Présentation

• Open Source (GPL)• Codé parMarty Roesch• Repris Sourcefire, Inc.• Snort est un moteur de détection– Add-ons disponibles– Alertes– Configuration– Rules

18

Possibilités

• Détection signatures et anomalies• Communauté active– Mise à jours

• Gére détection et prévention• Prévention grâce à– Snort Inline– FlexResp2

19

Structure

20

Interfacage

• BASE– ACID

• SGUIL– Module Squert

21

BASE

• Basic Analysis and Security Engine– Interface Web– Rapports– Graphique– Visualisation temps réel

22

BASE

23

SGUIL

• Même principe que Base

• Pas d’interface Web

• Module Squert :– Compte rendu léger

24

SGUIL

25

Addons

• Oinkmaster– Gestion de mises à jours :• Officielles• Bleeding Snort• Tiers

26

Addons

• Snort Inline– IPS basé sur snort– Permet la communication avec parefeu• Récupération de données• Mise en place de contremesures

27

Techniques Anti-IDS

• ROMAIN

28

Conclusion

• Plus non négligeable• Sécurité ne peut être garantie à 100%• Nécessite une implémentation correct• Peu avoir des effets inverses

29

Démo