Selmani E.
Selmani E.
Selmani E.
Je remercie très sincèrement, les membres de jury d'avoir bien voulu accepter
de faire partie de la commission d'examinateur, et consacré leurs temps à la
lecture de ce mémoire.
Sans oublier de remercier les enseignants qui ont contribué à notre formation
et appuyé notre cursus universitaire, et le personnel administratif de
département d'informatique.
Sommaire
Introduction générale .........................................................................................................
6
Chapitre III : Etude des Système de Détection et Prévention d’Intrusions (IDS/IPS) ........... 31
IV.6 Conclusion....................................................................................................................... 73
Bibliographie ....................................................................................................................
76
6
Introduction générale
Avec l’évolution des techniques de communication, les systèmes d’information et réseaux
informatiques sont aujourd’hui de plus en plus ouverts sur le monde extérieur notamment
avec Internet. Cette ouverture facilite la vie pour l’humain en lui offrant divers services, et
relie des centaines de millions de machines à Internet un peu partout dans le monde.
Cependant, cette interconnexion des machines permet également aux utilisateurs malveillants
d’utiliser ces ressources et profiter de ses vulnérabilités à des fins abusives, par exemple :
rendre un service web hors ligne.
La sécurité de nos jours est un problème d’une importance capitale, elle est devenue un
problème majeur dans la gestion des réseaux d’entreprises ainsi que pour les particuliers.
Différents mécanismes ont été mis en place pour faire face à ces problèmes de sécurité,
comme les antivirus, les pare-feux, le cryptage, mais ces mécanismes ont des limites face au
développement rapide des techniques de piratage. Pour éviter ces limites, l’utilisation des
systèmes de détection d’intrusion s’impose.
Les systèmes de détection d’intrusions ont été conçus pour une surveillance continue, et la
découverte des violations de la politique de sécurité, ainsi l’identification de toute activité non
autorisée dans un réseau.
C’est dans cette optique que s’inscrit notre mémoire. À savoir l’étude des systèmes de
détection d’intrusions, et sa mise en place pour sécuriser un réseau informatique. Ce mémoire
est structuré en quatre chapitres comme suit :
Le premier chapitre est consacré à la présentation des généralités sur les réseaux
informatiques.
Dans le second chapitre, nous présentons les menaces informatiques, les logiciels
malveillants, et les mécanismes de sécurité.
Dans le troisième chapitre, nous présentons les IDS et les IPS en donnant leur
architecture et le principe de leur fonctionnement, et la différence entre un IDS et un IPS.
7
Chapitre I Généralités sur les réseaux informatiques
différents outils utilisés, le choix de la bonne architecture, la mise en place de la solution et les
tests.
8
Chapitre I Généralités sur les réseaux informatiques
I.1 Introduction
Les réseaux informatiques permettent à leur origine de relier des terminaux passifs à de gros
ordinateurs centraux. Ces derniers autorisent à l’heure actuelle l’interconnexion de tous types
d’ordinateurs que ce soit de gros serveurs, des stations de travail, des ordinateurs personnels
ou de simples terminaux graphiques. Les services qu’ils offrent font partie de la vie courante
des entreprises et administrations (banque, gestion, commerce, base de données, recherche…
etc.) et des particuliers (messagerie, loisirs…etc.).
I.2 Définition
Un réseau est un ensemble de moyens matériels et logiciels géographiquement dispersés
destinés à offrir un service, comme le réseau téléphonique, ou à assurer le transport de
données. Les techniques à mettre en œuvre diffèrent en fonction des finalités du réseau et de
la qualité de service désirée. [2]
I.4.1 PAN
La plus petite taille de réseau ces réseaux personnels interconnectent sur quelques
mètres les équipements personnels tels que GSM, portable, organiseur etc.… d’un même
utilisateur [4].
I.4.2 LAN
LAN signifie Local Area Network (en français Réseau Local). Il s'agit d'un ensemble
d'ordinateurs appartenant à une même organisation et reliés entre eux dans une petite aire
géographique par un réseau, souvent à l'aide d'une même technologie (la plus répandue étant
Ethernet). Un réseau local est donc un réseau sous sa forme la plus simple. La vitesse de
transfert de données d'un réseau local peut s'échelonner entre 10 Mbps (pour un réseau
ethernet par exemple) et 1 Gbps (en FDDI ou Gigabit Ethernet par exemple). La taille d'un
réseau local peut atteindre jusqu'à 100 voire 1000 utilisateurs. [5]
10
Chapitre I Généralités sur les réseaux informatiques
I.4.3 MAN
Les MAN (Metropolitan Area Network) interconnectent plusieurs LAN
géographiquement proches (au maximum quelques dizaines de km) à des débits importants.
Ainsi un MAN permet à deux nœuds distants de communiquer comme si ils faisaient partie
d'un même réseau local. [5]
I.4.4 WAN
Un WAN (Wide Area Network ou réseau étendu) interconnecte plusieurs LANs à
travers de grandes distances géographiques. Les WAN fonctionnent grâce à des routeurs qui
permettent de "choisir" le trajet le plus approprié pour atteindre un nœud du réseau. Le plus
connu des WAN est Internet. [5]
• Topologie en bus
• Topologie en étoile
• Topologie en anneau
• Topologie maillée
• Topologie en arbre
La topologie logique, par opposition à la topologie physique, représente la façon dont les
données transitent dans les lignes de communication. Les topologies logiques les plus
courantes sont Ethernet, Token Ring et FDDI.
11
Chapitre I Généralités sur les réseaux informatiques
En réalité, dans une topologie anneau, les ordinateurs ne sont pas reliés en boucle, mais sont
reliés à un répartiteur (appelé MAU, Multistation Access Unit) qui va gérer la
communication entre les ordinateurs qui lui sont reliés en impartissant à chacun d'entre-eux
un temps de parole. Les deux principales topologies logiques utilisant cette topologie
physique sont Token ring (anneau à jeton) et FDDI. [6]
Figure 6 : Répartiteur
13
Chapitre I Généralités sur les réseaux informatiques
1. Couche accès réseau : La couche accès réseau est la première couche de la pile
TCP/IP, elle offre les capacités à accéder à un réseau physique quel qu'il soit, c'est-
àdire les moyens à mettre en œuvre afin de transmettre des données via un réseau.
2. Couche Internet : La couche Internet est la couche "la plus importante" car c'est elle
qui définit les datagrammes, et qui gère les notions d'adressage IP. Son rôle est de
permettre l'injection de paquets dans n'importe quel réseau et l'acheminement de ces
16
Chapitre I Généralités sur les réseaux informatiques
paquets indépendamment les uns des autres jusqu'à destination. Les paquets sont alors
rassemblés par cette couche.
3. Couche transport : Son rôle est le même que celui de la couche transport du modèle
OSI. Officiellement, cette couche n'a que deux implémentations :
a. TCP, un protocole orienté connexion qui assure le contrôle des erreurs
b. UDP, un protocole non orienté connexion dont le contrôle d'erreur est peu
fiable.
4. Couche application : Contrairement au modèle OSI, c'est la couche immédiatement
supérieure à la couche transport, tout simplement parce que les couches présentation et
session sont apparues inutiles.
On s'est en effet aperçu avec l'usage que les logiciels réseau n'utilisent que très rarement ces 2
couches (Présentation et Session), et finalement, le modèle OSI dépouillé de ces 2 couches
ressemble fortement au modèle TCP/IP.
I.7 Conclusion
TCP/IP est le protocole utilisé dans le réseau Internet. Mais malheureusement, la suite
de protocoles TCP/IP, développée sous le parrainage du département américain de la défense,
ne serait pas parfaite. Il existerait des problèmes de sécurité inhérents à la conception du
protocole ou à la plupart des implémentations TCP/IP. Les pirates utilisent ces vulnérabilités
pour effectuer diverses attaques sur les systèmes, d’où le problème de la sécurité réseau.
17
Chapitre II Sécurité Informatique
Chapitre II : Sécurité
Informatique
II.1 Introduction
La sécurité informatique joue un rôle majeur dans les technologies numériques
modernes, avec l’augmentation de la demande d'internet dans différents domaines (sanitaire,
social, éducatif, militaire…), les besoins en sécurité sont de plus en plus importants, le
développement des applications et des sites tel que : le commerce électronique, le paiement en
ligne ou la vidéoconférence, implique de nouveaux besoins comme l'identification des entités
communicantes, l'intégrité des messages échangés, la confidentialité de la transaction,
l'authentification des entités, l'anonymat du propriétaire du certificat, l'habilitation des droits,
la procuration, …etc.
o Il ne suffit pas qu’une ressource soit disponible. Elle doit être utilisable avec
des temps de réponse acceptables. o Un service doit être assuré avec un
minimum d’interruption (continuité de service).
o La disponibilité est obtenue, par exemple, par une certaine redondance ou
duplication des ressources.
• Intégrité : est lié au fait que des ressources ou services n’ont pas été altérés (détruits
ou modifiés) tant de façon intentionnelle qu’accidentelle. o Il est indispensable de se
18
Chapitre II Sécurité Informatique
protéger contre la modification des données lors de leur stockage, de leur traitement ou
de leur transfert.
o En télécommunication, le contrôle d’intégrité consiste à vérifier que les
données n’ont pas été modifiées tant de façon intentionnelle (attaques
informatiques) qu’accidentelle durant la transmission.
• Confidentialité : c’est la propriété qui garantit que les informations transmises ne sont
compréhensibles que par les entités autorisées. o Deux actions complémentaires
permettent d’assurer la confidentialité des données :
Limiter et contrôler l’accès aux données afin que seules les personnes
autorisées puissent les lire.
Transformer les données par des techniques de chiffrement pour
qu’elles deviennent inintelligibles aux personnes qui n’ont pas les
moyens de les déchiffrer.
o Le chiffrement des données (ou cryptographie) contribue à en assurer la
confidentialité des données et à en augmenter la sécurité des données lors de
leur transmission ou de leur stockage.
• Authentification : c’est la propriété qui consiste à vérifier l’identité d’une entité avant
de lui donner l’accès à une ressource.
o L’entité devra prouver son identité : Exemples : mot de passe, empreinte
biométrique. o Tous les mécanismes de contrôle d'accès logique aux ressources
informatiques nécessitent de gérer l’identification et l’authentification (pas
d’accès anonyme aux ressources).
• Non répudiation : est le fait de ne pourvoir nier qu’un évènement (action transaction)
a eu lieu.
o Par exemple, la non répudiation permet d’avoir une preuve comme quoi un
utilisateur a envoyé (ou reçu) un message particulier. Ainsi, l’utilisateur ne peut
nier cet envoi (ou réception).
II.3 Attaques
II.3.1 Définition
Une attaque peut être définie par : n’importe quelle action qui tente d’exploiter une (ou
plusieurs) vulnérabilité(s) dans un système pour violer un ou plusieurs besoins de sécurité et
est généralement préjudiciable. [13][14]
19
Chapitre II Sécurité Informatique
II.3.2 Objectifs des attaques
Les objectifs des attaques visent : [14]
Interception : Une tierce partie non autorisée obtient un accès à un actif. C’est une
attaque portée à la confidentialité. Il peut s’agir d’une personne, d’un programme ou
d’un ordinateur. Une écoute téléphonique dans le but de capturer des données sur un
réseau, ou la copie non autorisée de fichiers ou de programmes en sont des exemples.
Modification : Une tierce partie non autorisée obtient accès à un actif et le modifie. Il
s’agit d’une attaque portée à l’intégrité. Changer des valeurs dans un fichier de données,
altérer un programme de façon à bouleverser son comportement ou modifier le contenu
de messages transmis sur un réseau sont des exemples de telles attaques.
Fabrication : Une tierce partie non autorisée insère des faux objets dans un système.
C’est une attaque portée à l’authenticité. Il peut s’agir de l’insertion de faux messages
dans un réseau ou l’ajout d’enregistrement à un fichier.
Interruption : Un actif du système est détruit ou devient indisponible ou inutilisable.
C’est une attaque portée à la disponibilité. La destruction d’une pièce matérielle, la
coupure d’une ligne de communication, ou la mise hors service d’un système de
gestion de fichiers en sont des exemples.
20
Chapitre II Sécurité Informatique
II.3.3 La reconnaissance passive
Il s’agit d’une phase d’attaques où l’intrus n’effectue pas une action pour collecter les
informations. Il se restreint à observer passivement les événements afin d’en tirer les
conclusions. Une des attaques les plus répandues est l’écoute du trafic (sniffing).
Le principe consiste à installer une sonde sur le réseau pour capter le trafic et le
sauvegarder dans des fichiers journaux. L’analyse de ces fichiers permet de connaître les
machines installées sur le réseau et de déterminer les ports ouverts et les systèmes
d’exploitation utilisés. L’attaque est considérée lente si l’attaquant cherche une information
précise sur une machine particulière du réseau. En revanche elle est si discrète qu’il est
II.4.1 Spoofing
Nous trouvons 3 attaques Spoofing principales : [8]
La plupart des attaques de type man in the middle consistent à écouter le réseau à l’aide
d’outils d’écoute du réseau comme wireshark (un analyseur de paquets. Il est utilisé dans le
dépannage et l’analyse de réseaux informatiques).
22
Chapitre II Sécurité Informatique
II.4.3 Sniffing
Consiste à configurer la carte réseau pour récupérer l’ensemble des données transmises
par le biais d’un réseau de la couche 2 à la couche 7 du modèle OSI, et utiliser ces données
pour d’autres attaques. [20]
23
Chapitre II Sécurité Informatique
Les routeurs
La plupart des routeurs sont accessibles via des interfaces texte comme Telnet et web
(serveur HTML). Une faille se matérialise souvent dans leur microcode : serveur
HTML mal conçu, système de mots de passe défaillant ou même porte dérobée non
documentée par le constructeur.
24
Chapitre II Sécurité Informatique
Les processeurs
Exploiter la technologie de virtualisation intégrées aux nouveaux processeurs, En 2006
une chercheuse polonaise Joanna Rutkowska. Cette dernière est arrivée à créer un
compte administrateur sur un PC tournant sous Windows Vista. Son rootkit, appelé
Blue Pill.
Attaque par force brute : On appelle ainsi attaque par force brute (brute force
cracking, ou parfois attaque exhaustive) le cassage d’un mot de passe en testant tous
les mots de passe possibles, et cette attaque avait perdu de son intérêt notamment face
à des outils de cryptage de plus en plus perfectionnés.
Attaque par dictionnaire : La plupart du temps les utilisateurs choisissent des mots
de passe ayant une signification réelle. Avec ce type d’attaques, un tel mot de passe
peut être craqué en quelques minutes.
Attaque par réinitialisation de mot de passe : Cette attaque est principalement
utilisée pour prendre le contrôle de compte de services en ligne. Le principe consiste à
solliciter le service en ligne pour lui demander la réinitialisation du mot de passe d’un
compte. Le pirate a alors plusieurs méthodes à sa disposition :
o Grâce à des recherches sur le détenteur du compte, deviner les réponses qui
permettent de réinitialiser le mot de passe. Les questions de type (nom du
chien, de sa grand-mère…) sont des informations pouvant être retrouvées
notamment sur les réseaux sociaux.
o Intercepter l’e-mail de réinitialisation s’il connaît le compte de secours.
25
Chapitre II Sécurité Informatique
II.5.1 Pare-feu (firewall)
Le pare-feu ou Firewall en anglais, c’est un mécanisme indispensable dans la sécurité
informatique des entreprises et même dans des simples ordinateurs. Le Pare-feu propose donc
un véritable contrôle sur le trafic réseau de l’entreprise. Il permet d’analyser, de sécuriser et de
gérer le trafic réseau. Et ainsi d’utiliser le réseau de la façon pour laquelle il a été prévu et
sans l’encombrer avec les activités inutiles, et d’empêcher une personne sans autorisation
d’accéder à ce réseau de données. Il s’agit ainsi d’une passerelle filtrante comportant au
minimum les interfaces réseaux. [16]
L’ensemble de ces règles permet de mettre en œuvre une méthode de filtrage dépendant de la
politique de sécurité adoptée par l’entité. On distingue habituellement deux types de politique
de sécurité permettant : [16]
Un système Firewall fonctionne sur le principe du filtrage simple de paquets. Il analyse les en-
têtes de chaque paquet de données échangé entre une machine du réseau interne et une
machine extérieure. Les en-têtes systématiquement analysés par le firewall sont :
26
Chapitre II Sécurité Informatique
II.5.1.2 Les Firewalls BRIDGE
Ils agissent comme de vrais câbles réseau avec la fonction de filtrage en plus, d’où leur
appellation de Firewall. Leurs interfaces ne possèdent pas d’adresse IP, et ne font que
transférer les paquets d’une interface a une autre en leur appliquant les règles prédéfinies.
Cette absence d’adresse IP est particulièrement utile, car cela signifie que le Firewall est
indétectable pour un pirate. En effet, quand une requête ARP est émise sur le câble réseau, le
Firewall ne répondra jamais. Ses adresses Mac (12 chiffres hexadécimaux « 48bits »
identifiant une interface réseau) ne circuleront jamais sur le réseau, et comme il ne fait que
transmettre les paquets, il sera totalement invisible sur le réseau. Et ces Firewalls se trouvent
typiquement sur les switchs (Un commutateur réseau « en anglais switch », est un équipement
qui relie plusieurs segments (câbles ou fibres) dans un réseau informatique et de
télécommunication et qui permet de créer des circuits virtuels). [16]
Inconvénients :
o Possibilité de le contourner (il suffit de passer outre ses règles).
o Configuration souvent contraignante.
o Les fonctionnalités présentes sont très basiques (filtrages sur adresse IP, port).
Avantage : o Impossible de l’éviter (les paquets passeront par ses interfaces).
o Coûteux.
II.5.2 Antivirus
Les antivirus sont des programmes capables de détecter la présence de virus sur un
ordinateur, ainsi que de nettoyer celui-ci dans la mesure du possible si jamais un ou des virus
sont trouvés. Nettoyer signifie supprimer le virus du fichier sans l’endommager. Mais parfois,
ce nettoyage simple n’est pas possible. [17]
27
Chapitre II Sécurité Informatique
risques d’impact d’une attaque. C’est un IDS actif, il détecte un balayage automatisé, l’IPS
peut bloquer les ports automatiquement. [12]
II.5.5 Cryptographie
La cryptographie est une science basée sur les mathématiques, et aussi une des disciplines de
la cryptologie s’attachant à protéger des messages (assurant la confidentialité, l’authenticité et
l’intégrité) avec un algorithme de chiffrement, Chiffrer un message consiste de le rendre
inintelligible, sauf pour celui qui possède le moyen (une clé) de le déchiffrer. [8]
28
Chapitre II Sécurité Informatique
origine. Et également de vérifier que l’information en question est intacte. Aussi, les
signatures électroniques permettent l’authentification et le contrôle de l’intégrité et
également la non répudiation.
Certificat : Certificat est Document électronique, carte d’identité émis par une
autorité de certification. Il valide l’identité des interlocuteurs d’une transaction
électronique, associe une identité à une clé publique l’encryptions et fournit des
informations de gestion sur le certificat et le détenteur.
II.5.6 VPN
De nos jours, les cybers attaques se sont multipliées, y compris envers les particuliers.
Ces derniers ont décidé de s’armer d’une protection efficace comme le VPN pour faire face
aux hackers. Un VPN (Virtual Private Network) ou Réseau Privé Virtuel en français est une
connexion inter-réseau permettant de relier 2 réseaux locaux différents de façon sécurisé par
un protocole de tunnelisation.
La tunnelisation est un protocole permettant aux données passant d’une extrémité à
l’autre du VPN d’être sécurisées par des algorithmes de cryptographie. [19]
II.6 Conclusion
Dans ce chapitre, nous avons présentés une introduction générale sur la sécurité
informatique, et compris que la majorité des menaces se trouvent dans les réseaux locaux et
nos appareils personnels, et faire prendre conscience des attaques que nous pouvons
rencontrer, nous distinguons deux types de reconnaissances (attaques) passive et active. Nous
avons aussi présenté des solutions contre ces menaces avec des mécanismes comme les IDS,
et nous verrons cela en détail dans le chapitre suivant.
29
Chapitre III Etude des Systèmes de Détection et Prévention d’Intrusions (IDS/IPS)
C’est bien d’avoir un système qui joue un rôle pour surveiller la circulation des données
échangées entre le réseau de l’entreprise et le réseau externe, et qui serait capable de réagir en
temps réel si des données semblent suspectes. Les systèmes de détection et prévention
d’intrusions (IDS/IPS) conviennent parfaitement pour réaliser ces tâches.
30
Chapitre III Etude des Systèmes de Détection et Prévention d’Intrusions (IDS/IPS)
III.2.1 Les différents types d’IDS
Les différents IDS se caractérisent par leur domaine de surveillance (surveillance d’un
hôte « HIDS », surveillance d’un segment du réseau « NIDS », surveillance d’une application
« AIDS »). Il existe trois grandes familles distinctes d’IDS :
IDS sur l’hôte ou HIDS (Host IDS) : Le HIDS c’est un système de détection
d'intrusion qu’il s’attache à surveiller le fonctionnement ou l’état de la machine sur
laquelle il est installé, afin de détecter les attaques. Il analyse exclusivement
l’information concernant cet hôte, avec la vérification des journaux systèmes, il
contrôle l’accès aux appels systèmes, il étudie l’intégrité des systèmes de fichiers.
Comme il n’ pas à contrôler le trafic du réseau mais seulement les activités d’un hôte
ils se montrent habituellement plus précis sur les types d’attaques subies. [23][35]
IDS sur réseau ou NIDS (Network IDS) : Son rôle est l’analyse et l’interprétation
des paquets circulant sur le réseau. Pour faire ça, un logiciel de protection est installé
uniquement à des points spécifiques du réseau, comme les serveurs qui établissent
l’interface entre l'environnement extérieur et le segment de réseau à protéger. Cette
interface doit être configuré en mode furtif (ou stealth mode), de façon à être
invisibles
aux autres machines. Pour obtenir ce mode il faut configurer la carte de réseau
d’NIDS en mode promiscuité, c’est-à-dire le mode dans lequel la carte réseau lit
l'ensemble du trafic, de plus, aucune adresse IP n’est configurée. [23][28]
31
Chapitre III Etude des Systèmes de Détection et Prévention d’Intrusions (IDS/IPS)
IDS Hybride : IDS hybrides rassemblent les caractéristiques des NIDS et HIDS. Ils
permettent, de surveiller le réseau et les terminaux. Les sondes sont placées en des
points stratégiques, et agissent comme NIDS et/ou HIDS suivant leurs emplacements.
Toutes ces sondes remontent alors les alertes à une machine qui va centraliser le tout, et
lier les informations d’origines multiples. Ainsi, on comprend que les IDS hybrides sont
basés sur une architecture distribuée, ou chaque composant unifie son format d’envoi.
Cela permet de communiquer et d’extraire des alertes plus exactes. [36]
32
Chapitre III Etude des Systèmes de Détection et Prévention d’Intrusions (IDS/IPS)
III.2.2 Architecture d’un IDS
Nous nous intéressons maintenant à l’architecture et les modules de base d’un IDS. On
retrouve souvent les IDS placés en première ligne du réseau à sécuriser, pour qu’il examine
tous les paquets entrants ou sortants. Il réalise un ensemble d’analyses de détection sur chaque
paquet individuel ainsi sur les conversations et motifs du réseau. En visualisant chaque
transaction dans la figure suivante :
33
Chapitre III Etude des Systèmes de Détection et Prévention d’Intrusions (IDS/IPS)
• Administrateur : Une personne chargée de mettre en place la politique de sécurité et
configure les IDS et par conséquent de déployer et de configurer les IDS [24], via les
interfaces utilisateur.
• Interface utilisateur : C'est un module qui permet à l'IDS d'interagir avec l'utilisateur
(généralement un administrateur système), pour pouvoir configurer et fixer quelques
paramètres en relation avec la politique de sécurité qu'on veuille mettre en œuvre. [25]
Analyse centralisée : certains IDS ont une architecture multi-capteurs. Ils centralisent
les événements (ou alertes) pour analyse au sein d’une seule machine. L’intérêt
principal de cette architecture est de faciliter la corrélation entre événements
puisqu’on dispose alors d’une vision globale. Par contre, la charge des calculs ainsi
que la charge réseau peuvent être lourdes et risquent de constituer un goulet
d’étranglement. [26]
Analyse locale : si l’analyse du flot d’événements est effectuée au plus près de la
source de données (généralement en local sur chaque machine disposant d’un capteur),
on minimise le trafic réseau et chaque analyseur séparé dispose de la même puissance
de calcul. En contrepartie, il est impossible de croiser des événements qui sont traités
séparément et l’on risque de passer à côté de certaines attaques distribuées. [26]
Analyse distribuée :
o Partiellement distribuée : dans ce cas un nombre limité de nœuds peuvent
exécuter des tâches d’analyse locale et de détection mais ils sont commandés
par un nœud maître, celui-ci collabore avec d’autres nœuds maîtres pour
superviser la détection globale sous forme d’une structure hiérarchique. [27]
o Entièrement distribuée : la collecte d’informations, l’analyse et la détection
ainsi que les alertes seront réalisées au niveau local de chaque nœud. Mais
dans le cas d’information incomplète ou bien suspicion les nœuds peuvent
déclencher des procédures de collaboration supervisées par des nœuds maitres.
[27]
34
Chapitre III Etude des Systèmes de Détection et Prévention d’Intrusions (IDS/IPS)
III.2.3.2 Les techniques de détection
Le trafic réseau est généralement constitué de datagrammes IP. Un NIDS est capable de
capturer les paquets lorsqu’ils circulent sur les liaisons physiques sur lesquelles il est
connecté. Pour que le NIDS détecte les intrusions à travers les paquets qui circulent sur le
réseau, il peut appliquer les techniques suivantes :
36
Chapitre III Etude des Systèmes de Détection et Prévention d’Intrusions (IDS/IPS)
III.2.5 Points faibles
Les IDS basés sur une bibliothèque de de signatures d’attaque connues, cette
bibliothèque devra être mise à jour à chaque nouvelle attaque sera affichées. Si l’attaque ne
contient pas la signature d’une attaque spécifique et récente, cette dernière passera au travers
des mailles du filet et la sécurité des données et le réseau en général sera menacé. [36]
Nous trouvons d’autres points faibles, et sont classées comme suit : [23]
IPS orienté hôte (HIPS) : un IPS basé hôte est un agent installé sur le système
bloquant les comportements anormaux tels que la lecture ou l’écriture de fichiers
protégés. L’accès à des ports non autorisés, une tentative de débordement de pile, un
accès à certaines zones de la base de registres. En effet, un HIPS analyse
exclusivement l’information concernant cet hôte pour le protéger des comportements
dangereux. Les HIPS sont en général placés sur des machines sensibles, susceptibles
de subir des attaques et possédantes des données importantes pour l’entreprise. [35]
IPS orienté réseau (NIPS) : Le rôle d’un IPS basé réseau est d’analyser les paquets
circulant dans le réseau. La principale différence entre un NIDS et NIPS tient
principalement en deux caractéristiques. Le positionnement en coupure sur le réseau
du NIPS, et non plus seulement en écoute comme pour le NIDS et la possibilité de
bloquer immédiatement les intrusions quel que soit le type de protocole de transport
utilisé et sans reconfiguration d’un équipement tierce. Ce qui induit que le NIPS est
constitué d’une technique de filtrage de paquets et de moyens de blocage. En effet, le
positionnement en coupure, tel un firewall, est le seul mode permettant d’analyser les
données entrantes ou sortantes et de réduire dynamiquement les paquets intrusifs avant
qu’ils n’atteignent leurs destinations. [35]
38
Chapitre III Etude des Systèmes de Détection et Prévention d’Intrusions (IDS/IPS)
IPS orienté noyau (KIPS) : leur particularité est de s’exécuter dans le noyau d’une
machine, pour y bloquer toute activité suspecte. Le KIPS peut reconnaître des motifs
caractéristiques du débordement de mémoire, et peut ainsi interdire l’exécution du
code. Il peut également interdire le système d’exploitation d’exécuter un appel
système qui ouvrirait un terminal de commande. Puisqu’un KIPS analyse les appels
systèmes, il ralentit l’exécution. C’est pour-ça sont moins utilisés. [36]
Vrai positif : Une situation dans laquelle une signature met le feu correctement quand
le trafic intrusif est détecté sur le réseau, ceci représente l’opération normale et
optimale.
Faux positif : Une situation dans laquelle d’utilisation d’une activité normale
déclenche une alerte ou une réponse, ceci représente une erreur.
39
Chapitre III Etude des Systèmes de Détection et Prévention d’Intrusions (IDS/IPS)
Vrai négatif : Une situation dans laquelle une signature ne met pas un signe pendant
l’utilisation normal de trafic sur le réseau. Aucune activité malveillante. Ceci
représente une opération normale et optimale.
Faux négatif : Une situation dans laquelle le système détection ne détecte pas le trafic
intrusif bien qu’il y a une activité malveillante, mais le système de sécurité ne réagit
pas, dans ce cas représente une erreur.
40
Chapitre III Etude des Systèmes de Détection et Prévention d’Intrusions (IDS/IPS)
Les IDS sont des outils de détection et Les IPS constituent un système de
de surveillance qui n’engagent pas contrôle qui accepte ou rejette un
d’action de leur propre fait. paquet en fonction d’un ensemble de
Il est nécessaire qu’un humain ou un règles.
autre système prenne ensuite le relais L’IDS constitue un très bon outil, qui
pourra l’utiliser dans le cadre de ses
pour examiner les résultats et
enquêtes sur les incidents de sécurité.
déterminer les actions à mettre en l’IPS empêche la transmission du
œuvre, ce qui peut représenter un paquet en fonction de son contenu, tout
comme un pare-feu bloque le trafic en
travail à temps complet selon la
se basant sur l’adresse IP.
quantité quotidienne de trafic généré.
41
Chapitre III Etude des Systèmes de Détection et Prévention d’Intrusions (IDS/IPS)
De nombreux fournisseurs d’IDS/IPS ont intégré de nouveaux systèmes IPS à des
pare-feu, afin de créer une technologie appelée UTM (Unified Threat Management). Cette
technologie combine en une seule entité les fonctionnalités de ces deux systèmes similaires.
Certains systèmes intègrent dans une même entité les fonctionnalités d’un IDS et d’un IPS.
[39]
III.5 Conclusion
Dans ce chapitre, nous avons montré les notions des systèmes de détection et prévention
d’intrusions, et leurs architectures, ainsi que leurs fonctionnements. Nous avons compris que
les IDS/IPS sont des outils indispensables à la bonne sécurité d’un réseau, et capables de
satisfaire les besoins de presque tous les types d’utilisateurs. Comme tous les outils
technologiques, les IDS ont des limites et des faiblesses que seule une analyse humaine peut
compenser, et les IPS ont des limites et des faiblesses que ne peut pas empêcher toutes les
attaques non connues, et ils peuvent paralyser tout un système. Mais avec le temps, ces outils
deviennent chaque jour meilleurs grâce à l’expérience acquise.
42
Chapitre IV Mise en place et Test
Dans cette partie, nous allons présenter les zones réseaux de l’entreprise, et les sécuriser avec
un système de détection d’intrusion Snort qui tourne sur la plateforme PfSense, sur trois types
d’architectures différentes.
La zone démilitarisée peut-être une méthode de sécurité, car elle joue un rôle d’un pont entre
le réseau Internet (WAN) et les autres réseaux locaux de l’entreprise, pour ne pas permettre
aux attaquants externes de pénétrer le cœur de l’entreprise comme la zone WORK.
44
Chapitre IV Mise en place et Test
IV.2.2 Architecture centralisée
Positionnement des IDS dans l'architecture centralisée : Les cercles rouge sur la figure
25 sont les positions des IDS :
45
Chapitre IV Mise en place et Test
o Position (1): la première idée qui vienne à notre tête, c’est de placer l’IDS dans
cette position, elle couvre toute l’architecture, et détecte toutes les attaques
frontales. Ainsi, énormément d'alertes seront remontées ce qui va consommer
beaucoup de ressource et rendra les logs difficilement consultables.
o Position (2): placer un IDS dans cette position, ne lui permet pas de détecter les
attaques frontales, et il couvrira juste la zone PUBLIC, avec moins de
consommation de ressources, et son utilité est faible, car ne sécurise pas les zones
WORK et DMZ.
o Position (3): l’installation d’un IDS dans cette position, joue un rôle important, car
il couvre une zone essentielle, et il va minimiser beaucoup les erreurs humaines
(les mauvaises activités involontaires ou intentionnelles des employés).
o Position (4): elle sécurise juste la zone DMZ, et elle ne prend pas en considération
le flux qui passe vers la zone PUBLIC et WORK. Dans le sous-réseau DMZ, c’est
mieux d’installer un HIDS sur les serveurs que d’utiliser un NIDS, s’il y a un petit
nombre de serveurs, car c’est une zone automatisée, ne contient pas des activités
humaines.
Existe trois solutions pour équiper cette architecture avec un système de détection d’intrusions
pour sécuriser toute l’entreprise:
o Tout le flux entrant et sortant de l’entreprise passe par une seule machine, qui va
donner un seul endroit à visiter pour contrôler le flux.
Les inconvénients d’architecture centralisée :
o Si le nœud central tombe en panne, toute l’architecture tombe en panne.
o Comme le traitement des paquets nécessite une mémorisation des connexions en
cours, il existe des attaques sur ces équipements visant à saturer leur mémoire. o Si
un attaquant contrôle le nœud central il va avoir entre ses mains le contrôle de
toutes les zones (WORK, PUBLIC et DMZ) de l’entreprise.
46
Chapitre IV Mise en place et Test
o Une bande passante limitée, car le nœud central contrôle tout le trafic.
IV.2.3 Architecture décentralisée
47
Chapitre IV Mise en place et Test
nous ne pouvons pas faire un diagnostic sur toutes les menaces qui visent
l’entreprise depuis l’extérieur. Les logs seront ici plus clairs à consulter, car les
attaques légères ne seront pas enregistrées.
o Position (5): cette position ne couvre que la zone PUBLIC, et ne détecte pas les
attaques frontales.
o Position (6): le positionnement de l'IDS dans la zone WORK, peut rendre compte
des attaques internes, provenant du réseau local de l'entreprise. Ce pourrait être une
bonne idée de mettre un IDS à cet endroit, étant donné le fait que la majorité des
attaques proviennent de l'intérieur. De plus, si des chevaux de Troie (Trojans) ont
contaminé la zone WORK, ils pourront être ici facilement identifiés pour être
ensuite éradiqués.
Le nombre minimum d'IDS qu'il faut placer dans cette architecture pour sécuriser toutes les
zones est trois, et ils fonctionneront à toutes leurs capacités.
48
Chapitre IV Mise en place et Test
• Mettre en place un serveur_de_contrôle_1 qui connecte le réseau Internet à la zone
démilitarisée (DMZ).
• Nous centralisons les deux zones WORK et PUBLIC qui sont connectées à un autre
serveur_de_contrôle_2 via deux interfaces réseaux.
• Connecter l’interface WAN de serveur_de_contrôle_2 à la zone démilitarisée, et avoir
un accès à ses services, ainsi que l’accès à Internet.
50
Chapitre IV Mise en place et Test
IV.3.1 VirtualBox
C’est un logiciel libre de virtualisation publié par Oracle sous la licence publique générale
GNU version 2, et c’est une solution pour pouvoir exécuter d’autres systèmes d’exploitation
sur une seule machine et faire un test d’un réseau réel dans un seul ordinateur, écrit avec les
langages Python, assembleur, C et C++. Il marche sur les trois plateformes (Linux,
Windows, macOS).
IV.3.2 Pfsense
Le projet pfSense est une distribution de pare-feu réseau gratuite, basée sur le système
d'exploitation FreeBSD avec un noyau personnalisé et comprenant des progiciels gratuits [32]
Comme sur les distributions Linux, pfSense intègre aussi un gestionnaire de paquets
pour installer des paquets (logiciels) supplémentaires, et désinstaller des paquets et faire
d’autres fonctionnalités. Le nom de ce gestionnaire de paquets est pkg, et dans pfsense on peut
installer les paquets avec une ligne de commande « pkg install <nom de paquet> », ou par la
page d’administrateur depuis un navigateur.
Plusieurs services peuvent être gérés par pfSense, et ces services peuvent être arrêtés
ou activés depuis une interface graphique. Voici une liste des services proposés par Pfsense :
IV.3.3 LOIC
Low Orbit Ion Cannon (LOIC), qui peut être traduit par « canon à ion en orbite basse
» est un outil de pression réseau open source, écrit en C#. LOIC est basé sur le projet LOIC de
Praetox. LOIC est à des fins éducatives uniquement, destiné à aider les propriétaires de
serveurs à développer une attitude de «défense contre les pirates». Cet outil est livré sans
51
Chapitre IV Mise en place et Test
aucune garantie. « Vous ne pouvez pas utiliser ce logiciel à des fins illégales ou contraires à
l'éthique. Cela comprend les activités qui donnent lieu à une responsabilité pénale ou civile.
En aucun cas, le concédant ne sera responsable des activités ou des méfaits du licencié. » [41]
LOIC est une application de test de réseau, cette application tente d'attaquer par déni de
service (Dos), le site ciblé en inondant le serveur avec des paquets TCP ou des paquets UDP.
IV.3.4 Snort
Snort utilise des règles dans leur moteur de détection, pour reconnaître les intrusions. Nous
pouvons télécharger ces règles prédéfinies via le site officiel, ou programmer nos propres
règles, via un langage simple et léger de description, qui est flexible et assez puissant.
[38]
52
Chapitre IV Mise en place et Test
La structure des règles : Les règles de Snort doivent être écrites sur une seule ligne, car
l’analyseur de règles de Snort ne sait pas comment traiter des règles sur plusieurs lignes.
Les règles Snort sont divisées en deux sections logiques :
o La section entête de règle : contient l’action de la règle (alert, log, pass…etc), le
protocole, les adresses IP source et destination avec les masques réseau, et les ports
source et destination. o La section options de la règle : contient les messages d’alerte
et les informations sur les parties du paquet qui doivent être inspectés pour déterminer
si l’action de la règle doit être acceptée. Voici une règle d’exemple :
alert tcp any any -> 193.194.82.178/20 3036 (content:"|00 01 86 a5|"; msg:
"mountd access";)
Les entêtes de règle : L’entête de règle contient l’information qui définit le "qui, où, et
quoi" d’un paquet. Nous trouvons dans l’entête : o L’action de règle : c’est le premier
élément dans l’entête. L’action de règle dit à Snort quoi faire quand il trouve un paquet qui
correspond aux critères de la règle.
Il y a cinq actions accessibles par défaut dans Snort :
alert - génère une alerte.
log - journalise le paquet.
pass - ignore le paquet.
activate – active une autre règle dynamique (dynamic).
Dynamic – reste passive jusqu’à être activée par une règle activate.
o Les protocoles : spécifier le protocole à analyser (TCP, UDP, ICMP, ARP...ect).
o La section des adresses : s’occupe comme information de l’adresse IP et le
masque de réseau, pour une règle donnée. Le mot clé "any" peut être utilisé pour
définir n’importe quelle adresse.
o Les numéros de ports : les numéros de port peuvent être spécifiés en plusieurs
façons représentées comme suit : [38]
log udp any any -> 192.168.1.0/24 1:1024
journalise le trafic udp provenant de tout port et à destination de ports dans l'intervalle de 1 à
1024
53
Chapitre IV Mise en place et Test
log tcp any :1024 -> 192.168.1.0/24 500:
journalise le trafic tcp depuis les ports privilégiés inférieurs ou égaux à 1024 allant vers les ports
supérieurs ou égaux à 500
Les variables : Ce sont de simples substitutions des variables fixées avec le mot clé var, et
sa structure est : var <nom de variable> <valeur de variable>.
Voici un exemple d’une variable :
Ces règles peuvent être modifiées de plusieurs façons. Nous pouvons définir des
métavariables en utilisant l’opérateur "$". Celles-ci peuvent être utilisées avec les opérateur de
modification de variables, "?" et "-".
• "$var" défini la méta-variable.
• "$(var)" replace avec le contenu de variable "var".
• "$(var:-défaut)" remplace avec le contenu de variable "var" ou avec "défaut" si "var"
est indéfini.
• "$(var:?message)" remplace avec le contenu de la variable "var » ou affiche le message
d’erreur "message" et quitter.
Les inclusions : Le mot clé include permet à d'autres fichiers de règles d'être inclus dans
le fichier de règles indiqué sur la ligne de commande. Format :
include: <répertoire/nom du fichier include>
54
Chapitre IV Mise en place et Test
o reference : Le mot-clé reference permet aux règles d'inclure des références à des
systèmes d'identification d'attaques externes. Le plugin prend actuellement en
charge plusieurs systèmes spécifiques ainsi que des URL uniques. Ce plugin doit
être utilisé par les plugins de sortie pour fournir un lien vers des informations
supplémentaires sur l'alerte produite. [42]
o sid : Le mot-clé sid est utilisé pour identifier de manière unique les règles de Snort.
Ces informations permettent aux plugins de sortie d'identifier facilement les règles.
o threshold : peut être inclus dans le cadre d'une règle ou vous pouvez utiliser des
threshold autonomes faisant référence au générateur et au SID auxquels ils sont
appliqués. Par exemple, une règle pour détecter un trop grand nombre de tentatives
de mot de passe de connexion peut nécessiter plus de 5 tentatives. Dans le
threshold nous trouvons quatre paramètres (type, track, count et seconds) et leur
format est : threshold : type <limit|threshold|both>, track <by_src|by_dst>, coutn
<c>, seconds <s>;
Options description
track by_src|by_dst le débit est suivi soit par l'adresse IP source, soit par l'adresse IP
de destination. Cela signifie que le nombre est maintenu pour
chaque adresse IP source unique ou pour chaque adresse IP de
destination unique. Les ports ou toute autre chose ne sont pas
suivis.
55
Chapitre IV Mise en place et Test
count c nombre de règles correspondant en s secondes qui entraîneront le
dépassement de la limite event_filter. c doit être une valeur
différente de zéro.
IV.3.5 Nmap
Nmap (Network Mapper) est un outil open source d'exploration réseau et d'audit de
sécurité. Il a été conçu pour rapidement scanner de grands réseaux, mais il fonctionne aussi
très bien sur une cible unique. Nmap innove en utilisant des paquets IP bruts (raw packets)
pour déterminer quels sont les hôtes actifs sur le réseau, quels services (y compris le nom de
l'application et la version) ces hôtes offrent, quels systèmes d'exploitation (et leurs versions) ils
utilisent, quels types de dispositifs de filtrage/pare-feux sont utilisés, ainsi que des douzaines
d'autres caractéristiques. Nmap est généralement utilisé pour les audits de sécurité, mais de
nombreux gestionnaires des systèmes et de réseau l'apprécient pour des tâches de routine
comme les inventaires de réseau, la gestion des mises à jour planifiées ou la surveillance des
hôtes et des services actifs [34].
Le but de cette architecture hybride est de gagner les avantages des autres architectures
mentionnées dans la partie (IV.2), et avec cet emplacement (centraliser les zones WORK et
56
Chapitre IV Mise en place et Test
PUBLIC avec un seul serveur de contrôle, et isoler le réseau DMZ avec son propre serveur de
contrôle) nous pouvons diminuer les inconvénients, et ajouter d’autres avantages.
Parmi les avantages de cette architecture par rapport aux autres architectures, est de
faire passer le flux entrant par plusieurs barrières de sécurité, pour un meilleur filtrage.
Comme le montre la figure suivante :
57
Chapitre IV Mise en place et Test
• Barrière 1 : la configuration de pare-feu_1, permet le passage des requêtes SYN de
synchronisations entrantes, et bloque les paquets et domaines indésirables selon la
politique de chaque entreprise, il permet cela de réduire le volume du trafic entrant, et
faciliter l'analyse du flux de données sur la prochaine barrière, et d’éviter la surcharge
sur le serveur.
• Barrière 2 : après avoir franchi la première barrière et réduire le volume des données,
dans cette deuxième barrière où l'IDS/IPS intervient, dont son rôle est d’analyser le
flux reçu à partir de la première barrière, en comparant les paquets réseau à une base
de données de cybermenaces, et de bloquer les paquets potentiellement dangereux, en
réduisant ainsi le volume du trafic une deuxième fois pour la prochaine barrière.
• Barrière 3 : dans cette barrière, nous trouvons le pare-feu_2 qui protège les zones
inaccessibles via Internet (WORK et PUBLIC), et avec sa configuration qui lui permet
aussi de bloquer les requêtes (SYN), qui ont traversé le Pare-feu_1, et destinées à
pénétrer les zones (WORK et PUBLIC), plus d’autres paquets selon la configuration
des besoins de l’entreprise, cela réduit le flux une troisième fois pour la prochaine
barrière.
• Barrière 4 : une dernière barrière qui protège les deux zones WORK et PUBLICE des
menaces Internet, et aussi considéré comme la première barrière contre les attaques qui
proviennent de la zone PUBLIC, dans le cas où un intrus s'infiltre dans cette zone.
Toutes les alertes et les notifications produites par les deux IDS, sont transférées vers la
machine de l’administrateur situé dans la zone du travail (WORK).
Selon la politique de l’entreprise, une simple configuration d’un Proxy ou un VPN dans la
zone DMZ, elle permet d’ajouter une cinquième barrière de sécurité considérée comme
optionnelle :
• Barrière 5 : son rôle est de sécurité et surveiller les échanges des données entrantes et
surtout sortantes.
58
Chapitre IV Mise en place et Test
59
Chapitre IV Mise en place et Test
IV.4.2.1 Installation de Pfsense
La première étape, est de télécharger le fichier ISO et nous choisissons la bonne
l’architecture du fichier depuis le site officiel (https://www.pfsense.org/download/), dans
notre test nous allons utiliser l’architecture AMD64 (64 bits).
Après avoir téléchargé le fichier nous lançons le Virtualbox et suivons les étapes
suivantes pour installer le Pfsense1:
Créer une nouvelle machine du type BSD et version FreeBSD (64 bits).
Ajouter le fichier téléchargé de Pfsense comme CD de boot.
Dans l’onglet réseau (Networks), nous activons deux adaptateurs réseaux, attacher le
premier à une interface réseau physique avec l’option adaptateur avec pont (Bridged
Adapter), et pour le deuxième adaptateur on sélectionne réseau interne (internal
network) avec le nom DMZ, après nous lançons la machine et nous choisissons les
étapes par défaut.
Les étapes d’installation de deuxième Pfsense1 sont les mêmes, sauf que dans l’onglet
réseau nous activons trois adaptateurs réseaux, nous attachons le premier adaptateur au réseau
interne DMZ, le deuxième au réseau WORK, et le troisième au réseau PUBLIC.
DHCP.
Avec la même option, nous sélectionnons l’interface numéro 2 (em1) pour configurer le
sousréseau DMZ avec une adresse IP (192.168.1.1) pour l’interface em1 comme une
passerelle ce réseau DMZ, et donner l’intervalle [192.168.1.3, 192.168.1.30] des adresses IP
pour le DHCP.
60
Chapitre IV Mise en place et Test
• Sélectionner l’interface numéro 1 (em0), et donner l’adresse IP 192.168.1.2 avec un
masque réseau 24, et la passerelle 192.168.1.1 (interface em0 de Pfsense1).
• Sélectionner l’interface numéro 2 (em1), et donner l’adresse IP 192.168.2.1 comme
passerelle pour le réseau WORK et masque réseau 24, et un intervalle [192.168.2.2 –
192.168.2.30] des adresses IP pour le DHCP.
• Sélectionner l’interface numéro 3 (em3), et donner l’adresse IP 192.168.3.1 comme
une passerelle pour le réseau PUBLIC, et un intervalle [192.168.3.2 – 192.168.3.30]
des adresses IP pour le DHCP.
61
Chapitre IV Mise en place et Test
Figure 34 : Configuration de la table NAT
63
Chapitre IV Mise en place et Test
64
Chapitre IV Mise en place et Test
Règles sur le pfsense1, et nous choisissons custom.rules de la liste Category Selection, et
nous écrivons les règles suivantes :
alert tcp $EXTERNAL_NET any -> Quand cette règle détecte 180 tentatives
(count 180) de demandes de connexion (flags:S)
$HOME_NET any (msg:"une attaque
depuis une seule machine source (track by_src)
DOS"; flags:S threshold:type both, track
pendant une durée de 60 secondes (seconds 60)
by_src, count 180, seconds 60;
(l'équivalent de 3 tentatives/s), elle lancera une
sid:15031996; rev:1;)
alerte avec un message « une attaque DOS »
(msg:"une attaque DOS").
alert tcp $EXTERNAL_NET any -> Cette règles tirée de la librairie de Snort, et elle
$HOME_NET 3306 (msg:"ET SCAN détecte les requêtes suspectes le scanne le port
Suspicious inbound to mySQL port 3306 (le port utilisé par le servcie mySQL)
3306"; flow:to_server; flags:S; ($HOME_NET 3306), on suit les 5 tentatives
threshold: type limit, count 5, seconds (count 5) de connexion (flags:S) de l’adresse
60, track by_src; source (track by_src) vers le serveur
reference:url,doc.emergingthreats.net / (flow:to_server) pendant une durée de 60
2010937; classtype:bad-unknown; secondes (seconds 60), et lancer une alerte avec
sid:2010937; rev:3; le message « ET SCAN Suspicious inbound to
metadata:created_at 2010_07_30, mySQL port 3306 » (msg:"ET SCAN Suspicious
former_category HUNTING, inbound to mySQL port 3306").
updated_at 2018_03_27;)
alert tcp $EXTERNAL_NET any -> $HOME_NET 5432 (msg:"ET Cette règle tirée de la
librairie de Snort, et elle
SCAN Suspicious inbound to PostgreSQL port 5432";
détecte les requêtes
flow:to_server; flags:S; threshold: type limit, count 5, seconds suspectes le scanne le port
5432 (le port utilisé par
60, track by_src;
PostgreSQL)
reference:url,doc.emergingthreats.net/2010939;
classtype:bad-unknown; sid:2010939; rev:3;
metadata:created_at 2010_07_30, former_category
HUNTING, updated_at 2018_03_27;)
alert tcp $EXTERNAL_NET any -> $HOME_NET 1433 (msg:"ET Cette règles tirée de la
SCAN Suspicious inbound to MSSQL port 1433"; librairie de Snort, et elle
flow:to_server; flags:S; threshold: type limit, count 5, seconds détecte les requêtes
65
Chapitre IV Mise en place et Test
(msg:"ET SCAN Potential VNC Scan 5800-5820"; flags:S,12; librairie de Snort, et elle
threshold: type both, track by_src, count 5, seconds 60; détecte les requêtes
alert tcp $EXTERNAL_NET any -> $HOME_NET 1521 (msg:"ET Cette règles tirée de la
librairie de Snort, et elle
SCAN Suspicious inbound to Oracle SQL port 1521";
détecte les requêtes
flow:to_server; flags:S; threshold: type limit, count 5, seconds suspectes le scanne le port
1521 (le port utilisé par
60, track by_src;
Oracle SQL)
reference:url,doc.emergingthreats.net/2010936;
classtype:bad-unknown; sid:2010936; rev:3;
metadata:created_at 2010_07_30, former_category
HUNTING, updated_at 2018_03_27;)
Pour les règles des interfaces sur Pfsense2, nous changeons juste :
• Sur la sonde position 4 de notre architecture hybride (voir la figure 27), la variable
EXEMPLE :
• alert tcp 192.168.3.0/24 any -> 192.168.1.0/24 any 3306 (msg:"ET SCAN Suspicious inbound
to mySQL port 3306"; ……
• alert tcp 192.168.3.0/24 any -> 192.168.2.0/24 any 3306 (msg:"ET SCAN Suspicious inbound
to mySQL port 3306";……
IV.5 Test
Dans cette section, nous allons lancer deux types attaques (attaque active "Dos"
utilisant l’outil LOIC et attaque passive "scanne" utilisant l’outil Nmap), de deux endroits
différents (zone WAN et zone PUBLIC), comme le montre la figure ci-dessous :
66
Chapitre IV Mise en place et Test
67
Chapitre IV Mise en place et Test
IV.5.1 Test de l’attaque active Dos
68
Chapitre IV Mise en place et Test
Figure 45 : Attaque Dos via la zone PUBLIC par l'attaquant2
69
Chapitre IV Mise en place et Test
Figure 48 : Détection de l'attaque scanne de l'attaquant1 par IDS 1
70
Chapitre IV Mise en place et Test
Figure 53 : Détection de l'attaque scanne de l'attaquant3 sur la zone DMZ par IDS2
IV.6 Conclusion
Dans ce chapitre, nous avons étudié les principales zones réseaux d’une entreprise sur
trois types d’architectures (centralisée, décentralisée et hybride), et illustré l’installation et le
mécanisme de fonctionnement de Snort. Nous avons vu à la fin, comment Snort a pu stopper
une attaque passive (scanne avec Nmap) et active (Dos) avec succès.
71
Conclusion générale
72
Conclusion générale
L’évolution des réseaux informatiques et l’ouverture de ces réseaux rendent l’accès
aux informations plus simples et plus rapides, et les rend plus vulnérables. D’où la nécessité
de mettre en place toute une politique de sécurité. La sécurité des réseaux informatique est un
des problèmes les plus sérieux que connaissent les entreprises.
Sur le réseau Internet, les pirates informatiques exploitent et développent de plus en plus de
nouvelles stratégies, afin d’atteindre leurs objectifs sans se faire détecter. D’où la nécessité de
mettre en place toute une politique de sécurité pour se prévenir. Les systèmes de détection
d’intrusions ne représentent qu’une petite partie de cette politique.
Ce mémoire nous a permis d’acquérir une certaine maitrise et un certain bagage dans
le domaine de la sécurité informatique, et nous a permis de découvrir les systèmes de
détection et de prévention d’intrusions.
Nous avons étudié les fonctionnements de’IDS et d’IPS, et comment les positionner sur
différents types d’architectures réseaux (centralisée, décentralisée, et hybride), ainsi nous
avons pris le snort comme exemple qui est un très bon outil pour la détection et la prévention
d’intrusion, il effectue en temps réel des analyses du trafic de réseau, et garantie une sécurité
continue, et nous avons appris comment le manipuler sous la plateforme Pfsense, ce qui nous
a offert l’occasion de travailler sous l’environnement FreeBSD.
Le résultat des tests de notre système est satisfaisant, mais cela ne veut pas dire que
notre système est parfaitement efficace, car aucun système de sécurité permettant de garantir
une sécurité totalement fiable à 100%.
Bibliographie
[1] Les 10 Cyber attaques qui ont marqué 2019, https://www.globalsecuritymag.fr/Les-
10Cyberattaques-qui-ont,20191219,94070.html.
[2] C.Servin « Réseaux et Télécoms Cours et Exercices corrigés », Dunod, 2003.
[3] Dean .T (2001). Réseaux Informatique. Edition RYNALD GOULET.
[4] Mr Abdellaoui Mohammed El Amine, Mr Benhamou Aboubakr: « Application mobile de la
voIP sur un réseau Wifi ». Mémoire de Master, spécialité Réseaux et Systèmes de
télécommunication. Faculté de technologie. Université de Tlemcen. Juin 2014.
73
[5] https://web.maths.unsw.edu.au/~lafaye/CCM/initiation/types.htm [6]
https://web.maths.unsw.edu.au/~lafaye/CCM/initiation/topologi.htm [7] https://www.fichier-
pdf.fr/2015/04/20/topologie-des-reseaux/?
[8] Melle Rebiha HADAOUI : « Un IDS basé sur un algorithme inspiré du fonctionnement de
colonies des fourmis ». Mémoire de Magister. Faculté des Sciences, Département
d’informatique.
Université M’hamed BOUGARA de Boumerdes. 2009.
[9] Pierre Erny. (1998). « Les réseaux informatiques d’entreprise ».
[10] G.Valet, (Janvier 2012). Cours « Réseaux, TCP/IP ». Lycée Polyvalent Diderot.
[11] S.Belattaf, « Sécurité Informatique ». Cours LICENCE3 -2017/2018 –UMMTO.
[12] Elies Jebri, « Introduction à la sécurité », support de cours, 2008.
[13] MESSOUAF Sonia : « Génération automatique des scénarios d’attaques dans les systèmes
informatiques ». Mémoire de fin de cycle master en informatique, Option : Réseaux et
Systèmes
Distribués. 2012-2013
[14] Amiri khadidja, Tabti Fatima Djihane : « Détection des Cyber-attaques dans un réseau IP ».
Mémoire de fin d’étude. 2016-2017
[15] Tarek ABBES : « Classification du trafic et optimisation des règles de filtrage pour la
détection d’intrusion ».Thèse. 2004
[16] Hamzata Guey : « Mise en place d’un IDS en utilisant Snort ». Licence en informatique et
reseau.2010.
[17] Guillaume CHARPENTIER, Olivier MONTIGNY, Mathieu ROUSSEAU : « Virus /
antivirus- Nouvelles technologies Réseaux. 2004.
[18] Raphael Yende : « support de cours de sécurité informatique et crypto ».Support de cours.
2018
[19] Melle BELHARIZI Asmaà « La sécurité réseau, étude le cas de service Openvpn ».Mémoire
licence en Informatique. 2013
[20] ACISSI « Sécurité informatique Ethical Hacking Apprendre l’attaque pour mieux se défendre
». Octobre 2009.
[21] Jean-François PILLOU, Jean-Philippe BAY « Tout sur la sécurité informatique 4 e édition».
Dunod. 2016.
[22] M. Tran Van Tay « Le Sèstème de détection des intrusions et le système d’empêchement des
intrusions (ZERO DAY) », Rapport de stage de fin d’études, Février 2005, Université du
Québec à Montéal.
[23] Nicolas Baudoin, Marion Karle « NT Réseaux IDS et IPS », 2003/2004.
74
[24] M. ABBAS Massinissa, M. AOUADI Djamel « Détection d’intrusion dans les réseaux
LAN :IDS Snort sous LINUX », Mémoire de fin de cycle Master, Université Abderrahmane
Mira de Béjaïa, 2016/2017.
[25] Landry Ndjate, « Mise en place d'un crypto système pour la sécurité des données et la
détection d'intrusion dans un supermarché ». Graduat, 2014, Université Notre Dame du
Kasayi
[26] C. MICHEL : « Langage de description d’attaque pour la détection d’intrusion par corrélation
d’évènements ou d’alertes en environnement réseau hétérogène ». Thèse de doctorat.
Université de Rennes 1. Décembre 2003
[27] Z. ABDELHALIM. Recherche et détection des patterns d’attaques dans les réseaux IP à haut
débit. Thèse de doctorat. Université d’Evry Val d’Essonne. Janvier 2011.
[28] https://www.lemagit.fr/definition/HIDS-NIDS
[29] https://www.commentcamarche.net/contents/237-systemes-de-detection-d-intrusion-ids
[30] https://www.securiteinfo.com/conseils/choix_ids.shtml
[31] https://www.cisco.com/c/en/us/products/security/adaptive-security-appliance-asasoftware/
index.html
[32] https://www.pfsense.org/getting-started/
[33] https://www.snort.org/
[34] https://nmap.org/man/fr/index.html
[35] SOUROUR MEHAROUECH « Optimisation de la Fiabilité et la Pertinence des Systèmes de
Détection et Prévention d’Intrusions », Thèse de Doctorat, 2009/2010. école supérieure des
Communications de Tunis Université 7 Novembre à Carthage.
[36] Melle BELKHTMI Keltouma, Mlle BENAMARA Ouarda. « Mise en place d’un système de
détection et de prévention d’intrusion », Mémoire de fin d’étude Master. 2015/2016.
Université A/Mira de Béjaïa.
[37] Dany Fernandes, Papa Amadou Sarr, « La protection des réseaux contre les attaques DOS »,
2010, Université PARIS DESCARTES
[38] http://www.madchat.fr/reseau/ids%7Cnids/L'%E9criture%20de%20r%E8gles%20Snort.htm
[39] https://blog.varonis.fr/ids-et-ips-en-quoi-sont-ils-differents/
[40] https://www.researchgate.net
[41] Le manuel officiel du logiciel LOIC (README), sur le site github. URL:
https://github.com/NewEraCracker/LOIC/
[42] http://manual-snort-org.s3-website-us-east-1.amazonaws.com/node31.html
76
Figure 21 : Schéma d’architecture IDWG d’un IDS [24] ........................................................
34
Figure 22 : Emplacement d’un IPS au niveau d’un système informatique [35] ......................
39
Figure 23 : Architecture fonctionnelle d’un IPS [36] ..............................................................
41
Figure 24 : Différence entre IDS et IPS ...................................................................................
42
Figure 25 : Architecture centralisée .........................................................................................
46
Figure 26 : Architecture décentralisée......................................................................................
48
Figure 27 : Architecture hybride ..............................................................................................
50
Figure 28 : Topologie de l’architecture hybride .......................................................................
58
Figure 29 : Structure interne du réseau hybride .......................................................................
59
Figure 30 : Configuration du réseau virtuel .............................................................................
60
Figure 31 : configuration les l’interfaces em0 et em1 de Pfsense1 .........................................
62 Figure 32 : Configuration les l’interfaces em0, em1, em2 de
Pfsense2 ................................... 62
Figure 33 : L’interface web de Pfsense ....................................................................................
63
Figure 34 : Configuration de la table NAT .............................................................................. 63
Figure 35 : Installation des paquets de SNORT .......................................................................
64
Figure 36 : Code Oinkcode délivré après inscription sous Snort .............................................
64
Figure 37 : La configuration de l’importer les règles de Snort ................................................
65
Figure 38 : Télécharger les règles de Snort ..............................................................................
65
Figure 39 : Activation de l’interface em1 sur Pfsense1 ...........................................................
66
Figure 40 : Activer les interfaces em1 et em2 sur Pfsense2 .....................................................
66
77
Figure 41 : Maquette d'attaque active (Dos) et passive (Scan) ................................................
69
Figure 42 : Attaque Dos via la zone WAN par l'attaquant1 .....................................................
70
Figure 43 : Détection de l'attaque Dos de l'attaquant1 par IDS 1 ............................................
70
Figure 44 : Blocage de l'adresse IP de l'attaquant1 par IPS 1 ..................................................
70
Figure 45 : Attaque Dos via la zone PUBLIC par l'attaquant2 ................................................
70
Figure 46 : Détection de l'attaque Dos de l'attaquant2 par IDS 2 ............................................
71
Figure 47 : Le scanne via la zone WAN par l'attaquant2 .........................................................
71
Figure 48 : Détection de l'attaque scanne de l'attaquant1 par IDS 1 ........................................
71
Figure 49 : Blocage de l'adresse IP de l'attaquant2 par IPS 1 ..................................................
72
Figure 50 : Le scanne de zone WORK via la zone PUBLIC par l'attaquant3 ..........................
72
Figure 51 : Détection de l'attaque scanne de l'attaquant3 par IDS2 capteur1 ..........................
72
Figure 52 : Détection de l'attaque scanne de l'attaquant3 par IDS2 capteur1 ..........................
73
Figure 53 : Détection de l'attaque scanne de l'attaquant3 sur la zone DMZ par IDS2 .............
73
78
ISP Internet Service Provider
IP Internet Protocol
SYN synchronize
CD Compact Disc
79