Mise en Place D'un Système de Détection D'intrusion: Présenté Par: Elycheikh EL-MAALOUM Zakaria ZEKHNINI Mohammed RAZZOK

Université Mohammed 1
Ecole national des sciences appliquées
Mise en place d’un système de

détection d’intrusion
Présenté par: Encadré par: :

Elycheikh EL-MAALOUM Mr. SEFRAOUI
Zakaria ZEKHNINI
Mohammed RAZZOK
Introduction
2002
DOS
Perte
500 000 $
2
Plan
1. Les notions générales de la sécurité

informatique
2. Systèmes de détection d’intrusion(IDS)
3. SNORT
4. Snort et base de données
5. Mise en service d’un IDS
6. Conclusion
3
Les notions générales de la
sécurité informatique
La sécurité assure :
Disponibilité Intégrité Confidentialité Auditabilité
4
Terminologie de la sécurité
Vulnérabilité Intrusion Menace
5
Les outils de la sécurité
Antivirus
Firewalls
Agent
d’authentification
Les outils de
la sécurité
informatique
VPN
IDS
6
Les attaques informatiques
Types d’attaques
Attaque par
Attaque directe rebond
7
Les techniques d’attaques
Attaque par déni de Rendre des services

service (DOS) indisponibles.
Attaque man in the Ecoute le trafic entre

middle deux interlocuteurs
8
Système de détection d’intrusion
IDS
Des composantes logiciels et matériel
Analyser le trafic
Détecter des intrusions
Générer des alertes 9

Nécessité d’un IDS
Les pare-feu ne contrent pas toutes les

menaces
L’existence des failles potentielles
Remonter la source de l’attaque
Détecter les techniques employés
Les traces sont des preuves tangibles
10
Les types d’IDS
IDS
IDS IDS
Hybride
hôte réseau
Le plus utilisé
actuellement
11
Positionnement de l’IDS dans le réseau
12
Méthodes de détection d’intrusion
IDS
À signature Comportementaux
S’appuie sur Permet
Connaissance des Détection des

attaques nouvelles attaques
13
Type de réponse d’un IDS
Réponse
IDS
Passive Active
Détecter Détecter
Enregistrer
Arrêter l’attaque
l’attaque
14
SNORT
 Open source
 Détection d’une variété d'attaques:
 Débordements de tampons
 Scans de ports furtifs
 Tentatives d'identification DOS
 Common gateway interface
 Scans server message block
15
Les composants principaux de SNORT
Sniffing
Décodeur de paquets
Préprocesseurs
Règles
Moteur de détection
Journalisation
Système d’alerte et
d’enregistrement Arrête de
l’attaque
16
Les modes de snort
Mode renifleur « sniffer »

Mode d’enregistrement de snort
Mode de détection d’intrusion
17
Les règles de snort
L’entête de la règle Les options de la règle
L’entête de la règle:
IP Port IP Port
Action Protocole Direction
Source Source destination destination
Les options de la règle:

Messages d'alerte
Les informations sur les parties du paquet qui
doivent être inspectées 18
Snort et base de données MySQL
Permet l’enregistrement des journaux et des

alertes dans une base de données MySQL.
◦ Maintenir les données d'historique
◦ L'analyse des informations enregistrées
19
Les différents scénarios d'utilisation
d'une base de données avec Snort
20
Mise en service d’un système de
détection d’intrusion
Attaquante Cible
1-Test de connectivité avec une machine Windows

2-Attaque de type DOS (déni de service)
3-Détection par mot-clé (terrorisme)
4-Fenêtre box en Snort 21
Test de connectivité avec une
machine Windows
Capture les paquets
Cherche la présence d’une

chaine de caractère
dans les paquet
oui
Afficher un message
d’alerte
« Ping issue d’une
machine Windows »
22
Attaque de type DOS (déni de
service)
Capture les paquets
Nombre de connexion pendant une

durée de temps
>=
Seuil définie par
l’utilisateur(100paquets pendant 5s)
oui
Affiche un message d’alerte

«une attaque DOS détecté »
23
Détection par mot-clé (terrorisme)
Capture les paquets
Cherche la présence d’un

mot-clé « terrorisme »
oui
Affiche un message
d’alerte
« Ping issue d’une
machine Windows »
24
Fenêtre box en Snort
Données
SNORT
alert
Création d’un script shell(programme) qui permet:
Vérification de l’inscription
de nouvelles alertes dans le
fichier « alert »
oui
Affiche les alertes

dans une fenêtre box
25
Snort en mode détection d’intrusion et
l’enregistrement dans la base de données
26
Conclusion
La sécurité à 100% reste un idéal à

atteindre
Bien formaliser une politique de sécurité
27
Perspectives
Prévenir les personnes chargées de la sécurité

par:
◦ Courrier électronique
◦ Téléphone
Mode graphique
28

Mise en Place D'un Système de Détection D'intrusion: Présenté Par: Elycheikh EL-MAALOUM Zakaria ZEKHNINI Mohammed RAZZOK

Transféré par

Droits d'auteur :

Formats disponibles

Mise en Place D'un Système de Détection D'intrusion: Présenté Par: Elycheikh EL-MAALOUM Zakaria ZEKHNINI Mohammed RAZZOK

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Mise en Place D'un Système de Détection D'intrusion: Présenté Par: Elycheikh EL-MAALOUM Zakaria ZEKHNINI Mohammed RAZZOK

Transféré par

Droits d'auteur :

Formats disponibles

Université Mohammed 1

Ecole national des sciences appliquées

Mise en place d’un système de

Présenté par: Encadré par: :

1. Les notions générales de la sécurité

Disponibilité Intégrité Confidentialité Auditabilité

Vulnérabilité Intrusion Menace

Attaque par déni de Rendre des services

Attaque man in the Ecoute le trafic entre

Des composantes logiciels et matériel

Détecter des intrusions

Générer des alertes 9

Les pare-feu ne contrent pas toutes les

S’appuie sur Permet

Connaissance des Détection des

Mode renifleur « sniffer »

Les options de la règle:

Permet l’enregistrement des journaux et des

1-Test de connectivité avec une machine Windows

Cherche la présence d’une

Nombre de connexion pendant une

Affiche un message d’alerte

Capture les paquets

Cherche la présence d’un

Création d’un script shell(programme) qui permet:

Affiche les alertes

La sécurité à 100% reste un idéal à

Bien formaliser une politique de sécurité

Prévenir les personnes chargées de la sécurité

Vous aimerez peut-être aussi