Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

See discussions, stats, and author profiles for this publication at: https://ww

See discussions, stats, and author profiles for this publication at: https://www.researchgate.net/publication/308203983 Système de détection d'intrusion IDS Poster · December 2015 CITATIONS 0 READS 9,696 2 authors, including: Some of the authors of this publication are also working on these related projects: Security and QoS of future avionic architectures View project Social network security View project Ilyas Ed-daoui 24 PUBLICATIONS 81 CITATIONS SEE PROFILE All content following this page was uploaded by Ilyas Ed-daoui on 17 September 2016. The user has requested enhancement of the downloaded file. Système de détection d’intrusion IDS ED-DAOUI Ilyas | Pr. HABIBA MEJHED CHAOUI | ENSA KENITRA Snort est capable d'effectuer aussi en temps réel des analyses de trafic et de logger les paquets sur un réseau IP. Il peut effectuer des analyses de protocole, recherche/correspondance de contenu et peut être utilisé pour détecter une grande variété d'attaques et de sondes comme des dépassements de buffers, scans, attaques sur des CGI, sondes SMB, essai d'OS fingerprintings et bien plus. Snort pour effectuer ces analyses se fonde sur des règles. Celles-ci sont écrites par Sourcefire ou bien fournies par la communauté. Snort est fourni avec certaines règles de base mais cependant, comme tout logiciel, Snort n'est pas infaillible et demande donc une mise à jour régulière. Snort peut également être utilisé avec d'autres projets open sources tels que SnortSnarf, ACID, sguil et BASE (qui utilise ACID) afin de fournir une représentation visuelle des données concernant les éventuelles intrusions. Présentation un IDS est une sonde placée judicieusement sur un réseau ou un système, et qui va repérer les activités douteuses ou anormales sur cette cible et alerter les responsables sécurité. De cette façon, on peut obtenir une connaissance des tentatives réussies (ou non) d'attaque ou d'intrusion sur le système. On différencie plusieurs types d'IDS, à savoir les NIDS (ou Network Intrusion Detection System), qui se basent sur des analyses réseau, les HIDS (ou Host Intrusion Detection System), qui surveillent l'activité d'un hôte, et enfin les IDS hybrides, qui combinent HIDS et NIDS. C’est quoi un IDS ? Les IDS doivent donc alerter les administrateurs et les reponsables sécurité lorsque des évènements suspects apparaissent. Pour cela, le NIDS fonctionne en 3 temps : 1.Il effectue une capture d'un flux réseau, au moyen de sondes, reliées à un agrégateur central. Dans certains cas, notamment pour de petits réseaux, la sonde et l'agrégateur seront une seule et même machine. Pour des réseaux plus importants, on disposera les sondes à des endroits clés du réseau, et l'agrégateur sera un serveur dédié centralisé. Les points de positionnement de ces sondes sont multiples. Généralement placées derrière le firewall, pour ne collecter que les paquets qui seront réellement transmis sur le réseau interne, on pourra également placer une sonde dans chaque sous-réseau (notamment au moyen de port mirroring afin de limiter la charge sur chaque collecteur. 2.Après avoir collecté des paquets, le serveur doit analyser les données reçues, afin de détecter les activités anormales. Pour cela, il va se baser sur une bibliothèque de signatures, qui contient des éléments permettant d'identifier certains paquets comme suspects. L'inconvénient de cette méthode est qu'il faut constamment maintenir à jour cette base de signatures, et que la détection des nouvelles attaques ou des attaques de type 0day sera impossible. 3.Enfin, si un (ou des) paquet(s) sont détectés par l'analyseur, alors le système va alerter les administrateurs. Cela peut se faire de plusieurs façons : soit par l'envoi de mails automatique, la sauvegarde de logs via le protocole syslog, ou plus généralement via la sauvegarde de ces logs dans une base de données interne pour une lecture par un front-end, ou l'utilisation de ces logs par des applications tierces. Principe de fonctionnement de Snort Snort est un système de détection d'intrusion (ou NIDS) libre publié sous licence GNU GPL. À l'origine écrit par Martin Roesch (en), il appartient actuellement à Sourcefire. Des versions commerciales intégrant du matériel et des services de supports sont vendus par Sourcefire. Snort est un des plus actifs NIDS Open Source et possède une communauté importante contribuant à son succès. Snort http://fr.wikipedia.org/wiki/Snort https://www.snort.org http://doc.ubuntu-fr.org/snort Webographie Congrès International sur les Sciences et Technologies de l’Information et de la Communication View publication stats uploads/Ingenierie_Lourd/ poster-ed-daoui-ilyas.pdf