1

الرحمان الله بسمالكريم الرحيم الرسول على السالم و الصالة و

2

Mise en place d’un système de détection d’intrusion

(Snort,FWSnort,RKHunter)Kais MADI

Encadrée par:Mr . Zied OURDA

3

Introduction Sécurité de réseaux informatiques Attaque au réseaux informatique Les solutions courante Système de détection d’intrusion Snort FWSnort RKHunter Base PulledPork Active Response sous Windows Conclusion

PLAN

4

Après une année qui a établi un nouveau record pour les logiciels malveillants, avec 26 millions de nouveaux malware, de téraoctet d’information privée sont volé. Le cyber guerre a été l'un des grands titres de l'année. Donc il est nécessaire d’utilise une ensemble des moyens techniques, organisationnels, juridiques et humains et le mis en place pour conserver, rétablir, et garantir la sécurité du système d'information.

Introduction

5

Sécurité de réseaux informatique

6

Attaque au réseaux informatique

Attaque Dos ARP Poisoning ICMP redirect SYN Flood UDP Flood

Scan de port

SYN

SYN-ACK

SYNRST

7

Solution courante

Architecture réseau Sécurisée

Sécurité des équipements réseau

Protection des systèmes et des applications réseau

Le contrôle externe de sécurité

Contrôle interne de sécurité

8

Système de détection d’intrusion

9

Ensemble de composants logiciels et matériels dont la fonction principale est de détecter tout type d’attaque.

Système de détection d’intrusion

10

Les systèmes de détection d’intrusions réseaux

Les systèmes de détection d’intrusions de type hôte

Les systèmes de détection d’intrusions hybrides

Les systèmes de prévention d’intrusions

Type de système de détection d’intrusion

11

Par signature les IDS réseaux se basent sur un ensemble de

signatures qui représentent chacune le profil d'une attaque.

Par anomalie Leur déploiement nécessite une phase

d'apprentissage pendant laquelle l'outil va apprendre le comportement "normal" des fluxs applicatifs présents sur son réseau.

Par Vérification d’intégrité

Technique de détection

12

Emplacement d’un ids dans le réseaux

Web Serveur

2

3

Réseaux interne

FTP Serveur

1

Mail Serveur

DMZIDS Mangement Station

IDS Distribu

é

1.Sur cette position, l'IDS va pouvoir détecter l'ensemble des attaques frontales, provenant de l'extérieur, en amont du firewall.

2.Si l'IDS est placé sur la DMZ, il détectera les attaques qui n'ont pas été filtrées par le firewall et qui relèvent d'un certain niveau de compétence.

3.L'IDS peut ici rendre compte des attaques internes, provenant du réseau local de l'entreprise.

13

SNORT

14

Snort est un système de détection d'intrusion libre à l'origine écrit par Martin Roesch, il appartient actuellement à Sourcefire. Il combinant les avantages de la signature, l’analyse de protocole, et l’inspection basée sur les anomalies.

Snort

Paquets décodeur

15

le choix de décodeur et dépend de protocole de couche liaison. Snort supporte un certain nombre de protocole de couches liaison telque,Ethernet, 802.11, Token Ring, FDDI, Cisco HDLC, SLIP, PPP, et PF d'OpenBSD.

16

Préprocesseur

il fournie une variété de fonctions, de la normalisation du protocole, à la détection statique, à détection basée sur l’anomalie.

17

Moteur de détection

La plupart de la capacité de Snort pour détecter les attaques se matérialise dans les règles qui sont utilisés pour construire le moteur de détection.

18

Génération d’alerte

si les données correspondent à une règle dans le moteur de détection, une alerte est déclenchée. Les alertes peuvent être envoyées à un fichier journal, via une connexion réseau, à travers des sockets UNIX ou Windows Popup (SMB), ou SNMP alertes traps.il peut être également stockée dans une base de données comme MySQL et Postgres.

19

FWSnort

20

FWSnort

FWSnort est un système de prévention d'intrusion agissant de pair avec le pare-feu iptable ( intégré dans ubuntu) afin de bloquer des attaques réseau qu'il détecte. fwsnort, comme son nom l'indique, convertit les règles de Snort dans le pare-feu iptables.

21

Basic

22

Basic Analysis and Security Engine est une interface graphique écrite en PHP utilisée pour afficher les logs générés par l'IDS Snort et envoyés dans la base de données.

23

Active Response sous Windows

24Google Drive

Snort

Application web

25 Google Drive

Application web

Security center

SASS

XMLCloud computing

26

DEMO

27

je fais une étude théorique de système de détection d’intrusion et finalement j’ai réussi à mis en place le système de détection d’intrusion snort, et je fais une étude pratique sur le attaque du réseau informatiques et je tester avec l’outil Snort comment détectera ces attaques. Ainsi je réussis à intégrer d’autres outils de sécurité comme le firewall iptable et le Nips fwsnort et le Hids rkhunter avec snort pour améliorer la sécurité de réseaux. et j’ai crée une application de réponse active sur le système d’exploitation windows.

Ce travail peut-être amélioré, par l’implémentation de ce système de NIDSsnort ,IPS fwsnort,hids rkhunter sous l’architecture cloud computing.

Conclusion

28