Installation et Configuration d_un systeme de Detection d_intrusion (IDS)(1).pdf
(
2177 KB
)
Pobierz
MINISTERE
DE L’ENSEIGNEMENT
SUPERIEUR,
DE LA
RECHERCHE SCIENTIFIQUE
ET DE LE
TECHNOLOGIE
UNIVERSITE
7
NOVEMBRE CARTHAGE
MINI PROJET DE TROISIEME ANNEE
Filière : Réseaux Informatiques et Télécommunications
Sujet : Installation et Configuration d'un système de
Détection d'intrusion (IDS)
Plateforme : UBUNTU 8.10
Réalisé par : Ibrahim Mohamed Amine
Tebourbi Hamdi
Encadré par : DAAS Mohamed
Soutenu le : 19 Janvier 2009
1
Devant le jury composé de :
Président : LOUKIL Adlène
Examinateur : HAMDI Noureddine
Enseignant Responsable : DAAS Mohamed
Année universitaire 2008/2009
Introduction:
Devant la complexité croissante des réseaux qui a devenu de plus en plus gi
gantesque et étendue, on se trouvera devant le défi de se contribuer à la re
cherche des solutions répondant à la question suivante :
Comment protéger mon réseau contre les pirates et les malware ?
Dans le cadre de ce projet, nous nous intéressons à concevoir et implémenter
un système de détection d'Intrusion :
Les systèmes de détection d’intrusion ou IDS (Intrusion Detection System)
sont indispensables pour la sécurité du réseau, ils permettent (comme leur
nom l’indique) de détecter les tentatives d’intrusions, et ceci en se basant sur
une base de signatures des différentes attaques connues, donc leur
fonctionnement est semblable à celui des antivirus.
Principalement, nous distinguons trois
grandes familles distinctes d’IDS :
NIDS: formés par les détecteurs d’intrusion réseau, ces derniers observent
et analysent le trafic réseau, cherchent des indicateurs d’attaques et
envoient des alertes.
2
HIDS: formé par les détecteurs d’intrusion basés sur l’hôte, ces derniers
analysent et contrôlent uniquement l’activité et les informations de l’hôte sur
lequel est installé le HIDS et assurent ainsi seulement la sécurité de l’hôte en
question.
IDS hybrides: qui utilisent les NIDS et HIDS pour avoir des alertes plus
pertinentes.
Dans ce qui suit, nous allons commencer par donner une présentation
générale des IDS, ensuite nous allons présenter SNORT qui est un logiciel
open source situé dans la première famille des IDS, puis leur installation,
configuration et fonctionnalités sous la plateforme UBUNTU 8.10 qui est une
distribution Gnu/Linux récente, sponsorisée par la société Canonical Ltd dont
le fondateur est le multimillionnaire Mark Shuttleworth.
Ubuntu Linux est résolument orientée au grand public, basée sur Debian (une
distribution particulièrement robuste qui a fêté ses quinze ans le 16 août
2008). Enfin, nous allons terminer par donner une conclusion et des
perspectives pour ce travail.
CHAPITR 1
État de l’art
Dans ce chapitre nous présentons les principales fonctionnalités des
différentes familles d'IDS.
1.1 NIDS (IDS réseau) :
1.1.1 Présentation des NIDS :
3
Figure 1.1: Le fonctionnement du NIDS
Un NIDS se décompose en trois grandes parties : La capture, les signatures
et les alertes.
1.1.2 Capture :
La capture sert à la récupération du trafic réseau. En général ceci se fait
en temps réel, bien que certains NIDS permettent l'analyse de trafic capturé
précédemment.
La plupart des NIDS utilisent la bibliothèque standard de capture de paquet
libpcap.
Le fonctionnement de la capture d'un NIDS est donc en général
fortement lié à cette libpcap. Son mode de fonctionnement est de copier (sous
Linux) tout paquet arrivant au niveau de la couche liaison de données du
système d'exploitation.
Il se peut que certains paquets soient ignorés car sous une forte charge, l'OS
ne les copiera plus.
1.1.3 Signatures :
4
Les bibliothèques de signatures (approche par scénario) rendent la
démarche d'analyse similaire à celle de l’antivirus quand celles ci s'appuient
sur des signatures d'attaques. Ainsi, le NIDS est efficace s'il connaît l'attaque,
mais inefficace dans le cas contraire. Les outils commerciaux ou libres ont
évolué pour proposer une personnalisation de la signature afin de faire face à
des attaques dont on ne connaît qu'une partie de ces éléments. Les outils à
base de signatures requièrent des mises à jour très régulières.
Les NIDS ont pour avantage d'être des systèmes temps réel et ont la
possibilité de découvrir des attaques ciblant plusieurs machines à la fois.
Leurs inconvénients sont le taux élevé de faux positifs qu'ils génèrent, le fait
que les signatures aient toujours du retard sur les attaques de type 0day et
qu'ils peuvent être la cible d'une attaque.
1.1.4 La recherche du motif (pattern matching)
La recherche du motif est ce qui permet à un NIDS de trouver le plus
rapidement possible les informations dans un paquet réseau. Il existe
différents algorithmes de recherche de motif (Algorithme naïf, Algorithme de
RabinKarp, Algorithme de BoyerMoore
....
). Il y a ceux qui sont conçus pour
renvoyer des négatifs le plus rapidement possible comme E2xB, d'autres
algorithmes sont intéressants lorsqu'il y a peu d'informations stockées en
mémoire. Il est convenu que BM est plus efficace que les autres quand il y a
moins de 100 signatures. Il existe aussi des extensions à Boyer Moore qui
s'affranchissent de ces restrictions. Ou encore des algorithmes qui sont plus
précis et donc plus intéressants dans le cas des NIDS comme KnuthMorris
Pratt (KMP).
Dans le cas d'un NIDS, la recherche de motif est souvent le nœud
d'étranglement. Pouvant consommer plus de quatrevingt pourcent de temps
de calcul.
E2xb à été spécialement conçu pour répondre aux besoins des NIDS. Il s'agit
d'un algorithme de recherche de motif de domaine spécifique à la détection
d'intrusion. C'est un algorithme d'exclusion car il part du principe que la
plupart des paquets réseau ne corresponde pas à une signature qui identifie
une tentative d'intrusion.
5
Plik z chomika:
musli_com
Inne pliki z tego folderu:
IPv4 Multicast.pdf
(45 KB)
07b-Archi-TCP-IP.pdf
(619 KB)
09a-ARP-RARP.pdf
(168 KB)
1-NetFlow Detections 2004.pdf
(61 KB)
100 Wireshark Tips.pdf
(127 KB)
Inne foldery tego chomika:
CloudStack
distribution
dsp
electronics
LPI
Zgłoś jeśli
naruszono regulamin