Scribd
Importer
75 vues31 pages

Sécurité des Réseaux : Systèmes IDS et VPN

Ce document décrit les concepts clés de la sécurité des réseaux, notamment les firewalls, les systèmes de détection d'intrusions et les réseaux privés virtuels. Il explique en détail les types, l'architecture et les méthodes de détection des systèmes de détection d'intrusions.

Transféré par

DO UA
Copyright
© © All Rights Reserved
Nous prenons très au sérieux les droits relatifs au contenu. Si vous pensez qu’il s’agit de votre contenu, signalez une atteinte au droit d’auteur ici.
Formats disponibles
Téléchargez aux formats PDF, TXT ou lisez en ligne sur Scribd
75 vues31 pages

Sécurité des Réseaux : Systèmes IDS et VPN

Ce document décrit les concepts clés de la sécurité des réseaux, notamment les firewalls, les systèmes de détection d'intrusions et les réseaux privés virtuels. Il explique en détail les types, l'architecture et les méthodes de détection des systèmes de détection d'intrusions.

Transféré par

DO UA
Copyright
© © All Rights Reserved
Nous prenons très au sérieux les droits relatifs au contenu. Si vous pensez qu’il s’agit de votre contenu, signalez une atteinte au droit d’auteur ici.
Formats disponibles
Téléchargez aux formats PDF, TXT ou lisez en ligne sur Scribd

Sécurité

des réseaux
Chapitre 4 : Sécurité des réseaux

1ère année Master RS

Dr. Lamia Hamza


Université de Bejaia
Plan du chapitre

Cours 1 : Firewall
Cours 2 : Système de détection d'intrusions
Cours 3 : Virtual Private Network (VPN)

2
Système de détection d'intrusions

Définition
Types d’IDS (Intrusion Detection System)
Architecture fonctionnelle d’un IDS
Classification des systèmes de détection d’intrusions
Problématique de la détection d'intrusions

3
Définition

Un système de détection d'intrusions (souvent abrégé


IDS : Intrusion Detection System) est un mécanisme
destiné à repérer des activités anormales ou
suspectes sur la cible analysée.

4
Définition : Notions de Bases

Faux-positif : détection en absence d’attaque


alerte générée par un IDS pour un événement légal

Faux-négatif : absence de détection en présence d’attaque


non génération d’alerte par un IDS pour un événement illégal

Log : ligne d’un fichier d’un logiciel qui enregistre les données
transitant sur un système pour le surveiller ou faire des
Statistiques

Fichier log : contient les événements s’étant produits sur un


système

5
Types d’IDS

Types d’IDS

HIDS (Host Based NIDS (Network


IDS) Based IDS)

 Les HIDS assurent la sécurité au niveau des hôtes.


 Les NIDS assurent la sécurité au niveau du réseau.
6
HIDS

 La collecte d’informations s’opère via le système


d’exploitation des machines, ce qui permet d’observer le
comportement et les événements d’un système particulier.

 Cette solution de collecte d’informations est difficile à


déployer pour des grands environnements
informatiques.

 Les performances des machines hôtes sont affectées


par ce traitement additionnel.

7
NIDS

 La collecte d’informations au niveau du réseau, consiste


à récupérer les données lors de leur transit.
 Cela permet de détecter certaines attaques basées sur
les paquets malformés et certains dénis de service.
 La maintenance d’une telle solution ainsi que le cout de
déploiement sont relativement bas comparés à ceux des
HIDS.
 Cette solution reste inefficace dans un réseau
fortement segmenté.

8
Architecture fonctionnelle d’un IDS

Source de Opérateur
Données Données
brutes
Sonde
Notification
Capteur
Événement

Analyseur
Politique de
sécurité Réaction

Politique de Alertes
sécurité

Politique de
Administrateur sécurité Manager

Modèle générique de la détection d'intrusions proposé par l'IDWG (Intrusion


Detection Working Group) 9
Architecture fonctionnelle d’un IDS

Administrateur : personne chargée de mettre en place la


politique de sécurité, et par conséquent, de déployer et
configurer les IDSs.
Politique de sécurité : spécification des règles à respecter
afin de garantir la confidentialité, l'intégrité, et la disponibilité
des ressources sensibles. Elle définit quelles activités sont
autorisées et lesquelles sont interdites.

Source de données : dispositif générant de l'information sur


les activités des entités du système d'information.

10
Architecture fonctionnelle d’un IDS

Capteur : logiciel générant des événements en filtrant et


formatant les données brutes provenant d'une source de
données.
Evénement : message formaté renvoyé par un capteur. C'est
l'unité élémentaire utilisée pour représenter une étape d'un
scénario d'attaques connu.

Analyseur : c'est un outil logiciel qui met en œuvre


l'approche choisie pour la détection (comportementale ou par
scénarios), il génère des alertes lorsqu'il détecte une intrusion.

11
Architecture fonctionnelle d’un IDS

Sonde : un ou des capteurs couplés avec un analyseur.

Alerte : message formaté émis par un analyseur s'il trouve


des activités intrusives dans une source de données.

Manager : composant d'un IDS permettant à l'opérateur de


configurer les différents éléments d'une sonde et de gérer les
alertes reçues et éventuellement la réaction.

Notification : la méthode par laquelle le manager d'IDS met au


courant l'opérateur de l'occurrence d'alerte.

12
Architecture fonctionnelle d’un IDS

Opérateur : personne chargée de l'utilisation du manager


associé à l'IDS. Elle propose ou décide de la réaction à
apporter en cas d'alerte. C'est, parfois, la même personne que
l'administrateur.

Réaction : mesures passives ou actives prises en réponse à la


détection d'une attaque, pour la stopper ou pour corriger ses
effets.

13
Architecture fonctionnelle d’un IDS

D’après le modèle d’IDWG l'administrateur configure les différents


composants (capteur(s), analyseur(s), manager(s)) selon une
politique de sécurité bien définie. Les capteurs accèdent aux
données brutes, les filtrent et les formatent pour ne renvoyer que les
événements intéressants à un analyseur. Les analyseurs utilisent ces
événements pour décider de la présence ou non d'une intrusion et
envoient dans le cas échéant une alerte au manager, qui notifie
l'opérateur humain, une réaction éventuelle peut être menée
automatiquement par le manager ou manuellement par l'opérateur.

14
Classification des systèmes de détection d’intrusions

15
Source des données : Source d’information système

 Commandes systèmes : presque tous les systèmes


d'exploitation fournissent des commandes pour avoir un
instantané de ce qui se passe.
 Accounting : l'accounting ou l'historique des commandes
passées par les utilisateurs.
 Audit de sécurité: permet de définir des événements
système, de les associer à des utilisateurs et d'assurer leur
collecte dans un fichier d'audit.

16
Source des données : Audit applicatif

 Dans les audits applicatifs, les données à analyser sont


produites directement par une application (exemple : un
serveur Web, un serveur FTP, un serveur de base de
donnée).

 La couverture de l’IDS en terme de surveillance est plus


réduite que dans le cas des informations système,
puisqu'ici seule l'activité d'une application est surveillée.

17
Source des données : Source d'information réseau

 Paquets réseau : Les sondes réseaux sont munies d'un


dispositif matériel qui permet de capturer le trafic réseau.

 SNMP : Les informations issues des MIB-SNMP


(Management Information Base - Simple Network
Management Protocol) peuvent être utilisées comme
source de donnée.

18
Source des données : Source d'information basée IDS

 Il s'agit des alertes remontées par des analyseurs


provenant d'un IDS.

 Chaque alerte synthétise déjà un ou plusieurs événements


intéressants du point de vue de la sécurité. En corrélant
ces alertes, on peut, parfois, détecter une intrusion
complexe de plus haut niveau.

19
Méthode de détection : Approche comportementale

Modèles comportementaux (J. P. Anderson 1980) (anomaly


detection)
L'approche comportementale (« anomaly detection » en
anglais) consiste à comparer les comportements observés
à une référence de comportement normal. Toute
déviation entre les deux comportements déclenche une
alerte.
phase d’apprentissage : établir des profils correspondant
aux comportements normaux :
 Par respect de la politique de sécurité ;
 Par fonctionnement naturel des applications ;
 Par habitude des utilisateurs ;
 etc. 20
Méthode de détection : Approche comportementale

Système
cible
Journalisation

Fichiers
d’audit
BD de
comportements
Analyseur
normaux(profil)
d’audit
Anomalies
détectées
IHM Mise à jour des
comportements
Alertes

21
Méthode de détection : Approche comportementale

Avantages
 Pas besoin d’une base d’attaque.

 Possibilité de détecter de nouvelles attaques.

Inconvénients
 Nécessite un comportement stable du système modélisé.

 Taux de faux positifs élevé.

22
Méthode de détection : Approche par scénarios (par
signature)

IDS par scénarios (S. E. Smaha 1988) ou par signatures


(misuse detection)

L'approche par scénarios («misuse detection» en anglais) est


fondée sur la comparaison du comportement observé avec
une référence correspondant à des scénarios d'attaques
connus.

Le principe consiste à considérer que tout ce qui est décrit


dans la base d'attaques est reconnu comme intrusif, le reste
est considéré comme normal.

23
Méthode de détection : Approche par scénarios (par
signature)

Système
cible
Journalisation

Fichiers
d’audit

BD de
Analyseur signatures
d’audit d’attaques
Attaques
détectées
IHM Insertion/Mise à jour

Alertes Commandes

24
Méthode de détection : Approche par scénarios (par
signature)

Avantages
 Prise en compte des comportements exactes des
attaquants potentiels  peu de faux Positifs (fausse
alertes)

Inconvénients
 Base de scénarios difficile à construire et surtout à
maintenir  risque d’avoir des attaques non détectées
(faux négatifs)

25
Localisation de l'analyse des données

 Analyse centralisée : Certain IDS ont une architecture


multi-capteurs. Ils centralisent les événements (ou alertes)
pour les analyser au sein d'une seul machine.

 Analyse locale : l'analyse du flot d'événements est


effectuée sur chaque machine disposant d'un capteur.

 Analyse distribuée : l'utilisation des agents mobiles pour la


détection d'intrusions.

26
Granularité de l'analyse

 Une analyse périodique : L'idée est d'accumuler de


l'information, pour en faire périodiquement une analyse
globale (toutes les minutes, heures, jours, semaines et mois
par exemple).

 Une analyse continue : il faut analyser à la volée ce qui se


passe sur le système. Cela est, donc, nécessaire dans des
contextes sensibles (exemple : sécurité d'état). Aussi, en ce
qui a trait aux contextes commerciaux où la confidentialité
et la disponibilité sont primordiales.

27
Comportement après détection

Approche Passive : l'administrateur système est notifié par


un courrier électronique, un message dans une console, voire
même un petit message de type SMS.

Approche active : prendre automatiquement des mesures


pour :
 arrêter l'attaque en cours : coupure de connexion
réseau, reconfiguration dynamique du pare-feu pour
bloquer le trafic issu de la source présumée de l'attaque,
suppression des processus système en cause, etc.)
 empêcher son renouvellement (reconfiguration du pare-
feu, suppression de la vulnérabilité exploitée par
l'attaque, etc.). 28
Problématique de la détection d'intrusions

 L'excès d'alertes : La plupart de ces alertes sont en fait des


faux positifs.
 La sémantique des alertes : La sémantique des alertes est
pauvre et ne permet pas à l’opérateur de se faire une idée de
la gravité des alertes.
 Faux négatifs : Le taux de faux négatifs varie en fonction des
sondes, du taux de faux positifs tolérés, de l’âge et du type
des attaques.
 Attaque des outils eux-mêmes : les IDS peuvent, eux-mêmes,
être la cible d’attaque.
 La définition de la base d’attaques : la plupart des IDS actuels
ne permettent d’exprimer que des signatures relativement
simples. 29
Exercice supplémentaire

Exercice : Installer snort et détecter une intrusion

Lien utile : http ://www.snort.org

30
FIN DU
COURS 2
(CHAPITRE 4)
31

Vous aimerez peut-être aussi