Cartographie du SI et corrélation d alertes pour la détection d intrusions

Dimension: px
Commencer à balayer dès la page:

Download "Cartographie du SI et corrélation d alertes pour la détection d intrusions"

Transcription

1 Cartographie du SI et corrélation d alertes pour la détection d intrusions Etat de l art 07 Février 2005 RESPONSABLES France Telecom : Hervé DEBAR ENST Bretagne : Frédéric CUPPENS AUTEUR Diala ABIHAIDAR

2 INTRODUCTION LES IDS LES APPROCHES DE DETECTION COMPARAISONS DES APPROCHES ET DE LEURS LIMITES LA DETECTION QUALIFIEE DE «STATEFUL» VERSUS «STATELESS» LA CORRELATION D ALERTES ET LA CARTOGRAPHIE LA CARTOGRAPHIE DES RESEAUX LA DEFINITION DE LA CARTOGRAPHIE LES APPROCHES EXISTANTES L architecture à agents dédiés L approche active L approche passive TAXONOMIE DES OUTILS EXISTANTS NeVO RNA Snort EttercapNG Nessus Scotty/Tkined Nmap Checkos et SIRC P0f OSSIM SYNTHESE SUR LES OUTILS EXISTANTS LA CORRELATION D ALERTES ET LES PERSPECTIVES LES TECHNIQUES DE CORRELATION LES PERSPECTIVES...14 CONCLUSION...15 BIBLIOGRAPHIE...16 ANNEXE A OUTILS UTILISES DANS OSSIM...17 ANNEXE B CARACTERISATION D UNE MACHINE PAR OSSIM

3 Introduction De nos jours, le monde de la communication et du multimédia est en perpétuelle mutation. De nouvelles technologies émergentes, telles la Voix sur IP, Internet, , intranet, extranet et le commerce «Business to Business», forcent les entreprises à ouvrir leurs portes informatiques au reste du monde afin de rester compétitives. Malheureusement, cette ouverture vers l extérieur augmente sensiblement les risques liés à la sécurité de l entreprise. Assurer la sécurité informatique revient à garantir l intégrité et la confidentialité des données, la disponibilité, la non répudiation auxquelles s ajoute l authentification si on considère la sécurité sur l ensemble du réseau informatique. Tout système informatique peut être la cible d une menace qui cherchera à exploiter ses vulnérabilités. Une étape d analyse complète du système à protéger doit être faite pour détecter ses vulnérabilités et prendre certaines contre-mesures indispensables pour la prévention des attaques malveillantes. La deuxième étape consiste en une surveillance dite dynamique qui revient à surveiller le réseau, une fois la prévention faite, pour détecter d éventuelles intrusions. Dans le cadre de l observation des intrusions sur un réseau informatique il s avère évident qu il est nécessaire d automatiser la tâche vu l énorme volume de données à traiter. Ceci est confié aux outils de détections d intrusions (IDS, Intrusion Detection System). Cependant force est de constater que de nombreuses intrusions sont non détectées ou bien certaines sont détectées alors qu elles ne compromettent pas le système en question. Les IDS présentent certainement des lacunes que l on cherche depuis toujours à combler. Une corrélation d alerte peut paraître une solution pour réduire le nombre de fausses alertes. Une connaissance cartographique peut parfois apporter des informations exploitables par le processus de corrélation. Cette étude bibliographique est divisée en trois grandes parties. La première consistera à étudier les IDS pour voir pourquoi ils s avèrent insuffisants pour une gestion optimale de la sécurité du réseau. La deuxième partie traitera de la cartographie. Les différentes techniques et les différents outils de cartographie seront étudiés pour montrer leurs avantages et leurs points faibles ainsi que les différentes informations qu ils sont capables de fournir sur le réseau. La dernière partie sera consacrée à la corrélation d alertes ; une présentation rapide des méthodes existantes débouchera sur les perspectives. 2

4 1. Les IDS Les IDS sont des outils automatiques de surveillance de trafic destinés à détecter toute activité anormale ou suspecte supposée être une tentative de violation de la politique de sécurité mise en œuvre. Les IDS sont classés sous deux catégories : les HIDS (Host based Intrusion Detection System) et les NIDS (Network based Intrusion Detection System). Les HIDS assurent la sécurité au niveau des machines hôtes. Ils détectent tout accès ou modifications non autorisés de fichiers. Ils utilisent des modules logiciels implantés sur les machines hôtes à surveiller qui lisent les fichiers de log pour collecter les informations utiles dans des traces d audit. Les NIDS quant à eux assurent la sécurité des réseaux en enregistrant des données observées sur le trafic réseau. Ils nécessitent des machines dédiées placées dans des endroits bien précis (à la sortie d un firewall, devant un serveur Web ). Ils capturent et lisent les paquets IP circulant sur le réseau (Sniffing) Les approches de détection Nous avons vu que le rôle principal de l IDS est de détecter des intrusions. Reste à savoir comment il va pouvoir le faire, en d autres termes qu est-ce qu un IDS cherchera à savoir. Deux approches de détections existent [2]: l approche comportementale et l approche par scénario. L approche comportementale se base sur l idée de profil d un utilisateur (ou groupe d utilisateurs). Un profil d utilisateur est vu comme étant le trafic réseau relatif, la taille de données échangées, le nombre de connexions par jour établies par cet utilisateur ou vers cet utilisateur Cette approche consiste à comparer le profil de ce dernier à un profil défini au préalable correspondant à un comportement normal et enregistré dans une base de comportements dans le but de détecter des déviations notables. Cette approche cherche donc à détecter une anomalie de comportement. La deuxième approche consiste à analyser les traces d audit système ou les données sur le réseau pour détecter des comportements interdits. Ces derniers sont repérés par certains motifs ou signatures relatifs à des attaques connues et enregistrées dans une base de signatures d attaques. Cette approche cherche donc à détecter des manifestations d attaques. La réponse des IDS suite à une détection d intrusion peut être de deux sortes. Elle peut correspondre à une simple alerte, notification envoyée pour le personnel responsable via un message d alerte sur une console, une mise à jour de rapport d attaques C est une réponse passive. Mais il est aussi possible que l IDS réponde en exerçant une action spécifique comme par exemple déconnecter un utilisateur, fermer des ports, reconfigurer un firewall C est une forme active de réponse et nous avons tendance à parler d IPS (Intrusion Prevention System) Comparaisons des approches et de leurs limites On peut déjà noter quelques faits concernant les deux approches précédentes surtout en ce qui concerne les alertes générées. Ces deux approches peuvent donner lieu à des faux positifs et des faux négatifs. Les faux positifs sont la détection d une intrusion en l absence de celle ci. Les faux négatifs s illustrent par le fait que le système n a pas détecté une intrusion qui a eu lieu. Avec l approche comportementale, il est fort probable de déclencher un grand nombre de faux positifs. En effet les comportements qualifiés de normaux sont généralement appris par le module par une simple observation. Il peut y avoir une déviation normale du système sans que celle-ci représente une intrusion potentielle mais l IDS va déclencher une alerte (faux positif). De même un attaquant peut étaler son attaque dans le temps pour qu elle corresponde à un comportement normal appris par le module. Ceci est source de faux négatifs. Le problème avec la deuxième approche est qu elle se base sur une bonne définition de la politique de sécurité et une prise en compte de toutes les attaques possibles puisque toute 3

5 absence de signature dans la table de signatures pourrait induire un faux négatif. Cette approche demande également une définition précise de la signature sinon il y a un risque de faux positifs qui reste cependant moins important comparé avec la première approche La détection qualifiée de «stateful» versus «stateless» Un autre aspect de comparaison des IDS est la méthode de détection employée par ces différents outils. En ce qui concerne l approche par scénario, la majeure partie des IDS présents sur le marché se contentent d une analyse paquet par paquet sans prendre en considération qu une attaque peut être distribuée sur plusieurs paquets. La détection d intrusion dans ce cas consiste à chercher l existence d une certaine signature d attaque dans un paquet ; si cette dernière existe une alerte est déclenchée sinon le paquet est accepté et un autre paquet est analysé. Cette méthode est qualifiée de «stateless» puisqu elle ne garde pas d information sur l état des différents paquets analysés. Par contre une approche dite «stateful» consiste à garder des traces de chaque paquet analysé même si ce dernier ne comporte pas une signature d attaque. Plusieurs informations relatives aux paquets (valeurs des champs de l entête, certaines informations présentes dans le contenu du paquet ) sont collectées au fur et à mesure de l analyse et ceci durant une fenêtre temporelle fixée (120 secondes dans certains exemples [19]). Ces informations seront exploitées pour grouper les paquets selon les sessions auxquelles ils appartiennent. Les différents groupes seront ensuite analysés pour détecter d éventuel scénario d attaques. Les IDS employant cette méthode sont dits SIDS (Stateful Intrusion Detection System). Ils ont l avantage de pouvoir détecter des attaques (TearDrop Attack, Loki Information Tunneling Attack [19]) difficilement détectables par un IDS dit «stateless». L apport de cette méthode de détection étant la réduction du nombre des faux négatifs puisque de nouvelles attaques sont désormais détectables La corrélation d alertes et la cartographie L autre problème auxquels on s intéresse de nos jours est de trouver un moyen de réduire le nombre d alertes. La meilleure façon de le faire est de corréler les différentes alertes générées par les détecteurs d intrusions. De plus, les alertes générées par les IDS peuvent être conformes aux signatures définies et illustrent des attaques sans pour autant que ces dernières ne soient effectives. Prenons l exemple d une machine Unix avec un serveur Web Apache et un IDS signalant une attaque sur Microsoft IIS. Cette attaque n a pas réellement d effet sur la machine. On définit un degré de fiabilité associé à une alerte d IDS qui illustre à quel point on est certain à sa réception, de l existence d une attaque potentielle. Il est évident que si l IDS n est pas très fiable ceci implique l existence de pas mal de faux positifs. Ce genre de faux positifs générés par les IDS peut être réduit si ces derniers ont une meilleure connaissance des équipements du réseau. Il existe des modules de cartographie qu on détaillera ci-après capables de connaître ce genre d information exploitable pour une réduction du taux de fausses alertes. Ceci est l un des buts de la cartographie de réseaux. 2. La Cartographie des réseaux 2.1. La définition de la cartographie Les systèmes informatiques présentent plusieurs failles et sont la cible des attaquants qui exploitent certaines vulnérabilités existantes. La connaissance des caractéristiques du système d exploitation ainsi que les services et leurs versions, permet d avoir une meilleure approche de la détermination des vulnérabilités exploitables. La cartographie d un réseau concerne aussi bien son niveau physique que son niveau applicatif. On distingue deux aspects principaux de la cartographie [1]: son aspect topologique qui désigne la structure du réseau informatique. La topologie est aussi bien physique (équipements, interconnexions physiques entre les équipements à l exemple 4

6 d Ethernet) que logique (adressage, routage). L autre aspect de la cartographie est l aspect applicatif qui désigne l ensemble des composants logiciels du système. Le but principal de la cartographie est d avoir le plus de renseignements possibles sur le réseau qui pourront aider à avoir une connaissance en profondeur des différents composants ainsi que des vulnérabilités correspondantes. Les informations recherchées par les différents outils de cartographie existants diffèrent d un outil à un autre mais nous pouvons citer : l OS et sa version, le nom de la machine, son adresse MAC ou IP, le serveur hébergé et sa version etc Les approches existantes Différentes approches de cartographie existent [14]. L approche à agents dédiés, les approches active et passive L architecture à agents dédiés Une des façons de collecter des informations sur une machine serait d utiliser le principe des agents (utilisé par certains IDS). Un agent logiciel est un code exécutable qui peut être dédié ou mobile. Un agent dédié reste sur une seule machine alors qu un agent mobile peut se déplacer d une machine sur laquelle il s exécute pour se terminer sur une deuxième [15]. Dans les deux cas, pour pouvoir s exécuter, il lui faut un environnement agent installé au niveau de la machine destinataire. On voit bien deux limites de cette technique la première étant la nécessité d une plateforme dédiée qui n est pas tolérante au facteur d échelle ; elle devient difficile à mettre en œuvre si le nombre de machine à auditer est très grand. La deuxième limite est l échange de trafic réseau non négligeable entre les agents et leurs moniteurs L approche active Cette approche consiste à interagir avec la machine distante à surveiller en lui envoyant des paquets pour obtenir une réponse. L analyse des réponses donnera les informations recherchées surtout en ce qui concerne le type d OS et sa version ainsi que les services utilisés et leurs versions. Cette approche est réalisée via l envoi de messages ICMP ou TCP (avec certaines combinaisons de drapeaux et d option) pour forcer la machine à répondre. Pour la détermination de l OS existant sur la machine distante il suffit de récupérer un paquet TCP/IP forgé par cette machine. Ceci fournit des informations sur le système d exploitation. En effet, chaque OS (Linux, Unix, Windows ) a sa façon unique d implémenter les paquets TCP. Ces paquets contiennent des informations nécessaires à la détermination de l OS et qui sont essentiellement les champs TTL, Don t Fragment, taille initiale du paquet TOS, port source et les options TCP comme la taille de la fenêtre (Window Size), MSS Size, options Nop et SACK... L inconvénient de cette méthode est qu elle génère des paquets sur le réseau qui peuvent créer des instabilités pour le système audité. A ceci s ajoute le fait qu avec cette approche on ne peut détecter en temps réel tous les changements qui ont eu lieu sur le réseaux puisque toutes les informations sont apprises par des scans. Entre deux scans successifs il y a des changements qui ne peuvent pas être détectés. Par conséquent se pose la question de la durée de validité de l information. Enfin cette méthode n est pas adaptée pour les grands réseaux car elle prendrait beaucoup de temps pour caractériser toutes les machines L approche passive Cette approche a besoin des mêmes informations de la part de la machine distante que celles demandées par l approche active [16]. Par contre elle n est pas basée sur l envoi de messages. Elle consiste en une simple écoute du réseau. Les messages circulant sur le réseau vont être analysés pour déduire les caractéristiques des machines émettrices (OS, services,...). Cette approche optimale du point de vue charge du réseau ne permet pas par contre de détecter toutes les machines existantes sur un réseau. En effet s il n y a eu aucun échange de 5

7 messages entre cette machine et une autre sur le réseau on ne peut détecter sa présence, ce qui n est pas le cas avec l approche active qui teste la machine pour voir si elle est active ou pas. On surmonte aussi avec cette méthode l obstacle du scan actif qui peut être rejeté par l hôte ou par un équipement intermédiaire. Une solution pour pallier les différents inconvénients de chaque approche serait de combiner les approches selon les besoins. C est ce qui est mis en œuvre dans certains outils de cartographie (à l exemple d EttercapNG) Taxonomie des outils existants Les outils peuvent être classés [6] dans différentes catégories. Suivant les fonctionnalités offertes nous avons essentiellement les catégories suivantes : Explorateur du réseau : prise d empreinte active ou passive d OS, détermination des hôtes/firewalls/services, balayage des ports, exploration géographique de réseaux. Exemple : Nmap, NeVO, RNA, Ettercap. Observateur : capture (active ou passive) et analyse d information réseau (entête et données, protocole ), analyse du trafic réseau. Exemple : Ethereal, Ettercap, TCPDump, Ntop. Détecteur de sécurité : scanning et recherche de vulnérabilités. Exemple : Nessus. Outils de prise d empreintes d applications : analyse des services pour déterminer les applications et leurs versions. Exemple : THC-Amap. Il existe un grand nombre d outils utilisés qui fournissent des renseignements sur le réseau surveillé. Nous en détaillons quelques-uns ci après : NeVO NeVO (Network Vulnerability Observer) est un outil commercial en versions Windows et UNIX. A la manière d un IDS, NeVO fait de l écoute passive sur le réseau en observant les paquets qui y circulent. Il identifie les protocoles de communication utilisés entre les différents équipements, les applications qui tournent sur chacun ainsi que les vulnérabilités existantes qui peuvent être exploitées. Il identifie les Web proxies et les traite en tant que tels. Il établit pour chaque serveur une liste de tous les ports actifs et les observe pour enregistrer les machines qui ont dialogué avec lui via ce port ainsi que le service accédé. NeVO a l avantage d observer des sessions complètes tout au long du temps et plusieurs sessions en parallèle. Chaque session est observée pendant toute sa durée jusqu à ce qu une attaque soit détectée. Il est par contre évident que le plus vulnérable des serveurs ne peut être détecté par NeVO que s il existe une communication établie avec lui. Ceci est un inconvénient non seulement de NeVO mais de tout outil d écoute passive puisqu il n émet aucun paquet et se contente d observer le réseau. NeVO, en observant les paquets SYN, peut fournir des informations concernant le type d OS existant sur les machines actives du réseau. Un des avantages de NeVO comme de tout autre outil passif est qu il peut détecter les vulnérabilités non seulement du côté du serveur -comme le font les outils actifs- mais aussi du côté client. Il permet de détecter les applications (le browser Web par exemple Internet Explorer) qui existent du côté client et identifie les vulnérabilités correspondantes. Ceci est fait grâce à un mécanisme de signature basé sur des expressions régulières «regex» appliquées aux paquets et qui permettent une recherche de motif (pattern matching) relatif à une vulnérabilité connue. Des exemples de signatures existent dans la référence [4]. Avec ces expressions on a la possibilité d observer des paquets corrélés entre eux (requête/réponse). Suite à la détection d un certain motif dans un paquet il est possible de chercher un autre motif dans des paquets qui l ont précédé. Comme NeVO a la caractéristique de faire une étude multi événementielle, il est dit «stateful». 6

8 RNA RNA (Real-time Network Awareness) [3] est un outil commercial qui surveille les serveurs, routeurs, PCs Il englobe toutes les fonctionnalités d outils de cartographie qu on a énuméré au début du paragraphe. Il s agit d un explorateur de réseau puisqu il fournit des informations sur les adresses MAC, les OS et leurs versions, les services et leurs versions ainsi que les ports actifs de chaque équipement sur le réseau. Il fournit des informations sur le nombre de hop, paramètres MTU, TTL Il est complètement passif et écoute le réseau pour avoir des informations sur le flot, type et volume de trafic. C est aussi un détecteur de sécurité puisqu il a l aptitude d associer à chaque machine une base de vulnérabilités correspondant au type d OS existant et d évaluer selon cette base toutes les attaques qui arrivent pour déterminer leur impact. Enfin il est capable de détecter automatiquement tous les changements concernant l introduction de nouveaux services ou éléments. Il détecte aussi les comportements anormaux ou constituant une violation de la politique de sécurité appliquée. Ces comportements sont analysés en tenant compte des vulnérabilités existantes pour déterminer le risque correspondant à une attaque possible. De ce fait RNA constitue un module idéal pour la corrélation d alertes Snort Snort est un NIDS téléchargeable gratuitement et qui peut tourner sur toutes les plateformes (Linux, BSD, Solaris/Sun et MAC OS...) [13]. Facile à installer et à mettre en œuvre, Snort va faire de l écoute passive du réseau et générer des fichiers «logs». Il est basé sur libpcap qui enregistre les données circulant sur le réseau en mode promiscous. Il utilise des règles de détection d intrusion très simples basées sur des signatures pour faire du «pattern matching». Snort a la caractéristique de pouvoir non seulement analyser les entêtes des paquets mais aussi les données de la couche applicative ce qui le dote du pouvoir de détection d attaque du type débordement du buffer ou scanning CGI. Il fournit des fonctionnalités d alerte en temps réel dues à la simplicité de ses règles. Il fait une analyse de protocole et peut faire de la prise d empreinte d OS EttercapNG EttercapNG tourne sur Windows, FreeBSD, Solaris, MAC OS, Linux C est un outil gratuit très utilisé et facilement téléchargeable donc à la portée de tous [5]. EttercapNG peut découvrir et identifier des hôtes de façon active ou en se contentant d une écoute passive du réseau. Dans son mode passif il peut déterminer les machines actives du réseau, les différents OS en exploitant les paquets SYN et SYN+ACK, les ports ouverts (paquet SYN+ACK) et les versions de services hébergés par les serveurs, la nature de la machine hôte (simple hôte, routeur, passerelle ) et même une distance estimée en nombre de hops jusqu à la machine. Sa recherche de motifs se fait avec des expressions régulières «regex». En mode actif il envoie des requêtes ARP pour toute adresse IP du réseau (en regardant une adresse IP et le netmask) et reçoit toutes les réponses. Par conséquent il établit la liste des machines actives du réseau. Ainsi il est possible d identifier même les machines qui n ont pas encore dialogué. EttercapNG est doté d un cache DNS pour la collecte des informations sur les noms des machines acquises en mode passif. Une caractéristique d Ettercap est sa possibilité d intercepter des paquets émis, les exploiter pour en tirer le maximum d information et même les modifier. Pour comprendre comment ceci est possible, il faut noter que ARP est un protocole qui comme tout outil informatique contient des vulnérabilités. Une machine accepte de recevoir une réponse ARP même si elle n a pas demandé de requêtes et insère la réponse dans sa table ARP. Ettercap va exploiter ceci pour envoyer des réponses ARP à des machines qu il veut intercepter en précisant à chacune l adresse MAC qui est relative à la machine sur laquelle il tourne. Il fait ceci des deux côtés et maintient la correspondance MAC/IP pour pouvoir renvoyer les 7

9 messages à leur vraie destination. Ainsi chaque fois que les machines veulent dialoguer les messages sont interceptés puis renvoyés à la destination correspondante après leur étude. L exemple suivant (tiré du fichier Readme de EttercapNG) illustre ce phénomène : Machine 1: MAC: 01:01:01:01:01:01 IP: Machine 2: MAC: 02:02:02:02:02:02 IP: Machine Ettercap : MAC: 03:03:03:03:03:03 IP: Il envoie des réponses ARP pour Machine 1 disant que se trouve à 03:03:03:03:03:03 Machine 2 disant que se trouve à 03:03:03:03:03:03 Ainsi les machines sont empoisonnées et vont envoyer leurs paquets à lui. Quand il reçoit des paquets de la Machine 1, il les enverra à 02:02:02:02:02:02 et de la Machine 2 à 01:01:01:01:01:01. Du fait qu EttercapNG est capable de s intercaler au milieu de la communication il permet de déchiffrer des sessions SSH1 et ceci en interceptant les paquets en début de session et en remplaçant la clé publique du serveur par une clé générée par lui. Ainsi il récupère les paquets du client chiffrés par la clé générée et prendra la clé de session qui s y trouve. Il sera facile après d observer tout le trafic. Il offre la possibilité de collecter des mots de passe telnet, ftp, mysql Il peut observer le trafic de données sécurisées dans http SSL même si la connexion est faite via un proxy THC- Amap C est un outil qui permet d identifier les applications et les services même lorsqu ils ne sont pas sur leur port par défaut. A chaque fois qu une application (client) se connecte sur un serveur il y a un échange initial de paquets «handshake exchange». Amap profite de ce comportement en envoyant de façon active des requêtes sur les ports. Il va prendre le premier paquet renvoyé et comparer sa signature à une base de signatures de réponses pour déterminer le service correspondant. Cet outil est un nouvel outil gratuit qui est toujours en période de test et facilement téléchargeable sur le site [7] Nessus Le projet «Nessus» a démarré en 1998, sous la direction de Renaud Deraison qui voulait fournir un outil de balayage puissant, gratuit et facile à gérer. Nessus est un outil qui emploie une méthode active pour la cartographie du réseau et le balayage des ports. L avantage évident d une telle approche est l abondance d informations recueillie par le système, l inconvénient est le surplus de trafic «inutile» sur le réseau. Deux versions existent pour cet outil, l une pour les systèmes basés sur Unix (Mac OS X, FreeBSD, Linux, Solaris, etc..) et une autre pour les plateformes Windows, appelée NeWT (NeWT 2.0). Il est utile de mentionner que la version Windows, bien qu elle soit gratuite, n est cependant ni transférable ni sous licenciable et n est destinée qu à un usage strictement personnel. Nessus est le seul outil à offrir la possibilité de faire des contrôles de sécurité locaux, en plus des contrôles à distance conventionnels. Cette caractéristique se résume en la capacité de Nessus, à partir de sa version 2.1, de se connecter sur le hôte à distance. Il peut ainsi évaluer les patchs manquant sur une plateforme donnée et les dernières mises à jour disponibles pour protéger le système. Nessus a aussi l avantage de faire de la reconnaissance de services intelligente (Smart Service Recognition) : Nessus ne part pas du principe que les outils ciblés respectent les numéros de port désignés par l IANA, ce qui veut dire qu il peut repérer un serveur FTP s exécutant sur un port non standard ou un serveur Web utilisant un port autre que 80. Nessus a été le premier outil à offrir cette possibilité et a été maintes fois copié depuis. Une autre caractéristique très utile de Nessus est le recensement de tuples de service. Si un hôte exécute plusieurs instances d un même service, Nessus identifiera et testera chaque instance de ce service 8

10 indépendamment. Cet outil a aussi la capacité de tester des services basés sur SSL tels https, smtps, imaps Enfin, Nessus donne le choix entre deux modes de balayage : Un audit de sécurité normal, dit non destructif, et un mode exhaustif où il essaie d identifier et d exploiter les vulnérabilités du système audité, ce qui risquerait d entraîner un «crash» complet de l hôte cible, mais permettant d avoir des informations nettement plus pertinentes sur le système en question. Un atout fort de cet outil est la panoplie de programmes et d applications complémentaires qui sont développées autour de celui-ci : des programmes facilitant l interaction avec la base de données, des programmes centralisant la gestion de plusieurs domaines d administration (the Lightning Console), des applications permettant d intégrer les logs provenant de plusieurs sources (the Thunder Log) entre autres. Nessus est fort aussi de son langage de formalisation de tests de sécurité, le Nessus Attack Scripting Language (NASL), qui permet facilement la création de nouveaux plug-ins. Ces scripts ne représentent aucun danger pour la machine sur laquelle Nessus tourne, puisqu ils sont exécutés dans un environnement confiné, au-dessus d une machine virtuelle. Les rapports de sécurité peuvent être générés en HTML, XML, LaTex, ou texte ASCII. Une caractéristique importante de Nessus est la possibilité d y intégrer d autres outils tels Nmap, Hydra ou Nikto pour améliorer ses capacités de «scanning». Enfin, un site Web très instructif [8], une abondance de publications, des plug-ins régulièrement disponibles et une base d utilisateurs énorme permet de faire de Nessus un outil incontournable quand on parle de cartographie et d évaluation de vulnérabilités Scotty/Tkined Scotty/Tkined est un outil permettant la surveillance de réseau en utilisant des API (Application Programming Interface) de haut niveau [17]. L innovation de ce programme se trouve dans le fait qu il est à base de Tcl (Tool Command Language), ce qui facilite sa portabilité sur tous genres de plateformes. Il se scinde en deux packages principaux : le premier, Tnm Tcl Extension, fournit l accès aux sources d information de gestion de réseau. Le second, Tkined (Tcl/tK-based Interactive Network EDitor), est l éditeur de réseau, fournissant un environnement graphique facile à gérer et comprendre à la fois. Tnm Tcl Extension supporte les protocoles suivants: 1. SNMP (SNMPv1, SNMPv2c, SNMPv2u) 2. ICMP (echo, mask, timestamp et les requêtes udp/icmp de traceroute) 3. DNS 4. HTTP (côtés serveur et client) 5. RPC SUN (portmapper, mount, rstat, etherstat, services pcnfs) 6. NTP (version 3) 7. UDP La distribution de Scotty/Tkined comporte aussi quelques exemples de scripts illustrant la façon de rédiger des scripts pour automatiser les tâches de gestion et contrôles spécifiques au site ou réseau de l utilisateur. Cet outil comporte un défaut qui n est pas des moindres : Scotty fait réellement de la surveillance de réseau et non pas de la découverte et reconnaissance d hôtes ; c est l utilisateur qui dessine, à l aide de Tkined, le réseau à monitorer, Scotty ne prenant pas l initiative d identifier les hôtes dans un réseau donné. Un autre défaut, moins important, est le fait que Scotty est plutôt destiné à s exécuter sous des plateformes Unix. Une version récente a été développée pour les systèmes Windows NT mais elle est, toutefois, encore criblée de bugs Nmap Nmap (Network Mapper) est un outil gratuit [9], disponible sous licence GNU GPL, servant à l exploration de réseaux et à l audit sécuritaire. Il utilise une méthode active de recherche d informations. Cet outil est aussi bien adapté à des tests sur des centaines de 9

11 milliers de cibles qu à des tests visant un hôte particulier. Nmap comprend plus de 500 empreintes dans sa base. Il exploite les paquets IP «bruts» (TCP et UDP) de façons innovantes pour tenter, entre autres, de découvrir les hôtes existant sur un certain réseau, déterminer les services offerts par ceux-ci (nom de l application et sa version) via un balayage de ports, les différents OS sur lesquels ils tournent, les différents genres de filtres et de parefeu mis en place. Nmap est portable sur une grande variété de systèmes d exploitation : Linux, Windows, FreeBSD, OpenBSD, Solaris, IRIX, Mac OS X, HP-UX, NetBSD, Sun OS, Amiga De même, deux types d interface sont possibles : interface graphique et console de commande classique. Un point fort que cet outil partage avec Nessus est l abondance de documentation constamment mise à jour et traduite en plusieurs langues. Quelques propriétés intéressantes de Nmap sont : Calcul dynamique du délai : faute d imposer explicitement un certain délai entre les transmissions consécutives de paquets vers un même hôte, Nmap essaie de trouver le meilleur intervalle de temps à implémenter, intervalle qui s adapte dynamiquement à un changement de comportement éventuel de la cible. Retransmission de paquets : certains scanners n envoient qu une seule fois un paquet vers une cible, ne prenant pas en compte ainsi la possibilité de pertes de paquets dans le réseau. Ceci pourrait générer des faux négatifs. Nmap est conçu pour renvoyer un certain nombre de fois un paquet à un port qui ne répond pas. Balayage parallèle de ports : nmap exécute plusieurs balayages de ports simultanément, réduisant ainsi le temps de scan total d un hôte. Ceci permet d optimiser les performances. Balayage flexible de ports: une certaine plage de ports cibles peut être spécifiée, réduisant ainsi le temps total de l audit. Détection d un hôte hors service : avant de procéder à un balayage de ports coûteux en temps, Nmap s assure que la cible est bel et bien en service. Cependant, le fait qu il ait recours à des méthodes actives d audit, de prise d empreinte et de balayage fait qu il n est pas approprié à nos besoins. Curieusement, Microsoft a décidé de ne plus permettre à Nmap d être exécuté sur sa plateforme : Windows SP2 ne permet plus d envoyer des paquets TCP sur des sockets RAW Checkos et SIRC Ces deux outils partagent bon nombre de lignes de code, Checkos étant basé sur SIRC. Ce sont deux outils de prise d empreinte plutôt rudimentaires, plaçant une cible sous l une de quatre catégories : Linux, 4.4BSD, Win95 ou Unknown, en ayant recours à de simples tests sur les flags des paquets TCP [12]. Une chose que Checkos ajoute, est la vérification de la bannière telnet, qui est utile mais qui possède l inconvénient de ne pas être très crédible puisqu'un nombre croissant de personnes désactivent ces bannières ; de plus beaucoup de systèmes fournissent peu d'information et il est facile de "mentir" dans ses bannières P0f P0f est un outil de prise d empreinte passive qui propose quatre modes différents de fingerprinting [10]: Incoming connection fingerprinting (SYN mode, mode par défaut): pour identifier l OS installé sur un hôte qui se connecte à notre plateforme, Outgoing connection fingerprinting (SYN+ACK mode): pour déterminer le système d exploitation de l hôte sur lequel on se connecte, Outgoing connection refused fingerprinting (RST+ mode): pour une prise d empreinte d un système qui rejette notre trafic, Established connection fingerprinting (stray ACK mode): pour examiner des sessions en cours sans interférence de sa part. 10

12 Un outil de prise d empreinte passive ne peut jamais fournir de résultats aussi précis et exhaustifs qu un autre utilisant la méthode active. Cependant, il peut parfois surmonter certains obstacles que peut rencontrer un outil de prise d empreinte active : P0f réussit à contourner les pare-feu quand d autres outils tel que Nmap n y arrivent pas. Il comporte aussi des métriques qui n existent que dans cet outil, ou du moins qui y ont été mises en œuvre pour la première fois (Non-zero ACK in initial SYN, Non-zero "unused" TCP fields, Non-zero urgent pointer in SYN, Non-zero second timestamp, WSS to MSS/MTU correlation checks, EOL presence and trailing option data, Data payload in control packets, SEQ number equal to ACK number, Zero SEQ number). Jusqu à ce jour, p0f ne dispose pas d un module intégré de connectivité aux bases de données. Un module extérieur, p0f_db, est utilisé dans cet objectif. P0f tourne sous tous genres de systèmes d exploitation : NetBSD, FreeBSD, OpenBSD, Mac OS X, Linux (2.0 et plus), Solaris, Windows La version 2 de cet outil a été réécrite afin d ajouter de la flexibilité aux signatures et pour implémenter des contrôles sur des caractéristiques subtiles des paquets et, par conséquent, améliorer la précision de la prise d empreinte OSSIM OSSIM (Open Source Security Information Management) illustre une mise en œuvre de la cartographie pour améliorer la détection d intrusions. Son principal atout est que OSSIM n est pas un outil en tant que tel mais regroupe un grand nombre d outils «open source» existants pour offrir une meilleure gestion de la sécurité du réseau. OSSIM offre un environnement centralisé de monitorat et de gestion de toutes les informations délivrées par les différents outils qu il gère. Avec OSSIM il est possible de définir des règles de sécurité relatives à la politique de sécurité adoptée, de connaître la cartographie du réseau et de corréler les différents outils pour optimiser la supervision (réduire les faux positifs par exemple). On cherche à exploiter les caractéristiques des différents outils déjà existants pour collecter le plus d information nécessaire pour une meilleure vision du réseau. OSSIM garantit l interopérabilité des différents outils. Il possède trois caractéristiques principales : Intégration : OSSIM regroupe et intègre sur une même plateforme plusieurs outils de sécurité (Snort, Nessus, POf, Nmap ) (voir Annexe A) offrant des fonctionnalités de gestion de réseau (audit, pattern matching, détection d anomalies ) Corrélation : OSSIM offre la possibilité de corréler les alertes et de réduire par conséquent le nombre de faux positifs. Analyse de vulnérabilités : OSSIM offre des fonctionnalités qui permettent une bonne inspection des mesures de sécurité du réseau. L usage de Nessus par exemple va permettre à OSSIM de faire un inventaire de toutes les vulnérabilités existantes et donner une idée sur la situation du réseau. OSSIM est capable de fournir sur chaque équipement les informations suivantes : OS, adresse MAC, nom Netbios ou DNS, ports ouverts ainsi que versions et type de services sur ces ports et enfin des informations sur l usage du réseau (le trafic par connexion, par jour )(Voir Annexe B). Toutes ces informations sont collectées de façon active et passive. Il peut aussi détecter automatiquement tout changement de ces différents paramètres et le signale si nécessaire. 11

13 Concernant l architecture, nous pouvons voir OSSIM comme un composant à trois couches : BD Interaction avec l utilisateur : définitions des variables de sécurité Serveur Protocole propriétaire Console interface Web Corrélation, analyse de vulnérabilités Capteurs IDS, détection d anomalie, monitorat temps réel Figure 1 : Architecture d OSSIM vu comme un composant à 3 niveaux En ce qui concerne les capteurs, ils incluent des outils de détection d intrusions basés sur le principe de signatures ainsi que des outils de détection d anomalie. La supervision du réseau se fait en temps réel. OSSIM permet de faire une corrélation d alerte en provenance des différents capteurs pour ne garder que celles pertinentes et constituant une attaque potentielle pour le système d exploitation existant. Pour cela il maintient à jour des tables de correspondance alertes/versions et alertes/vulnérabilités. Enfin il faut préciser que OSSIM demande une plateforme Linux et a des fonctionnalités limitées sur BSD, MacosX, Solaris Synthèse sur les outils existants On a essayé dans cette partie de faire une taxonomie de tous les outils existants en essayant de les comparer. Le but final est de rechercher celui qui collecte le plus d informations sur le réseau, exploitables ultérieurement, tout en étant le plus efficace possible (en terme de déploiement et de charge réseau). Il faut noter que NeVO et RNA sont les deux seuls outils commerciaux qu on a cités. Ces outils sont bien connus dans le domaine de la cartographie puisqu ils fournissent beaucoup de renseignements sur les différents équipements du réseau. D autres outils qui sont aussi intéressants (à l exemple de Bro, Siphon, Queso) n ont pas été traités ici. Parmi les outils dont nous avons parlé il y en a qui étaient plus riches que d autres en terme de connaissance du réseau mais qui d un autre côté présentaient un certain nombre d inconvénients. L idéal serait de pouvoir grouper certains d entre eux pour essayer de profiter de leur richesse sans pour autant accumuler leurs inconvénients. Enfin OSSIM semble être une façon de tirer profit de certains outils existants pour aller en profondeur dans la connaissance du réseau. La connaissance du réseau va du plus bas niveau (adresses MAC, topologie) jusqu à un niveau supérieur d abstraction concernant les vulnérabilités auxquelles les équipements existants pourraient être assujettis. En pratique la connaissance de telles informations est indispensable pour un administrateur de réseau pour détecter les vulnérabilités au niveau des applications de certaines machines de son réseau et par conséquent offrir les patchs correspondants. Mais aussi ces informations sont très utiles en terme d optimisation du processus de détection d intrusions. Comme on l a vu la cartographie peut aussi être exploitée au moment de la corrélation d alertes pour réduire le grand nombre d alertes qui reste le problème majeur des IDS. 12

14 3. La corrélation d alertes et les perspectives Le besoin d algorithmes de corrélation découle en premier lieu, comme on l a déjà fait remarquer, du nombre d alertes à traiter. Ce nombre est en général très grand et complique la tache de l opérateur de sécurité. Ce dernier doit réagir face à certaines alertes mais pas à d autres qui s avèrent être redondantes ou bien correspondre à des fausses alertes (faux positifs). Le but actuel est de réduire ce nombre d alertes et de ne faire parvenir à l opérateur de sécurité que les alertes pertinentes qui demanderont éventuellement une intervention. On cherche aussi à préciser le degré de priorité relatif de chaque alerte pour optimiser la tâche de traitement. Réduire le nombre d alertes ne veut en aucun cas dire la désactivation immédiate d une alerte ce qui pourrait induire une non détection d une attaque éventuelle. L idée principale derrière la réduction du volume d alertes est de faire une analyse automatique des différentes alertes pour en déduire celles qui, dans la configuration actuelle du système d information à superviser, ne constituent pas un risque majeur et ne demandent pas une intervention immédiate de l opérateur de sécurité. Dans de nombreux cas, le processus de corrélation d alertes va éliminer les alertes surnuméraires en générant une alerte synthétique regroupant plusieurs alertes. Pour optimiser le traitement des alertes il faut améliorer leur sémantique; une bonne corrélation repose d abord sur une bonne expressivité et une richesse de l alerte en terme d informations. Ceci veut dire que chaque alerte doit contenir un nombre minimal d information pour pouvoir aboutir à une bonne corrélation. Notons que la sémantique de l alerte obtenue par corrélation doit contenir une définition précise de l attaque encourue, des risques auxquels est confronté le système en question ainsi qu une classification par niveau de priorité pour le traitement ultérieur des alertes. Une amélioration consiste à sélectionner les contre-mesures pour faire face à la menace. Toutes ces améliorations, comme vous pouvez le remarquer, demandent une certaine connaissance topologique du réseau surveillé ainsi qu une connaissance des vulnérabilités des différents systèmes pour pouvoir déterminer les menaces et les contre-mesures. Choses que le système de détection d intrusion, seul, ne peut savoir. D où l intérêt d avoir des outils de cartographie qui fourniront ces différentes informations. La corrélation d alertes peut aussi bien concerner des alertes en provenance d un seul équipement de détection, que des alertes en provenance de différents équipements dans le cas d une supervision distribuée du réseau. Ce dernier cas pose le problème de la représentation des données collectées par les alertes. En effet les systèmes de détections étant dans la plupart des cas hétérogènes, l échange de donnée d alertes nécessaire dans le processus de corrélation doit se faire en utilisant un format standard de représentation de ces données. Plusieurs travaux sur le modèle de représentation des données d alertes ont eu lieu donnant naissance à différents modèles de description d alerte. Citons M2D2 [21] qui est un modèle intégrant des informations relatives à la topologie et prenant en compte les vulnérabilités des machines sur le réseau. La partie suivante se consacre aux différentes techniques de corrélation existantes pour faire ressortir les différents points non encore abordés ou qui peuvent être améliorés Les techniques de corrélation Plusieurs techniques de corrélation ont été mises en place durant les dernières années. Une de ces techniques est celle utilisée dans le détecteur EMERALD et dite corrélation bayesienne [20] qui repose sur l agrégation. Cette approche consiste à dégager des similarités entre les différents attributs communs à un sous ensemble d alertes. Ces attributs sont l adresse de l attaquant, l adresse de la cible, l identifiant de la sonde générant l alerte, la date d occurrence et le type d attaque. Une méta-alerte est ensuite créée. Elle aura comme attributs l union des différents attributs des alertes de l ensemble constitué par les alertes considérées similaires. L inconvénient de cette méthode est que d après la définition des types d attaques, une alerte ne peut appartenir qu à un seul type d attaque. En plus aucune information sur la 13

15 cartographie du réseau n est exploitée et ceci ne permettra pas une optimisation du processus de corrélation. D autres approches comme celle de Lambda [22] et CRIM [23] reposent sur une description d un scénario d attaque dans un langage basé sur la logique. Une attaque est décrite comme une succession d évènements. Chaque événement est décrit par des préconditions et des post-conditions. Les pré-conditions doivent être remplies pour que l attaque puisse avoir lieu et les post-conditions doivent être vérifiées par chaque évènement pour pouvoir affirmer qu une attaque est en_train de se produire. Dans ce cadre, la corrélation consiste donc à lier les post-conditions d un évènement (détecté par une alerte) aux préconditions de l évènement suivant du scénario décrit. Ceci demande la description préalable dans ce langage d un grand nombre d évènements. Même si dans ce cadre il est possible d intégrer des informations de type cartographiques dans les conditions, ceci n a pas encore été mis en œuvre. Il existe cependant une approche qui est utilisée dans l outil OWL [20] et qui prend en compte, dans le processus de corrélation, des informations en provenance des outils d audit de vulnérabilité. Ceci est une étape vers une exploitation d informations autres que celles directement connues par les outils de détections d intrusions. Elle permet, quand une alerte se produit et signalant l existence d une attaque qui exploite une certaine vulnérabilité, de vérifier à partir des informations recueillies dans les outils d audit si cette vulnérabilité existe effectivement et quelles sont les menaces engendrées sur le système. Ainsi il serait possible de générer une nouvelle alerte et de lui attribuer un niveau de priorité en fonction de la gravité de la situation. Cependant il n y a aucun autre moyen de vérifier si vraiment le système est compromis. De plus, les outils d audit détectent la présence de vulnérabilité et non pas son absence. Cette dernière information pourrait être utile pour une élimination d alertes correspondant à l exploitation d une vulnérabilité non existante au niveau du système. Le problème reste à trouver un moyen ou un outil permettant d avoir une telle information. Une autre technique de corrélation est basée sur les chroniques [24]. Cette approche est surtout utile pour une réduction du nombre d alertes correspondant à une attaque à caractère répétitif dans le temps (les vers). Cette technique introduit une notion d horodatage qui consiste à reconnaître un flux ordonné et borné temporellement. Prenons l exemple d une attaque constituée de la propagation d un certain virus. Ce dernier, pour se propager, réalise un certain nombre de requêtes (le ver NIMDA à titre d exemple [20]). Cette technique va permettre de suivre et de corréler les alertes relatives à chacune de ces requêtes durant un certain espace temporel. Si cette suite d alertes a eu lieu, une alerte correspondant à la tentative de propagation de ce virus est générée. Cette technique demande un travail d écriture relativement important. Elle ne prend pas en compte non plus les caractéristiques du système attaqué. Il est fort probable que même si l attaque a eu lieu le système ne soit pas compromis puisqu il ne présente pas de vulnérabilité à ce genre précis d attaques. D où encore une fois une nécessité d intégration de nouvelles données dans ce modèle Les perspectives D après cette brève description des techniques existantes on peut déjà noter qu il existe toujours des lacunes dans chacune de ces méthodes. Ces lacunes pourraient être comblées si d autres informations plus précises sur les différents systèmes du réseau peuvent être recueillies. On peut même se demander si on ne pouvait pas descendre un rang dans la détection d intrusion. Au lieu de chercher à corréler des alertes pourquoi ne pas optimiser le processus de détection lui-même en essayant de faire un suivi des activités d un attaquant dans le temps. Ceci est déjà vu dans ce que l on a appelé l approche «stateful» de la détection. Ce qui ne va pas sans problème de stockage de données mais pourra, en définissant les signatures ou les scénarii de façon à y corréler des informations en provenance des outils de cartographie, réduire peut-être le nombre d alertes générées. Le problème est que l attaquant pourra essayer de faire exploser la sonde stateful en initialisant un grand nombre d attaques sans jamais les terminer, un peu comme dans un syn-flooding. 14

16 Pour optimiser les informations recueillies par les outils d audit de vulnérabilité, il serait intéressant aussi de pouvoir dresser un bilan des différents services actifs sur une machine donnée en leur associant les informations sur leurs versions et vulnérabilités pour pouvoir réduire de façon optimale le nombre de fausses alertes. C est à ce niveau que va se situer le travail durant le stage ; on va essayer d élaborer à partir des différents outils dont on dispose, un moyen d extraction d informations pertinentes qui pourraient nous être utiles pour l amélioration du processus de corrélation. Quelles sont les informations demandées? Comment les prendre en compte dans le mécanisme de corrélation? Toutes ces questions sont ouvertes et on espère apporter quelques réponses. Conclusion Actuellement la demande en matière de sécurité est de plus en plus importante. Les attaques quant à elles, sont devenues inévitables et les outils de détection présentent certaines limites. La tendance à optimiser ces derniers va de pair avec la recherche de nouvelles sources de données exploitables. La corrélation d alertes est un domaine prometteur. Beaucoup de travaux sont actuellement en cours pour élaborer de nouvelles méthodes et de nouveaux outils permettant d optimiser le processus de détection d intrusions. Un autre domaine de recherche est en_train de progresser, celui de la cartographie de réseaux qui, on l espère, va venir en aide aux techniques de corrélation d alertes. C est dans cette voie de recherche que va s effectuer notre stage avec l espoir de pouvoir apporter des réponses à certaines questions qui se posent toujours dans ce domaine 15

17 Bibliographie [1] H. Debar, Etat de l art sur la cartographie de sites, techniques de corrélation a_priori et les techniques de corrélation explicite, draft 0.1, [2] B. Mukherjee, L.Heberlein, K.Levitt, Network Intrusion Detection, IEEE Network, May/June [3] Site Web de RNA [4] R.Deraison, R.Gula, T.Hayton, Passive Vulnerability Scanning Intoduction to NeVO, Tenable Network Security, August [5] Site Web d EthercapNG [6] J.Melton, Gail-Joon Ahn, Application Penetration Testing: Concepts and Taxonomy, [7] Site THC [8] Site Web Nessus [9] Site Web Nmap [10] Site Web p0f [11] Site Web OSSIM [12] Site Web SIRC/Checkos [13] Martin Roesch, Snort-Lightweight Intrusion Detection for Networks, Stanford Telecommuniactions,Inc. November 7-12, [14] R.Deraison, R.Gula, Blended Security Assessments, Combining Active, Passive and Host Assessment Techniques, Tenable Network Security, July [15] W.Jansen, P.Mell, T.Karygiannis, D.Marks, Mobile Agents in Intrusion Detection And Response, National Institute for Standards and Technology Gaithersburg, [16] B.Dayioglu, A.Ozgit, Use of Passive Network Mammping to Enhance Signature Quality of Misuse Network Intrusion Detection Systems, Proceedings of the 16 th International Symposium on Computer and Information Sciences, November [17] Site Web Scotty/Tkined [18] Yohann Thomas, Acquisition passive de la cartographie d un réseau, rapport de stage de fin d études, France Telecom R&D Caen, Juin [19] S. Krishnamurthy, A. Sen, Stateful Intrusion Detection System (SIDS), Proceedings of the 2 nd International Information Warfare and Security Conference, Perth, Australia, November [20] H. Debar, Détection d intrusions vers un usage réel des alertes, rapport d habilitation à diriger des recherches. [21] B. Morin, L. Mé, H. Debar, M. Ducassé, M2D2 : A Formal Data Model for IDS Alert Correlation, Proceedings of the 5 th symposium on Recent Advances in Intrusion Detection (RAID 2002), Zurich, Switzerland, October [22] F.Cuppens, R.Ortalo, LAMBDA : A Language to Model a Database for Detection of Attacks, Third International Workshop on Recent Advances in Intrusion Detection (RAID 2000), Toulouse, Octobre [23] F. Cuppens et A. Miège. Alert correlation in a cooperative intrusion detection framework. IEEE Symposium on Research in Security and Privacy, Oakland, Mai [24] B.Morin, H.Debar, Correlation of Intrusion Symptoms: an Application of Chronicles, Proceedings of the 6 th symposium on Recent Advances in Intrusion Detection (RAID 2003),Carnegie Mellon University, Pittsburg, Septembre

18 ANNEXES Annexe A Outils utilisés dans OSSIM La table ci-dessus a été retirée du site de OSSIM. 17

19 Annexe B Caractérisation d une machine par OSSIM Windows Linux 18

20 Moniteur de session TCP Détection de changement d OS 19

ModSecurity. Cible de sécurité CSPN Version 0.96

ModSecurity. Cible de sécurité CSPN Version 0.96 Cible de sécurité CSPN Version 0.96 TABLE DES MATIERES 1 IDENTIFICATION... 3 1.1 IDENTIFICATION DE LA CIBLE DE SECURITE... 3 1.2 IDENTIFICATION DU PRODUIT... 3 2 ARGUMENTAIRE (DESCRIPTION) DU PRODUIT...

Plus en détail

Formation A2IMP. Acquisition d information sur les autres équipements du réseau. Frédéric Bongat IPSL Formation A2IMP 1

Formation A2IMP. Acquisition d information sur les autres équipements du réseau. Frédéric Bongat IPSL Formation A2IMP 1 Formation A2IMP Acquisition d information sur les autres Frédéric Bongat IPSL Formation A2IMP 1 Idée : corréler des informations via d autres Informations de base Connaître l horodatage (date, heure) des

Plus en détail

CONFIGURATION P 2 P 3 P 3 P 10 P 11 P 13 P 14 P 16

CONFIGURATION P 2 P 3 P 3 P 10 P 11 P 13 P 14 P 16 CONFIGURATION 1 Présentation 2 Topologie du projet 3 Installation 4 Configuration 4.1 Création de la DMZ publique 4.2 Accès vers l Internet 4.3 Publication d Exchange 4.4 Rapports d activité et alertes

Plus en détail

Figure 1a. Réseau intranet avec pare feu et NAT.

Figure 1a. Réseau intranet avec pare feu et NAT. TD : Sécurité réseau avec Pare Feu, NAT et DMZ 1. Principes de fonctionnement de la sécurité réseau Historiquement, ni le réseau Internet, ni aucun des protocoles de la suite TCP/IP n était sécurisé. L

Plus en détail

IDS snort. Rémi JACHNIEWICZ et Romain GEGOUT 6 décembre 2008

IDS snort. Rémi JACHNIEWICZ et Romain GEGOUT 6 décembre 2008 IDS snort Rémi JACHNIEWICZ et Romain GEGOUT 6 décembre 2008 1 Table des matières 1 Les différents IDS 3 1.1 Les NIDS (Network IDS ou IDS Réseau)..................... 3 1.2 Les HIDS (Host IDS ou IDS Machine)......................

Plus en détail

Les Attaques en Réseau sous Linux

Les Attaques en Réseau sous Linux Les Attaques en Réseau sous Linux Plan Introduction Partie 1: ARP Spoofing Partie 2: Outils de simulation. Partie 3: Démonstration de l attaque.. Partie 4: Prévention et détection de l attaque. Partie

Plus en détail

SECURIDAY 2013 Cyber War

SECURIDAY 2013 Cyber War Club de la Sécurité Informatique à l INSAT Dans le cadre de la 3ème édition de la journée nationale de la sécurité informatique SECURIDAY 2013 Cyber War SECURINETS Présente Formateurs: 1. Trabelsi NAJET

Plus en détail

Le scan de vulnérabilité

Le scan de vulnérabilité 4 Le scan de vulnérabilité Sommaire Le scan de vulnérabilité de base Scan avec NeXpose L assistant "nouveau site" Le nouvel assistant pour les scans manuels Scan avec Nessus Scanners de vulnérabilité spécialisés

Plus en détail

Plan. Les pare-feux (Firewalls) Chapitre II. Introduction. Notions de base - Modèle de référence OSI : 7 couches. Introduction

Plan. Les pare-feux (Firewalls) Chapitre II. Introduction. Notions de base - Modèle de référence OSI : 7 couches. Introduction Plan Introduction Chapitre II Les pare-feux (Firewalls) Licence Appliquée en STIC L2 - option Sécurité des Réseaux Yacine DJEMAIEL ISET Com Notions de base relatives au réseau Définition d un pare-feu

Plus en détail

Linux sécurité des réseaux

Linux sécurité des réseaux Linux sécurité des réseaux Rappels et audits réseaux Frédéric Bongat (IPSL) Philippe Weill (SA) 1 Introduction Sécurité des réseaux sous Linux Les réseaux Audit réseau 2 3 TCP/IP : protocoles de communication

Plus en détail

Internet. PC / Réseau

Internet. PC / Réseau Internet PC / Réseau Objectif Cette présentation reprend les notions de base : Objectif, environnement de l Internet Connexion, fournisseurs d accès Services Web, consultation, protocoles Modèle en couches,

Plus en détail

L audit de sécurité des réseaux Windows avec WinReporter

L audit de sécurité des réseaux Windows avec WinReporter White Paper L audit de sécurité des réseaux Windows avec WinReporter Ce document présente comment les administrateurs réseaux et système peuvent tirer le meilleur parti de WinReporter, édité par IS Decisions,

Plus en détail

Cible de sécurité CSPN

Cible de sécurité CSPN Cible de sécurité CSPN Dropbear 2012.55 Ref 12-06-037-CSPN-cible-dropbear Version 1.0 Date June 01, 2012 Quarkslab SARL 71 73 avenue des Ternes 75017 Paris France Table des matières 1 Identification 3

Plus en détail

Collecte des examens du module Introduction aux Réseaux et Bases de Routage

Collecte des examens du module Introduction aux Réseaux et Bases de Routage INSTITUT SUPERIEUR DE GESTION DE TUNIS Collecte des examens du module Introduction aux Réseaux et Bases de Routage Examens corrigés Kaouther Nouira 2011-2012 Ministère de l Enseignement Supérieur, de le

Plus en détail

Les protocoles UDP et TCP

Les protocoles UDP et TCP 3 Les protocoles UDP et TCP TCP comme UDP s exécute au-dessus d IP et se fonde sur les services fournis par ce dernier. TCP (Transport Control Protocol) assure un service de transmission de données fiable

Plus en détail

La sécurité des Réseaux Partie 6.1 Les pare-feus

La sécurité des Réseaux Partie 6.1 Les pare-feus La sécurité des Réseaux Partie 6.1 Les pare-feus Fabrice Theoleyre Enseignement : INSA Lyon / CPE Recherche : Laboratoire CITI / INSA Lyon Références F. Ia et O. Menager, Optimiser et sécuriser son trafic

Plus en détail

LINUX - Sécurité. Déroulé de l'action. - 3 jours - Contenu de formation

LINUX - Sécurité. Déroulé de l'action. - 3 jours - Contenu de formation Objectif : Tout administrateur système et réseau souhaitant avoir une vision d'ensemble des problèmes de sécurité informatique et des solutions existantes dans l'environnement Linux. Prérequis : Connaissance

Plus en détail

Fiche Technique. Cisco Security Agent

Fiche Technique. Cisco Security Agent Fiche Technique Cisco Security Agent Avec le logiciel de sécurité de point d extrémité Cisco Security Agent (CSA), Cisco offre à ses clients la gamme de solutions de protection la plus complète qui soit

Plus en détail

Chapitre 5 : Protocole TCP/IP

Chapitre 5 : Protocole TCP/IP Chapitre 5 : Protocole TCP/IP 1- IP (Internet Protocol) : Il permet de à des réseaux hétérogène de coopérer. Il gère l adressage logique, le routage, la fragmentation et le réassemblage des paquets. Il

Plus en détail

IHM OpIOS. Auteur : Hozzy TCHIBINDA. 08 Mars 2014 Version 1.2. Quelques fonctionnalités utiles. www.openip.fr

IHM OpIOS. Auteur : Hozzy TCHIBINDA. 08 Mars 2014 Version 1.2. Quelques fonctionnalités utiles. www.openip.fr IHM OpIOS Quelques fonctionnalités utiles Auteur : Hozzy TCHIBINDA 08 Mars 2014 Version 1.2 www.openip.fr Table des matières 1 Présentation 2 2 Personnalisation de l OpIOS 3 2.1 Configuration des utilisateurs.................................

Plus en détail

S E C U R I N E T S C l u b d e l a s é c u r i t é i n f o r m a t i q u e I N S A T. Atelier IDS. Snort. Outil de Détection d intrusion

S E C U R I N E T S C l u b d e l a s é c u r i t é i n f o r m a t i q u e I N S A T. Atelier IDS. Snort. Outil de Détection d intrusion Atelier IDS Snort Outil de Détection d intrusion Introduction Les systèmes de détection d intrusion ou IDS pour (Intrusion Detection System) sont indispensables pour la sécurité du réseau, ils permettent

Plus en détail

Sécurité et Firewall

Sécurité et Firewall TP de Réseaux IP pour DESS Sécurité et Firewall Auteurs: Congduc Pham (Université Lyon 1), Mathieu Goutelle (ENS Lyon), Faycal Bouhafs (INRIA) 1 Introduction: les architectures de sécurité, firewall Cette

Plus en détail

I. Premier partie Nmap. 1- Topologie: Nous allons faire un scan sur le Site de Acf 2i. C est une société où j ai effectué un stage pendant six mois.

I. Premier partie Nmap. 1- Topologie: Nous allons faire un scan sur le Site de Acf 2i. C est une société où j ai effectué un stage pendant six mois. 1 I. Premier partie Nmap Nous allons faire un scan sur le Site de Acf 2i. C est une société où j ai effectué un stage pendant six mois. 1- Topologie: 2 2- Sortie nmap Dans cette image nous voyons bien

Plus en détail

Audits Sécurité. Des architectures complexes

Audits Sécurité. Des architectures complexes Audits Sécurité Des architectures complexes L avènement d Internet et le développement des applications Intranet/Extranet ont permis aux entreprises d accroître leur compétitivité par l ouverture de leurs

Plus en détail

Réseaux CPL par la pratique

Réseaux CPL par la pratique Réseaux CPL par la pratique X a v i e r C a r c e l l e A v e c l a c o n t r i b u t i o n d e D a v o r M a l e s e t G u y P u j o l l e, e t l a c o l l a b o r a t i o n d e O l i v i e r S a l v

Plus en détail

ManageEngine OpUtils 3. Vue d ensemble du produit

ManageEngine OpUtils 3. Vue d ensemble du produit ManageEngine OpUtils 3 Vue d ensemble du produit Agenda Vision général du produit Fonctions clés Les outils dans OpUtils Q & A Synthèse Vue du produit OpUtils est un outil de diagnostique du système et

Plus en détail

RAPPORT DE CONCEPTION UML :

RAPPORT DE CONCEPTION UML : Carlo Abi Chahine Sylvain Archenault Yves Houpert Martine Wang RAPPORT DE CONCEPTION UML : Bamboo Ch@t Projet GM4 Juin 2006 Table des matières 1 Introduction 2 2 Présentation du logiciel 3 2.1 Précisions

Plus en détail

Sensibilisation à la sécurité informatique

Sensibilisation à la sécurité informatique Sensibilisation à la sécurité informatique Michel Salomon IUT de Belfort-Montbéliard Département d informatique Michel Salomon Sécurité 1 / 25 Sensibilisation à la sécurité informatique Généralités et

Plus en détail

La répartition de charge (Cluster NLB)

La répartition de charge (Cluster NLB) La répartition de charge (Cluster NLB) La répartition de charge devient indispensable quand un seul serveur ne suffit plus pour tenir la charge ou maintenir un temps de réponse acceptable. Si le besoin

Plus en détail

SOMMAIRE. Introduction Organisation Les Axes d attaques. Planification du projet Social engineering. Dénis de service. Exploite Conclusion - 2 /28-

SOMMAIRE. Introduction Organisation Les Axes d attaques. Planification du projet Social engineering. Dénis de service. Exploite Conclusion - 2 /28- SOMMAIRE Introduction Organisation Les Axes d attaques Planification du projet Social engineering Dénis de service Exploite Conclusion - 2 /28- INTRODUCTION Sensibilisation à la sécurité des SI Approfondissement

Plus en détail

Architecture client/serveur

Architecture client/serveur Architecture client/serveur Table des matières 1. Principe du client/serveur...2 2. Communication client/serveur...3 2.1. Avantages...3 2.2. Inconvénients...3 3. HTTP (HyperText Transfer Protocol)...3

Plus en détail

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant. http://robert.cireddu.free.

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant. http://robert.cireddu.free. 2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES 2.2 Architecture fonctionnelle d un système communicant Page:1/11 http://robert.cireddu.free.fr/sin LES DÉFENSES Objectifs du COURS : Ce cours traitera essentiellement

Plus en détail

Solutions de gestion de la sécurité Livre blanc

Solutions de gestion de la sécurité Livre blanc Solutions de gestion de la sécurité Livre blanc L intégration de la gestion des identités et des accès avec l authentification unique Objectif : Renforcer la politique de sécurité et améliorer la productivité

Plus en détail

Cisco Secure Access Control Server Solution Engine. Introduction. Fiche Technique

Cisco Secure Access Control Server Solution Engine. Introduction. Fiche Technique Fiche Technique Cisco Secure Access Control Server Solution Engine Cisco Secure Access Control Server (ACS) est une solution réseau d identification complète qui offre à l utilisateur une expérience sécurisée

Plus en détail

Le filtrage de niveau IP

Le filtrage de niveau IP 2ème année 2008-2009 Le filtrage de niveau IP Novembre 2008 Objectifs Filtrage : Le filtrage permet de choisir un comportement à adopter vis à vis des différents paquets émis ou reçus par une station.

Plus en détail

Base de connaissances

Base de connaissances Base de connaissances 1/11 Sommaire Sommaire... 2 Principe de fonctionnement... 3 Configurer Serv-U avec un routeur/pare-feu... 4 Le client FTP ne voit pas les listes de répertoires ou n arrive pas à se

Plus en détail

* Un flux TCP/UDP est une communication (plusieurs sessions TCP ou UDP) entre deux machines IP pendant un intervalle de

* Un flux TCP/UDP est une communication (plusieurs sessions TCP ou UDP) entre deux machines IP pendant un intervalle de Plateforme de Surveillance réseau et sécurité Solution SecurActive NSS SecurActive NSS est une plateforme de surveillance réseau et sécurité basée sur un moteur d analyse innovant. SecurActive NSS capture

Plus en détail

Option 2 and Option 5 are correct. 1 point for each correct option. 0 points if more options are selected than required.

Option 2 and Option 5 are correct. 1 point for each correct option. 0 points if more options are selected than required. Quelles sont les deux affirmations vraies relatives à la sécurité du réseau? (Choisissez deux réponses.) Protéger un réseau contre les attaques internes constitue une priorité moins élevée car les employés

Plus en détail

TP 1 - Prise de contact avec Snort, scapy

TP 1 - Prise de contact avec Snort, scapy TP 1 - Prise de contact avec Snort, scapy 0. Initialisation du TP Installer les paquets python-scapy, snort, nmap. 1. Présentation de SNORT v2.8.5 La détection d intrusion consiste en un ensemble de techniques

Plus en détail

Systèmes de détection Exemples académiques & commerciaux

Systèmes de détection Exemples académiques & commerciaux Systèmes de détection Exemples académiques & commerciaux Système de détection: Propagation de logiciels malveillants Exemple I: MIT, ICSI & Consentry Jean-Marc Robert, ETS Protection contre les menaces

Plus en détail

Conception des réseaux Contrôle Continu 1

Conception des réseaux Contrôle Continu 1 NOM: PRENOM: Conception des réseaux Contrôle Continu 1 Durée : 2 heures Seuls les documents manuscrits ou distribués en cours sont autorisés. Les réponses doivent tenir dans l encadré prévu à cet effet

Plus en détail

Cours CCNA 1. Exercices

Cours CCNA 1. Exercices Cours CCNA 1 TD3 Exercices Exercice 1 Enumérez les sept étapes du processus consistant à convertir les communications de l utilisateur en données. 1. L utilisateur entre les données via une interface matérielle.

Plus en détail

LOSLIER Mathieu IR1 31 Mai 2011. Rapport TP Firewall

LOSLIER Mathieu IR1 31 Mai 2011. Rapport TP Firewall Rapport TP Firewall 1 Table des matières Rapport TP Firewall... 1 Introduction... 3 1. Plate-forme de sécurité étudiée... 3 2. Routage classique... 3 2.1 Mise en œuvre du routage classique... 4 2.2 Configuration

Plus en détail

ZABBIX est distribué sous licence GNU General Public License Version 2 (GPL v.2).

ZABBIX est distribué sous licence GNU General Public License Version 2 (GPL v.2). Nom du projet : Zabbix Description : ZABBIX est un logiciel open source créé par Alexei Vladishev. Zabbix permet de surveiller le statut de divers services réseau, serveurs et autres matériels réseau.

Plus en détail

ProCurve Manager Plus 2.2

ProCurve Manager Plus 2.2 ProCurve Manager Plus 2.2 ProCurve Manager Plus 2.2 est une plate-forme de gestion de réseau avancée basée sur Windows qui fournit à l administrateur des écrans simples à utiliser et détaillés pour configurer,

Plus en détail

Description du datagramme IP :

Description du datagramme IP : Université KASDI MERBAH OUARGLA Faculté des Nouvelles Technologies de l information et de la Communication Département Informatique et Technologies de les Information 1 er Année Master académique informatique

Plus en détail

Administration réseau. Architecture réseau et Sécurité

Administration réseau. Architecture réseau et Sécurité Administration réseau Architecture réseau et Sécurité Pourquoi la sécurité? Maladroits, pirates, plaisantins et autres malveillants Protéger ce qu'on a à protéger Continuer à fonctionner Responsabilité

Plus en détail

Protection contre les menaces Prévention

Protection contre les menaces Prévention Protection contre les menaces Prévention Jean-Marc Robert Génie logiciel et des TI Plan de la présentation Introduction Prévention Routeurs Pare-feu Systèmes de prévention d intrusion Conclusions Jean-Marc

Plus en détail

UserLock Quoi de neuf dans UserLock? Version 8.5

UserLock Quoi de neuf dans UserLock? Version 8.5 UserLock Quoi de neuf dans UserLock? Version 8.5 Table des Matières 1. UserLock Version 8... 3 1.1. Le Statut utilisateur, un nouvel indicateur de risque... 3 1.2. Des alertes en temps réel contre les

Plus en détail

PACK SKeeper. Descriptif du Pack SKeeper : Equipements

PACK SKeeper. Descriptif du Pack SKeeper : Equipements PACK SKeeper Destinée aux entreprises et aux organisations de taille moyenne ( 50 à 500 users ) fortement utilisatrices des technologies de l'information (messagerie, site web, Intranet, Extranet,...)

Plus en détail

Sécurité des réseaux Les attaques

Sécurité des réseaux Les attaques Sécurité des réseaux Les attaques A. Guermouche A. Guermouche Cours 2 : Les attaques 1 Plan 1. Les attaques? 2. Quelques cas concrets DNS : Failles & dangers 3. honeypot A. Guermouche Cours 2 : Les attaques

Plus en détail

Procédure pas à pas de découverte de l offre. Service Cloud Cloudwatt

Procédure pas à pas de découverte de l offre. Service Cloud Cloudwatt Procédure pas à pas de découverte de l offre Service Cloud Cloudwatt Manuel Utilisateur 03/07/2014 Cloudwatt - Reproduction et communication sont interdites sans autorisation 1/45 Contenu 1. Introduction...

Plus en détail

Serveur FTP. 20 décembre. Windows Server 2008R2

Serveur FTP. 20 décembre. Windows Server 2008R2 Serveur FTP 20 décembre 2012 Dans ce document vous trouverez une explication détaillé étapes par étapes de l installation du serveur FTP sous Windows Server 2008R2, cette présentation peut être utilisée

Plus en détail

TP 1.1.7 Utilisation des commandes ping et tracert à partir d une station de travail

TP 1.1.7 Utilisation des commandes ping et tracert à partir d une station de travail TP 1.1.7 Utilisation des commandes ping et tracert à partir d une station de travail Objectif Apprendre à utiliser la commande TCP/IP ping (Packet Internet Groper) à partir d une station de travail Apprendre

Plus en détail

INF4420: Éléments de Sécurité Informatique

INF4420: Éléments de Sécurité Informatique : Éléments de Module III : Sécurité des réseaux informatiques José M. Fernandez M-3109 340-4711 poste 5433 Où sommes-nous? Semaine 1 Intro Semaines 2, 3 et 4 Cryptographie Semaine 6, 7 Sécurité dans les

Plus en détail

Administration réseau Introduction

Administration réseau Introduction Administration réseau Introduction A. Guermouche A. Guermouche Cours 1 : Introduction 1 Plan 1. Introduction Organisation Contenu 2. Quelques Rappels : Internet et le modèle TCP/ Visage de l Internet Le

Plus en détail

Cisco Certified Network Associate

Cisco Certified Network Associate Cisco Certified Network Associate Version 4 Notions de base sur les réseaux Chapitre 4 1 D après l en-tête de la couche transport illustré, quelles affirmations parmi les suivantes définissent la session

Plus en détail

LE RPV DE NIVEAU RÉSEAU AVEC TINC

LE RPV DE NIVEAU RÉSEAU AVEC TINC LE RPV DE NIVEAU RÉSEAU AVEC TINC L entreprise Ilog est une petite entreprise de services informatiques située à La Défense. Les chefs de projet de l entreprise sont souvent en déplacement à travers toute

Plus en détail

Test d un système de détection d intrusions réseaux (NIDS)

Test d un système de détection d intrusions réseaux (NIDS) Test d un système de détection d intrusions réseaux (NIDS) La solution NETRANGER CISCO SECURE IDS Par l Université de Tours Thierry Henocque Patrice Garnier Environnement du Produit 2 éléments Le produit

Plus en détail

Intérêt du NAT (Network Address Translation) Administration Réseau Niveau routage. Exemple d Intranet. Principe NAT

Intérêt du NAT (Network Address Translation) Administration Réseau Niveau routage. Exemple d Intranet. Principe NAT Administration Réseau Niveau routage Intérêt du NAT (Network Address Translation) Possibilité d utilisation d adresses privées dans l 4 2 1 Transport Réseau Liaison Physique Protocole de Transport Frontière

Plus en détail

Znets 2 : La maîtrise du trafic réseau de l entreprise

Znets 2 : La maîtrise du trafic réseau de l entreprise Znets 2 : La maîtrise du trafic réseau de l entreprise Thierry Descombes Laboratoire de Physique Subatomique et de Cosmologie 53 Avenue des Martyrs 38000 Grenoble Résumé Connaitre, comprendre et savoir

Plus en détail

Alcatel-Lucent VitalQIP Appliance Manager

Alcatel-Lucent VitalQIP Appliance Manager Alcatel-Lucent Appliance Manager Solution complète de gestion des adresses IP et de bout en bout basée sur des appliances Rationalisez vos processus de gestion et réduisez vos coûts d administration avec

Plus en détail

Administration et sécurité des réseaux M&K ELHDHILI

Administration et sécurité des réseaux M&K ELHDHILI Administration et sécurité des réseaux 1 Plan du cours Chapitre 1: Introduction à l administration des réseaux Domaines d activités Organisation logique (criètères, types de décisions ) Architectures et

Plus en détail

La sécurité, à l'heure actuelle

La sécurité, à l'heure actuelle Plan de l'exposé I) La sécurité, à l'heure actuelle II) Les différentes attaques II) La solution «passive», l'ids IV) La solution «active», l'ips V) Limites des IDS/IPS VI) Bilan et conclusion La sécurité,

Plus en détail

Propagation virale sur le Web Le ver BackTrack

Propagation virale sur le Web Le ver BackTrack Propagation virale sur le Web Le ver BackTrack Althes (http://www.althes.fr) Revision 1 - December 2002 Vincent Royer 1. Introduction Au cours de ces dernières années, un certain nombre

Plus en détail

Les RPV (Réseaux Privés Virtuels) ou VPN (Virtual Private Networks)

Les RPV (Réseaux Privés Virtuels) ou VPN (Virtual Private Networks) Les RPV (Réseaux Privés Virtuels) ou VPN (Virtual Private Networks) TODARO Cédric Table des matières 1 De quoi s agit-il? 3 1.1 Introduction........................................... 3 1.2 Avantages............................................

Plus en détail

Windows Vista et Windows Server 2003... 15. Étude de cas... 41

Windows Vista et Windows Server 2003... 15. Étude de cas... 41 Windows Vista et Windows Server 2003... 15 Windows Vista... 16 Pourquoi Vista?... 16 L initiative pour l informatique de confiance... 17 Le cycle de développement des logiciels informatiques fiables...

Plus en détail

Server. Mac OS X. l Admin. Cahiers. Jacques Foucry. Collection dirigée par Nat Makarévitch. Avec la contribution de Martine Chalmond

Server. Mac OS X. l Admin. Cahiers. Jacques Foucry. Collection dirigée par Nat Makarévitch. Avec la contribution de Martine Chalmond Jacques Foucry Cahiers de l Admin Mac OS X Server Collection dirigée par Nat Makarévitch Avec la contribution de Martine Chalmond, ISBN : 2-212-11282-3 Étude de cas 1 Mac OS X Licences Intégration Facilité

Plus en détail

SUPERVISION. Centreon 5.9

SUPERVISION. Centreon 5.9 SUPERVISION Centreon 5.9 Steven DELAPRUNE BTS SIO 11/03/2015 Sommaire CAHIER DES CHARGES... 3 INTRODUCTION... 3 PRINCIPES GENERAUX... 3 Définition... 3 Problématique... 3 Description du besoin... 3 Solution...

Plus en détail

Analyse de protocoles binaires avec les N-Grams

Analyse de protocoles binaires avec les N-Grams Analyse de protocoles binaires avec les N-Grams N-Gram against the Machine : On the Feasibility of the N-Gram network Analysis for Binary Protocols Thomas LETAN 26 novembre 2012 Objectifs des auteurs :

Plus en détail

DIGITAL NETWORK. Le Idle Host Scan

DIGITAL NETWORK. Le Idle Host Scan DIGITAL NETWORK Siège : 13 chemin de Fardeloup 13600 La Ciotat Siret : 43425494200015 APE : 722 Z www.digital network.org www.dnsi.info Laboratoires : 120 Avenue du Marin Blanc, ZI Les Paluds, 13685 Aubagne

Plus en détail

Audit et Sécurité Informatique

Audit et Sécurité Informatique 1 / 54 Audit et Sécurité Informatique Chap 1: Services, Mécanismes et attaques de sécurité Rhouma Rhouma https://sites.google.com/site/rhoouma Ecole superieure d Economie Numerique 3ème année Licence 2

Plus en détail

z Fiche d identité produit

z Fiche d identité produit z Fiche d identité produit Référence DFL-260 Désignation Firewall UTM NETDEFEND 260 pour petites entreprises et télétravailleurs Clientèle cible PME comptant jusqu à 50 utilisateurs Accroche marketing

Plus en détail

PPE 2-1 Support Systeme. Partie Support Système

PPE 2-1 Support Systeme. Partie Support Système PPE 2-1 Support Systeme Partie Support Système Sébastien MASSON 24/04/2013 0 Sommaire 1. DMZ 2 2. Serveurs Web 3 3. Logiciel d'inventaire 6 1 1. DMZ (Zone démilitarisée) Une DMZ est une zone tampon d'un

Plus en détail

SECURIDAY 2012 Pro Edition

SECURIDAY 2012 Pro Edition SECURINETS CLUB DE LA SECURITE INFORMATIQUE INSAT SECURIDAY 2012 Pro Edition [Détection des alertes IDS/IPS] Chef Atelier : Mériem TOUMI(RT) Fatma GHARIANI (RT) Imène BELKHIR (RT) Insaf BEJAOUI (RT) Naim

Plus en détail

Projet 2A STI : Supervision et audit de la sécurité système dans un réseau

Projet 2A STI : Supervision et audit de la sécurité système dans un réseau Projet 2A STI : Supervision et audit de la sécurité système dans un réseau Jeremy Briffaut,??? 8 septembre 2014 1 Objectifs Ce projet vous permettra de mettre en pratique vos connaissances acquises dans

Plus en détail

Firewall IDS Architecture. Assurer le contrôle des connexions au. nicolas.hernandez@univ-nantes.fr Sécurité 1

Firewall IDS Architecture. Assurer le contrôle des connexions au. nicolas.hernandez@univ-nantes.fr Sécurité 1 Sécurité Firewall IDS Architecture sécurisée d un réseau Assurer le contrôle des connexions au réseau nicolas.hernandez@univ-nantes.fr Sécurité 1 Sommaire général Mise en oeuvre d une politique de sécurité

Plus en détail

Notions sur les réseaux TCP/IP, avec et sans fil

Notions sur les réseaux TCP/IP, avec et sans fil 5 Notions sur les réseaux TCP/IP, avec et sans fil Chapitre Au sommaire de ce chapitre Principe du réseau Internet Termes basiques du paramétrage de TCP/IP Principe des ports TCP et UDP Et les VPN? Dans

Plus en détail

20 92100 : 33 (0) 1 41 22 10 00 : 33 (0) 1 41 22 10 01 : : FR00722063534

20 92100 : 33 (0) 1 41 22 10 00 : 33 (0) 1 41 22 10 01 : : FR00722063534 Présentation du ELEXO 20 Rue de Billancourt 92100 Boulogne-Billancourt Téléphone : 33 (0) 1 41 22 10 00 Télécopie : 33 (0) 1 41 22 10 01 Courriel : info@elexo.fr TVA : FR00722063534 But du Director Améliorer

Plus en détail

Table des matières. 1 Vue d ensemble des réseaux... 5. 2 Transmission des données : comment fonctionnent les réseaux... 23. Introduction...

Table des matières. 1 Vue d ensemble des réseaux... 5. 2 Transmission des données : comment fonctionnent les réseaux... 23. Introduction... Table des matières Introduction 1 Structure du livre 2 Nouveautés par rapport à la 3 e édition 2 Conventions typographiques 3 1 Vue d ensemble des réseaux 5 Qu est-ce qu un réseau? 6 Pourquoi créer un

Plus en détail

Atelier Sécurité / OSSIR

Atelier Sécurité / OSSIR Atelier Sécurité / OSSIR Présentation Produits eeye SecureIIS Retina elorrain@eeye.com & broussel@eeye.com Sommaire Page 2 Qui sommes nous? SecureIIS Protection Web Retina Scanner de Sécurité Questions

Plus en détail

Sensibilisation à la Sécurité sur Internet. vulnérabilités sur Internet

Sensibilisation à la Sécurité sur Internet. vulnérabilités sur Internet Sensibilisation à la Sécurité sur Internet Cours «2» : Menaces et Cours «2» : Menaces et vulnérabilités sur Internet Plan du cours Sécurité locale du PC Sécurité du réseau Sécurité de communication Outils

Plus en détail

Network Shutdown Module V3 Extension du Manuel Utilisateur pour architecture Virtualisée Virtual Server de Microsoft

Network Shutdown Module V3 Extension du Manuel Utilisateur pour architecture Virtualisée Virtual Server de Microsoft Network Shutdown Module V3 Extension du Manuel Utilisateur pour architecture Virtualisée Virtual Server de Microsoft Virtual Server 2005 R2 Network Shutdown Module Système Principal (hôte) Virtual Server

Plus en détail

QU EST-CE QU UN SOC? Un centre de sécurité opérationnel est une équipe dédiée à la détection et la gestion des incidents.

QU EST-CE QU UN SOC? Un centre de sécurité opérationnel est une équipe dédiée à la détection et la gestion des incidents. QU EST-CE QU UN SOC? Un centre de sécurité opérationnel est une équipe dédiée à la détection et la gestion des incidents. POURQUOI SURVEILLER With enough time, prevention will always fail. RÔLES D UN SOC

Plus en détail

Détection d Intrusions par Diversification de COTS et Diagnostic d Anomalies

Détection d Intrusions par Diversification de COTS et Diagnostic d Anomalies Détection d Intrusions par Diversification de COTS et Diagnostic d Anomalies Frédéric Majorczyk Ayda Saidane Éric Totel Ludovic Mé prénom.nom@supelec.fr Supélec, Rennes, France DADDi 18/11/2005 Frédéric

Plus en détail

Documentation télémaintenance

Documentation télémaintenance Documentation télémaintenance Table des matières Introduction... 2 Interface web du technicien... 2 Connexion à l interface... 2 Mon compte... 3 Configuration... 4 1. Jumpoint... 4 2. Jump clients... 4

Plus en détail

Système Principal (hôte) 2008 Enterprise x64

Système Principal (hôte) 2008 Enterprise x64 Network Shutdown Module V3 Extension du Manuel Utilisateur pour architecture Virtualisée avec : Hyper-V 6.0 Manager Hyper-V Server (R1&R2) de Microsoft Hyper-V 6.0 Network Shutdown Module Système Principal

Plus en détail

Profil de protection d un pare-feu industriel

Profil de protection d un pare-feu industriel Version 1.0 court-terme GTCSI 13 juillet 2015 Avant-propos Dans toute la suite de ce document, l acronyme ToE (Target of Evaluation) désigne le composant qui est l objet de l évaluation. Les passages en

Plus en détail

escan Entreprise Edititon Specialist Computer Distribution

escan Entreprise Edititon Specialist Computer Distribution escan Entreprise Edititon Specialist Computer Distribution escan Entreprise Edition escan entreprise Edition est une solution antivirale complète pour les entreprises de toutes tailles. Elle fournit une

Plus en détail

LA PROTECTION DES DONNÉES

LA PROTECTION DES DONNÉES LA PROTECTION DES DONNÉES PROTECTION DES BASES DE DONNÉES 22/11/2012, Swissôtel Métropole INTRODUCTION UNE CIBLE DE CHOIX Contient énormément de données confidentielles Rarement protégée autrement que

Plus en détail

Les autoroutes de l information

Les autoroutes de l information Les autoroutes de l information 2 ème partie Protocoles réseaux : TCP/IP. Reproduction interdite. Sommaire Sommaire Sommaire... 2 Introduction... 4 Problématique de la communication réseau... 4 Origine

Plus en détail

UFR de Mathématiques et Informatique Année 2009/2010. Réseaux Locaux TP 04 : ICMP, ARP, IP

UFR de Mathématiques et Informatique Année 2009/2010. Réseaux Locaux TP 04 : ICMP, ARP, IP Université de Strasbourg Licence Pro ARS UFR de Mathématiques et Informatique Année 2009/2010 1 Adressage IP 1.1 Limites du nombre d adresses IP 1.1.1 Adresses de réseaux valides Réseaux Locaux TP 04 :

Plus en détail

ACCEDER A SA MESSAGERIE A DISTANCE

ACCEDER A SA MESSAGERIE A DISTANCE Pour garder le contact avec leur entreprise, de plus en plus de collaborateurs ont besoin d accéder à leurs emails lorsqu ils sont en déplacement ou à domicile. Cet accès distant est facilité si la messagerie

Plus en détail

LES FONCTIONS DE SURVEILLANCE DES FICHIERS

LES FONCTIONS DE SURVEILLANCE DES FICHIERS SYSLOG and APPLICATION LOGS Knowledge Module for PATROL - Data Sheet Version 1.5 Développé par http://www.axivia.com/ PRESENTATION DU PRODUIT SYSLOG and APPLICATION LOGS Knowledge Module for PATROL est

Plus en détail

SecurActive NSS-500. Plateforme de Surveillance réseau et sécurité

SecurActive NSS-500. Plateforme de Surveillance réseau et sécurité Plateforme de Surveillance réseau et sécurité Solution SecurActive NSS SecurActive NSS est une plateforme de surveillance réseau et sécurité basée sur un moteur d analyse innovant. SecurActive NSS capture

Plus en détail

Conception et réalisation d uned architecture tolérant les intrusions pour des serveurs Internet

Conception et réalisation d uned architecture tolérant les intrusions pour des serveurs Internet Conception et réalisation d uned architecture tolérant les intrusions pour des serveurs Internet Ayda Saidane, Yves Deswarte,, Vincent Nicomette Tolérance aux fautes et Sûreté de Fonctionnement informatique

Plus en détail

Sécurisation en réseau

Sécurisation en réseau Déni de services Sécurisation en réseau Utilisant des bugs exemple Ping of death (Cf. RFC IP) l exploitation des protocoles TCP SYN flooding Envoi seulement le début du 3-way handshake Saturation de la

Plus en détail

ACCÉDER A SA MESSAGERIE A DISTANCE

ACCÉDER A SA MESSAGERIE A DISTANCE ACCÉDER A SA MESSAGERIE A DISTANCE Lorraine Pour garder le contact avec leur entreprise, de plus en plus de collaborateurs ont besoin d accéder à leurs emails lorsqu ils sont en déplacement ou à domicile.

Plus en détail