Pages. SOMMAIRE INTRODUCTION GENERALE..02 I. CONTEXTE ET MOTIVATION. 1. Contexte. 2. Motivation
|
|
- Émile Sévigny
- il y a 8 ans
- Total affichages :
Transcription
1 Pages. SOMMAIRE 01 INTRODUCTION GENERALE..02 I. CONTEXTE ET MOTIVATION 0 1. Contexte Motivation.0 II. DEFINITIONS..04 III. OBJECTIFS DES SYSTEMES DE DETECTION D'INTRUSIONS.06 IV. LES TYPES DE SYSTEMES DE DETECTION D'INTRUSIONS Systèmes de détection d'intrusions réseaux (N-IDS) Systèmes de détection d'intrusions hôtes (H-IDS) Systèmes de détection d'intrusions hybrides.. 12
2 V. ARCHITECTURES DE SYSTEMES DE DETECTION D'INTRUSIONS..15 VI. LES TECHNIQUES DE DETECTION D'INTRUSION. 22 VII. LES LIMITES DES SYSTEMES DE DETECTION D'INTRUSIONS..25 VIII. QUELQUES OUTILS DE DETECTION D'INTRUSIONS.27 CONCLUSION BIBLIOGRAPHIE ET REFERENCE. 2 Les réseaux et systèmes informatiques sont devenus aujourd hui des outils indispensables pour le bon fonctionnement et l évolution de la plupart des entreprises, la croissance de l Internet et l ouverture des systèmes ont fait que les attaques dans les réseaux informatiques soient de plus en plus nombreuses.
3 D une part les vulnérabilités en matière de sécurité s'intensifient, au niveau de la conception des protocoles de communication ainsi qu au niveau de leur implantation et d autre part les connaissances, les outils et les scriptes pour lancer les attaques sont facilement disponibles sur internet et exploitables, ainsi les systèmes et réseaux informatiques sont déployés dans différents domaines et ces réseaux apparaissent comme des cibles d attaques potentielles, d où les sécuriser est devenu possible grâce à de nombreux moyens, parmi lesquels les systèmes de détections d intrusion. Ainsi nous commencerons par une brève explication de quelques notions et définitions de base, puis nous vous présenterons les architectures et les types de systèmes de détection d'intrusions ainsi que leur avantages, inconvénients et leur limites. I. CONTEXTE ET MOTIVATION. 1. Contexte Le concept de système de détection d intrusions a été introduit en Mais le sujet n a pas eu beaucoup de succès. Il a fallu attendre la publication d un modèle de détection d intrusions en 1987 pour marquer réellement le départ du domaine. La recherche dans le domaine s est ensuite développée, le nombre de prototypes s est énormément accru. La détection d intrusion est devenue une industrie mature et les éditeurs de logiciels se concentrent plus à perfectionner les techniques de détection existantes.
4 Quelques voies restent cependant relativement inexplorées : les mécanismes de réponse aux attaques, les architectures pour les systèmes de détection d intrusions distribués...etc. 2. Motivation Une des approches de la sécurité informatique est de créer un système complètement sécurisé, c est la prévention. Mais il est très rarement possible de rendre un système complètement inattaquable pour plusieurs raisons. La plupart des systèmes informatiques ont des failles de sécurité qui les rendent vulnérables aux intrusions. Les trouver et les réparer toutes n est pas possible pour des raisons techniques et économiques. Les systèmes existants ayant des failles connues ne sont pas facilement remplacés par des systèmes plus surs, ou parce qu ils ne peuvent pas être remplacés pour des raisons économiques. Déployer des systèmes sans failles est très dur voire impossible car des failles sont inconnues ou inévitables. II. DEFINITIONS. Système informatique : Nous appellerons système informatique, une ou plusieurs machines mises à la disposition d un ou plusieurs utilisateurs légitimes pour toutes sortes de tâches.
5 Intrusion : Nous appellerons intrusion, toute utilisation d un système informatique à des fins autres que celles prévues, généralement dues à l acquisition de privilèges de façon illégitime. L intrus est généralement vu comme une personne étrangère au système informatique qui a réussi à en prendre le contrôle. Un système de détection d'intrusion (IDS : Intrusion Détection System) C est un mécanisme destiné à repérer des activités anormales ou suspectes sur la cible analysée (un réseau ou un hôte). Il permet ainsi d'avoir une connaissance sur les tentatives réussies comme échouées des intrusions. Un NIDS : (Network Based Intrusion Detection System) C est un système de détection de type réseau, qui surveille l'état de la sécurité au niveau du réseau. Un HIDS : (Host Based Intrusion Detection System) C est un système de détection de type hôte, qui surveille l'état de la sécurité au niveau des hôtes. Un IDS hybrides : C est un système de détection qui utilise les NIDS et HIDS pour avoir des alertes plus pertinentes. Un format IDMEF : (Intrusion Détection Message Exchange Format). IL décrit une alerte de façon objet et exhaustive. Une alerte : C est le message qui est émis depuis un analyseur. Une corrélation :
6 C est une connexion entre deux ou plusieurs éléments, dont un de ces éléments créée ou influence un autre. Elle se traduit plus généralement par la transformation d'une ou plusieurs alertes en attaque. Une corrélation passive : Est celle correspondant à une génération d'alerte basée sur celles existantes. Une corrélation active : Est celle cherchant les informations correspondant à des alertes émises. Une contre-mesure : C est l'art de piloter les éléments réseau ou la machine cible, afin d'éviter à une attaque de se propager (Islanding) ou de perdurer. Une dissection : C est une opération permettant de comprendre un protocole donné, afin de le décoder pour l'analyser. Détection d intrusions : La détection d intrusions consiste à analyser les informations collectées par les mécanismes de sécurité, à la recherche d éventuelles attaques. Les méthodes de détection d intrusion diffèrent sur la manière d analyser le journal d audits. Mécanisme d audit : Nous appellerons mécanisme d audit toute partie de code du système informatique dont le but est de reporter des informations sur les opérations qu il lui est demandé d accomplir. Journal d audit :
7 Nous appellerons journal d audit l ensemble des informations générées par les mécanismes d audit. Événement : Nous appellerons événement toute opération élémentaire. Par extension, nous appellerons également événement le report de celui-ci par un mécanisme d audit. III. OBJECTIFS DES SYSTEMES DE DETECTION D'INTRUSIONS. Un IDS a plusieurs objectifs parmi lesquels : La détection de toutes violations liées à la politique de sécurité. La signalisation des attaques. L analyse du trafic à tous les niveaux, liaison de données, réseau, transport et application. Exemple de modèle de gestion de la sécurité d un système informatique. Prévention Détection Autopsie
8 Enquête Dans la figure ci-dessus : Explication schématique : - La prévention : n est qu une des quatre parties de la gestion de la sécurité. - La partie détection : est à la recherche de l exploitation de nouvelles brèches. - La partie enquête : essaye de déterminer ce qui est arrivé, en s appuyant sur les informations fournies par la partie détection. - La partie autopsie : consiste à chercher comment empêcher des intrusions similaires dans le futur. Par le passé quasiment toute l attention des chercheurs s est portée sur la partie prévention. -La détection : est maintenant beaucoup prise en compte, mais les deux autres parties ne reçoivent pas encore toute l attention qu elles méritent. Dans ce projet intitulé Architecture et type de système de détection d intrusion, Nous nous intéresserons plus particulièrement ici à la partie Détection. IV. LES TYPES DE SYSTEMES DE DETECTION D'INTRUSIONS.
9 Le premier système de détection d'intrusions a été proposé en 1980 par James ANDERSON. Il en existe maintenant beaucoup d'autres, commerciaux ou non. Il existe trois grands types distincts d IDS à savoir : Les NIDS (Network Based Intrusion Détection System), qui surveillent l'état de la sécurité au niveau du réseau. Les HIDS (HostBased Intrusion Détection System), qui surveillent l'état de la sécurité au niveau des hôtes. Les IDS hybrides, qui utilisent les NIDS et HIDS pour avoir des alertes plus pertinentes. 1. Systèmes de détection d'intrusions réseaux (N-IDS) Figure 1. Parties d IDS. SIGNATURE ALERTE CAPTURE ANALYSE Un NIDS se découpe en trois grandes parties : - la capture, - les signatures - les alertes. La capture :
10 La capture sert à la récupération de trafic réseau. En général cela se fait en temps réel, bien que certains NIDS permettent l'analyse de trafic capturé précédemment. La plupart des NIDS utilisent la bibliothèque standard de capture de paquet libpcap. La bibliothèque de capture de paquets (Packet Capture Library) est portée sur quasiment toutes les plateformes, ce qui permet en général aux IDS réseau de suivre. Le fonctionnement de la capture d'un NIDS est donc en général fortement lié à cette libpcap. Son mode de fonctionnement est de copier (sous Linux) tout paquet arrivant au niveau de la couche liaison de données du système d'exploitation. Une fois ce paquet copié, il lui est appliqué un filtre BPF (Berkley Packet Filter), correspondant à l'affinage de ce que l'ids cherche à récupérer comme information. Il se peut que certains paquets soient ignorés car sous une forte charge, l'os ne le copiera pas. Le comportement de la libpcap est différent dans le monde BSD (famille de version d Unix), puisqu'il lui attache le fichier périphérique /dev/bpf, permettant ainsi aux NIDS de ne pas avoir besoin des droits super utilisateur pour capturer le trafic mais simplement de pouvoir lire sur ce fichier sur lequel les filtres sont directement compilés. Les signatures : La signature est en général une chaîne de caractère, que vous recherchez à l'intérieur d'un paquet de données. Par exemple la présence de /scripts/iisadmin/default.htm dans un paquet à destination d un serveur Web IIS (Internet Information Services), pourra indiquer une intrusion. Les bibliothèques de signatures (approche par scénario) rendent la démarche d'analyse similaire à celle de l antivirus quand ceux-ci s'appuient sur des signatures d'attaques. Ainsi, le NIDS est efficace s'il connaît l'attaque, mais inefficace dans le cas contraire. Les outils commerciaux ou libres ont évolué pour proposer une personnalisation de la signature afin de faire face
11 à des attaques dont on ne connaît qu'une partie des éléments. Les outils à base de signatures requièrent des mises à jour très régulières. Les alertes : Les alertes sont généralement stockées dans le syslog. Cependant il existe une norme qui permet d'en formaliser le contenu, afin de permettre à différents éléments de sécurité d'inter opérer. Ce format s'appelle IDMEF (pour Intrusion détection Message Exchange Format). IDMEF est popularisé par le projet Prelude, qui offre une infrastructure permettant aux IDS de ne pas avoir à s'occuper de l'envoi des alertes. Cela permet aux IDS de n'avoir qu'à décrire les informations qu'il connaît et Prelude se charge de le stocker pour permettre une visualisation humaine ultérieurement. La recherche de motif (pattern matching) La recherche de motif est ce qui permet à un NIDS de trouver le plus rapidement possible les informations dans un paquet réseau. Il existe différents algorithmes de recherche de motif. Il y a ceux qui sont conçus pour renvoyer des négatifs le plus rapidement possible comme E2xB, d'autres comme Boyer- Moore (BM) qui sont intéressants lorsqu'il y a peu d'informations stockées en mémoire. Il est convenu que BM est plus efficace que les autres quand il y a moins de 100 signatures. Il existe aussi des extensions à Boyer-Moore qui s'affranchissent de ces restrictions. Ou encore des algorithmes qui sont plus précis et donc plus intéressants dans le cas des NIDS comme Knuth- Morris-Pratt (KMP). Dans le cas d'un NIDS, la recherche de motif est souvent le nœud d'étranglement. Pouvant consommer plus de quatre-vingt pourcent de temps de calcul. E2xb a été spécialement conçu pour répondre aux besoins des NIDS. Il s'agit d'un algorithme de recherche de motif de domaine spécifique à la détection d'intrusion. C'est un algorithme d'exclusion car il part du principe que la plupart des paquets réseau ne correspondent pas à une signature qui identifie une tentative d'intrusion. L analyse :
12 À partir de la capture, la signature et l alerte, le moteur d'analyse met ces éléments de relation en employant plusieurs techniques : la refragmentation, la dissection protocolaire ou encore l'analyse comportementale. La refragmentation : Les paquets dépassant une certaine taille (qui en général est de octets) sont fragmentés. La fragmentation de l'en-tête de la couche transport étant aussi possible, cela rendait les NIDS vulnérables aux attaques de Stick et de Snot car les paquets fragmentés n'étaient pas analysés. Les NIDS ont le devoir de refragmenter les paquets avant analyse, afin de ne pas manquer une attaque. Il s'agit d'une opération relativement complexe, étant donné que chaque hôte de destination ne refragmente pas de la même façon, selon le système d'exploitation sur lequel l'attaque est visée. Il s'agit encore d'une technique d'évasion utilisable aujourd'hui car les NIDS ne sont pas forcément configurés correctement pour gérer un cas précis. La dissection : Elle permet de comprendre un protocole donné, de le décoder pour l'analyser. Il s'agit de la partie la plus sensible des NIDS car c'est elle qui est le plus grand vecteur d'attaques. Cependant, la dissection est essentielle sur certains protocoles, comme RPC, afin de pouvoir détecter des attaques qui seraient invisibles sans cette indispensable dissection. Cette étape permet aussi de récupérer un champ précis d'un protocole applicatif ce qui peut simplifier l'écriture de signatures. En bref même si nous nous devions de distinguer les HIDS des NIDS dans cette approche, la différence entre ces deux techniques complémentaires devient de plus en plus légère car les HIDS intègrent à l'heure actuelle les fonctionnalités de base des NIDS. Certains IDS se vante nomment d'être "IDS hôte et réseau". Tout porte à croire que dans très peu de temps, les différences entre les deux approches seront quasi imperceptibles voir inexistantes.
13 2. Systèmes de détection d'intrusions hôtes (H-IDS). Les HIDS, Host Based IDS, signifiant "Système de détection d'intrusion machine" sont des IDS dédiés à un matériel ou système d'exploitation. Généralement, contrairement a un NIDS, le HIDS récupère les informations qui lui sont données par le matériel ou le système d'exploitation. Il y a pour cela plusieurs approches : signatures, comportement (statistiques) ou délimitation du périmètre avec un système d'acl. Un HIDS se comporte comme un daemon ou un service standard sur un système hôte qui détecte une activité suspecte en s appuyant sur une norme. Si les activités s éloignent de la norme, une alerte est générée. La machine peut être surveillée sur plusieurs points : Activité de la machine : nombre et listes de processus ainsi que d'utilisateurs, ressources consommées. Activité de l'utilisateur : horaires et durée des connexions, commandes utilisées, messages envoyés, programmes activés, dépassement du périmètre défini. Activité malicieuse d'un ver, virus ou cheval de Troie. Un autre type d'hids cherche les intrusions dans le «noyau» (kernel) du système, et les modifications qui y sont apportées. Certains appellent cette technique «analyse protocolaire». Très rapide, elle ne nécessite pas de recherche dans une base de signature. Dans le but d'être plus précis sur les types d'attaques subis, il convient d'installer un système de détection basé sur l'hôte car il analyse exclusivement l'information relative à cet hôte. Le contrôle du trafic réseau étant réservé aux Network-Based IDS, on peut alors se concentrer sur l'activité d'une machine que l'on considère "stratégique" ou "à risque". On constate ainsi de façon immédiate l'impact d'une attaque réalisée avec succès sur la machine concernée.
14 Les sources utilisées par ce type d'ids pour analyser au mieux l'activité de l'hôte sont les fichiers logs ainsi que les traces d'audit du système d'exploitation. Si les logs, plus petites, ne fournissent que l'essentiel de l'information, elles peuvent bénéficier d'un meilleur contrôle et d'une analyse plus fine justement grâce à leur petite taille. En revanche, des attaques détectables avec les traces d'audit peuvent passer inaperçues. L'analyse des traces d'audit étant plus précises et plus détaillées, l'information fournie est donc meilleure. En bref à travers tout ceci, il est donc fortement recommandé de placer les HIDS seulement sur des machines possédant des données stratégiques ou sensibles. Si une machine n'est pas réellement susceptible de subir une attaque, mieux vaut alors ne pas s'encombrer avec cette technique car les inconvénients persistent comme nous venons de le voir.. Systèmes de détection d'intrusions hybrides. Les IDS hybrides sont basés sur une architecture distribuée, où chaque composant unifie son format d'envoi d'alerte (typiquement IDMEF) permettant à des composants divers de communiquer et d'extraire des alertes plus pertinentes. Les IDS font allusion à : -La corrélation, est une connexion entre deux ou plusieurs éléments, dont un de ces éléments créée ou influence un autre. Elle se traduit plus généralement par la transformation d'une ou plusieurs alertes en attaque. Cela permet de faciliter la compréhension sur les attaques au lieu de s'éparpiller parmi les alertes. Idéalement, elle nécessite un IDS Hybride car plus il y a d'informations hétérogènes sur un évènement, la corrélation se fait d'une façon plus pertinente. Les formats ayant été normalisés (IDMEF), il ne reste plus qu'à faire des associations afin de détecter des alertes qui n'auraient jamais eu lieu sur un
15 analyseur seul. Si l'on prend l'exemple d'une authentification échouée, cela génère une alerte de faible intensité. Mais s'il y a une série d'authentifications échouées avec des utilisateurs différents, on peut conclure à une attaque de force brute. La corrélation permet de générer de nouvelles alertes à partir de celles existantes. C'est une étape préalable à une contremesure efficace. Il y a diverses façons de faire de la corrélation. Cependant on peut définir deux catégories : -La corrélation passive, correspondant à une génération d'alerte basée sur celles existantes. Nous pouvons prendre par exemple les scans de force brute ssh. -La corrélation active, qui va chercher les informations correspondant à des alertes émises. Par exemple, lorsqu'une personne se connecte en dehors des heures de travail, cela a un impact élevé qui n'aurait pas été en temps normal d'activité. -L'harmonisation des formats, format IDMEF (Intrusion Détection Message Exchange Format) décrit une alerte de façon objet et exhaustive. Une alerte est le message qui est émis depuis un analyseur, qui est une sonde en langage IDMEF, vers un collecteur. Le but d'idmef est de proposer un standard permettant d'avoir une communication hétérogène quel que soit l'environnement ou les capacités d'un analyseur donné. Ces alertes sont définies au format XML, offrant une possibilité de validation de chaque message. En général, les implémentations restent binaires, afin d'éviter les problèmes connus d'ajout d'information inutiles en dehors d'xml lorsque l'on envoie un message sur le réseau. IDMEF offre aussi un vocabulaire précis, qu'il est courant d'utiliser dans le domaine de la détection d'intrusions. Par exemple, une classification correspond au nom d'un alerte; Un impact celui d'un niveau d'attaque.
16 Attaque détectée mesure Contre Reconfiguration du Routeur pour interdire l IP De L Attaquant RESEAU INTERNE RESEAU EXTERNE Figure 2. Illustration de la contre mesure. -La contre-mesure, est l'art de piloter les éléments réseau ou la machine cible, afin d'éviter à une attaque de se propager (Islanding) ou de perdurer. Il s'agit d'une procédure assez compliquée et souvent désactivée. Ce qui rend la contremesure difficile, c'est la définition d'une attaque d'un point de vue formel. Il n'est pas possible de se baser sur des éléments qui génèrent des faux positifs. Et cela peut aussi engendrer un autre problème où l'attaquant se fait passer pour un client du réseau en générant des motifs d'attaque. Cela peut même bloquer le réseau interne si la contre-mesure est mal configurée. En bref les IDS hybrides offrent de nombreux avantages, et un système de contre-mesure se configure en général avec une liste blanche, dans laquelle sont mises les IP du réseau interne.
17 V. ARCHITECTURES DE SYSTEMES DE DETECTION D'INTRUSIONS 1. L ARCHITECTURE DU NIDS SNORT. SNORT est un Système de Détection d'intrusion de réseau (NIDS) en Open Source, capable d'analyser en temps réel le trafic sur les réseaux IP. SNORT utilise l analyse des protocoles et la recherche des chaînes de caractères dans les paquets pour la détection des attaques. On l'utilise pour détecter une variété d'attaques tels que des scans de ports, des attaques CGI (Common Gateway interface), des débordements de tampons, et bien plus. L architecture de SNORT est organisée en modules, elle est composée de quatre grands modules : Le décodeur de paquets, les préprocesseurs, le moteur de détection et le système d alerte et d enregistrement de log. Sniffing Décodeur de paquet Préprocesseur Règles Moteur de détection
18 Système d alerte Et l enregistrement des logs Journalisation Figure. Architecture de Snort. 1.1 Le décodeur de paquets. Un système de détection d intrusion active un ou plusieurs interfaces réseau de la machine en mode espion (promiscuous mode), ceci va lui permet de lire et analyser tous les paquets qui passent par le lien de communication. SNORT utilise la bibliothèque libpcap pour faire la capture des trames. Un décodeur de paquets est composé de plusieurs sous décodeurs qui sont organisés par protocole (Ethernet, IP, TCP..), ces décodeurs transforme les éléments des protocoles en une structure de données interne. données Décodage des protocoles de liaison de Décodage des protocoles réseau
19 Préprocesseur Décodage des protocoles transport Figure 4. Le décodeur de paquets. 1.2 Les préprocesseurs. Les préprocesseurs s occupent de la détection d intrusion en cherchant les anomalies, un préprocesseur envoie une alerte si les paquets ne respectent pas les normes des protocoles utilisées. Un préprocesseur est différent d une règle de détection, il est un programme qui vise à aller plus en détail dans l analyse de trafic. Nous allons voir à travers un exemple comment les préprocesseurs fonctionnent. 1. Moteur de détection. C est la partie la plus importante dans un SDI. Le moteur de détection utilise les règles pour faire la détection des activités d intrusion. Si un paquet
20 correspond à une règle une alerte est générée. Les règles sont groupées en plusieurs catégories sous forme de fichiers. SNORT vient avec un ensemble de règles prédéfinis, en exemple ci-dessous. Figure 5. Fichier de règles prédéfinis dans Snort. Ces règles ne sont pas activées automatiquement, il faut les activer dans le fichier de configuration snort.conf. Chaque fichier contient des règles décrit un type de trafic à signaler. Figure 6. Partie du fichier snort.conf.
21 1.4 Système d alerte et d enregistrement des logs. Le système d alerte et d enregistrement des logs s occupe de la génération des logs et des alertes. Les alertes sont stockées par défaut dans le répertoire /var/log/snort/. Dés que le système devient opérationnel, on pourra consulter les alertes générées directement dans les fichiers tex tes ou bien utilisé une console de gestion. ACID (Analysis Console for Intrusion Détection), est une application qui fournie une console de gestion et qui permet la visualisation des alertes en mode graphique. Les alertes dans ce cas sont stockées dans une base de données MySQL. En bref SNORT est une application écrite en C. Les programmes sources sont dans le répertoire Snort /src/. Le programme snort.c représente la routine principale de SNORT, le décodeur des paquets est implémenté dans le programme decode.c. rules.c est la routine qui s occupe des règles. Le moteur de détection est implémenté dans le programme detect.c et Le moteur d enregistrement est dans log.c. 2. Emplacement d un IDS dans le réseau. L emplacement d un SDI dépend de types d activités d intrusion qu on veut détecter. Si l entreprise a une seule connexion WAN alors le meilleur emplacement peut être juste derrière le routeur. Dans le cas où l entreprise à plusieurs connexion, on peut
22 placer un SDI sur chaque liaison. La figure 7, montre un exemple de réseau avec un SDI. Figure 7. L emplacement d un SID. Dans ce cas il est connecté à un concentrateur entre le réseau local et le pare-feu. Le trafic est donc visible dans les deux directions. Dans le cas d un réseau avec une zone démilitarisée, un SDI peut être placé dans cette zone, de cette façon on pourra détecter les attaques qui visent les serveurs de l entreprise. Les attaques peuvent être lancées de l intérieur de l entreprise, il est donc préférable d avoir un SDI qui contrôle le trafic interne et signale les anomalies.. Emplacement des capteurs NIDS et HIDS.
23 La place des capteurs est variable selon ce que l on désire observer. Les capteurs peuvent soit être placés avant ou après le firewall, soit dans une zone particulièrement sensible. En les plaçant entre le pare feu et le réseau internet, il est plus aisé de constater que le firewall a été mal configuré. Les capteurs placés après un pare-feu ont pour mission de détecter les intrusions que ce dernier n'a pu stopper. C'est l'utilisation la plus courante des NIDS. Mais nous pouvons tout aussi bien placer un capteur avant le pare-feu (entre Internet et le firewall). En le positionnant ainsi, le capteur peut recevoir et analyser l'ensemble du trafic provenant d'internet. Cependant, il n'est pas certain que toutes les attaques soient filtrées et détectées. Cette disposition reste tout de même la préférée de nombreux experts car elle offre l'avantage d'écrire dans les logs et d'analyser les attaques vers le pare-feu. De cette façon l'administrateur réseau voit ce qu'il doit modifier dans la configuration du pare-feu. INTERNET Figure 8. L emplacement des capteurs HISD et NIDS.
24 On peut très bien envisager de combiner ces deux cas de figure en plaçant un capteur avant et un après le firewall. Mais cette variante est très dangereuse si on configure mal les capteurs et/ou le pare-feu car il n'est pas si simple d'ajouter les avantages des deux positionnements. Enfin, les capteurs IDS sont parfois situés à l entrée de zones du réseau particulièrement sensibles (parcs de serveurs, données confidentielles ), de façon à surveiller tout trafic en direction de cette zone avec beaucoup plus de précision. a. Avantages Les capteurs sont fortement sécurisés puisqu'en se contentant d'observer le trafic, ils permettent une surveillance discrète du réseau. Les attaques de type scan sont de plus facilement détectables. b. Inconvénients Bien que très souvent utilisés et pouvant remplir un rôle primordial, les NIDS présentent néanmoins quelques faiblesses. En effet, le taux de faux négatifs (attaques non détectées comme telles) est relativement élevée. Il en découle une certaine difficulté pour contrôler le réseau dans sa totalité. De plus, leur mode de fonctionnement leur impose de fonctionner principalement de manière cryptée ce qui complique fortement l'analyse des paquets. Enfin, contrairement aux HIDS, les NIDS ne voient pas les impacts d'une attaque sur les machines du parc. VI. LES TECHNIQUES DE DETECTION. Le trafic réseau est généralement (en tout cas sur Internet) constitué de datagrammes IP. Un N-IDS est capable de capturer les paquets lorsqu ils circulent sur les liaisons physiques sur lesquelles il est connecté. Un N-IDS consiste en une pile TCP/IP
25 qui réassemble les datagrammes IP et les connexions TCP. Il peut appliquer les techniques suivantes pour reconnaître les intrusions : La détection d abus : Elle utilise des signatures pour démasquer les attaques. Ces signatures cherchent une chaîne dans le trafic du réseau, et peuvent refuser des demandes d accès à certains fichiers, en envoyant une alerte. C est ce qu on appelle le «patter matching», qui est l analyse de chaînes de caractères présentes dans un paquet, en recherchant la correspondance avec une attaque dans une base de connaissance. Les signatures correspondent à des attaques connues (en-tête anormale d un paquet, port ouvert, ). Cette détection a un fonctionnement similaire aux anti-virus. La signature, ou encore appelée règle, est spécifique à un paquet intéressant. Elle analyse l entête et la charge utile des paquets IP : L entête contient les adresses IP source et destination, et les informations de contrôle. La charge utile comprend les données transportées. Exemple pour la requête HTTP : Exemple d'une règle: Alert TCP $EXTERNAL_NET $HTTP_PORTS $HOME_NET any (msg:«news free INFOS»;content:«FREE
26 INFOS»;nocase;flow:to_client,established;classtype:kickass- NEWS;SID:110;rev:5;) Avantage : Les critères de signatures pouvant être précisément définis, il y a peu de fausses alertes. Classification facile de la criticité des attaques signalées. facilité de mise à jour et évidemment dans la quantité importante de signatures contenues dans la base du N- IDS. Inconvénients : Si les signatures ne sont pas clairement définies, les attaques passent inaperçues. Nécessite de mettre a jour régulièrement la table des attaques connues. La détection d anomalie : Cette détection crée dans un premier temps un profil pour un utilisateur en fonction des ses activités dites «normales». Une alarme se déclenche si le comportement de l utilisateur ne correspond pas a son profil. En général, le système réagit à des variations anormales du processeur (CPU), de la bande passante, du nombre de connexion TCP, etc. Trois () étapes dans la détection : La détection de seuil : utilisation de compteurs pour savoir combien de fois un programme ou un fichier est ouvert, exécuté, etc.
27 La détection basée sur des règles : définition des règles et alarme si déviation du profil dit "normal". La mesure statique : une signature est établie sur le comportement de l utilisateur et du système. Avantage : Découverte de nouvelles techniques d attaque. Inconvénients : Difficulté à créer un profil précis de l utilisateur. Risque de nombreuses fausses alarmes. En fin de compte, un N-IDS parfait est un système utilisant le meilleur de chacune des techniques citées ci-dessus. VII. LES LIMITES DES SYSTEMES DE DETECTION D'INTRUSIONS. Les IDS malheureusement présentent aussi de nombreuses limites. Du point de vue technique : Il existe de plus en plus de techniques qui permettent de contrer un IDS : Les scans de port sur une machine cible sont en général détectés par les IDS à cause de leur fréquence élevée. Cependant, les outils de scan disposent de plus en plus
28 d options permettant de diluer la fréquence des scans, ceux-ci passant alors inaperçus pour l IDS. La surcharge : si une quantité importante d informations est envoyée afin de surcharger les alertes IDS, il sera alors possible de glisser une attaque, qui sera difficilement identifiable face au flot d informations. La fragmentation : en fragmentant les paquets IP (qui ne seront réassemblés qu au niveau du destinataire), les IDS ne seront pas capables de reconnaître les signatures. Du point de vue humain : Humainement aussi, les IDS ont leur limite : Le mode passif ne fait que remonter les informations, c est l administrateur réseau qui se charge des actions. Si les attaques ont lieu le week end ou en vacances, il est alors plus difficile de mettre en place des moyens de défense. L analyse des alertes est longue, et demande des ressources importantes pour protéger un réseau, ou pour découvrir la source de l attaque. Les comportements fautifs : Les IDS peuvent aussi avoir des comportements fautifs, que l on regroupe dans deux catégories : - Les faux positifs, qui comprennent les alertes générées par une activité pourtant normale. - Les faux négatifs, qui sont à l inverse des comportements anormaux non détectés. Les connaissances en sécurité :
29 Alors que l installation des logiciels IDS est relativement simple, l exploitation des alertes remontées demande des connaissances plus importantes en sécurité. Même si les outils ont de nombreuses fonctionnalités, l intervention humaine est toujours indispensable. Le positionnement des sondes : Les sondes doivent être installées sur le réseau différemment selon plusieurs problématiques : - Champs de vision des sondes : savoir si l on souhaite faire des doublons de surveillances ou un suivi d analyse. - Détail de l analyse : entrée du réseau, domaine de collision, etc.. - Remontée des alertes : par le réseau sécurisé ou par un réseau isolé. La plateforme : Les faiblesses des IDS sont aussi liées à la faiblesse de la plateforme. Par exemple, un logiciel IDS sera moins performant sur un poste Win98 que sur un Open BSD, à cause de la stabilité du système. D autre part, la saturation de la mémoire, de la carte réseau ou du processeur font directement défaut à l IDS de la machine. VIII. QUELQUES OUTILS DE DETECTION D'INTRUSIONS. IDS réseau (NIDS): Snort. Snort est un IDS open source, crée en 1998, et il est actuellement le plus répandu, avec plus de déploiements dans le monde.
30 Il fonctionne sous Linux, Solaris, Mac OS, Windows, etc. Ses caractéristiques sont : Performance, rapidité, flexibilité Orienté IP Distribution avec 1500 règles et la possibilité d en ajouter Classement des alertes selon la priorité. Voici d autres outils : Bro Enterasys Checkpoint Tipping point IDS system (HIDS): MacAfee IntruShield Network IDS Sensor. IntruShield Network IDS Sensor est une gamme de boîtiers permettant d'identifier une large gamme d'attaques. L'éditeur met en avant les IDS virtuels qui permettent de segmenter un capteur en capteurs virtuels dont les règles de sécurité sont adaptées au composant protégé. En voici d autres : AIDE Chkrootkit DarkSpy FCheck IceSword
31 Integrit Nabou OSSEC Osiris Prelude LML Rkhunter Rootkit Unhooker Samhain Tripwire IDS hybride : OSSIM. OSSIM est un système logiciel pour la télédétection, les systèmes d'information géographique, traitement d'images et de la photogrammétrie OSSIM est un logiciel de haute performance du système de télédétection, les systèmes d'information géographique, traitement d'images et de la photogrammétrie. OSSIM est un logiciel open source du projet et a été en cours d'élaboration depuis Les développeurs principaux du projet ont des années d'expérience dans les communications et le gouvernement systèmes de télédétection et des applications Snort. Snort est un IDS open source, crée en 1998, et il est actuellement le plus répandu, avec plus de déploiements dans le monde. Il fonctionne sous Linux, Solaris, Mac OS, Windows, etc Ses caractéristiques sont :
32 Performance, rapidité, flexibilité Orienté IP Distribution avec 1500 règles et la possibilité d en ajouter Classement des alertes selon la priorité. Evolutif : modules ajoutables, données sauvegardées, fonctionnement avec plusieurs types de base de données (MySQL, Oracle, XML, ) Enterasys Networks - Dragon 6.0 Enterasys Networks - Dragon 6.0 protège à la fois les serveurs et les réseaux, mais également la surveillance de pare-feu, de routeurs et d'ids d'autres marques. Une gestion par interface Web est proposée ainsi qu'une mise à jour quotidienne des signatures. Cisco - NetRanger Cisco propose deux produits distincts : - un IDS réseau et un IDS host. o Les capteurs réseau comprennent un appareil de sécurité réseau et un module de sécurité qui permet d'exécuter des fonctions de surveillance et de commutation à partir d'un même châssis. La détection des intrusions se fait en temps réel, notamment en environnement Gigabit et sur des liaisons 802.1q. o La solution Cisco IDS Host Sensor permet de protéger les serveurs d'entreprise. Elle permet notamment le déploiement d'un grand nombre d'agents afin d'assurer une couverture de sécurité des environnements réseau étendus contre certains vers. ISS - Real Secure et Proventia
33 Destiné aux réseaux et aux systèmes, la gamme Real Secure propose Real Secure Network Sensor, qui s installe sur une station dédiée pour contrôler le trafic réseau à la recherche de signatures d attaques et Real Secure Server Sensor, qui protège les serveurs stratégiques par l analyse des événements au niveau du noyau du système d exploitation, des journaux de connexions et de l activité réseau de ces serveurs. Une console de management offre un reporting de type graphique et une base de données d assistance en ligne en réponse aux incidents. Symantec Host IDS et Symantec ManHunt. Le leader mondial de la sécurité se positionne à la fois au niveau des serveurs (Symantec Host IDS) et du réseau (Symantec ManHunt). Ces solutions s'intègrent à Symantec Security Management System pour optimiser la hiérarchisation et l'identification des attaques. o Symantec Host IDS : fournit un accès aux données granulaires des processus, permet aux administrateurs de définir une grande diversité de configurations de sécurité et de limiter les capacités des serveurs grâce à des politiques définies. o Symantec Man Hunt protège les réseaux à des vitesses pouvant aller jusqu'à 2 gigabits par seconde. Prend en charge le système d'exploitation Red Hat Linux.
34 En somme, nous constatons que l essor de l informatique et en particularité celle du réseau informatique a eu un impact considérable sur l avancement du monde. Cependant cet essor reste vulnérable face aux diverses attaques malveillantes provenant de extérieur comme de l intérieur d un système informatique. Il est donc judicieux pour tous administrateurs, d étudier les différentes formes d architectures des systèmes de détection d intrusion et aussi les divers types qu il pourrait utiliser afin d optimiser la sécurité de son réseau. Or, il faut savoir qu il n existe pas de systèmes informatiques parfaits en termes de sécurité. Car ces différents types de système de détection d intrusion présente des avantages, des inconvénients et surtout des limites.
35 LES LIENS PDF Liens disponible sur le site : o Boudka pdf SDI-SNORT.pdf PSSI.pdf Ids.pdf Pal.04.pdf dos_vers.pdf MTM05.pdf LES LIENS INTERNET EXPLORER Liens disponible sur le site : o o o Télécharger ossim Système de prévention d intrusion Système de prévention d intrusion(ids) IPS.mht Les Network IDS.mht WIKIPEDIA : Les architectures des systèmes de détection d intrusion.
36 AUTRE SOURCE : ( ). cours de sécurité réseau en TIC/RST2
Firewall IDS Architecture. Assurer le contrôle des connexions au. nicolas.hernandez@univ-nantes.fr Sécurité 1
Sécurité Firewall IDS Architecture sécurisée d un réseau Assurer le contrôle des connexions au réseau nicolas.hernandez@univ-nantes.fr Sécurité 1 Sommaire général Mise en oeuvre d une politique de sécurité
Plus en détailDétection d'intrusions et analyse forensique
Détection d'intrusions et analyse forensique Yann Berthier & Jean-Baptiste Marchand Hervé Schauer Consultants Agenda Agenda Préambule IDS / IPS : principes - limites Au delà des IDS Conclusion Démonstrations
Plus en détailLINUX - Sécurité. Déroulé de l'action. - 3 jours - Contenu de formation
Objectif : Tout administrateur système et réseau souhaitant avoir une vision d'ensemble des problèmes de sécurité informatique et des solutions existantes dans l'environnement Linux. Prérequis : Connaissance
Plus en détailFiche Technique. Cisco Security Agent
Fiche Technique Cisco Security Agent Avec le logiciel de sécurité de point d extrémité Cisco Security Agent (CSA), Cisco offre à ses clients la gamme de solutions de protection la plus complète qui soit
Plus en détailNotions de sécurités en informatique
Notions de sécurités en informatique Bonjour à tous, voici un article, vous proposant les bases de la sécurité informatique. La sécurité informatique : Vaste sujet, car en matière de sécurité informatique
Plus en détailNT Réseaux. IDS et IPS
Nicolas Baudoin Ingénieurs2000 Marion Karle 2003-2004 NT Réseaux IDS et IPS Enseignant : Etienne Duris 2003/2004 IR3 Table des matières Introduction... 3 1. Notions de sécurité... 4 1.1 Mise en place d
Plus en détailRetour d expérience sur Prelude
Retour d expérience sur Prelude OSSIR Paris / Mathieu Mauger Consultant Sécurité (Mathieu.Mauger@intrinsec.com) Guillaume Lopes Consultant Sécurité (Guillaume.Lopes@Intrinsec.com) @Intrinsec_Secu 1 Plan
Plus en détailSECURIDAY 2013 Cyber War
Club de la Sécurité Informatique à l INSAT Dans le cadre de la 3ème édition de la journée nationale de la sécurité informatique SECURIDAY 2013 Cyber War SECURINETS Présente Formateurs: 1. Trabelsi NAJET
Plus en détailLes IDS et IPS Open Source. Alexandre MARTIN Jonathan BRIFFAUT
Les IDS et IPS Open Source Alexandre MARTIN Jonathan BRIFFAUT Plan Présentation Générale des IDS Les différents type d IDS Les méthodes de détection Présentation Générale des IPS Ou placer un IDS / IPS?
Plus en détailNouveaux outils de consolidation de la défense périmétrique
HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Prévention d'intrusion Nouveaux outils de consolidation de la défense
Plus en détailAnnexe 5. Kaspersky Security For SharePoint Servers. Consulting Team
Annexe 5 Kaspersky Security For SharePoint Servers Consulting Team 2015 K A S P E R S K Y L A B Immeuble l Européen 2, rue 1 Joseph Monier 92859 Rueil Malmaison Cedex Table des matières Table des matières...
Plus en détailFirewall. Souvent les routeurs incluent une fonction firewall qui permet une première sécurité pour le réseau.
Firewall I- Définition Un firewall ou mur pare-feu est un équipement spécialisé dans la sécurité réseau. Il filtre les entrées et sorties d'un nœud réseau. Cet équipement travaille habituellement aux niveaux
Plus en détailSymantec Protection Suite Enterprise Edition Protection éprouvée pour les terminaux, la messagerie et les environnements Web
Fiche technique: Sécurité des terminaux Protection éprouvée pour les terminaux, la messagerie et les environnements Web Présentation permet de créer un environnement (terminaux, messagerie et Web) protégé
Plus en détailMASTER SIS PRO : logique et sécurité DÉTECTION D INTRUSIONS. Odile PAPINI, LSIS. Université de Toulon et du Var. papini@univ-tln.
MASTER SIS PRO : logique et sécurité DÉTECTION D INTRUSIONS Odile PAPINI, LSIS. Université de Toulon et du Var. papini@univ-tln.fr Plan Introduction Généralités sur les systèmes de détection d intrusion
Plus en détailNmap (Network Mapper) Outil d exploration réseau et scanneur de ports/sécurité
Nmap (Network Mapper) Outil d exploration réseau et scanneur de ports/sécurité 1. Présentation Nmap est un outil open source d'exploration réseau et d'audit de sécurité, utilisé pour scanner de grands
Plus en détail2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant. http://robert.cireddu.free.
2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES 2.2 Architecture fonctionnelle d un système communicant Page:1/11 http://robert.cireddu.free.fr/sin LES DÉFENSES Objectifs du COURS : Ce cours traitera essentiellement
Plus en détailHaka : un langage orienté réseaux et sécurité
Haka : un langage orienté réseaux et sécurité Kevin Denis, Paul Fariello, Pierre Sylvain Desse et Mehdi Talbi kdenis@arkoon.net pfariello@arkoon.net psdesse@arkoon.net mtalbi@arkoon.net Arkoon Network
Plus en détailTHEGREENBOW FIREWALL DISTRIBUE TGB::BOB! Pro. Spécifications techniques
THEGREENBOW FIREWALL DISTRIBUE TGB::! Pro Spécifications techniques SISTECH SA THEGREENBOW 28 rue de Caumartin 75009 Paris Tel.: 01.43.12.39.37 Fax.:01.43.12.55.44 E-mail: info@thegreenbow.fr Web: www.thegreenbow.fr
Plus en détailSujet 2 : Interconnexion de réseaux IP (routeurs CISCO). Sujet 3 : Implémentation d un serveur VPN avec OpenVPN.
UFC CENTRE DE BAB EZZOUAR EXEMPLES DE SUJETS POUR LE PROJET DE FIN D ETUDE OPSIE PROPOSES PAR M. NACEF (ENSEIGNANT) Sujet 1 : Management des risques par la méthode MEHARI. Type : étude, audit. MEHARI est
Plus en détailOutils d'analyse de la sécurité des réseaux. HADJALI Anis VESA Vlad
Outils d'analyse de la sécurité des réseaux HADJALI Anis VESA Vlad Plan Introduction Scanneurs de port Les systèmes de détection d'intrusion (SDI) Les renifleurs (sniffer) Exemples d'utilisation Conclusions
Plus en détailRéseaux. Moyens de sécurisation. Plan. Evolutions topologiques des réseaux locaux
Réseaux Evolutions topologiques des réseaux locaux Plan Infrastructures d entreprises Routeurs et Firewall Topologie et DMZ Proxy VPN PPTP IPSEC VPN SSL Du concentrateur à la commutation Hubs et switchs
Plus en détailPrésentation du modèle OSI(Open Systems Interconnection)
Présentation du modèle OSI(Open Systems Interconnection) Les couches hautes: Responsables du traitement de l'information relative à la gestion des échanges entre systèmes informatiques. Couches basses:
Plus en détailNetCrunch 6. Superviser
AdRem NetCrunch 6 Serveur de supervision réseau Avec NetCrunch, vous serez toujours informé de ce qui se passe avec vos applications, serveurs et équipements réseaux critiques. Documenter Découvrez la
Plus en détailBibliographie. Gestion des risques
Sécurité des réseaux informatiques Bernard Cousin Université de Rennes 1 Sécurité des réseaux informatiques 1 Introduction Risques Attaques, services et mécanismes Les attaques Services de sécurité Mécanismes
Plus en détailIndicateur et tableau de bord
Agenda Indicateur et tableau de bord «La sécurité n est pas une destination mais un voyage» 1. Jean-François DECHANT & Philippe CONCHONNET jfdechant@exaprobe.com & pconchonnet@exaprobe.com +33 (0) 4 72
Plus en détailSymantec Endpoint Protection 12.1.5 Fiche technique
Symantec Endpoint Protection 12.1.5 Fiche technique Fiche technique : Sécurité des terminaux Présentation Outre les attaques massives à grande échelle qu ils perpétuent, les logiciels malveillants ont
Plus en détailMenaces et sécurité préventive
HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Menaces et sécurité préventive Matinales Sécurité Informatique 18
Plus en détailKASPERSKY DDOS PROTECTION. Découvrez comment Kaspersky Lab défend les entreprises contre les attaques DDoS
KASPERSKY DDOS PROTECTION Découvrez comment Kaspersky Lab défend les entreprises contre les attaques DDoS LES ENTREPRISES SONT DEVENUES LA CIBLE DES CYBER-CRIMINELS. Si votre entreprise a déjà subi une
Plus en détailTest d un système de détection d intrusions réseaux (NIDS)
Test d un système de détection d intrusions réseaux (NIDS) La solution NETRANGER CISCO SECURE IDS Par l Université de Tours Thierry Henocque Patrice Garnier Environnement du Produit 2 éléments Le produit
Plus en détailGlossaire. Acces Denied
Glossaire Acces Denied Littéralement, Accès refusé. Procédure en vigueur sur les espaces de discussion et permettant aux administrateurs d'interdire l'accès à une personne, en général repérée par son adresse
Plus en détailLes Virtual LAN. F. Nolot. Master 1 STIC-Informatique 1
Les Virtual LAN Master 1 STIC-Informatique 1 Les Virtual LAN Introduction Master 1 STIC-Informatique 2 Les Réseaux Locaux Virtuels (VLAN) Avantages des LAN Communication rapide, broadcasts Problèmes des
Plus en détailz Fiche d identité produit
z Fiche d identité produit Référence DFL-260 Désignation Firewall UTM NETDEFEND 260 pour petites entreprises et télétravailleurs Clientèle cible PME comptant jusqu à 50 utilisateurs Accroche marketing
Plus en détailLa haute disponibilité de la CHAINE DE
Pare-feu, proxy, antivirus, authentification LDAP & Radius, contrôle d'accès des portails applicatifs La haute disponibilité de la CHAINE DE SECURITE APPLICATIVE 1.1 La chaîne de sécurité applicative est
Plus en détailManageEngine IT360 : Gestion de l'informatique de l'entreprise
ManageEngine IT360 Présentation du produit ManageEngine IT360 : Gestion de l'informatique de l'entreprise Améliorer la prestation de service à l'aide d'une approche intégrée de gestion des performances
Plus en détailÉtat Réalisé En cours Planifié
1) Disposer d'une cartographie précise de l installation informatique et la maintenir à jour. 1.1) Établir la liste des briques matérielles et logicielles utilisées. 1.2) Établir un schéma d'architecture
Plus en détailChap.9: SNMP: Simple Network Management Protocol
Chap.9: SNMP: Simple Network Management Protocol 1. Présentation 2. L administration de réseau 3. Les fonctionnalités du protocole 4. Les messages SNMP 5. Utilisation de SNMP 1. Présentation En 1988, le
Plus en détailPrésentation d'un Réseau Eole +
Présentation d'un Réseau Eole + Le Pourquoi du comment... Comprendre les différents types de documentation fournit avec la solution Eole Plus. Novice Confirmé Expert Version 1.0 Mai 2006 Permission est
Plus en détailProxy et reverse proxy. Serveurs mandataires et relais inverses
Serveurs mandataires et relais inverses Qu'est-ce qu'un proxy? Proxy = mandataire (traduction) Un proxy est un service mandataire pour une application donnée. C'est à dire qu'il sert d'intermédiaire dans
Plus en détail[ Sécurisation des canaux de communication
2014 ISTA HAY RIAD FORMATRICE BENSAJJAY FATIHA OFPPT [ Sécurisation des canaux de communication Protocole IPsec] Table des matières 1. Utilisation du protocole IPsec... 2 2. Modes IPsec... 3 3. Stratégies
Plus en détailLES FONCTIONS DE SURVEILLANCE DES FICHIERS
SYSLOG and APPLICATION LOGS Knowledge Module for PATROL - Data Sheet Version 1.5 Développé par http://www.axivia.com/ PRESENTATION DU PRODUIT SYSLOG and APPLICATION LOGS Knowledge Module for PATROL est
Plus en détailFiche technique: Sécurité des terminaux Symantec Endpoint Protection La nouvelle technologie antivirus de Symantec
La nouvelle technologie antivirus de Symantec Présentation Protection avancée contre les menaces. Symantec Endpoint Protection associe Symantec AntiVirus à la prévention avancée des menaces pour fournir
Plus en détailPrincipes de DHCP. Le mécanisme de délivrance d'une adresse IP à un client DHCP s'effectue en 4 étapes : COMMUTATEUR 1. DHCP DISCOVER 2.
DHCP ET TOPOLOGIES Principes de DHCP Présentation du protocole Sur un réseau TCP/IP, DHCP (Dynamic Host Configuration Protocol) permet d'attribuer automatiquement une adresse IP aux éléments qui en font
Plus en détailACTION PROFESSIONNELLE N 4. Fabien SALAMONE BTS INFORMATIQUE DE GESTION. Option Administrateur de Réseaux. Session 2003. Sécurité du réseau
ACTION PROFESSIONNELLE N 4 Fabien SALAMONE BTS INFORMATIQUE DE GESTION Option Administrateur de Réseaux Session 2003 Sécurité du réseau Firewall : Mandrake MNF Compétences : C 21 C 22 C 23 C 26 C 34 Installer
Plus en détailportnox pour un contrôle amélioré des accès réseau Copyright 2008 Access Layers. Tous droits réservés.
portnox Livre blanc réseau Janvier 2008 Access Layers portnox pour un contrôle amélioré des accès access layers Copyright 2008 Access Layers. Tous droits réservés. Table des matières Introduction 2 Contrôle
Plus en détailSécurité des Postes Clients
HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Sécurité des Postes Clients Table ronde CFSSI Jeudi 29 mars 2007 Benjamin
Plus en détailSÉCURISATION DES CONNEXIONS À DISTANCE SUR LES RÉSEAUX DE CONTRÔLE
PUBLICATION CPA-2011-102-R1 - Mai 2011 SÉCURISATION DES CONNEXIONS À DISTANCE SUR LES RÉSEAUX DE CONTRÔLE Par : François Tremblay, chargé de projet au Centre de production automatisée Introduction À l
Plus en détailProjet : PcAnywhere et Le contrôle à distance.
Projet : PcAnywhere et Le contrôle à distance. PAGE : 1 SOMMAIRE I)Introduction 3 II) Qu'est ce que le contrôle distant? 4 A.Définition... 4 B. Caractéristiques.4 III) A quoi sert le contrôle distant?.5
Plus en détailTopologies et Outils d Alertesd
Topologies et Outils d Alertesd IDS / IDP DEFINITIONS IDS : SDI / Système de détection d intrusion IDP : SPI / Système de protection d intrusion IDS / IDP Statfull matriciels ACTIVITE IDP : Coupe circuit
Plus en détailAlexis Lechervy Université de Caen. M1 Informatique. Réseaux. Filtrage. Bureau S3-203 mailto://alexis.lechervy@unicaen.fr
M1 Informatique Réseaux Filtrage Bureau S3-203 mailto://alexis.lechervy@unicaen.fr Sécurité - introduction Au départ, très peu de sécurité dans les accès réseaux (mots de passe, voyageant en clair) Avec
Plus en détailSymantec Network Access Control
Symantec Network Access Control Conformité totale des terminaux Présentation est une solution de contrôle d'accès complète et globale qui permet de contrôler de manière efficace et sûre l'accès aux réseaux
Plus en détailKASPERSKY SECURITY FOR BUSINESS
KASPERSKY SECURITY FOR BUSINESS IDENTIFIER. CONTRÔLER. PROTÉGER. Guide de migration RENOUVELLEMENTS ET MISES À NIVEAU DES LICENCES : Guide de migration PRÉSENTATION DE LA NOUVELLE GAMME ENDPOINT SECURITY
Plus en détailSécurité des réseaux Les attaques
Sécurité des réseaux Les attaques A. Guermouche A. Guermouche Cours 2 : Les attaques 1 Plan 1. Les attaques? 2. Quelques cas concrets DNS : Failles & dangers 3. honeypot A. Guermouche Cours 2 : Les attaques
Plus en détailSECURIDAY 2012 Pro Edition
SECURINETS CLUB DE LA SECURITE INFORMATIQUE INSAT SECURIDAY 2012 Pro Edition [Application de notification en cas d incident] Roua TOUIHRI (RT3) Nesrine DRIWECH (RT3) Amira ABID(GL3) Chef Atelier : Aymen
Plus en détailSÉCURISEZ LE TRAITEMENT DES PAIEMENTS AVEC KASPERSKY FRAUD PREVENTION. #EnterpriseSec http://www.kaspersky.com/fr/entreprise-securite-it/
SÉCURISEZ LE TRAITEMENT DES PAIEMENTS AVEC KASPERSKY FRAUD PREVENTION #EnterpriseSec http://www.kaspersky.com/fr/entreprise-securite-it/ Aujourd'hui, les clients des banques peuvent effectuer la plupart
Plus en détailCATALOGUE DE FORMATION INTERNET BUREAUTIQUE INFORMATIQUE..::NET-INOV.COM::..
CATALOGUE DE FORMATION INTERNET BUREAUTIQUE INFORMATIQUE..::NET-INOV.COM::.. Chaque formateur est un professionnel capable d identifier vos besoins et d y répondre en mettant en œuvre des solutions déjà
Plus en détailSupplément de renseignements : Examens d applications et pare-feux d applications web clarifiés Normes : Normes en matière de sécurité des données de
Supplément de renseignements : Examens d applications et pare-feux d applications web clarifiés Normes : Normes en matière de sécurité des données de la PCI (PCI DSS) Version : 1.2 Date : Octobre 2008
Plus en détailModule 8. Protection des postes de travail Windows 7
Module 8 Protection des postes de travail Windows 7 Vue d'ensemble du module Vue d'ensemble de la gestion de la sécurité dans Windows 7 Protection d'un ordinateur client Windows 7 en utilisant les paramètres
Plus en détailManuel de l'utilisateur d'intego VirusBarrier Express et VirusBarrier Plus
Manuel de l'utilisateur d'intego VirusBarrier Express et VirusBarrier Plus Bienvenue dans le manuel de l'utilisateur d'intego VirusBarrier Express et VirusBarrier Plus. VirusBarrier Express est un outil
Plus en détailMicrosoft Windows NT Server
Microsoft Windows NT Server Sommaire : INSTALLATION DE WINDOWS NT SERVER... 2 WINNT.EXE OU WINNT32.EXE... 2 PARTITION... 2 FAT OU NTFS... 2 TYPE DE SERVEUR... 2 Contrôleur principal de Domaine (CPD)....
Plus en détailCharte d installation des réseaux sans-fils à l INSA de Lyon
Charte d installation des réseaux sans-fils à l INSA de Lyon Toute installation d un point d accès est soumise à autorisation auprès du Responsable Sécurité des Systèmes d Information (RSSI) de l INSA
Plus en détailFiche d identité produit
Fiche d identité produit Référence DGS-3200-10 Désignation Switch Gigabit Security L2 à 8 ports, avec 2 ports combo SFP Cas de figure d'utilisation Garantie 5 ans Pour les succursales nécessitant un switch
Plus en détailCA ARCserve Backup. Avantages. Vue d'ensemble. Pourquoi choisir CA
DOSSIER SOLUTION : CA ARCSERVE BACKUP R12.5 CA ARCserve Backup CA ARCSERVE BACKUP, LOGICIEL DE PROTECTION DE DONNÉES LEADER DU MARCHÉ, INTÈGRE UNE TECHNOLOGIE DE DÉDUPLICATION DE DONNÉES INNOVANTE, UN
Plus en détailIBM Tivoli Monitoring, version 6.1
Superviser et administrer à partir d une unique console l ensemble de vos ressources, plates-formes et applications. IBM Tivoli Monitoring, version 6.1 Points forts! Surveillez de façon proactive les éléments
Plus en détailLes botnets: Le côté obscur de l'informatique dans le cloud
Les botnets: Le côté obscur de l'informatique dans le cloud Par Angelo Comazzetto, Senior Product Manager Les botnets représentent une sérieuse menace pour votre réseau, vos activités, vos partenaires
Plus en détailLa sécurité dans un réseau Wi-Fi
La sécurité dans un réseau Wi-Fi Par Valérian CASTEL. Sommaire - Introduction : Le Wi-Fi, c est quoi? - Réseau ad hoc, réseau infrastructure, quelles différences? - Cryptage WEP - Cryptage WPA, WPA2 -
Plus en détailPACK SKeeper Multi = 1 SKeeper et des SKubes
PACK SKeeper Multi = 1 SKeeper et des SKubes De plus en plus, les entreprises ont besoin de communiquer en toute sécurité avec leurs itinérants, leurs agences et leurs clients via Internet. Grâce au Pack
Plus en détailLes risques HERVE SCHAUER HSC
HERVE SCHAUER HSC Les risques Les risques ne cessent d'augmenter: Informatisation systématique de l'ensemble de la société Ouverture des systèmes d'information sur Internet Démultiplication de ce qui est
Plus en détailTP Wireshark. Première approche de Wireshark. 1 ) Lancer Wireshark (double clic sur l icône sur le bureau). La fenêtre
TP Wireshark Wireshark est un analyseur de protocole réseau. Il permet de visualiser et de capturer les trames, les paquets de différents protocoles réseau, filaire ou pas. Le site originel est à http://www.wireshark.org/.
Plus en détailLa sécurité périmètrique multi-niveaux. Un white paper de Daniel Fages CTO ARKOON Network Security dfages@arkoon.net
La sécurité périmètrique multi-niveaux Un white paper de Daniel Fages CTO ARKOON Network Security dfages@arkoon.net SOMMAIRE Ce document a pour objectif de décrire les différents types de risques liés
Plus en détailLaboratoire de Haute Sécurité. Télescope réseau et sécurité des réseaux
Laboratoire de Haute Sécurité Télescope réseau et sécurité des réseaux Frédéric Beck (SED) & Olivier Festor (Madynes) CLUSIR Est - 15 Décembre 2011 Inria : Institut de recherche en sciences du numérique
Plus en détail7.1.2 Normes des réseaux locaux sans fil
Chapitre 7 7.1.2 Normes des réseaux locaux sans fil Quelles sont les deux conditions qui poussent à préférer la norme 802.11g à la norme 802.11a? (Choisissez deux réponses.) La portée de la norme 802.11a
Plus en détailSOLUTIONS DE SECURITE DU DOCUMENT DES SOLUTIONS EPROUVEES POUR UNE SECURITE SANS FAILLE DE VOTRE SYSTEME MULTIFONCTIONS SHARP DOCUMENT SOLUTIONS
SOLUTIONS DE SECURITE DU DOCUMENT DES SOLUTIONS EPROUVEES POUR UNE SECURITE SANS FAILLE DE VOTRE SYSTEME MULTIFONCTIONS SHARP DOCUMENT SOLUTIONS DES RESEAUX D ENTREPRISE SO Une sécurité réseau déficiente
Plus en détailCHAPITRE 3 : INTERVENTIONS SUR INCIDENTS
CHAPITRE 3 : INTERVENTIONS SUR INCIDENTS CINQ RECOMMANDATIONS ESSENTIELLES 1 CINQ RECOMMANDATIONS ESSENTIELLES CINQ RECOMMANDATIONS ESSENTIELLES BASÉES SUR UNE ANALYSE DES INCIDENTS OBSERVÉS En 2014, le
Plus en détailPPE 2-1 Support Systeme. Partie Support Système
PPE 2-1 Support Systeme Partie Support Système Sébastien MASSON 24/04/2013 0 Sommaire 1. DMZ 2 2. Serveurs Web 3 3. Logiciel d'inventaire 6 1 1. DMZ (Zone démilitarisée) Une DMZ est une zone tampon d'un
Plus en détailIBM Tivoli Compliance Insight Manager
Simplifier les audits sur la sécurité et surveiller les activités des utilisateurs privilégiés au moyen d un tableau de bord permettant de contrôler la conformité aux exigences de sécurité IBM Points forts
Plus en détailUSERGATE PROXY & FIREWALL. Protection exhaustive de réseau corporate, optimisation de trafic Internet, administration flexible
USERGATE PROXY & FIREWALL Protection exhaustive de réseau corporate, optimisation de trafic Internet, administration flexible ÉVENTAIL DES UTILISATIONS Internet représente une part significative des affaires
Plus en détailProtection exhaustive de réseau corporate, optimisation de trafic Internet, administration flexible
Protection exhaustive de réseau corporate, optimisation de trafic Internet, administration flexible ÉVENTAIL DES UTILISATIONS Internet représente une part significative des affaires aujourd'hui. L'utilisation
Plus en détailNOMADES ET SMARTPHONES EN ENTREPRISE EN TOUTE SÉCURITÉ PAR BERTRAND THOMAS ET JULIEN COULET
Introduction aux solutions de Mobile Device Management NOMADES ET SMARTPHONES EN ENTREPRISE EN TOUTE SÉCURITÉ PAR BERTRAND THOMAS ET JULIEN COULET QUELQUES CHIFFRES Mi 2011, 77% de la population mondiale
Plus en détailInstallation d un serveur DHCP sous Gnu/Linux
ROYAUME DU MAROC Office de la Formation Professionnelle et de la Promotion du Travail Installation d un serveur DHCP sous Gnu/Linux DIRECTION RECHERCHE ET INGENIERIE DE FORMATION SECTEUR NTIC Installation
Plus en détailSécurisation du réseau
Sécurisation du réseau La sécurisation du réseau d entreprise est également une étape primordiale à la sécurisation générale de votre infrastructure. Cette partie a pour but de présenter les fonctionnalités
Plus en détailDr.Web Les Fonctionnalités
Dr.Web Les Fonctionnalités Sommaire Poste de Travail... 2 Windows... 2 Antivirus pour Windows... 2 Security Space... 2 Linux... 3 Mac OS X... 3 Entreprise... 3 Entreprise Suite - Complète... 3 Entreprise
Plus en détail10 problèmes de réseau courants que PRTG Network Monitor vous aide à résoudre
10 problèmes de réseau courants que PRTG Network Monitor vous aide à résoudre Livre Blanc Auteur : Gerald Schoch, Rédacteur technique, Paessler AG Publication : septembre 2013 PAGE 1 SUR 9 Sommaire Introduction...
Plus en détailISEC. Codes malveillants
ISEC s malveillants Jean Leneutre jean.leneutre@telecom-paristech.fr Bureau C234-4 Tél.: 01 45 81 78 81 INF721, 2011-12. Page 1 q malveillant («malware» ou «rogue program») Ensemble d instruction permettant
Plus en détailAssistance à distance sous Windows
Bureau à distance Assistance à distance sous Windows Le bureau à distance est la meilleure solution pour prendre le contrôle à distance de son PC à la maison depuis son PC au bureau, ou inversement. Mais
Plus en détailLANDPARK NETWORK IP LANDPARK NETWORK IP VOUS PERMET D'INVENTORIER FACILEMENT VOS POSTES EN RÉSEAU
LANDPARK NETWORK IP Avril 2014 LANDPARK NETWORK IP VOUS PERMET D'INVENTORIER FACILEMENT VOS POSTES EN RÉSEAU Landpark NetworkIP est composé de trois modules : Un module Serveur, que l'on installe sur n'importe
Plus en détailA. Sécuriser les informations sensibles contre la disparition
Compétence D1.2 II - : Sécuriser son espace de travail local et distant II Sécuriser les informations sensibles contre la disparition 23 Assurer la protection contre les virus 24 A. Sécuriser les informations
Plus en détailLA SÉCURITÉ RÉINVENTÉE
LA SÉCURITÉ RÉINVENTÉE FireEye Network Threat Prevention Platform Plate-forme de prévention des cyberattaques lancées via le Web F I C H E P R O D U I T LA SÉCURITÉ RÉINVENTÉE POINTS FORTS Déploiement
Plus en détailLe rôle Serveur NPS et Protection d accès réseau
Le rôle Serveur NPS et Protection d accès réseau 1 Vue d'ensemble du module Installation et configuration d'un serveur NPS Configuration de clients et de serveurs RADIUS Méthodes d'authentification NPS
Plus en détailTutoriel sur Retina Network Security Scanner
Département de Mathématiques Informatique Master 2 RIP filière «Réseaux» Cours «Sécurité des réseaux et des contenus multimédia» Responsable du module : Mr Osman SALEM Tutoriel sur Retina Network Security
Plus en détailInstallation d'un serveur DHCP sous Windows 2000 Serveur
Installation d'un serveur DHCP sous Windows 2000 Serveur Un serveur DHCP permet d'assigner des adresses IP à des ordinateurs clients du réseau. Grâce à un protocole DHCP (Dynamic Host Configuration Protocol),
Plus en détailRapport de certification ANSSI-CSPN-2011/14. Fonctionnalités de pare-feu de StoneGate Firewall/VPN 5.2.4 build 8069
PREM IE R M IN IS T R E Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information Rapport de certification ANSSI-CSPN-2011/14 Fonctionnalités
Plus en détailFirewall Net Integrator Vue d ensemble
Net Integration Technologies, Inc. http://www.net-itech.com Julius Network Solutions http://www.julius.fr Firewall Net Integrator Vue d ensemble Version 1.00 TABLE DES MATIERES 1 INTRODUCTION... 3 2 ARCHITECTURE
Plus en détailGUIDE DE L UTILISATEUR Recoveo Récupérateur de données
Table d index : 1. Généralités 1 2. Installation du logiciel 2 3. Suppression du logiciel 2 4. Activation du logiciel 3 5. Récupération de données perdues 4 6. Interprétation du résultat 6 7. Enregistrement
Plus en détailCours n 12. Technologies WAN 2nd partie
Cours n 12 Technologies WAN 2nd partie 1 Sommaire Aperçu des technologies WAN Technologies WAN Conception d un WAN 2 Lignes Louées Lorsque des connexions dédiées permanentes sont nécessaires, des lignes
Plus en détailRéseaux CPL par la pratique
Réseaux CPL par la pratique X a v i e r C a r c e l l e A v e c l a c o n t r i b u t i o n d e D a v o r M a l e s e t G u y P u j o l l e, e t l a c o l l a b o r a t i o n d e O l i v i e r S a l v
Plus en détailSurveiller et contrôler vos applications à travers le Web
Surveiller et contrôler vos applications à travers le Web Valérie HELLEQUIN Ingénieur d application Internet permet aujourd hui la diffusion d informations et de ressources que chaque utilisateur peut
Plus en détail