IDS - Prévention des Intrusions. Pascal FERNANDEZ

Documents pareils
Sophos Computer Security Scan Guide de démarrage

Nmap (Network Mapper) Outil d exploration réseau et scanneur de ports/sécurité

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant.

Firewall. Souvent les routeurs incluent une fonction firewall qui permet une première sécurité pour le réseau.

FILTRAGE de PAQUETS NetFilter

Netfilter & Iptables. Théorie Firewall. Autoriser le trafic entrant d'une connexion déjà établie. Permettre le trafic entrant sur un port spécifique

THEGREENBOW FIREWALL DISTRIBUE TGB::BOB! Pro. Spécifications techniques

Administration réseau Firewall

pare - feu généralités et iptables

VoIP Sniffing IHSEN BEN SALAH (GL 3) MAHMOUD MAHDI (GL 3) MARIEM JBELI (RT 2) SAFA GALLAH (RT 3) SALAH KHEMIRI (RT 3) YOUSSEF BEN DHIAF (GL 3)

Sécuriser son réseau. Sécuriser son réseau Philippe Weill (IPSL/LATMOS) Frédéric Bongat (SSI/GOUV/FR)

Annexe 5. Kaspersky Security For SharePoint Servers. Consulting Team

USERGATE PROXY & FIREWALL. Protection exhaustive de réseau corporate, optimisation de trafic Internet, administration flexible

Internet - Outils. Nicolas Delestre. À partir des cours Outils réseaux de Paul Tavernier et Nicolas Prunier

Sécurité des réseaux Les attaques

Protection exhaustive de réseau corporate, optimisation de trafic Internet, administration flexible

Outils d'analyse de la sécurité des réseaux. HADJALI Anis VESA Vlad

Université Pierre Mendès France U.F.R. Sciences de l Homme et de la Société Master IC²A. TP réseau firewall

TR2 : Technologies de l'internet. Chapitre VI. NAT statique et dynamique Overloading (PAT) Overlapping, port Forwarding Serveur Proxy, DMZ

Sécurité des réseaux Firewalls

Intérêt du NAT (Network Address Translation) Administration Réseau Niveau routage. Exemple d Intranet. Principe NAT

Cours de sécurité. Pare-feux ( Firewalls ) Gérard Florin -CNAM - - Laboratoire CEDRIC -

Figure 1a. Réseau intranet avec pare feu et NAT.

Module 8. Protection des postes de travail Windows 7

Alexis Lechervy Université de Caen. M1 Informatique. Réseaux. Filtrage. Bureau S3-203

Résolution des problèmes de connexion XDMCP aux hôtes UNIX et Linux

Oléane VPN : Les nouvelles fonctions de gestion de réseaux. Orange Business Services

VoIP et "NAT" VoIP et "NAT" 1/ La Traduction d'adresse réseau. 1/ La traduction d'adresse réseau. 1/ La traduction d'adresse réseau

Annexe 1. Protection des systèmes. Consulting Team. K A S P E R S K Y L A B Immeuble l Européen 2, rue Joseph Monier Rueil Malmaison Cedex

Procédure d utilisation et de paramétrage (filtrage) avec IPFIRE

PACK SKeeper Multi = 1 SKeeper et des SKubes

Fonctionnement Kiwi Syslog + WhatsUP Gold

Filtrage IP MacOS X, Windows NT/2000/XP et Unix

CONFIGURATION FIREWALL

Nouveautés d Outpost Firewall Pro 2008

Réseaux. Moyens de sécurisation. Plan. Evolutions topologiques des réseaux locaux

TP 1 : LES COMMANDES RESEAUX Matière: RESEAUX LOCAUX

AUTORISER LES PARTAGES RESEAUX ET IMPRIMANTE SOUS L'ANTIVIRUS FIREWALL PRO V1

Sécurité GNU/Linux. Iptables : passerelle

OPTENET Security Suite / OPTENET PC Web Filter

LINUX - Sécurité. Déroulé de l'action. - 3 jours - Contenu de formation

Le Protocole DHCP. Définition. Références. Fonctionnement. Les baux

Fiche Technique. Cisco Security Agent

Raccordement desmachines Windows 7 à SCRIBE

Test d un système de détection d intrusions réseaux (NIDS)

Réseau : Interconnexion de réseaux, routage et application de règles de filtrage.

Présentation du ResEl

PROTECTION DES PÉRIPHÉRIQUES MOBILES ET GESTION DE FLOTTE MOBILE (Kaspersky MDM licence Advanced)

Stéphanie Lacerte. Document technique. Connextek. 31 mai Cloudtel

Guide SQL Server 2008 pour HYSAS

RAPPORT DE PROJET Script d analyse d un fichier log

LANDPARK NETWORK IP LANDPARK NETWORK IP VOUS PERMET D'INVENTORIER FACILEMENT VOS POSTES EN RÉSEAU

L outil Nmap-Stateful. Olivier Courtay Thomson R&D / IRISA

ENDPOINT SECURITY FOR MAC BY BITDEFENDER

Devoir Surveillé de Sécurité des Réseaux

Formation Iptables : Correction TP

Le rôle Serveur NPS et Protection d accès réseau

TP Linux : Firewall. Conditions de réalisation : travail en binôme. Fonctionnement du parefeu Netfilter. I Qu est ce qu'un firewall?

Les menaces informatiques

Sécurité d IPv6. Sécurité d IPv6. Stéphane Bortzmeyer AFNIC bortzmeyer@nic.fr. Stéphane Bortzmeyer AFNIC bortzmeyer@nic.fr

(In)sécurité de la Voix sur IP [VoIP]

DHCP et NAT. Cyril Rabat Master 2 ASR - Info Architecture des réseaux d entreprise

Proxy et reverse proxy. Serveurs mandataires et relais inverses

Une nouvelle approche globale de la sécurité des réseaux d entreprises

Sécurité et Firewall

Protocoles réseaux. Abréviation de Binary Digit. C'est la plus petite unité d'information (0, 1).

Firewall IDS Architecture. Assurer le contrôle des connexions au. Sécurité 1

SOPHOS - Endpoint Security and Control.doc

NETTOYER ET SECURISER SON PC

Critères d évaluation pour les pare-feu nouvelle génération

PRÉVENIR L EXPLOITATION DES FAILLES DE SÉCURITÉ RECHERCHE MONDIALE SUR LA SÉCURITÉ INFORMATIQUE

Symantec Protection Suite Enterprise Edition Protection éprouvée pour les terminaux, la messagerie et les environnements Web

DIGITAL NETWORK. Le Idle Host Scan

MANUEL DE DEPLOIEMENT

Configurer le pare-feu de Windows XP SP2 pour WinReporter

MAUREY SIMON PICARD FABIEN LP SARI

ATELIER NETFILTER : LE FIREWALL LINUX EN ACTION

Le Tunneling DNS. P.Bienaimé X.Delot P.Mazon K.Tagourti A.Yahi A.Zerrouki. Université de Rouen - M2SSI. 24 février 2011

Backup Exec 2014 Management Pack for Microsoft SCOM. - Guide de l'utilisateur

Module de sécurité Antivirus, anti-spam, anti-phishing,

Menaces et sécurité préventive

KASPERSKY SECURITY FOR BUSINESS

Fonctionnement de Iptables. Exercices sécurité. Exercice 1

Cisco Certified Network Associate

Plan. École Supérieure d Économie Électronique. Plan. Chap 9: Composants et systèmes de sécurité. Rhouma Rhouma. 21 Juillet 2014

Les ACL Cisco. F. Nolot Master 2 Professionnel STIC-Informatique 1

TCP/IP, NAT/PAT et Firewall

Surveillance stratégique des programmes malveillants avec Nessus, PVS et LCE

La sécurité périmètrique multi-niveaux. Un white paper de Daniel Fages CTO ARKOON Network Security

Licence 3 Systèmes et Réseaux II. Chapitre V : Filtrage

Aperçu de l'activité virale : Janvier 2011

Outils et applications multicast

Fiche technique: Sécurité des terminaux Symantec Endpoint Protection La nouvelle technologie antivirus de Symantec

Le filtrage de niveau IP

D. Déploiement par le réseau

Haka : un langage orienté réseaux et sécurité

POUR MAC Guide de démarrage rapide. Cliquez ici pour télécharger la version la plus récente de ce document

[ Sécurisation des canaux de communication

Transcription:

IDS - Prévention des Intrusions Pascal FERNANDEZ Avril 2016

1. Fonctionnement des modules Pare-Feu et Détection des Intrusions (IDS) : Afin de protéger votre travail sur les réseaux locaux et sur Internet, Kaspersky Endpoint Security 10 vous propose un composant spécial : Anti-Hacker. Ce composant de type Stateful Inspection protège votre ordinateur au niveau du réseau (support IPv4 et IPv6) et au niveau des applications et rend votre machine invisible sur le réseau, ce qui permet de déjouer les attaques. Voici une présentation du fonctionnement de la protection réseau. La protection au niveau du réseau est garantie grâce à l'utilisation de règles globales pour les paquets du réseau qui, suite à l'analyse de paramètres tels que le sens de circulation des paquets, le protocole de transfert, le port d'envoi et de réception du paquet, autorise ou interdit l'activité de réseau. Les règles pour les paquets définissent l'accès au réseau quelles que soient les applications installées sur votre ordinateur qui utilisent le réseau. 1

En plus des règles pour les paquets, la protection au niveau du réseau est garantie par le sous-système d'identification des intrusions (IDS). La tâche de ce sous-système consiste à analyser les connexions entrantes, définir les balayages des ports de l'ordinateur et à filtrer les paquets de réseaux envoyés pour exploiter une vulnérabilité logicielle. Dès que le sous-système d'identification des intrusions s'active, toutes les connexions entrantes émanant de l'ordinateur attaquant seront bloquées pendant une durée déterminée et l'utilisateur sera averti de la tentative d'attaque menée contre son ordinateur. Le fonctionnement du sous-système de détection des intrusions repose sur l'utilisation pendant l'analyse d'une base spéciale de signatures d'attaques régulièrement enrichie par nos experts et mise à jour en même temps que les signatures des menaces. L'administrateur peut définir des exclusions sur des listes d'adresses IP afin d'éviter le contrôle IDS. 2

La protection au niveau des applications est garantie grâce à l'application de règles d'utilisation des ressources de réseau pour les applications installées sur l'ordinateur. À l'instar de la protection au niveau du réseau, la protection au niveau des applications repose sur l'analyse des paquets de réseau du point de vue du sens de circulation des paquets, du type de protocole de transfert, du port utilisé. Cependant, au niveau de l'application non seulement les caractéristiques du paquet sont prises en compte, mais également l'application concrète à laquelle le paquet est destiné ou qui a initialisé l'envoi de ce paquet. Il est à noter que notre module de protection IDS protège uniquement des attaques réseaux exploitant une vulnérabilité du système d exploitation ou des applications cibles (vers réseaux ) et non d attaques de types DDoS qui ne sont pas dans le scope de ce composant de protection. 3

L'utilisation de règles pour les applications permet une configuration plus fine de la protection, par exemple lorsqu un type de connexion est interdit pour certaines applications et autorisé pour d'autres. 4

2. Blocage des attaques basées sur le protocole TCP : En cas de détection d'une tentative d'attaque réseau contre l'ordinateur de l'utilisateur, Kaspersky Endpoint Security bloquera par défaut l'activité réseau de l'ordinateur attaquant. Un message vous avertit après qu'une tentative d'attaque réseau a été effectuée et vous fournit des informations relatives à l'ordinateur à l'origine de l'attaque. Attaques réseau utilisant le protocole TCP : Intrusion.Win.LSASS.ASN1-kill-bill.exploit Intrusion.Win.DCOM.exploit Intrusion.Win.NETAPI.buffer-overflow.exploit Intrusion.Win.MSSQL.worm Les paquets provenant de ces types d attaques seront détectés puis refusés ainsi que l ordinateur attaquant bloqué si l option de blocage de l ordinateur est activée dans la stratégie de protection. 5

Exceptions : TCP.Generic.SynFLOOD : Les paquets provenant d une attaque «TCP.Generic.SynFlood» sont détectés et refusés sans avertir l émetteur (DROP). Dans ce type d attaque TCP.Generic.SynFlood par exemple, des requêtes de type "TCP SYN Flooding" ("SYN flag over TCP") sont envoyées dépassant plus de 300 requêtes en l'espace de 5 secondes. TCP.Scan.Generic : L attaque «TCP.Scan.Generic» n est pas fondamentalement considérée comme une vraie attaque, mais plus comme du scan de ports, les paquets sont donc détectés, mais non refusés. Bruteforce.Generic.RDP : Les paquets provenant d une attaque «Bruteforce.Generic.RDP» sont détectés, mais non refusés. Les ordinateurs attaquants ne seront jamais bloqués dans ces trois types d attaques réseau, et ce même si l option de blocage de l ordinateur est activée dans la stratégie de protection. Ceci pour la simple raison que ce genre de paquets circulent largement dans les réseaux d'entreprise et peuvent être diffusés par des logiciels et matériels tout à fait légitimes. 6

Simulation d une attaque réseau : Vous pouvez reproduire une attaque réseau basée sur TCPv4 par exemple par le biais de notre outil kltps ou de l utilitaire Nmap par exemple, via les commandes suivantes : kltps -4 t <host> <port> Intense scan, all TCP ports : nmap p 1-65535 T4 A v <@IP> 7

3. Blocage des attaques basées sur le protocole UDP : Scan.Generic.UDP DOS.Generic.FLOOD Tous les paquets provenant d attaques basées sur le protocole UDP seront détectés puis refusés par le module de protection IDS, mais en aucun cas l ordinateur attaquant ne sera banni, et ce même si l option de blocage de l ordinateur est activée dans la stratégie de protection. Raison : Un hacker peut être en mesure de compiler un paquet UDP en y spécifiant l IP d un composant réseau tel que le Routeur par exemple. Cela aurait ainsi pour impact une détection de l IDS et un blocage de l IP de ce routeur. Cela dit, cela tous les paquets UDP disposant d une signature Malware seront bien refusés. (DROP) 8 Les notifications apparaitront pour tous les paquets interceptés (en cas d attaques massives, certaines notifications peuvent ne pas être loguées afin d éviter le flood d évènements).

Simulation d une attaque réseau : Vous pouvez reproduire une attaque réseau basée sur UDP par exemple par le biais de notre outil Kltps ou de l utilitaire Nmap par exemple, via les commandes suivantes : kltps -4 u <host> <port> Intense scan plus UDP : nmap ss su T4 A v <@IP> 9

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back