Академический Документы
Профессиональный Документы
Культура Документы
Prsentation de la plateforme IDS Prelude. IDS hybride 2006 Yoann Vandoorselaere, yoann.v@prelude-ids.com
Prsentation de la plateforme IDS Prelude
Systme de Dtection
d'Intrusion Hybride
P r e l u d e I D S t e c h n o l o g i e s
Prsentation de la plateforme IDS Prelude. IDS hybride 2006 Yoann Vandoorselaere, yoann.v@prelude-ids.com
> Dfinition
Un Systme de Dtection d'Intrusion (ou IDS : Intrusion Detection
System) est un mcanisme destin reprer des activits anormales ou
suspectes sur la cible analyse (un rseau ou un hte). Il permet ainsi
d'avoir une action de prvention sur les risques d'intrusion. Wikipedia
dun moteur qui ralise l'analyse du trafic afin de dtecter des signatures
d'attaques ou les divergences face une politique de rfrence.
> Avantage des NIDS
Complexit du dploiement
> IDS > HIDS
P r e l u d e I D S t e c h n o l o g i e s
Prsentation de la plateforme IDS Prelude. IDS hybride 2006 Yoann Vandoorselaere, yoann.v@prelude-ids.com
> IDS > IDS Hybride
> NIDS ou HIDS : Imparfait, mais complmentaire !
Pour amliorer la scurit des infrastructures, il est apparu
ncessaire de regrouper le traitement des informations en
provenance des NIDS (rseau) et des HIDS (machines) afin de tirer
partie des deux types de dtection d'intrusion la fois.
> Naissance de l'IDS Hybride ( la fois NIDS & HIDS)
Correlation d'vnements
Scanner de vulnrabilits
Etc.
> Plateforme IDS
Prelude est un Systme de Dtection d'Intrusion autonome qui administre
aussi, de faon centralise, lensemble du dispositif de scurit quel que
soit le nombre de composants, leur marque ou leur licence.
P r e l u d e I D S t e c h n o l o g i e s
Prsentation de la plateforme IDS Prelude. IDS hybride 2006 Yoann Vandoorselaere, yoann.v@prelude-ids.com
> IDS > IDS Hybride > Prelude IDS > Systme modulaire et distribu
> Composants du systme
Snort est un NIDS dont l'analyse est base sur des signatures ;
c
u
rit
a
la
p
o
s
s
ib
ilit
d
'e
x
p
o
rte
r
le
s
l
m
e
n
ts
q
u
'il
d
te
c
te
d
a
n
s
le
s
y
s
t
m
e
P
re
lu
d
e
.
Nepenthes est une solution pour dtecter et collecter les vers et autres
malwares (virus, spyware, cheval de trois, etc) se propageant sur
diffrents systmes
Scan
PaX
etc.
= 'Prelude-acct'
'Prelude-acct' :
Sonde imagine pour l'occasion permettant de surveiller l'utilisation de commandes
sensibles, telles que /ps, w, who, id,/ en fonction des horaires habituels d'utilisation.
Scan et Shellcode
dtcts par le NIDS
Dtection de l'exploitation
par PaX
Utilisation du systme
Effacement de logs
Dtection d'utilisation de
commandes sensibles
une heure inhabituelle
Rapports sur la
modification des
journaux systmes
Centralisation
P r e l u d e I D S t e c h n o l o g i e s
Prsentation de la plateforme IDS Prelude. IDS hybride 2006 Yoann Vandoorselaere, yoann.v@prelude-ids.com
> Conclusions
Snort : http://www.snort.org
Samhain : http://la-samhna.de/samhain/
Nessus : http://www.nessus.org
Nepenthes : http://nepenthes.mwcollect.org
Sancp : http://www.metre.net/sancp.html
> IDS > Liens
Merci pour votre
attention...