Mbaitibet Togbé IDS Et IPS Corrigé

UNIVERSITE DE MAROUA THE UNIVERSITY OF MAROUA
**** ****
ECOLE NATIONALE SUPERIEURE NATIONAL ADVANCED SCHOOL OF
POLYTECHNIQUE ENGENEERING
**** ****
DEPARTEMENT D’INFORMATIQUE DEPARTMENT OF COMPUTER
ET DES TELECOMMUNICATIONS SCIENCE AND
**** TELECOMMUNICATIONS
****
INFORMATIQUE ET TELECOMMUNICATIONS
ETUDE ET MISE EN PLACE D’UN SYSTEME DE

DETECTION/PREVENTION D’INTRUSION
(IDS/IPS) RESEAUX
Mémoire présenté et soutenu en vue de l’obtention du Diplôme d’INGENIEUR DES
TRAVAUX EN SECURITE ET ADMINISTRATION RESEAUX
Par
MBAITIBET TOGBE
Technicien Supérieur en Télécommunications

Matricule : 17Y217P
Sous la Direction de
M. TERDAM VALENTIN
Assistant
Devant le jury composé de :
Président : Dr. HAYATOU OUMAROU
Rapporteur : M. TERDAM VALENTIN
Examinateur : Dr. HAYATOU OUMAROU
Invité : M. ADAM ABBA ABAÏCHO
Année Académique 2017/2018

Etude et mise en place d’un système de détection/prévention d’intrusion réseaux
DEDICACE
Je dédie ce
travail à la
famille Mbaitibet
Naguerim Jérôme
Mbaitibet Togbé i
2017/2018
REMERCIEMENTS
N’eut été le concours de certaines personnes, ce travail ne pourrait voir le jour et nous
voulons leur exprimer toutes notre reconnaissance sans distinction.
Mes remerciements vont à l’endroit de :
Dr AYATOU OUMAROU le président de séance d’avoir accepté de présider notre

présentation ;
Dr. AYATOU OUMAROU l’examinateur d’avoir accepté de juger ce travail ;
M. TERDAM VALENTIN notre encadreur académique pour l’intérêt accordé à ce

travail en nous lisant tout en nous prodiguant des conseils pour l’aboutissement de ce
mémoire.
Tout le personnel de la Cameroon Telecommunication en particulièrement à M. ADAM

ABBA ABAÏCHO notre encadreur professionnel pour sa disponibilité, son
encouragement et son soutien indéfectible lors de notre stage et de l’élaboration de ce
rapport ;
Tous les enseignants de l’Ecole Nationale Supérieure Polytechnique de l’université de

Maroua. En particulier au département d’Informatique et Télécommunications pour les
cours dispensés et les conseils prodigués tout au long de l’année ;
Mes remerciements vont aussi à l’endroit de :
Mon père MBAITIBET NAGUERIM JEROME pour son soutien sans faille et ses
orientations ;
Ma mère NDOUBA NADJIDOUMNAN YVETTE qui ne cesse de m’encourager et

prier pour ma réussite ;
Ma tutrice MARIAM NATABE n’étant plus dans ce monde mais qui reste graver dans
ma mémoire pour son amour et soutien sans condition durant mes cinq dernières années
avec elle ;
Mes frères et sœurs qui, de jours en jours ne cessent de me soutenir dans la prière et me
portent dans leur cœur ;
Mes condisciples de classe pour leur soutien tout au long de l’année.
Tous ceux qui, de loin ou de prêt ont contribué pour la réussite de ce travail, qu’ils
trouvent ici l’expression de mon profond respect.
Mbaitibet Togbé ii
2017/2018
TABLE DE MATIERE
DEDICACE.................................................................................................................................................. i
REMERCIEMENTS .....................................................................................................................................ii
TABLE DE MATIERE ..................................................................................................................................iii
LISTE DES SIGLES ET ABREVIATIONS ........................................................................................................ vi
RESUME ................................................................................................................................................. viii
ABSTRACT ................................................................................................................................................ ix
LISTE DES TABLEAUX ................................................................................................................................x
LISTE DES FIGURES ET ILLUSTRATIONS .................................................................................................... xi
INTRODUCTION GENERALE ..................................................................................................................... 1
CHAPITRE I : CONTEXTE ET PROBLEMATIQUE ......................................................................................... 2
INTRODUCTION ....................................................................................................................................... 2
I. LA CAMEROON TELECOMMUNICATION.......................................................................................... 2
I. 1. OBJECTIFS DE CAMTEL .................................................................................................................. 2
I.2. REALISATIONS ET INFRASTRUCTURES ........................................................................................... 3
I.3. ORGANISATION DE CAMTEL .......................................................................................................... 3
I.3.1- CAMTEL MAROUA ...................................................................................................................... 5
I.4. CONTEXTE ET PROBLEMATIQUE.................................................................................................... 6
I.4.1- CONTEXTE............................................................................................................................... 6
I.4.2- PROBLEMATIQUE ................................................................................................................... 6
I.5. METHODOLOGIE............................................................................................................................ 6
I.6. OBJECTIF........................................................................................................................................ 7
CONCLUSION ........................................................................................................................................... 7
CHAPITRE II : ETUDE DES SYSTEMES DE DETECTIONS/PREVENTIONS D’INTRUSION RESEAUX, ET
GENERALITE SUR LES ATTAQUES RESEAUX. ............................................................................................ 8
I. GENERALITE SUR LES ATTAQUES RESEAUX. ................................................................. 8
INTRODUCTION ................................................................................................................................... 8
I.1. La sécurité réseau .......................................................................................................................... 8
I.1.1- Sécurité au niveau physique .................................................................................................. 8
I.1.2- Sécurité au niveau logique ..................................................................................................... 8
I.1.3- Sécurité au niveau réseau ...................................................................................................... 9
I.2. Failles dans la Sécurité des Réseaux............................................................................................ 10
I.2.1- Failles actives........................................................................................................................ 11
I.2.2- Failles Passives ..................................................................................................................... 11
I.3. Définition d'une Intrusion Réseau ............................................................................................... 11
I.4. Quelques Techniques d'intrusion ............................................................................................ 12
I.4.1- Les Attaques ....................................................................................................................... 12
1. Attaques passives ..................................................................................................................... 12
2. Attaques actives ........................................................................................................................ 12
Mbaitibet Togbé iii

2017/2018
I.4.2- Attaques ciblant l'infrastructure réseau............................................................................. 12

1. Ping flood (ou ICMP flood) ........................................................................................................ 12
2. Attaque de type "smurf" ........................................................................................................... 12
3. Usurpation d'identité ................................................................................................................ 13
4. Attaque de mot de passe.......................................................................................................... 13
5. Attaques ciblant l'application serveur ....................................................................................... 13
6. Attaques ciblant les couches applicatives du serveur ............................................................... 13
7. Débordement de mémoire tampon, heap ou pile .................................................................... 13
8. Exploit ........................................................................................................................................ 13
9. Attaques ciblant les utilisateurs finaux ..................................................................................... 14
10. Hameçonnage........................................................................................................................ 14
11. Attaque par approche ........................................................................................................... 14
12. Les virus ................................................................................................................................. 14
I.5. Présentation de quelques outils d’intrusion ............................................................................. 15
I.5.1- Les outils passifs .................................................................................................................. 15
1. Nmap ......................................................................................................................................... 16
2. Wireshark .................................................................................................................................. 17
I.5.2- Les Outils Actifs .................................................................................................................... 17
1. Ping ........................................................................................................................................... 17
2. Telnet et ssh.............................................................................................................................. 18
II. ETUDE DES SYSTEMES DE DETECTIONS/PREVENTIONS D’INTRUSION
RESEAUX ............................................................................................................................................ 18
INTRODUCTION ..................................................................................................................................... 18
II.1. Principes de fonctionnement des IDS ........................................................................................ 19
II.1.1- Méthodes de détection des IDS .......................................................................................... 19
1. Approche par scénario ou par signature ............................................................................... 19
1.1. La recherche des motifs : Pattern-Matching ................................................................ 19
1.2. Recherche de motifs dynamiques ................................................................................... 20
1.3. Analyse de protocoles ...................................................................................................... 20
1.4. Analyse heuristique et détection d'anomalies ............................................................... 20
2. L’approche comportementale (Anomaly Detection) ............................................................ 21
3. Approche probabiliste ............................................................................................................. 21
4. Approche statistique................................................................................................................ 22
II.2. Architecture des IDS ................................................................................................................... 22
II.3. Différents Types IDS ................................................................................................................... 23
II.4. Les IPS ......................................................................................................................................... 24
II.5. Les Firewalls................................................................................................................................ 25
Mbaitibet Togbé iv
2017/2018
II.6. Critères de choix d’un IDS .......................................................................................................... 26

II.7. Choix de la position d’un IDS ...................................................................................................... 27
II.8 Exemple des IDS ......................................................................................................................... 28
1. BlackICE PC Protection ......................................................................................................... 28
2. Symantec Endpoint Protection (SEP) .................................................................................... 28
3. Nessus ....................................................................................................................................... 29
4. Snort ......................................................................................................................................... 29
5. Bro ............................................................................................................................................ 29
II.9. Limite des IDS ............................................................................................................................. 30
1. Du point de vue technique ...................................................................................................... 30
2. Du point de vue humain .......................................................................................................... 30
3. Les comportements fautifs ...................................................................................................... 30
4. Les connaissances en sécurité ................................................................................................. 30
5. Le positionnement des sondes................................................................................................. 31
6. La plateforme........................................................................................................................... 31
II.10- Raison du choix de l’IDS/IPS SNORT ......................................................................................... 31
CONCLUSION ..................................................................................................................................... 31
CHAPITRE III : IMPLEMENTATION DE LA SOLUTION .............................................................................. 32
INTRODUCTION ..................................................................................................................................... 32
III.1. Les outils à utiliser ..................................................................................................................... 32
III.2 Proposition de l’architecture à mettre en œuvre ..................................................................... 32
III.3 Le pare-feu Cisco ASA 8.4-R-1 et le routeur Cisco C2600........................................................... 33
III.4. Installation et configuration de SNORT ..................................................................................... 34
1. Installation de WinPcap .......................................................................................................... 34
2. Installation de SNORT ............................................................................................................ 35
3. Processus de configuration de Snort ...................................................................................... 36
CHAPITRE IV : RESULTATS ET COMMENTAIRES..................................................................................... 40
INTRODUCTION ..................................................................................................................................... 40
1. Test de connexion au pare-feu ASA ....................................................................................... 40
2. Test de validation de configuration de Snort ........................................................................ 41
CONCLUSION ......................................................................................................................................... 44
CONCLUSION GENERALE ....................................................................................................................... 45
WEBOGRAPHIE .........................................................................................................................................x
Mbaitibet Togbé v
2017/2018
LISTE DES SIGLES ET ABREVIATIONS
ARP: Address Resolution Protocol
ASA: Adaptive Security Appliances
CAMTEL: Cameroonian Telecommunication
CPU: Central Processing Unit
DMZ: DeMilitarized Zone
DNS: Domain Name Service
DoS: Deny of Service
FAI: Fournisseur d’Accès Internet
FH: Faisceau Hertzien
FTP: File Transfer Protocol
HIDS: Host Intrusion Detection System
HTTP: Hyper Text Transfer Protocol
ICMP: Internet Control Message Protocol
IDS/IPS: Intrusion Detection System/Intrusion Prevention System
IP: Internet Protocol
KIPS: Kernel Intrusion Prevention System
LAN: Local Area Network
MAC: Medium Access Control
MINPOSTEL: Ministère des Postes et Télécommunications
MPLS: Multiprotocol Label Switching
NIDS: Network Intrusion Detection System
NIPS: Network Intrusion Prevention System
NMAP: Network Mapper
Mbaitibet Togbé vi
2017/2018
PING: Packet Internet Groper
RFC: Request For Comments
RIPv2: Routing Information Protocol Version 2
RREN: Représentation Régionale de l’Extrême-Nord
SSH: Secure SHell
TCP: Transmission Control Protocol
TELNET: Terminal Network ou Telecommunication Network
UDP: User Datagram Protocol
VCPS: Virtual PC Simulator
WAN: Wide Area Network
WIPS: Wireless Intrusion Prevention System
Mbaitibet Togbé vii

2017/2018
RESUME
De nos jours, aucune société ou organisation ne peut faire quelque chose sans un
outil de communication. Ces outils révolutionnent le monde organisationnel en ce sens
que pour vite atteindre un objectif, il faut nécessairement communiquer avec les autres
au moyen de ce système. Le système utilisé nécessite des matériels d’interconnexion
mises en réseau au sein duquel transitent des informations sensibles.
C’est dans cet ordre que Camtel offre les services aux autres entreprises, ONG et
particuliers en se basant sur des infrastructures bien structurées. En offrant ces services,
la société Camtel fait face à diverses attaques d’intrusion, ce qui peut ralentir le service
offert ou empêcher en globalité les services à offrir.
Les attaques sont devenues de nos jours très sophistiquées dont les techniques
utilisées pour perpétrer ces attaques en sont diverses. Leurs études aujourd’hui
permettent de cerner le but recherché par les auteurs et de pouvoir se doter des moyens
pour les contrecarrer.
Les systèmes adéquats pour pallier ces problèmes d’attaques ne peuvent être que
les systèmes de détection/prévention d’intrusion réseaux, implémentés dans un réseau ;
ils jouent le rôle de véritable défenseur du réseau au sein duquel transitent des flux
sensibles et importants.
Nous avons proposé une architecture réseau qui intègre un pare-feu et un IDS.
Nous avons ensuite fait le choix d’ASA de Cisco pour le pare-feu et de SNORT pour
l’IDS. Notre solution permet de scanner des paquets ICMP et Telnet.
Nous avons utilisé le logiciel GNS3 pour l’émulation et Virtualbox pour la

virtualisation.
Mots clés : Réseaux, attaques, intrusion, détection, prévention.
Mbaitibet Togbé viii

2017/2018
ABSTRACT
Nowadays, no society or organization can do anything without a

communication tool. These tools revolutionize the organizational world in the sense that
to reach a goal quickly, it is necessary to communicate with others by means of this
system. The system used requires networked interconnection hardware within which
sensitive information travels.
It is in this order that Camtel offers services to other companies, NGOs and
individuals based on well-structured infrastructures. By offering these services, Camtel
faces various intrusion attacks, which can slow down the service offered or prevent the
services to be offered as a whole.
Attacks have become very sophisticated today, and the techniques used to
perpetrate these attacks are diverse. Their studies today make it possible to identify the
goal sought by the authors and to be equipped with the means to counteract them.
The appropriate systems to overcome these attack problems can only be

network intrusion detection / prevention systems, implemented in a network; they play
the role of true defender of the network within which transit sensitive and important
flows.
We proposed a network architecture that integrates a firewall and an IDS. We

then made the choice of Cisco ASA for the firewall and SNORT for the IDS. Our
solution allows to scan ICMP and Telnet packets.
We used GNS3 software for emulation and Virtualbox for virtualization.
Keywords: Networks, attacks, intrusion, detection, prevention.
Mbaitibet Togbé ix
2017/2018
LISTE DES TABLEAUX
Tableau 1: Récapitulatif des outils utilisés……………………………………........ 32
Mbaitibet Togbé x
2017/2018
LISTE DES FIGURES ET ILLUSTRATIONS
Figure 1. Organigramme d'une Représentation Régionale de CAMTEL…………….. 6

Figure 2 : Sécurité et Risque aux Différents Niveaux……………..………………….. 10
Figure3 : Structure d’un virus……………..……………..……………..……………. 15
Figure 4: Approche par scénario ou par signature……………..……………..……… 19
Figure 5: Illustration de l’approche comportementale……………..…………………. 21
Figure 6: Caractéristiques et Fonctionnement des IDS……………..………………… 23
Figure 7 : Illustration de la position du firewall dans le réseau……………..………… 26
Figure 8: Choix de la position d’un IDS dans le réseau……………..……………….. 27
Figure 9: Architecture proposée et réalisée……………..……………..……………... 33
Figure 10: Configuration basique du pare-feu ASA 8.4-R-1……………..…………... 34
Figure 11: Protocole RIPv2……………..……………..……………..………………. 34
Figure 12: Installation de WinPcap……………..……………..……………..………. 35
Figure 13: Installation de Snort……………..……………..……………..…………… 36
Figure 14: Renseignement de l’adresse de l’interface à surveiller……………..……. 37
Figure 15: Indication du chemin d’accès et définition des listes blanches et noires…. 37
Figure 16: chemin d’accès aux preprocessors……………..……………..…………… 37
Figure 17: Activation du chemin d’accès des rôles……………..……………..……… 38
Figure 18: Définition des règles locales……………..……………..…………………. 38
Figure 19: Commande ICMP vers le réseau interne………………..…………………. 40
Figure 20: Commande ICMP vers l’interface du routeur……………..……………... 40
Figure 21: Commande ICMP vers le DMZ……………..……………..…………….. 41
Figure 22: Version de Snort utilisé……………..……………..……………..………. 41
Figure 23: Interface d’écoute de Snort……………..……………..……………..…… 42
Figure 24: Test de validation de configuration de Snort……………..………………. 42
Figure 25: Commencement de la détection en mode console……………..…………. 43
Figure 26: Envoie de la commande icmp……………..……………..………………. 43
Figure 27: Détection de la commande icmp……………..……………..…………….. 43
Mbaitibet Togbé xi
2017/2018
INTRODUCTION GENERALE
Les réseaux informatiques sont devenus de nos jours un système idéal et

déterministe pour la bonne marche des entreprises. Très souvent, ces réseaux sont
ouverts du fait qu’ils sont majoritairement raccordés à l’Internet.
Cette ouverture permettant de faciliter la communication, engendre bien

évidement des risques importants dans le domaine de la sécurité informatique. Les
utilisateurs de l’Internet ne sont pas tous biens intentionnés, ils peuvent en effet exploiter
la fragilité des réseaux et systèmes pour perpétrer une attaque. Les conséquences de ces
attaques peuvent être énormes pour un usager et pour une entreprise. Pour ce faire, les
administrateurs réseaux et systèmes déploient des solutions de sécurité efficace pouvant
protéger le réseau de l’entreprise. Dans cette situation, les IDS/IPS constituent une
bonne alternative pour mieux protéger le réseau informatique et c’est ce qui nous amène
à nous focaliser sur le thème « Etude et mise en place d’un système de détection
d’intrusion réseaux (IDS) ».
Ce travail est structuré en quatre chapitres, que nous allons accoster tout au long
du sujet en commençant par le premier chapitre qui, présente le contexte et la
problématique de notre travail, dans le deuxième chapitre, nous allons parler des
généralités sur les attaques réseaux et l’étude des systèmes de détection/prévention
d’intrusion réseau, le troisième chapitre quant à lui présentera les artères
d’implémentation de la solution retenue et le quatrième sera focalisé sur les résultats et
commentaires.
Mbaitibet Togbé 1
2017/2018
CHAPITRE I : CONTEXTE ET PROBLEMATIQUE
INTRODUCTION
La Cameroon Telecommunication (CAMTEL) est une structure placée sous la

tutelle du Ministère des Postes et Télécommunications (MINPOSTEL). Elle représente
la fille du gouvernement dans le domaine des télécommunications .Tout au long de ce
chapitre, nous allons d’abord présenter CAMTEL tout en insistant sur son historique,
ses missions et attributions, ses perspectives, sa structure organisationnelle ; ensuite
nous présenterons le contexte dans lequel nous nous trouvons, ainsi que la
problématique, la méthodologie et enfin les objectifs de notre travail.
I. LA CAMEROON TELECOMMUNICATION
La Cameroon Telecommunication abrégée CAMTEL est l’opérateur public de

téléphonie au Cameroun. Elle est née en 1998 à la suite de la transformation de la
direction des télécommunications en société anonyme à laquelle s’ajouta Intelcam,
responsable des communications téléphoniques internationales. Dès lors, elle n’a cessé
d’être en constante mutation. L’une des premières qu’elle connut fut la vente de la filiale
CAMTEL-Mobile à l’opérateur téléphonique MTN en février 2000. Ces changements
sont intervenus lors de la libéralisation du secteur des télécommunications au Cameroun.
En 2005, elle a lancé le service de téléphonie mobile CT-PHONE, basée sur la
technologie CDMA. Depuis cette date, sa gamme de services n’a cessé de croitre à
travers plusieurs services tels que : la téléphonie fixe, les liaisons spécialisées, l’internet,
l’ADSL, les smartphones, etc….
I. 1. OBJECTIFS DE CAMTEL
« Oser », c’est le mot qui revient constamment dans le discours du Directeur
Général de CAMTEL, Mr David NKOTO EMANE : « « Oser » fait partie des
orientations impératives de la plus haute institution de la République du Cameroun.
« Oser », c’est-à-dire cesser d’être de simples admirateurs d’un monde qui n’en finit pas
de changer. ». Ici, il ressort clairement que l’un des principaux objectifs de CAMTEL
est l’évolution de la technologie de l’information, son émergence, son expansion aussi
bien sur le plan national qu’en Afrique Centrale, et même sur le continent tout entier.
Pour arriver à concrétiser cet objectif, CAMTEL dénombre plusieurs sous-objectifs :
 Développement de la transmission par fibre optique et faisceaux hertziens dans
le réseau de communication national ;
 Renforcement du projet de transmission haut débit de l’Afrique Centrale ;
 Migration et adaptation rapide et efficace vers les nouvelles technologies telles
la 4G ;
 Extension et modernisation du réseau d’internet ;
 Extension du réseau téléphonique.
Mbaitibet Togbé 2
2017/2018
Les objectifs sont bien là, mais qu’est-ce-que CAMTEL a réalisé jusqu’à
présent et quelles sont ses infrastructures actuelles ?
I.2. REALISATIONS ET INFRASTRUCTURES

Parmi les accomplissements de CAMTEL, l’on peut dénombrer :
 National Broadband Network (NBN) : Extension et modernisation du réseau
Internet, implémentation des services à valeur ajoutée ;
 Mise en œuvre du réseau mobile ou Mobile Communications Networks– MCN-
(en cours) ;
 Réalisation de la phase 3 du projet Backbone national en fibres optiques (en
cours) qui vise la construction d’un linéaire de 4000km supplémentaires de fibre
optique ;
 Mise en exploitation des câbles sous-marins à fibre optique.
Concernant ses infrastructures, l’on peut citer :
 Plus de 8000 km de fibre optique qui desservent les dix chefs-lieux de région,
une soixantaine de chefs-lieux de département ou d’arrondissement, plusieurs
centaines de localités rurales et des pays de la CEMAC dont le Tchad en
l’occurrence ;
 Le Backbone national en fibres optiques qui est une infrastructure qui sert au
développement de l’Intranet gouvernemental pour la mise en œuvre du
programme de gouvernance numérique, mais aussi la construction du réseau
d’interconnexion des universités ;
 Déploiement des Télécentres communautaires polyvalents de nouvelles
générations dans de nombreuses zones périurbaines et rurales ;
 Mise en œuvre imminente de grands projets de connexion par câbles sous-marins.
A partir de la côte camerounaise de Kribi, l’Afrique sera bientôt reliée
directement à l’Amérique Latine par un câble d’une capacité hautement importante.
Il est bien beau d’avoir des produits à vendre, des services à offrir, des objectifs
à atteindre mais un bon niveau de réalisation de ces objectifs et d’infrastructures ne
saurait être atteint sans une bonne organisation.
I.3. ORGANISATION DE CAMTEL

Comme toute entreprise digne de ce nom, CAMTEL est pourvue d’une
organisation hiérarchique dont chaque intervenant veille autant que possible à son
niveau à l’accomplissement de ses objectifs.
La gestion quotidienne et l’application de la politique générale de la société sont
assurées par un Directeur Général assisté de deux Directeurs Généraux Adjoints, sous
l’aplomb et le contrôle du Conseil d’Administration à qui il rend compte. Les services
directement administrés par les dirigeants cités plus haut sont :
Mbaitibet Togbé 3
2017/2018
 Les services rattachés à la Direction Générale ;

 Une Administration centrale ;
 Des services externes.
La Direction Générale en elle-même est composée de :
 N cabinets ;
 N Groupes de Travail CAMTEL (GTC) ;
 N Inspections de Service (IS) ;
 N Divisions de la Stratégie et du Développement (DSD) ;
 N Divisions de la Communication (DC) ;
 N Divisions de la Radiophonie Mobile (DRM) ;
 N Chargés de Mission (CM) ;
 N Cellules de Traduction (CT).
Le conseil se réunit régulièrement, que ce soit en session ordinaire ou
extraordinaire, pour discuter et trancher des grandes lignes, des grandes décisions
relatives à l’avenir de l’entreprise. Est rattachée à cette dernière :
 Les inspecteurs ;
 Les chargés de missions des Services Spéciaux ;
 Le chargé de mission de la Restructuration ;
 La Division des Affaires Juridiques et de la Réglementation ;
 La Division de l’Audit et du Contrôle ;
 Les Programmes ;
 Le Cabinet du Directeur Général ;
 La Cellule de Communication Digitale.
La seconde entité principale, l’Administration Centrale est constituée de :
 La Direction Marketing et Communication ;
 La Direction Commerciale ;
 La Direction de la Planification et des Projets ;
 La Direction des Infrastructures ;
 La Direction des Réseaux IP, du Multimédia et des Plateformes et
Services ;
 La Direction des Finances et du Budget ;
Mbaitibet Togbé 4
2017/2018
 La Direction du Recouvrement ;
 La Direction des Ressources Humaines ;
 La Direction des Achats et du Patrimoine.
Quant aux Services Externes, ils sont constitués de :
 La Direction Régionale du Centre ;
 La Direction Régionale du Littoral ;
 La Direction Régionale du Sud ;
 La Direction Régionale du Sud-Ouest ;
 La Représentation Régionale de l’Adamaoua ;
 La Représentation Régionale de l’Est ;
 La Représentation Régionale de l’Extrême-Nord ;
 La Représentation Régionale du Nord-Ouest ;
 La Représentation Régionale de l’Ouest.
Parmi les Services Externes ci-dessus cités, un retient notre attention, la
Représentation Régionale de l’Extrême-Nord car c’est la cellule dans laquelle nous
faisons notre stage.
I.3.1- CAMTEL MAROUA

Chacune des dix régions du pays a en son sein une représentation régionale de
CAMTEL placée sous l’autorité d’un Représentant/Directeur Régional. Nous avons
effectué notre stage dans la représentation régionale de L’Extrême-Nord plus
précisément dans le centre technique de celle-ci. Toutes les représentations régionales
ont le même organigramme. Ci-après l’organigramme d’une Délégation Régionale de
CAMTEL, d’après « L’ORGANIGRAMME DE LA CAMEROON
TELECOMMUNICATIONS (JANVIER 2017) », signé le 03 janvier 2017 par le
Directeur Général de la CAMTEL.
Mbaitibet Togbé 5
2017/2018
Figure 2. Organigramme d'une Représentation Régionale de CAMTEL
I.4. CONTEXTE ET PROBLEMATIQUE

I.4.1- CONTEXTE
La Cameroon Telecommunication est une entreprise étatique qui renferme en son

sein des équipements réseaux tel que des routeurs, des switchs, des Access points, des
serveurs, des ordinateurs personnels et d’exploitation, des imprimantes et des
équipements clients, tous interconnectés entre eux. Cette interconnexion permet d’offrir
un service spécial aux particuliers et aux entreprises. Souvent, la communication passe
par internet, ouvert au grand public et présente des failles donc susceptible de recevoir
toute sorte d’attaques.
I.4.2- PROBLEMATIQUE
Face aux manquements cités ci haut, les questions suivantes nous taraudent
l’esprit à savoir :
 Comment faire pour aider CAMTEL à résoudre tous ces problèmes d’intrusion
réseaux et systèmes, comme les équipements du réseau de CAMTEL sont tous
interconnectés ?
 Comment prévenir ces attaques?
I.5. METHODOLOGIE
Compte tenu de la problématique ressortis, nous procéderons de la manière
suivante pour tenter d’apporter une solution aux problèmes précités :
Mbaitibet Togbé 6
2017/2018
 Etudier les IDS/IPS dans la généralité,

 Retenir une solution et pouvoir l’implémenter,
 En fin tester la solution implémentée et commenter.
I.6. OBJECTIF
L’objectif de notre travail est :
 De mettre en place un système de sécurité acceptable ;

 Contrecarrer les attaques externes.
CONCLUSION
Arrivé au terme cette section dont nous avons présenté l’entreprise d’accueil la
Cameron Télécommunications (CAMTEL) qui est une structure placée sous la tutelle
du Ministère des Postes et Télécommunications (MINPOSTEL) elle offre dans tout le
Cameroun une gamme très variée de services dans le domaine des télécommunications,
présenter ses missions, le contexte de notre travaille ainsi que la problématique et enfin
la méthodologie adoptée pour ce travail. Dans la suite de ce travaille nous allons parler
de la généralité sur les attaques réseaux, faire l’étude des systèmes de
détections/préventions d’intrusion réseaux et enfin retenir une solution pour
l’implémentation.
Mbaitibet Togbé 7
2017/2018
CHAPITRE II : ETUDE DES SYSTEMES DE

DETECTIONS/PREVENTIONS D’INTRUSION RESEAUX, ET GENERALITE
SUR LES ATTAQUES RESEAUX.
I. GENERALITE SUR LES ATTAQUES RESEAUX.
INTRODUCTION
On se pose souvent des questions très importantes quand il s’agit de traiter le

problème de la sécurité réseau : pourquoi, Contre qui et comment sécuriser un réseau ?
Un réseau informatique est un ensemble des moyens matériels et logiciels mis en œuvre
pour assurer les communications entre ordinateurs, stations de travail et
terminaux informatiques. Il permet de partager des ressources (fichiers, imprimantes,
...) et offre des services (http, ftp, dns ...). A cet effet, un problème se pose par rapport à
l'accès aux ressources et services : les droits d'accès des utilisateurs, des machines
internes ou externes (du réseau). N'importe qui ne doit pas faire n'importe quoi quand il
est dans le réseau, surtout quand il n'est pas autorisé à accéder au réseau. D'où la
nécessité de sécuriser le réseau, contre tout ce qui constitue une menace.
I.1. La sécurité réseau
La sécurité d'un réseau informatique peut être définie sur trois niveaux :
 Niveau physique
 Niveau logique
 Niveau réseau
I.1.1- Sécurité au niveau physique
La sécurité physique consiste en l’usage de barrières, alarmes, serrures et autres

contrôles physiques permettant de conditionner l’accès physique aux locaux, aux
ordinateurs et aux équipements. Ces mesures sont nécessaires pour protéger les
ordinateurs, leur contenu et les autres ressources matérielles contre l’espionnage, le vol
et la destruction accidentelle ou intentionnelle.
I.1.2- Sécurité au niveau logique
Aujourd’hui, contrôler l’accès aux ordinateurs et au réseau est indispensable pour

protéger les données personnelles et professionnelles contre les attaques internes ou
externes.
La sécurité logique fait référence à la réalisation des mécanismes de sécurité par logiciel,
elle se repose sur la mise en œuvre d'un système de contrôle d'accès logique s'appuyant
sur un service d'authentification, d'identification et d'autorisation, et elle se repose
également sur : les dispositifs mis en place pour garantir la confidentialité dont la
cryptographie, une gestion efficace des mots de passe et des procédures
d'authentification, des mesures antivirus et de sauvegarde des informations sensibles.
Mbaitibet Togbé 8
2017/2018
I.1.3- Sécurité au niveau réseau
Un autre aspect très important de la sécurité réseau est l'accès au réseau. Il soulève
nombre d'interrogations :
Qui a accès au réseau ? Quel est son niveau d'accès (droits sur les fichiers et
répertoires, privilèges sur les services …) une fois connecté au réseau ? Que faire pour
limiter l'accès à certaines ressources du réseau (serveurs par exemple)?
Il serait très risqué voir inimaginable de permettre l'accès aux ressources internes
du réseau à tout le public. Il existe plusieurs mécanismes pour répondre à ces questions
:
 Mise en place de serveur d'authentification (exemple serveur radius) pour

identifier tout utilisateur voulant se connecter. Il existe deux niveaux d'authentification
: authentification simple et forte.
L'authentification simple fait l'usage de login et de mots de passe. Tandis que

l'authentification forte se base sur les certificats électroniques, les cartes à puce, l'index
du doigt…avec la création de tunnels sécurisés lors de l’authentification.
 Mise en place de Firewall. Les firewalls permettent de filtrer l'accès au réseau.

 Mise en place de DMZ (zone démilitarisée). Une DMZ permet de partager
certaines ressources du réseau local avec l’extérieur. Cette zone est accessible depuis
l'intérieur comme l'extérieur du réseau.
Mbaitibet Togbé 9
2017/2018
Le schéma ci-dessous présente très sommairement les différents niveaux pour

lesquels un risque en matière de sécurité existe :
Figure 2 : Sécurité et Risque aux Différents Niveaux
I.2. Failles dans la Sécurité des Réseaux
Le matériel, les logiciels, les services liés à la protection informatique devraient

représenter 91 milliards de dollars de chiffre d'affaires dans le monde pour cette
année 2018.
C'est une augmentation de 10% par rapport à 2017. Cela semble plutôt normal, les
menaces informatiques se multiplient, les attaques deviennent de plus en plus
sophistiqués. Il n'y a pas une semaine sans qu'on découvre un piratage informatique de
grande ampleur et les failles informatiques sont devenues un enjeu essentiel. Il en existe
deux sortes :
 La faille peut venir de l'intérieur du réseau « faille active »

 La faille peut être provoquée depuis l'Extérieur du réseau « faille passive ».
Mbaitibet Togbé 10
2017/2018
I.2.1- Failles actives
On parle de faille active lorsque celle-ci vient instantanément de l'intérieur du

réseau. « Active » car elle est provoquée par l'action des utilisateurs internes du réseau.
Elle peut dépendre de plusieurs facteurs à savoir:
 Non-respect de la politique de sécurité définie dans le réseau par les utilisateurs

internes.
 Erreurs de manipulations commises lors du traitement de certains fichiers. Par
exemple fichiers de configuration des services.
I.2.2- Failles Passives
La faille est dite passive lorsque celle-ci est provoquée depuis l'extérieur
indépendamment des actions des utilisateurs internes du réseau. Elle peut être le résultat
de plusieurs actions telles que :
 L’envoi de programmes malveillants, espions ou de virus vers les machines cibles

(du Réseau interne). Ces actions ont pour objectif final de fournir des informations dont
le pirate en a besoin pour passer à l’attaque.
 La détection d'une faille dans la sécurité d'un réseau informatique a pour but
l'exploitation de cette faille. Cette exploitation constitue en quelque sorte le début de la
véritable Intrusion réseau.
I.3. Définition d'une Intrusion Réseau
Selon l’office québécois de la langue française, l’intrusion est l’opération qui

consiste à accéder, sans autorisation, aux données d’un système informatique ou d’un
réseau, en contournant ou en désamorçant les dispositifs de sécurité mise en place.
Une intrusion informatique peut être perpétrée pour diverses raisons, notamment
pour :
 Modifier ou voler de l’information confidentielle,

 Fausser, contaminer ou détruire les données du système.
 Espionner : c’est introduire dans le réseau un programme capable de surveiller
les activités internes du réseau au profit du pirate. Ce qui est très dangereux, car cela
peut permettre au pirate d'avoir un control total sur le système.
 Dénis de service(DoS) : consiste à empêcher les utilisateurs légitimes du réseau
d’exploiter selon les règles de sécurité établies les ressources de leurs machines par
l'envoi de programmes perturbateurs (bugs) ou des pings continus (Ping de la mort).
Mbaitibet Togbé 11
2017/2018
I.4. Quelques Techniques d'intrusion
I.4.1- Les Attaques
Une intrusion est le résultat d’une attaque externe réussie, car avant de
s’introduire dans le réseau cible, il faut déployer certaines techniques. On peut répartir
les attaques en deux catégories : passives et actives
1. Attaques passives
Une attaque passive analyse le trafic réseau, écoute les communications et

recherche des informations sensibles qui pourraient être utilisées dans d'autres types
d'attaque, telles que les mots de passe. Le trafic non encrypté est particulièrement ciblé,
et le trafic faiblement encrypté peut être décrypté. L'interception passive d'opérations de
communication donne lieu à la divulgation d'informations à l'insu des utilisateurs, mais
les ressources système ne sont en aucun cas affectées ou désactivées.
2. Attaques actives
Ici, l'attaquant essaie de contourner ou de s'introduire dans un système sécurisé

pour voler, modifier, désactiver ou détruire des ressources ou des données. Les attaques
actives réussies entraînent la divulgation ou la modification de données. Elles peuvent
être combinées avec l'introduction de composants malveillants dans le système ciblé par
des méthodes tels que :
I.4.2- Attaques ciblant l'infrastructure réseau
Ces attaques utilisent les informations nécessaires au réseau pour aiguiller les
données d'un appareil à un serveur, et inversement.
1. Ping flood (ou ICMP flood)
Un ping flood ("inondation par échos") est une forme simple d’attaque par déni
de service, où l'attaquant envoie des requêtes pings ("écho") au serveur pour le
surcharger de trafic au point de le mettre dans l'incapacité de répondre. Une variante,
l'attaque par Ping de la Mort, consiste à envoyer une requête ping déformée au serveur
pour provoquer une panne du système.
2. Attaque de type "smurf"
Une attaque de type "smurf" est une attaque ping flood avec la différence
suivante : l'adresse IP source de l'attaquant est masquée par l'adresse IP d'un appareil
non-malveillant. Une telle attaque provoque la perturbation dans le fonctionnement
aussi bien du serveur ciblé (qui reçoit une grande quantité de requêtes écho) que de celui
de l'appareil victime (qui reçoit une grande quantité de réponses aux échos).
Mbaitibet Togbé 12
2017/2018
3. Usurpation d'identité
L'usurpation est une technique utilisée pour masquer une adresse Internet (IP) par
une autre dans le but de permettre un accès non autorisé. Il en existe plusieurs formes :
 usurpation d'adresse IP : crée des paquets IP avec une adresse source falsifiée
pour imiter un système légitime, utilisée notamment dans les attaques de type "smurf",
 usurpation / empoisonnement ARP : envoie des messages ARP falsifiés dans le
réseau. Un message ARP informe de l'association d'une adresse logique (IP) d'un
système avec son adresse physique (MAC),
 usurpation / empoisonnement du cache DNS : insère des données erronées dans
le cache d'un serveur DNS pour détourner les requêtes d'un appareil vers une adresse IP
erronée.
4. Attaque de mot de passe
L'attaquant essaie de pirater les mots de passe enregistrés dans une base de
données ou un fichier. Il existe trois principaux types d'attaques: par dictionnaire, par
la force ou hybride.
5. Attaques ciblant l'application serveur
Ces attaques sont conçues pour exploiter les failles applicatives du serveur pour
voler des informations confidentielles, exécuter des commandes dangereuses ou
modifier une base de données.
6. Attaques ciblant les couches applicatives du serveur
Elles ciblent le fonctionnement interne du serveur pour provoquer une panne dans
son système d'exploitation ou ses applications, et obtenir la capacité de contourner les
contrôles d'accès prévus.
7. Débordement de mémoire tampon, heap ou pile
Dans les attaques par débordement, l'attaquant envoie à l'application serveur plus
de données qu'attendu. Ces attaques donnent à l'attaquant la capacité de s'introduire dans
le serveur ou de désactiver les contrôles de sécurité pour permettre des attaques
postérieures.
8. Exploit
Dans les attaques de type exploit, l'attaquant a connaissance d'un problème de

sécurité dans un système d'exploitation ou un logiciel, et utilise cette connaissance pour
exploiter la faille.
Mbaitibet Togbé 13
2017/2018
9. Attaques ciblant les utilisateurs finaux
Ces attaques ne font pas partie des attaques techniques touchant les appareils
connectés au réseau. Leur description figurent ici dans un but d'exhaustivité et parce
qu'elles sont largement répandues.
10. Hameçonnage
L'attaquant crée un site web contrefait, qui ressemble exactement au site ciblé.
Puis il envoie un email pour inciter les utilisateurs à cliquer sur le lien qui conduit au
site contrefait. Lorsqu'un utilisateur essaie de se connecter avec ses coordonnées,
l'attaquant enregistre les profils et mot de passe et se connecte ensuite sur le site ciblé
avec ces informations.
11. Attaque par approche
L'attaquant essaie de se rapprocher physiquement des systèmes, données ou

composants du réseau pour mieux connaître son paramétrage. Une forme commune est
l'attaque par "ingénierie sociale", qui consiste à une manipulation psychologique des
collaborateurs pour les inciter à divulguer des informations confidentielles, qui seront
utilisées dans une attaque suivante pour s'introduire dans un système ou réseau.
12. Les virus
Selon la définition donnée par Fred Cohen, le premier chercheur qui a décrit le
phénomène dans une thèse publiée en 1985, le virus est un programme informatique
capable d'infecter d'autres programmes en les modifiant afin d'y intégrer une copie de
lui-même qui pourra avoir légèrement évolué. A la manière de son frère biologique, il
se reproduit rapidement à l'intérieur de l'environnement infecté à l'insu de l'utilisateur.
Il existe d'autres programmes potentiellement dangereux que l'on confond assez

souvent avec les virus et qui sont généralement associés à ce terme : il s'agit des chevaux
de Troie, des vers et des bombes logiques. La différence réside dans le fait que ces
programmes ne possèdent pas la capacité de se multiplier sur le système infecté.
Cependant un virus, aussi bien conçu soit-il, ne peut se propager sans votre aide.
En effet un programme infecté doit être exécuté pour que le virus soit actif. Tant que
l'on n'y touche pas, le programme infecté est inoffensif. Cependant, certains
programmes, sont parfois paramétrés pour effectuer automatiquement des actions
potentiellement dangereuses sans véritable intervention de l'utilisateur. Ainsi,
l'ouverture automatique d'un e-mail dans le volet de visualisation peut tout à fait ouvrir
un fichier infecté si votre application n'a pas été protégée contre cette faille.
Les créateurs de virus font preuve d'une grande ingéniosité pour inciter
l'utilisateur à exécuter leur "œuvre", en exploitant par exemple une confiance excessive
ou, au contraire, en suscitant une réaction de panique chez celui-ci.
Mbaitibet Togbé 14
2017/2018
Les virus sont constitués d'un programme principal et de sous-programmes. Le

programme principal n'est autre que le mécanisme de reproduction, qui consiste à
localiser des nouveaux fichiers ou de nouvelles zones à infecter. Les sous-programmes,
peuvent contenir des conditions. On peut donc schématiser la structure d'un virus comme
ci-dessous :
Figure3 : Structure d’un virus.
Il faut noter que les virus sont de deux sortes à savoir les virus programmes et
les virus systèmes.
I.5. Présentation de quelques outils d’intrusion
Après avoir étudié certaines attaques nous allons en effet nous intéresser à
quelques outils permettant de mener ou préparer des attaques. Les outils d'intrusion sont
des moyens (logiciels) qui permettent de préparer ou perpétrer une intrusion. Leurs
méthodes d'action varient suivant les concepteurs et les systèmes sur lesquels ils
tournent. Ici Nous nous intéresserons uniquement aux plateformes les plus utilisées :
Linux et Windows.
On peut spécifier les outils d'intrusion en deux familles :
 Les Outils Passifs : les scanners, les sniffer,

 Les Outils Actifs.
I.5.1- Les outils passifs
Ils sont de la famille des scanners. C’est quoi un scanner ? : Lorsqu’un serveur
offre un service particulier (web, messagerie, mail), il exécute un programme assurant
ce service.
Ce programme est en attente de connexions. Les clients devant accéder à ce

service doivent connaître l'adresse IP du serveur et le numéro de port associé au service
offert.
Sur les systèmes Linux la liste de ces numéros est disponible dans le fichier /etc/services.
Mbaitibet Togbé 15
2017/2018
La majorité des services possède un port spécifique. A titre d’exemple, un serveur

de messagerie utilise le port 25, un serveur web le port 80... Lorsqu'un service est en
écoute sur un port, on dit que le numéro de port associé à ce service est ouvert.
L'intérêt du scanner est très simple : il permet de trouver une fois qu’il est lancé,
dans un délai très court, tous les ports ouverts sur une machine distante.
Il existe différents types de scanners, certains se contentent juste de donner la

liste des ports ouverts, le type et la version de l’OS tournant sur le serveur, d'autres
scanners permettent de tester différentes failles connues sur ces services :
1. Nmap
Nmap est un scanner de ports libre créé par Fyodor et distribué par Insecure.org.
Il est conçu pour détecter les ports ouverts, identifier les services hébergés et obtenir des
informations sur le système d'exploitation d'un ordinateur distant. Ce logiciel est devenu
une référence pour les administrateurs réseaux car l'audit des résultats de Nmap fournit
des indications sur la sécurité d'un réseau. Il est disponible sous Windows, Mac OS
X, Linux, BSD et Solaris.
Il existe différents types de scans, donc différents types d'envois et de réponses.

On peut distinguer les scans utilisant les protocoles TCP, IP, ICMP et UDP. Suivant le
protocole indiqué ce sont les informations relatives aux services tournant avec ces
protocoles qui sont affichés.
Le scan par défaut avec Nmap est le scan en mode TCP.
La syntaxe basique est la suite :
 nmap [ip de la machine cible] : scan par défaut.

 nmap -sT [ip de la machine cible] : scan en mode TCP.
 nmap -sU [ip de la machine cible] : scan en mode UDP.
En utilisant le mode TCP il existe un scan qui est détectable par la machine cible (dans
les logs systèmes).
La commande se fait par l'appel de nmap avec l'option -sS:
 nmap -sS [adresse IP de la machine cible]
Nous donnons ci-après, l'utilisation de nmap avec d'autres options :
 nmapplage_d'adrresse (exemple nmap 192.168.0-255) permet de scanner

toutes les machines appartenant à la plage spécifiée.
 nmap -O [ip de la machine cible] permet de connaître le système d'exploitation
de la machine cible. Il faut noter que chaque système d'exploitation construit ses paquets
d'une manière particulière. Certains champs au niveau de la couche IP ou TCP sont
Mbaitibet Togbé 16
2017/2018
propres à chaque système d'exploitation. Nmap contient une base de données d'un grand
nombre de systèmes. Nmap envoie des paquets tests à la machine cible et compare les
paquets reçus en réponse à ceux de sa base de données et en déduit le type de système.
Cette base de données est mise à jour en fonction des différentes versions de nmap.
 nmap -p N° de port [ip de la machine cible] (exemple : nmap -p 80
192.168.0.1) permet de scanner un port précis (web).
2. Wireshark
Wireshark est un analyseur de paquets (sniffer) open source, fonctionnant

sur pratiquement tous les environnements et reconnaissant pratiquement tous les
protocoles informatique existants. Son but est de réaliser des captures de trames
dévoilant des failles de sécurité, voir de localiser des pertes de performances sur
le réseau. Wireshark est utilisé par de nombreuses entreprises et fait partie de la
boîte à outil des experts réseau.
I.5.2- Les Outils Actifs
Ces outils, bien qu’étant des moyens d'administration réseau, peuvent être
utilisés pour attaquer des réseaux à distance. « Actifs » par ce qu'ils ont une vocation «
offensive ». Il suffit juste pour l'attaquant de connaître l’adresse IP de la cible, le numéro
de port sur lequel tourne le service, un compte d'utilisateur ayant accès au service
spécifié et son mot de passe. Certains de ces outils sont souvent intégrés au système
d'exploitation (Linux, Windows). Parmi ces outils nous pouvons citer à titre d’exemple:
1. Ping
Ping, pour "Packet Internet Groper", est un des outils les plus largement
disponibles fournis avec les paquetages logiciels TCP/IP. Ping utilise une série de
messages d'écho du protocole de message de contrôle Internet (ICMP, Internet Control
Message Protocol) pour déterminer si un hôte distant est actif ou non, et pour déterminer
le délai d'aller-retour de la communication avec cet hôte.
Une forme courante de la commande Ping, qui montre les options les plus
couramment disponibles pour les utilisateurs généraux est :
Ping [-q] [-v] [-R] [-c Compte] [-i Wait] [-s TailleDePaquet] Hôte
Où
-q (Quiet) Sortie tranquille, rien n'est affiché sauf les lignes de sommaire au début et à
la fin.
-v (Verbose) Sortie détaillée, qui fait la liste des paquets ICMP qui sont reçus en plus
des réponses d'écho.
Mbaitibet Togbé 17
2017/2018
-R (Record) Option d'enregistrement de chemin ; elle inclut l'option RECORD_ROUTE

dans le paquet Demande d'écho et affiche le chemin mis en mémoire tampon sur les
paquets retournés.
-c Compte Spécifie le nombre de Demandes d'écho à envoyer avant de conclure l'essai

(par défaut, cela fonctionne jusqu'à interruption par un control-C).
-i Wait Indique le nombre de secondes d'attente entre l'envoi de chaque paquet (par
défaut = 1).
-s Taille De Paquet Spécifie le nombre d'octets de données à envoyer ; la taille de paquet

ICMP totale sera de TailleDePaquet+8 octets du fait de l'en-tête ICMP (par défaut = 56,
ou un paquet de 64 octets).
Il est possible de perturber une machine (Deny Of Service) rien qu’en lui
envoyant une rafale de pings continus de tailles supérieures à la normale (64 bits) : ping
de la mort, car toute machine a un nombre maximal de requêtes qu'elle peut traiter par
unité de temps. Sous Linux l’option -w (ping -w durée (en seconde) Addresse_IP_cible)
permet de définir la durée du ping.
2. Telnet et ssh
Ces deux protocoles permettent d'attaquer des machines à distance. Ils sont
utilisés pour administrer à distance des systèmes informatiques mais peuvent être utilisés
à d’autres fins. Une fois que ces deux services (telnet et ssh) sont démarrés chez la
machine cible, il suffit seulement au pirate de connaître un login et son mot de passe sur
la machine ciblée. Une fois la connexion réussie le pirate peut prendre le contrôle total
du système (machine) : il peut se déplacer librement dans l’arborescence, changer le mot
de passe de l’administrateur, détruire ou voler des fichiers confidentiels, changer la
configuration du système etc. Sous Windows il existe plusieurs utilitaires permettant de
faire du ssh comme putty. Pour se connecter par telnet ou ssh il suffit d’être en ligne de
commande et de saisir :
telnet/sshAddresse IP cible (si le numéro de port par défaut n'est pas changé).
II. ETUDE DES SYSTEMES DE DETECTIONS/PREVENTIONS

D’INTRUSION RESEAUX
INTRODUCTION
Un système de détection d'intrusions (IDS, de l'anglais Intrusion Detection

System) est un périphérique ou processus actif qui analyse l'activité du système et du
réseau pour détecter toute entrée non autorisée et/ou toute activité malveillante. La
manière dont un IDS détecte des anomalies peut beaucoup varier ; cependant, l'objectif
principal de tout IDS est de prendre sur le fait les auteurs avant qu'ils ne puissent
vraiment endommager vos ressources.
Mbaitibet Togbé 18
2017/2018
Les IDS protègent un système contre les attaques, les mauvaises utilisations et
les compromis. Ils peuvent également surveiller l'activité du réseau, analyser les
configurations du système et du réseau contre toute vulnérabilité, analyser l'intégrité de
données et bien plus. Selon les méthodes de détection que vous choisissez de déployer,
il existe plusieurs avantages directs et secondaires au fait d'utiliser un IDS.
II.1. Principes de fonctionnement des IDS

II.1.1- Méthodes de détection des IDS
Il est important de comprendre comment fonctionnent un système de détection

d’intrusion afin de bien le gérer :
 Comment reconnaître et définir une intrusion ?

 Comment détecter une intrusion par ce système ?
 Quels critères de différenciation de flux normaux des flux d’attaques ?
C’est sur la base de ces questions que nous étudierons le fonctionnement interne
des IDS. Il existe en effet plusieurs méthodes de détection d’intrusion dont :
1. Approche par scénario ou par signature
Cette méthode s’appuie sur la connaissance des techniques utilisées par les
attaquants pour déduire des scénarios spécifiques. Elle ne tient pas compte des actions
passées de l’utilisateur et utilise des signatures d’attaques existantes (ensemble de
caractéristiques permettant d’identifier une activité intrusive : une chaîne
alphanumérique, une taille de paquet inhabituelle, une trame formatée de manière
suspecte,…).
Figure 4: Approche par scénario ou par signature
Cette technique se base sur :
1.1. La recherche des motifs : Pattern-Matching
C’est la méthode la plus connue et plus facile à comprendre. Elle se base sur la
recherche de motifs (chaînes de caractères ou suite d'octets) au sein du flux de données.
L'IDS comporte une base de signatures où chaque signature contient les protocoles et
port utilisés par l'attaque ainsi que le motif qui permettra de reconnaître les paquets
suspects.
Mbaitibet Togbé 19
2017/2018
Le principal inconvénient de cette méthode est que seules les attaques reconnues
par les signatures seront détectées. Il est donc nécessaire de mettre à jour régulièrement
la base de signatures.
Un autre inconvénient est que les motifs sont en général fixes. Or une attaque
n'est pas toujours identique à 100 %. Le moindre octet différent par rapport à la signature
provoquera la non-détection de l'attaque.
Pour les IDS utilisant cette méthode, il est nécessaire d'adapter la base de
signatures en fonction du système à protéger. Cela permet non seulement de diminuer
les ressources nécessaires et donc augmenter les performances ; mais également réduire
considérablement le nombre de fausses alertes et donc faciliter le travail des
administrateurs réseau qui analyseront les fichiers d'alertes. Cette technique est
également utilisée dans l’antivirus.
1.2. Recherche de motifs dynamiques
Le principe de cette méthode est le même que précédemment, mais les signatures
des attaques évoluent dynamiquement. L'IDS est de ce fait doté de fonctionnalités
d'adaptation et d'apprentissage.
1.3. Analyse de protocoles
Cette méthode se base sur une vérification de la conformité des flux, ainsi que
sur l'observation des champs et paramètres suspects dans les paquets. Cependant, les
éditeurs de logiciels et les constructeurs respectent rarement à la lettre les RFC et cette
méthode n'est pas toujours très performante.
L'analyse protocolaire est souvent implémentée par un ensemble de

préprocesseurs, où chaque préprocesseur est chargé d'analyser un protocole particulier
(FTP, HTTP, ICMP…). Du fait de la présence de tous ces préprocesseurs, les
performances dans un tel système s'en voient fortement dégradées.
L'intérêt fort de l'analyse protocolaire est qu'il permet de détecter des attaques
inconnues, contrairement au pattern matching qui doit connaître l'attaque pour pouvoir
la détecter.
1.4. Analyse heuristique et détection d'anomalies
Le but de cette méthode est, par une analyse intelligente, de détecter une activité
suspecte ou toute autre anomalie. Par exemple : une analyse heuristique permet de
générer une alarme quand le nombre de sessions à destination d'un port donné dépasse
un seuil dans un intervalle de temps prédéfini.
Mbaitibet Togbé 20
2017/2018
2. L’approche comportementale (Anomaly Detection)
Cette technique consiste à détecter une intrusion en fonction du comportement

passé de l’utilisateur. Il faut préalablement dresser un profil utilisateur à partir de ses
habitudes et déclencher une alerte lorsque des événements hors profil se produisent.
Cette technique peut être appliquée non seulement à des utilisateurs mais aussi à des
applications et services.
Plusieurs métriques (paramètres) sont possibles : la charge CPU, le volume de

données échangées, le temps de connexion sur des ressources, la répartition statistique
des protocoles et applications utilisés, les heures de connexion, etc.
Figure 5: Illustration de l’approche comportementale
Cependant elle possède quelques inconvénients :
 peu fiable : tout changement dans les habitudes de l'utilisateur provoque une
alerte ;
 nécessite une période de non-fonctionnement pour mettre en œuvre les
mécanismes d'autoapprentissage : si un pirate attaque pendant ce moment, ses actions
seront assimilées à un profil utilisateur, et donc passeront inaperçues lorsque le système
de détection sera complètement mis en place ;
 l'établissement du profil doit être souple afin qu'il n'y ait pas trop de fausses
alertes : le pirate peut discrètement intervenir pour modifier le profil de l'utilisateur afin
d'obtenir après plusieurs jours ou semaines, un profil qui lui permettra de mettre en place
son attaque sans qu'elle ne soit détectée.
Il existe d’autres approches qui peuvent être utilisées pour la méthode de

détection comportementale à savoir :
3. Approche probabiliste
Des probabilités sont établies permettant de représenter une utilisation courante

d'une application ou d'un protocole. Toute activité ne respectant pas le modèle
probabiliste provoquera la génération d'une alerte.
Mbaitibet Togbé 21
2017/2018
4. Approche statistique
Le but est de quantifier les paramètres liés à l'utilisateur : taux d'occupation de la

mémoire, utilisation des processeurs, valeur de la charge réseau, nombre d'accès à
l'Intranet par jour, vitesse de frappe au clavier, sites les plus visités…
Cette méthode est très difficile à mettre en place. Elle n'est actuellement présente
que dans le domaine de la recherche, où les chercheurs utilisent des réseaux neuronaux
et le data mining pour tenter d'avoir des résultats convaincants.
D'autres méthodes existent, mais ne sont pas encore répandues. Parmi celles-ci, nous
pouvons noter :
 L’utilisation de l'immunologie, c'est-à-dire construire un modèle de

comportement normal des services ;
 La présentation d'une activité habituelle sous forme de graphe.
II.2. Architecture des IDS
Un IDS est essentiellement constitué d’un sniffer couplé avec un moteur qui
analyse le trafic et entreprend des actions suivants les règles définies dans l’IDS. Ces
règles décrivent le comportement de l’IDS selon le trafic analysé : Alertes, journalisation
des événements dans des fichiers logs. Un IDS peut analyser les couches suivantes :
 Couche Réseau (IP, ICMP),

 Couche Transport (TCP, UDP)
 Couche Application (HTTP, Telnet)
Selon le type de trafic, l’IDS accomplit certaines actions définies dans les règles.
Certains termes sont souvent employés quand on parle d’IDS :
 Faux positif: une alerte provenant d’un IDS mais qui ne correspond pas à une
attaque réelle (Fausse Alerte).
 Faux négatif: une intrusion réelle qui n’a pas été détectée par l’IDS.
Mbaitibet Togbé 22
2017/2018
Le schéma suivant illustre le fonctionnement et les caractéristiques d'un IDS :
Figure 6: Caractéristiques et Fonctionnement des IDS
II.3. Différents Types IDS
Un IDS a pour fonction d'analyser en temps réel ou différé les évènements en

provenance des différents systèmes, de détecter et de prévenir les intrusions en cas
d'attaque. Les buts sont nombreux :
 collecte des informations sur les intrusions,

 gestion centralisée des alertes,
 effectuer un premier diagnostic sur la nature de l'attaque permettant une réponse
rapide et efficace,
 réagir activement à l'attaque pour la ralentir ou la stopper.
Les systèmes de détection d'intrusion ou IDS peuvent se classer selon deux

catégories majeures selon qu'ils s'attachent à surveiller :
 le trafic réseau : on parle d'IDS réseau ou NIDS (Network based IDS),

 l'activité des machines: on parle d'IDS Système ou HIDS (Host based IDS).
Les NIDS : Ces outils analysent le trafic réseau; ils comportent généralement une
sonde qui "écoute" sur le segment du réseau à surveiller et un moteur qui réalise l'analyse
Mbaitibet Togbé 23
2017/2018
du trafic afin de détecter les signatures d'attaques ou les divergences face au modèle de
référence. Les IDS Réseaux à base de signatures sont confrontés actuellement à deux
problèmes majeurs qui sont : l'utilisation grandissante du cryptage, et des réseaux
commutés. En effet, il est d'une part plus difficile " d'écouter " sur les réseaux commutés
et le cryptage rend l'analyse du contenu des paquets presque impossible. La plupart des
NIDS sont aussi dits IDS inline car ils analysent le flux en temps réel. Pour cette raison,
la question des performances est très importante. De tels IDS doivent être de plus en
plus performants afin d'analyser les volumes de données de plus en plus importants
pouvant transiter sur les réseaux.
Les HIDS : Les IDS Systèmes analysent quant à eux le fonctionnement ou l'état
des machines sur lesquelles ils sont installés afin de détecter les attaques. Pour cela ils
auront pour mission d'analyser les journaux systèmes, de contrôler l'accès aux appels
systèmes, de vérifier l'intégrité des systèmes de fichiers ... Ils sont très dépendants du
système sur lequel ils sont installés. Il faut donc des outils spécifiques en fonction des
systèmes déployés. Ces IDS peuvent s'appuyer sur des fonctionnalités d'audit propres
ou non au système d'exploitation, pour en vérifier l'intégrité, et générer des alertes. Il
faut cependant noter qu'ils sont incapables de détecter les attaques exploitant les
faiblesses de la pile IP du système, typiquement les Dénis de service comme SYN
FLOOD ou autre.
Les IDS hybrides (NIDS+HIDS) : Ils rassemblent les caractéristiques de

plusieurs IDS différents. En pratique, on ne retrouve que la combinaison de NIDS et
HIDS. Ils permettent, en un seul outil, de surveiller les réseaux et les terminaux. Les
sondes sont placées en des points stratégiques, et agissent comme NIDS et/ou HIDS
suivant leurs emplacements. Toutes ces sondes remontent alors les alertes à une machine
qui va centraliser le tout, et agréger/lier les informations d'origines multiples.
II.4. Les IPS
Leur fonction principale est d’empêcher toute action suspecte détectée au sein
d’un système : ils sont capables de prévenir une attaque avant qu'elle n’atteigne son
objectif. Contrairement aux IDS, les IPS sont des outils aux fonctions « actives », qui
en plus de détecter une intrusion, tentent de la bloquer.
Le principe de fonctionnement d’un IPS est similaire à celui d’un IDS, ajoutant
à cela l’analyse des contextes de connexion, l’automatisation d'analyse des logs et la
coupure des connexions suspectes. Contrairement aux IDS classiques, aucune signature
n'est utilisée pour détecter les attaques. Avant toute action, une décision en temps réel
est exécutée (c'est-à-dire l'activité est comparée aux règles existantes). Si l'action est
conforme à l'ensemble de règles, la permission de l’exécuter sera accordée et l'action
sera exécutée. Sinon (c'est-à-dire si le programme demande des données ou veut les
changer alors que cette action ne lui est pas permise), une alarme est générée. Dans la
plupart des cas, les autres détecteurs du réseau (ou une console centrale connectées à
l’IPS) en seront aussi informés dans le but d’empêcher les autres ordinateurs d'ouvrir ou
d'exécuter des fichiers spécifiques (si on est en réseau).
Mbaitibet Togbé 24
2017/2018
Les IPS peuvent être classés en deux familles selon le domaine d’utilisation :
 Les HIPS (host-based intrusion prevention system) qui sont des IPS permettant
de surveiller le poste de travail à travers différentes techniques, ils surveillent les
processus, les drivers, les .dll etc. En cas de détection de processus suspect le HIPS peut
le tuer pour mettre fin à ses agissements. Les HIPS peuvent donc protéger des attaques
de buffer overflow.
 Les NIPS (network intrusion prevention system) sont des IPS permettant de
surveiller le trafic réseau, ils peuvent prendre des mesures telles que terminer une
session TCP. Une déclinaison en WIPS (Wireless intrusion prevention system) est
parfois utilisée pour évoquer la protection des réseaux sans-fil.
Il existe aussi les KIPS (kernel intrusion prevention system) qui permettent de
détecter toutes tentatives d'intrusion au niveau du noyau, mais ils sont moins utilisés.
II.5. Les Firewalls
Les firewalls ne sont pas des IDS à proprement dit, mais ils permettent également
de stopper des attaques. Les firewalls sont basés sur des règles statiques afin de contrôler
l'accès des flux. Ils travaillent en général au niveau des couches basses du modèle OSI
(jusqu'au niveau 4), ce qui est insuffisant pour stopper une intrusion. Par exemple, lors
de l'exploitation d'une faille d'un serveur Web, le flux HTTP sera autorisé par le firewall
puisqu'il n'est pas capable de vérifier ce que contiennent les paquets.
Il existe trois types de firewalls :
 Les systèmes à filtrage de paquets sans état : analysent les paquets les uns après
les autres, de manière totalement indépendante ;
 Les systèmes à maintien d'état (statefull) : vérifient que les paquets
appartiennent à une session régulière. Ce type de firewall possède une table d'états où
est stocké un suivi de chaque connexion établie, ce qui permet au firewall de prendre
des décisions adaptées à la situation.
Ces firewalls peuvent cependant être outrepassés en faisant croire que les paquets
appartiennent à une session déjà établie ;
 Les firewalls de type proxy : le firewall s'intercale dans la session et analyse

l'information afin de vérifier que les échanges protocolaires sont conformes aux normes.
Mbaitibet Togbé 25
2017/2018
Le schéma ci-après montre un exemple de la position de firewall dans le réseau :
Figure 7 : Illustration de la position du firewall dans le réseau
II.6. Critères de choix d’un IDS
Aujourd'hui les systèmes de détection d'intrusion sont réellement devenus

indispensables lors de la mise en place d'une infrastructure de sécurité opérationnelle.
Ils s'intègrent donc toujours dans un contexte et une architecture qui imposent des
contraintes pouvant être très diverses. C'est pourquoi il n'existe pas de grille d'évaluation
unique pour ce type d'outil. Pourtant un certain nombre de critères peuvent être dégagés;
ceux-ci devront nécessairement être pondérés en fonction du contexte de l'étude.
 Fiabilité : Un détecteur d'intrusion doit être fiable ; les alertes qu'il génère doivent
être justifiées et aucune intrusion ne doit pouvoir lui échapper. Un IDS générant trop de
fausses alertes sera à coup sûr désactivé par l'administrateur et un IDS ne détectant rien
sera rapidement considéré comme inutile.
 Réactivité : Un IDS doit être capable de détecter les nouveaux types d'attaque le
plus rapidement possible ; pour cela il doit rester constamment à jour. Des capacités de
mise à jour automatique sont pour ainsi dire indispensables.
 Facilité de mise en œuvre et adaptabilité : Un IDS doit être facile à mettre en
œuvre et doit pouvoir surtout s'adapter au contexte dans lequel il doit opérer ; il est
inutile d'avoir un IDS émettant des alertes en moins de 10 secondes si les ressources
nécessaires à une réaction ne sont pas disponible pour agir dans les mêmes contraintes
de temps.
 Performance : la mise en place d'un IDS ne doit en aucun cas affecter les
performances des systèmes surveillés. De plus, il faut toujours avoir la certitude que
l'IDS a la capacité de traiter toute l'information à sa disposition (par exemple un IDS
réseau doit être capable de traiter l'ensemble du flux pouvant se présenter à un instant
donné sans jamais dropper de paquets) car dans le cas contraire il devient trivial de
masquer les attaques en augmentant la quantité d'information.
 Multicanal : Un bon IDS doit pouvoir utiliser plusieurs canaux d'alerte (email,
pager, téléphone, fax...) afin de pouvoir garantir que les alertes seront effectivement
émises. Information : L'IDS doit donner un maximum d'information sur l'attaque
Mbaitibet Togbé 26
2017/2018
détectée afin de préparer la réaction. Classification : il doit être aisé de hiérarchiser la

gravité des attaques détectées afin d'adapter le mode d'alerte.
II.7. Choix de la position d’un IDS
Il existe plusieurs endroits stratégiques où il convient de placer un IDS.
Le schéma suivant illustre un réseau local ainsi que les trois positions que peut y
prendre un IDS :
Figure 8: Choix de la position d’un IDS dans le réseau
 Position (1):Sur cette position, l'IDS va pouvoir détecter l'ensemble des attaques
frontales, provenant de l'extérieur, en amont du firewall. Ainsi, beaucoup (trop?)
d'alertes seront remontées ce qui rendra les logs difficilement consultables.
 Position (2): Si l'IDS est placé sur la DMZ, il détectera les attaques qui n'ont pas
été filtrées par le firewall et qui relèvent d'un certain niveau de compétence. Les logs
seront ici plus clairs à consulter puisque les attaques bénines ne seront pas recensées.
 Position (3): L'IDS peut ici rendre compte des attaques internes, provenant du
réseau Local de l'entreprise. Il peut être judicieux d'en placer un à cet endroit étant donné
le fait que 80% des attaques proviennent de l'intérieur. De plus, si des trojans ont
contaminé le parc informatique (navigation peu méfiante sur internet) ils pourront être
ici facilement identifiés pour être ensuite éradiqués.
Idéalement, on placerait des IDS sur les trois positions puis on délèguerait la
consultation des logs à l'application "acid" qui permet d'analyser les alertes et d'en
présenter clairement les résultats via une interface web complète. Si une seule machine
peut être déployée, autant la mettre sur la position 2, cruciale pour le bons
fonctionnement des services.
Mbaitibet Togbé 27
2017/2018
II.8 Exemple des IDS
Face aux menaces d’intrusions, il existe plusieurs solutions concernant le choix

d’un IDS. Il existe des solutions commerciales aussi bien qu’Open Source. Les solutions
Open Source n’ont rien n’à envier aux solutions commerciales. Mieux les solutions
commerciales se basent même sur les Open Source pour améliorer leur produit.
La différence notoire entre ces deux solutions se trouve essentiellement sur le

déploiement (éventuellement sur le prix!).
Elle nécessite beaucoup de prés-requis telles que des utilitaires de base ou encore
des connaissances sur le système où le produit va être déployé. Cette situation se
présente surtout quand on est dans un environnement Linux ! Dans l’environnement
Windows on ne fait que suivre les instructions du produit en cochant/décochant des
cases, faisant des «suivant».
Pour les solutions commerciales nous avons entre autres :
1. BlackICE PC Protection
Par ICE Network est un système de détection d'intrusion et une solution de pare-
feu personnel pour le PC. Il scanne la connexion Internet à la recherche d'activités
malveillantes. BlackICE ne ralentira pas le PC ou l’expérience Internet. BlackICE PC
Protection protège de manière que les autres pare-feu ou un logiciel antivirus ne le font
pas: il détecte l'attaque, identifie et bloque l'activité hacker avant de pouvoir atteindre
l’ordinateur final, et identifie l'attaquant et le type d'attaque par nom; il inspecte
complètement le contenu de chaque paquet, à la recherche d'un code hostile caché que
les pare-feu ne peuvent pas détecter; il protège contre les attaques, même de quelqu'un
de confiance, via son adresse IP dynamique et de blocage des ports. BlackICE PC
Protection est également facile à installer, ne nécessite aucune connaissance du réseau
ou sur Internet.
2. Symantec Endpoint Protection (SEP)
Symantec Client Security fournit la protection des clients contre des menaces
complexes sur l’Internet en intégrant l’antivirus, le par feu et la détection des intrusions,
à travers la gestion et la réponse centralisées. Il aide à protéger l’entreprise contre les
virus, les pirates et les menaces combinées.
Cette solution offre un déploiement commun et une fonction de mise à jour pour
des technologies de sécurité multiples, permettant ainsi une sécurité plus complète du
client. Symantec TM Client Security est une solution facile à administrer qui garantit
une sécurité multi couches performante.
Il faut noter qu’il existe en effet plusieurs gammes des IDS/IPS payants dont :
Real Secure ISS, Network Flight Recorder(NFT), Session Wall(Arbinet), Cisco
Secure IDS (anciennement NetRanger), McAfee Network Security etc.
Mbaitibet Togbé 28
2017/2018
Pour les solutions libres, il existe une pluralité fonctionnant sous Windows ainsi
que sous Linux que nous présentons ici quelques-uns :
3. Nessus
Nessus est un scanneur de vulnérabilités. Avec Nessus, il est possible de Scanner

le réseau pour tester des failles connues sur l'ensemble du réseau à la fois, sur une ou
plusieurs machines, cela est paramétrable.
Couplé à un véritable scanner de ports comme Nmap, il devient possible de tester

tous les ports de chaque machine afin de trouver des erreurs de configuration ou de
déceler si des services tournent sur des machines alors qu'ils ne devraient pas.
Nmap est un outil très puissant qui donne la possibilité de faire des scans de ports
furtifs permettant de passer inaperçu aux yeux des IDS.
On se sert de ce type d'outil afin de jouer au hacker! En effet, il est préférable

d'utiliser les mêmes outils que les hackers sur notre réseau afin de voir par nous-mêmes
les failles auxquelles nous pourrions être sensibles plutôt que d'attendre que quelqu'un
de malveillant transperce nos défenses. Nessus est livré avec une grande panoplie
d'attaques .Exemple : attaques par force brute. On peut aussi aisément ajouter d'autres
scanneurs de ports ou le coupler avec des outils de force brute, qui couplé avec des
dictionnaires bien choisis, permettra de tester les mots de passe employés dans différents
services. Cela permet de tester si un mot de passe est capable de résister au minimum
requis .Donc en plus de la fonction d ' IDS Nessus peut être un outil d'audit.
4. Snort
C’est un IDS open source. Il est capable d’analyser le trafic sur le réseau en temps
réel et les paquets circulant sur le réseau. Il concurrence actuellement encore plusieurs
produits commerciaux et il y a même certains produits qui se basent sur ce programme
ou son moteur de recherche afin de construire leur solution par-dessus.
Il peut exécuter l'analyse de protocole, et peut être employé pour détecter une
variété d'attaques, des tentatives comme des débordements, des balayages de port de
dérobée ... Snort emploie un langage flexible de règles, aussi bien qu'un moteur de
détection qui utilise une architecture plug-in modulaire. Snort a des possibilités en temps
réel d'alerter. Snort a trois utilisations primaires. Il peut être employé en tant qu'un
renifleur de paquets (comme tcpdump), un enregistreur de paquet ou comme plein
système de détection d'intrusion réseau.
5. Bro
Il est apparu au même moment que Snort, avec les mêmes intentions : offrir un
moyen de décrire des signatures pour détecter le trafic malicieux et également se baser
sur des modules spécialisés. Pour décrire ces signatures, Bro propose un langage dédié
qui se rapproche d’un langage impératif classique et permet de décrire les motifs des
Mbaitibet Togbé 29
2017/2018
attaques. Sa communauté est moins que celle de Snort, mais il faut remarquer que Bro
est la première solution à considérer que le système d’analyse puisse être la cible d’une
attaque et propose des mécanismes pour contourner les différents types d’attaques.
II.9. Limite des IDS
1. Du point de vue technique
Il existe de plus en plus de techniques qui permettent de contourner un IDS :
 Les scans de port sur une machine cible sont en général détectés par les IDS à
cause de leur fréquence élevée. Cependant, les outils de scan disposent de plus en plus
d’options permettant de diluer la fréquence des scans, ceux-ci passant alors inaperçus
pour l’IDS.
 La surcharge : si une quantité importante d’informations est envoyée afin de
surcharger les alertes IDS, il sera alors possible de glisser une attaque, qui sera
difficilement identifiable face au flot d’informations.
 La fragmentation : en fragmentant les paquets IP (qui ne seront réassemblés
qu’au niveau du destinataire), les IDS ne seront pas capables de reconnaître les
signatures.
2. Du point de vue humain
Humainement aussi, les IDS ont leur limite :
 Le mode passif ne fait que remonter les informations, c’est l’administrateur

réseau qui se charge des actions. Si les attaques ont lieu le week-end ou en vacances, il
est alors plus difficile de mettre en place des moyens de défense.
 L’analyse des alertes est longue, et demande des ressources importantes pour
protéger un réseau, ou pour découvrir la source de l’attaque.
3. Les comportements fautifs
Les IDS peuvent aussi avoir des comportements fautifs, que l’on regroupe dans
deux catégories :
 Les faux positifs, qui comprennent les alertes générées par une activité pourtant
normale.
 Les faux négatifs, qui sont à l’inverse des comportements anormaux non détectés.
4. Les connaissances en sécurité
Alors que l’installation des logiciels IDS est relativement simple, l’exploitation
des alertes remontées demande des connaissances plus importantes en sécurité. Même
si les outils ont de nombreuses fonctionnalités, l’intervention humaine est toujours
indispensable.
Mbaitibet Togbé 30
2017/2018
5. Le positionnement des sondes
Les sondes doivent être installées sur le réseau différemment selon plusieurs
problématiques :
 Champs de vision des sondes : savoir si l’on souhaite faire des doublons de
surveillances ou un suivi d’analyse.
 Détail de l’analyse : entrée du réseau, domaine de collision, etc….
 Remontée des alertes : par le réseau sécurisé ou par un réseau isolé.
6. La plateforme
Les faiblesses des IDS sont aussi liées à la faiblesse de la plateforme. Par
exemple, un logiciel IDS sera moins performant sur un poste Win98 que sur un Open
BSD, à cause de la stabilité du système.
D’autre part, la saturation de la mémoire, de la carte réseau ou du processeur font

directement défaut à l’IDS de la machine.
II.10- Raison du choix de l’IDS/IPS SNORT
Par rapport aux critères de choix d’un ids, Snort répond à ces différents critères et
la raison de sa sélection se résume au niveau des points ci-dessous :
 Produit open source,

 Analyse en temps réel des flux,
 Alerte en temps réel,
 Possède une grande communauté,
 Concurrent de gammes commerciales,
 Les autres entreprises se basent sur Snort pour la construction de leur programme
ou moteur de recherche.
CONCLUSION
Dans cette partie, nous avons fait une étude sur les systèmes de détection
d’intrusion qui sont des mécanismes ou logiciels qui écoute le trafic réseau de manière
furtive afin de repérer des activités anormales ou suspectes, de les contrecarrer et
permettent ainsi d'avoir une action de prévention sur les risques d'intrusion et en suite
parler de la généralité sur les attaques réseau. Dans la suite de ce travail, nous allons
décrire SNORT dans sa globalité ainsi que ses outils d’exploitation, les implémenter et
faire leurs configurations.
Mbaitibet Togbé 31
2017/2018
CHAPITRE III : IMPLEMENTATION DE LA SOLUTION
INTRODUCTION
Dans ce chapitre, nous allons ressortir les outils à utiliser pour l’implémentation,
proposer une architecture de la solution retenue ensuite procéder à l’installation de tous
les outils, passer à leur configuration et enfin faire les premiers tests de fonctionnement.
III.1. Les outils à utiliser
Les outils représentés dans le tableau ci-dessous avec leurs versions seront
utilisés dans le cadre de ce travail et constitue le cahier de charge pour la solution.
Tableau 1: Récapitulatif des outils utilisés.
Outils Versions
GNS3 1.3.13
ROUTEUR Cisco C2600
PAREFEU ASA Cisco ASA 8.4-R-1
SWITCHS De GNS3 1.3.13
VCPs De GNS3 1.3.13
HOST De GNS3 1.3.13
VIRTUALBOX 5.2.16
SNORT 2.9.11.1
SNORTRULES-SNAPSHOT 2.9.11.1
WinPcap 4.1.2 et 4.1.3
HP EliteBook 8460p Core I5 Ram 8G DD=500G
Windows 7 et 8
III.2 Proposition de l’architecture à mettre en œuvre
Pour pouvoir tenter de résoudre le problème des intrusions et des attaques que
l’entreprise de télécommunication CAMTEL est susceptible d’en recevoir, nous
proposons l’architecture suivante qui est un exemple sur lequel la société pourrait baser
son système pour détecter et contrecarrer ces dernières.
Mbaitibet Togbé 32
2017/2018
Figure 9: Architecture proposée et réalisée
III.3 Le pare-feu Cisco ASA 8.4-R-1 et le routeur Cisco C2600
Le pare-feu ASA 8.4-R-1 est un produit de la gamme Cisco utilisé dans la sécurité
informatique. Il assure la fonction de filtrage en amont et en aval des paquets et constitue
une barrière pour l’accès au réseau interne de l’entreprise, à la zone démilitarisée(DMZ)
et pour fournir la route vers le routeur. Sa configuration dans le cadre de ce travail est
basique et nous permettra de faire différents tests nécessaire à la bonne marche de la
solution proposée. Pour assurer le routage, le protocole RIP v2 est implémenté.
Le routeur R1 (périmètre routeur) connecté au pare-feu et par le fournisseur

d’accès (FAI) permet aux utilisateurs internes d’accéder à l’internet s’ils sont permis
donc fait ici office de passerelle.
Les figures ci-après montrent la configuration basique du pare-feu et le protocole RIPv2.
Mbaitibet Togbé 33
2017/2018
Figure 10: Configuration basique du pare-feu ASA 8.4-R-1
Figure 11: Protocole de routage RIPv2
III.4. Installation et configuration de SNORT
1. Installation de WinPcap
WinPcap est un programme de filtrage qui permet de capturer des trames IP dans
un environnement Windows. La plupart du temps intégré aux applications comme
Windump ou Ethereal, WinPcap ne fonctionne pas en standalone. Il s’agit en effet d’un
API et ne peut être utilisé qu’au travers d’autres applications. C’est un outil permettant
d’accéder aux couches réseau à bas niveau du système, WinPcap autorise les
applications qui l’intègrent à capturer et à transmettre des paquets en contournant le
protocole stack, et ainsi à obtenir des statistiques sur le réseau.
Par extension, le recourt à WinPcap permet de surveiller le réseau et de détecter

d’éventuelles intrusions, ainsi que d’analyser les protocoles et trafic.
Mbaitibet Togbé 34
2017/2018
Son installation consiste à le télécharger directement sur le site officiel

www.winpcap.com et de l’exécuter en faisant un clic sur suivant tout en acceptant le
terme du contrat de licence aussi simple que l’installation du logiciel VLC.
La figure suivante montre l’exemple d’installation de WinPcap.
Figure 12: Installation de WinPcap
2. Installation de SNORT
Snort est un puissant système de détection d’intrusion qui permet de détecter et

prévenir une utilisation frauduleuse de votre réseau. Pour fonctionner correctement, il
requiert l’installation préalable de WinPcap.
Fonctionnant sur la base des règles rédigées par son éditeur et la communauté,
Snort est capable d’effectuer des analyses de trafic et de protocole en temps réel, de
procéder à des recherches et correspondances de contenu, de sniffer et de logger des
paquets, dans le but de détecter des intrusions et des attaques comme dépassement de
buffers ou des sondes SMB.
Enfin, en marges des règles éditées par la communauté, chaque utilisateur peut
rédiger ses propres règles via le fichier de configuration Snort.
Afin de l’installer, nous pouvons le télécharger directement sur le site officiel

www.snort.org et le lancer en faisant que des traditionnels clics sur suivant.
Mbaitibet Togbé 35
2017/2018
La figure suivante montre le début de son installation.
Figure 13: Installation de Snort
3. Processus de configuration de Snort
Pour la configuration, nous devons prendre en ligne le module snortrules-

snapshot-29111.tar qui contient les fichiers nécessaires à la configuration que nous
allons en suite désarchiver et copier le contenu des fichiers rules, preproc_rules et du
fichier etc dans la racine de Snort dans le disc local C contenant le système
d’exploitation de la machine.
Dans le fichier etc, nous utilisons le fichier snort.conf que nous renseignons
l’adresse du réseau ou sous réseau (Home_Net) à surveiller. Ici pour le coté DMZ nous
utilisons l’adresse 192.168.2.1 pour l’interface du pare-feu et le 192.168.3.1 pour le
réseau interne ainsi que le masque 255.255.255.0 et en externe toutes les adresses qui
tentent d’entrer dans le réseau.
La figure suivante montre l’exemple d’une interface configurée.
Mbaitibet Togbé 36
2017/2018
Figure 14: Renseignement de l’adresse de l’interface à surveiller.
Nous indiquons ensuite le chemin que Snort doit prendre pour utiliser le fichier rules et
les fichiers Blacklist et Whitelist.
Figure 15: Indication du chemin d’accès et définition des listes blanches et noires
Nous orientons en suite le chemin d’accès aux preprocessors.
Figure 16: chemin d’accès aux preprocessors
Mbaitibet Togbé 37
2017/2018
Sous l’étape 7 et 8 nous activons tous les chemins afin que Snort puisse les utiliser
pour générer les alertes.
La figure suivante montre un extrait de la partie de l’étape 7 qui est similaire à l’étape
8.
Figure 17: Activation du chemin d’accès des rôles
Afin de générer les alertes, Snort a besoin qu’on définisse quelques règles à cet
effet. Ainsi sous le dossier Rules dans la racine de Snort, nous éditons le fichier
local.rules dans lequel nous définissons les règles nécessaires que Snort utilisera.
La figure suivante montre un exemple de définition des règles utilisées.
Figure 18: Définition des règles locales
CONCLUSION
Tout au long de ce chapitre, nous avons donné la procédure d’installation de Snort

avec les packages nécessaires à son bon fonctionnement, édité et configuré les différents
fichiers, et enfin définit les différentes règles utilisée par Snort pour générer les alertes.
Mbaitibet Togbé 38
2017/2018
Dans la suite de ce travail, nous allons faire des tests de validation et commenter les
résultats obtenus.
Mbaitibet Togbé 39
2017/2018
CHAPITRE IV : RESULTATS ET COMMENTAIRES
INTRODUCTION
Après l’installation et la configuration de notre solution de détection d’intrusion

Snort avec ses prérequis, nous allons maintenant procéder aux tests et commentaires des
résultats obtenus.
1. Test de connexion au pare-feu ASA
Afin de voir la communication entre les segments du réseau, nous allons envoyer
la commande icmp à partir du pare-feu ASA vers les machines clientes et l’interface du
routeur.
Figure 19: Commande ICMP vers le réseau interne
Figure 20: Commande ICMP vers l’interface du routeur
Mbaitibet Togbé 40
2017/2018
Figure 21: Commande ICMP vers le DMZ
Nous pouvons voir ici que la commande ICMP envoyée vers les interfaces du
réseau donne un résultat satisfaisant du fait que les paquets sont reçus normalement.
2. Test de validation de configuration de Snort
Pour voir la version de Snort, nous allons taper la commande Snort –V
Figure 22: Version de Snort utilisé
Afin de voir l’interface sur lequel Snort peut faire l’écoute, nous utilisons la commande
Snort –W
Mbaitibet Togbé 41
2017/2018
Figure 23: Interface d’écoute de Snort
Pour confirmer la validation de configuration, nous tapons dans l’invite de

commande en tant que administrateur la commande suivante :
Snort –i [num interface] –c c:\snort\etc\snort.conf –T
Figure 24: Test de validation de configuration de Snort
Une fois la configuration validée, nous passons au test de détection d’intrusion

en mode console. Lorsque l’on envoie une requête icmp vers l’une des interfaces du
pare-feu ASA contrôlée par le système snort, nous remarquons automatiquement la
commande icmp envoyée.
Mbaitibet Togbé 42
2017/2018
Figure 25: Commencement de la détection en mode console
Figure 26: Envoie de la commande icmp
Figure 27: Détection de la commande icmp
Mbaitibet Togbé 43
2017/2018
CONCLUSION
Nous pouvons au vu des résultats présentés ci-haut dire que le minimum pour ce
travail qui consiste à mettre en place un système de détection d’intrusion réseau a bien
évidemment été mise en place et sa configuration normalement validée ci qui montre
que le travail abattu s’est terminé avec un résultat satisfaisant et nous pouvons
commencer à voir les requêtes envoyées sur l’interface du pare-feu couplé au détecteur
d’intrusion Snort.
Mbaitibet Togbé 44
2017/2018
CONCLUSION GENERALE ET PERSPECTIVES
Au terme de ce travail qui consiste à étudier et mettre en place un système de

détection et prévention d’intrusion réseau, nous pouvons affirmer que la majorité des
objectifs fixés au départ est atteint.
La réalisation de ce travail nous a permis de comprendre ce que s’est les

attaques, les techniques et les outils utilisés pour perpétrer les attaques réseaux.
L’implémentation de Snort permet de détecter les intrusions dans sa globalité et de
pouvoir prévenir toutes attaques en prenant des mesures de sécurité nécessaire au bon
fonctionnement d’un réseau d’une entreprise ou une organisation donnée.
Dans l’avenir pour la suite de cette réalisation, nous allons tenter de :
 Mettre en place le système de prévention d’intrusion pour pouvoir bloquer les

attaques ;
 Mettre sur pied une interface graphique couplée à la base de données pour
l’exploitation du système de détection et prévention d’intrusion
Mbaitibet Togbé 45
2017/2018
WEBOGRAPHIE
http://litis.univ-lehavre.fr/~duvallet/enseignements/Cours/CNAM/CNAM-Cours-
IDS.pdf (consulté le 12/07/2018 à 15h)
chrome-extension://mhjfbmdgcfjbbpaeojofohoefgiehjai/index.html (consulté le
12/07/2018 à 20h40)
https://www.securiteinfo.com/conseils/securite-physique-et-logique-du-materiel-
informatique.shtml (consulté le 12/07/2018 à 21h23)
https://img19.ccm2.net/FpK8Lmb4cL_73uj9D5OGUHf6Fl4=/454x/2ff29e9d94dc436
d9315b8317ee869b2/ccm-encyclopedia/attaques-images-risques.png (consulté le
13/07/2018 à 11h42)
https://www.oqlf.gouv.qc.ca/ressources/bibliotheque/dictionnaires/terminologie_sec_i
nformatique/intrusion_informatique.html (consulté le 13/07/2018 à 12h01)
https://wapiti.telecomlille.fr/commun/ens/peda/options/st/rio/pub/exposes/exposesrio2
004/Moutaib-Elofir/Diff%E9rents%20types%20d'attaques/Untitled-2.htm (consulté le
14/07/2018 à 11h27)
http://motilia.com/-/network-attacks-an-overview (consulté le 16/07/2018 à 10h42)
http://tecfaetu.unige.ch/staf/staf-j/diego/staf14/ex8/virus.html (consulté le 16/07/2018 à

15h02)
https://www.zdnet.fr/i/edit/tu/2004/12/tableau39193530.html (consulté le 17/07/2018 à

13h10)
https://fr.wikipedia.org/wiki/Nmap (consulté le 18/07/2018 à 10h35)
https://www.supinfo.com/articles/single/1536-wireshark-analyseur-paquets (consulté le
18/07/2018 à 13h42)
https://github.com/jmanteau/lprims-nsm/blob/master/TP%20-
%20Utilisation%20Tcpdump%20Tshark%20Argus%20Snort%20Bro.md (consulté le
18/07/2018 à 15h23)
chrome-extension://mhjfbmdgcfjbbpaeojofohoefgiehjai/index.html (consulté le
19/07/2018 à 10h54)
https://dbprog.developpez.com/securite/ids/ (consulté le 24/07/2018 à 01h13)
http://lehmann.free.fr/RapportMain/node10.html (consulté le 24/07/2018 à 11h12)
Mbaitibet Togbé x
2017/2018
https://www.securiteinfo.com/conseils/choix_ids.shtml (consulté le 25/07/2018 à

12h40)
https://it.ucsf.edu/services/symantec-endpoint-protection-sep/endpoint-protection-
client-security (consulté le 30/07/2018 à 14h38)
https://wapiti.telecomlille.fr/commun/ens/peda/options/st/rio/pub/exposes/exposesrio2
005/geib-gobron/part3_2.html (consulté le 31/07/2018 à 14h14)
http://wallu.pagesperso-orange.fr/pag-ports.htm (consulté le 07/08/218 à 13h57)
https://www.supinfo.com/articles/single/4993-composants-logiciels-support-snort-
2990-ubuntu (consulté le 07/08/2018 à 15h18)
https://www.01net.com/telecharger/windows/Utilitaire/reseau/fiches/132736/html
(consulté le 20/08/2018 à 07h56)
https://www.01net.com/telecharger/windows/Utilitaire/reseau/fiches/132737/html
(consulté le 20/08/2018 à 08h13).
Mbaitibet Togbé xi
2017/2018

Mbaitibet Togbé IDS Et IPS Corrigé

Загружено:

Сведения о документе

Оригинальное название

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

Mbaitibet Togbé IDS Et IPS Corrigé

Загружено:

Авторское право:

Доступные форматы

UNIVERSITE DE MAROUA THE UNIVERSITY OF MAROUA

ETUDE ET MISE EN PLACE D’UN SYSTEME DE

Technicien Supérieur en Télécommunications

Devant le jury composé de :

Président : Dr. HAYATOU OUMAROU

Rapporteur : M. TERDAM VALENTIN

Examinateur : Dr. HAYATOU OUMAROU

Invité : M. ADAM ABBA ABAÏCHO

Année Académique 2017/2018

Mes remerciements vont à l’endroit de :

Dr AYATOU OUMAROU le président de séance d’avoir accepté de présider notre

Dr. AYATOU OUMAROU l’examinateur d’avoir accepté de juger ce travail ;

M. TERDAM VALENTIN notre encadreur académique pour l’intérêt accordé à ce

Tout le personnel de la Cameroon Telecommunication en particulièrement à M. ADAM

Tous les enseignants de l’Ecole Nationale Supérieure Polytechnique de l’université de

Mes remerciements vont aussi à l’endroit de :

Ma mère NDOUBA NADJIDOUMNAN YVETTE qui ne cesse de m’encourager et

Mes condisciples de classe pour leur soutien tout au long de l’année.

Mbaitibet Togbé iii

I.4.2- Attaques ciblant l'infrastructure réseau............................................................................. 12

II.6. Critères de choix d’un IDS .......................................................................................................... 26

LISTE DES SIGLES ET ABREVIATIONS

ARP: Address Resolution Protocol

ASA: Adaptive Security Appliances

CAMTEL: Cameroonian Telecommunication

CPU: Central Processing Unit

DMZ: DeMilitarized Zone

DNS: Domain Name Service

DoS: Deny of Service

FAI: Fournisseur d’Accès Internet

FH: Faisceau Hertzien

FTP: File Transfer Protocol

HIDS: Host Intrusion Detection System

HTTP: Hyper Text Transfer Protocol

ICMP: Internet Control Message Protocol

IDS/IPS: Intrusion Detection System/Intrusion Prevention System

IP: Internet Protocol

KIPS: Kernel Intrusion Prevention System

LAN: Local Area Network

MAC: Medium Access Control

MINPOSTEL: Ministère des Postes et Télécommunications

MPLS: Multiprotocol Label Switching

NIDS: Network Intrusion Detection System

NIPS: Network Intrusion Prevention System

NMAP: Network Mapper

PING: Packet Internet Groper

RFC: Request For Comments

RIPv2: Routing Information Protocol Version 2

RREN: Représentation Régionale de l’Extrême-Nord

SSH: Secure SHell

TCP: Transmission Control Protocol

TELNET: Terminal Network ou Telecommunication Network

UDP: User Datagram Protocol

VCPS: Virtual PC Simulator

WAN: Wide Area Network

WIPS: Wireless Intrusion Prevention System

Mbaitibet Togbé vii

Nous avons utilisé le logiciel GNS3 pour l’émulation et Virtualbox pour la

Mots clés : Réseaux, attaques, intrusion, détection, prévention.

Mbaitibet Togbé viii

Nowadays, no society or organization can do anything without a

The appropriate systems to overcome these attack problems can only be

We proposed a network architecture that integrates a firewall and an IDS. We