Add to collection(s) Add to saved
  1. No category
Uploaded by bitad38735

Rapport PFE

advertisement 
Rapport de Projet fin d’étude
Système de prévention d’intrusion
IPS
Encadré par :
réalisé par :
Mme. OUADFEL Rachida
BOUKANTAR Nadia
BAHANI Youssef
Année Universitaire 2019/2020
1|P ag e
Remerciements :
Avant tout, nous remercions notre professeure et tuteur de
projet de fin d’étude madame Rachida Ouadfel, qui nous a
orienté et conseillé tout a long de ce projet.
Nous remercions aussi les cadres administratives et tous les
professeures de la branche Système et Réseau Informatique
et tous les gens qui ont aidé d’une manière ou autre la
procédure de ce projet.
2|P ag e
Résumé :
3|P ag e
Table de matières :
Remerciements : ................................................................................................................................2
Résumé : ............................................................................................................................................3
Table de matières : .............................................................................................................................4
Chapitre 1 : partie théorique ............................................................................................................5
I.
Introduction :..............................................................................................................................6
II.
Définition :..................................................................................................................................6
III.
Principes fonctionnement :.....................................................................................................6
IV.
Les types de IPS: .....................................................................................................................7
1.
Système de prévention des intrusions sur l’hôte (HIPS) : .............................................................7
2.
Système de prévention des intrusions sur le réseau (NIPS) : ........................................................8
3.
Système de prévention des intrusions sans fil (WIPS) : ................................................................8
V.
Compétences requises : ..............................................................................................................9
VI.
Les attaques :........................................................................................................................ 10
1.
Les différents étapes d’une attaque : ........................................................................................ 10
2.
Les différents types d’une attaque : .......................................................................................... 11
VII.
Snort : ................................................................................................................................... 12
1.
Définition : ................................................................................................................................ 12
2.
Fonctionnalités :........................................................................................................................ 13
3.
Règles de snort : ........................................................................................................................ 13
Chapitre 2 : Outils nécessaires pour installer et configurer un IPS .............................................. 14
I.
GNS3 : ....................................................................................................................................... 15
1.
Introduction : ............................................................................................................................ 15
2.
Avantages : ............................................................................................................................... 15
3.
Désavantages : .......................................................................................................................... 16
II.
Oracle virtualBox : .................................................................................................................... 16
III.
Système d’exploitation UBUNTU : ........................................................................................ 17
IV.
PFSense :............................................................................................................................... 18
Chapitre 3 : Installation et configuration ....................................................................................... 19
Installation Linux Ubuntu server 16.01.6...................................................................................... 20
Installation de PFsense .................................................................................................................. 28
Configuration IPS .......................................................................................................................... 32
Configuration d’adressage ............................................................................................................. 44
Conclusion : ...................................................................................................................................... 47
4|P ag e
Chapitre 1 : partie théorique
5|P ag e
I.
Introduction :
La majorité des attaques profitent de pages web ou de services autorisés tels
que l’email, la messagerie instantanée ou la téléphonie sur IP. Or, chacune de
ces applications possède son propre protocole de communication.
Il faut donc analyser ces protocoles pour contrer ces attaques sans impacter
les activités quotidiennes de l’entreprise. L’efficacité de l’inspection et la qualité
de la détection sont les critères clés de l’évaluation des technologies de
prévention d’intrusion.
Pour atteindre une efficacité optimale, l’IPS cherche à s’intégrer dans
d’autres technologies.
L’intégration d’un IPS dans un firewall applicatif, la reconnaissance
d’utilisateurs ou encore
L’analyse de vulnérabilités améliorent son action. Le système IPS est donc
au cœur d’un firewall multifonctions positionné aux points de segmentation du
réseau. Il peut également agir en mode transparent et ainsi éviter de modifier une
infrastructure réseau existante
II.
Définition :
Un système de prévention d'intrusion (ou IPS, intrusion prévention system)
est un outil des spécialistes en sécurité des systèmes d'information, similaire aux
IDS, permettant de prendre des mesures afin de diminuer les impacts d'une
attaque. C'est un IDS actif, il détecte un balayage automatisé, l'IPS peut bloquer
les ports automatiquement. Les IPS peuvent donc parer les attaques connues et
inconnues. Comme les IDS, ils ne sont pas fiables à 100 % et risquent même en
cas de faux positif de bloquer du trafic légitime.
III.
Principes fonctionnement :
De l’avis des analystes, le concept d’IPS ( systèmes de prévention des
intrusions) vise à anticiper les attaques de pirates informatiques dès lors que leur
empreinte est connu. Il ne s’agit plus seulement de réagir à une attaque en cours,
mais d’empêcher que celle-ci puisse seulement débuter.
Un système IPS est placé en ligne et examine en théorie tous les paquets
entrants ou sortants. Il réalise un ensemble d’analyses de détection, non
seulement sur chaque paquet individuel, mais également sur les conversations et
motifs du réseau, en visualisant chaque transaction dans le contexte de celles qui
précèdent ou qui suivent.
6|P ag e
Si le système IPS considère le paquet inoffensif, il le transmet sous forme
d’un élément traditionnel de couche 2 ou 3 du réseau. Les utilisateurs finaux ne
doivent en ressentir aucun effet. Cependant, lorsque le système IPS détecte un
trafic douteux il doit pouvoir activer un mécanisme de réponse adéquat en un
temps record.
L’IPS doit aussi, offrir un moyen de diminuer considérablement l’utilisation
des ressources humaines nécessaires au bon fonctionnement des IDS. Cela doit
aboutir, notamment, à une automatisation des fonctions d’analyse des logs,
même si ce point demeure encore une tâche difficile. La prise de décision doit
ainsi pouvoir être automatisée non seulement grâce à la reconnaissance de
signatures mais aussi, et de plus en plus, grâce à l’utilisation d’analyses
heuristiques provenant du monde des anti-virus.
IV.
Les types de IPS:
1. Système de prévention des intrusions sur l’hôte (HIPS) :
Le système de prévention des intrusions sur l'hôte (HIPS) détecte toutes les
activités malveillantes sur l'hôte, ce qui permet de protéger le système à
différents niveaux.
La vérification de l'intégrité protège le système contre les modifications
non autorisées. Elle repose sur le concept d'une bonne configuration : le produit
doit être installé avant que l'ordinateur ne soit connecté au réseau afin de
garantir que la configuration du système est bonne et connue.
Vous pouvez créer une ligne de base des fichiers système que vous
souhaitez protéger, et empêcher l'utilisation de fichiers modifiés pour tous les
utilisateurs.
Le composant de Pare-feu est un pare-feu de filtrage minutieux des paquets
basé sur Netfilter et iptables. Il protège les ordinateurs contre les tentatives de
connexion non autorisées. Vous pouvez utiliser des profils de sécurité
7|P ag e
prédéfinis, lesquels sont adaptés aux cas d'utilisation commun pour sélectionner
le trafic que vous souhaitez autoriser et refuser.
Si un attaquant obtient un accès système shell et essaye d'ajouter un compte
utilisateur pour se connecter au système par la suite, le système de prévention
des instrusions sur l'hôte (HIPS) détecte les fichiers système modifiés et avertit
l'administrateur.
Si un pirate a obtenu l'accès au système et essaie d'installer un rootkit sur
l'espace utilisateur en remplaçant plusieurs utilitaires système, HIPS détecte les
fichiers système modifiés et avertit l'administrateur.
2. Système de prévention des intrusions sur le réseau (NIPS) :
Les IPS du réseau sont alignés sur le réseau, analysant de manière
dynamique le contenu des paquets, bloquant certains paquets correspondant à
une signature et alertant les autres. Une protection NIPS est basée sur le contenu
des paquets. Les produits basés sur le taux sont appelés systèmes d'atténuation
des attaques. Il existe un recoupement entre les deux catégories de produits où
les produits basés sur le taux contrôlent le contenu et vice-versa. Il est donc
suggéré aux visiteurs de consulter les deux pages lorsqu'ils effectuent des
recherches sur les appareils.
3. Système de prévention des intrusions sans fil (WIPS) :
Un système WIPS est d'empêcher tout accès réseau non autorisé aux
réseaux locaux et à d'autres actifs d'informations par des périphériques sans fil.
Ces systèmes sont généralement implémentés en tant que superposition d'une
infrastructure LAN sans fil existante, bien qu'ils puissent être déployés de
manière autonome pour appliquer des stratégies sans-fil au sein d'une
8|P ag e
organisation. Certaines infrastructures sans fil avancées intègrent les
fonctionnalités WIPS.
Les grandes entreprises comptant de nombreux employés sont
particulièrement vulnérables aux atteintes à la sécurité causée par des points
d'accès non fiables. Si un employé (entité de confiance) d'un lieu met en place
un routeur sans fil facilement disponible, l'ensemble du réseau peut être exposé à
toute personne se trouvant à portée des signaux.
V.
Compétences requises :
Afin de pouvoir prétendre à l’appellation IPS, il faut que le produit mis en
œuvre s’articule autour de fonctionnalités essentielles :
- La compréhension des réseaux IP (les architectures existantes, les
protocoles utilisés…) et des couches applicatives de niveau 7 doit permettre de
détecter les anomalies protocolaires qui sont synonymes d’attaques.
- La connaissance des serveurs dédiés et de leur architecture logicielle afin
de les enrichir de nouvelles fonctions et de les sécuriser encore plus.
- La maîtrise des sondes réseau et l’analyse des logs dans le but de déceler
les attaques et d’écrire les scripts de commande qui piloteront les firewall.
- Comprendre les besoins du client afin de consacrer en priorité la politique
de défense aux fonctions vitales du réseaux de l’entreprise.
- Fonctionner à vitesse de ligne afin d’éviter tout effet néfaste sur la
performance ou la disponibilité du réseau.
- Fonctionner en mode "statefull Inspection" dans le but de connaître à
chaque instant le contexte de l’analyse en cours.
9|P ag e
VI.
Les attaques :
1. Les différents étapes d’une attaque :
La plupart des attaques, de la plus simple à la plus complexe fonctionnent
suivant le même schéma :
 Identification de la cible : cette étape est indispensable à toute attaques
organisée, elle permet de récolter un maximum de renseignements sur
la cible en utilisant des informations publiques et sans engager
d’actions hostiles. On peut citer par exemple l’utilisation des bases
Whois, l’interrogation des serveurs DNS,….
 Le scanning : l’objectif est de compléter les informations réunies sur une
cible visées. Il est ainsi possible d’obtenir les adresses IP utilisées, les
services accessibles de même qu’un grand nombre d’informations de
topologie détaillée (OS, versions des services, subnet, règles de
firewall….). Il faut noter que certaines techniques de scans
particulièrement agressives sont susceptibles de mettre à mal un réseau
et entraîner la défaillance de certains systèmes.
 L’exploitation : Cette étape permet à partir des informations recueillies
d’exploiter les failles identifiées sur les éléments de la cible, que ce
soit au niveau protocolaire, des services et applications ou des
systèmes d’exploitation présents sur le réseau.
 La progression : Il est temps pour l’attaquant de réaliser ce pourquoi il a
franchit les précédentes étapes. Le but ultime étant d’élever ses droits
vers root (ou system) sur un système afin de pouvoir y faire tout ce
qu’il souhaite (inspection de la machine, récupération d’informations,
installation de backdoors, nettoyage des traces ,…).
10 | P a g e
2. Les différents types d’une attaque :
Il existe un grand nombre d’attaques permettant à une personne mal
intentionnée de s’approprier des ressources, de les bloquer ou de les
modifier. Certaines requièrent plus de compétences que d’autres, en voici
quelques unes :

Le sniffing :
Grâce à un logiciel appelé "sniffer", il est possible d’intercepter toutes les
trames que notre carte reçoit et qui ne nous sont pas destinées. Si quelqu’un
se connecte par telnet par exemple à ce moment-là, son mot de passe
transitant en clair sur le net, il sera aisé de le lire. De même, il est facile de
savoir à tout moment quelles pages web regardent les personnes connectées
au réseau, les sessions ftp en cours, les mails en envoi ou réception. Une
restriction de cette technique est de se situer sur le même réseau que la
machine ciblée.

L’IP spoofing
Cette attaque est difficile à mettre en œuvre et nécessite une bonne
connaissance du protocole TCP. Elle consiste, le plus souvent, à se faire
passer pour une autre
machine en falsifiant son adresse IP de manière à accéder à un serveur
ayant une
"relation de confiance" avec la machine "spoofée". Cette attaque n’est
intéressante que dans la mesure où la machine de confiance dont l’attaquant à
pris l’identité peut accéder au serveur cible en tant que root.
11 | P a g e

Le DoS (Denial of Service)
Le DoS est une attaque visant à générer des arrêts de service et donc à
empêcher le bon fonctionnement d’un système. Cette attaque ne permet pas
en elle-même
d’avoir accès à des données. En général, le déni de service va exploiter les
faiblesses de l’architecture d’un réseau ou d’un protocole. Il en existe de
plusieurs types comme le flooding, le TCP-SYN flooding, le smurf ou le
débordement de tampon (buffer-overflow).

Les programmes cachés ou virus
Il existe une grande variété de virus. On ne classe cependant pas les virus
d’après leurs dégâts mais selon leur mode de propagation et de
multiplication. On recense donc les vers (capables de se propager dans le
réseau), les troyens (créant des failles dans un système), Les bombes logiques
(se lançant suite à un événement du système (appel d’une primitive, date
spéciale)).

L’ingénierie sociale (social engineering)
Ce n’est pas vraiment une attaque informatique en soit, mais plutôt une
méthode consistant à se faire passer pour quelqu’un que l’on n’est pas afin de
recueillir des informations confidentielles.

Le craquage de mots de passe
Cette technique consiste à essayer plusieurs mots de passe afin de trouver
le bon.
Elle peut s’effectuer à l’aide d’un dictionnaire des mots de passe les plus
courants (et de leur variantes), ou par la méthode de brute force (toutes les
combinaisons sont essayées jusqu’à trouver la bonne). Cette technique
longue et fastidieuse, souvent peu utilisée à moins de bénéficier de l’appui
d’un très grand nombre de machines.
VII.
Snort :
1. Définition :
C’est IDS réseaux (NIDS) :
 open source
 Conçu en 1998 par Marty Roesh racheté par SourceFire
 le plus très répandu des NIDS
12 | P a g e
 Il permet d’analyser les flux de données par rapport à une base de
données de signatures (règles), mais aussi de détecter les anomalies.
2. Fonctionnalités :





Permet d’interagir avec le pare-feu pour bloquer des intrusion
(utilisation comme IPS) « snort natif, snort-inline, autres plugins »
Possibilité de créer ses propres règles
Multi-plateforme (existe sous Windows et Linux)
Installation sous Debian/Ubuntu : apt-get install snort
3. Règles de snort :
Snort est fourni avec une base de règles permettant de détecter un bon
nombre d’attaques ou d’événements anormaux.
Il est possible d’écrire ses propres règles en suivant une syntaxe précise.
Les règles de Snort peuvent « agir » sur le trafic (comme le fait iptables) en
rejetant certains paquets.
13 | P a g e
Chapitre 2 : Outils
nécessaires pour installer et
configurer un IPS
14 | P a g e
I.
GNS3 :
1. Introduction :
GNS3 est un logiciel open source que
vous pouvez télécharger et utiliser gratuitement. Le code source est
disponible sur GitHub si vous souhaitez jeter un coup d’œil sur le code. Nous
espérons que vous le trouverez utile et bénéfique, mais si vous n'aimez pas
quelque chose ou souhaitez ajouter quelque chose, pourquoi ne vous
impliquez pas en contribuant? Rejoignez la communauté ou faites du
bénévolat pour vérifier le code ou ajouter des recommandations de code.
Avec plus de 800 000 membres de la communauté, nous pouvons tous
apprendre les uns des autres.
Il existe cependant d'autres options disponibles que vous pouvez utiliser.
Certaines sont gratuites, d'autres coûtent de l'argent. Utilisez ce qui vous
convient le mieux. Utilisez plusieurs options si vous le souhaitez. Nous
sommes heureux qu’une multitude de choix soient disponibles aujourd’hui,
ce qui nous aide tous à nous améliorer et à en apprendre davantage sur le
réseautage.
2. Avantages :









15 | P a g e
Logiciel gratuit
Logiciels open source
Pas de frais de licence mensuels ou annuels
Aucune limite sur le nombre de périphériques pris en charge (la seule
limitation concerne votre matériel: processeur et mémoire)
Prend en charge plusieurs options de commutation (module NMESW16 Etherswitch, images IOU / IOL de couche 2, VIRL IOSvL2):
Prend en charge toutes les images VIRL (IOSv, IOSvL2, IOS-XRv,
CSR1000v, NX-OSv, ASAv)
Prend en charge les environnements multi-fournisseurs
Peut être exécuté avec ou sans hyperviseurs
Prise en charge des hyperviseurs gratuits et payants (Virtualbox,
station de travail VMware, lecteur VMware, ESXi, Fusion)
 Des Appliances téléchargeables, gratuites, préconfigurées et
optimisées disponibles pour simplifier le déploiement
 Prise en charge native de Linux sans besoin de logiciel de
virtualisation supplémentaire
 Logiciels de plusieurs fournisseurs disponibles gratuitement
 Grande communauté active (plus de 800 000 membres)
3. Désavantages :
Les images Cisco doivent être fournies par l'utilisateur (téléchargement sur
Cisco.com, achat de licence VIRL ou copie à partir d'un périphérique
physique).
Pas un paquet autonome, mais nécessite une installation locale du logiciel
(GUI).
GNS3 peut être affecté par la configuration et les limitations de votre PC
en raison d’une installation locale (paramètres de pare-feu et de sécurité,
stratégies de la société en matière d’ordinateurs portables, etc.).
II.
Oracle virtualBox :
VirtualBox est un puissant produit de virtualisation
x86 et AMD64 / Intel64 destiné aux entreprises et aux
particuliers. Non seulement VirtualBox est-il un
produit extrêmement performant et extrêmement riche en fonctionnalités
pour les entreprises, il s'agit également de la seule solution professionnelle
librement disponible en tant que logiciel Open Source aux termes de la
licence GPL (GNU General Public License) version 2. Voir "A propos de
VirtualBox "pour une introduction.
Actuellement, VirtualBox fonctionne sur les hôtes Windows, Linux,
Macintosh et Solaris et prend en charge un grand nombre de systèmes
d'exploitation invités, notamment Windows (NT 4.0, 2000, XP, Server 2003,
Vista, Windows 7, Windows 8, Windows 10). ), DOS / Windows 3.x, Linux
(2.4, 2.6, 3.x et 4.x), Solaris et OpenSolaris, OS / 2 et OpenBSD.
16 | P a g e
VirtualBox est activement développé avec des versions fréquentes et
dispose d'une liste de plus en plus longue de fonctionnalités, de systèmes
d'exploitation invités et de plates-formes sur lesquelles elle s'exécute.
III.
Système d’exploitation UBUNTU :
Ubuntu est un système d’exploitation GNU/Linux
basé sur la distribution Linux Debian. Il est développé,
commercialisé et maintenu pour les ordinateurs individuels
par la société Canonical.
Ubuntu se définit comme « un système d'exploitation utilisé par des
millions de PC à travers le monde » et avec une interface « simple, intuitive, et
sécurisée . Elle est la distribution la plus consultée sur Internet d'après le site
Alexa, et le système d'exploitation le plus utilisé sur les systèmes Cloud ainsi
que sur les serveurs informatiques.
Ubuntu se divise en deux versions :
 la version principale : stable dit LTS. Une nouvelle version sort tous les
deux ans, le support de sécurité et des mises à jour sont assurés pendant
cinq ans10. La dernière version 18.04, nom de code « Bionic Beaver », est
sortie le 26 avril 2018/11. C'est la version recommandée sur le site de
Canonical pour le grand public.
 la version secondaire : Une nouvelle mise à jour sort tous les six mois et
le support de sécurité et de mises à jour sont assurés pendant 9 mois.
L'avant dernière version en date est la 19.04, nom de code « Disco Dingo
»12 qui est sortie le 16 avril 201913 et la dernière version est la 19.10,
nom de code « Eoan Ermine » qui est sortie le 17 octobre 2019. C'est la
version recommandée sur le site de Canonical pour ceux qui veulent
bénéficier des dernières nouveautés.
17 | P a g e
IV.
PFSense :
PfSense est un routeur/pare-feu open source basé sur le système
d'exploitation FreeBSD. À l'origine un fork de m0n0wall, il utilise le pare-feu
à états Packet Filter, des fonctions de routage et de NAT lui permettant de
connecter plusieurs réseaux informatiques. Il comporte l'équivalent libre des
outils et services utilisés habituellement sur des routeurs professionnels
propriétaires. pfSense convient pour la sécurisation d'un réseau domestique
ou de petite entreprise.
Après une brève installation manuelle pour assigner les interfaces
réseaux, il s'administre ensuite à distance depuis l'interface web et gère
nativement les VLAN (802.1q).
Comme sur les distributions Linux, pfSense intègre aussi un
gestionnaire de paquets pour installer des fonctionnalités supplémentaires,
comme un proxy, serveur VoIP...
V.
Scapy :
Scapy est un logiciel libre de manipulation de paquets réseau écrit en
python.
Il est capable, entre autres, d'intercepter le trafic sur un segment réseau,
de générer des paquets dans un nombre important de protocoles, de réaliser
une prise d'empreinte de la pile TCP/IP, de faire un traceroute, d'analyser le
réseau informatique…
18 | P a g e
Chapitre 3 : Installation et
configuration
19 | P a g e
Installation Linux Ubuntu server 16.01.6
20 | P a g e
Choisir La langue de système :
21 | P a g e
Sélection la région :
22 | P a g e
Configuration de nom de la machine, nom d’utilisateur, mot de passe :
23 | P a g e
Configuration de disque dur :
24 | P a g e
Installation et finalisation d’installation :
25 | P a g e
Premier démarrage :
Puisque Ubuntu server ne contient pas une interface graphique, on doit
installer un bureau graphique.
26 | P a g e
27 | P a g e
Installation de PFsense
28 | P a g e
Procédure d’installation :
29 | P a g e
30 | P a g e
Premier démarrage :
Page d’accueil Pfsense :
31 | P a g e
Configuration IPS
32 | P a g e
33 | P a g e
34 | P a g e
35 | P a g e
36 | P a g e
37 | P a g e
38 | P a g e
39 | P a g e
40 | P a g e
41 | P a g e
42 | P a g e
43 | P a g e
Configuration d’adressage
44 | P a g e
Périphérique
Masque de sous
réseau
255.255.255.252
-----------------------
192.168.1.1
255.255.255.0
-----------------------
F0/0
192.168.1.2
255.255.255.0
192.168.1.1
F1/0
192.168.1.3
255.255.255.0
192.168.1.1
S1/0
10.1.1.2
F0/0
Victime
Hacker
R1
PFsense
R2
45 | P a g e
interface
Adresse IP
S1/0
10.1.1.1
F3/0
Passerelle
255.255.255.252
-----------------------
192.168.2.1
255.255.255.0
-----------------------
E0
192.168.1.10
255.255.255.0
192.168.1.3
E0
192.168.2.10
255.255.255.0
192.168.2.1
Configuration de router R1 :
Configuration de routeur R2 :
46 | P a g e
Configuration des machines « Hacker » et « Victime » :
Hacker :
Victime:
47 | P a g e
48 | P a g e
Conclusion :
Donc, le système de prévention d'intrusion est un système de
sécurité qui est facile à implémenter dans la plupart des
infrastructures réseaux quel que soit la taille, en plus il offre
une sécurité interne et externe contre les attaques effectuées
sur les couches supérieures de 3 dans le modèle OSI, et ce
projet prouve tout cela puisque ce système a détecté
l’intrusion et a bloqué la source de cette dernière en suivant
les règles du SNORT.
49 | P a g e
Download
advertisement