Bibliographie

? Ouvrages

Aman Vladimir, Concevoir la Sécurité Informatique en Entreprise, 2014, 152 pages. ? Mémoires

Batouche Sonia et Saci Souhila, Etude et mise en place d'un système de Détection d'intrusion sous Linux, Université Abderrahmane Mira de Béjaïa, 2014-2015, 53 pages.

TOUATI Azeddine, Détection d'intrusions dans les réseaux LAN : Installation et configuration de l'IDS-SNORT, Université Abderrahmane Mira de Bejaïa, 2015-2016, 68 pages.

Aladine Tlich et Nabil Kherfani, Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Système et Réseau, Université de Carthage, 2015-2016, 67 pages.

? Articles

Noah Dietrich, Snort 2.9.9.x on Ubuntu 14 and 16 with Barnyard2, PulledPork, and BASE, 8 janvier 2017, 28 pages.

Wayne Veilleux, Le système de surveillance de la sécurité des réseaux, Security Onion, 11 novembre 2015, 30 pages.

Gilles Hilary, WannaCry et la diffusion des « zero day exploits », août 2017, 4 pages.

Arnaud Fontaine et Pierre Chifflier, Architecture système sécurisée de sonde IDS réseau, 13 pages.

? Rapports

i

Eric Farman, Snort, Hôtel de ville de Pertuis, 30/01/2012 au 16/02/2012, 30 pages.

Webographie

fr.wikipedia.org : 27/07/19, 12h28 blog.sienerinformatique.com : 27/07/19, 12h29 www.informatiquenews.fr : 27/07/19, 12h29 www.directioninformatique.com : 27/07/19, 12h29 www.commentcamarche.net : 27/07/19, 12h30 www.futura-sciences.com : 27/07/19, 12h31 encyclopedia.kaspersky.fr : 27/07/19, 12h32 www.cnil.fr : 27/07/19, 12h33

www.bravotelecom.com : 27/07/19, 12h33 doc.ubuntu-fr.org : 27/07/19, 12h35 www.prelude-siem.org : 27/07/19, 12h35 wiki.monitoring-fr.org : 27/07/19, 12h35 www.ossec.net : 27/07/19, 12h35

ii

www.snort.org : 27/07/19, 12h37 www.securiteinfo.com : 27/07/19, 12h37 lactualite.com : 27/07/19, 12h38 blog.securite-information.fr : 27/07/19, 12h39

Annexes

Annexe 1 : Dashboard Kibana

Annexe 2 : Installation de l'agent OSSEC sur la machine Windows XP

Annexe 3 : Enregistrement de la machine Windows XP comme agent du serveur OSSEC

iii

iv

Annexe 4 : Importation de la clé sur la machine Windows XP

Annexe 5 : Ajout d'un dossier à surveiller en temps réel par le serveur OSSEC

Annexe 6 : Ajout du dossier réussi

Table des matières

Dédicace I

Remerciements II

Avant-propos III

Sommaire IV

Glossaire VI

Liste des tableaux IX

Introduction générale 1

I. Cadre théorique et méthodologique 3

1.1. Cadre méthodologique 3

1.1.1. Présentation de l'ESTM 3

1.1.2. Problématique 4

1.1.3. Objectifs 4

1.1.4. Délimitation du sujet 4

1.2. La sécurité informatique 5

1.2.1. Qu'est-ce que la sécurité ? 5

1.2.2. Objectifs de la sécurité 5

1.2.3. Les enjeux de la sécurité 6

1.2.4. Les vulnérabilités 6

1.2.5. Les menaces 7

1.2.6. Les logiciels malveillants 7

1.2.7. Les intrusions 7

1.2.8. Les attaques 8

1.2.8.1 Définition 8

1.2.8.2. Anatomie d'une attaque 8

1.2.8.3. Types d'attaques 9

1.2.8.4. Catégorie des attaques 10

1.2.8.5. Quelques attaques courantes 12

1.2.9. Les moyens de sécuriser un réseau 15

1.2.10. Mise en oeuvre d'une politique de sécurité 21

II.

v

Cadre conceptuel 22

2.3. Système de détection et de prévention d'intrusions 23

2.3.1. Système de détection d'intrusions (IDS) 23

2.3.1.1. Définition 23

2.3.1.2. Présentation d'un système de détection d'intrusions 24

2.3.1.2.1. Architecture d'un IDS 24

2.3.1.2.2. Vocabulaire de la détection d'intrusions 26

2.3.1.2.3. Emplacements d'un système de détection d'intrusions 27

2.3.1.2.4. Classification des systèmes de détection d'intrusions 28

2.3.1.2.5. Les différents IDS 35

2.3.1.4. Avantages et limites d'un IDS 38

2.3.2. Systèmes de prévention d'intrusions (IPS) 38

2.3.2.1. Définition 39

2.3.2.2. Les différents IPS 39

2.3.2.2.1. Système de prévention d'intrusion réseau (NIPS) 39

2.3.2.2.2. Système de prévention d'intrusion de type hôte (HIPS) 40

2.3.2.2.3. Système de prévention d'intrusion kernel (KIPS) 40

2.3.2.3. Types de réponses aux attaques 40

2.3.2.3.1. Réponse active 41

2.3.2.3.2. Réponse passive 43

2.3.2.4. Les limites d'un IPS 43

2.4. Etude des solutions 44

2.4.1. Systèmes de détection d'intrusions basée sur l'hôte (HIDS) 44

2.4.1.1. OSSEC 44

2.4.1.2. AIDE 45

2.4.1.3. Samhain 45

2.4.2. Systèmes de détection d'intrusions réseau (NIDS) 47

2.4.2.1. SNORT 47

2.4.2.2. Suricata 47

2.4.2.3. Bro 48

2.4.3. Choix des solutions 50

2.4.4. Présentation générale de SNORT 50

2.4.4.1. Positionnement de SNORT dans le réseau 50

2.4.4.2. Architecture de SNORT 51

2.4.4.3. Paramétrage de SNORT 52

vi

2.4.4.3.1. Préprocesseurs 53

2.4.4.3.2. Les plugins de sortie 53

2.4.4.3.3. Les bases de SNORT 54

2.4.4.4. Dépendances de SNORT 56

2.4.4.4.1. Barnyard2 56

2.4.4.4.2. BASE 56

2.4.5. Présentation générale d'OSSEC 57

2.4.5.1. Architecture 57

2.4.5.1.1. Gestionnaire (ou serveur) 57

2.4.5.1.2. Agents 58

2.4.5.1.3. Sans agent 58

2.4.5.1.4. Virtualisation / VMware 58

2.4.5.1.5. Pare-feux, commutateurs et routeurs 59

2.4.5.2. Fonctionnalités 59

2.4.5.2.1. Les exigences de conformité 59

2.4.5.2.2. Multi plateforme 60

2.4.5.2.3. Alertes en temps réel et configurables 60

2.4.5.2.4. Intégration avec l'infrastructure actuelle 60

2.4.5.2.5. Gestion centralisée 60

2.4.5.2.6. Surveillance d'agent et sans agent 60

2.4.5.2.7. Vérification de l'intégrité des fichiers 61

2.4.5.2.8. Surveillance du journal 61

2.4.5.2.9. Détection de rootkits 61

2.4.5.2.10. Réponse active 61

2.4.5.3. Systèmes et périphériques pris en charge par OSSEC 61

Périphériques et systèmes d'exploitation via Agentless 62

III. Mise en oeuvre 63

3.5. Architecture et prérequis 63

3.5.2. Prérequis 64

3.6. Configuration et tests 65

3.6.1. SNORT 65

3.6.2. Installation de Barnyard2 69

3.6.3. Installation de PulledPork 72

3.6.4. Création de Scripts SystemD 74

3.6.5. Installation de B.A.S.E 75

vii

3.6.6. OSSEC 76

3.6.7. Tests d'intrusions 79

3.6.7.1. Avec SNORT 79

3.6.7.2. Avec OSSEC 80

Conclusion générale 82

Bibliographie i

Webographie ii

Annexes iii

Résumé ix

viii

Abstract x