Chapitre 2. Les systèmes de détection
d'intrusion 2.2. Systèmes de prévention d'intrusion
22
2.2 Systèmes de prévention d'intrusion
Les systèmes de prévention des intrusions
(IPS), également connus sous le nom de systèmes de
détection et de prévention des intrusions (IDPS), sont des
dispositifs de sécurité réseau qui surveillent les
activités du réseau ou du système pour détecter
toute activité malveillante. Les principales fonctions des
systèmes de prévention des intrusions sont d'identifier les
activités malveillantes, d'enregistrer des informations sur ces
activités, de les signaler et de tenter de les bloquer ou de les
arrêter[12].
2.2.1 Classification des IPS
Les systèmes de prévention des intrusions peuvent
être classés en quatre types différents[7] :
· Système de prévention des
intrusions en réseau (NIPS) : surveille l'ensemble du
réseau à la recherche de trafic suspect en analysant
l'activité du protocole.
· Système de prévention des
intrusions sans fil (WIPS) : surveille un réseau sans fil pour
détecter tout trafic suspect en analysant les protocoles de
réseau sans fil.
· Analyse du comportement du réseau (NBA)
: examine le trafic réseau pour identifier les menaces qui
génèrent des flux de trafic inhabituels, telles que les attaques
par déni de service distribué (DDoS), certaines formes de
logiciels malveillants et les violations de règles.
· Système de prévention des
intrusions basé sur l'hôte (HIPS) : un logiciel
installé qui surveille l'activité suspecte d'un seul hôte
en analysant les événements qui se produisent sur cet hôte.
Il est capable de reporter des alertes ou d'y réagir lui-même.
les systèmes de prévention des intrusions (IPS)
utilisent les mêmes architectures que les systèmes des
détections d'intrusions (IDS). Car un IPS est juste un IDS
améliorer capable de détecter et bloquer une intrusion.
2.2.2 Méthodes de détection des
IPS
La majorité des systèmes de prévention
des intrusions utilisent l'une des trois méthodes de détection
suivantes:
· Détection basée sur les
signatures: L'IPS basé sur les signatures surveille les paquets
dans le réseau et compare avec les modèles d'attaque
pré-configurés et prédéterminés connus sous
le nom de signatures.
· Détection statistique basée sur
les anomalies : Un IPS basé sur les anomalies surveillera le
trafic réseau et le comparera à une base de
référence établie. La ligne de base identifiera ce qui est
"normal" pour ce réseau. quel type de bande passante est
généralement utilisé et quels protocoles sont
utilisés. Elle peut cependant déclencher une alarme de faux
positif pour une utilisation légitime de la bande passante si les lignes
de base ne sont pas configurées intelligemment.
· Détection d'analyse de protocole
dynamique Cette méthode identifie les déviations des
états du protocole en comparant les événements
observés avec des profils prédéterminés de
définitions généralement acceptées de
l'activité bénigne[12].
Chapitre 2. Les systèmes de détection
d'intrusion 2.3. Système de détection d'intrusion pour la VoIP
23
2.3 Système de détection d'intrusion pour la
VoIP
Il n'est pas trés courant de trouver des outils de
détection pour des solutions VoIP. Mais néamoins il existe
SecAst dédié uniquement pour le serveur
Asterisk.
· SecAst
Sécurité pour Asterisk (SecAst) est un
système de détection et de prévention des fraudes et des
intrusions conçu spécifiquement pour protéger les
systèmes téléphoniques basés sur Asterisk. SecAst
utilise une VAR de techniques et de bases de données
propriétaires pour détecter les tentatives d'in-trusion,
arrêter les attaques en cours et prévenir de futures attaques. En
outre, SecAst utilise des techniques avancées pour détecter les
informations d'identification valides qui ont été
divulguées compromises et sont abusés, et utilise des algorithmes
heuristiques pour apprendre le comportement de l'attaquant. Lors de la
détection de fraude ou d'attaque, SecAst peut déconnecter les
appels et bloquer l'attaquant Asterisk au niveau du réseau[13].
SecAst offre les fonctionnalités
suivantes:
- Base de données des numéros de
téléphone sur les fraudes et d'adresses IP des pirates - Base de
données IP géographique
- Communiquant avec un certain nombre de sous-systèmes
Asterisk réseau et Linux - Surveillance des tentatives de connexion et
détection d'attaque par force brute
- Arrêter les attaques dans ses traces et alerter
l'administrateur avec des détails de chaque attaque
- Offre des interfaces étendues pour interagir avec
d'autres programmes, services publics, pare-feu, systèmes de
facturation.
- Disponible dans les éditions gratuites et
commerciales
Cette solution protège le serveur voix sur IP en temps
réel. Les limites se présentent comme suit:
· Pas de detéction en cas d'une attaque en dehors du
serveur voix sur IP
· Pas d'ajout des règles dans la base de
signature
· Elle ne surveille que le serveur Asterisk
Le but de ce projet est de protèger le réseau
global et c'est véritablement la raison pour laquelle il faut
compléter cet outil de sécurité au sein du réseau.
Une combinaison pour la consolidation de la sécurité de VoIP est
nécessaire. Pour notre projet, la sécurité c'est une
étape primordiale. Après des recherches, nous avons choisi
Snort qui est un système de détection et
prévention d'intrusion réseau ou NIDS, qui permet de surveiller
les données de package envoyées et reçues via une
interface réseau spécifique. Il permet aussi de détecter
les menaces ciblant les vulnérabilités et bloquer les paquets
malveillants de votre système à l'aide de technologies de
détection et d'analyse de protocole basées sur des signatures. Il
existe plusieurs endroits où nous pouvons mettre en place notre NIDS.
