Rapport stage Dess Isa



Yüklə 0,52 Mb.
səhifə1/13
tarix02.11.2017
ölçüsü0,52 Mb.
#27769
  1   2   3   4   5   6   7   8   9   ...   13



MASTERE SPECIALISE EN

INFORMATIQUE

Option Réseaux et Télécommunications
Session 2003-2004


Déploiement d’un système de détection d’intrusion

&

Génération de règles pour pare-feu à partir d’un modèle de politique de sécurité

par
WATLAL Yassine

Soutenu le 26 novembre 2004
Devant le jury composé de :

GOMBAULT Sylvain Responsable de stage ENST de Bretagne

GAOUAR Omar Responsable de stage INSA de lyon

OU-HALIMA Mohamed Responsable du mastère spécialisé en

informatique de l’INSA de Lyon

Remerciements

Je suis reconnaissant à Monsieur Xavier Lagrange et Monsieur Gilbert Martineau de m’avoir accueilli à l’École Nationale Supérieure des Télécommunications de Bretagne (ENST Bretagne), antenne de Rennes, au sein du département Réseaux et Services Multimédias (RSM).


Mes remerciements vont tout particulièrement à Monsieur Sylvain Gombault qui m’a efficacement encadré pendant ce stage. Je le remercie pour les conseils judicieux qu’il m’a donnés tout au long de mon stage, ainsi que pour l’autonomie et la confiance qu’il m’a accordée.
Je tiens à remercier Monsieur Frédéric Cuppens, Madame Nora Cuppens et Monsieur Thierry Sans, pour leur encadrement, leurs remarques et leur savoir-faire.
Mes remerciements vont également à Monsieur Gaouar Omar, responsable INSA de l'encadrement.
Je veux aussi remercier tous les membres de l’équipe SERES, qui par leurs conseils, leur bonne humeur et leur gentillesse ont contribué à la réalisation de ce projet.

Résumé

La perpétuelle croissance d’Internet, due à sa simplicité d’utilisation et à son ouverture vers un large public, en fait un moyen de communication riche mais aussi très dangereux. La détection d’intrusion et la définition d’une bonne politique de sécurité sont devenues, depuis quelques années, des solutions incontournables à la sécurité des réseaux. Afin de protéger les données sensibles, des moyens tels que des firewalls ou des IDS sont mis en place.

L’ENST Bretagne, par l’intermédiaire de son département RSM mène depuis plusieurs années des recherches dans ces domaines.

Mon travail porte sur deux projets. Le premier a pour but le déploiement d’une plate forme de détection d’intrusion DIAMS. Le second porte sur la démarche de définition de politique de sécurité réseau, l’objectif étant de dériver à partir d’une politique de sécurité exprimée selon le modèle Or-Bac (Organization Based Access Control) des règles de configuration de pare-feu.



Mots clés

Détection d’intrusion, politique de sécurité, pare feu, contrôle d’accès, Or-Bac, XML.


Abstract

The perpetual growth of Internet, due to its ease of use and its opening to a large audience, made of it a rich but also a very dangerous means of communication. Intrusion detection and a good security policy are became inevitables solutions to guarantee the security of networks. In order to protect the significant data from malevolent people, tools such as firewalls or intrusion detection system are set up.

The ENST of Brittany, via its RSM department, carries out researches in this domain.

My training period encompasses two projects. The first one aim to install an intrusion detection system, called DIAMS. The second present the definition of network security policy rules. The aim is to transform from a security policy expressed from Or-Bac model, rules to configure firewalls.


Key words

Intrusion detection, security policy, firewall, access control Or-Bac, XML.



Table des matières

Introduction 6

1 Généralités et contexte de stage 7

1.1 L’Ecole Nationale Supérieure des Télécommunications de Bretagne 7



1.1.1 Les départements de recherche de l’ENST Bretagne 7

1.1.2 Le département Réseaux et Services Multimédias (RSM) 8

1.2 Contexte du stage 9



1.2.1 Objectif du stage 9

1.2.2 Plan du document 9

1.3 Introduction à la sécurité des réseaux 10



1.3.1 Insuffisance des mécanismes de sécurités classiques 10

1.3.2 Généralités sur la détection d’intrusion « Projet DIAMS » 10

1.3.3 Politique de sécurité « Projet Or-Bac » 12

2 Le projet DIAMS 14

2.1 Présentation de DIAMS 14

2.2 Déploiement de Diams 15

2.3 Le convertisseur ( translator ) 16

2.4 Le routeur ( router ) 17

2.5 Le client 18

2.6 Le DBClient 21

2.6.1 Installation de PostgreSQL 22

2.6.2 Configuration de PostgreSQL 22

2.7 La réaction 23

2.8 Configuration de la liaison entre la réaction et Diams action. 24

3 Politique de sécurité réseau 27

3.1 Le modèle Or-Bac 27



3.1.1 Les éléments du modèle 28

3.1.2 L’organisation 28

3.1.3 Les sujets et les rôles 29

3.1.4 Les objets et les vues 29

3.1.5 Les actions et les activités 29

3.1.6 Une politique de sécurité à deux niveaux 30

3.1.7 Modélisation Or-Bac d’une politique de sécurité réseau 31

3.1.8 Implémentation logiciel de Or-Bac 31

3.2 La gestion des exceptions 33



3.2.1 La problématique 34

3.2.2 Les Solutions 34

3.2.3 Les Objectifs 35

3.3 Les firewalls 36

3.4 Etude de différents firewalls 37

3.4.1 Netfilter 37

3.4.2 IPFilter 38

3.4.3 Packet Filter 38

3.4.4 IPFW 39

3.4.5 Firewall Cisco Pix 39

3.4.6 Planets 40

3.4.7 Tableau récapitulatif des éléments de comparaison  41

3.4.8 Génération de règles pour Planets. 41

3.5 Firewall Builder 43



3.5.1 Présentation de Firewall Builder 43

3.5.2 Présentation du fichier XML de Firewall Builder 45

3.5.3 Objectif: De Or-Bac à Firewall Builder 47

3.5.4 De Firewall Builder à Planets. 49

4 Conclusion 51

5 Annexes 52

5.1 Exemple de réseau 52



5.1.1 Description du réseau 52

5.1.2 La politique de sécurité. 52

5.2 Les règles Netfilter et Planets 53

5.3 Un exemple de Or-Bac 58

5.4 Fichiers de règles génériques 61

5.5 Fichiers Planets 63

6 Références 66

7 Bibliographie 67


Yüklə 0,52 Mb.

Dostları ilə paylaş:
  1   2   3   4   5   6   7   8   9   ...   13




Verilənlər bazası müəlliflik hüququ ilə müdafiə olunur ©muhaz.org 2024
rəhbərliyinə müraciət

gir | qeydiyyatdan keç
    Ana səhifə


yükləyin