From 2ab4b705237433ec7cf6d7810dc1a9341d093da2 Mon Sep 17 00:00:00 2001 From: Francois Lesueur Date: Fri, 22 Oct 2021 14:43:25 +0200 Subject: [PATCH] tp2 --- tp2-idps.md | 5 +++-- 1 file changed, 3 insertions(+), 2 deletions(-) diff --git a/tp2-idps.md b/tp2-idps.md index 3d79b33..02163b2 100644 --- a/tp2-idps.md +++ b/tp2-idps.md @@ -6,7 +6,7 @@ Ce TP sera réalisé dans la VM MI-LXC disponible [ici](https://filesender.renat > Pour les curieux, le code de MI-LXC, qui sert à générer cette VM automatiquement, est disponible avec une procédure d'installation documentée [ici](https://github.com/flesueur/mi-lxc) -Vous devez vous connecter à la VM en root/root. MI-LXC est déjà installé et l'infrastructure déployée, il faut avec un terminal aller dans le dossier `/root/mi-lxc`. Pour démarrer l'infrastructure, tapez `./mi-lxc.py start`. Durant ce TP, vous allez analyser un scénario d'attaque et travailler à sa détection par NIDS (Network IDS), HIDS (Host IDS) puis corrélation d'alertes. Les outils utilisés seront Suricata (NIDS), OSSEC (HIDS), Prelude (SIEM et corrélation). +Vous devez vous connecter à la VM en root/root. MI-LXC est déjà installé et l'infrastructure déployée, il faut avec un terminal aller dans le dossier `/root/mi-lxc`. Pour démarrer l'infrastructure, tapez `./mi-lxc.py start`. Durant ce TP, vous allez analyser un scénario d'attaque et travailler à sa détection par NIDS (Network IDS), HIDS (Host IDS), proxy HTTP puis corrélation d'alertes. Les outils utilisés seront Suricata (NIDS), OSSEC (HIDS), Prelude (SIEM et corrélation). L'architecture réseau et les petits guides de démarrage des outils à manipuler sont à retrouver dans les (nombreuses) annexes (à diagonaliser avant de démarrer, bien sûr) ! @@ -28,10 +28,11 @@ Rappel: Vous devez être dnas le répertoire `mi-lxc` pour exécuter ces command Analyse de l'attaque ==================== -À partir du scénario d'attaque développé dans le TP1, proposez une stratégie de détection mêlant NIDS, HIDS et corrélation. Par exemple : +À partir du scénario d'attaque développé dans le TP1, proposez une stratégie de détection mêlant NIDS, HIDS, proxy HTTP et corrélation. Par exemple : * Un NIDS (Suricata) est un IDS réseau. Il permet de détecter des motifs dans des paquets réseau * Un HIDS (OSSEC) est un IDS hôte. Il permet de surveiller des logs, des apparitions/modifications de fichiers +* Un proxy HTTP (Squid) permet de contrôler les connexions HTTP sortantes * Un corrélateur (Prelude) permet de collecter des alertes variées vers un point unique. Il permet également d'associer des alertes qui correspondent à un même événement vu par plusieurs sondes. **Faîtes valider cette stratégie par un enseignant !**