tp2
This commit is contained in:
parent
8f045c2c06
commit
2ab4b70523
@ -6,7 +6,7 @@ Ce TP sera réalisé dans la VM MI-LXC disponible [ici](https://filesender.renat
|
||||
|
||||
> Pour les curieux, le code de MI-LXC, qui sert à générer cette VM automatiquement, est disponible avec une procédure d'installation documentée [ici](https://github.com/flesueur/mi-lxc)
|
||||
|
||||
Vous devez vous connecter à la VM en root/root. MI-LXC est déjà installé et l'infrastructure déployée, il faut avec un terminal aller dans le dossier `/root/mi-lxc`. Pour démarrer l'infrastructure, tapez `./mi-lxc.py start`. Durant ce TP, vous allez analyser un scénario d'attaque et travailler à sa détection par NIDS (Network IDS), HIDS (Host IDS) puis corrélation d'alertes. Les outils utilisés seront Suricata (NIDS), OSSEC (HIDS), Prelude (SIEM et corrélation).
|
||||
Vous devez vous connecter à la VM en root/root. MI-LXC est déjà installé et l'infrastructure déployée, il faut avec un terminal aller dans le dossier `/root/mi-lxc`. Pour démarrer l'infrastructure, tapez `./mi-lxc.py start`. Durant ce TP, vous allez analyser un scénario d'attaque et travailler à sa détection par NIDS (Network IDS), HIDS (Host IDS), proxy HTTP puis corrélation d'alertes. Les outils utilisés seront Suricata (NIDS), OSSEC (HIDS), Prelude (SIEM et corrélation).
|
||||
|
||||
L'architecture réseau et les petits guides de démarrage des outils à manipuler sont à retrouver dans les (nombreuses) annexes (à diagonaliser avant de démarrer, bien sûr) !
|
||||
|
||||
@ -28,10 +28,11 @@ Rappel: Vous devez être dnas le répertoire `mi-lxc` pour exécuter ces command
|
||||
Analyse de l'attaque
|
||||
====================
|
||||
|
||||
À partir du scénario d'attaque développé dans le TP1, proposez une stratégie de détection mêlant NIDS, HIDS et corrélation. Par exemple :
|
||||
À partir du scénario d'attaque développé dans le TP1, proposez une stratégie de détection mêlant NIDS, HIDS, proxy HTTP et corrélation. Par exemple :
|
||||
|
||||
* Un NIDS (Suricata) est un IDS réseau. Il permet de détecter des motifs dans des paquets réseau
|
||||
* Un HIDS (OSSEC) est un IDS hôte. Il permet de surveiller des logs, des apparitions/modifications de fichiers
|
||||
* Un proxy HTTP (Squid) permet de contrôler les connexions HTTP sortantes
|
||||
* Un corrélateur (Prelude) permet de collecter des alertes variées vers un point unique. Il permet également d'associer des alertes qui correspondent à un même événement vu par plusieurs sondes.
|
||||
|
||||
**Faîtes valider cette stratégie par un enseignant !**
|
||||
|
Loading…
Reference in New Issue
Block a user