Gestion des fichiers journaux
Transcription
Gestion des fichiers journaux
Gestion des fichiers journaux Jean-Marc Robert Génie logiciel et des TI Surveillance et audit Afin de s’assurer de l’efficacité des moyens de protection et de contrôle, il faut mettre en place des moyens de surveillance et d’audit. Surveillance: activité continue examinant les comportements des divers usagers et ressources informatiques. Audit: activité périodique (ou ponctuelle) permettant d’évaluer la sécurité d’un système ou de détecter les traces d’une activité malveillante (computer forensics). Jean-Marc Robert, ETS MTI 719 - Gestion des fichiers journaux v1.0 2 Surveillance et Audit Surveillance Événements Systèmes de détection d’anomalies Systèmes d’exploitation Applications Analyse des violations des politiques mises en place Audit Tests d’intrusions Balayage (scanning) Vérification (probing) Écoute (sniffing) Analyse des fichiers journaux Computer forensics Clipping level – niveau acceptable d’erreurs Analyse des fichiers journaux Jean-Marc Robert, ETS MTI 719 - Gestion des fichiers journaux v1.0 3 Événements à surveiller ou à auditer A Guide to Understanding Audit in Trusted Systems (Tan Book) Analyser les accès aux ressources et les accès des divers usagers ainsi que revoir les divers mécanismes de protection. Découvrir les tentatives infructueuses de passer outre à une politique de sécurité. Découvrir les tentatives réussies de passer outre à une politique de sécurité. Découvrir lorsqu’un usager obtient des privilèges plus élevés. Dissuader les contrevenants. Toutefois, ces personnes doivent savoir que des audits sont faits régulièrement. Jean-Marc Robert, ETS MTI 719 - Gestion des fichiers journaux v1.0 4 Gestion des fichiers journaux (log files) Cette section est basée sur le document NIST SP 800-92, Guide to Computer Security Log Management, Septembre 2006. Un fichier journal enregistre divers événements survenant dans les systèmes et les réseaux. Ces informations peuvent servir à diverses fins: Retracer la cause d’une panne. Optimiser les performances d’un système ou d’un réseau. Conserver les actions des divers usagers et processus. Conserver les informations nécessaires afin d’enquêter sur une intrusion (computer forensics). Jean-Marc Robert, ETS MTI 719 - Gestion des fichiers journaux v1.0 5 Objectifs généraux S’assurer que les événements liés à la sécurité sont bien enregistrés et conservés pour une période relativement longue. S’assurer que les fichiers journaux sont périodiquement revus et analysés. Identifier les incidents de sécurité, les violations des politiques de sécurité, les activités malveillantes ou frauduleuses, … Permettre de retrouver la ou les causes d’une intrusion ou d’une panne (computer forensics) Permettre de caractériser l’utilisation des ressources. Afin de fournir aux IDS/IPS des modèles plus précis. Jean-Marc Robert, ETS MTI 719 - Gestion des fichiers journaux v1.0 6 Objectifs législatifs Federal Information Security Manangement Act of 2002 (FISMA) Loi fédérale américaine demandant aux agences gouvernementales de mettre en place un programme afin d’assurer de la sécurité des actifs et des systèmes essentiels à leur bon fonctionnement. Gramm-Leach-Bliley Act (GLBA) Loi fédérale américaine demandant aux institutions financières de protéger les informations personnelles de leurs clients des diverses menaces. Heal Insurance Portability and Accountability Act of 1996 (HIPAA) Loi fédérale américaine définissant un certain nombre de normes de sécurité à respecter au sujet des informations personnelles dans le milieu de la santé. Demande explicitement d’effectuer régulièrement la revue des fichiers journaux. Jean-Marc Robert, ETS MTI 719 - Gestion des fichiers journaux v1.0 7 Objectifs législatifs Sarbannes-Oxley Act of 2002 (SOX) Loi fédérale américaine régissant les pratiques du milieu financier. Demande d’effectuer régulièrement la revue des fichiers journaux. Payment Card Industry Data Security Standard (PCI DSS) Norme mise en place l’industrie des cartes de paiement afin de protéger les informations personnelles. Demande de surveiller tout accès aux informations personnelles. Jean-Marc Robert, ETS MTI 719 - Gestion des fichiers journaux v1.0 8 Générateurs de données Logiciels de sécurité Anti-virus, anti-spyware, anti-adware, détecteurs de rootkits Systèmes de détection et de prévention d’intrusions Proxies – web, courriel, ... Logiciels d’accès à distance (Remote Access Software) Logiciels de diagnostics Serveurs d’authentification Routeurs Vulnérabilités, Niveaux de mise à jour ACLs Pare-feu Serveurs de quarantaine Jean-Marc Robert, ETS MTI 719 - Gestion des fichiers journaux v1.0 9 Générateurs de données Systèmes d’exploitation Événements système (p.ex. services interrompus ou démarrés) Événements d’audit (p.ex. les tentatives d’accès infructueuses ou les accès) Applications Fichiers journaux propres ou réutilisation de celui du système d’exploitation Événements importants: Requêtes des clients et réponses des serveurs Information au sujet des comptes usager Statistiques d’utilisation Actions opérationnelles importantes (p.e. services interrompus ou démarrés) Jean-Marc Robert, ETS MTI 719 - Gestion des fichiers journaux v1.0 10 Défis – Génération et stockage Sources multiples d’information Incohérence des contenus Formats multiples de messages Nomenclature, représentations des données, etc. XML, Syslog, SNMP, base de données, etc. Incohérence des horloges Un effort dans la bonne direction: IETF RFC 4765: The Intrusion Detection Message Exchange Format (IDMEF), Mars 2007. Jean-Marc Robert, ETS MTI 719 - Gestion des fichiers journaux v1.0 11 Défis – Protection des fichiers Protéger la confidentialité et l’intégrité des fichiers journaux Informations sensibles et personnelles Protéger disponibilité des fichiers journaux S’assurer de ne pas perdre des informations Jean-Marc Robert, ETS MTI 719 - Gestion des fichiers journaux v1.0 12 Défis – Analyse des fichiers Développement d’outils permettant d’automatiser l’analyse des informations. Filtrer, regrouper, et corréler les alarmes. Jean-Marc Robert, ETS MTI 719 - Gestion des fichiers journaux v1.0 13 Défis – Comment surmonter les obstacles Accorder la priorité à la gestion des fichiers journaux à tous les niveaux de l’entreprise. Établir des politiques et des procédures de gestion de fichiers journaux. Créer et maintenir une infrastructure de gestion de fichiers journaux. Fournir une formation adéquate aux personnes responsables du traitement des fichiers journaux. Jean-Marc Robert, ETS MTI 719 - Gestion des fichiers journaux v1.0 14 Infrastructure Architecture à trois niveaux Génération Générer les événements Créer les fichiers journaux locaux Analyse et le stockage Analyse en temps réel Un ou plusieurs serveurs pouvant avoir des rôles différents lors de l’analyse Filtrage, Agrégation, Corrélation Stockage des informations pour une longue période Console de surveillance et de visualisation Jean-Marc Robert, ETS MTI 719 - Gestion des fichiers journaux v1.0 15 Infrastructure Communication entre les composantes Modèle du pousser (push) – du point de vue du générateur Modèle du tirer (pull) – du point de vue du générateur La composante générant les événements envoie ces informations à la composante d’analyse. La composante analyse les événements demande directement les informations à la composante de génération. Réseau de communication Réseau dédié (outband) Difficile à déployer et à maintenir. Facilite la communication en cas d’intrusions. Confidentialité des communications. Réseau courant (inband) Facile à déployer. Problèmes de confidentialité et disponibilité Jean-Marc Robert, ETS MTI 719 - Gestion des fichiers journaux v1.0 16 Infrastructure Certains facteurs doivent être considérés lors de la conception de l’infrastructure: Volume de données à traiter en temps normal et en période de pointe Utilisation du réseau en temps normal et en période de pointe Volume de données à stocker en temps normal et en période de pointe Protection requise pour les données – confidentialité et intégrité Jean-Marc Robert, ETS MTI 719 - Gestion des fichiers journaux v1.0 17 Infrastructure – Fonctionnalités Général Analyse syntaxique des fichiers Filtrage des événements sans importance Agrégation des événements similaires Jean-Marc Robert, ETS MTI 719 - Gestion des fichiers journaux v1.0 18 Infrastructure – Fonctionnalités Stockage Rotation des fichiers (p.ex., heure, journée, semaine) Archivage des fichiers Type de média (p.ex., CD, DVD, SAN) Rétention base régulière Préservation base exceptionnelle en cas de problème Compression des fichiers (p.ex. lors de l’archivage) Réduction des fichiers Conversion des fichiers (p.ex. syslog XML) Normalisation des fichiers (p.ex. heures, port/service) Vérification d’intégrité Jean-Marc Robert, ETS MTI 719 - Gestion des fichiers journaux v1.0 19 Infrastructure – Fonctionnalités Analyse Corrélation d’événements Intelligence artificielle, inférence de règles, … Visualisation des fichiers Rapport d’analyse Élimination Destruction des fichiers après une certaine période Jean-Marc Robert, ETS MTI 719 - Gestion des fichiers journaux v1.0 20 Infrastructure – Syslog Norme de facto – RFC 3164 The BSD Syslog Protocol (informational) Format des événements à conserver dans les fichiers journaux Mécanismes de stockage et de transfert des fichiers journaux Format: Type de message (p.ex., noyau, courriel, imprimante, etc.) + Sévérité Heure + Adresse IP de l’hôte Message (non-formaté) <34>Oct 11 22:14:15 myPC su: 'sudo' failed for jmr on /dev/pts/8 Jean-Marc Robert, ETS MTI 719 - Gestion des fichiers journaux v1.0 21 Infrastructure – Syslog Sécurité RFC 3164 aucune fonctionnalité de sécurité (+ trafic UDP) RFC 3195 Reliable Delivery for syslog Protocole de communication : TCP Confidentialité lors de la communication : TLS Intégrité et authentification lors de communication : empreinte MD5 ou SHA-1 Jean-Marc Robert, ETS MTI 719 - Gestion des fichiers journaux v1.0 22 Infrastructure – Syslog Les produits commerciaux offrent un vaste éventail de fonctionnalités Filtrage flexible (hôte et expressions régulières) Corrélation des événements Réponses aux événements (p.ex. SNMP, courriels, etc.) Formats de message alternatifs (p.ex. SNMP) Chiffrement des fichiers journaux Stockage dans une base de données Limitation du taux de messages provenant d’une source donnée Jean-Marc Robert, ETS MTI 719 - Gestion des fichiers journaux v1.0 23 Infrastructure – SIEM Security Information and Event Management System Produits commerciaux Intégration avec les systèmes TI Sans agent Avantage: Pas d’installation Désavantages: Pas de filtrage ou d’agrégation à la source, Serveur doit s’authentifier à la source Avec agent Interface graphique Base de connaissance de sécurité Gestion des actifs – priorité des événements en fonction de la priorité des actifs. Jean-Marc Robert, ETS MTI 719 - Gestion des fichiers journaux v1.0 24 Politique Une organisation doit définir les besoins et les objectifs d’un système de gestion de fichiers journaux. Lois et règlements existants Politiques organisationnelles Conservation des informations Jean-Marc Robert, ETS MTI 719 - Gestion des fichiers journaux v1.0 25 Politique Génération Quels sont les événements devant être conservés? Quelles sont leur priorités? Quelles sont les caractéristiques devant être conservées pour chaque événement? Quelle est la fréquence à laquelle un événement doit être conservé? Quels sont les équipements devant conserver les événements de sécurité? Quelles sont les applications devant conserver les événements de sécurité? Lorsque le fichier journal a atteint sa limite, quelle action doit être prise? Informations personnelles! Arrêter l’enregistrement? Écraser les anciennes informations? Arrêter l’application générant les événements? Comment l’intégrité, la confidentialité et la disponibilité des informations doivent-elles être assurées durant leur stockage localement? Jean-Marc Robert, ETS MTI 719 - Gestion des fichiers journaux v1.0 26 Politique Transmission Quels sont les équipements devant transmettre leurs informations à une infrastructure de gestion de fichiers journaux? Quelles sont les informations (et leurs caractéristiques) devant être transmises à une infrastructure de gestion de fichiers journaux? Comment les informations doivent-elles être transmises – protocoles, réseau dédié, …? À quelle fréquence les informations doivent-elles être transmises – temps réel, chaque cinq minutes, chaque heure? Comment l’intégrité, la confidentialité et la disponibilité des informations doivent-elles être assurées durant leur transmission? Jean-Marc Robert, ETS MTI 719 - Gestion des fichiers journaux v1.0 27 Politique Stockage et élimination Comment doit se faire la rotation des fichiers? Comment l’intégrité, la confidentialité et la disponibilité des informations doivent-elles être assurées durant leur stockage? Pendant combien de temps les informations doivent-elles être conservées? Quels sont les besoins du point de vue légal? Comment les informations doivent-elles être éliminées? Combien d’espace mémoire est requis? Qui doit conserver les informations? Le système les ayant générées? Le système et l’infrastructure? L’infrastructure seule? Jean-Marc Robert, ETS MTI 719 - Gestion des fichiers journaux v1.0 28 Politique Analyse Comment chaque type d’information doit-il être traité? Qui doit accéder aux informations? Comment ces accès doivent-ils être enregistrés? Quelle est la procédure à prendre lors de la détection d’une activité malveillante? Comment l’intégrité, la confidentialité et la disponibilité des résultats de l’analyse doivent-elles être assurées durant leur transmission? Durant leur stockage? Comment traiter la divulgation accidentelle d’information personnelle dans les fichiers journaux? Jean-Marc Robert, ETS MTI 719 - Gestion des fichiers journaux v1.0 29 Politique Jean-Marc Robert, ETS Provenant de NIST SP 800-92 MTI 719 - Gestion des fichiers journaux v1.0 30 Processus opérationnels Configurer les générateurs d’événements Configurer la génération d’événements Choisir le moyen de conservation des informations Être conservateur! Pas conservées. Conservées par les générateurs Conservées par les générateurs et l’infrastructure Conservées par l’infrastructure Déterminer gérer la capacité des moyens de conservation Arrêter de conserver Écraser les informations les plus anciennes Arrêter l’application générant les événements Jean-Marc Robert, ETS MTI 719 - Gestion des fichiers journaux v1.0 31 Processus opérationnels Configurer les générateurs d’événements Sécurité Limiter l’accès aux fichiers journaux Éviter de conserver des informations sensibles superflues Protéger les fichiers journaux archivés Sécuriser les processus générant les événements Déterminer le comportement lorsque une erreur survient Utiliser des moyens sécurisés pour transférer les informations Jean-Marc Robert, ETS MTI 719 - Gestion des fichiers journaux v1.0 32 Processus opérationnels Analyser les fichiers journaux Interpréter les événements de sécurité Prioriser les événements Répondre aux incidents Gérer la conservation à long terme Format Archiver les informations et s’assurer du contrôle d’accès S’assurer de l’intégrité des informations Conserver les information de façon sécurisée Éliminer les information de façon sécurisée Jean-Marc Robert, ETS MTI 719 - Gestion des fichiers journaux v1.0 33 Références Karen Kent et Murugiah Souppaya, Guide to Computer Security Log Masnagement, NIST SP 800-92, septembre 2006. Jean-Marc Robert, ETS MTI 719 - Gestion des fichiers journaux v1.0 34