Formation A2IMP

Transcription

Formation A2IMP

Formation A2IMP
Acquisition d’information sur les
autres équipements du réseau
Frédéric Bongat IPSL
Formation A2IMP
1
Acquisition d’information sur les autres
équipements du réseau
Idée : corréler des informations via d’autres
Informations de base
⌧Connaître l’horodatage (date, heure) des évènements
⌧Des adresses IP impliquées par la machine
compromise
On veut déterminer
⌧Extension de l’incident
⌧Des nouvelles informations
Formation A2IMP
2
Les équipements du réseau riches en
informations
Le routeur
Le firewall
L’IDS
Formation A2IMP
3
Le routeur:
Equipement d'interconnexion de réseaux
permettant d'assurer le routage des paquets entre
deux réseaux ou plus afin de déterminer le chemin
qu'un paquet de données va emprunter.
Élément central du réseau
Peux donc donner des informations importantes
Formation A2IMP
4
Le routeur
Activation de la journalisation
⌧Déclaration du fuseau horaire et du changement d’heure
⌧Synchronisation NTP de l’heure
⌧Gestion des logs interne
• Réserver de la RAM, marquer la date/l’heure
• Par contre : problème de ressources
⌧Gestion de logs centralisée sur un serveur SYSLOG
L’information intéressante est mise en place via des ACLs
en journalisant
Formation A2IMP
5
Les ACL permettent de mettre en œuvre la politique de
filtrage associée à chaque interface d’un routeur.
Elles sont appliquées pour le sens spécifié (in et/ou out) lors de leur
déclaration sur l'interface considérée.
⌧In et Out sont toujours référencés par rapport au routeur (in = ce qui
entre, out = ce qui sort).
Une ACL est constituée d'un ensemble de filtres exécutés
séquentiellement dans l'ordre de leur déclaration.
Ces filtres peuvent préciser l'acceptation (permit), le rejet (deny) ou la
journalisation (log) d'un paquet lorsque celui-ci répond au critère
spécifié
Met en jeux les adresses IP, numéros de ports et le protocole employés
Formation A2IMP
6
Les informations obtenues auprès du routeur:
Des connexions en fonctions des services
⌧Des dates
⌧Des adresses IP
⌧Un protocole
⌧Des ports accédés
La collecte des données
⌧Se fait sur le serveur de logs centralisé
Formation A2IMP
7
Le Firewall:
système servant d'interface entre un ou plusieurs réseaux
afin de contrôler et éventuellement bloquer la circulation
des paquets de données
Il s'agit donc d'une machine comportant au minimum deux
interfaces réseau :
⌧une interface pour le réseau à protéger (réseau interne)
⌧une interface pour le réseau externe
« Tous les flux » du trafic entre le réseau interne et externe
peuvent être surveillés.
Il permet un audit de façon "centrale" du trafic
Formation A2IMP
8
Le Firewall
Doit être à l’heure
⌧Par rapport aux autres équipements
Les fonctions d’un firewall
⌧filtrage IP
⌧génération de journaux
• En les centralisant vers un serveur de logs
Couplage avec d’autres applications
⌧Au niveau des logs
⌧detescan (analyse en sortie)
Formation A2IMP
9
Le Firewall
Routeur vs Firewall
⌧A chacun son job
• Le routeur route
• Le firewall filtre
• En réalité : un mixte des 2
⌧Analyse des informations : plus fine dans un firewall
que dans un routeur ?
Formation A2IMP
10
Analyse de logs du firewall
fwlogwatch
⌧un programme d'analyse de trafic réseau
FirewallEyes
⌧un outil d'analyse de logs en temps réel pour le parefeu iptables. Grâce à une interface Web, on peux
visualiser et superviser simplement et efficacement
l'activité réseau traversant du firewall
Formation A2IMP
11
Un IDS « peut être utile » sur un réseau
Il permet de détecter toute anomalie et tentative
d'intrusion, et vous préviendra en remontant des alertes
Il existe de plusieurs IDS commerciaux ou libre, hardware
ou software,
les IDS ne fonctionnent pas sur le même schéma
⌧certain recherche des attaques connues (par signature)
⌧d'autres sont capable de « détecter des attaques nouvelles » par
analyse comportementale
Formation A2IMP
12
3 catégories
IDS basé hôte
IDS basé réseau
IDS hybride
snort (http://www.snort.org/) est un programme open
source comme prelude (http://www.prelude-ids.org/)
Les IDS seront donc idéalement placés sur un port
« mirroré » sur chaque Router/Switch du réseau, tout
en essayant de limiter leur nombre
Formation A2IMP
13
Snort :
Système de détection d'intrusion réseau (NIDS)
⌧Mode sniffeur :
• lit les paquets circulant sur le réseau et les affiche d’une façon continue sur
l’écran
⌧Mode enregistreur de paquets
• journalise le trafic réseau dans des répertoires sur le disque
⌧Mode détection d’intrusion
• Analyse le trafic du réseau, compare ce trafic à des règles déjà définies par
l’administrateur et établit des actions à exécuter
Portable sur plusieurs types de plateformes
Installation et configuration simples
Ouvert : écriture des règles
Logiciel libre de droit
Formation A2IMP
14
Snort :
Détection au niveau des protocoles :
⌧TCP - UDP - ICMP …
Détection d'activités anormales
⌧Stealth scan (port scan)
⌧Découverte d'empreinte d'OS
⌧Code ICMP « invalide »
Détection de dénis de service
Détection de débordement de buffer
Formation A2IMP
15
Les avantages de Snort :
Installation simple et rapide
Nombre de règles conséquentes
⌧Attention à la mise à jour des règles : même principe qu’un
antivirus
N'engendre pas de ralentissement du trafic
⌧Dédier une machine à snort (gourmand en ressource)
Renvoi des alertes
Enregistre le trafic réseau
Simplicité d'écriture des règles pour personnaliser la
configuration
Formation A2IMP
16
Les inconvénients de Snort :
Ne détecte pas tout
Les faux positifs sur un réseau à haut débit
Nécessite une configuration personnalisée
Pas d’interface graphique intégrée
⌧Nécessite une interface supplémentaire (SnortSnarf ou
acid+mysql+apache)
Gestion des rapports difficile avec la prolifération des sondes
Dans les réseaux haut débit, analyser tout le trafic en temps réel, c'est
impossible.
⌧Si on utilise automatiquement ces méthodes, on doit être devant une
alternative: analyser une partie de trafic ou réduire le débit de réseau
Formation A2IMP
17
Informations d’un Firewall vs IDS
Un Firewall: filtre les flux entrants et sortants en
fonction de la politique de sécurité choisie
⌧Les données autorisées peuvent contenir des attaques
⌧Cartographie des adresses IPs
IDS : explore la nature du trafic en inspectant le
contenu des paquets
⌧Dump du trafic réseau
Formation A2IMP
18
Méthodologie utilisée
Les informations des équipements réseau : serveur de logs centralisé
⌧Organiser ses fichiers de logs
A première vue, il semble évident que l'on peut corréler la totalité des
informations que nous avons collectées
Mais il existe un problème de corrélation dans les recherches entre le
routeur, firewall et l’IDS
⌧Type différents
Cependant, certaines d'entre elles sont inutiles à la corrélation, parce
qu'elles peuvent soit prendre trop de temps à être corréler où alors, leur
corrélation surcharge le "processing time" de notre système
Formation A2IMP
19
Méthodologie : l’IDS
Tri des logs à l’aide d’acide-web et identification des
attaquants (ou attaques) à partir des statistiques Snort
Documentation sur chaque attaque détectée
Analyse complète du trafic entre les adresses soupçonnées
Recherche d’informations supplémentaires sur les attaques
sur le serveur de logs afin de recouper les informations
Formation A2IMP
20
Conclusion
Recherche d’informations : dans des fichiers textes du serveur de logs
central
⌧Sauf l’IDS
Sélection des informations à corréler
⌧Date/heure
⌧Protocole
⌧IP source
⌧IP destination
⌧Port source
⌧Port destination
⌧Taille des paquets
⌧Dump réseau
Formation A2IMP
21

Formation A2IMP

Transcription

Documents pareils

Analyse des LOG des FW

coupe frite 2 grilles

Configurer le firewall ou pare feu de Windows XP

Aucun titre de diapositive

Firewall individuel

la gazette sante social hebdo - Institut Des Données De Santé

Figure 1 : logiciel de simulation d`un réseau routier Figure

Annuaire Club Santé.indd

sécurité réseau et firewall gnu-linux