Formation A2IMP
Transcription
Formation A2IMP
Formation A2IMP Acquisition d’information sur les autres équipements du réseau Frédéric Bongat IPSL Formation A2IMP 1 Acquisition d’information sur les autres équipements du réseau Idée : corréler des informations via d’autres équipements du réseau Informations de base ⌧Connaître l’horodatage (date, heure) des évènements ⌧Des adresses IP impliquées par la machine compromise On veut déterminer ⌧Extension de l’incident ⌧Des nouvelles informations Formation A2IMP 2 Acquisition d’information sur les autres équipements du réseau Les équipements du réseau riches en informations Le routeur Le firewall L’IDS Formation A2IMP 3 Acquisition d’information sur les autres équipements du réseau Le routeur: Equipement d'interconnexion de réseaux permettant d'assurer le routage des paquets entre deux réseaux ou plus afin de déterminer le chemin qu'un paquet de données va emprunter. Élément central du réseau Peux donc donner des informations importantes Formation A2IMP 4 Acquisition d’information sur les autres équipements du réseau Le routeur Activation de la journalisation ⌧Déclaration du fuseau horaire et du changement d’heure ⌧Synchronisation NTP de l’heure ⌧Gestion des logs interne • Réserver de la RAM, marquer la date/l’heure • Par contre : problème de ressources ⌧Gestion de logs centralisée sur un serveur SYSLOG L’information intéressante est mise en place via des ACLs en journalisant Formation A2IMP 5 Acquisition d’information sur les autres équipements du réseau Les ACL permettent de mettre en œuvre la politique de filtrage associée à chaque interface d’un routeur. Elles sont appliquées pour le sens spécifié (in et/ou out) lors de leur déclaration sur l'interface considérée. ⌧In et Out sont toujours référencés par rapport au routeur (in = ce qui entre, out = ce qui sort). Une ACL est constituée d'un ensemble de filtres exécutés séquentiellement dans l'ordre de leur déclaration. Ces filtres peuvent préciser l'acceptation (permit), le rejet (deny) ou la journalisation (log) d'un paquet lorsque celui-ci répond au critère spécifié Met en jeux les adresses IP, numéros de ports et le protocole employés Formation A2IMP 6 Acquisition d’information sur les autres équipements du réseau Les informations obtenues auprès du routeur: Des connexions en fonctions des services ⌧Des dates ⌧Des adresses IP ⌧Un protocole ⌧Des ports accédés La collecte des données ⌧Se fait sur le serveur de logs centralisé Formation A2IMP 7 Acquisition d’information sur les autres équipements du réseau Le Firewall: système servant d'interface entre un ou plusieurs réseaux afin de contrôler et éventuellement bloquer la circulation des paquets de données Il s'agit donc d'une machine comportant au minimum deux interfaces réseau : ⌧une interface pour le réseau à protéger (réseau interne) ⌧une interface pour le réseau externe « Tous les flux » du trafic entre le réseau interne et externe peuvent être surveillés. Il permet un audit de façon "centrale" du trafic Formation A2IMP 8 Acquisition d’information sur les autres équipements du réseau Le Firewall Doit être à l’heure ⌧Par rapport aux autres équipements Les fonctions d’un firewall ⌧filtrage IP ⌧génération de journaux • En les centralisant vers un serveur de logs Couplage avec d’autres applications ⌧Au niveau des logs ⌧detescan (analyse en sortie) Formation A2IMP 9 Acquisition d’information sur les autres équipements du réseau Le Firewall Routeur vs Firewall ⌧A chacun son job • Le routeur route • Le firewall filtre • En réalité : un mixte des 2 ⌧Analyse des informations : plus fine dans un firewall que dans un routeur ? Formation A2IMP 10 Acquisition d’information sur les autres équipements du réseau Analyse de logs du firewall fwlogwatch ⌧un programme d'analyse de trafic réseau FirewallEyes ⌧un outil d'analyse de logs en temps réel pour le parefeu iptables. Grâce à une interface Web, on peux visualiser et superviser simplement et efficacement l'activité réseau traversant du firewall Formation A2IMP 11 Acquisition d’information sur les autres équipements du réseau Un IDS « peut être utile » sur un réseau Il permet de détecter toute anomalie et tentative d'intrusion, et vous préviendra en remontant des alertes Il existe de plusieurs IDS commerciaux ou libre, hardware ou software, les IDS ne fonctionnent pas sur le même schéma ⌧certain recherche des attaques connues (par signature) ⌧d'autres sont capable de « détecter des attaques nouvelles » par analyse comportementale Formation A2IMP 12 Acquisition d’information sur les autres équipements du réseau 3 catégories IDS basé hôte IDS basé réseau IDS hybride snort (http://www.snort.org/) est un programme open source comme prelude (http://www.prelude-ids.org/) Les IDS seront donc idéalement placés sur un port « mirroré » sur chaque Router/Switch du réseau, tout en essayant de limiter leur nombre Formation A2IMP 13 Acquisition d’information sur les autres équipements du réseau Snort : Système de détection d'intrusion réseau (NIDS) ⌧Mode sniffeur : • lit les paquets circulant sur le réseau et les affiche d’une façon continue sur l’écran ⌧Mode enregistreur de paquets • journalise le trafic réseau dans des répertoires sur le disque ⌧Mode détection d’intrusion • Analyse le trafic du réseau, compare ce trafic à des règles déjà définies par l’administrateur et établit des actions à exécuter Portable sur plusieurs types de plateformes Installation et configuration simples Ouvert : écriture des règles Logiciel libre de droit Formation A2IMP 14 Acquisition d’information sur les autres équipements du réseau Snort : Détection au niveau des protocoles : ⌧TCP - UDP - ICMP … Détection d'activités anormales ⌧Stealth scan (port scan) ⌧Découverte d'empreinte d'OS ⌧Code ICMP « invalide » Détection de dénis de service Détection de débordement de buffer Formation A2IMP 15 Acquisition d’information sur les autres équipements du réseau Les avantages de Snort : Installation simple et rapide Nombre de règles conséquentes ⌧Attention à la mise à jour des règles : même principe qu’un antivirus N'engendre pas de ralentissement du trafic ⌧Dédier une machine à snort (gourmand en ressource) Renvoi des alertes Enregistre le trafic réseau Simplicité d'écriture des règles pour personnaliser la configuration Formation A2IMP 16 Acquisition d’information sur les autres équipements du réseau Les inconvénients de Snort : Ne détecte pas tout Les faux positifs sur un réseau à haut débit Nécessite une configuration personnalisée Pas d’interface graphique intégrée ⌧Nécessite une interface supplémentaire (SnortSnarf ou acid+mysql+apache) Gestion des rapports difficile avec la prolifération des sondes Dans les réseaux haut débit, analyser tout le trafic en temps réel, c'est impossible. ⌧Si on utilise automatiquement ces méthodes, on doit être devant une alternative: analyser une partie de trafic ou réduire le débit de réseau Formation A2IMP 17 Acquisition d’information sur les autres équipements du réseau Informations d’un Firewall vs IDS Un Firewall: filtre les flux entrants et sortants en fonction de la politique de sécurité choisie ⌧Les données autorisées peuvent contenir des attaques ⌧Cartographie des adresses IPs IDS : explore la nature du trafic en inspectant le contenu des paquets ⌧Dump du trafic réseau Formation A2IMP 18 Acquisition d’information sur les autres équipements du réseau Méthodologie utilisée Les informations des équipements réseau : serveur de logs centralisé ⌧Organiser ses fichiers de logs A première vue, il semble évident que l'on peut corréler la totalité des informations que nous avons collectées Mais il existe un problème de corrélation dans les recherches entre le routeur, firewall et l’IDS ⌧Type différents Cependant, certaines d'entre elles sont inutiles à la corrélation, parce qu'elles peuvent soit prendre trop de temps à être corréler où alors, leur corrélation surcharge le "processing time" de notre système Formation A2IMP 19 Acquisition d’information sur les autres équipements du réseau Méthodologie : l’IDS Tri des logs à l’aide d’acide-web et identification des attaquants (ou attaques) à partir des statistiques Snort Documentation sur chaque attaque détectée Analyse complète du trafic entre les adresses soupçonnées Recherche d’informations supplémentaires sur les attaques sur le serveur de logs afin de recouper les informations Formation A2IMP 20 Acquisition d’information sur les autres équipements du réseau Conclusion Recherche d’informations : dans des fichiers textes du serveur de logs central ⌧Sauf l’IDS Sélection des informations à corréler ⌧Date/heure ⌧Protocole ⌧IP source ⌧IP destination ⌧Port source ⌧Port destination ⌧Taille des paquets ⌧Dump réseau Formation A2IMP 21