Analyse des logs d un Firewall

Transcription

1 Analyse des logs d un Firewall - Génération d un compte rendu sous forme HTML Responsable du projet : Monsieur Philippe Dumont

2

3

4

5 Existant Logiciels Très nombreux parsers de logs Points faibles Complexité du code et du fonctionnement Incomplet Rendu graphique insatisfaisant Recherches complémentaires Absence de réalisation détectant les attaques Absence d explication sur ce constat

6

7

8

9 Analyse par détection Firewalls Principe Autorise ou bloque les paquets selon ses règles IPTables Intégré à Linux à partir des noyaux 2.4 Limites d IPTables Absence des données Ne logue que les en-têtes Nécessité des données Attaques majoritairement dans les données Addon disponible, mais non certifié

10

11

12 Analyse par détection Intrusion Detection System Les plus réputés Snort Prélude Principe de fonctionnement Exploitation des paquets entiers (en-tête, données) Fichier de règles Analyse sur les données Complémentaires aux firewalls

13

14

15 Analyse par détection Types d attaques Source de l attaque Attaques directes Pirate utilise sa propre adresse Facilité de remonter l origine Attaques indirectes par rebond Pirate utilise une machine intermédiaire Au mieux remontée de la machine intermédiaire Attaques indirectes par réponse Pirate redirige un flux d informations vers sa victime Au mieux remontée de la machine intermédiaire Attaques Exploitation de l une de ces techniques de diffusion

16

17

18

19

20 Analyse statistique Par service Principe Limitation aux seuls services utilisés Assurance de l ordre des ports par service Utilisation aucun port non nécessaire Limites Aucune assurance des ports Absence de paquet attaque

21

22

23 Analyse statistique Par port Principe Contrôler que tous les paquets précédents sont bien arrivés Limites Ordre de délivrance non garanti Absence de paquet attaque

24

25

26 Analyse statistique ICMP Principe Utilisation des erreurs ICMP Analyse par absence de paquets Limites Exploitation majoritairement sur les données Seule une quinzaine de signaux dans les logs non tous exploitables Impossibilité de s assurer la délivrance distante des paquets

27

28

29

30

31 Points pertinents Configuration minimale Configuration firewall Bloquer tout le trafic Autoriser les ports nécessaires Réalisable avec IPTables Autoriser les applications nécessaires Non réalisable avec IPTables Mise à jour Au moins tous les logiciels accédant au réseau Régulièrement Protection contre les failles connues

32

33

34 Points pertinents Règles Constat Aucune règle trouvée : frilosité des administrateurs IDS Beaucoup d informations Inexploitables avec un firewall Détection de scans Une tente de se connecter sur différents ports dans un espace temps réduit Troyens les plus courants Sur le port par défaut uniquement

35

36

37

38

39

40 Génération HTML Meilleure réalisation actuelle FWAnalog Points faibles Fonctionnement bancal Obligation de passer en logs HTTP

41

42

43

44 A réaliser Redéfinition des objectifs Objectifs initiaux Trop ambitieux Techniquement impossible Redéfinition du sujet Améliorer l existant Meilleure efficacité Présentation plus fonctionnelle

45

46

47 A réaliser Problème d entrée / sortie Entrée Lecture du fichier de log en PERL Sortie Fichier exploitable en HTML Interface réalisée en PHP

48

49

50 A réaliser Traitement Parser de données Détection d éléments suspects Répétition d adresse Schémas connus Utilisation de in-addr.arpa

51

52

53

54 Point de vue utilisateur Interface en PHP Navigation par menus Par type d analyse Sous menu par date Par date d analyse Sous menu par type d analyse Présentation des résultats Liste Graphique

55

56

57

58 Conclusion Sujet trop ambitieux Nécessité des recherches Objectif L existant ne convient pas Nécessité de proposer Plus fonctionnel Plus propre Plus convivial