Laboratoire de Haute Sécurité. Télescope réseau et sécurité des réseaux

Transcription

1 Laboratoire de Haute Sécurité Télescope réseau et sécurité des réseaux Frédéric Beck (SED) & Olivier Festor (Madynes) CLUSIR Est - 15 Décembre 2011

2 Inria : Institut de recherche en sciences du numérique Sciences informatiques et mathématiques RECHERCHE DEVELOPPEMENT TECHNOLOGIQUE ET EXPERIMENTATION ENSEIGNEMENT ET FORMATION TRANSFERT ET INNOVATION Un institut public à caractère scientifique et technologique sous la double tutelle du ministère de la Recherche et du ministère de l Industrie 2

3 Principaux domaines de recherche 1 Mathématiques appliquées, Calcul et Simulation 2 Algorithmique, Programmation, Logiciels et Architectures 3 Réseaux, Systèmes et Services, Calcul distribué 4 Perception, Cognition, Interaction 5 STIC pour les sciences de la vie et de l environnement 3

4 Centres de recherche Inria Inria LILLE Nord Europe Inria PARIS - Rocquencourt Inria NANCY Grand Est Inria SACLAY Île-de-France Inria RENNES Bretagne Atlantique Inria GRENOBLE Rhône-Alpes Inria BORDEAUX Sud-Ouest Inria SOPHIA ANTIPOLIS Méditerranée 4

5 Laboratoire de Haute Sécurité Plate-forme unique en France et en Europe Objectifs Expertise en Sécurité Informatique (audit, recherche de vulnérabilités...) Défense pro-active contre les programmes malicieux et nouvelles menaces Études, expérimentations à grande échelle et publications Collecte et analyse de données Développement et mise à disposition d'outils et logiciels Valider, valoriser et distribuer les travaux 2 axes principaux Virologie Sécurité réseau Télescope réseau Expérimentations et études 5

6 Sécurité réseau Améliorer la sécurité des réseaux et services Collecte et analyse de données d'attaque (télescope réseau) Définition et mise en œuvre de mécanismes de protections (logiciels, recommandations) Gestions de vulnérabilités (découverte, protection) Détection les mal-fonctions et les compromissions (monitoring/supervision) Objectifs Définitions et extensions de protocoles et algorithmes Développements et maintenance de solutions logicielles Expérimentations à grande échelle Domaines d'application variés Réseaux IPv4/IPv6, VoIP, P2P, capteurs sans-fils, réseaux ad-hoc, SCADA... 6

7 Télescope réseau Capture à grande échelle de malwares et traces réseau Architecture multi-provider 3 ADSL (Orange, SFR, Free) 1 SDSL 2Mbits avec /24 public Architecture virtualisée et cloisonnée 3 environnements distincts Collecte des données Stockage et confinement des données Support aux expérimentations 7

8 Télescope réseau Capture de code et binaires malicieux Émulation de vulnérabilités Permet d'éviter la propagation des attaques ou la compromission des sondes Capture des malwares qui les exploitent Binaires transmis à l'équipe virologie Utilisation de sandbox pour analyser le comportement du malware et l'identifier Capture d'informations supplémentaires sur l'attaquant IP source, localisation géographique, site hébergeant le binaire Capture d'attaques dites zero-day essentielle pour la mise en œuvre de défenses pro-actives Capture de traces et flux réseau Capture au format PCAP et NetFlow des traces d'attaque Analyse des mécanismes d'infection et de propagation des malwares Objectif Définition de mécanismes de défense périmétrique pro-active Bloquer les attaques à la source 8

9 Honeypots et services émulés Utilisation de honeypots à faible interactions Environ 25 instances déployées à l'heure actuelle Dionaea RPC/Netbios, HTTP, FTP/TFTP, SIP/VoIP, MSSQL Amun Émulation de vulnérabilités via plugins python Kippo Brute force SSH toujours un succès et accès à un shell minimaliste Sessions enregistrées pour tracer les activités Leurrecom.org Honeypot project «pots de miels» distribués et répartis dans le monde Dans le passé Nepenthes, ancêtre de Dionaea Hali en collaboration avec l'université du Luxembourg, honeypot SSH type Kippo 9

10 Le télescope en chiffres En fonctionnement depuis le 09 Septembre 2008 Total (au 13/12/2011) attaques Dont attaques malicieuses malwares téléchargés binaires uniques capturés Quotidiennement attaques dont malicieuses + de binaires téléchargés Traces réseau 5,7 To de données PCAP 88 Go de flux NetFlow 6 Go de flux Tor anonymisés 10

11 Détection de vulnérabilités Stateful fuzzing avec feedback + de 50 vulnérabilités trouvées Mécanisme breveté de fingerprinting avec un seul paquet KIF Fuzzing contre les états protocolaires Apprentissage automatique de la machine à états d'après traces correctes Mécanisme de feedback : suivi des données et graphes d'exécution Exemple : vulnérabilité permettant de décrocher sans intervention utilisateur Domaines d'application SIP DNS IPv6 DHCP PDF 11

12 Protection contre les vulnérabilités SecSIP, un framework de protection contre les attaques SIP Première ligne de défense stateful pour le protocole SIP Identification des vulnérabilités avec KIF Modélisation des vulnérabilités et leurs contre-mesures dans le langage Veto Génération automatique des règles de prévention D'après la définition de la vulnérabilité avec algorithmes génétiques veto uses SJPhoneDefs begin (ev_invite) -> { if (SIP:headers.Content_Length!@eq "SIP:body.length") drop; } (ev_invite(malformed)) -> drop; veto end 12

13 Sécurité VoIP Monitoring des services VoIP Identifier les attaques et fraudes Détection d'anomalies dans les logs/traces Développement d'un BotNet VoIP Honeypot VoIP : Artemisa Risk management dans les réseaux VoIP Design et développement d'un IDS VoIP Modélisation du risque dans les infrastructures VoIP Stratégie de gestion des risques avec mise en œuvre dynamique de contre-mesures Prototype fonctionnel implémenté dans Asterisk 13

14 Sécurité des réseaux P2P Monitoring et protection du réseau KAD Design d'algorithmes et d'une infrastructure permettant la supervision du réseau KAD au niveau d'internet Prise de contrôle de l'indexation des ressources par attaque Sybille Logs anonymisés des activités de publication et de recherche Collaboration avec la Gendarmerie Nationale pour l'application à la supervision de mots clés pédophiles Définition d'un système de protection contre les attaques Sybille 14

15 Sécurité des réseaux de demain Sécurité des réseaux IPv6 NDPMon, Neighbor Discovery Protocol Monitor Version IPv6 d'arpwatch avec fonctionnalités additionnelles Supervision du Neighbor Discovery Protocol (NDP) Nouvelle station, changement d'adresse... Détection d'attaques contre le NDP Usurpation d'identité, DoS, mauvaises annonces réseau... Historique du pairing adresses IPv6 et Ethernet Permet de tracer les stations Windows utilisant IPv6 Alertes configurables 15

16 Travaux en cours et futurs Modélisation de flux réseaux malicieux Analyse et corrélation des flux et paquets réseaux collectés Classification des malwares selon leurs mécanismes de propagation Mise en œuvre de nouveaux mécanismes de défense périmétrique Extension Snort? Supervision des services : DNS Analyse passive des requêtes DNS récursives Traces du télescope et du réseau de l'inria Nancy Grand Est Anonymisation des adresses Audit des logs pour détecter le trafic malicieux Classification et clustering automatique des domaines malicieux Communications avec contrôleurs de Botnets ou serveurs hébergeant des malwares identifiées «in the wild» Objectif Ouvrir et proposer le service au public 16

17 Merci de votre attention Frédéric Beck (SED) & Olivier Festor (Madynes) CLUSIR Est - 15 Décembre

18 Contacts Équipe projet Madynes Olivier Festor Isabelle Chrisment Service Expérimentations et Développements Frédéric Beck