Flux Réseau et Sécurité

Transcription

1 Flux Réseau et Sécuité v1.01 Yann BERTHIER Spécialiste Sécuité Systèmes et Réseaux Nicolas FISCHBACH Senio Manage, Netwok Engineeing Secuity, COLT Telecom -

2 Agenda Etat des lieux NetFlow 101 Connaîte son éseau Violation de la politique de sécuité Détection d'anomalies Scans Analyse post-motem Conclusion

3 Etat des lieux Poosité du péimète WiFi, 3G, RAS/VPN (employés, télémaintenance, etc) Opacité du éseau intene Systèmes et applications non documentés Réseau plat - pas de segmentation Vulnéabilité des essouces intenes Canaux cachés, chevaux de Toie, ves, vius, vulnéabilités clients (malwae/spywae/navigateu) De plus en plus de «wannabe powe uses»

4 Etat des lieux Limites des mesues de sécuité existantes Les I{D,P}S n'ont pas tenu leus pomesses De plus en plus de flux chiffés : SSH, SSL, IPsec Liens GE, 10GE

5 La vision du esponsable sécuité s s s fw av as p cpe Copoate Intenet access Intenet

6 La vision du RSSI s Intenet cpe Remote maintenance s s Extenal laptop fw av as p Copoate Intenet access a Vendo Office Remote office/ Patnes IP VPN Patne

7 L étage de Diection «Executive floo» WLAN AP ap s Intenet cpe Remote maintenance s s Extenal laptop fw av as p Copoate Intenet access a Vendo Office Remote office/ Patnes IP VPN Patne

8 La éalité «Executive floo» WLAN AP «IT floo» Intenet access ap fw cpe s Intenet cpe Remote maintenance s s Extenal laptop fw av as p Copoate Intenet access a Vendo Office Remote office/ Patnes IP VPN Patne

9 Collection des flux «Executive floo» WLAN AP «IT floo» Intenet access ap fw cpe s contolle Intenet cpe Remote maintenance s s Extenal laptop fw av as p Copoate Intenet access a Vendo Office Remote office/ Patnes IP VPN Patne

10 Flux éseaux Implémentation majoitaie : Cisco NetFlow Plusieus vesions : v1 (ancienne), v5 (la plus féquemment encontée), v7 (cetains commutateus, v8 (agégation côté outeu), v9 (etenu pa l'ietf comme base pou IPFIX) Nombeux autes fomats SFLOW, CRANE, LFAP, DIAMETER, Agus, Autes vendeus

11 NetFlow 101 Expotés pa les équipements de outage / commutation multi-niveaux Histoiquement pou amélioe le taitement des paquets (outage) Utilisés taditionnellement pa le Billing/NetEng/NOC Comptabilité / factuation des essouces, anticipation des besoins en BP, ésolution de poblèmes Dénis de sevices Réutilisables pa le SOC Données, essouces, infastuctue OPEX / CAPEX

12 NetFlow 101 Domestication du éseau Topologie Taxinomie des applications Détection d'anomalies Ve, DoS, tunnels, scans lents Compomission Analyse post-motem

13 Définition «Ensemble de paquets possédant des caactéistiques communes» Champs clefs (7-tuple) sadd, spot, dadd, dpot, poto L3, ToS, input ifindex Autes champs expotés Date de début, date de fin, nb d'octets, nb de paquets, output ifindex, dapeaux TCP (sauf cetaines combinaisons HW/SW), next hop Champs optionnels (en fonction de la vesion) Numéo d'as, labels MPLS,...

14 Caactéistiques Unidiectionnel expot (2055/udp) Ingess «Outepasse» les ACL Flux stockés dans un cache mémoie netflow cache 64k entées pa défaut Mis à jou à chaque paquet (tous les n si sampling) Nouvelle entée cée ou entée existante mise à jou Nb d'octets, nb de paquets (sommés), date de fin, dapeaux TCP (OR)

15 Expot des flux Mécanisme d'expiation RST/FIN 15 secondes (défaut) si flux inactif 30 minutes (défaut) si flux actif Cache plein A l'expiation, expot ves un collecteu UDP En-tête suivie pa 1 à 30 flux (48 octets)

16 Echantillonnage Dépend de la combinaison SW/HW Déteministe (Sampled) 1 paquet tous les n est passé au cache NetFlow Rate tous les pics de tafic Aléatoie (Random Sampled) Depuis la 12.3(2)T Vue éaliste du tafic si le nombe d'échantillons est suffisant Solution «scalable»

17 Considéations diveses Dédoublonnage Flux expotés pa plusieus outeus Agégation Flux longs Coélation Flux unidiectionnels Echantillonnage Réduction de la chage CPU, mais petes OK: détection de DDoS NOK: détection de la violation de politique

18 Considéations de sécuité Pas de mécanisme de etansmission (sauf v9) Mais numéo de séquence -> détection des petes Pas de somme de contôle, UDP Potection du lien expoteu collecteu urpf, ACL, TCP-Wappe 48 octets pou un paquet de 24 octets Oppotunités de dénis de sevice

19 Autes considéations Pas de chage utile mais Caactéisation du tafic (nb d'octets in/out, taille des paquets in/out, duée) Tafic inteactif vs tafic non inteactif (eg HTTPS «égulie» vs tunnel SSL) Flux chiffés Qui pale à qui Combien de temps, a quelles heues Volume de données échangées Pot + caactéistiques donne une bonne idée du type de données

20 PCAP vs NetFlow Ganulaité maximale Chage utile Pas IP centique Vue mico vs maco Généation de flux à pati d'une tace Agus, softflowd, «convesations» Etheeal Volume de données...

21 Configuation Expot des flux oute (config-if)# ip oute-cache flow! Pa inteface oute (config)# ip flow-expot destination <add> <pot> oute (config)# ip flow-expot souce loopback0 oute (config)# ip flow-expot vesion 5 Configuation du cache oute (config)# ip flow-cache enties < > oute (config)# ip flow-cache timeout active <1-60> (mn) oute (config)# ip flow-cache timeout inactive <10-600> (sec) Affichage du cache en temps éel oute # show ip cache flow

22 Configuation Sampled oute (config)# ip flow-sampling-mode packet-inteval 100 oute (config-if)# ip oute-cache flow sampled Random sampled oute (config)# flow-sample-map RSN oute (config-sample)# mode andom one-out-of 100 oute (config-if)# flow-sample RSN

23 Collecte, stockage & analyse des flux Collecte Nombeux collecteus : agus, flow-tools, nfdump/nfsen, nnfc, nfcd, netflow2mysql, flowc, flowd, netams Stockage Fichies plats vs base de données Analyse Outils spécifiques + sot / awk / cut / head vs equêtes SQL

24 Domestication du éseau intene («connais ton éseau») Seveus, applications, utilisation du éseau Segmentation Validation de la politique de filtage Flux inattendus de chaque côté du fiewall Détemination d'une «baseline» Détection d'anomalies

25 Domestication du éseau 1) TopN, bottomn, aveagen Souce, destination, pot, duée, volume 2) Agégation 3) Retou à 1) sc_net dst_net sum_bytes sum_packet aveage_packet_size 218.xxx.yyy.0/ yyy.0/ , yyy.0/ xxx.yyy.0/ xxx.yyy.0/ yyy.0/ ,7 218.xxx.yyy.0/ yyy.0/ ,12 66.xxx.yyy.0/ yyy.0/ , yyy.0/ xxx.yyy.0/ , yyy.0/24 61.xxx.yyy.0/ , yyy.0/ xxx.yyy.0/ , xxx.yyy.0/ yyy.0/ ,17

26 Violations de la politique de sécuité Flux «inhabituels» (bottomn) Nouvelles adesses IPs Jounaux DHCP, adesses MAC, pot physique (SNMP) Flux liés (auto-update et spywae) Apès allocation DHCP ou apès authentification Apès la pemièe communication éseau ou navigateu Hoaies de bueau : poste de tavail actif à 2h du mat Flux depuis des seveus non-liés aux applicatifs installés Flux ves des seveus (pots non documentés)

27 Détection d'anomalie Dénis de Sevice distibués Augmentation massive de flux ves une destination (IP / pot) En fonction de l'envionnement, pas besoin de baseline Retou de flammes Chevaux de Toie Pots identifiés, pots inattendus, flux longs, hoaies inattendus

28 Scans et ves Scans lents Scans distibués Ves Scan du /24, /16, /8, BOGON, non-pivate Popagation avec des IP souces foges Identification: taille de la chage utile / pot Difficile à mette en évidence avec les moyens «classiques» Evasion MS-RPC snot

29 Ne pas confonde : scan et etou de flamme Où la victime n'est pas celle que l'on pense... Date Duation Pot Souce Destination Pkt Bytes Flows Dec :11: TCP aaa.bb.ccc.dd:80 -> B 2 Dec :12: TCP aaa.bb.ccc.dd:80 -> B 2 Dec :42: TCP aaa.bb.ccc.dd:80 -> B 2 [...] Dec :50:38 0 TCP aaa.bb.ccc.dd:80 -> B 1 Dec :17:11 0 TCP aaa.bb.ccc.dd:80 -> B flux (apès agégation, 205 avant) su un /24 Dapeaux TCP est usupé! tcp_flags = 20 (RST-ACK)

30 La duée impote Flux longs Tunnels : HTTP(s), DNS, ICMP, etc. Le atio input/output (paquets, octets) est à suveille 10:1 pou une equête HTTP «classique» conte 1:1 pou une session inteactive à taves un elais HTTP(s) Execice : session HTTPS ou tunnel? Date Duée Pot Sadd:spot Dadd:dpot Paquets taille Nov :53: TCP O:4822 -> : MB Nov :53: TCP :443 -> O: MB

31 P2P Les potocoles «histoiques» utilisent souvent des pots fixés (ou des plages de pots) Pafois : pot de données == pot de contôle +/-1 Façon FTP Cetains potocoles écents ont le détail de la session dans la chage utile Suveille la taille des flux, les topn (IP), le compotement

32 Réponse et Analyse post-motem Localisation IP et souce Netflow Physique (MAC/pot) Réponse Désactivation du pot ACLs ou tou noi Analyse (une fois la poblématique de stockage ésolue) On connait une des victimes (généalement) Un histoique des flux pemet de connaîte l'activité éseau ves et depuis cette adesse avant, pendant et apès l'incident

33 Conclusions Flux éseau et captue PCAP ne sont pas antinomiques Statégies complémentaies Déploiement tactique / statégique de sondes éseau Réutilisation des essouces (OPEX / CAPEX) Pas de solution clef en main pou l'analyse (Hos solutions spécifiques) Minimum syndical : on stocke, et on essot les données los d'un incident Nombeuses heues de tavail épagnées Peuve de concept:

34 Ressouces Flow geneatos NetFlow homepage < Fpobe < softflowd < ng_netflow < Pfflowd <

35 Ressouces Flow collectos agus < Cflowd < Flow-tools < Flowscan < Nfdump < Flowc < Netams <

36 Ressouces Gaphs MTRG < RRDTools < Netwok foensics Smacq < Misc Glflow < NetFlow v9 < Many moe links hee: