Gestion des contres mesures dans un réseau suite à des règles d une politique de sécurité dynamique



Documents pareils
Sécurité des sites Web Pas un cours un recueil du net. INF340 Jean-François Berdjugin

Threat Management déploiement rapide de contre-mesures

Imprimantes et partage réseau sous Samba avec authentification Active Directory

Répartition des charges avec HaProxy CONTEXTE MFC JULIEN HUBERT

S28 - La mise en œuvre de SSO (Single Sign On) avec EIM (Enterprise Identity Mapping)

SSL. Secure Socket Layer. R. Kobylanski janvier version 1.1 FC INPG. Protocole SSL Application avec stunnel

Architecture distribuée

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant.

Guide d installation

Les IDS et IPS Open Source. Alexandre MARTIN Jonathan BRIFFAUT

Utiliser Améliorer Prêcher. Introduction à LDAP

UE5A Administration Réseaux LP SIRI

Figure 1a. Réseau intranet avec pare feu et NAT.

Sécurité des réseaux sans fil

Un serveur web léger et ouvert

Linux. Sécuriser un réseau. 3 e édition. l Admin. Cahiers. Bernard Boutherin Benoit Delaunay. Collection dirigée par Nat Makarévitch

Expression, analyse et déploiement de politiques de sécurité - Application réseau -

Réseaux. Moyens de sécurisation. Plan. Evolutions topologiques des réseaux locaux

SECURIDAY 2012 Pro Edition

CASE-LINUX MAIL. Introduction. CHARLES ARNAUD Linux MAIL

Le Client/Serveur avec Enterprise Miner version 4

NOTICE INSTALLATION. ARCHANGE Simplex Office N&B/Couleur KONICA MINOLTA BUSINESS SOLUTIONS FRANCE

Network Shutdown Module V3 Extension du Manuel Utilisateur pour architecture Virtualisée VMWare ESX Server 3, 3.5

M2-ESECURE Rezo TP3: LDAP - Mail

Administration Système & Réseau. Domain Name System Historique & Concepts Fonctionnalités & Hiérarchie Requêtes & Base de donnée DNS

Zabbix. Solution de supervision libre. par ALIXEN

NOTICE INSTALLATION. ARCHANGE WebDAV Office N&B/Couleur KONICA MINOLTA BUSINESS SOLUTIONS FRANCE

2013 Microsoft Exchange 2007 OLIVIER D.

L3 informatique Réseaux : Configuration d une interface réseau

Services Réseaux - Couche Application. TODARO Cédric

Proxies,, Caches & CDNs

Réseaux. 1 Généralités. E. Jeandel

Guide de connexion Wi-Fi sur un hotspot ADP Télécom

Introduction. Adresses

Serveur de messagerie sous Debian 5.0

TP : Introduction à TCP/IP sous UNIX

Test d un système de détection d intrusions réseaux (NIDS)

SUPERVISION DE RÉSEAU AVEC NAGIOS

Manuel version expert

INTRUSION SUR INTERNET

Outils d'analyse de la sécurité des réseaux. HADJALI Anis VESA Vlad

Introduction aux Technologies de l Internet

Master d'informatique. Réseaux. Supervision réseaux

Network Shutdown Module V3 Extension du Manuel Utilisateur pour architecture Virtualisée VMWare ESX Server

IPS : Corrélation de vulnérabilités et Prévention des menaces

Mise en œuvre de Rembo Toolkit

Bienvenue sur Lab-Windows Il n'y a de vents favorables que pour ceux qui ont un cap

Windows Server 2008 Sécurité ADMINISTRATION ET CONFIGURATION DE LA SECURITE OLIVIER D.

Installation de la plate-forme Liberacces 2.0 «Intégrale» avec LiberInstall

Quick Start Guide This guide is intended to get you started with Rational ClearCase or Rational ClearCase MultiSite.

1 LE L S S ERV R EURS Si 5

ACTION PROFESSIONNELLE N 4. Fabien SALAMONE BTS INFORMATIQUE DE GESTION. Option Administrateur de Réseaux. Session Sécurité du réseau

MISE EN PLACE DU FIREWALL SHOREWALL

La sécurité périmètrique multi-niveaux. Un white paper de Daniel Fages CTO ARKOON Network Security

avast! EP: Installer avast! Small Office Administration

Manuel de l Administrateur

I. Présentation du serveur Samba

Les ACL Cisco. F. Nolot Master 2 Professionnel STIC-Informatique 1

GOUTEYRON ALEXIS. SIO2 N candidat: UEpreuve E4. USituation professionnelle 2. serveurs de fichiers. Uen haute disponibilité

Savoir-faire Linux Inc Administration et Conseil Linux

NFS Maestro 8.0. Nouvelles fonctionnalités

LDAP : pour quels besoins?

Fully Automated Nagios

TEST D INTRUISION. Document Technique

TD4 - Supervision et métrologie des réseaux. 1 Supervision des applications et services réseaux et des ressources locales

Les réseaux /24 et x0.0/29 sont considérés comme publics

Gestion des journaux

Retour d expérience sur Prelude


Préparation LPI. Exam Securité. Document sous licence Creative commons «by nc sa» nc sa/2.

Gestion des identités Christian-Pierre Belin

Firewall IDS Architecture. Assurer le contrôle des connexions au. Sécurité 1

StratusLab : Le projet et sa distribution cloud

Etude de la pertinence et de l'intérêt des appliances WAF (IPS web) à l'inria

SECURITE. Figure 1. Incident réseau, source CERT. Nombre. Sécurité

Sécurité sous Linux. Les hackers résolvent les problèmes et bâtissent...

Vanilla : Virtual Box

Authentification unifiée Unix/Windows

Les réseaux des EPLEFPA. Guide «PfSense»

RESEAUX TCP/IP: NOTIONS AVANCEES. Preparé par Alberto EscuderoPascual

Présentation de l outil d administration de réseau Nagios

DOCKER MEETUP. Christophe Labouisse

Zimbra. S I A T. T é l : ( ) F a x : ( )

Mise en place de la composante technique d un SMSI Le Package RSSI Tools BOX

La Gestion des Applications la plus efficace du marché

INSTALLATION DE WINDOWS 2000 SERVER POUR BCDI3. par. G.Haberer, A.Peuch, P.Saadé

Serveur DNS et DHCP couplé à LDAP Debian GNU/Linux

Pour les caméras IP de modèles : QSTC201 QSTC211. Surveillance à distance via Internet Guide de démarrage

ADMINISTRATION DE RESEAUX SOUS LOGICIEL «OPEN SOURCE»

Zimbra Forum France. Montée en charge et haute disponibilité. Présenté par Soliman HINDY Société Netixia

CREER UN ENREGISTREMENT DANS LA ZONE DNS DU DOMAINE

LINUX - Sécurité. Déroulé de l'action. - 3 jours - Contenu de formation

Messagerie. Dominique MARANT CRI Lille 1. Octobre 2006

Topologies et Outils d Alertesd

Installation et configuration du CWAS dans une architecture à 2 pare-feux

SIP. Plan. Introduction Architecture SIP Messages SIP Exemples d établissement de session Enregistrement

Transcription:

Gestion des contres mesures dans un réseau suite à des règles d une politique de sécurité dynamique Prof. Hervé Debar Prof. Frédéric Cuppens Prof. Nora Cuppens Nizar KHEIR Mercredi le 09 mai 2007 France télécom R&D Caen. 42 Rue des Coutures. Laboratoire MAPS - NSS Page 01

Politique de sécurité dynamique - Ensemble de codes de conduites, dont le but est de gérer les contrôles d accès. - Le dynamisme des règles de la politique de sécurité permet de modifier l état de «fonctionnement» du système. - La modification de l état du système, suite à la modification des règles de sécurité, peut bien générer des contres mesures suite à des menaces, ou bien états d intrusions. France télécom R&D Caen. 42 Rue des Coutures. Laboratoire MAPS - NSS Page 02

Architecture de notre système Instanciation de Politiques de sécurité Plateforme de détection d intrusion Plateforme de renforcement France télécom R&D Caen. 42 Rue des Coutures. Laboratoire MAPS - NSS Page 03

Plateforme de détection d intrusion -Supervision du système. -Génération, agrégation et corrélation des alertes. Génération Simple event correlator Corrélation Sonde Sonde Prelude manager Fichier d alertes Librairie Libprelude Sonde Agrégation <IDMEF> <alert/> </IDMEF> France télécom R&D Caen. 42 Rue des Coutures. Laboratoire MAPS - NSS Page 04

Instanciation de la politique de sécurité «Extrait du travail de thèse de Yohann Thomas» -Activation des contextes OrBAC à partir des alertes en format IDMEF. -Instanciation de règles de sécurité concrètes suite aux contextes activés. Politique de sécurité OrBAC Alertes IDMEF PIE Règles de sécurité Fichier de règles <Rule Prohibition> <subject/> <action/> <object/> </Rule> France télécom R&D Caen. 42 Rue des Coutures. Laboratoire MAPS - NSS Page 05

Plateforme de renforcement de la politique - Projection des règles de la politique de sécurité, sur le plan architectural du réseau, parallèlement aux éléments de contre mesure dans notre système. - C est-à-dire la mise en œuvre d une règle de sécurité suppose: a) La localisation, et la détermination complète des éléments concernés par cette règle. b) La disposition des différents agents reconfigurables dans le système, de sorte à pouvoir lister les mesures possibles. - Passons à un exemple. France télécom R&D Caen. 42 Rue des Coutures. Laboratoire MAPS - NSS Page 06

Plateforme de renforcement de la politique Is_Prohibited (Bob, Pop_Login, Bob_mbox) - Plusieurs exigences émergent (Point de vue architecture du réseau): a) Spécifier processus permettant l accès à la boite aux lettres de Bob. b) Identifier la machine sur laquelle tourne ce processus. c) Identifier les chemins possibles dans le réseau. - Plusieurs questions se posent (Point de vue agents de sécurité): a) Peut on reconfigurer le serveur de sorte que Bob ne pourra plus accéder à sa boite aux lettres? b) Si oui, c est bien. Sinon, que peut on faire? Interdire à Bob d accéder au serveur tout entier? Interdire Bob de s authentifier auprès du serveur de messagerie? Y a t il d autres solutions? Comment peut on les envisager? France télécom R&D Caen. 42 Rue des Coutures. Laboratoire MAPS - NSS Page 07

Représentation du réseau -Un module de renforcement des règles de sécurité doit pouvoir répondre aux questions déjà posées. -Il faut alors pouvoir reconnaître un modèle pour le réseau, que l on peut apprendre à ce module, et dans lequel se représentent toutes les ressources de notre système. -Ce modèle ne doit pas seulement représenter les différentes ressources du système, mais il doit encore sans doute représenter les dépendances entre ces ressources. -Ces dépendances doivent nous permettre, d une façon, ou d une autre, de faire identifier des moyens possibles afin de pouvoir appliquer une règle de sécurité. -Finalement, et avant de représenter notre modèle, on note que ce modèle permet juste de spécifier les mesures possibles, mais ne permet pas d en choisir celle qui est optimale. France télécom R&D Caen. 42 Rue des Coutures. Laboratoire MAPS - NSS Page 08

0.. * Resource Rid State Depend Aspect Access Rely SubRef Type Mode 0.. * Path Path_id Src_network Dst_network Service Name filter_module 0.. * Network 2.. * Access offer Process Process_id Interface Interface_Id Ip_address Netmask 1.. * Host Name If_Router Execute Port Script France télécom R&D Caen. 42 Rue des Coutures. Laboratoire MAPS - NSS Page 09

Parcours du modèle (1) Dans ce modèle, on retrouve: -Une distinction claire entre les différents niveaux qui caractérisent les différentes ressources du réseau: réseau, service et application. -Le parcours vertical de ce modèle reflète la relation de dépendance de construction entre les diverses entités: «Une ressource est accessible grâce à un service fournit par un processus qui tourne sur une machine connectée au réseau par son(ses) interface(s)» -Les relations de dépendances nous permettent à leur tour de faire un parcours horizontal du modèle. Modifiant parfois la cible de la contre mesure, tout en assurant l objectif essentiel, qui est l application de la règle de sécurité. France télécom R&D Caen. 42 Rue des Coutures. Laboratoire MAPS - NSS Page 10

Parcours du modèle (2) -Ayant Représenté les objets et leurs dépendances, Il faut définir une classe d actions qu on peut appliquer pour chacune des trois couches. -Ces actions dépendent des spécifications de la politique de sécurité. -La granularité des actions est proportionnelle à la couche en question. Couche Actions Envisageables Exemples Application Service Processus Réseau Requêtes spécifiques à chaque service Accès au service «Arrêt / Démarrage» du processus Accès à la machine http: Get / Post. MySQL: Select / Update. Pop3: (Deny/Allow) tcp / 110. http: (Deny/Allow) tcp / 80. http:./apachectl stop / start kill HUP Popd_pid Quarantine Host_Ip Deny Ip / tcp / udp Host_Ip France télécom R&D Caen. 42 Rue des Coutures. Laboratoire MAPS - NSS Page 11

Exemple (1) MEL1 MEL-Server1 False Bob_mbox Bob@wanadoo.com static Pop3 Read Pop SpamAssassin Popd 14 327 Interface eth3 10.193.192.21 255.255.192.0 Is_Prohibited (Bob, Pop_Login, Bob_mbox) Execute Tcp/110./etc/popd Depend Logic Search Rely Structural Pre-Requisit Service-Oriented Path P_192_128 10.193.192.0 10.193.128.0 Execute Tcp/389./etc/slapd Interface eth1 10.193.128.43 255.255.192.0 Bob_LDAP_entry Rdn: uid = bob static LDAP OpenLDAP Embedded Slapd 8 159 Act Dir Active-Directory False France télécom R&D Caen. 42 Rue des Coutures. Laboratoire MAPS - NSS Page 12

Exemple (2) Is_Prohibited (Bob, Pop_Login, Bob_mbox) Begin at Ressource Layer Set PEP request Yes Pop filter_module? No Down to service layer Not exist Test Resource dependencies exist Check AD «DN» entries with LDAP Search Request Check Network Architecture Possible Deny (Bob_IP, tcp/110,exchange server) Not Possible Test Service Dependencies Not exist ( & ) Service continuity Switch to Pre - Requisit Dependencies Check Strategy Priority for safe side: Block existing sessions Switch to Co - Requisit Dependencies France télécom R&D Caen. 42 Rue des Coutures. Laboratoire MAPS - NSS Page 13 exist

Exemple (3) Is_Prohibited (Bob, Pop_Login, Bob_mbox) ( & ) Check Strategy for contexts and subject considerations Severe, Object oriented, (1). Down to network layer Identify threat severity due to strategy User oriented Object oriented Quarantine/flow filtering for service host Quarantine/flow filtering for subject host Check for substitute services (2) Kill Popd Process (1) De tels cas pourront être envisagé si par exemple un sous réseau entier n a plus le droit d utiliser le Pop, vraisemblablement il y a une faille de sécurité. (2) Comme par exemple https au lieu de http, Imap au lieu de Pop, etc France télécom R&D Caen. 42 Rue des Coutures. Laboratoire MAPS - NSS Page 14

Travaux futures - Dans cette présentation, on a essayé de lister, d une façon automatisée, les différents moyens possibles afin de faire appliquer une règle de sécurité. - Ces moyens se distinguent du point de vue précision de la contre mesure, et son coût par rapport à la continuité de service du point de vue du sujet concerné, et des autres utilisateurs du réseau.. - Une approche utile sera de faire évaluer ces paramètres, afin de pouvoir sélectionner la meilleure contre mesure. France télécom R&D Caen. 42 Rue des Coutures. Laboratoire MAPS - NSS Page 15

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back