Laboratoire de Haute Sécurité. Télescope réseau et sécurité des réseaux

Documents pareils
Servir ses utilisateurs sans bureau d accueil physique

Sécurité des applications Retour d'expérience

L INRIA, institut français des STIC. (en Île-de-France) 24 septembre 2009

TutoJRES Outils et Services Collaboratifs

Fiche Technique. Cisco Security Agent

Firewall IDS Architecture. Assurer le contrôle des connexions au. Sécurité 1

Offre de stage. Un(e) stagiaire en informatique

VoIP : Introduction à la sécurité. VoIP : Introduction à la sécurité

Windows serveur 2012 : Active Directory

La sécurité périmètrique multi-niveaux. Un white paper de Daniel Fages CTO ARKOON Network Security

Surveillance stratégique des programmes malveillants avec Nessus, PVS et LCE

Teste et mesure vos réseaux et vos applicatifs en toute indépendance

Détection d'intrusions et analyse forensique

Mesures DNS à l ère du Big Data : outils et défis. JCSA, 9 juillet 2015 Vincent Levigneron, Afnic

Découverte de réseaux IPv6

Retour d expérience sur Prelude

LINUX - Sécurité. Déroulé de l'action. - 3 jours - Contenu de formation

Groupe Eyrolles, 2004, ISBN :

Hypervision et pilotage temps réel des réseaux IP/MPLS

Haka : un langage orienté réseaux et sécurité

SECURIDAY 2013 Cyber War

Formations. «Produits & Applications»

GESTION DES INCIDENTS DE SÉCURITÉ DE L INFORMATION

Etude de la pertinence et de l'intérêt des appliances WAF (IPS web) à l'inria

Asterisk Use cases. Interconnexion avec un central propriétaire Multi-site. Linuxdays Genève, 24 mars

Bibliographie. Gestion des risques

THEGREENBOW FIREWALL DISTRIBUE TGB::BOB! Pro. Spécifications techniques

Sujet 2 : Interconnexion de réseaux IP (routeurs CISCO). Sujet 3 : Implémentation d un serveur VPN avec OpenVPN.

Grid 5000 : Administration d une infrastructure distribuée et développement d outils de déploiement et d isolation réseau

Mise en place de la composante technique d un SMSI Le Package RSSI Tools BOX

Mise en place d une info-structure étendue et sécurisée à base de logiciels libres

Faits techniques et retour d'expérience d'une cellule d'expertise dans la lutte contre le code malveillant. EdelWeb / Groupe ON-X

Découverte et analyse de dépendances dans des réseaux d entreprise

McAfee Network Security Platform Une approche d'une intelligence inégalée de la sécurité du réseau

Orange Business Services. Direction de la sécurité. De l utilisation de la supervision de sécurité en Cyber-Defense? JSSI 2011 Stéphane Sciacco

Threat Management déploiement rapide de contre-mesures

Projet Sécurité des SI

Principaux utilisateurs du Réseau

Atelier Pivoting KHOULOUD GATTOUSSI (RT3) ASMA LAHBIB (RT3) KHAOULA BLEL (RT3) KARIMA MAALAOUI (RT3)

CAS IT-Interceptor. Formation «Certificate of Advanced Studies»

Dr.Web Les Fonctionnalités

Yann BECHET 32 ans 8 ans d expérience yann@bechet.org

Sécurité de la ToIP Mercredi 16 Décembre CONIX Telecom

Sécurité des réseaux Les attaques

Parcours en deuxième année

Résoudre ses problèmes de performance en 4 clics!

L'écoute des conversations VoIP

INITIATIVE HPC-PME Calcul haute performance pour les PME

Charte d installation des réseaux sans-fils à l INSA de Lyon

Figure 1a. Réseau intranet avec pare feu et NAT.

Sécurité d IPv6. Sécurité d IPv6. Stéphane Bortzmeyer AFNIC bortzmeyer@nic.fr. Stéphane Bortzmeyer AFNIC bortzmeyer@nic.fr

JIP'05. Sécurité des plate-formes d'hébergement - Les défis des FSI - Yann Berthier / FHP yb@bashibuzuk.net

Contrôle de l Activité et Gestion des Menaces dans un environnement Réseau Distribué. INTERDATA Présentation Q1Labs

Topologies et Outils d Alertesd

Rapport de certification ANSSI-CSPN-2011/14. Fonctionnalités de pare-feu de StoneGate Firewall/VPN build 8069

Notions de sécurités en informatique

LA SÉCURITÉ RÉINVENTÉE

Administration Avancée de Réseaux d Entreprises (A2RE)

Spécialiste Systèmes et Réseaux

COTISATIONS VSNET 2015

Les rootkits navigateurs

Nouveaux outils de consolidation de la défense périmétrique

Expérience d un hébergeur public dans la sécurisation des sites Web, CCK. Hinda Feriani Ghariani Samedi 2 avril 2005 Hammamet

Relever les défis des véhicules autonomes

MSP Center Plus. Vue du Produit

Appliance FAST360 Technical Overview. Sécurité de la VoIP. Copyright 2008 ARKOON Network Security

Services Réseaux - Couche Application. TODARO Cédric

//////////////////////////////////////////////////////////////////// Administration systèmes et réseaux

CQP ADMINISTRATEUR DE BASES DE DONNÉES (ABD)

PROGRAMME DETAILLE. Parcours en première année en apprentissage. Travail personnel CC + ET réseaux

ZABBIX est distribué sous licence GNU General Public License Version 2 (GPL v.2).

Gestion des incidents de sécurité. Une approche MSSP

PACK SKeeper Multi = 1 SKeeper et des SKubes


ACTION PROFESSIONNELLE N 4. Fabien SALAMONE BTS INFORMATIQUE DE GESTION. Option Administrateur de Réseaux. Session Sécurité du réseau

La Sécurité des Données en Environnement DataCenter

Description des UE s du M2

Symantec Protection Suite Enterprise Edition Protection éprouvée pour les terminaux, la messagerie et les environnements Web

Projet de Sécurité Groupe Audit

Botnets, les fantômes de l internet. 6 Novembre Iheb Khemissi - iheb.khemissi@gmail.com Joris Brémond - joris.bremond@gmail.

La sécurité des PABX IP. Panorama des risques et introduction des mesures de protection

Technologies du Web. Créer et héberger un site Web. Pierre Senellart. Page 1 / 26 Licence de droits d usage

Etat des lieux sur la sécurité de la VoIP

Métrologie réseaux GABI LYDIA GORGO GAEL

Sécurité informatique: introduction

Table des matières. Avant-propos... Préface... XIII. Remerciements...

État Réalisé En cours Planifié

Voix sur IP Étude d approfondissement Réseaux

Présentations personnelles. filière IL

Test de performance en intégration continue dans un cloud de type PaaS

z Fiche d identité produit

PostgreSQL. Formations. SQL avancé Calendrier... 18

«Sécurisation des données hébergées dans les SGBD»

Métrologie et gestion d incidents!

MASTER SIS PRO : logique et sécurité DÉTECTION D INTRUSIONS. Odile PAPINI, LSIS. Université de Toulon et du Var. papini@univ-tln.

Lyon, mardi 10 décembre 2002! "#$%&"'"# &(

ANSSI PROCEDURES DE REPORTING DES INCIDENTS AVEC LE CIRT RÔLES DES PARTIES PRENANTES 15/02/2014. SEMINAIRE DE Joly Hôtel

Transcription:

Laboratoire de Haute Sécurité Télescope réseau et sécurité des réseaux Frédéric Beck (SED) & Olivier Festor (Madynes) CLUSIR Est - 15 Décembre 2011

Inria : Institut de recherche en sciences du numérique Sciences informatiques et mathématiques RECHERCHE DEVELOPPEMENT TECHNOLOGIQUE ET EXPERIMENTATION ENSEIGNEMENT ET FORMATION TRANSFERT ET INNOVATION Un institut public à caractère scientifique et technologique sous la double tutelle du ministère de la Recherche et du ministère de l Industrie 2

Principaux domaines de recherche 1 Mathématiques appliquées, Calcul et Simulation 2 Algorithmique, Programmation, Logiciels et Architectures 3 Réseaux, Systèmes et Services, Calcul distribué 4 Perception, Cognition, Interaction 5 STIC pour les sciences de la vie et de l environnement 3

Centres de recherche Inria Inria LILLE Nord Europe Inria PARIS - Rocquencourt Inria NANCY Grand Est Inria SACLAY Île-de-France Inria RENNES Bretagne Atlantique Inria GRENOBLE Rhône-Alpes Inria BORDEAUX Sud-Ouest Inria SOPHIA ANTIPOLIS Méditerranée 4

Laboratoire de Haute Sécurité Plate-forme unique en France et en Europe Objectifs Expertise en Sécurité Informatique (audit, recherche de vulnérabilités...) Défense pro-active contre les programmes malicieux et nouvelles menaces Études, expérimentations à grande échelle et publications Collecte et analyse de données Développement et mise à disposition d'outils et logiciels Valider, valoriser et distribuer les travaux https://lhs.loria.fr 2 axes principaux Virologie Sécurité réseau Télescope réseau Expérimentations et études 5

Sécurité réseau Améliorer la sécurité des réseaux et services Collecte et analyse de données d'attaque (télescope réseau) Définition et mise en œuvre de mécanismes de protections (logiciels, recommandations) Gestions de vulnérabilités (découverte, protection) Détection les mal-fonctions et les compromissions (monitoring/supervision) Objectifs Définitions et extensions de protocoles et algorithmes Développements et maintenance de solutions logicielles Expérimentations à grande échelle Domaines d'application variés Réseaux IPv4/IPv6, VoIP, P2P, capteurs sans-fils, réseaux ad-hoc, SCADA... 6

Télescope réseau Capture à grande échelle de malwares et traces réseau Architecture multi-provider 3 ADSL (Orange, SFR, Free) 1 SDSL 2Mbits avec /24 public Architecture virtualisée et cloisonnée 3 environnements distincts Collecte des données Stockage et confinement des données Support aux expérimentations 7

Télescope réseau Capture de code et binaires malicieux Émulation de vulnérabilités Permet d'éviter la propagation des attaques ou la compromission des sondes Capture des malwares qui les exploitent Binaires transmis à l'équipe virologie Utilisation de sandbox pour analyser le comportement du malware et l'identifier Capture d'informations supplémentaires sur l'attaquant IP source, localisation géographique, site hébergeant le binaire Capture d'attaques dites zero-day essentielle pour la mise en œuvre de défenses pro-actives Capture de traces et flux réseau Capture au format PCAP et NetFlow des traces d'attaque Analyse des mécanismes d'infection et de propagation des malwares Objectif Définition de mécanismes de défense périmétrique pro-active Bloquer les attaques à la source 8

Honeypots et services émulés Utilisation de honeypots à faible interactions Environ 25 instances déployées à l'heure actuelle Dionaea RPC/Netbios, HTTP, FTP/TFTP, SIP/VoIP, MSSQL Amun Émulation de vulnérabilités via plugins python Kippo Brute force SSH toujours un succès et accès à un shell minimaliste Sessions enregistrées pour tracer les activités Leurrecom.org Honeypot project «pots de miels» distribués et répartis dans le monde Dans le passé Nepenthes, ancêtre de Dionaea Hali en collaboration avec l'université du Luxembourg, honeypot SSH type Kippo 9

Le télescope en chiffres En fonctionnement depuis le 09 Septembre 2008 Total (au 13/12/2011) 415 940 593 attaques Dont 125 915 793 attaques malicieuses 101 445 523 malwares téléchargés 292 599 binaires uniques capturés Quotidiennement 350 000 attaques dont 106 000 malicieuses + de 8 500 binaires téléchargés Traces réseau 5,7 To de données PCAP 88 Go de flux NetFlow 6 Go de flux Tor anonymisés 10

Détection de vulnérabilités Stateful fuzzing avec feedback + de 50 vulnérabilités trouvées Mécanisme breveté de fingerprinting avec un seul paquet KIF Fuzzing contre les états protocolaires Apprentissage automatique de la machine à états d'après traces correctes Mécanisme de feedback : suivi des données et graphes d'exécution Exemple : vulnérabilité permettant de décrocher sans intervention utilisateur Domaines d'application SIP DNS IPv6 DHCP PDF 11

Protection contre les vulnérabilités SecSIP, un framework de protection contre les attaques SIP Première ligne de défense stateful pour le protocole SIP Identification des vulnérabilités avec KIF Modélisation des vulnérabilités et leurs contre-mesures dans le langage Veto Génération automatique des règles de prévention D'après la définition de la vulnérabilité avec algorithmes génétiques veto SJPhone_Vul@SJPhone uses SJPhoneDefs begin (ev_invite) -> { if (SIP:headers.Content_Length!@eq "SIP:body.length") drop; } (ev_invite(malformed)) -> drop; veto end 12

Sécurité VoIP Monitoring des services VoIP Identifier les attaques et fraudes Détection d'anomalies dans les logs/traces Développement d'un BotNet VoIP Honeypot VoIP : Artemisa Risk management dans les réseaux VoIP Design et développement d'un IDS VoIP Modélisation du risque dans les infrastructures VoIP Stratégie de gestion des risques avec mise en œuvre dynamique de contre-mesures Prototype fonctionnel implémenté dans Asterisk 13

Sécurité des réseaux P2P Monitoring et protection du réseau KAD Design d'algorithmes et d'une infrastructure permettant la supervision du réseau KAD au niveau d'internet Prise de contrôle de l'indexation des ressources par attaque Sybille Logs anonymisés des activités de publication et de recherche Collaboration avec la Gendarmerie Nationale pour l'application à la supervision de mots clés pédophiles Définition d'un système de protection contre les attaques Sybille 14

Sécurité des réseaux de demain Sécurité des réseaux IPv6 NDPMon, Neighbor Discovery Protocol Monitor Version IPv6 d'arpwatch avec fonctionnalités additionnelles Supervision du Neighbor Discovery Protocol (NDP) Nouvelle station, changement d'adresse... Détection d'attaques contre le NDP Usurpation d'identité, DoS, mauvaises annonces réseau... Historique du pairing adresses IPv6 et Ethernet Permet de tracer les stations Windows utilisant IPv6 Alertes configurables 15

Travaux en cours et futurs Modélisation de flux réseaux malicieux Analyse et corrélation des flux et paquets réseaux collectés Classification des malwares selon leurs mécanismes de propagation Mise en œuvre de nouveaux mécanismes de défense périmétrique Extension Snort? Supervision des services : DNS Analyse passive des requêtes DNS récursives Traces du télescope et du réseau de l'inria Nancy Grand Est Anonymisation des adresses Audit des logs pour détecter le trafic malicieux Classification et clustering automatique des domaines malicieux Communications avec contrôleurs de Botnets ou serveurs hébergeant des malwares identifiées «in the wild» Objectif Ouvrir et proposer le service au public 16

Merci de votre attention Frédéric Beck (SED) & Olivier Festor (Madynes) CLUSIR Est - 15 Décembre 2011 17

Contacts Équipe projet Madynes Olivier Festor olivier.festor@inria.fr Isabelle Chrisment isabelle.chrisment@loria.fr http://madynes.loria.fr Service Expérimentations et Développements Frédéric Beck frederic.beck@inria.fr http://lhs.loria.fr https://sed-ncy.inria.fr/ 18

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back