L analyse de logs. Sébastien Tricaud Groupe Resist - Toulouse 2013



Documents pareils
OWASP Open Web Application Security Project. Jean-Marc Robert Génie logiciel et des TI

Retour d expérience sur Prelude

Installation et Configuration de Squid et SquidGuard sous Debian 7

Travaux pratiques : collecte et analyse de données NetFlow

Sécurité des réseaux Les attaques

La Latecion protection anti-intrusion Web Web Le concept «Zero effort Security» La protection des applications Extranet

Atelier Sécurité / OSSIR

IT SecuDay Geneva 2015 : Les apports du Big Data à la sécurité informatique

sshgate Patrick Guiran Chef de projet support

Gestion des incidents de sécurité. Une approche MSSP

Fonctionnement et mise en place d un reverse proxy sécurisé avec Apache. Dimitri ségard 8 mai 2011

laposte.net) Ministère de l'éducation nationale Atelier sécurité Rabat RALL 2007

Compromission d'un environnement VOIP Cisco Exploitation du Call Manager SSTIC Francisco. Juin 2013 LEXFO 1

Zeus V3.XX :: PRE-REQUIS TECHNIQUES

Formations. «Règles de l Art» Certilience formation N SIRET APE 6202A - N TVA Intracommunautaire FR

Content Switch ou routage de niveau HTTP

L3 informatique TP n o 2 : Les applications réseau

VXPERT SYSTEMES. CITRIX NETSCALER 10.1 et SMS PASSCODE 6.2. Guide d installation et de configuration pour Xenapp 6.5 avec SMS PASSCODE 6.

Sécuriser les applications web de l entreprise

(51) Int Cl.: H04L 29/06 ( ) G06F 21/55 ( )

Chapitre VIII : Journalisation des événements

Aide à la Détection de Faiblesses d un site Web Mandataire inverse, Modsecurity

RSA ADVANCED SECURITY OPERATIONS CENTER SOLUTION

Sécurité des Web Services (SOAP vs REST)

Etude de la pertinence et de l'intérêt des appliances WAF (IPS web) à l'inria

ACTION PROFESSIONNELLE N 4. Fabien SALAMONE BTS INFORMATIQUE DE GESTION. Option Administrateur de Réseaux. Session Sécurité du réseau

Sécurité logicielle. École de technologie supérieure (ÉTS) MGR850 Automne 2012 Automne Yosr Jarraya. Chamseddine Talhi.

Gestion des journaux

Le cadre des Web Services Partie 1 : Introduction

La Sécurité des Données en Environnement DataCenter

Le Tunneling DNS. P.Bienaimé X.Delot P.Mazon K.Tagourti A.Yahi A.Zerrouki. Université de Rouen - M2SSI. 24 février 2011

Client windows Nagios Event Log

Tom Pertsekos. Sécurité applicative Web : gare aux fraudes et aux pirates!

Problème physique. CH5 Administration centralisée

Serveur Web Apache. Jean-Marc Robert Génie logiciel et des TI

Un serveur web léger et ouvert

CS REMOTE CARE - WEBDAV

IPS : Corrélation de vulnérabilités et Prévention des menaces

Installation de Smokeping sur Debian

Les IDS et IPS Open Source. Alexandre MARTIN Jonathan BRIFFAUT

Linux Firewalling - IPTABLES

1 La visualisation des logs au CNES

SECURITE. Figure 1. Incident réseau, source CERT. Nombre. Sécurité

Serveur Subversion Debian GNU/Linux

Rôles serveur Notion de Groupe de Travail Active Directory Utilisation des outils d administration Microsoft Windows Server 2008

Sécurité des systèmes d exploitation

TUTORIEL RADIUS. I. Qu est-ce que RADIUS? II. Création d un groupe et d utilisateur

Présentation des composants WhatsUp Companion & WhatsUp Companion Extended. Version Mars Orsenna

SQL MAP. Etude d un logiciel SQL Injection

Scénarios d Attaques et Détection d Intrusions

et Active Directory Ajout, modification et suppression de comptes, extraction d adresses pour les listes de diffusion

PROXY SQUID-SQARD. procédure

Contenu. Cocher : Network Policy and Access Services > Next > Next. Cocher : Network Policy Server > Next > Install

SQUID Configuration et administration d un proxy

IPFIX (Internet Protocol Information export)

21 mars Simulations et Méthodes de Monte Carlo. DADI Charles-Abner. Objectifs et intérêt de ce T.E.R. Générer l'aléatoire.

Accès réseau Banque-Carrefour par l Internet Version /06/2005

MANUEL D INSTALLATION D UN PROXY

Sécurité des applications web. Daniel Boteanu

Sécurité des sites Web Pas un cours un recueil du net. INF340 Jean-François Berdjugin

Infrastructure Management

Principales failles de sécurité des applications Web Principes, parades et bonnes pratiques de développement

Micro-ordinateurs, informations, idées, trucs et astuces utiliser le Bureau à distance

Introduction au DNS. Les noms de domaine s'écrivent de la gauche vers la droite, en remontant vers la racine et sont séparés par un "." (point).

4. SERVICES WEB REST 46

Les réseaux des EPLEFPA. Guide «PfSense»

RTE Technologies. RTE Geoloc. Configuration avec Proxy ou Firewall

SECURIDAY 2013 Cyber War

La supervision des services dans le réseau RENATER

INTRUSION SUR INTERNET

THE GLOBAL EVENT MANAGER

Les cahiers pratiques de Anonymat.org. SocksCap32. Edition du 20 Octobre 2000

Network Shutdown Module V3 Extension du Manuel Utilisateur pour architecture Virtualisée VMWare ESX Server 3, 3.5

IP & Co. 1. Service DHCP. L'objectif de ce TP est de voir l'ensemble des services élémentaires mis en oeuvre dans les réseaux IP.

Spécialiste Systèmes et Réseaux

Programme Opérations de registre avancées Introduction à la supervision et à la gestion de réseaux

SSL ET IPSEC. Licence Pro ATC Amel Guetat

Internets. Informatique de l Internet: le(s) Internet(s) Composantes de l internet R3LR RENATER

Installation de SharePoint Foundation 2013 sur Windows 2012

Dans l'épisode précédent

SERVEUR DÉDIÉ DOCUMENTATION

La citadelle électronique séminaire du 14 mars 2002

ZABBIX est distribué sous licence GNU General Public License Version 2 (GPL v.2).

Supervision de réseau

Oauth : un protocole d'autorisation qui authentifie?

Web Application Firewalls (WAF)


Asterisk Use cases. Interconnexion avec un central propriétaire Multi-site. Linuxdays Genève, 24 mars

Gestion centralisée d un réseau de sites discrets. Nicolas JEAN

Network Shutdown Module V3 Extension du Manuel Utilisateur pour architecture Virtualisée VMWare ESX Server

PUPPET. Romain Bélorgey IR3 Ingénieurs 2000

Architecture distribuée

Une approche positive du filtrage applicatif Web. Didier «grk» Conchaudron Sébastien «blotus» Blot

Can we trust smartphones?

Transcription:

L analyse de logs Sébastien Tricaud Groupe Resist - Toulouse 2013

whoiam Principal Security Strategist @Splunk Co-Fondateur de la société Picviz Labs Ancien CTO du projet Honeynet Co-lead du chapitre Honeynet français Contributeur de nombreux logiciels opensource : Prelude IDS, OSSEC, Linux PAM, faup, etc.

Qu est-ce qu un log? Un fichier texte ou binaire Du traffic réseau Une base de données

Exemple de taille de logs Capture par netflow d un pays de 45 millions d habitants sur le backbone principal = 3 millions d évènements / 5 min

Syslog UDP? Partage d information Alertes? Correlation? Volume? Problème de sécurité ou de configuration? Log Management

À la recherche du TLD perdu Nous souhaitons extraire tous les domaines en.ru d un fichier de proxy $ grep "\.ru" squid.log

À la recherche du TLD perdu [...] "[28/Feb/2011:00:13:02 +0100]" XXXX GET http:// pixel.quantserve.com/pixel;r=1869975797;fpan=0;fpa=p0-1991180462-1298650127845;ns=1;url=http%3a%2f %2Foptimized- by.rubiconproject.com%2fa%2f3346%2f3 [...] [...] "[28/Feb/2011:00:14:32 +0100]" xgbj352 GET http:// eco.rue89.com/2011/02/25/oui-les-militaires-meritent- leurreduction-de-75-a-la-sncf-192164?page=0 HTTP/1.1 500 1120 500 505 TCP_NC_MISS 567 12 1103 10.33.37. [...]

À la recherche du TLD perdu grep -e avec la bonne regex 'http(s)?\://[a-za-z0-9\-\:\.]+\.(ru)/'

À la recherche du TLD perdu [...] "[28/Feb/2011:02:02:08 +0100]" XXXX GET http:// www.facebook.com/plugins/like.php?href=http:/ /slon.ru/ articles/xxxx [...]

La regex la plus compliquée du monde! ^(http https ftp)\://([a-za-z0-9\.\-]+(\:[a-za-z0-9\.&%\$\-]+)*@)? ((25[0-5] 2[0-4][0-9] [0-1]{1}[0-9]{2} [1-9]{1}[0-9]{1} [1-9])\.(25[0-5] 2[0-4][0-9] [0-1]{1}[0-9]{2} [1-9]{1}[0-9]{1} [1-9] 0)\.(25[0-5] 2[0-4] [0-9] [0-1]{1}[0-9]{2} [1-9]{1}[0-9]{1} [1-9] 0)\.(25[0-5] 2[0-4][0-9] [0-1]{1}[0-9]{2} [1-9]{1}[0-9]{1} [0-9]) ([a-za-z0-9\-]+\.)*[a-za-z0-9\-] +\.[a-za-z]{2,4})(\:[0-9]+)?(/[^/][a-za-z0-9\.\,\?\'\\/\+&%\$#\=~_ \-@]*)*$

Faites votre marché http://www.regexlib.com/search.aspx?k=url

Problème liés à grep Encodage des caractères Obtenir les lignes de logs manquées

Faup: Finally an URL parser http://www.github.com/stricaud/faup Extracteur de champs d url universel, rapide (0 allocation) et résistant aux urls moisies Bibliothèque en C, bindings Python, outil en ligne de commande $ faup -p https://www.ossir.org/index.php?a=http://slashdot.org scheme,credential,subdomain,domain,host,tld,port,resource_path,query_string,fragment https,,www,ossir.org,www.ossir.org,org,,/index.php,?a=http://slashdot.org,

Faup: Finally an URL parser $ faup https://www.ossir.org/index.php?a=http://slashdot.org cut -d, -f6 org $ faup https://www.ossir.org/index.php?a=http://slashdot.org cut -d, -f9 cut - d= -f2 http://slashdot.org $ faup https://www.ossir.org/index.php?a=http://slashdot.org cut -d, -f9 cut - d= -f2 faup http,,,,slashdot.org,org,,,,

Comment récupérer les informations pertinentes? Normaliser puis faire correspondre avec des signatures pour extraire des alertes de sécurité Faire n importe quoi!

Signature OSSEC <rule id="5715" level="3"> <if_sid>5700</if_sid> <match>^accepted authenticated.$</match> <description>sshd authentication success.</description> <group>authentication_success,</group> </rule> <rule id="5716" level="5"> <if_sid>5700</if_sid> <match>^failed ^error: PAM: Authentication</match> <description>sshd authentication failed.</description> <group>authentication_failed,</group> </rule>

Démo : faire n importe quoi! Nous allons par exemple chercher des logs intéressants par longueur de texte

Know Your Enemy Les logs configurables!

Squid Configuration du format de log logformat squid %ts.%03tu %6tr %>a %Ss/%03>Hs %<st %rm %ru %un %Sh/%<A %mt Options [http::]rm Request method (GET/POST etc ) [http::]ru Request URL [http::]rp Request URL Path excluding hostname...

ProFTPd Les logs sont gérés par mod_log Configuration du format de log LogFormat default "%h %l %u %t \"%r \" %s %b " Options %A Utilisateur anonyme (mot de passe donné) %a Adresse IP du client %b Octets envoyés pour le requête

ProFTPd L option %A est fort intéressante! Code gérant cette option : #define PR_TUNABLE_PATH_MAX 1024 char arg [PR_TUNABLE_PATH_MAX+1] = { \ 0 } ; case META_ANON_PASS: argp = arg ; pass = pr_table_get(session.notes, "mod_auth.anon passwd", NULL); if (!pass) pass = "UNKNOWN"; sstrncpy(argp, pass, sizeof(arg));

ProFTPd Injection possible dans /var/log/proftpd/ auth.log Conclusion Il ne faut pas chercher des authentifications ssh dans le log de proftpd Il n y a pas de base de données centralisant ces problèmes

Base de données liées aux problèmes de log Il existe CWE Common Weakness Enumeration CWE-778: Insufficient Logging "When a security-critical event occurs, the software either does not record the event or omits important details about the event when logging it."

Quelques failles de logs dans CVE CVE-2003-1566: Microsoft IIS 5.0 does not log requests that use the TRACK method, which allows remote attackers to obtain sensitive information without detection. CVE-2007-3730: OpenVMS does not log the source IP. CVE-2008-1203: Adobe ColdFusion 8 and ColdFusion MX7 do not log failed connection attempts on the administrative interface....

Disponibilité d évidence d intrusion dans les logs 16% Disponible Non disponible 84% Source : Verizon 2012 Data Breach Investigation Report

Question? @tricaud sebastien@honeynet.org stricaud@splunk.com

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back