1/20 Métrologie et gestion d incidents! Frédéric Bongat Assemblée des CSSI Janvier 2015
2/20 Sommaire : 1 2 3
3/20 La métrologie Mon objectif : savoir mieux ce qui se passe sur le réseau du point de vue du CSSI Au jour le jour Connaître les usages et applications utilisées (on a souvent une connaissance non complète de son trafic) Détecter de façon pro-active des déviations par rapport à un état normal En cas d incident : aide et soutien après un incident (recherche d informations) Un monitoring moderne entre dans les planifications PDCA (d une PSSI) On souhaite une visualisation de statistiques horaires et journalières
4/20 Les flux réseaux Analyse du trafic = Analyse des flux Qu est-ce qu un flux : Un flux est défini comme une sucession de paquets IP transitant par un point d observation du réseau durant un intervalle de temps. Aspect de comtabilisation des flux Mes critères d un flux réseau Adresses IP (source et destination) Protocoles Ports applicatifs (source et destination) Type of Service (ToS) Interfaces d entrée et de sortie du routeur
5/20 Les protocoles de flux réseaux Les protocoles Netflow (Cisco) et sflow (Extreme Networks, 3COM, HP Procurve... ) sont les principaux implantés par les équipementiers réseau. Ils fournissent les informations de niveau 3 et 4 sur les flux transitant sur le réseau, et ce sans avoir à déployer des sondes ou des agents. Choix d une sonde d émission dans un des formats (et non pas en fonction des équipements) Particularités : Flux unidirectionnels ou bidirectionnels (aller-retour, comportement TCP,...) Flux d application : vue au delà des en-têtes afin de classifier les paquets en fonction de leur contenu. Agrégation possibles
6/20 Les flux de type netflow Format Netflow Les versions 1, 5,6, 7, 8 sont propriétaires (nombres de paramètres fixes) La version 9 : extensible et flexible (templates) Nouveau standard : IPFIX, compatible v9 Pour exploiter les informations NetFlow, il faut mettre en œuvre : un collecteur chargé d enregistrer les informations NetFlow émises par le (ou les) équipement(s), un analyseur pour produire les tableaux statistiques et les graphes.
7/20 Présentation du contexte Institut Pierre-Simon Laplace IDES, LATMOS, LMD, LISA, LOCEAN, LPMAA, LSCE, SISYPHE Sur le Campus Jussieu Fédération IPSL (400 personnels) LMD, LOCEAN, LATMOS, IPSL (infrastructure réseau commune) Présentation de l incident au LOCEAN Les sites du LOCEAN CNRS, IRD, MNHN, UPMC Les tutelles : Paris (Jussieu/Muséum), Bondy LMI : Sénégal (Dakar, Saint-Louis), Brésil (Niteroi), Pérou (Callao), IRD Nouméa
8/20 Infrastructure IPSL Schéma réseau IPSL Ressources 2x1Gb/s mais 1 Gb/s en sortie effective
9/20 Architecture de gestion des flux Repose sur deux colecteurs (basés sur nfdump et silk) nfcapd : 8 Go/mois silk : 5 Go/mois
10/20 Console d observation et d analyse restreinte
11/20 Les profiles Nouvelles vues d analyses sur des critères prédéfinis Ensemble des profiles (10) : environ 2 Go/mois de données
12/20 Les outils d analyse Outils de "recherche" en ligne de commande Analyse : nfdump et shell Analyse : silk Nombreuses commandes intégrées (rwfilter, rwcut, rwstat,...), map de sortie en format binaire besoin de moins de commandes shell
13/20 Etude d un incident L incident : phishing et vol d identifiants
14/20 Chronologie de l incident Au LOCEAN : multi sites internationnaux Samedi 3 janvier, um message de type phishing des plus classiques est envoyé
Chronologie de l incident : le phishing Vérification de la dangerosité du message Le lien est des plus mêne sur un site en République Tchèque L interface ne ressemble pas du tout à celui de l UPMC Par acquit de conscience : le lundi matin, j envoie un message aux utilisateurs sur cette campagne de phishing En fin de matînée, deux utilisateurs se sont présentés comme victimes Mesure : changement des mots de passe, ouf!! 15/20
16/20 Observation de l incident Lundi en soirée, début des hostilités Graphique de la messagerie et la période de spam Graphique du mail en temps normal sur une semaine
17/20 Analyse de la situation Validation de l attaque sur le serveur de messagerie Caractéristiques de cette attaques environ 450000 messages et 1,6Go de données dans le spool (incomming, deferred,...) Blocage du serveur, identification du compte, Changement du mot de passe du compte Maintenance du serveur, redémarrage du service Analyse de l incident
Méthodologie d attaque simple Vérification par webmail, envoi des spams par smtps Attaque depuis l île Maurice 18/20
Suite de l incident De nouveau une nouvelle attaque (adaptée) Nouveau compte compromis : toujours une réponse au phishing Première partie mardi soir 18h30-20h Deuxième partie : mercredi 7h30-9h Même méthode d attaque, nouvelle ip de la même région géographique Ensemble des 3 attaques Même gestion que précédemment Action niveau administrateur : mise en place du contrôle de la 19/20
20/20 Les analyses de flux sont très intressantes D un point de vu de la détection C est complémentaire à un IDS Avec le problème de la visualisation de la console (veille) Au niveau gestion d incidents Outils très performants Beaucoup d informations disponibles C est un bon outil pour un CSSI Améliore la connaissance de son environnement et du fonctionnement des applications réseaux Beaucoup d informations disponibles