1 La visualisation des logs au CNES



Documents pareils
RTE Technologies. RTE Geoloc. Configuration avec Proxy ou Firewall

Firewall IDS Architecture. Assurer le contrôle des connexions au. Sécurité 1

Mesures DNS à l ère du Big Data : outils et défis. JCSA, 9 juillet 2015 Vincent Levigneron, Afnic

WebSpy Analyzer Giga 2.1 Guide de démarrage

Proxy et reverse proxy. Serveurs mandataires et relais inverses

GENERALITES. COURS TCP/IP Niveau 1

FICHE PRODUIT COREYE CACHE Architecture technique En bref Plateforme Clients Web Coreye Cache applicative Références Principe de fonctionnement

Réseaux. Moyens de sécurisation. Plan. Evolutions topologiques des réseaux locaux

ADF Reverse Proxy. Thierry DOSTES

Dans le cadre de SECURIDAY Et sous le thème de Computer Forensics Investigation SECURINETS. Analyse des fichiers LOG. Tarek LABIDI (RT3)

Audits Sécurité. Des architectures complexes

Détection d'intrusions et analyse forensique

Sécurité des réseaux Les attaques

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant.

DATASET / NETREPORT, propose une offre complète de solutions dans les domaines suivants:

CONFIGURATION FIREWALL

INTERNET est un RESEAU D ORDINATEURS RELIES ENTRE EUX A L ECHELLE PLANETAIRE. Internet : interconnexion de réseaux (anglais : net = réseau)

NFS Maestro 8.0. Nouvelles fonctionnalités

Sommaire. 1 Introduction Présentation du logiciel de commerce électronique 23

MANUEL D INSTALLATION D UN PROXY

EXCEL PERFECTIONNEMENT SERVICE INFORMATIQUE. Version /11/05

Présentation de la solution Open Source «Vulture» Version 2.0

Linux sécurité des réseaux

Analyses croisées de sites Web pour détecter les sites de contrefaçon. Prof. Dr. Olivier Biberstein

I. Descriptif de l offre. L offre Sage 100 Entreprise Edition Entreprise

Une représentation complète

Rapport du projet Qualité de Service

Rapport de certification ANSSI-CSPN-2011/14. Fonctionnalités de pare-feu de StoneGate Firewall/VPN build 8069

Cours CCNA 1. Exercices

NetCrunch 6. Superviser

Oléane VPN : Les nouvelles fonctions de gestion de réseaux. Orange Business Services

Master d'informatique 1ère année Réseaux et protocoles

Spécifications de raccordement au service de Téléphonie sur IP (ToIP) de RENATER

Sécurité et Firewall

LINUX - Sécurité. Déroulé de l'action. - 3 jours - Contenu de formation

Protection des protocoles

L import massif introduit plusieurs nouvelles fonctionnalités, selon que l on importe un thésaurus, un ensemble de valeurs contrôlées ou un corpus.

Présentation Internet

Un nouveau regard sur votre marketing relationnel

LANDPARK ACTIVE DIRECTORY OPEN/LDAP

MailCube MC 2. 2,5 jours / homme / an. 33 milliards de kwh. 17 millions de. 3,1 millions de. nouvelle génération. Le spam en quelques chiffres :

Utiliser Access ou Excel pour gérer vos données

Aide à la Détection de Faiblesses d un site Web Mandataire inverse, Modsecurity

Dr.Web Les Fonctionnalités

25/08/2013. Vue Nagios. Vue Nagios. Le réseau du lycée

Gestion collaborative de documents

La Latecion protection anti-intrusion Web Web Le concept «Zero effort Security» La protection des applications Extranet

Manuel d utilisation de la plate-forme de gestion de parc UCOPIA. La mobilité à la hauteur des exigences professionnelles

Projet Sécurité des SI

FORMATION CN01a CITRIX NETSCALER

Université Pierre Mendès France U.F.R. Sciences de l Homme et de la Société Master IC²A. TP réseau firewall

But de cette présentation. Proxy filtrant avec Squid et SquidGuard. Serveur proxy. Serveur proxy. Hainaut P

Sécurité des réseaux Firewalls

Contrôle d accès Centralisé Multi-sites

Accéder à ZeCoffre via FTP

Internets. Informatique de l Internet: le(s) Internet(s) Composantes de l internet R3LR RENATER

Créer et partager des fichiers

Mise à jour de la base de données des marques nationales du tourisme

GUIDE D UTILISATION DU CENTRE DE DONNÉES DE L ISU

Rappels réseaux TCP/IP

Les nouveautés Version 8

Aperçu technique Projet «Internet à l école» (SAI)

Service On Line : Gestion des Incidents

I. Description de la solution cible

L3 informatique Réseaux : Configuration d une interface réseau

Plateforme de capture et d analyse de sites Web AspirWeb

Administration de Citrix NetScaler 10.5 CNS-205-1I

Gestion des incidents de sécurité. Une approche MSSP

Exemple de configuration ZyWALL USG

Intérêt du NAT (Network Address Translation) Administration Réseau Niveau routage. Exemple d Intranet. Principe NAT

SIP. Plan. Introduction Architecture SIP Messages SIP Exemples d établissement de session Enregistrement

Logiciel 7.0. Système de Base TELMATWEB 7.0 Logiciel Telmatweb V7.0 comprenant les fonctionnalités suivantes en standard : TARIFS PUBLICS

FILTRAGE de PAQUETS NetFilter

Mandataires, caches et filtres

CONFIGURATION DE BASE. 6, Rue de l'industrie BP130 SOULTZ GUEBWILLER Cedex. Fax.: Tel.:

Groupe Eyrolles, 2004 ISBN :

Positionnement produit

Google Analytics - Analysez le trafic de votre site pour améliorer ses performances inclut Universal Analytics (2ième édition)

Entreprises Solutions

CRM PERFORMANCE CONTACT

Packet Tracer : configuration des listes de contrôle d'accès étendues, scénario 1

Retour d expérience sur Prelude

Bee Ware. Cible de Sécurité CSPN. Validation Fonctionnelle Validation Fonctionnelle Bon pour application AMOA BEEWARE BEEWARE

CREG : versailles.fr/spip.php?article803

Les risques HERVE SCHAUER HSC

Système de Gestion Informatisée des. Exploitations Agricoles Irriguées avec Contrôle de l Eau

Développement d applications Internet et réseaux avec LabVIEW. Alexandre STANURSKI National Instruments France

Communiqué de lancement. Sage 100 Entreprise Edition Etendue Module CRM inclus

14.1. Paiements et achats en ligne

MODULES 3D TAG CLOUD. Par GENIUS AOM

TARMAC.BE TECHNOTE #1

Plan. École Supérieure d Économie Électronique. Plan. Chap 9: Composants et systèmes de sécurité. Rhouma Rhouma. 21 Juillet 2014

TAGREROUT Seyf Allah TMRIM

Alexis Lechervy Université de Caen. M1 Informatique. Réseaux. Filtrage. Bureau S3-203

Administration réseau Firewall

M1 Informatique, Réseaux Cours 9 : Réseaux pour le multimédia

: seul le dossier dossier sera cherché, tous les sousdomaines

Catalogue «Intégration de solutions»

Transcription:

1 La visualisation des logs au CNES 1.1 Historique Depuis près de 2 ans maintenant, le CNES a mis en place une «cellule d analyse de logs». Son rôle est multiple : Cette cellule est chargée d analyser les logs suite à un incident afin de comprendre ce qui s est passé lors de l incident ainsi que la profondeur de l attaque. Elle est aussi chargée de fournir de l expertise aux différents projets qui en font la demande en ce qui concerne la journalisation. Très vite, la cellule a été confrontée à plusieurs problèmes cruciaux lors des investigations sur incident : Quel est le contenu des logs fournis pour l analyse de cet incident. En gros, qu est ce que l on trouve dedans (logs firewall, applicatifs, systèmes, sonde de détection d intrusion). Comment filtrer très rapidement les logs utiles à l analyse de cet incident parmi les quelques mégas octets et millions de lignes fournis en entrée. Comment visualiser rapidement ces logs afin de poser les bonnes questions et de fournir les réponses. Après un temps de recherche, aucun outil donnant une représentation qui paraissait satisfaisante n a été trouvé. Le CNES a donc choisi de développer ces outils en interne. 1.2 Les solutions Les solutions choisies par le CNES à ces problèmes sont : Une base de données. Toutes les données utiles sont injectées dans une base de données afin de pouvoir faire des requêtes SQL. Des expressions régulières. Toutes les données sont extraites en utilisant des expressions régulières. Ces expressions régulières permettent de filtrer de manière efficace les logs utiles parmi un volume parfois important de journaux. Des outils graphiques. Les vues fournies par ces outils graphiques permettent en effet de s interroger sur certains phénomènes, trouver des réponses et surtout ne masquent pas la globalité des logs. En effet, si l on s enferme dans un scénario prédéfini, on risque de ne plus voir ce qui se passe à côté. Les paragraphes suivants décrivent les 3 outils graphiques utilisés en interne au CNES par la «cellule d analyse des traces» dans le cadre de ses missions d analyse des logs. 1.3 Le logiciel CubeCnes Le programme CubeCnes est un outil de visualisation de logs. Il reprend un développement initial fait au CEA et un concept présenté par Stephen LAU dans son article «The Spinning Cube of Potential Doom» (http://www.nersc.gov/nusers/security/thespinningcube.php ) paru en décembre 2003. Certaines fonctionnalités intéressantes ont été ajoutées lors du développement au CNES (généralisation du concept de «point», ajout des expressions régulières, ajout des dimensions «couleur», «taille» et «durée de vie» du point, ergonomie de l interface utilisateur plus intuitive, ). Le but de ce programme est : d extraire 6 champs ou valeurs numériques d une ligne de logs à l aide d une expression régulière de représenter ces 6 champs sous la forme d un nuage de points dans un espace à 3 dimensions. Les 6 valeurs sont représentées par les 3 coordonnées «classiques» du point X, Y, Z, la taille du point, la couleur du point et la durée de vie du point.

Le programme CubeCnes est particulièrement adapté à la visualisation de logs issus d un équipement de filtrage. En effet, les logs générés par ces équipements comportent de nombreuses informations sous forme numérique facilement représentables dans un graphique : Date et heure Adresse IP source et destination Protocole Numéro de port source et destination Cette copie d écran montre une vue réelle du CubeCnes en train de visualiser les logs d un firewall. L axe des X (horizontal) représente les adresses IP internes du CNES, l axe des Y (vertical) représente le port source de la requête, l axe Z (profondeur) représente l adresse IP destination, la couleur représente le numéro de protocole (dans ce cas, UDP est représenté en jaune), la taille du point représente le nombre d occurrences, le paramètre durée de vie n est pas utilisé (durée de vie infinie). Le grand trait vertical jaune qui apparaît sur le diagramme doit amener l opérateur à se questionner sur son origine. En fait, après analyse, ce trait est uniquement dû à une seule machine en interne qui était mal configurée (plus de 100 000 rejets sur une journée tout de même). Elle utilisait (ou tout au moins tentait d utiliser) un serveur DNS externe au lieu d utiliser le DNS interne. Donc toutes les requêtes sont rejetées par le firewall. Le CubeCnes peut aussi être utilisé pour mettre en évidence les balayages réseau. En effet, dans un tel cas de figure, si on injecte les logs «deny» d un firewall, un trait vertical (pour un balayage de ports) ou un trait horizontal (pour un balayage de machines) sera visible sur le cube. Au CNES, le CubeCnes est aussi utilisé afin de vérifier que la politique de filtrage implantée sur un équipement de filtrage est bien conforme à la spécification de cette politique. Pour cela, on injecte d une part la spécification de la politique de filtrage (sous la forme d un fichier Excel transformé en fichier texte) et d autre part les logs «allow» de l équipement de filtrage. On configure le cube de manière à ne pas afficher les logs «allow» autorisés par la politique de filtrage (fonctionnalité du CubeCnes). Ainsi, tous les points affichés par le cube sont des flux autorisés par l équipement mais non autorisés par la politique de filtrage. Cette fonctionnalité permet de mettre en évidence les flux non spécifiés par la politique de filtrage (mise en place de flux pour des besoins de debug ou encore des erreurs lors de l implémentation et de l implantation de la politique de filtrage dans l équipement par exemple).

Une troisième fonction du cube est la génération en 3D de statistiques : Cette autre vue du logiciel CubeCnes montre le nombre d accès à un serveur WWW interne du CNES par seconde et par adresse IP externe. L axe des X (horizontal) représente l heure (de 0H00 à 23H59) dans la journée du 18 septembre 2007, l axe Y (vertical) représente le nombre de hits par adresse IP, et l axe Z (profondeur) représente l adresse IP du demandeur. Ce graphique montre bien les pics d activité durant la journée. On reconnaît aussi (après investigation) le travail des robots d indexation du WEB (google et autres yahoo) sous la forme des traits horizontaux continus. Toute la journée, ils exécutent des requêtes sur le serveur WWW. 1.4 Le logiciel SphereCnes Le logiciel SphereCnes a été mis au point suite à une demande spécifique, «Quelle est la source principale en termes de localisation géographique des flux rejetés par le firewall externe du CNES?». Cette vue réelle du logiciel montre une carte terrestre (en 3D ou en 2D) avec la localisation géographique sur la carte du monde des adresses IP sources rejetées par le firewall du CNES. Plus la taille du point est importante, plus le nombre de flux rejetés depuis cette source est important. Les données affichées sont extraites des fichiers de logs à l aide d une expression régulière.

La vue présentée par le logiciel SphereCnes peut être utilisée, par exemple, lors de sessions de sensibilisation à la sécurité pour présenter deux idées : «Internet, c est dangereux» et «Voici nos agresseurs». Le logiciel SphereCnes repose sur la base de données de géo-localisation gratuite GeoIp de MaxMind. Cette base de données donne la position géographique sous forme de latitude et de longitude d une adresse IP quelconque (pour peu qu elle soit référencée au niveau des bases WhoIs mondiales). Cette base de données est mise à jour de manière mensuelle. Une base de données plus précises et possédant plus d informations est disponible mais elle nécessite un abonnement payant auprès de MaxMind. Le logiciel SphereCnes est particulièrement adapté à la visualisation des logs d accès à un serveur (FTP, HTTP) ou bien à la visualisation des logs (allow ou deny) d un firewall. 1.5 Le logiciel BoxCnes Le but du programme BoxCnes est d afficher rapidement la répartition des données extraites des fichiers de logs par une expression régulière. La vue offerte par le logiciel permet de connaître rapidement quelles sont les informations les plus présentes afin de se focaliser sur ces dernières dans un premier temps. Cette vue réelle du logiciel montre que sur les 155483 lignes de logs lues, il y a 390 numéros de ports destination différents et que 4 numéros de ports seulement représentent 75 % du nombre de lignes lues. 2 Conclusions La visualisation de logs permet d utiliser un formidable outil de corrélation, c'est-à-dire l œil de l opérateur. Elle permet aussi de s affranchir des différents scénarios de détection d intrusion et donc de garder une vision globale et non tronquée (ce qui n est pas prévus par les scénarios n est pas visible). Par contre, la visualisation de logs demande : Une certaine qualité de journalisation (de nombreux logs, des machines synchronisées dans le temps, un niveau de journalisation élevé, ). Tous les logs peuvent être utiles. L opérateur doit avoir une certaine expérience (voire même une expérience certaine) dans cet exercice. L opérateur doit avoir une connaissance du contenu des logs et de la topologie réseau afin de pouvoir interpréter les résultats affichés. Il doit aussi pouvoir dialoguer avec les exploitants des équipes réseau ou systèmes afin de comprendre ou d interpréter certains résultats.

Les outils présentés dans cet article (CubeCnes, SphereCnes et BoxCnes) sont développés en interne, ils appartiennent donc au CNES. Vous pouvez prendre contact avec Monsieur Yvon Klein (Yvon.Klein@cnes.fr) pour des prêts, échanges, partenariats ou d autres idées encore au sujet de ces outils. 3 Quelques URL http://code.google.com/p/davix/ http://www.nersc.gov/nusers/security/thespinningcube.php http://vraf.free.fr/ http://afterglow.sourceforge.net/ http://phoenix.servhome.org/cube6d_fr.php http://www.maxmind.com/

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back