Visualisation appliquée à la détection d intrusions

Documents pareils
Retour d expérience sur Prelude

SECURIDAY 2013 Cyber War

Topologies et Outils d Alertesd

IPS : Corrélation de vulnérabilités et Prévention des menaces

Atelier Sécurité / OSSIR

Les IDS et IPS Open Source. Alexandre MARTIN Jonathan BRIFFAUT

L analyse de logs. Sébastien Tricaud Groupe Resist - Toulouse 2013

Indicateur et tableau de bord

Linux. Sécuriser un réseau. 3 e édition. l Admin. Cahiers. Bernard Boutherin Benoit Delaunay. Collection dirigée par Nat Makarévitch

Firewall IDS Architecture. Assurer le contrôle des connexions au. Sécurité 1

MASTER SIS PRO : logique et sécurité DÉTECTION D INTRUSIONS. Odile PAPINI, LSIS. Université de Toulon et du Var. papini@univ-tln.

Outils d'analyse de la sécurité des réseaux. HADJALI Anis VESA Vlad

Test d un système de détection d intrusions réseaux (NIDS)

TEST D INTRUISION. Document Technique

LINUX - Sécurité. Déroulé de l'action. - 3 jours - Contenu de formation

Laboratoire de Haute Sécurité. Télescope réseau et sécurité des réseaux

Formations. «Règles de l Art» Certilience formation N SIRET APE 6202A - N TVA Intracommunautaire FR

INTRUSION SUR INTERNET

Graphes d attaques Une exemple d usage des graphes d attaques pour l évaluation dynamique des risques en Cyber Sécurité

Etude de la pertinence et de l'intérêt des appliances WAF (IPS web) à l'inria

Lieberman Software Corporation

La Latecion protection anti-intrusion Web Web Le concept «Zero effort Security» La protection des applications Extranet

Haka : un langage orienté réseaux et sécurité

Détection d'intrusions et analyse forensique

La Sécurité des Données en Environnement DataCenter

Orange Business Services. Direction de la sécurité. De l utilisation de la supervision de sécurité en Cyber-Defense? JSSI 2011 Stéphane Sciacco

RAPPORT DE TER sur PRELUDE-IDS

Une Architecture de Bureaux Graphiques Distants Sécurisée et Distribuée

Hybrid IDS Réalisé par Classe Professeurs

Audits de sécurité, supervision en continu Renaud Deraison

Fonctionnement de Iptables. Exercices sécurité. Exercice 1

Administration de Citrix NetScaler 10 CNS-205-1I

Notions de sécurités en informatique

Dr.Web Les Fonctionnalités

laposte.net) Ministère de l'éducation nationale Atelier sécurité Rabat RALL 2007

Tutoriel sur Retina Network Security Scanner

NIMBUS TRAINING. Administration de Citrix NetScaler 10. Déscription : Objectifs. Publics. Durée. Pré-requis. Programme de cette formation

face à la sinistralité

Sécurité et Linux. Philippe Biondi Cédric Blancher 14 mai 2002

Tom Pertsekos. Sécurité applicative Web : gare aux fraudes et aux pirates!

Atelier Pivoting KHOULOUD GATTOUSSI (RT3) ASMA LAHBIB (RT3) KHAOULA BLEL (RT3) KARIMA MAALAOUI (RT3)

Cours de sécurité. Pare-feux ( Firewalls ) Gérard Florin -CNAM - - Laboratoire CEDRIC -

Mise en place de la composante technique d un SMSI Le Package RSSI Tools BOX

Réseaux Privés Virtuels

Configuration d'un trunk SIP OpenIP sur un IPBX ShoreTel

Gestion des incidents de sécurité. Une approche MSSP

Surveillance stratégique des programmes malveillants avec Nessus, PVS et LCE

Sécurité des réseaux Les attaques

Projet de Sécurité Groupe Audit

CATALOGUE DES FORMATIONS SECURITE INFORMATIQUE

Visualisation et Analyse de Risque Dynamique pour la Cyber-Défense

Skype (v2.5) Protocol Data Structures (French) Author : Ouanilo MEDEGAN

1/ Introduction. 2/ Schéma du réseau

Welcome. Bienvenue. Willkommen. welkom. yôkoso. Benvenuto. Bienvenida. tervetuloa

MSP Center Plus. Vue du Produit

Programme Opérations de registre avancées Introduction à la supervision et à la gestion de réseaux

La collecte d informations

DATASET / NETREPORT, propose une offre complète de solutions dans les domaines suivants:

La gestion des vulnérabilités par des simulations d'attaques

Protocole SSH-2.0. Tuan-Tu, TRAN. Janvier 2009

Cartographie du SI et corrélation d alertes pour la détection d intrusions

SECURIDAY 2012 Pro Edition

Accéder à ZeCoffre via FTP

Threat Management déploiement rapide de contre-mesures

laposte.net) Ministère de l'éducation nationale Atelier sécurité Rabat RALL 2007

Sécurité des Réseaux et d internet. Yves Laloum

Le Tunneling DNS. P.Bienaimé X.Delot P.Mazon K.Tagourti A.Yahi A.Zerrouki. Université de Rouen - M2SSI. 24 février 2011

Outils de développement collaboratif

Du 23 Janvier au 3 Février2012 Tunis (Tunisie)

Nouveaux outils de consolidation de la défense périmétrique

Introduction. Adresses

DenyAll Protect. Sécurité & accélération. Parefeux pour applications et services Web. de vos applications.

Rôles serveur Notion de Groupe de Travail Active Directory Utilisation des outils d administration Microsoft Windows Server 2008

IPFIX (Internet Protocol Information export)

ACES. Livrable 6.1. Spécifications Détaillées du Gestionnaire de Corrélation

Installation SQL Server 2005 Express sur le serveur

Sécuriser son réseau. Sécuriser son réseau Philippe Weill (IPSL/LATMOS) Frédéric Bongat (SSI/GOUV/FR)

Bienvenue sur Lab-Windows Il n'y a de vents favorables que pour ceux qui ont un cap

Industrie des cartes de paiement (PCI) Norme de sécurité des données Récapitulatif des modifications de

Le socle de sécurité nouvelle génération Consolider, virtualiser et simplifier les architectures sécurisées

PACK SKeeper Multi = 1 SKeeper et des SKubes

Opportunités s de mutualisation ITIL et ISO 27001

Les différentes méthodes pour se connecter

1. Formation F5 - Local Traffic Manager Configuring (LTM)

Pourquoi choisir ESET Business Solutions?

Routeur TP-Link Lite-N sans fil 4 Port 150Mbps WiFi (TL-WR741ND) Manuel de l utilisateur

FORMATION PROFESSIONNELLE AU HACKING

Nmap (Network Mapper) Outil d exploration réseau et scanneur de ports/sécurité

Tech-Evenings Sécurité des applications Web Sébastien LEBRETON

La sécurité applicative et les tests d'intrusion, beaucoup plus qu'un scan automatisé. Conférence ASIQ, mars 2014

Solutions de Cybersécurité Industrielle

Gestion et Surveillance de Réseau Introduction à la gestion et surveillance de réseau

Fiche Produit MediaSense Extensions

Audits Sécurité. Des architectures complexes

DIGITAL NETWORK. Le Idle Host Scan

Table des matières. Date : Version : 29/06/ Objet : OpenVas 6.0

Préparation à la certification LPIC-1 "Junior Level Linux Certification"

Transcription:

Visualisation appliquée à la détection d intrusions Pierre Chifflier Sébastien Tricaud INL 101/103 Bvd MacDonald 75019 Paris, France Paris, OSSIR 2008

Sommaire 1 Introduction aux IDS Petit tour de la détection d intrusions 2 Introduction à la visualisation Trois points à retenir Représenter l information Exemples 3 Méthodologie Prérequis Architecture Classification 4 Exemple de représentation 5 Conclusion

1 Introduction aux IDS Petit tour de la détection d intrusions 2 Introduction à la visualisation Trois points à retenir Représenter l information Exemples 3 Méthodologie Prérequis Architecture Classification 4 Exemple de représentation 5 Conclusion

Petit tour de la détection d intrusions Qu est-ce que l IDS? IDS pour Intrusion Detection System Les gens du marketing l appellent IPS (!!) : Système de prévention d intrusions 1 SIEM : Security Information and Event Management On préférera le terme IDS 1 On rappellera que IPS = IDS + contre-mesure

Petit tour de la détection d intrusions Trois types d IDS aujourd hui IDS Machines (HIDS) : Peu sensible aux faux positifs IDS Réseau (NIDS) : Très sensible aux faux positifs IDS Hybride (HbIDS) : Mélange HIDS et NIDS

Petit tour de la détection d intrusions Une architecture que l on aime bien DB DB 01 Backup Manager Replication Super Manager Frontend Correlated Alerts Alerts Administration Correlator Sensor DMZ Alerts DB Sensor Manager Request Reply Manager Alerts Sensor Alerts Manager Correlated Alerts Sensor Sensor Sensor Sensor Correlator 01 Frontend

Petit tour de la détection d intrusions Différents types de sondes Pots de miel : Nepenthes, Honeynet,.. Physique : Alarme, ouverture de porte,.. Réseau : Snort, Sancp,.. Machine : Samhain, Ossec, Prelude LML,.. Scanners : Nessus, p0f, nmap,..

Petit tour de la détection d intrusions Prewikka

1 Introduction aux IDS Petit tour de la détection d intrusions 2 Introduction à la visualisation Trois points à retenir Représenter l information Exemples 3 Méthodologie Prérequis Architecture Classification 4 Exemple de représentation 5 Conclusion

Trois points à retenir Le visualisation, kesako? Un façon (in)utile de représenter l information Permettre l exploitation de données rapidement Se concentrer sur l essentiel (et se faire avoir sur le détail)

Représenter l information LLDOS 1.0 Alert correlation graph

Représenter l information SVP

Exemples IPv6 world

Exemples Correlation UI Alert Correlation in a Cooperative Intrusion Detection Framework (Frédéric Cuppens / Alexandre Miège) :

Exemples Brouette Notification pour l administrateur

1 Introduction aux IDS Petit tour de la détection d intrusions 2 Introduction à la visualisation Trois points à retenir Représenter l information Exemples 3 Méthodologie Prérequis Architecture Classification 4 Exemple de représentation 5 Conclusion

Comprendre une attaque Objectifs : Reconstruire la séquence d événements Reconnaître les cibles, protocoles, outils,... Adapter la sévérité Supprimer des faux positifs Préparer pour une éventuelle contre-mesure Vérifier l application de la politique de sécurité

Comprendre une attaque Objectifs : Reconstruire la séquence d événements Reconnaître les cibles, protocoles, outils,... Adapter la sévérité Supprimer des faux positifs Préparer pour une éventuelle contre-mesure Vérifier l application de la politique de sécurité Outils : Normalisation, Centralisation Corrélation Aperçu graphique

Prérequis Prérequis Sources multiples Normalisation des évènements/alertes Centralisation Format d échange standard IDMEF (RFC 4765) http://www.rfc-editor.org/rfc/rfc4765.txt

Prérequis Données intéressantes d un message IDMEF Source : alert.source(0).node.address(0).address Destination : alert.target(0).node.address(0).address Impact : alert.assessment.impact.severity Complétion : assessment.impact.completion Vecteur d attaque : alert.classification.text Type d analyseur : analyzer(0).class...

Architecture Alert enhancement Sensor Alert Filtering Fusion & Compression Threshold Alteration Enhancement Remove DBe Search Time window Similarities Relations Presentation Recognition Sequence reconstruction Search Report Counter Measure Need info Reaction Attack construction

Architecture Une attaque devient corrélable lorsque : On a une alerte On a les informations complémentaires (OS, CVE...) On a rangé l alerte dans une catégorie connue

Architecture Attaques : 1 Prospecter 2 Pénétrer 3 Perdurer 4 Propager 5 Paralyser

Architecture Alertes : Prelude LML: Mar 8 17:30:30 prelude sshd[19529]: (pam_unix) session opened for user root by root(uid=0) Snort: BLEEDING-EDGE SCAN NMAP -f -ss ClamAV: Eicar-Test-Signature (succeeded) Auditd: App Abnormal Termination

Classification Mettre l alerte dans une catégorie connue : Authentication Local user System user Admin user Other Probe Protocol Scan Sniff Users Other Corruption File Application Other Availability

Classification Visualisation d attaques

1 Introduction aux IDS Petit tour de la détection d intrusions 2 Introduction à la visualisation Trois points à retenir Représenter l information Exemples 3 Méthodologie Prérequis Architecture Classification 4 Exemple de représentation 5 Conclusion

Corrélateur visuel

Code 1/3 Basé sur Prelude IDS Langage de haut niveau Le code sera python + Prelude Easy bindings svn co http://svn.prelude-ids.org/libprelude/ branches/libprelude-easy-bindings

Code 2/3 Initialisation import PreludeEasy client = PreludeEasy.Client("IdmefGraph") client.init() client.poolinit("192.168.33.215", 1)

Code 3/3 Récupération et utilisation des objets idmef = client.readidmef(1) if idmef: severity = idmef.get("alert.assessment.impact.severity") if severity == "high": print "Attaque importante"

Corrélateur visuel

Directions futures Choix de vues adaptées, interprétations Porter plus de sondes à Prelude Règles de corrélations Agents passifs de collecte d information

Merci de votre attention Questions?

Informations complémentaires Exemple de sonde : NuFW (http://www.nufw.org) Pare-feu authentifiant, basé sur l utilisateur Fournit un module de log Prelude natif Ajoute l information utilisateur sur chaque connexion Ajoute des critères utiles pour la corrélation Permet d appliquer strictement la politique de sécurité

Exemple d alerte NuFW (1) messageid: 5478076470 analyzer(1): analyzerid: 2334565015741136 name: nufw manufacturer: http://www.nufw.org/ model: NuFW version: 2.3.0 ($Revision: 3475 $) class: Firewall ostype: Linux osversion: 2.6.20-15-386 process: name: pid: 15197

Exemple d alerte NuFW (2) create_time: 29/06/2007 11:26:24.0 +02:00 classification: text: Connection opened detect_time: 29/06/2007 11:32:56.0 +02:00 analyzer_time: 29/06/2007 11:32:56.642005 +02:00 source(0): spoofed: unknown (0) node: category: unknown (0) address(0): category: ipv4-addr (7) address: 192.168.0.2 user: category: application (1) user_id(0): type: current-user (1) name: pollux number: 1000 process: name: firefox path: /usr/bin/firefox service: iana_protocol_number: 6 iana_protocol_name: tcp port: 3489

Exemple d alerte NuFW (3) target(0): decoy: unknown (0) node: category: unknown (0) address(0): category: ipv4-addr (7) address: 82.165.85.221 service: iana_protocol_number: 6 iana_protocol_name: tcp port: 80 assessment: impact: severity: low (2) type: user (5) description: Connection state changed

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back