Formation A2IMP Acquisition d information sur les autres Frédéric Bongat IPSL Formation A2IMP 1
Idée : corréler des informations via d autres Informations de base Connaître l horodatage (date, heure) des évènements Des adresses IP impliquées par la machine compromise On veut déterminer Extension de l incident Des nouvelles informations Formation A2IMP 2
Les riches en informations Le routeur Le firewall L IDS Formation A2IMP 3
Le routeur: Equipement d'interconnexion de réseaux permettant d'assurer le routage des paquets entre deux réseaux ou plus afin de déterminer le chemin qu'un paquet de données va emprunter. Élément central du réseau Peux donc donner des informations importantes Formation A2IMP 4
Le routeur Activation de la journalisation Déclaration du fuseau horaire et du changement d heure Synchronisation NTP de l heure Gestion des logs interne Réserver de la RAM, marquer la date/l heure Par contre : problème de ressources Gestion de logs centralisée sur un serveur SYSLOG L information intéressante est mise en place via des ACLs en journalisant Formation A2IMP 5
Les ACL permettent de mettre en œuvre la politique de filtrage associée à chaque interface d un routeur. Elles sont appliquées pour le sens spécifié (in et/ou out) lors de leur déclaration sur l'interface considérée. In et Out sont toujours référencés par rapport au routeur (in = ce qui entre, out = ce qui sort). Une ACL est constituée d'un ensemble de filtres exécutés séquentiellement dans l'ordre de leur déclaration. Ces filtres peuvent préciser l'acceptation (permit), le rejet (deny) ou la journalisation (log) d'un paquet lorsque celui-ci répond au critère spécifié Met en jeux les adresses IP, numéros de ports et le protocole employés Formation A2IMP 6
Les informations obtenues auprès du routeur: Des connexions en fonctions des services Des dates Des adresses IP Un protocole Des ports accédés La collecte des données Se fait sur le serveur de logs centralisé Formation A2IMP 7
Le Firewall: système servant d'interface entre un ou plusieurs réseaux afin de contrôler et éventuellement bloquer la circulation des paquets de données Il s'agit donc d'une machine comportant au minimum deux interfaces réseau : une interface pour le réseau à protéger (réseau interne) une interface pour le réseau externe «Tous les flux» du trafic entre le réseau interne et externe peuvent être surveillés. Il permet un audit de façon "centrale" du trafic Formation A2IMP 8
Le Firewall Doit être à l heure Par rapport aux autres équipements Les fonctions d un firewall filtrage IP génération de journaux En les centralisant vers un serveur de logs Couplage avec d autres applications Au niveau des logs detescan (analyse en sortie) Formation A2IMP 9
Le Firewall Routeur vs Firewall A chacun son job Le routeur route Le firewall filtre En réalité : un mixte des 2 Analyse des informations : plus fine dans un firewall que dans un routeur? Formation A2IMP 10
Analyse de logs du firewall fwlogwatch un programme d'analyse de trafic réseau FirewallEyes un outil d'analyse de logs en temps réel pour le parefeu iptables. Grâce à une interface Web, on peux visualiser et superviser simplement et efficacement l'activité réseau traversant du firewall Formation A2IMP 11
Un IDS «peut être utile» sur un réseau Il permet de détecter toute anomalie et tentative d'intrusion, et vous préviendra en remontant des alertes Il existe de plusieurs IDS commerciaux ou libre, hardware ou software, les IDS ne fonctionnent pas sur le même schéma certain recherche des attaques connues (par signature) d'autres sont capable de «détecter des attaques nouvelles» par analyse comportementale Formation A2IMP 12
3 catégories IDS basé hôte IDS basé réseau IDS hybride snort (http://www.snort.org/) est un programme open source comme prelude (http://www.prelude-ids.org/) Les IDS seront donc idéalement placés sur un port «mirroré» sur chaque Router/Switch du réseau, tout en essayant de limiter leur nombre Formation A2IMP 13
Snort : Système de détection d'intrusion réseau (NIDS) Mode sniffeur : lit les paquets circulant sur le réseau et les affiche d une façon continue sur l écran Mode enregistreur de paquets journalise le trafic réseau dans des répertoires sur le disque Mode détection d intrusion Analyse le trafic du réseau, compare ce trafic à des règles déjà définies par l administrateur et établit des actions à exécuter Portable sur plusieurs types de plateformes Installation et configuration simples Ouvert : écriture des règles Logiciel libre de droit Formation A2IMP 14
Snort : Détection au niveau des protocoles : TCP - UDP - ICMP Détection d'activités anormales Stealth scan (port scan) Découverte d'empreinte d'os Code ICMP «invalide» Détection de dénis de service Détection de débordement de buffer Formation A2IMP 15
Les avantages de Snort : Installation simple et rapide Nombre de règles conséquentes Attention à la mise à jour des règles : même principe qu un antivirus N'engendre pas de ralentissement du trafic Dédier une machine à snort (gourmand en ressource) Renvoi des alertes Enregistre le trafic réseau Simplicité d'écriture des règles pour personnaliser la configuration Formation A2IMP 16
Les inconvénients de Snort : Ne détecte pas tout Les faux positifs sur un réseau à haut débit Nécessite une configuration personnalisée Pas d interface graphique intégrée Nécessite une interface supplémentaire (SnortSnarf ou acid+mysql+apache) Gestion des rapports difficile avec la prolifération des sondes Dans les réseaux haut débit, analyser tout le trafic en temps réel, c'est impossible. Si on utilise automatiquement ces méthodes, on doit être devant une alternative: analyser une partie de trafic ou réduire le débit de réseau Formation A2IMP 17
Informations d un Firewall vs IDS Un Firewall: filtre les flux entrants et sortants en fonction de la politique de sécurité choisie Les données autorisées peuvent contenir des attaques Cartographie des adresses IPs IDS : explore la nature du trafic en inspectant le contenu des paquets Dump du trafic réseau Formation A2IMP 18
Méthodologie utilisée Les informations des équipements réseau : serveur de logs centralisé Organiser ses fichiers de logs A première vue, il semble évident que l'on peut corréler la totalité des informations que nous avons collectées Mais il existe un problème de corrélation dans les recherches entre le routeur, firewall et l IDS Type différents Cependant, certaines d'entre elles sont inutiles à la corrélation, parce qu'elles peuvent soit prendre trop de temps à être corréler où alors, leur corrélation surcharge le "processing time" de notre système Formation A2IMP 19
Méthodologie : l IDS Tri des logs à l aide d acide-web et identification des attaquants (ou attaques) à partir des statistiques Snort Documentation sur chaque attaque détectée Analyse complète du trafic entre les adresses soupçonnées Recherche d informations supplémentaires sur les attaques sur le serveur de logs afin de recouper les informations Formation A2IMP 20
Conclusion Recherche d informations : dans des fichiers textes du serveur de logs central Sauf l IDS Sélection des informations à corréler Date/heure Protocole IP source IP destination Port source Port destination Taille des paquets Dump réseau Formation A2IMP 21