Analyse des logs d un Firewall - Génération d un compte rendu sous forme HTML Responsable du projet : Monsieur Philippe Dumont
Existant Logiciels Très nombreux parsers de logs Points faibles Complexité du code et du fonctionnement Incomplet Rendu graphique insatisfaisant Recherches complémentaires Absence de réalisation détectant les attaques Absence d explication sur ce constat
Analyse par détection Firewalls Principe Autorise ou bloque les paquets selon ses règles IPTables Intégré à Linux à partir des noyaux 2.4 Limites d IPTables Absence des données Ne logue que les en-têtes Nécessité des données Attaques majoritairement dans les données Addon disponible, mais non certifié
Analyse par détection Intrusion Detection System Les plus réputés Snort Prélude Principe de fonctionnement Exploitation des paquets entiers (en-tête, données) Fichier de règles Analyse sur les données Complémentaires aux firewalls
Analyse par détection Types d attaques Source de l attaque Attaques directes Pirate utilise sa propre adresse Facilité de remonter l origine Attaques indirectes par rebond Pirate utilise une machine intermédiaire Au mieux remontée de la machine intermédiaire Attaques indirectes par réponse Pirate redirige un flux d informations vers sa victime Au mieux remontée de la machine intermédiaire Attaques Exploitation de l une de ces techniques de diffusion
Analyse statistique Par service Principe Limitation aux seuls services utilisés Assurance de l ordre des ports par service Utilisation aucun port non nécessaire Limites Aucune assurance des ports Absence de paquet attaque
Analyse statistique Par port Principe Contrôler que tous les paquets précédents sont bien arrivés Limites Ordre de délivrance non garanti Absence de paquet attaque
Analyse statistique ICMP Principe Utilisation des erreurs ICMP Analyse par absence de paquets Limites Exploitation majoritairement sur les données Seule une quinzaine de signaux dans les logs non tous exploitables Impossibilité de s assurer la délivrance distante des paquets
Points pertinents Configuration minimale Configuration firewall Bloquer tout le trafic Autoriser les ports nécessaires Réalisable avec IPTables Autoriser les applications nécessaires Non réalisable avec IPTables Mise à jour Au moins tous les logiciels accédant au réseau Régulièrement Protection contre les failles connues
Points pertinents Règles Constat Aucune règle trouvée : frilosité des administrateurs IDS Beaucoup d informations Inexploitables avec un firewall Détection de scans Une même @IP tente de se connecter sur différents ports dans un espace temps réduit Troyens les plus courants Sur le port par défaut uniquement
Génération HTML Meilleure réalisation actuelle FWAnalog Points faibles Fonctionnement bancal Obligation de passer en logs HTTP
A réaliser Redéfinition des objectifs Objectifs initiaux Trop ambitieux Techniquement impossible Redéfinition du sujet Améliorer l existant Meilleure efficacité Présentation plus fonctionnelle
A réaliser Problème d entrée / sortie Entrée Lecture du fichier de log en PERL Sortie Fichier exploitable en HTML Interface réalisée en PHP
A réaliser Traitement Parser de données Détection d éléments suspects Répétition d adresse Schémas connus Utilisation de in-addr.arpa
Point de vue utilisateur Interface en PHP Navigation par menus Par type d analyse Sous menu par date Par date d analyse Sous menu par type d analyse Présentation des résultats Liste Graphique
Conclusion Sujet trop ambitieux Nécessité des recherches Objectif L existant ne convient pas Nécessité de proposer Plus fonctionnel Plus propre Plus convivial