Embed Size (px)
DESCRIPTION
Citation preview
Réflexion et mise en place d’une solution de surveillance et sécurisation de la plateforme de production
Soutenance de fin d’étude Promotion SRS 2012
Jean-Eric Djenderedjian
Plan
Introduction
Présentation de ViadeoHistoireSecteur d’activité
Ma missionPrésentation des projetsProjet NIDSProjet WAF
Conclusion
Introduction
Introduction
Stage de fin d’étude du cursus ingénieur à San Francisco (USA)
Sécurisation de la plateforme deproduction
Collaboration avec l’équipe chargée del’exploitation
Contexte
Recherche, évaluation et choix d’un Système de Détection d’Intrusion (NIDS) et d’un Pare-Feu Applicatif (WAF)
Mise en production des solutions
Analyse de la densité et du contenu du trafic réseau
Sujet de stage
Travailler sur des sujets de sécurité d’entreprise
Appréhender la notion processus métier
Monter en responsabilités
Attentes personnelles
Estimation des charges de travail
Définition des métriques d’évaluation
Tests et “Proof of Concept”
Mise en production
Déroulement
Introduction
Stage de fin d’étude du cursus ingénieur à San Francisco (USA)
Sécurisation de la plateforme deproduction
Collaboration avec l’équipe chargée del’exploitation
Contexte
Recherche, évaluation et choix d’un Système de Détection d’Intrusion (NIDS) etd’un Pare-Feu Applicatif (WAF)
Mise en production des solutions
Analyse de la densité et du contenu du trafic réseau
Sujet de stage
Travailler sur des sujets de sécurité d’entreprise
Appréhender la notion processus métier
Monter en responsabilités
Attentes
Estimation des charges de travail
Définition des métriques d’évaluation
Tests et “Proof of Concept”
Mise en production
Déroulement
Introduction
Stage de fin d’étude du cursus ingénieur à San Francisco (USA)
Sécurisation de la plateforme deproduction
Collaboration avec l’équipe chargée del’exploitation
Contexte
Recherche, évaluation et choix d’un Système de Détection d’Intrusion (NIDS) et d’un Pare-Feu Applicatif (WAF)
Mise en production des solutions
Analyse de la densité et du contenu du trafic réseau
Sujet de stage
Travailler sur des sujets de sécuritéd’entreprise
Appréhender la notion processus métier
Monter en responsabilités
Mes attentes
Estimation des charges de travail
Définition des métriques d’évaluation
Tests et “Proof of Concept”
Mise en production
Déroulement
Introduction
Stage de fin d’étude du cursus ingénieur à San Francisco (USA)
Sécurisation de la plateforme deproduction
Collaboration avec l’équipe chargée del’exploitation
Contexte
Recherche, évaluation et choix d’un Système de Détection d’Intrusion (NIDS) et d’un Pare-Feu Applicatif (WAF)
Mise en production des solutions
Analyse de la densité et du contenu du trafic réseau
Sujet de stage
Travailler sur des sujets de sécurité d’entreprise
Appréhender la notion processus métier
Monter en responsabilités
Mes attentes
Estimation des charges de travail
Définition des métriques d’évaluation
Tests et “Proof of Concept”
Mise en production
Déroulement
Présentation de Viadeo
Viadeo : History
Created in 2004
Founders :•Dan Serfaty•Thierry Lunati
Viadeo is a professional social network•Make easier relations between
companies and potential employees•Share professional relation•Manage career
Creation 3 Found raising since its creation
•5 millions euros in 2006
•5 millions euros in 2008
•24 millions euros in 2012
Several acquisitions
•Tianji the first professional social network in China in 2007
UNYK a 2.0 web platform in 2009
Increasing notoriety
•8,5 millions of members in 2008
•25 millions of members in 2009
•40 millions of memvers in 2010
Evolution
Viadeo : History
Created in 2004
Founders :•Dan Serfaty•Thierry Lunati
Viadeo is a professional social network•Make easier relations between
companies and potential employees•Share professional relation•Manage career
Creation 3 Found raising since its creation
•5 millions euros in 2006
•5 millions euros in 2008
•24 millions euros in 2012
Several acquisitions
•Tianji the first professional social network in China in 2007
UNYK a 2.0 web platform in 2009
Increasing notoriety
•8,5 millions of members in 2008
•25 millions of members in 2009
•40 millions of memvers in 2010
Evolution
Viadeo : Activity
Users can manage and develop their ownprofessional network
Users can establish long term relations
Users can recommand each other
Network
Managing his career is as important as his network
Users can find job opportunities, receive job offers
47% of HR are using social networks to find an employee
Career
Companies can be more seen
Users can also find customers or partners
Businessman are using a lot of social networks features such as community groups
Business
Viadeo : Activity
Users can manage and develop their ownprofessional network
Users can establish long term relations
Users can recommand each other
Network
Managing his career is as important as his network
Users can find job opportunities, receive job offers
47% of HR are using social networks to find an employee
Career
Companies can be more seen
Users can also find customers or partners
Businessman are using a lot of social networks features such as community groups
Business
Viadeo : Activity
Users can manage and develop their ownprofessional network
Users can establish long term relations
Users can recommand each other
Network
Managing his career is as important as his network
Users can find job opportunities, receive job offers
47% of HR are using social networks to find an employee
Career
Companies can be more seen
Users can also find customers or partners
Businessman are using a lot of social networks features such as community groups
Business
Ma Mission
3 projets distincts
Objectif : Détecter les tentativesd’attaques sur le site web
Moyen : Comparaison des paquets IP àdes schémas d’attaques pré-défini
Contrainte : Ne pas perturber laproduction
Charge estimée : 55 jours
NIDS
Objectif : Bloquer toute tentative d’attaques sur le site web
Moyen : Comparaison des paquets IP à des schémas d’attaques pré-défini
Contrainte : Installation sur les serveurs web
Charge estimé : 55 jours
WAF
Objectif : Analyser la densité et le contenu du trafic de l’entreprise
Moyen : Utilisation d’un outil de Deep Packet Inspection
Charge estimée : 20 jours
Analyse du réseau
3 projets distincts
Objectif : Détecter les tentativesd’attaques sur le site web
Moyen : Comparaison des paquets IP àdes schémas d’attaques pré-défini
Contrainte : Ne pas perturber laproduction
Charge estimée : 55 jours
NIDS
Objectif : Bloquer toute tentative d’attaques sur le site web
Moyen : Comparaison des paquets IP à des schémas d’attaques pré-défini
Contrainte : Installation sur les serveurs web
Charge estimé : 55 jours
WAF
Objectif : Analyser la densité et le contenu du trafic de l’entreprise
Moyen : Utilisation d’un outil de Deep Packet Inspection
Charge estimée : 20 jours
Analyse du réseau
3 projets distincts
Objectif : Détecter les tentativesd’attaques sur le site web
Moyen : Comparaison des paquets IP àdes schémas d’attaques pré-défini
Contrainte : Ne pas perturber laproduction
Charge estimée : 55 jours
NIDS
Objectif : Bloquer toute tentative d’attaques sur le site web
Moyen : Comparaison des paquets IP à des schémas d’attaques pré-défini
Contrainte : Installation sur les serveurs web
Charge estimé : 55 jours
WAF
Objectif : Analyser la densité et le contenu du trafic de l’entreprise
Moyen : Utilisation d’un outil de Deep Packet Inspection
Charge estimée : 20 jours
Analyse du réseau
NIDS : Choix possibles
IDS historique (15 ans)
Très bonne réputation
Très bien documenté
Multi-threading non géré
Snort
IDS très jeune (2 ans)
Bonne réputation
Peu documenté
Gestion du multi-threading
Suricata
NIDS : Choix possibles
IDS historique (15 ans)
Très bonne réputation
Très bien documenté
Multi-threading non géré
Snort
IDS très jeune (2 ans)
Bonne réputation
Peu documenté
Gestion du multi-threading
Suricata
NIDS : Modules Complémentaires
Alertes enregistrées dans des fichierssous un format spécifique (unified2)
Utilisation d’un logiciel pour archiverces alertes dans une base de donnéessous un format lisible : Barnyard2
Utilisation d’interfaces de monitoringpour visionner ces alertes
•BASE•Snorby•Sguil•Squert
Monitoring
Attaques détectées grâce à des schémas pré-définis
Utilisation d’un gestionnaire de règles afin de mettre à jour, désactiver ou modifier les règles existantes et d’en créer de nouvelles
•Oinkmaster
•Pulledpork
Règles de détection
NIDS : Modules Complémentaires
Alertes enregistrées dans des fichierssous un format spécifique (unified2)
Utilisation d’un logiciel pour archiverces alertes dans une base de donnéessous un format lisible : Barnyard2
Utilisation d’interfaces de monitoringpour visionner ces alertes
•BASE•Snorby•Sguil•Squert
Monitoring
Attaques détectées grâce à des schémas pré-définis
Utilisation d’un gestionnaire de règles afin de mettre à jour, désactiver ou modifier les règles existantes et d’en créer de nouvelles
•Oinkmaster
•Pulledpork
Règles de détection
NIDS : Architecture de la solution
NIDS : Métriques d’évaluation
Taux de détection
Nombre de faux positifs
Capacité de traitement
Performances
Mise à jour régulière par l’éditeur
Facilité d’application des mises à jours
Consommation de ressources
Maintenance et utilisation
Temps d’affichages des nouvelles alertes
Classification des alertes selon leur criticité
Gestion des alertes via la Base de données (BDD)
Interface de monitoring
NIDS : Métriques d’évaluation
Taux de détection
Nombre de faux positifs
Capacité de traitement
Performances
Mise à jour régulière par l’éditeur
Facilité d’application des mises à jours
Consommation de ressources
Maintenance et utilisation
Temps d’affichages des nouvelles alertes
Classification des alertes selon leur criticité
Gestion des alertes via la Base de données (BDD)
Interface de monitoring
NIDS : Métriques d’évaluation
Taux de détection
Nombre de faux positifs
Capacité de traitement
Performances
Mise à jour régulière par l’éditeur
Facilité d’application des mises à jours
Consommation de ressources
Maintenance et utilisation
Temps d’affichages des nouvelles alertes
Classification des alertes selon leur criticité
Gestion des alertes via la Base de données (BDD)
Interface de monitoring
NIDS : Tests et Proof of concept
Deux phases de test :•Machines virtuelles•Serveur de test
Taux de détection : Suricata supérieur
Nombre de faux positifs : Peu significatif
Capacité de traitement : Equivalente
Ressources : Consommation de Snortélevée
Les mises à jour des systèmes par leséditeurs sont régulières
Senseur
Test des NIDS avec BASE, Snorby et Squert
BASE : Gestion des alertes via la BDDMise à jour des alertes toutes les 5 secondes
Snorby : Système de classification présentLabelisation et ajout de commentaires sur les alertes
Squert : Système de classification présent
Monitoring
NIDS : Tests et Proof of concept
Deux phases de test :
Machines virtuelles
Serveur de test
Taux de détection : Suricata supérieur
Nombre de faux positifs : Peu significatif
Capacité de traitement : Equivalente
Ressources : Consommation de Snortélevée
Les mises à jour des systèmes par leséditeurs sont régulières
Senseur
Test des NIDS avec BASE, Snorby et Squert
BASE : Gestion des alertes via la BDDMise à jour des alertes toutes les 5 secondes
Snorby : Système de classification présentLabelisation et ajout de commentaires sur les alertes
Squert : Système de classification présent
Monitoring
NIDS : Choix final
Squert ne permet qu’une liste des alertessans aucune autre fonctionnalité
Ni BASE ni Snorby ne remplissententièrement les critères attendus mais sontcomplémentaires
Utilisation de BASE et Snorby
Monitoring
Oinkmaster est très ancien et n’est plus mis à jour.
Pulledpork est toujours maintenu et plus facile à utiliser
Utilisation de Pulledpork
Règles de détection
Suricata semble être plus performant que Snort
Installation et procédures de mises à jour laborieuses
Utilisation de Security Onion
Senseur
NIDS : Métriques d’évaluation
Squert ne permet qu’une liste des alertessans aucune autre fonctionnalité
Ni BASE ni Snorby ne remplissententièrement les critères attendus mais sontcomplémentaires
Utilisation de BASE et Snorby
Oinkmaster est très ancien et n’est plus mis à jour.
Pulledpork est toujours maintenu et plus facile à utiliser
Utilisation de Pulledpork
Suricata semble être plus performant que Snort
Installation et procédures de mises à jour laborieuses
Utilisation de Security Onion
Monitoring Règles de détection
Senseur
NIDS : Métriques d’évaluation
Squert ne permet qu’une liste des alertessans aucune autre fonctionnalité
Ni BASE ni Snorby ne remplissententièrement les critères attendus mais sontcomplémentaires
Utilisation de BASE et Snorby
Oinkmaster est très ancien et n’est plus mis à jour.
Pulledpork est toujours maintenu et plus facile à utiliser
Utilisation de Pulledpork
Suricata semble être plus performant que Snort
Installation et procédures de mises à jour laborieuses
Utilisation de Security Onion
Monitoring Règles de détection
Senseur
NIDS : Mise en production
Attaques détectées
Attaque dite par “Bruteforce” sur les accès SSH d’un serveur
Origine de l’attaque : Une règle du firewall, mal configurée. Au lieu de bloquer les fluxréseau, ayant pour port de destination le port 22, elle les redirige vers le serveur ciblé parl’attaque
Solution : Modifier la règle, pour que le firewall retrouve un comportement normal.
Tentatives d’attaques par injections SQL et exploitations d’éventuelles failles XSS
Le nombre de requêtes très important entraina une surcharge des serveurs. Risque d’indisponibilité du site Viadeo
Solution : Supression du compte et mise de l’IP de l’attaquant sur liste noire. Configuration des serveurs web afin de refuser toute requêtes venant de cette adresse.
Attaques détectées
Attaque dite par “Bruteforce” sur les accès SSH d’un serveur
Origine de l’attaque : Une règle du firewall, mal configurée. Au lieu de bloquer les fluxréseau, ayant pour port de destination le port 22, elle les redirige vers le serveur ciblé parl’attaque
Solution : Modifier la règle, pour que le firewall retrouve un comportement normal.
Tentatives d’attaques par injections SQL et exploitations d’éventuelles failles XSS
Le nombre de requêtes très important entraina une surcharge des serveurs. Risque d’indisponibilité du site Viadeo
Solution : Supression du compte et mise de l’IP de l’attaquant sur liste noire. Configuration des serveurs web afin de refuser toute requêtes venant de cette adresse.
WAF : Veille technologique
Architecture intrusive ou « Reverse proxy »
Firewall applicatif placé entre le firewallet le serveur web
Obligation d’avoir un WAF par serveurweb
Création d’un “Single Point of Failure”(SPOF)
Architecture parallèle ou “Sonde”
Firewall applicatif n’est pas placé dans l’alignement Firewall-Serveur : limitation de l’impact sur la production
Le WAF sniffe les paquets IP et peut envoi un message au serveur pour lui dire de ne pas traiter les requêtes dangeureuses
Architecture modulaire ou “Intégrée au serveur”
Installation du Firewall applicatif sur le serveur web
Disparition du SPOF
Augmentation du traitement d’informations par le serveur web
Architecture Intrusive Architecture Parallèle
Architecture modulaire
WAF : Architecture intrusive
WAF : Veille technologique
Architecture intrusive ou « Reverse proxy »
Firewall applicatif placé entre le firewallet le serveur web
Obligation d’avoir un WAF par serveurweb
Création d’un “Single Point of Failure”(SPOF)
Architecture parallèle ou “Sonde”
Firewall applicatif n’est pas placé dans l’alignement Firewall-Serveur : limitation de l’impact sur la production
Le WAF sniffe les paquets IP et peut envoi un message au serveur pour lui dire de ne pas traiter les requêtes dangeureuses
Architecture modulaire ou “Intégrée au serveur”
Installation du Firewall applicatif sur le serveur web
Disparition du SPOF
Augmentation du traitement d’informations par le serveur web
Architecture Intrusive Architecture Parallèle
Architecture modulaire
WAF : Architecture Parallèle
WAF : Veille technologique
Architecture intrusive ou « Reverse proxy »
Firewall applicatif placé entre le firewallet le serveur web
Obligation d’avoir un WAF par serveurweb
Création d’un “Single Point of Failure”(SPOF)
Architecture parallèle ou “Sonde”
Firewall applicatif n’est pas placé dans l’alignement Firewall-Serveur : limitation de l’impact sur la production
Le WAF sniffe les paquets IP et peut envoi un message au serveur pour lui dire de ne pas traiter les requêtes dangeureuses
Architecture modulaire ou “Intégrée au serveur”
Installation du Firewall applicatif sur le serveur web
Disparition du SPOF
Augmentation du traitement d’informations par le serveur web
Architecture Intrusive Architecture Parallèle
Architecture modulaire
WAF : Architecture Parallèle
Projet WAF : Veille Technologique
WAF : Web Application FirewallDifférentes architectures
Reverse ProxySondeIntégré au serveur Web
Différents modes de fonctionnementNégatifPositif
WAF : Choix Possibles
License gratuite
Module d’apache
Règles de détection non fournies
Modsecurity
License payante
Logiciel indépendant
Règles de détection fournies
dotDefender
WAF : Choix possibles
License gratuite
Module d’apache
Règles de détection non fournies
Modsecurity
License payante
Logiciel indépendant
Règles de détection fournies
dotDefender
WAF : Métriques d’évaluation
Taux de détection
Nombre de faux positifs
Capacité de traitement
Performances
Mise à jour régulière par l’éditeur
Facilité d’application des mises à jours
Intégration dans la plateforme de production
Maintenance et utilisation
WAF : Métriques d’évaluation
Taux de détection
Nombre de faux positifs
Capacité de traitement
Performances
Mise à jour régulière par l’éditeur
Facilité d’application des mises à jours
Intégration dans la plateforme de production
Maintenance et utilisation
WAF : Tests et Proof of concept
Une interface de monitoring doit êtreinstallée manuellement
Taux de détection : Très bon
Mises à jour régulières
Installation longue et pouvantdifficilement être automatisée
Application des mises à jours doiventêtre effectuées manuellement
Interface de monitoring permet uneconfiguration et administration à distancetrès complète
ModSecurity
Interface de monitoring fournie
Taux de détection : Bon
Installation rapide et automatisée
Application des mises à jours automatiques
In terface de monitoring simple et ne permet qu’une administration et configuration limitée
dotDefender
NIDS : Tests et Proof of concept
Une interface de monitoring doit êtreinstallée manuellement
Taux de détection : Très bon
Mises à jour régulières
Installation longue et pouvantdifficilement être automatisée
Application des mises à jours doiventêtre effectuées manuellement
Interface de monitoring permet uneconfiguration et administration à distancetrès complète
ModSecurity
Interface de monitoring fournie
Taux de détection : Bon
Installation rapide et automatisée
Application des mises à jours automatiques
In terface de monitoring simple et ne permet qu’une administration et configuration limitée
dotDefender
Conclusion
Conclusion
Le NIDS est fonctionnel et en utilisation
Quelques défauts de stabilité existent
En attente de mises à jour majeures
Différentes solutions sont à l’études
Le choix de la solution se fera dans les jours qui viennent
Le projet d’analyse du réseau de l’entreprise n’est pas encore commencé
Début imminant
Le planning original très bouleversé
Les projets seront néanmoins fini à la fin du stage
NIDS : Stabilisation de la solution
Le NIDS est fonctionnel et en utilisation
Quelques défauts de stabilité existent
En attente de mises à jour majeures
Différentes solutions sont à l’études
Le choix de la solution se fera dans lesjours qui viennent
Le projet d’analyse du réseau de l’entreprise n’est pas encore commencé
Début imminant
Le planning original très bouleversé
Les projets seront néanmoins fini à la fin du stage
NIDS : Stabilisation de la solution
Le NIDS est fonctionnel et en utilisation
Quelques défauts de stabilité existent
En attente de mises à jour majeures
Différentes solutions sont à l’études
Le choix de la solution se fera dans les jours qui viennent
Le projet d’analyse du réseau del’entreprise n’est pas encore commencé
Début imminant
Le planning original très bouleversé
Les projets seront néanmoins fini à la fin du stage
NIDS : Stabilisation de la solution
Le NIDS est fonctionnel et en utilisation
Quelques défauts de stabilité existent
En attente de mises à jour majeures
Différentes solutions sont à l’études
Le choix de la solution se fera dans les jours qui viennent
Le projet d’analyse du réseau de l’entreprise n’est pas encore commencé
Début imminant
Le planning original très bouleversé
Les projets seront néanmoins fini à la findu stage
Remerciement
Maitre de stage : Olivier Malki
Superviseur : Boris Hajduk
Merci de votre attention,
à vos questions!
