Projet de fin d’études                                  Option                                    SSI        Mise en place...
Sommaire    1   • Contexte général        • Analyse des risques et tentatives    2          d’intrusion    3   • Virtualis...
INTRODUCTION01/12/2011              3
Tendance des sociétés               Ouverture au monde extérieur               Beaucoup de données à gérer                ...
100%  90%                                   Données cibles  80%                                                        Don...
Echantillon :         6500 entreprises         • Petites : 500         • Moyennes : 1000         • Grandes : 5000  Pertes ...
CONTEXTE GÉNÉRAL01/12/2011                  7
Parmi ses missions:   Extraction et commercialisation du Phosphate   Transformer le phosphate en produits dérivésPremier...
01/12/2011   9
Sujet                      Solution Open-source Objectifs                      Détection d’intrusions     A. Virtualisatio...
ANALYSE DES VULNÉRABILITÉS             & TENTATIVE D’INTRUSION01/12/2011                                11
La démarche procédée pour une tentative d’intrusion :                                 Recherche des                       ...
Exemples de risques :  • Modification involontaire de linformation  • Accès volontaire ou involontaire non autorisé  • Vol...
VIRTUALISATION &             SÉCURITÉ01/12/2011                      14
Virtualisation :             Applications          Serveurs     OS     Techniques matérielles & logicielles               ...
Partage du matériel dune machine par plusieurs systèmesd’exploitation indépendants (isolés, encapsulés)        Répondre a...
IDS & HONEYPOTS01/12/2011                 17
Contrôler laccès aux                                 données confidentielles        Prévenir les fuites de                ...
Les IDS à signature     • Les signatures d’attaques connues sont stockées     • Chaque événement est comparé au contenu de...
IntruShield               Commerciaux                             RealSecure         IDS                                Br...
Avantages   Inconvénients01/12/2011                               21
•Attaques Internes                      •Attaques sophistiquées                          •Trojans dans le parc            ...
Ressource informatique dont la valeur  réside en son utilisation illicite             Volontairement vulnérable           ...
!01/12/2011   24
KFSensor                        Commerciaux                                         Specter                               ...
Avantages   Inconvénients01/12/2011                               26
ARCHITECTURE DE             L’APPLICATION01/12/2011                     27
honeyd.conf   snort.conf01/12/2011                              28
01/12/2011   29
Serveur Apache2            Serveur de données                           Base de                    Base de                ...
01/12/2011   31
Node      • Définir et créer des machines   Maker       virtuelles    Net      • Définir avec ces nœuds une   Maker       ...
• 600 OS différents     Ordinateur     Routeur, switches, pare-       feux     Imprimante, sismographe,…• Comportements...
• Définir le point d’entrée du  réseau• Définir le sous-réseau  contrôlé• Ajouter une passerelle     Son sous-réseau    ...
• S’identifier à nouveau             • Choisir la politique de déploiement                  Avec Snort                  ...
Tiny Remote   • Scanner un ensemble de   PortScanner     port d’une adresse IP                 • Construire des  Nmap Fron...
• Scanneur de ports artisanal• 60 ports les plus utilisés• Trois états pour un port     Ouvert     Fermé     Filtré 01/...
Commande Nmap :efficacité = f(complexité)                        Scanner les ports              Offrir front-end          ...
Open Source                             Lire la DB de Snort             ACID Project   Visualiser les alertes             ...
TESTS & VALIDATION01/12/2011                    40
Réseau cible Ports ouverts             80 & 22             23 & 22                       HoneyMaker est Fonctionnel01/12/2...
Tiny Remote PortScanner est Fonctionnel01/12/2011                                     42
• Plus de templates individuelles =miel sans Mb/s          • Simuler une de pots de Moins de paquets   Gérer un grand nomb...
Resultat du test Nmap contre 600 OS virtuels                                            Identifié exactement              ...
CONCLUSION & PERSPECTIVES01/12/2011                               45
• Mission :   •     Apprendre le concept de nouveaux outils   •     Configurer, tester et évaluer plusieurs logiciels   • ...
MERCI POUR VOTRE             ATTENTION01/12/2011                      47
Projet de fin d’études                                  Option                                    SSI        Mise en place...
Prochain SlideShare
Chargement dans…5
×

Présentation pfe inchaallah

5 449 vues

Publié le

Mise en place d'une solution Open source pour la virtualisation des analyses de vulnérabilités et la détection des tentatives d'intrusion basées sur les Honeypots

Publié dans : Technologie
0 commentaire
3 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

Aucun téléchargement
Vues
Nombre de vues
5 449
Sur SlideShare
0
Issues des intégrations
0
Intégrations
3
Actions
Partages
0
Téléchargements
375
Commentaires
0
J’aime
3
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive
  • Utiliser un en-tête de section pour chacun des sujets afin de définir une transition claire pour l’audience.
  • Utiliser un en-tête de section pour chacun des sujets afin de définir une transition claire pour l’audience.
  • Utiliser un en-tête de section pour chacun des sujets afin de définir une transition claire pour l’audience.
  • Utiliser un en-tête de section pour chacun des sujets afin de définir une transition claire pour l’audience.
  • Utiliser un en-tête de section pour chacun des sujets afin de définir une transition claire pour l’audience.
  • Utiliser un en-tête de section pour chacun des sujets afin de définir une transition claire pour l’audience.
  • Quelles compétences l’audience pourra-t-elle maîtriser au terme de cette formation ? Décrivez brièvement les avantages dont l’audiencepourra bénéficier suite à cette présentation.
  • Utiliser un en-tête de section pour chacun des sujets afin de définir une transition claire pour l’audience.
  • Présentation pfe inchaallah

    1. 1. Projet de fin d’études Option SSI Mise en place d’une solution Open-source pour la virtualisation de l’analyse des vulnérabilités et la détection des tentatives d’intrusion basée sur les Honeypots Présenté par : Sous la direction de : • M.EL MORABIT Ghassan • M. KOBBANE Abdellatif (Encadrant ENSIAS) • M. REBLA Ilyass • M. SBAA Ahmed (Responsable de Sécurité au groupe OCP) • M. BENSAID Alaa (Responsable de Sécurité au groupe OCP) Membres du jury : • M. EL KETTANI Mohamed Dafir (Professeur à l’ENSIAS)01/12/2011 • M. HABBANI Ahmed (Professeur à l’ENSIAS) 1
    2. 2. Sommaire 1 • Contexte général • Analyse des risques et tentatives 2 d’intrusion 3 • Virtualisation et sécurité 4 • IDS & Honeypots 6 • Architecture de la plateforme 7 • Tests et validation 8 • Conclusion et perspectives 2
    3. 3. INTRODUCTION01/12/2011 3
    4. 4. Tendance des sociétés Ouverture au monde extérieur Beaucoup de données à gérer Menaces diversifiées01/12/2011 4
    5. 5. 100% 90% Données cibles 80% Données de carte de crédit 85% 70% Inconnues 18% Données sensibles 8% Inclusion à distance de fichiers 2% 60% Accès physique 2% Secrets de vente 3% Attaques internes 2% 50% Gestion du contenu 2% 40% Données SQL Injection 6% dauthentification 2% Trojans demails 6% 30% Social engineering 8% 2% Données clients 20% Application daccès à distance 55% 10% 0% Origines des attaques01/12/2011 SpiderLabs (Rapport Trustwave Global Security 2011) 5
    6. 6. Echantillon : 6500 entreprises • Petites : 500 • Moyennes : 1000 • Grandes : 5000 Pertes moyennes : Symantec : State of Entreprise Security 201001/12/2011 6
    7. 7. CONTEXTE GÉNÉRAL01/12/2011 7
    8. 8. Parmi ses missions:  Extraction et commercialisation du Phosphate  Transformer le phosphate en produits dérivésPremier exportateur du phosphate, le groupe OCP:  Contribue au PIB avec une part de 2 à 3 %, alors que ses exportationsCréée en août 1920 la valeur des représentent 18 à 20 % de exportations marocaines. Transformé à un groupe nommé  Détient ¾ des réserves mondiales de phosphate le groupe OCP à partir de 1975 8
    9. 9. 01/12/2011 9
    10. 10. Sujet Solution Open-source Objectifs Détection d’intrusions A. Virtualisation de la procédure de création des pots de miel B. Permettre à tout administrateur ou ingénieur système de Honeypot créer et configurer son propre réseau de pots de miel et de sondes IDS 1. Tester les produits sécurité sur le réseau virtuel 2. Déployer un système de détection de spam 3. Déployer un système de détection de vers et patch automatique des machines infectées 4. …01/12/2011 10
    11. 11. ANALYSE DES VULNÉRABILITÉS & TENTATIVE D’INTRUSION01/12/2011 11
    12. 12. La démarche procédée pour une tentative d’intrusion : Recherche des Vulnérabilités • Obtenir l’accès• Scan • Identification des • Evaluation des• Prise d’empreinte versions privilèges• Hacking • Analyse de la • Attaque par•… surface d’attaque rebond sur d’autres •… systèmes Prise Exploitation des D’information failles 01/12/2011 12
    13. 13. Exemples de risques : • Modification involontaire de linformation • Accès volontaire ou involontaire non autorisé • Vol ou perte dinformations • Indisponibilité de linformation Mise place d’une solution pour l’analyse des vulnérabilités et de prévention des tentatives d’intrusions01/12/2011 13
    14. 14. VIRTUALISATION & SÉCURITÉ01/12/2011 14
    15. 15. Virtualisation : Applications Serveurs OS Techniques matérielles & logicielles Serveurs Virtuels Machine01/12/2011 physique 15
    16. 16. Partage du matériel dune machine par plusieurs systèmesd’exploitation indépendants (isolés, encapsulés)  Répondre aux contraintes de sécurité (séparation des services, isolation)  Répondre aux « nouveaux » besoins de maintenance (administration, déploiement)  Répondre aux besoins de tests, expérimentations, délégation Augmentation de la stabilité et une sécurité accrue01/12/2011 16
    17. 17. IDS & HONEYPOTS01/12/2011 17
    18. 18. Contrôler laccès aux données confidentielles Prévenir les fuites de Réagir si des données données sensibles vers semblent suspectes internet IDS Surveillance et Surveiller les données qui traçabilité des données transitent sur ce système sensibles01/12/2011 18
    19. 19. Les IDS à signature • Les signatures d’attaques connues sont stockées • Chaque événement est comparé au contenu de cette base • Si correspondance l’alerte est levée Les IDS comportementaux • Chaque flux et son comportement habituel doivent être déclarés • La détection d’anomalie01/12/2011 19
    20. 20. IntruShield Commerciaux RealSecure IDS Bro Open-source Prelude Snort01/12/2011 20
    21. 21. Avantages Inconvénients01/12/2011 21
    22. 22. •Attaques Internes •Attaques sophistiquées •Trojans dans le parc •Peu de logs•Attaques frontales•Trop de logs01/12/2011 22
    23. 23. Ressource informatique dont la valeur réside en son utilisation illicite Volontairement vulnérable Aucune valeur productive Toute interaction avec cette ressource est suspecte01/12/2011 23
    24. 24. !01/12/2011 24
    25. 25. KFSensor Commerciaux Specter BOF Honeypot LaBrea Tarpit Nepenthes Open-source Omnivora Tiny Honeypot Honeyd01/12/2011 25
    26. 26. Avantages Inconvénients01/12/2011 26
    27. 27. ARCHITECTURE DE L’APPLICATION01/12/2011 27
    28. 28. honeyd.conf snort.conf01/12/2011 28
    29. 29. 01/12/2011 29
    30. 30. Serveur Apache2 Serveur de données Base de Base de données données User/PW Snort Fichiers de configurations01/12/2011 Utilisateur 30
    31. 31. 01/12/2011 31
    32. 32. Node • Définir et créer des machines Maker virtuelles Net • Définir avec ces nœuds une Maker topologie réseau compliquée • Définir une politique de Closure déploiement et de journalisation01/12/2011 32
    33. 33. • 600 OS différents  Ordinateur  Routeur, switches, pare- feux  Imprimante, sismographe,…• Comportements pour TCP, UDP,…  Open  Blocked  Tarpit  Close• Temps d’activité• Probabilité de panne• UID & GID• Services Simulés : FTP, SMTP, …01/12/2011 33
    34. 34. • Définir le point d’entrée du réseau• Définir le sous-réseau contrôlé• Ajouter une passerelle  Son sous-réseau  Latence du lien  Taux de perte  Bande passante• Ajouter d’autres passerelles01/12/2011 34
    35. 35. • S’identifier à nouveau • Choisir la politique de déploiement  Avec Snort  Sans Snort • Choisir la politique de journalisation  Database  Cvs  Tcpdump  … • Définir pour Snort le réseau à surveiller01/12/2011 35
    36. 36. Tiny Remote • Scanner un ensemble de PortScanner port d’une adresse IP • Construire des Nmap Front- commandes Nmap End compliquées01/12/2011 36
    37. 37. • Scanneur de ports artisanal• 60 ports les plus utilisés• Trois états pour un port  Ouvert  Fermé  Filtré 01/12/2011 37
    38. 38. Commande Nmap :efficacité = f(complexité) Scanner les ports Offrir front-end intuitive Identifier les Nmap services Lister la totalité des commandes Détecter les OS Formuler des commandes correctes Open Source01/12/2011 38
    39. 39. Open Source Lire la DB de Snort ACID Project Visualiser les alertes Statistiques du trafic Politique de déploiement = Avec Snort Politique de journalisation = database01/12/2011 39
    40. 40. TESTS & VALIDATION01/12/2011 40
    41. 41. Réseau cible Ports ouverts 80 & 22 23 & 22 HoneyMaker est Fonctionnel01/12/2011 41
    42. 42. Tiny Remote PortScanner est Fonctionnel01/12/2011 42
    43. 43. • Plus de templates individuelles =miel sans Mb/s • Simuler une de pots de Moins de paquets Gérer un grand nombrebande passante de 30altérer la réussis • Plus de profondeur = Moins de paquets réussis • Plus performance de profondeur = Plus de taux de perte01/12/2011 43
    44. 44. Resultat du test Nmap contre 600 OS virtuels Identifié exactement Identifié approximativement Non identifié01/12/2011 44
    45. 45. CONCLUSION & PERSPECTIVES01/12/2011 45
    46. 46. • Mission : • Apprendre le concept de nouveaux outils • Configurer, tester et évaluer plusieurs logiciels • Réaliser une application virtuelle à double volet pour la sécurité et le test• Perspectives : • Effectuer des tests avec des outils ( antivirus,….) • Déploiement de la solution01/12/2011 46
    47. 47. MERCI POUR VOTRE ATTENTION01/12/2011 47
    48. 48. Projet de fin d’études Option SSI Mise en place d’une solution Open-source pour la virtualisation de l’analyse des vulnérabilités et la détection des tentatives d’intrusion basée sur les Honeypots Présenté par : Sous la direction de : • M.EL MORABIT Ghassan • M. KOBBANE Abdellatif (Encadrant ENSIAS) • M. REBLA Ilyass • M. SBAA Ahmed (Responsable de Sécurité au groupe OCP) • M. BENSAID Alaa (Responsable de Sécurité au groupe OCP) Membres du jury : • M. EL KETTANI Mohamed Dafir (Professeur à l’ENSIAS)01/12/2011 • M. HABBANI Ahmed (Professeur à l’ENSIAS) 48

    ×