Mise en place d'une solution Open source pour la virtualisation des analyses de vulnérabilités et la détection des tentatives d'intrusion basées sur les Honeypots
1. Projet de fin d’études
Option
SSI
Mise en place d’une solution Open-source pour la
virtualisation de l’analyse des vulnérabilités et la détection
des tentatives d’intrusion basée sur les Honeypots
Présenté par : Sous la direction de :
• M.EL MORABIT Ghassan • M. KOBBANE Abdellatif (Encadrant ENSIAS)
• M. REBLA Ilyass • M. SBAA Ahmed (Responsable de Sécurité au groupe OCP)
• M. BENSAID Alaa (Responsable de Sécurité au groupe OCP)
Membres du jury :
• M. EL KETTANI Mohamed Dafir (Professeur à l’ENSIAS)
01/12/2011 • M. HABBANI Ahmed (Professeur à l’ENSIAS) 1
2. Sommaire
1 • Contexte général
• Analyse des risques et tentatives
2
d’intrusion
3 • Virtualisation et sécurité
4 • IDS & Honeypots
6 • Architecture de la plateforme
7 • Tests et validation
8 • Conclusion et perspectives
2
8. Parmi ses missions:
Extraction et commercialisation du Phosphate
Transformer le phosphate en produits dérivés
Premier exportateur du phosphate, le groupe OCP:
Contribue au PIB avec une part de 2 à 3 %, alors que ses
exportationsCréée en août 1920 la valeur des
représentent 18 à 20 % de
exportations marocaines.
Transformé à un groupe nommé
Détient ¾ des réserves mondiales de phosphate
le groupe OCP à partir de 1975
8
10. Sujet
Solution Open-source
Objectifs
Détection d’intrusions
A. Virtualisation de la procédure de création des pots de miel
B. Permettre à tout administrateur ou ingénieur système de
Honeypot
créer et configurer son propre réseau de pots de miel et de
sondes IDS
1. Tester les produits sécurité sur le réseau virtuel
2. Déployer un système de détection de spam
3. Déployer un système de détection de vers et
patch automatique des machines infectées
4. …
01/12/2011 10
12. La démarche procédée pour une tentative d’intrusion :
Recherche des
Vulnérabilités
• Obtenir l’accès
• Scan • Identification des
• Evaluation des
• Prise d’empreinte versions
privilèges
• Hacking • Analyse de la
• Attaque par
•… surface d’attaque
rebond sur d’autres
•…
systèmes
Prise Exploitation des
D’information failles
01/12/2011 12
13. Exemples de risques :
• Modification involontaire de l'information
• Accès volontaire ou involontaire non autorisé
• Vol ou perte d'informations
• Indisponibilité de l'information
Mise place d’une solution pour l’analyse des
vulnérabilités et de prévention des tentatives
d’intrusions
01/12/2011 13
16. Partage du matériel d'une machine par plusieurs systèmes
d’exploitation indépendants (isolés, encapsulés)
Répondre aux contraintes de sécurité (séparation des
services, isolation)
Répondre aux « nouveaux » besoins de maintenance
(administration, déploiement)
Répondre aux besoins de
tests, expérimentations, délégation
Augmentation de la stabilité et une sécurité accrue
01/12/2011 16
18. Contrôler l'accès aux
données confidentielles
Prévenir les fuites de
Réagir si des données
données sensibles vers
semblent suspectes
internet
IDS
Surveillance et
Surveiller les données qui
traçabilité des données
transitent sur ce système
sensibles
01/12/2011 18
19. Les IDS à signature
• Les signatures d’attaques connues sont stockées
• Chaque événement est comparé au contenu de cette base
• Si correspondance l’alerte est levée
Les IDS comportementaux
• Chaque flux et son comportement habituel doivent être
déclarés
• La détection d’anomalie
01/12/2011 19
22. •Attaques Internes
•Attaques sophistiquées
•Trojans dans le parc
•Peu de logs
•Attaques frontales
•Trop de logs
01/12/2011 22
23. Ressource informatique dont la valeur
réside en son utilisation illicite
Volontairement vulnérable
Aucune valeur productive
Toute interaction avec cette
ressource est suspecte
01/12/2011 23
32. Node • Définir et créer des machines
Maker virtuelles
Net • Définir avec ces nœuds une
Maker topologie réseau compliquée
• Définir une politique de
Closure déploiement et de journalisation
01/12/2011 32
33. • 600 OS différents
Ordinateur
Routeur, switches, pare-
feux
Imprimante, sismographe,…
• Comportements pour TCP, UDP,…
Open
Blocked
Tarpit
Close
• Temps d’activité
• Probabilité de panne
• UID & GID
• Services Simulés : FTP, SMTP, …
01/12/2011 33
34. • Définir le point d’entrée du
réseau
• Définir le sous-réseau
contrôlé
• Ajouter une passerelle
Son sous-réseau
Latence du lien
Taux de perte
Bande passante
• Ajouter d’autres
passerelles
01/12/2011 34
35. • S’identifier à nouveau
• Choisir la politique de déploiement
Avec Snort
Sans Snort
• Choisir la politique de journalisation
Database
Cvs
Tcpdump
…
• Définir pour Snort le réseau à surveiller
01/12/2011 35
36. Tiny Remote • Scanner un ensemble de
PortScanner port d’une adresse IP
• Construire des
Nmap Front-
commandes Nmap
End compliquées
01/12/2011 36
37. • Scanneur de ports artisanal
• 60 ports les plus utilisés
• Trois états pour un port
Ouvert
Fermé
Filtré
01/12/2011 37
38. Commande Nmap :
efficacité = f(complexité)
Scanner les ports
Offrir front-end
intuitive Identifier
les
Nmap
services
Lister la totalité
des commandes Détecter les OS
Formuler des
commandes
correctes Open Source
01/12/2011 38
39. Open Source
Lire la DB de Snort
ACID Project Visualiser les alertes
Statistiques du trafic
Politique de
déploiement = Avec
Snort
Politique de
journalisation =
database
01/12/2011 39
43. • Plus de templates individuelles =miel sans Mb/s
• Simuler une de pots de Moins de paquets
Gérer un grand nombrebande passante de 30altérer la réussis
• Plus de profondeur = Moins de paquets réussis
• Plus
performance de profondeur = Plus de taux de perte
01/12/2011 43
44. Resultat du test Nmap contre 600 OS virtuels
Identifié exactement
Identifié approximativement
Non identifié
01/12/2011 44
46. • Mission :
• Apprendre le concept de nouveaux outils
• Configurer, tester et évaluer plusieurs logiciels
• Réaliser une application virtuelle à double volet pour la
sécurité et le test
• Perspectives :
• Effectuer des tests avec des outils ( antivirus,….)
• Déploiement de la solution
01/12/2011 46
48. Projet de fin d’études
Option
SSI
Mise en place d’une solution Open-source pour la
virtualisation de l’analyse des vulnérabilités et la détection
des tentatives d’intrusion basée sur les Honeypots
Présenté par : Sous la direction de :
• M.EL MORABIT Ghassan • M. KOBBANE Abdellatif (Encadrant ENSIAS)
• M. REBLA Ilyass • M. SBAA Ahmed (Responsable de Sécurité au groupe OCP)
• M. BENSAID Alaa (Responsable de Sécurité au groupe OCP)
Membres du jury :
• M. EL KETTANI Mohamed Dafir (Professeur à l’ENSIAS)
01/12/2011 • M. HABBANI Ahmed (Professeur à l’ENSIAS) 48
Notes de l'éditeur
Utiliser un en-tête de section pour chacun des sujets afin de définir une transition claire pour l’audience.
Utiliser un en-tête de section pour chacun des sujets afin de définir une transition claire pour l’audience.
Utiliser un en-tête de section pour chacun des sujets afin de définir une transition claire pour l’audience.
Utiliser un en-tête de section pour chacun des sujets afin de définir une transition claire pour l’audience.
Utiliser un en-tête de section pour chacun des sujets afin de définir une transition claire pour l’audience.
Utiliser un en-tête de section pour chacun des sujets afin de définir une transition claire pour l’audience.
Quelles compétences l’audience pourra-t-elle maîtriser au terme de cette formation ? Décrivez brièvement les avantages dont l’audiencepourra bénéficier suite à cette présentation.
Utiliser un en-tête de section pour chacun des sujets afin de définir une transition claire pour l’audience.