Soutenance de fin d’étude Promotion SRS 2012    Réflexion et mise en place d’une solution de surveillance et              ...
Plan   Introduction   Présentation de Viadeo       Histoire       Secteur d’activité   Ma mission       Présentation des p...
Introduction
Introduction               Contexte                                Sujet de stage Stage de fin d’étude du cursus ingéni...
Introduction               Contexte                                Sujet de stage Stage de fin d’étude du cursus ingéni...
Introduction               Contexte                                Sujet de stage Stage de fin d’étude du cursus ingéni...
Introduction               Contexte                                Sujet de stage Stage de fin d’étude du cursus ingéni...
Présentation de Viadeo
Viadeo : History               Creation                                      Evolution                                    ...
Viadeo : History               Creation                                      Evolution                                    ...
Viadeo : Activity               Network                                           Career                                ...
Viadeo : Activity               Network                                           Career                                ...
Viadeo : Activity               Network                                           Career                                ...
Ma Mission
3 projets distincts                 NIDS                                                  WAF Objectif : Détecter les t...
3 projets distincts                 NIDS                                                  WAF Objectif : Détecter les t...
3 projets distincts                 NIDS                                                  WAF Objectif : Détecter les t...
NIDS : Choix possibles                 Snort                       Suricata IDS historique (15 ans)     IDS très jeune (...
NIDS : Choix possibles                 Snort                       Suricata IDS historique (15 ans)     IDS très jeune (...
NIDS : Modules Complémentaires              Monitoring                            Règles de détection Alertes enregistrée...
NIDS : Modules Complémentaires              Monitoring                            Règles de détection Alertes enregistrée...
NIDS : Architecture de la solution
NIDS : Métriques d’évaluation           Performances                                  Maintenance et utilisation Taux de ...
NIDS : Métriques d’évaluation           Performances                                  Maintenance et utilisation Taux de ...
NIDS : Métriques d’évaluation           Performances                                  Maintenance et utilisation Taux de ...
NIDS : Tests et Proof of concept               Senseur                                      Monitoring Deux phases de tes...
NIDS : Tests et Proof of concept               Senseur                                      Monitoring Deux phases de tes...
NIDS : Choix final              Monitoring                                      Règles de détection Squert ne permet qu’u...
NIDS : Métriques d’évaluation              Monitoring                                      Règles de détection Squert ne ...
NIDS : Métriques d’évaluation              Monitoring                                      Règles de détection Squert ne ...
NIDS : Mise en production
Attaques détectées Attaque dite par “Bruteforce” sur les accès SSH d’un serveur Origine de l’attaque : Une règle du fire...
Attaques détectées Attaque dite par “Bruteforce” sur les accès SSH d’un serveur Origine de l’attaque : Une règle du fire...
WAF : Choix Possibles                        Modsecurity            License gratuite            Module d’apache         ...
WAF : Choix possibles                        Modsecurity            License gratuite            Module d’apache         ...
WAF : Métriques d’évaluation                       Performances            Taux de détection            Nombre de faux p...
WAF : Métriques d’évaluation                       Performances            Taux de détection            Nombre de faux p...
WAF : Tests et Proof of concept             ModSecurity                                 dotDefender Une interface de moni...
NIDS : Tests et Proof of concept             ModSecurity                                 dotDefender Une interface de mon...
Conclusion
Conclusion Le NIDS est fonctionnel et en utilisation    Les différentes solutions de WAF sont à                         ...
NIDS : Stabilisation de la solution Le NIDS est fonctionnel et en utilisation    Les différentes solutions de WAF sont à...
NIDS : Stabilisation de la solution Le NIDS est fonctionnel et en utilisation    Les différentes solutions de WAF sont à...
NIDS : Stabilisation de la solution Le NIDS est fonctionnel et en utilisation    Les différentes solutions de WAF sont à...
Remerciement   Maitre de stage : Olivier Malki   Superviseur : Boris Hajduk
Merci de votre attention,                 à vos questions!
Prochain SlideShare
Chargement dans…5
×

Soutenance de fin d’étude promotion srs 2012

1 155 vues

Publié le

0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
1 155
Sur SlideShare
0
Issues des intégrations
0
Intégrations
2
Actions
Partages
0
Téléchargements
29
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Soutenance de fin d’étude promotion srs 2012

  1. 1. Soutenance de fin d’étude Promotion SRS 2012 Réflexion et mise en place d’une solution de surveillance et sécurisation de la plateforme de production Jean-Eric Djenderedjian
  2. 2. Plan Introduction Présentation de Viadeo Histoire Secteur d’activité Ma mission Présentation des projets Projet NIDS Projet WAF Conclusion
  3. 3. Introduction
  4. 4. Introduction  Contexte  Sujet de stage Stage de fin d’étude du cursus ingénieur  Recherche, évaluation et choix d’un à San Francisco (USA) Système de Détection d’Intrusion (NIDS) et d’un Pare-Feu Applicatif (WAF) Sécurisation de la plateforme deproduction  Mise en production des solutions Collaboration avec l’équipe chargée de  Analyse de la densité et du contenul’exploitation du trafic réseau  Mes attentes  Déroulement Travail sur des sujets de sécurité  Estimation des charges de travaild’entreprise  Définition des métriques d’évaluation Appréhention de la notion processusmétier  Tests et “Proof of Concept” Augmentation des responsabilités  Mise en production
  5. 5. Introduction  Contexte  Sujet de stage Stage de fin d’étude du cursus ingénieur  Recherche, évaluation et choix d’un à San Francisco (USA) Système de Détection d’Intrusion (NIDS) et d’un Pare-Feu Applicatif (WAF) Sécurisation de la plateforme deproduction  Mise en production des solutions Collaboration avec l’équipe chargée de  Analyse de la densité et du contenul’exploitation du trafic réseau  Mes attentes  Déroulement Travail sur des sujets de sécurité  Estimation des charges de travaild’entreprise  Définition des métriques d’évaluation Appréhention de la notion processusmétier  Tests et “Proof of Concept” Augmentation des responsabilités  Mise en production
  6. 6. Introduction  Contexte  Sujet de stage Stage de fin d’étude du cursus ingénieur  Recherche, évaluation et choix d’un à San Francisco (USA) Système de Détection d’Intrusion (NIDS) et d’un Pare-Feu Applicatif (WAF) Sécurisation de la plateforme deproduction  Mise en production des solutions Collaboration avec l’équipe chargée de  Analyse de la densité et du contenul’exploitation du trafic réseau  Mes attentes  Déroulement Travail sur des sujets de sécurité  Estimation des charges de travaild’entreprise  Définition des métriques d’évaluation Appréhention de la notion processusmétier  Tests et “Proof of Concept” Augmentation des responsabilités  Mise en production
  7. 7. Introduction  Contexte  Sujet de stage Stage de fin d’étude du cursus ingénieur  Recherche, évaluation et choix d’un à San Francisco (USA) Système de Détection d’Intrusion (NIDS) et d’un Pare-Feu Applicatif (WAF) Sécurisation de la plateforme deproduction  Mise en production des solutions Collaboration avec l’équipe chargée de  Analyse de la densité et du contenul’exploitation du trafic réseau  Mes attentes  Déroulement Travail sur des sujets de sécurité  Estimation des charges de travaild’entreprise  Définition des métriques d’évaluation Appréhention de la notion processusmétier  Tests et “Proof of Concept” Augmentation des responsabilités  Mise en production
  8. 8. Présentation de Viadeo
  9. 9. Viadeo : History Creation Evolution  4 Found raising • 5 millions euros in 2006 • 5 millions euros in 2007 Created in 2004 • 5 millions euros in 2009 Founders : • 24 millions euros in 2012 • Dan Serfaty • Thierry Lunati  Several acquisitions • Tianji the first professional social Viadeo is a professional social network network in China in 2007 • Make easier relations between companies and potential employees  UNYK a 2.0 web platform in 2009 • Share professional relation  Increasing membership • Manage career • 8,5 millions of members in 2008 • 25 millions of members in 2009 • 40 millions of members in 2010
  10. 10. Viadeo : History Creation Evolution  4 Found raising • 5 millions euros in 2006 • 5 millions euros in 2007 Created in 2004 • 5 millions euros in 2009 Founders : • 24 millions euros in 2012 • Dan Serfaty • Thierry Lunati  Several acquisitions • Tianji the first professional social Viadeo is a professional social network network in China in 2007 • Make easier relations between companies and potential employees  UNYK a 2.0 web platform in 2009 • Share professional relation  Increasing membership • Manage career • 8,5 millions of members in 2008 • 25 millions of members in 2009 • 40 millions of members in 2010
  11. 11. Viadeo : Activity  Network  Career  Managing his career is as important as Users can manage and develop their own his networkprofessional network  Users can find job opportunities, Users can establish long term relations receive job offers Users can recommand each other  47% of HR are using social networks to find an employee  Business  Companies can be more seen  Users can also find customers or partners  Businessman are using a lot of social networks features such as community groups
  12. 12. Viadeo : Activity  Network  Career  Managing his career is as important as Users can manage and develop their own his networkprofessional network  Users can find job opportunities, Users can establish long term relations receive job offers Users can recommand each other  47% of HR are using social networks to find an employee  Business  Companies can be more seen  Users can also find customers or partners  Businessman are using a lot of social networks features such as community groups
  13. 13. Viadeo : Activity  Network  Career  Managing his career is as important as Users can manage and develop their own his networkprofessional network  Users can find job opportunities, Users can establish long term relations receive job offers Users can recommand each other  47% of HR are using social networks to find an employee  Business  Companies can be more seen  Users can also find customers or partners  Businessman are using a lot of social networks features such as community groups
  14. 14. Ma Mission
  15. 15. 3 projets distincts  NIDS  WAF Objectif : Détecter les tentatives  Objectif : Bloquer toute tentatived’attaques sur le site web d’attaques sur le site web Moyen : Comparaison des paquets IP à  Moyen : Comparaison des paquets IPdes schémas d’attaques pré-défini à des schémas d’attaques pré-défini Contrainte : Ne pas perturber la  Contrainte : Installation sur les serveursproduction web Charge estimée : 55 jours  Charge estimé : 55 jours  Analyse du réseau  Objectif : Analyser la densité et le contenu du trafic de l’entreprise  Moyen : Utilisation d’un outil de Deep Packet Inspection  Charge estimée : 20 jours
  16. 16. 3 projets distincts  NIDS  WAF Objectif : Détecter les tentatives  Objectif : Bloquer toute tentatived’attaques sur le site web d’attaques sur le site web Moyen : Comparaison des paquets IP à  Moyen : Comparaison des paquets IPdes schémas d’attaques pré-défini à des schémas d’attaques pré-défini Contrainte : Ne pas perturber la  Contrainte : Installation sur les serveursproduction web Charge estimée : 55 jours  Charge estimé : 55 jours  Analyse du réseau  Objectif : Analyser la densité et le contenu du trafic de l’entreprise  Moyen : Utilisation d’un outil de Deep Packet Inspection  Charge estimée : 20 jours
  17. 17. 3 projets distincts  NIDS  WAF Objectif : Détecter les tentatives  Objectif : Bloquer toute tentatived’attaques sur le site web d’attaques sur le site web Moyen : Comparaison des paquets IP à  Moyen : Comparaison des paquets IPdes schémas d’attaques pré-défini à des schémas d’attaques pré-défini Contrainte : Ne pas perturber la  Contrainte : Installation sur les serveursproduction web Charge estimée : 55 jours  Charge estimé : 55 jours  Analyse du réseau  Objectif : Analyser la densité et le contenu du trafic de l’entreprise  Moyen : Utilisation d’un outil de Deep Packet Inspection  Charge estimée : 20 jours
  18. 18. NIDS : Choix possibles Snort Suricata IDS historique (15 ans)  IDS très jeune (2 ans) Très bonne réputation  Bonne réputation Très bien documenté  Peu documenté Multi-threading non géré  Gestion du multi-threading
  19. 19. NIDS : Choix possibles Snort Suricata IDS historique (15 ans)  IDS très jeune (2 ans) Très bonne réputation  Bonne réputation Très bien documenté  Peu documenté Multi-threading non géré  Gestion du multi-threading
  20. 20. NIDS : Modules Complémentaires Monitoring Règles de détection Alertes enregistrées dans des fichierssous un format spécifique (unified2)  Attaques détectées grâce à des Utilisation d’un logiciel pour archiver schémas pré-définisces alertes dans une base de données  Utilisation d’un gestionnaire de règlessous un format lisible : Barnyard2 afin de mettre à jour, désactiver ou Utilisation d’interfaces de monitoring modifier les règles existantes et d’enpour visionner ces alertes créer de nouvelles • BASE • Oinkmaster • Snorby • Sguil • Pulledpork • Squert
  21. 21. NIDS : Modules Complémentaires Monitoring Règles de détection Alertes enregistrées dans des fichierssous un format spécifique (unified2)  Attaques détectées grâce à des Utilisation d’un logiciel pour archiver schémas pré-définisces alertes dans une base de données  Utilisation d’un gestionnaire de règlessous un format lisible : Barnyard2 afin de mettre à jour, désactiver ou Utilisation d’interfaces de monitoring modifier les règles existantes et d’enpour visionner ces alertes créer de nouvelles • BASE • Oinkmaster • Snorby • Sguil • Pulledpork • Squert
  22. 22. NIDS : Architecture de la solution
  23. 23. NIDS : Métriques d’évaluation Performances Maintenance et utilisation Taux de détection  Mise à jour régulière par l’éditeur Nombre de faux positifs  Facilité d’application des mises à jours Capacité de traitement  Consommation de ressources Interface de monitoring  Temps d’affichages des nouvelles alertes  Classification des alertes selon leur criticité  Gestion des alertes via la Base de données (BDD)
  24. 24. NIDS : Métriques d’évaluation Performances Maintenance et utilisation Taux de détection  Mise à jour régulière par l’éditeur Nombre de faux positifs  Facilité d’application des mises à jours Capacité de traitement  Consommation de ressources Interface de monitoring  Temps d’affichages des nouvelles alertes  Classification des alertes selon leur criticité  Gestion des alertes via la Base de données (BDD)
  25. 25. NIDS : Métriques d’évaluation Performances Maintenance et utilisation Taux de détection  Mise à jour régulière par l’éditeur Nombre de faux positifs  Facilité d’application des mises à jours Capacité de traitement  Consommation de ressources Interface de monitoring  Temps d’affichages des nouvelles alertes  Classification des alertes selon leur criticité  Gestion des alertes via la Base de données (BDD)
  26. 26. NIDS : Tests et Proof of concept Senseur Monitoring Deux phases de test : • Machines virtuelles  Test des NIDS avec BASE, Snorby et • Serveur de test Squert Taux de détection : Suricata supérieur  BASE : Gestion des alertes via la BDD Mise à jour des alertes toutes les 5 Nombre de faux positifs : Peu significatif secondes Capacité de traitement : Equivalente  Snorby : Système de classification présent Ressources : Consommation de Snort Labelisation et ajout de commentairesélevée sur les alertes Les mises à jour des systèmes par les  Squert : Système de classificationéditeurs sont régulières présent
  27. 27. NIDS : Tests et Proof of concept Senseur Monitoring Deux phases de test :  Test des NIDS avec BASE, Snorby et Machines virtuelles Squert Serveur de test  BASE : Gestion des alertes via la BDD Taux de détection : Suricata supérieur Mise à jour des alertes toutes les 5 secondes Nombre de faux positifs : Peu significatif  Snorby : Système de classification Capacité de traitement : Equivalente présent Labelisation et ajout de commentaires Ressources : Consommation de Snort sur les alertesélevée  Squert : Système de classification Les mises à jour des systèmes par les présentéditeurs sont régulières
  28. 28. NIDS : Choix final Monitoring Règles de détection Squert ne permet qu’une liste des alertes  Oinkmaster est très ancien et n’est plussans aucune autre fonctionnalité mis à jour. Ni BASE ni Snorby ne remplissent  Pulledpork est toujours maintenu et plusentièrement les critères attendus mais sont facile à utilisercomplémentaires  Utilisation de Pulledpork Utilisation de BASE et Snorby Senseur  Suricata semble être plus performant que Snort  Installation et procédures de mises à jour laborieuses  Utilisation de Security Onion
  29. 29. NIDS : Métriques d’évaluation Monitoring Règles de détection Squert ne permet qu’une liste des alertes  Oinkmaster est très ancien et n’est plussans aucune autre fonctionnalité mis à jour. Ni BASE ni Snorby ne remplissent  Pulledpork est toujours maintenu et plusentièrement les critères attendus mais sont facile à utilisercomplémentaires  Utilisation de Pulledpork Utilisation de BASE et Snorby Senseur  Suricata semble être plus performant que Snort  Installation et procédures de mises à jour laborieuses  Utilisation de Security Onion
  30. 30. NIDS : Métriques d’évaluation Monitoring Règles de détection Squert ne permet qu’une liste des alertes  Oinkmaster est très ancien et n’est plussans aucune autre fonctionnalité mis à jour. Ni BASE ni Snorby ne remplissent  Pulledpork est toujours maintenu et plusentièrement les critères attendus mais sont facile à utilisercomplémentaires  Utilisation de Pulledpork Utilisation de BASE et Snorby Senseur  Suricata semble être plus performant que Snort  Installation et procédures de mises à jour laborieuses  Utilisation de Security Onion
  31. 31. NIDS : Mise en production
  32. 32. Attaques détectées Attaque dite par “Bruteforce” sur les accès SSH d’un serveur Origine de l’attaque : Une règle du firewall, mal configurée. Au lieu de bloquer les fluxréseau, ayant pour port de destination le port 22, elle les redirige vers le serveur ciblé parl’attaque Solution : Modifier la règle, pour que le firewall retrouve un comportement normal. Tentatives d’attaques par injections SQL et exploitations d’éventuelles failles XSS Le nombre de requêtes très important entraina une surcharge des serveurs. Risqued’indisponibilité du site Viadeo Solution : Supression du compte et mise de l’IP de l’attaquant sur liste noire.Configuration des serveurs web afin de refuser toute requêtes venant de cette adresse.
  33. 33. Attaques détectées Attaque dite par “Bruteforce” sur les accès SSH d’un serveur Origine de l’attaque : Une règle du firewall, mal configurée. Au lieu de bloquer les fluxréseau, ayant pour port de destination le port 22, elle les redirige vers le serveur ciblé parl’attaque Solution : Modifier la règle, pour que le firewall retrouve un comportement normal. Tentatives d’attaques par injections SQL et exploitations d’éventuelles failles XSS Le nombre de requêtes très important entraina une surcharge des serveurs. Risqued’indisponibilité du site Viadeo Solution : Supression du compte et mise de l’IP de l’attaquant sur liste noire.Configuration des serveurs web afin de refuser toute requêtes venant de cette adresse.
  34. 34. WAF : Choix Possibles Modsecurity  License gratuite  Module d’apache  Règles de détection non fournies dotDefender  License payante  Logiciel indépendant  Règles de détection fournies
  35. 35. WAF : Choix possibles Modsecurity  License gratuite  Module d’apache  Règles de détection non fournies dotDefender  License payante  Logiciel indépendant  Règles de détection fournies
  36. 36. WAF : Métriques d’évaluation Performances  Taux de détection  Nombre de faux positifs  Capacité de traitement Maintenance et utilisation  Mise à jour régulière par l’éditeur  Facilité d’application des mises à jours  Intégration dans la plateforme de production
  37. 37. WAF : Métriques d’évaluation Performances  Taux de détection  Nombre de faux positifs  Capacité de traitement Maintenance et utilisation  Mise à jour régulière par l’éditeur  Facilité d’application des mises à jours  Intégration dans la plateforme de production
  38. 38. WAF : Tests et Proof of concept ModSecurity dotDefender Une interface de monitoring doit êtreinstallée manuellement  Interface de monitoring fournie Taux de détection : Très bon  Taux de détection : Bon Mises à jour régulières  Installation rapide et automatisée Installation longue et pouvant  Application des mises à joursdifficilement être automatisée automatiques Application des mises à jours doivent  In terface de monitoring simple et neêtre effectuées manuellement permet qu’une administration et Interface de monitoring permet une configuration limitéeconfiguration et administration à distancetrès complète
  39. 39. NIDS : Tests et Proof of concept ModSecurity dotDefender Une interface de monitoring doit êtreinstallée manuellement  Interface de monitoring fournie Taux de détection : Très bon  Taux de détection : Bon Mises à jour régulières  Installation rapide et automatisée Installation longue et pouvantdifficilement être automatisée  Application des mises à jours automatiques Application des mises à jours doiventêtre effectuées manuellement  In terface de monitoring simple et ne permet qu’une administration et Interface de monitoring permet une configuration limitéeconfiguration et administration à distancetrès complète
  40. 40. Conclusion
  41. 41. Conclusion Le NIDS est fonctionnel et en utilisation  Les différentes solutions de WAF sont à l’études Quelques défauts de stabilité existent  Le choix de la solution se fera dans les En attente de mises à jour majeures jours qui viennent Le projet d’analyse du réseau de  Le planning original très bouleversél’entreprise n’est pas encore commencé  Les projets seront néanmoins fini à la fin Début imminant du stage
  42. 42. NIDS : Stabilisation de la solution Le NIDS est fonctionnel et en utilisation  Les différentes solutions de WAF sont à l’études Quelques défauts de stabilité existent  Le choix de la solution se fera dans les En attente de mises à jour majeures jours qui viennent Le projet d’analyse du réseau de  Le planning original très bouleversél’entreprise n’est pas encore commencé  Les projets seront néanmoins fini à la fin Début imminant du stage
  43. 43. NIDS : Stabilisation de la solution Le NIDS est fonctionnel et en utilisation  Les différentes solutions de WAF sont à l’études Quelques défauts de stabilité existent  Le choix de la solution se fera dans les En attente de mises à jour majeures jours qui viennent Le projet d’analyse du réseau de  Le planning original très bouleversél’entreprise n’est pas encore commencé  Les projets seront néanmoins fini à la fin Début imminant du stage
  44. 44. NIDS : Stabilisation de la solution Le NIDS est fonctionnel et en utilisation  Les différentes solutions de WAF sont à l’études Quelques défauts de stabilité existent  Le choix de la solution se fera dans les En attente de mises à jour majeures jours qui viennent Le projet d’analyse du réseau de  Le planning original très bouleversél’entreprise n’est pas encore commencé  Les projets seront néanmoins fini à la fin Début imminant du stage
  45. 45. Remerciement Maitre de stage : Olivier Malki Superviseur : Boris Hajduk
  46. 46. Merci de votre attention, à vos questions!

×