Successfully reported this slideshow.
Projet de fin d’études                                  Option                                    SSI        Mise en place...
Sommaire    1   • Contexte général        • Analyse des risques et tentatives    2          d’intrusion    3   • Virtualis...
INTRODUCTION01/12/2011              3
Tendance des sociétés               Ouverture au monde extérieur               Beaucoup de données à gérer                ...
100%  90%                                   Données cibles  80%                                                        Don...
Echantillon :         6500 entreprises         • Petites : 500         • Moyennes : 1000         • Grandes : 5000  Pertes ...
CONTEXTE GÉNÉRAL01/12/2011                  7
Parmi ses missions:   Extraction et commercialisation du Phosphate   Transformer le phosphate en produits dérivésPremier...
01/12/2011   9
Sujet                      Solution Open-source Objectifs                      Détection d’intrusions     A. Virtualisatio...
ANALYSE DES VULNÉRABILITÉS             & TENTATIVE D’INTRUSION01/12/2011                                11
La démarche procédée pour une tentative d’intrusion :                                 Recherche des                       ...
Exemples de risques :  • Modification involontaire de linformation  • Accès volontaire ou involontaire non autorisé  • Vol...
VIRTUALISATION &             SÉCURITÉ01/12/2011                      14
Virtualisation :             Applications          Serveurs     OS     Techniques matérielles & logicielles               ...
Partage du matériel dune machine par plusieurs systèmesd’exploitation indépendants (isolés, encapsulés)        Répondre a...
IDS & HONEYPOTS01/12/2011                 17
Contrôler laccès aux                                 données confidentielles        Prévenir les fuites de                ...
Les IDS à signature     • Les signatures d’attaques connues sont stockées     • Chaque événement est comparé au contenu de...
IntruShield               Commerciaux                             RealSecure         IDS                                Br...
Avantages   Inconvénients01/12/2011                               21
•Attaques Internes                      •Attaques sophistiquées                          •Trojans dans le parc            ...
Ressource informatique dont la valeur  réside en son utilisation illicite             Volontairement vulnérable           ...
!01/12/2011   24
KFSensor                        Commerciaux                                         Specter                               ...
Avantages   Inconvénients01/12/2011                               26
ARCHITECTURE DE             L’APPLICATION01/12/2011                     27
honeyd.conf   snort.conf01/12/2011                              28
01/12/2011   29
Serveur Apache2            Serveur de données                           Base de                    Base de                ...
01/12/2011   31
Node      • Définir et créer des machines   Maker       virtuelles    Net      • Définir avec ces nœuds une   Maker       ...
• 600 OS différents     Ordinateur     Routeur, switches, pare-       feux     Imprimante, sismographe,…• Comportements...
• Définir le point d’entrée du  réseau• Définir le sous-réseau  contrôlé• Ajouter une passerelle     Son sous-réseau    ...
• S’identifier à nouveau             • Choisir la politique de déploiement                  Avec Snort                  ...
Tiny Remote   • Scanner un ensemble de   PortScanner     port d’une adresse IP                 • Construire des  Nmap Fron...
• Scanneur de ports artisanal• 60 ports les plus utilisés• Trois états pour un port     Ouvert     Fermé     Filtré 01/...
Commande Nmap :efficacité = f(complexité)                        Scanner les ports              Offrir front-end          ...
Open Source                             Lire la DB de Snort             ACID Project   Visualiser les alertes             ...
TESTS & VALIDATION01/12/2011                    40
Réseau cible Ports ouverts             80 & 22             23 & 22                       HoneyMaker est Fonctionnel01/12/2...
Tiny Remote PortScanner est Fonctionnel01/12/2011                                     42
• Plus de templates individuelles =miel sans Mb/s          • Simuler une de pots de Moins de paquets   Gérer un grand nomb...
Resultat du test Nmap contre 600 OS virtuels                                            Identifié exactement              ...
CONCLUSION & PERSPECTIVES01/12/2011                               45
• Mission :   •     Apprendre le concept de nouveaux outils   •     Configurer, tester et évaluer plusieurs logiciels   • ...
MERCI POUR VOTRE             ATTENTION01/12/2011                      47
Projet de fin d’études                                  Option                                    SSI        Mise en place...
Prochain SlideShare
Chargement dans…5
×

Présentation pfe inchaallah

6 192 vues

Publié le

Mise en place d'une solution Open source pour la virtualisation des analyses de vulnérabilités et la détection des tentatives d'intrusion basées sur les Honeypots

Publié dans : Technologie
  • Soyez le premier à commenter

Présentation pfe inchaallah

  1. 1. Projet de fin d’études Option SSI Mise en place d’une solution Open-source pour la virtualisation de l’analyse des vulnérabilités et la détection des tentatives d’intrusion basée sur les Honeypots Présenté par : Sous la direction de : • M.EL MORABIT Ghassan • M. KOBBANE Abdellatif (Encadrant ENSIAS) • M. REBLA Ilyass • M. SBAA Ahmed (Responsable de Sécurité au groupe OCP) • M. BENSAID Alaa (Responsable de Sécurité au groupe OCP) Membres du jury : • M. EL KETTANI Mohamed Dafir (Professeur à l’ENSIAS)01/12/2011 • M. HABBANI Ahmed (Professeur à l’ENSIAS) 1
  2. 2. Sommaire 1 • Contexte général • Analyse des risques et tentatives 2 d’intrusion 3 • Virtualisation et sécurité 4 • IDS & Honeypots 6 • Architecture de la plateforme 7 • Tests et validation 8 • Conclusion et perspectives 2
  3. 3. INTRODUCTION01/12/2011 3
  4. 4. Tendance des sociétés Ouverture au monde extérieur Beaucoup de données à gérer Menaces diversifiées01/12/2011 4
  5. 5. 100% 90% Données cibles 80% Données de carte de crédit 85% 70% Inconnues 18% Données sensibles 8% Inclusion à distance de fichiers 2% 60% Accès physique 2% Secrets de vente 3% Attaques internes 2% 50% Gestion du contenu 2% 40% Données SQL Injection 6% dauthentification 2% Trojans demails 6% 30% Social engineering 8% 2% Données clients 20% Application daccès à distance 55% 10% 0% Origines des attaques01/12/2011 SpiderLabs (Rapport Trustwave Global Security 2011) 5
  6. 6. Echantillon : 6500 entreprises • Petites : 500 • Moyennes : 1000 • Grandes : 5000 Pertes moyennes : Symantec : State of Entreprise Security 201001/12/2011 6
  7. 7. CONTEXTE GÉNÉRAL01/12/2011 7
  8. 8. Parmi ses missions:  Extraction et commercialisation du Phosphate  Transformer le phosphate en produits dérivésPremier exportateur du phosphate, le groupe OCP:  Contribue au PIB avec une part de 2 à 3 %, alors que ses exportationsCréée en août 1920 la valeur des représentent 18 à 20 % de exportations marocaines. Transformé à un groupe nommé  Détient ¾ des réserves mondiales de phosphate le groupe OCP à partir de 1975 8
  9. 9. 01/12/2011 9
  10. 10. Sujet Solution Open-source Objectifs Détection d’intrusions A. Virtualisation de la procédure de création des pots de miel B. Permettre à tout administrateur ou ingénieur système de Honeypot créer et configurer son propre réseau de pots de miel et de sondes IDS 1. Tester les produits sécurité sur le réseau virtuel 2. Déployer un système de détection de spam 3. Déployer un système de détection de vers et patch automatique des machines infectées 4. …01/12/2011 10
  11. 11. ANALYSE DES VULNÉRABILITÉS & TENTATIVE D’INTRUSION01/12/2011 11
  12. 12. La démarche procédée pour une tentative d’intrusion : Recherche des Vulnérabilités • Obtenir l’accès• Scan • Identification des • Evaluation des• Prise d’empreinte versions privilèges• Hacking • Analyse de la • Attaque par•… surface d’attaque rebond sur d’autres •… systèmes Prise Exploitation des D’information failles 01/12/2011 12
  13. 13. Exemples de risques : • Modification involontaire de linformation • Accès volontaire ou involontaire non autorisé • Vol ou perte dinformations • Indisponibilité de linformation Mise place d’une solution pour l’analyse des vulnérabilités et de prévention des tentatives d’intrusions01/12/2011 13
  14. 14. VIRTUALISATION & SÉCURITÉ01/12/2011 14
  15. 15. Virtualisation : Applications Serveurs OS Techniques matérielles & logicielles Serveurs Virtuels Machine01/12/2011 physique 15
  16. 16. Partage du matériel dune machine par plusieurs systèmesd’exploitation indépendants (isolés, encapsulés)  Répondre aux contraintes de sécurité (séparation des services, isolation)  Répondre aux « nouveaux » besoins de maintenance (administration, déploiement)  Répondre aux besoins de tests, expérimentations, délégation Augmentation de la stabilité et une sécurité accrue01/12/2011 16
  17. 17. IDS & HONEYPOTS01/12/2011 17
  18. 18. Contrôler laccès aux données confidentielles Prévenir les fuites de Réagir si des données données sensibles vers semblent suspectes internet IDS Surveillance et Surveiller les données qui traçabilité des données transitent sur ce système sensibles01/12/2011 18
  19. 19. Les IDS à signature • Les signatures d’attaques connues sont stockées • Chaque événement est comparé au contenu de cette base • Si correspondance l’alerte est levée Les IDS comportementaux • Chaque flux et son comportement habituel doivent être déclarés • La détection d’anomalie01/12/2011 19
  20. 20. IntruShield Commerciaux RealSecure IDS Bro Open-source Prelude Snort01/12/2011 20
  21. 21. Avantages Inconvénients01/12/2011 21
  22. 22. •Attaques Internes •Attaques sophistiquées •Trojans dans le parc •Peu de logs•Attaques frontales•Trop de logs01/12/2011 22
  23. 23. Ressource informatique dont la valeur réside en son utilisation illicite Volontairement vulnérable Aucune valeur productive Toute interaction avec cette ressource est suspecte01/12/2011 23
  24. 24. !01/12/2011 24
  25. 25. KFSensor Commerciaux Specter BOF Honeypot LaBrea Tarpit Nepenthes Open-source Omnivora Tiny Honeypot Honeyd01/12/2011 25
  26. 26. Avantages Inconvénients01/12/2011 26
  27. 27. ARCHITECTURE DE L’APPLICATION01/12/2011 27
  28. 28. honeyd.conf snort.conf01/12/2011 28
  29. 29. 01/12/2011 29
  30. 30. Serveur Apache2 Serveur de données Base de Base de données données User/PW Snort Fichiers de configurations01/12/2011 Utilisateur 30
  31. 31. 01/12/2011 31
  32. 32. Node • Définir et créer des machines Maker virtuelles Net • Définir avec ces nœuds une Maker topologie réseau compliquée • Définir une politique de Closure déploiement et de journalisation01/12/2011 32
  33. 33. • 600 OS différents  Ordinateur  Routeur, switches, pare- feux  Imprimante, sismographe,…• Comportements pour TCP, UDP,…  Open  Blocked  Tarpit  Close• Temps d’activité• Probabilité de panne• UID & GID• Services Simulés : FTP, SMTP, …01/12/2011 33
  34. 34. • Définir le point d’entrée du réseau• Définir le sous-réseau contrôlé• Ajouter une passerelle  Son sous-réseau  Latence du lien  Taux de perte  Bande passante• Ajouter d’autres passerelles01/12/2011 34
  35. 35. • S’identifier à nouveau • Choisir la politique de déploiement  Avec Snort  Sans Snort • Choisir la politique de journalisation  Database  Cvs  Tcpdump  … • Définir pour Snort le réseau à surveiller01/12/2011 35
  36. 36. Tiny Remote • Scanner un ensemble de PortScanner port d’une adresse IP • Construire des Nmap Front- commandes Nmap End compliquées01/12/2011 36
  37. 37. • Scanneur de ports artisanal• 60 ports les plus utilisés• Trois états pour un port  Ouvert  Fermé  Filtré 01/12/2011 37
  38. 38. Commande Nmap :efficacité = f(complexité) Scanner les ports Offrir front-end intuitive Identifier les Nmap services Lister la totalité des commandes Détecter les OS Formuler des commandes correctes Open Source01/12/2011 38
  39. 39. Open Source Lire la DB de Snort ACID Project Visualiser les alertes Statistiques du trafic Politique de déploiement = Avec Snort Politique de journalisation = database01/12/2011 39
  40. 40. TESTS & VALIDATION01/12/2011 40
  41. 41. Réseau cible Ports ouverts 80 & 22 23 & 22 HoneyMaker est Fonctionnel01/12/2011 41
  42. 42. Tiny Remote PortScanner est Fonctionnel01/12/2011 42
  43. 43. • Plus de templates individuelles =miel sans Mb/s • Simuler une de pots de Moins de paquets Gérer un grand nombrebande passante de 30altérer la réussis • Plus de profondeur = Moins de paquets réussis • Plus performance de profondeur = Plus de taux de perte01/12/2011 43
  44. 44. Resultat du test Nmap contre 600 OS virtuels Identifié exactement Identifié approximativement Non identifié01/12/2011 44
  45. 45. CONCLUSION & PERSPECTIVES01/12/2011 45
  46. 46. • Mission : • Apprendre le concept de nouveaux outils • Configurer, tester et évaluer plusieurs logiciels • Réaliser une application virtuelle à double volet pour la sécurité et le test• Perspectives : • Effectuer des tests avec des outils ( antivirus,….) • Déploiement de la solution01/12/2011 46
  47. 47. MERCI POUR VOTRE ATTENTION01/12/2011 47
  48. 48. Projet de fin d’études Option SSI Mise en place d’une solution Open-source pour la virtualisation de l’analyse des vulnérabilités et la détection des tentatives d’intrusion basée sur les Honeypots Présenté par : Sous la direction de : • M.EL MORABIT Ghassan • M. KOBBANE Abdellatif (Encadrant ENSIAS) • M. REBLA Ilyass • M. SBAA Ahmed (Responsable de Sécurité au groupe OCP) • M. BENSAID Alaa (Responsable de Sécurité au groupe OCP) Membres du jury : • M. EL KETTANI Mohamed Dafir (Professeur à l’ENSIAS)01/12/2011 • M. HABBANI Ahmed (Professeur à l’ENSIAS) 48

×