Ce document présente la soutenance de fin d'études de Jean-Eric Djenderedjian, axée sur la mise en place de solutions de sécurité pour la plateforme de production de Viadeo, comprenant un système de détection d'intrusion (NIDS) et un pare-feu applicatif (WAF). Il décrit le contexte du stage, les projets réalisés, les méthodologies utilisées pour l'évaluation et le choix des solutions, ainsi que les résultats des tests et de mise en production. En conclusion, le document aborde les défis de la sécurisation des systèmes d'information et propose des recommandations pour l'avenir.

1. Soutenance de fin d’étude Promotion SRS 2012
Réflexion et mise en place d’une solution de surveillance et
sécurisation de la plateforme de production
Jean-Eric Djenderedjian

2. Plan
Introduction
Présentation de Viadeo
Histoire
Secteur d’activité
Ma mission
Présentation des projets
Projet NIDS
Projet WAF
Conclusion

3. Introduction

4. Introduction
 Contexte  Sujet de stage
 Stage de fin d’étude du cursus ingénieur  Recherche, évaluation et choix d’un
à San Francisco (USA) Système de Détection d’Intrusion (NIDS)
et d’un Pare-Feu Applicatif (WAF)
 Sécurisation de la plateforme de
production  Mise en production des solutions
 Collaboration avec l’équipe chargée de  Analyse de la densité et du contenu
l’exploitation du trafic réseau
 Mes attentes  Déroulement
 Travail sur des sujets de sécurité  Estimation des charges de travail
d’entreprise
 Définition des métriques d’évaluation
 Appréhention de la notion processus
métier  Tests et “Proof of Concept”
 Augmentation des responsabilités  Mise en production

5. Introduction
 Contexte  Sujet de stage
 Stage de fin d’étude du cursus ingénieur  Recherche, évaluation et choix d’un
à San Francisco (USA) Système de Détection d’Intrusion (NIDS) et
d’un Pare-Feu Applicatif (WAF)
 Sécurisation de la plateforme de
production  Mise en production des solutions
 Collaboration avec l’équipe chargée de  Analyse de la densité et du contenu
l’exploitation du trafic réseau
 Mes attentes  Déroulement
 Travail sur des sujets de sécurité  Estimation des charges de travail
d’entreprise
 Définition des métriques d’évaluation
 Appréhention de la notion processus
métier  Tests et “Proof of Concept”
 Augmentation des responsabilités  Mise en production

6. Introduction
 Contexte  Sujet de stage
 Stage de fin d’étude du cursus ingénieur  Recherche, évaluation et choix d’un
à San Francisco (USA) Système de Détection d’Intrusion (NIDS)
et d’un Pare-Feu Applicatif (WAF)
 Sécurisation de la plateforme de
production  Mise en production des solutions
 Collaboration avec l’équipe chargée de  Analyse de la densité et du contenu
l’exploitation du trafic réseau
 Mes attentes  Déroulement
 Travail sur des sujets de sécurité  Estimation des charges de travail
d’entreprise
 Définition des métriques d’évaluation
 Appréhention de la notion processus
métier  Tests et “Proof of Concept”
 Augmentation des responsabilités  Mise en production

7. Introduction
 Contexte  Sujet de stage
 Stage de fin d’étude du cursus ingénieur  Recherche, évaluation et choix d’un
à San Francisco (USA) Système de Détection d’Intrusion (NIDS)
et d’un Pare-Feu Applicatif (WAF)
 Sécurisation de la plateforme de
production  Mise en production des solutions
 Collaboration avec l’équipe chargée de  Analyse de la densité et du contenu
l’exploitation du trafic réseau
 Mes attentes  Déroulement
 Travail sur des sujets de sécurité  Estimation des charges de travail
d’entreprise
 Définition des métriques d’évaluation
 Appréhention de la notion processus
métier  Tests et “Proof of Concept”
 Augmentation des responsabilités  Mise en production

8. Présentation de Viadeo

9. Viadeo : History
Creation Evolution
 4 Found raising
• 5 millions euros in 2006
• 5 millions euros in 2007
 Created in 2004 • 5 millions euros in 2009
 Founders : • 24 millions euros in 2012
• Dan Serfaty
• Thierry Lunati  Several acquisitions
• Tianji the first professional social
 Viadeo is a professional social network
network in China in 2007
• Make easier relations between
companies and potential employees  UNYK a 2.0 web platform in 2009
• Share professional relation
 Increasing membership
• Manage career
• 8,5 millions of members in 2008
• 25 millions of members in 2009
• 40 millions of members in 2010

10. Viadeo : History
Creation Evolution
 4 Found raising
• 5 millions euros in 2006
• 5 millions euros in 2007
 Created in 2004 • 5 millions euros in 2009
 Founders : • 24 millions euros in 2012
• Dan Serfaty
• Thierry Lunati  Several acquisitions
• Tianji the first professional social
 Viadeo is a professional social network
network in China in 2007
• Make easier relations between
companies and potential employees  UNYK a 2.0 web platform in 2009
• Share professional relation
 Increasing membership
• Manage career
• 8,5 millions of members in 2008
• 25 millions of members in 2009
• 40 millions of members in 2010

11. Viadeo : Activity
 Network  Career
 Managing his career is as important as
 Users can manage and develop their own his network
professional network
 Users can find job opportunities,
 Users can establish long term relations receive job offers
 Users can recommand each other  47% of HR are using social networks to
find an employee
 Business
 Companies can be more seen
 Users can also find customers or
partners
 Businessman are using a lot of social
networks features such as community
groups

12. Viadeo : Activity
 Network  Career
 Managing his career is as important as
 Users can manage and develop their own his network
professional network
 Users can find job opportunities,
 Users can establish long term relations receive job offers
 Users can recommand each other  47% of HR are using social networks to
find an employee
 Business
 Companies can be more seen
 Users can also find customers or
partners
 Businessman are using a lot of social
networks features such as community
groups

13. Viadeo : Activity
 Network  Career
 Managing his career is as important as
 Users can manage and develop their own his network
professional network
 Users can find job opportunities,
 Users can establish long term relations receive job offers
 Users can recommand each other  47% of HR are using social networks to
find an employee
 Business
 Companies can be more seen
 Users can also find customers or
partners
 Businessman are using a lot of social
networks features such as community
groups

14. Ma Mission

15. 3 projets distincts
 NIDS  WAF
 Objectif : Détecter les tentatives  Objectif : Bloquer toute tentative
d’attaques sur le site web d’attaques sur le site web
 Moyen : Comparaison des paquets IP à  Moyen : Comparaison des paquets IP
des schémas d’attaques pré-défini à des schémas d’attaques pré-défini
 Contrainte : Ne pas perturber la  Contrainte : Installation sur les serveurs
production web
 Charge estimée : 55 jours  Charge estimé : 55 jours
 Analyse du réseau
 Objectif : Analyser la densité et le
contenu du trafic de l’entreprise
 Moyen : Utilisation d’un outil de Deep
Packet Inspection
 Charge estimée : 20 jours

16. 3 projets distincts
 NIDS  WAF
 Objectif : Détecter les tentatives  Objectif : Bloquer toute tentative
d’attaques sur le site web d’attaques sur le site web
 Moyen : Comparaison des paquets IP à  Moyen : Comparaison des paquets IP
des schémas d’attaques pré-défini à des schémas d’attaques pré-défini
 Contrainte : Ne pas perturber la  Contrainte : Installation sur les serveurs
production web
 Charge estimée : 55 jours  Charge estimé : 55 jours
 Analyse du réseau
 Objectif : Analyser la densité et le
contenu du trafic de l’entreprise
 Moyen : Utilisation d’un outil de Deep
Packet Inspection
 Charge estimée : 20 jours

17. 3 projets distincts
 NIDS  WAF
 Objectif : Détecter les tentatives  Objectif : Bloquer toute tentative
d’attaques sur le site web d’attaques sur le site web
 Moyen : Comparaison des paquets IP à  Moyen : Comparaison des paquets IP
des schémas d’attaques pré-défini à des schémas d’attaques pré-défini
 Contrainte : Ne pas perturber la  Contrainte : Installation sur les serveurs
production web
 Charge estimée : 55 jours  Charge estimé : 55 jours
 Analyse du réseau
 Objectif : Analyser la densité et le
contenu du trafic de l’entreprise
 Moyen : Utilisation d’un outil de Deep
Packet Inspection
 Charge estimée : 20 jours

18. NIDS : Choix possibles
Snort Suricata
 IDS historique (15 ans)  IDS très jeune (2 ans)
 Très bonne réputation  Bonne réputation
 Très bien documenté  Peu documenté
 Multi-threading non géré  Gestion du multi-threading

19. NIDS : Choix possibles
Snort Suricata
 IDS historique (15 ans)  IDS très jeune (2 ans)
 Très bonne réputation  Bonne réputation
 Très bien documenté  Peu documenté
 Multi-threading non géré  Gestion du multi-threading

20. NIDS : Modules Complémentaires
Monitoring Règles de détection
 Alertes enregistrées dans des fichiers
sous un format spécifique (unified2)  Attaques détectées grâce à des
 Utilisation d’un logiciel pour archiver schémas pré-définis
ces alertes dans une base de données  Utilisation d’un gestionnaire de règles
sous un format lisible : Barnyard2 afin de mettre à jour, désactiver ou
 Utilisation d’interfaces de monitoring modifier les règles existantes et d’en
pour visionner ces alertes créer de nouvelles
• BASE • Oinkmaster
• Snorby
• Sguil • Pulledpork
• Squert

21. NIDS : Modules Complémentaires
Monitoring Règles de détection
 Alertes enregistrées dans des fichiers
sous un format spécifique (unified2)  Attaques détectées grâce à des
 Utilisation d’un logiciel pour archiver schémas pré-définis
ces alertes dans une base de données  Utilisation d’un gestionnaire de règles
sous un format lisible : Barnyard2 afin de mettre à jour, désactiver ou
 Utilisation d’interfaces de monitoring modifier les règles existantes et d’en
pour visionner ces alertes créer de nouvelles
• BASE • Oinkmaster
• Snorby
• Sguil • Pulledpork
• Squert

22. NIDS : Métriques d’évaluation
Performances Maintenance et utilisation
 Taux de détection  Mise à jour régulière par l’éditeur
 Nombre de faux positifs  Facilité d’application des mises à jours
 Capacité de traitement  Consommation de ressources
Interface de monitoring
 Temps d’affichages des nouvelles
alertes
 Classification des alertes selon leur
criticité
 Gestion des alertes via la Base de
données (BDD)

23. NIDS : Métriques d’évaluation
Performances Maintenance et utilisation
 Taux de détection  Mise à jour régulière par l’éditeur
 Nombre de faux positifs  Facilité d’application des mises à jours
 Capacité de traitement  Consommation de ressources
Interface de monitoring
 Temps d’affichages des nouvelles
alertes
 Classification des alertes selon leur
criticité
 Gestion des alertes via la Base de
données (BDD)

24. NIDS : Métriques d’évaluation
Performances Maintenance et utilisation
 Taux de détection  Mise à jour régulière par l’éditeur
 Nombre de faux positifs  Facilité d’application des mises à jours
 Capacité de traitement  Consommation de ressources
Interface de monitoring
 Temps d’affichages des nouvelles
alertes
 Classification des alertes selon leur
criticité
 Gestion des alertes via la Base de
données (BDD)

25. NIDS : Tests et Proof of concept
Senseur Monitoring
 Deux phases de test :
• Machines virtuelles  Test des NIDS avec BASE, Snorby et
• Serveur de test Squert
 Taux de détection : Suricata supérieur  BASE : Gestion des alertes via la BDD
Mise à jour des alertes toutes les 5
 Nombre de faux positifs : Peu significatif secondes
 Capacité de traitement : Equivalente  Snorby : Système de classification
présent
 Ressources : Consommation de Snort Labelisation et ajout de commentaires
élevée sur les alertes
 Les mises à jour des systèmes par les  Squert : Système de classification
éditeurs sont régulières présent

26. NIDS : Tests et Proof of concept
Senseur Monitoring
 Deux phases de test :
 Test des NIDS avec BASE, Snorby et
 Machines virtuelles Squert
 Serveur de test  BASE : Gestion des alertes via la BDD
 Taux de détection : Suricata supérieur Mise à jour des alertes toutes les 5
secondes
 Nombre de faux positifs : Peu significatif
 Snorby : Système de classification
 Capacité de traitement : Equivalente présent
Labelisation et ajout de commentaires
 Ressources : Consommation de Snort sur les alertes
élevée
 Squert : Système de classification
 Les mises à jour des systèmes par les présent
éditeurs sont régulières

27. NIDS : Choix final
Monitoring Règles de détection
 Squert ne permet qu’une liste des alertes
 Oinkmaster est très ancien et n’est plus
sans aucune autre fonctionnalité
mis à jour.
 Ni BASE ni Snorby ne remplissent
 Pulledpork est toujours maintenu et plus
entièrement les critères attendus mais sont
facile à utiliser
complémentaires
 Utilisation de Pulledpork
 Utilisation de BASE et Snorby
Senseur
 Suricata semble être plus performant
que Snort
 Installation et procédures de mises à
jour laborieuses
 Utilisation de Security Onion

28. NIDS : Métriques d’évaluation
Monitoring Règles de détection
 Squert ne permet qu’une liste des alertes
 Oinkmaster est très ancien et n’est plus
sans aucune autre fonctionnalité
mis à jour.
 Ni BASE ni Snorby ne remplissent
 Pulledpork est toujours maintenu et plus
entièrement les critères attendus mais sont
facile à utiliser
complémentaires
 Utilisation de Pulledpork
 Utilisation de BASE et Snorby
Senseur
 Suricata semble être plus performant
que Snort
 Installation et procédures de mises à
jour laborieuses
 Utilisation de Security Onion

29. NIDS : Métriques d’évaluation
Monitoring Règles de détection
 Squert ne permet qu’une liste des alertes
 Oinkmaster est très ancien et n’est plus
sans aucune autre fonctionnalité
mis à jour.
 Ni BASE ni Snorby ne remplissent
 Pulledpork est toujours maintenu et plus
entièrement les critères attendus mais sont
facile à utiliser
complémentaires
 Utilisation de Pulledpork
 Utilisation de BASE et Snorby
Senseur
 Suricata semble être plus performant
que Snort
 Installation et procédures de mises à
jour laborieuses
 Utilisation de Security Onion

30. NIDS : Mise en production

31. Attaques détectées
 Attaque dite par “Bruteforce” sur les accès SSH d’un serveur
 Origine de l’attaque : Une règle du firewall, mal configurée. Au lieu de bloquer les flux
réseau, ayant pour port de destination le port 22, elle les redirige vers le serveur ciblé par
l’attaque
 Solution : Modifier la règle, pour que le firewall retrouve un comportement normal.
 Tentatives d’attaques par injections SQL et exploitations d’éventuelles failles XSS
 Le nombre de requêtes très important entraina une surcharge des serveurs. Risque
d’indisponibilité du site Viadeo
 Solution : Supression du compte et mise de l’IP de l’attaquant sur liste noire.
Configuration des serveurs web afin de refuser toute requêtes venant de cette adresse.

32. Attaques détectées
 Attaque dite par “Bruteforce” sur les accès SSH d’un serveur
 Origine de l’attaque : Une règle du firewall, mal configurée. Au lieu de bloquer les flux
réseau, ayant pour port de destination le port 22, elle les redirige vers le serveur ciblé par
l’attaque
 Solution : Modifier la règle, pour que le firewall retrouve un comportement normal.
 Tentatives d’attaques par injections SQL et exploitations d’éventuelles failles XSS
 Le nombre de requêtes très important entraina une surcharge des serveurs. Risque
d’indisponibilité du site Viadeo
 Solution : Supression du compte et mise de l’IP de l’attaquant sur liste noire.
Configuration des serveurs web afin de refuser toute requêtes venant de cette adresse.

33. WAF : Choix Possibles
Modsecurity
 License gratuite
 Module d’apache
 Règles de détection non fournies
dotDefender
 License payante
 Logiciel indépendant
 Règles de détection fournies

34. WAF : Choix possibles
Modsecurity
 License gratuite
 Module d’apache
 Règles de détection non fournies
dotDefender
 License payante
 Logiciel indépendant
 Règles de détection fournies

35. WAF : Métriques d’évaluation
Performances
 Taux de détection
 Nombre de faux positifs
 Capacité de traitement
Maintenance et utilisation
 Mise à jour régulière par l’éditeur
 Facilité d’application des mises à jours
 Intégration dans la plateforme de
production

36. WAF : Métriques d’évaluation
Performances
 Taux de détection
 Nombre de faux positifs
 Capacité de traitement
Maintenance et utilisation
 Mise à jour régulière par l’éditeur
 Facilité d’application des mises à jours
 Intégration dans la plateforme de
production

37. WAF : Tests et Proof of concept
ModSecurity dotDefender
 Une interface de monitoring doit être
installée manuellement  Interface de monitoring fournie
 Taux de détection : Très bon  Taux de détection : Bon
 Mises à jour régulières  Installation rapide et automatisée
 Installation longue et pouvant  Application des mises à jours
difficilement être automatisée automatiques
 Application des mises à jours doivent  In terface de monitoring simple et ne
être effectuées manuellement permet qu’une administration et
 Interface de monitoring permet une configuration limitée
configuration et administration à distance
très complète

38. NIDS : Tests et Proof of concept
ModSecurity dotDefender
 Une interface de monitoring doit être
installée manuellement
 Interface de monitoring fournie
 Taux de détection : Très bon
 Taux de détection : Bon
 Mises à jour régulières
 Installation rapide et automatisée
 Installation longue et pouvant
difficilement être automatisée  Application des mises à jours
automatiques
 Application des mises à jours doivent
être effectuées manuellement  In terface de monitoring simple et ne
permet qu’une administration et
 Interface de monitoring permet une configuration limitée
configuration et administration à distance
très complète

39. Conclusion

40. Conclusion
 Le NIDS est fonctionnel et en utilisation  Les différentes solutions de WAF sont à
l’études
 Quelques défauts de stabilité existent
 Le choix de la solution se fera dans les
 En attente de mises à jour majeures jours qui viennent
 Le projet d’analyse du réseau de  Le planning original très bouleversé
l’entreprise n’est pas encore commencé
 Les projets seront néanmoins fini à la fin
 Début imminant du stage

41. NIDS : Stabilisation de la solution
 Le NIDS est fonctionnel et en utilisation  Les différentes solutions de WAF sont à
l’études
 Quelques défauts de stabilité existent
 Le choix de la solution se fera dans les
 En attente de mises à jour majeures jours qui viennent
 Le projet d’analyse du réseau de  Le planning original très bouleversé
l’entreprise n’est pas encore commencé
 Les projets seront néanmoins fini à la fin
 Début imminant du stage

42. NIDS : Stabilisation de la solution
 Le NIDS est fonctionnel et en utilisation  Les différentes solutions de WAF sont à
l’études
 Quelques défauts de stabilité existent
 Le choix de la solution se fera dans les
 En attente de mises à jour majeures jours qui viennent
 Le projet d’analyse du réseau de  Le planning original très bouleversé
l’entreprise n’est pas encore commencé
 Les projets seront néanmoins fini à la fin
 Début imminant du stage

43. NIDS : Stabilisation de la solution
 Le NIDS est fonctionnel et en utilisation  Les différentes solutions de WAF sont à
l’études
 Quelques défauts de stabilité existent
 Le choix de la solution se fera dans les
 En attente de mises à jour majeures jours qui viennent
 Le projet d’analyse du réseau de  Le planning original très bouleversé
l’entreprise n’est pas encore commencé
 Les projets seront néanmoins fini à la fin
 Début imminant du stage

44. Remerciement
Maitre de stage : Olivier Malki
Superviseur : Boris Hajduk

45. Merci de votre attention,
à vos questions!