1. Soutenance de fin d’étude Promotion SRS 2012
Réflexion et mise en place d’une solution de surveillance et
sécurisation de la plateforme de production
Jean-Eric Djenderedjian
2. Plan
Introduction
Présentation de Viadeo
Histoire
Secteur d’activité
Ma mission
Présentation des projets
Projet NIDS
Projet WAF
Conclusion
4. Introduction
Contexte Sujet de stage
Stage de fin d’étude du cursus ingénieur Recherche, évaluation et choix d’un
à San Francisco (USA) Système de Détection d’Intrusion (NIDS)
et d’un Pare-Feu Applicatif (WAF)
Sécurisation de la plateforme de
production Mise en production des solutions
Collaboration avec l’équipe chargée de Analyse de la densité et du contenu
l’exploitation du trafic réseau
Mes attentes Déroulement
Travail sur des sujets de sécurité Estimation des charges de travail
d’entreprise
Définition des métriques d’évaluation
Appréhention de la notion processus
métier Tests et “Proof of Concept”
Augmentation des responsabilités Mise en production
5. Introduction
Contexte Sujet de stage
Stage de fin d’étude du cursus ingénieur Recherche, évaluation et choix d’un
à San Francisco (USA) Système de Détection d’Intrusion (NIDS) et
d’un Pare-Feu Applicatif (WAF)
Sécurisation de la plateforme de
production Mise en production des solutions
Collaboration avec l’équipe chargée de Analyse de la densité et du contenu
l’exploitation du trafic réseau
Mes attentes Déroulement
Travail sur des sujets de sécurité Estimation des charges de travail
d’entreprise
Définition des métriques d’évaluation
Appréhention de la notion processus
métier Tests et “Proof of Concept”
Augmentation des responsabilités Mise en production
6. Introduction
Contexte Sujet de stage
Stage de fin d’étude du cursus ingénieur Recherche, évaluation et choix d’un
à San Francisco (USA) Système de Détection d’Intrusion (NIDS)
et d’un Pare-Feu Applicatif (WAF)
Sécurisation de la plateforme de
production Mise en production des solutions
Collaboration avec l’équipe chargée de Analyse de la densité et du contenu
l’exploitation du trafic réseau
Mes attentes Déroulement
Travail sur des sujets de sécurité Estimation des charges de travail
d’entreprise
Définition des métriques d’évaluation
Appréhention de la notion processus
métier Tests et “Proof of Concept”
Augmentation des responsabilités Mise en production
7. Introduction
Contexte Sujet de stage
Stage de fin d’étude du cursus ingénieur Recherche, évaluation et choix d’un
à San Francisco (USA) Système de Détection d’Intrusion (NIDS)
et d’un Pare-Feu Applicatif (WAF)
Sécurisation de la plateforme de
production Mise en production des solutions
Collaboration avec l’équipe chargée de Analyse de la densité et du contenu
l’exploitation du trafic réseau
Mes attentes Déroulement
Travail sur des sujets de sécurité Estimation des charges de travail
d’entreprise
Définition des métriques d’évaluation
Appréhention de la notion processus
métier Tests et “Proof of Concept”
Augmentation des responsabilités Mise en production
9. Viadeo : History
Creation Evolution
4 Found raising
• 5 millions euros in 2006
• 5 millions euros in 2007
Created in 2004 • 5 millions euros in 2009
Founders : • 24 millions euros in 2012
• Dan Serfaty
• Thierry Lunati Several acquisitions
• Tianji the first professional social
Viadeo is a professional social network
network in China in 2007
• Make easier relations between
companies and potential employees UNYK a 2.0 web platform in 2009
• Share professional relation
Increasing membership
• Manage career
• 8,5 millions of members in 2008
• 25 millions of members in 2009
• 40 millions of members in 2010
10. Viadeo : History
Creation Evolution
4 Found raising
• 5 millions euros in 2006
• 5 millions euros in 2007
Created in 2004 • 5 millions euros in 2009
Founders : • 24 millions euros in 2012
• Dan Serfaty
• Thierry Lunati Several acquisitions
• Tianji the first professional social
Viadeo is a professional social network
network in China in 2007
• Make easier relations between
companies and potential employees UNYK a 2.0 web platform in 2009
• Share professional relation
Increasing membership
• Manage career
• 8,5 millions of members in 2008
• 25 millions of members in 2009
• 40 millions of members in 2010
11. Viadeo : Activity
Network Career
Managing his career is as important as
Users can manage and develop their own his network
professional network
Users can find job opportunities,
Users can establish long term relations receive job offers
Users can recommand each other 47% of HR are using social networks to
find an employee
Business
Companies can be more seen
Users can also find customers or
partners
Businessman are using a lot of social
networks features such as community
groups
12. Viadeo : Activity
Network Career
Managing his career is as important as
Users can manage and develop their own his network
professional network
Users can find job opportunities,
Users can establish long term relations receive job offers
Users can recommand each other 47% of HR are using social networks to
find an employee
Business
Companies can be more seen
Users can also find customers or
partners
Businessman are using a lot of social
networks features such as community
groups
13. Viadeo : Activity
Network Career
Managing his career is as important as
Users can manage and develop their own his network
professional network
Users can find job opportunities,
Users can establish long term relations receive job offers
Users can recommand each other 47% of HR are using social networks to
find an employee
Business
Companies can be more seen
Users can also find customers or
partners
Businessman are using a lot of social
networks features such as community
groups
15. 3 projets distincts
NIDS WAF
Objectif : Détecter les tentatives Objectif : Bloquer toute tentative
d’attaques sur le site web d’attaques sur le site web
Moyen : Comparaison des paquets IP à Moyen : Comparaison des paquets IP
des schémas d’attaques pré-défini à des schémas d’attaques pré-défini
Contrainte : Ne pas perturber la Contrainte : Installation sur les serveurs
production web
Charge estimée : 55 jours Charge estimé : 55 jours
Analyse du réseau
Objectif : Analyser la densité et le
contenu du trafic de l’entreprise
Moyen : Utilisation d’un outil de Deep
Packet Inspection
Charge estimée : 20 jours
16. 3 projets distincts
NIDS WAF
Objectif : Détecter les tentatives Objectif : Bloquer toute tentative
d’attaques sur le site web d’attaques sur le site web
Moyen : Comparaison des paquets IP à Moyen : Comparaison des paquets IP
des schémas d’attaques pré-défini à des schémas d’attaques pré-défini
Contrainte : Ne pas perturber la Contrainte : Installation sur les serveurs
production web
Charge estimée : 55 jours Charge estimé : 55 jours
Analyse du réseau
Objectif : Analyser la densité et le
contenu du trafic de l’entreprise
Moyen : Utilisation d’un outil de Deep
Packet Inspection
Charge estimée : 20 jours
17. 3 projets distincts
NIDS WAF
Objectif : Détecter les tentatives Objectif : Bloquer toute tentative
d’attaques sur le site web d’attaques sur le site web
Moyen : Comparaison des paquets IP à Moyen : Comparaison des paquets IP
des schémas d’attaques pré-défini à des schémas d’attaques pré-défini
Contrainte : Ne pas perturber la Contrainte : Installation sur les serveurs
production web
Charge estimée : 55 jours Charge estimé : 55 jours
Analyse du réseau
Objectif : Analyser la densité et le
contenu du trafic de l’entreprise
Moyen : Utilisation d’un outil de Deep
Packet Inspection
Charge estimée : 20 jours
18. NIDS : Choix possibles
Snort Suricata
IDS historique (15 ans) IDS très jeune (2 ans)
Très bonne réputation Bonne réputation
Très bien documenté Peu documenté
Multi-threading non géré Gestion du multi-threading
19. NIDS : Choix possibles
Snort Suricata
IDS historique (15 ans) IDS très jeune (2 ans)
Très bonne réputation Bonne réputation
Très bien documenté Peu documenté
Multi-threading non géré Gestion du multi-threading
20. NIDS : Modules Complémentaires
Monitoring Règles de détection
Alertes enregistrées dans des fichiers
sous un format spécifique (unified2) Attaques détectées grâce à des
Utilisation d’un logiciel pour archiver schémas pré-définis
ces alertes dans une base de données Utilisation d’un gestionnaire de règles
sous un format lisible : Barnyard2 afin de mettre à jour, désactiver ou
Utilisation d’interfaces de monitoring modifier les règles existantes et d’en
pour visionner ces alertes créer de nouvelles
• BASE • Oinkmaster
• Snorby
• Sguil • Pulledpork
• Squert
21. NIDS : Modules Complémentaires
Monitoring Règles de détection
Alertes enregistrées dans des fichiers
sous un format spécifique (unified2) Attaques détectées grâce à des
Utilisation d’un logiciel pour archiver schémas pré-définis
ces alertes dans une base de données Utilisation d’un gestionnaire de règles
sous un format lisible : Barnyard2 afin de mettre à jour, désactiver ou
Utilisation d’interfaces de monitoring modifier les règles existantes et d’en
pour visionner ces alertes créer de nouvelles
• BASE • Oinkmaster
• Snorby
• Sguil • Pulledpork
• Squert
23. NIDS : Métriques d’évaluation
Performances Maintenance et utilisation
Taux de détection Mise à jour régulière par l’éditeur
Nombre de faux positifs Facilité d’application des mises à jours
Capacité de traitement Consommation de ressources
Interface de monitoring
Temps d’affichages des nouvelles
alertes
Classification des alertes selon leur
criticité
Gestion des alertes via la Base de
données (BDD)
24. NIDS : Métriques d’évaluation
Performances Maintenance et utilisation
Taux de détection Mise à jour régulière par l’éditeur
Nombre de faux positifs Facilité d’application des mises à jours
Capacité de traitement Consommation de ressources
Interface de monitoring
Temps d’affichages des nouvelles
alertes
Classification des alertes selon leur
criticité
Gestion des alertes via la Base de
données (BDD)
25. NIDS : Métriques d’évaluation
Performances Maintenance et utilisation
Taux de détection Mise à jour régulière par l’éditeur
Nombre de faux positifs Facilité d’application des mises à jours
Capacité de traitement Consommation de ressources
Interface de monitoring
Temps d’affichages des nouvelles
alertes
Classification des alertes selon leur
criticité
Gestion des alertes via la Base de
données (BDD)
26. NIDS : Tests et Proof of concept
Senseur Monitoring
Deux phases de test :
• Machines virtuelles Test des NIDS avec BASE, Snorby et
• Serveur de test Squert
Taux de détection : Suricata supérieur BASE : Gestion des alertes via la BDD
Mise à jour des alertes toutes les 5
Nombre de faux positifs : Peu significatif secondes
Capacité de traitement : Equivalente Snorby : Système de classification
présent
Ressources : Consommation de Snort Labelisation et ajout de commentaires
élevée sur les alertes
Les mises à jour des systèmes par les Squert : Système de classification
éditeurs sont régulières présent
27. NIDS : Tests et Proof of concept
Senseur Monitoring
Deux phases de test :
Test des NIDS avec BASE, Snorby et
Machines virtuelles Squert
Serveur de test BASE : Gestion des alertes via la BDD
Taux de détection : Suricata supérieur Mise à jour des alertes toutes les 5
secondes
Nombre de faux positifs : Peu significatif
Snorby : Système de classification
Capacité de traitement : Equivalente présent
Labelisation et ajout de commentaires
Ressources : Consommation de Snort sur les alertes
élevée
Squert : Système de classification
Les mises à jour des systèmes par les présent
éditeurs sont régulières
28. NIDS : Choix final
Monitoring Règles de détection
Squert ne permet qu’une liste des alertes
Oinkmaster est très ancien et n’est plus
sans aucune autre fonctionnalité
mis à jour.
Ni BASE ni Snorby ne remplissent
Pulledpork est toujours maintenu et plus
entièrement les critères attendus mais sont
facile à utiliser
complémentaires
Utilisation de Pulledpork
Utilisation de BASE et Snorby
Senseur
Suricata semble être plus performant
que Snort
Installation et procédures de mises à
jour laborieuses
Utilisation de Security Onion
29. NIDS : Métriques d’évaluation
Monitoring Règles de détection
Squert ne permet qu’une liste des alertes
Oinkmaster est très ancien et n’est plus
sans aucune autre fonctionnalité
mis à jour.
Ni BASE ni Snorby ne remplissent
Pulledpork est toujours maintenu et plus
entièrement les critères attendus mais sont
facile à utiliser
complémentaires
Utilisation de Pulledpork
Utilisation de BASE et Snorby
Senseur
Suricata semble être plus performant
que Snort
Installation et procédures de mises à
jour laborieuses
Utilisation de Security Onion
30. NIDS : Métriques d’évaluation
Monitoring Règles de détection
Squert ne permet qu’une liste des alertes
Oinkmaster est très ancien et n’est plus
sans aucune autre fonctionnalité
mis à jour.
Ni BASE ni Snorby ne remplissent
Pulledpork est toujours maintenu et plus
entièrement les critères attendus mais sont
facile à utiliser
complémentaires
Utilisation de Pulledpork
Utilisation de BASE et Snorby
Senseur
Suricata semble être plus performant
que Snort
Installation et procédures de mises à
jour laborieuses
Utilisation de Security Onion
32. Attaques détectées
Attaque dite par “Bruteforce” sur les accès SSH d’un serveur
Origine de l’attaque : Une règle du firewall, mal configurée. Au lieu de bloquer les flux
réseau, ayant pour port de destination le port 22, elle les redirige vers le serveur ciblé par
l’attaque
Solution : Modifier la règle, pour que le firewall retrouve un comportement normal.
Tentatives d’attaques par injections SQL et exploitations d’éventuelles failles XSS
Le nombre de requêtes très important entraina une surcharge des serveurs. Risque
d’indisponibilité du site Viadeo
Solution : Supression du compte et mise de l’IP de l’attaquant sur liste noire.
Configuration des serveurs web afin de refuser toute requêtes venant de cette adresse.
33. Attaques détectées
Attaque dite par “Bruteforce” sur les accès SSH d’un serveur
Origine de l’attaque : Une règle du firewall, mal configurée. Au lieu de bloquer les flux
réseau, ayant pour port de destination le port 22, elle les redirige vers le serveur ciblé par
l’attaque
Solution : Modifier la règle, pour que le firewall retrouve un comportement normal.
Tentatives d’attaques par injections SQL et exploitations d’éventuelles failles XSS
Le nombre de requêtes très important entraina une surcharge des serveurs. Risque
d’indisponibilité du site Viadeo
Solution : Supression du compte et mise de l’IP de l’attaquant sur liste noire.
Configuration des serveurs web afin de refuser toute requêtes venant de cette adresse.
34. WAF : Choix Possibles
Modsecurity
License gratuite
Module d’apache
Règles de détection non fournies
dotDefender
License payante
Logiciel indépendant
Règles de détection fournies
35. WAF : Choix possibles
Modsecurity
License gratuite
Module d’apache
Règles de détection non fournies
dotDefender
License payante
Logiciel indépendant
Règles de détection fournies
36. WAF : Métriques d’évaluation
Performances
Taux de détection
Nombre de faux positifs
Capacité de traitement
Maintenance et utilisation
Mise à jour régulière par l’éditeur
Facilité d’application des mises à jours
Intégration dans la plateforme de
production
37. WAF : Métriques d’évaluation
Performances
Taux de détection
Nombre de faux positifs
Capacité de traitement
Maintenance et utilisation
Mise à jour régulière par l’éditeur
Facilité d’application des mises à jours
Intégration dans la plateforme de
production
38. WAF : Tests et Proof of concept
ModSecurity dotDefender
Une interface de monitoring doit être
installée manuellement Interface de monitoring fournie
Taux de détection : Très bon Taux de détection : Bon
Mises à jour régulières Installation rapide et automatisée
Installation longue et pouvant Application des mises à jours
difficilement être automatisée automatiques
Application des mises à jours doivent In terface de monitoring simple et ne
être effectuées manuellement permet qu’une administration et
Interface de monitoring permet une configuration limitée
configuration et administration à distance
très complète
39. NIDS : Tests et Proof of concept
ModSecurity dotDefender
Une interface de monitoring doit être
installée manuellement
Interface de monitoring fournie
Taux de détection : Très bon
Taux de détection : Bon
Mises à jour régulières
Installation rapide et automatisée
Installation longue et pouvant
difficilement être automatisée Application des mises à jours
automatiques
Application des mises à jours doivent
être effectuées manuellement In terface de monitoring simple et ne
permet qu’une administration et
Interface de monitoring permet une configuration limitée
configuration et administration à distance
très complète
41. Conclusion
Le NIDS est fonctionnel et en utilisation Les différentes solutions de WAF sont à
l’études
Quelques défauts de stabilité existent
Le choix de la solution se fera dans les
En attente de mises à jour majeures jours qui viennent
Le projet d’analyse du réseau de Le planning original très bouleversé
l’entreprise n’est pas encore commencé
Les projets seront néanmoins fini à la fin
Début imminant du stage
42. NIDS : Stabilisation de la solution
Le NIDS est fonctionnel et en utilisation Les différentes solutions de WAF sont à
l’études
Quelques défauts de stabilité existent
Le choix de la solution se fera dans les
En attente de mises à jour majeures jours qui viennent
Le projet d’analyse du réseau de Le planning original très bouleversé
l’entreprise n’est pas encore commencé
Les projets seront néanmoins fini à la fin
Début imminant du stage
43. NIDS : Stabilisation de la solution
Le NIDS est fonctionnel et en utilisation Les différentes solutions de WAF sont à
l’études
Quelques défauts de stabilité existent
Le choix de la solution se fera dans les
En attente de mises à jour majeures jours qui viennent
Le projet d’analyse du réseau de Le planning original très bouleversé
l’entreprise n’est pas encore commencé
Les projets seront néanmoins fini à la fin
Début imminant du stage
44. NIDS : Stabilisation de la solution
Le NIDS est fonctionnel et en utilisation Les différentes solutions de WAF sont à
l’études
Quelques défauts de stabilité existent
Le choix de la solution se fera dans les
En attente de mises à jour majeures jours qui viennent
Le projet d’analyse du réseau de Le planning original très bouleversé
l’entreprise n’est pas encore commencé
Les projets seront néanmoins fini à la fin
Début imminant du stage
45. Remerciement
Maitre de stage : Olivier Malki
Superviseur : Boris Hajduk