Mise en place d'une solution Open source pour la virtualisation des analyses de vulnérabilités et la détection des tentatives d'intrusion basées sur les Honeypots

1. Projet de fin d’études
Option
SSI
Mise en place d’une solution Open-source pour la
virtualisation de l’analyse des vulnérabilités et la détection
des tentatives d’intrusion basée sur les Honeypots
Présenté par : Sous la direction de :
• M.EL MORABIT Ghassan • M. KOBBANE Abdellatif (Encadrant ENSIAS)
• M. REBLA Ilyass • M. SBAA Ahmed (Responsable de Sécurité au groupe OCP)
• M. BENSAID Alaa (Responsable de Sécurité au groupe OCP)
Membres du jury :
• M. EL KETTANI Mohamed Dafir (Professeur à l’ENSIAS)
01/12/2011 • M. HABBANI Ahmed (Professeur à l’ENSIAS) 1

2. Sommaire
1 • Contexte général
• Analyse des risques et tentatives
2
d’intrusion
3 • Virtualisation et sécurité
4 • IDS & Honeypots
6 • Architecture de la plateforme
7 • Tests et validation
8 • Conclusion et perspectives
2

3. INTRODUCTION
01/12/2011 3

4. Tendance des sociétés
Ouverture au monde extérieur
Beaucoup de données à gérer
Menaces
diversifiées
01/12/2011 4

5. 100%
90%
Données cibles
80% Données de carte de
crédit 85%
70% Inconnues 18%
Données sensibles 8%
Inclusion à distance de fichiers 2%
60% Accès physique 2%
Secrets de vente 3%
Attaques internes 2%
50%
Gestion du contenu 2%
40% Données
SQL Injection 6%
d'authentification 2%
Trojans d'emails 6%
30%
Social engineering 8% 2%
Données clients
20% Application d'accès à distance 55%
10%
0%
Origines des attaques
01/12/2011
SpiderLabs (Rapport Trustwave Global Security 2011) 5

6. Echantillon :
6500 entreprises
• Petites : 500
• Moyennes : 1000
• Grandes : 5000
Pertes moyennes :
Symantec : State of Entreprise Security 2010
01/12/2011 6

7. CONTEXTE GÉNÉRAL
01/12/2011 7

8. Parmi ses missions:
 Extraction et commercialisation du Phosphate
 Transformer le phosphate en produits dérivés
Premier exportateur du phosphate, le groupe OCP:
 Contribue au PIB avec une part de 2 à 3 %, alors que ses
exportationsCréée en août 1920 la valeur des
représentent 18 à 20 % de
exportations marocaines.
Transformé à un groupe nommé
 Détient ¾ des réserves mondiales de phosphate
le groupe OCP à partir de 1975
8

9. 01/12/2011 9

10. Sujet
Solution Open-source
Objectifs
Détection d’intrusions
A. Virtualisation de la procédure de création des pots de miel
B. Permettre à tout administrateur ou ingénieur système de
Honeypot
créer et configurer son propre réseau de pots de miel et de
sondes IDS
1. Tester les produits sécurité sur le réseau virtuel
2. Déployer un système de détection de spam
3. Déployer un système de détection de vers et
patch automatique des machines infectées
4. …
01/12/2011 10

11. ANALYSE DES VULNÉRABILITÉS
& TENTATIVE D’INTRUSION
01/12/2011 11

12. La démarche procédée pour une tentative d’intrusion :
Recherche des
Vulnérabilités
• Obtenir l’accès
• Scan • Identification des
• Evaluation des
• Prise d’empreinte versions
privilèges
• Hacking • Analyse de la
• Attaque par
•… surface d’attaque
rebond sur d’autres
•…
systèmes
Prise Exploitation des
D’information failles
01/12/2011 12

13. Exemples de risques :
• Modification involontaire de l'information
• Accès volontaire ou involontaire non autorisé
• Vol ou perte d'informations
• Indisponibilité de l'information
Mise place d’une solution pour l’analyse des
vulnérabilités et de prévention des tentatives
d’intrusions
01/12/2011 13

14. VIRTUALISATION &
SÉCURITÉ
01/12/2011 14

15. Virtualisation :
Applications Serveurs OS
Techniques matérielles & logicielles
Serveurs
Virtuels
Machine
01/12/2011 physique 15

16. Partage du matériel d'une machine par plusieurs systèmes
d’exploitation indépendants (isolés, encapsulés)
 Répondre aux contraintes de sécurité (séparation des
services, isolation)
 Répondre aux « nouveaux » besoins de maintenance
(administration, déploiement)
 Répondre aux besoins de
tests, expérimentations, délégation
Augmentation de la stabilité et une sécurité accrue
01/12/2011 16

17. IDS & HONEYPOTS
01/12/2011 17

18. Contrôler l'accès aux
données confidentielles
Prévenir les fuites de
Réagir si des données
données sensibles vers
semblent suspectes
internet
IDS
Surveillance et
Surveiller les données qui
traçabilité des données
transitent sur ce système
sensibles
01/12/2011 18

19. Les IDS à signature
• Les signatures d’attaques connues sont stockées
• Chaque événement est comparé au contenu de cette base
• Si correspondance l’alerte est levée
Les IDS comportementaux
• Chaque flux et son comportement habituel doivent être
déclarés
• La détection d’anomalie
01/12/2011 19

20. IntruShield
Commerciaux
RealSecure
IDS
Bro
Open-source Prelude
Snort
01/12/2011 20

21. Avantages Inconvénients
01/12/2011 21

22. •Attaques Internes
•Attaques sophistiquées
•Trojans dans le parc
•Peu de logs
•Attaques frontales
•Trop de logs
01/12/2011 22

23. Ressource informatique dont la valeur
réside en son utilisation illicite
Volontairement vulnérable
Aucune valeur productive
Toute interaction avec cette
ressource est suspecte
01/12/2011 23

24. !
01/12/2011 24

25. KFSensor
Commerciaux
Specter
BOF
Honeypot
LaBrea Tarpit
Nepenthes
Open-source
Omnivora
Tiny Honeypot
Honeyd
01/12/2011 25

26. Avantages Inconvénients
01/12/2011 26

27. ARCHITECTURE DE
L’APPLICATION
01/12/2011 27

28. honeyd.conf snort.conf
01/12/2011 28

29. 01/12/2011 29

30. Serveur Apache2 Serveur de données
Base de Base de
données données
User/PW Snort
Fichiers de
configurations
01/12/2011 Utilisateur 30

31. 01/12/2011 31

32. Node • Définir et créer des machines
Maker virtuelles
Net • Définir avec ces nœuds une
Maker topologie réseau compliquée
• Définir une politique de
Closure déploiement et de journalisation
01/12/2011 32

33. • 600 OS différents
 Ordinateur
 Routeur, switches, pare-
feux
 Imprimante, sismographe,…
• Comportements pour TCP, UDP,…
 Open
 Blocked
 Tarpit
 Close
• Temps d’activité
• Probabilité de panne
• UID & GID
• Services Simulés : FTP, SMTP, …
01/12/2011 33

34. • Définir le point d’entrée du
réseau
• Définir le sous-réseau
contrôlé
• Ajouter une passerelle
 Son sous-réseau
 Latence du lien
 Taux de perte
 Bande passante
• Ajouter d’autres
passerelles
01/12/2011 34

35. • S’identifier à nouveau
• Choisir la politique de déploiement
 Avec Snort
 Sans Snort
• Choisir la politique de journalisation
 Database
 Cvs
 Tcpdump
 …
• Définir pour Snort le réseau à surveiller
01/12/2011 35

36. Tiny Remote • Scanner un ensemble de
PortScanner port d’une adresse IP
• Construire des
Nmap Front-
commandes Nmap
End compliquées
01/12/2011 36

37. • Scanneur de ports artisanal
• 60 ports les plus utilisés
• Trois états pour un port
 Ouvert
 Fermé
 Filtré
01/12/2011 37

38. Commande Nmap :
efficacité = f(complexité)
Scanner les ports
Offrir front-end
intuitive Identifier
les
Nmap
services
Lister la totalité
des commandes Détecter les OS
Formuler des
commandes
correctes Open Source
01/12/2011 38

39. Open Source
Lire la DB de Snort
ACID Project Visualiser les alertes
Statistiques du trafic
Politique de
déploiement = Avec
Snort
Politique de
journalisation =
database
01/12/2011 39

40. TESTS & VALIDATION
01/12/2011 40

41. Réseau cible
Ports ouverts
80 & 22
23 & 22
HoneyMaker est Fonctionnel
01/12/2011 41

42. Tiny Remote PortScanner est Fonctionnel
01/12/2011 42

43. • Plus de templates individuelles =miel sans Mb/s
• Simuler une de pots de Moins de paquets
Gérer un grand nombrebande passante de 30altérer la réussis
• Plus de profondeur = Moins de paquets réussis
• Plus
performance de profondeur = Plus de taux de perte
01/12/2011 43

44. Resultat du test Nmap contre 600 OS virtuels
Identifié exactement
Identifié approximativement
Non identifié
01/12/2011 44

45. CONCLUSION & PERSPECTIVES
01/12/2011 45

46. • Mission :
• Apprendre le concept de nouveaux outils
• Configurer, tester et évaluer plusieurs logiciels
• Réaliser une application virtuelle à double volet pour la
sécurité et le test
• Perspectives :
• Effectuer des tests avec des outils ( antivirus,….)
• Déploiement de la solution
01/12/2011 46

47. MERCI POUR VOTRE
ATTENTION
01/12/2011 47

48. Projet de fin d’études
Option
SSI
Mise en place d’une solution Open-source pour la
virtualisation de l’analyse des vulnérabilités et la détection
des tentatives d’intrusion basée sur les Honeypots
Présenté par : Sous la direction de :
• M.EL MORABIT Ghassan • M. KOBBANE Abdellatif (Encadrant ENSIAS)
• M. REBLA Ilyass • M. SBAA Ahmed (Responsable de Sécurité au groupe OCP)
• M. BENSAID Alaa (Responsable de Sécurité au groupe OCP)
Membres du jury :
• M. EL KETTANI Mohamed Dafir (Professeur à l’ENSIAS)
01/12/2011 • M. HABBANI Ahmed (Professeur à l’ENSIAS) 48