Your SlideShare is downloading. ×
0
Soutenance de fin d’étude promotion srs 2012
Soutenance de fin d’étude promotion srs 2012
Soutenance de fin d’étude promotion srs 2012
Soutenance de fin d’étude promotion srs 2012
Soutenance de fin d’étude promotion srs 2012
Soutenance de fin d’étude promotion srs 2012
Soutenance de fin d’étude promotion srs 2012
Soutenance de fin d’étude promotion srs 2012
Soutenance de fin d’étude promotion srs 2012
Soutenance de fin d’étude promotion srs 2012
Soutenance de fin d’étude promotion srs 2012
Soutenance de fin d’étude promotion srs 2012
Soutenance de fin d’étude promotion srs 2012
Soutenance de fin d’étude promotion srs 2012
Soutenance de fin d’étude promotion srs 2012
Soutenance de fin d’étude promotion srs 2012
Soutenance de fin d’étude promotion srs 2012
Soutenance de fin d’étude promotion srs 2012
Soutenance de fin d’étude promotion srs 2012
Soutenance de fin d’étude promotion srs 2012
Soutenance de fin d’étude promotion srs 2012
Soutenance de fin d’étude promotion srs 2012
Soutenance de fin d’étude promotion srs 2012
Soutenance de fin d’étude promotion srs 2012
Soutenance de fin d’étude promotion srs 2012
Soutenance de fin d’étude promotion srs 2012
Soutenance de fin d’étude promotion srs 2012
Soutenance de fin d’étude promotion srs 2012
Soutenance de fin d’étude promotion srs 2012
Soutenance de fin d’étude promotion srs 2012
Soutenance de fin d’étude promotion srs 2012
Soutenance de fin d’étude promotion srs 2012
Soutenance de fin d’étude promotion srs 2012
Soutenance de fin d’étude promotion srs 2012
Soutenance de fin d’étude promotion srs 2012
Soutenance de fin d’étude promotion srs 2012
Soutenance de fin d’étude promotion srs 2012
Soutenance de fin d’étude promotion srs 2012
Soutenance de fin d’étude promotion srs 2012
Soutenance de fin d’étude promotion srs 2012
Soutenance de fin d’étude promotion srs 2012
Soutenance de fin d’étude promotion srs 2012
Soutenance de fin d’étude promotion srs 2012
Soutenance de fin d’étude promotion srs 2012
Soutenance de fin d’étude promotion srs 2012
Soutenance de fin d’étude promotion srs 2012
Soutenance de fin d’étude promotion srs 2012
Soutenance de fin d’étude promotion srs 2012
Soutenance de fin d’étude promotion srs 2012
Soutenance de fin d’étude promotion srs 2012
Soutenance de fin d’étude promotion srs 2012
Soutenance de fin d’étude promotion srs 2012
Soutenance de fin d’étude promotion srs 2012
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Soutenance de fin d’étude promotion srs 2012

879

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
879
On Slideshare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
11
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. Soutenance de fin d’étude Promotion SRS 2012 Réflexion et mise en place d’une solution de surveillance et sécurisation de la plateforme de production Jean-Eric Djenderedjian
  • 2. Plan Introduction Présentation de Viadeo Histoire Secteur d’activité Ma mission Présentation des projets Projet NIDS Projet WAF Conclusion
  • 3. Introduction
  • 4. Introduction  Contexte  Sujet de stage Stage de fin d’étude du cursus ingénieur  Recherche, évaluation et choix d’un à San Francisco (USA) Système de Détection d’Intrusion (NIDS) et d’un Pare-Feu Applicatif (WAF) Sécurisation de la plateforme deproduction  Mise en production des solutions Collaboration avec l’équipe chargée de  Analyse de la densité et du contenul’exploitation du trafic réseau  Attentes personnelles  Déroulement Travailler sur des sujets de sécurité  Estimation des charges de travaild’entreprise  Définition des métriques d’évaluation Appréhender la notion processusmétier  Tests et “Proof of Concept” Monter en responsabilités  Mise en production
  • 5. Introduction  Contexte  Sujet de stage Stage de fin d’étude du cursus ingénieur  Recherche, évaluation et choix d’un à San Francisco (USA) Système de Détection d’Intrusion (NIDS) et d’un Pare-Feu Applicatif (WAF) Sécurisation de la plateforme deproduction  Mise en production des solutions Collaboration avec l’équipe chargée de  Analyse de la densité et du contenul’exploitation du trafic réseau  Attentes  Déroulement Travailler sur des sujets de sécurité  Estimation des charges de travaild’entreprise  Définition des métriques d’évaluation Appréhender la notion processusmétier  Tests et “Proof of Concept” Monter en responsabilités  Mise en production
  • 6. Introduction  Contexte  Sujet de stage Stage de fin d’étude du cursus ingénieur  Recherche, évaluation et choix d’un à San Francisco (USA) Système de Détection d’Intrusion (NIDS) et d’un Pare-Feu Applicatif (WAF) Sécurisation de la plateforme deproduction  Mise en production des solutions Collaboration avec l’équipe chargée de  Analyse de la densité et du contenul’exploitation du trafic réseau  Mes attentes  Déroulement Travailler sur des sujets de sécurité  Estimation des charges de travaild’entreprise  Définition des métriques d’évaluation Appréhender la notion processus métier  Tests et “Proof of Concept” Monter en responsabilités  Mise en production
  • 7. Introduction  Contexte  Sujet de stage Stage de fin d’étude du cursus ingénieur  Recherche, évaluation et choix d’un à San Francisco (USA) Système de Détection d’Intrusion (NIDS) et d’un Pare-Feu Applicatif (WAF) Sécurisation de la plateforme deproduction  Mise en production des solutions Collaboration avec l’équipe chargée de  Analyse de la densité et du contenul’exploitation du trafic réseau  Mes attentes  Déroulement Travailler sur des sujets de sécurité  Estimation des charges de travaild’entreprise  Définition des métriques d’évaluation Appréhender la notion processusmétier  Tests et “Proof of Concept” Monter en responsabilités  Mise en production
  • 8. Présentation de Viadeo
  • 9. Viadeo : History Creation Evolution  3 Found raising since its creation • 5 millions euros in 2006 • 5 millions euros in 2008 Created in 2004 • 24 millions euros in 2012 Founders : • Dan Serfaty  Several acquisitions • Thierry Lunati • Tianji the first professional social Viadeo is a professional social network network in China in 2007 • Make easier relations between  UNYK a 2.0 web platform in 2009 companies and potential employees • Share professional relation  Increasing notoriety • Manage career • 8,5 millions of members in 2008 • 25 millions of members in 2009 • 40 millions of memvers in 2010
  • 10. Viadeo : History Creation Evolution  3 Found raising since its creation • 5 millions euros in 2006 • 5 millions euros in 2008 Created in 2004 • 24 millions euros in 2012 Founders : • Dan Serfaty  Several acquisitions • Thierry Lunati • Tianji the first professional social Viadeo is a professional social network network in China in 2007 • Make easier relations between  UNYK a 2.0 web platform in 2009 companies and potential employees • Share professional relation  Increasing notoriety • Manage career • 8,5 millions of members in 2008 • 25 millions of members in 2009 • 40 millions of memvers in 2010
  • 11. Viadeo : Activity  Network  Career  Managing his career is as important as Users can manage and develop their own his networkprofessional network  Users can find job opportunities, Users can establish long term relations receive job offers Users can recommand each other  47% of HR are using social networks to find an employee  Business  Companies can be more seen  Users can also find customers or partners  Businessman are using a lot of social networks features such as community groups
  • 12. Viadeo : Activity  Network  Career  Managing his career is as important as Users can manage and develop their own his networkprofessional network  Users can find job opportunities, Users can establish long term relations receive job offers Users can recommand each other  47% of HR are using social networks to find an employee  Business  Companies can be more seen  Users can also find customers or partners  Businessman are using a lot of social networks features such as community groups
  • 13. Viadeo : Activity  Network  Career  Managing his career is as important as Users can manage and develop their own his networkprofessional network  Users can find job opportunities, Users can establish long term relations receive job offers Users can recommand each other  47% of HR are using social networks to find an employee  Business  Companies can be more seen  Users can also find customers or partners  Businessman are using a lot of social networks features such as community groups
  • 14. Ma Mission
  • 15. 3 projets distincts  NIDS  WAF Objectif : Détecter les tentatives  Objectif : Bloquer toute tentatived’attaques sur le site web d’attaques sur le site web Moyen : Comparaison des paquets IP à  Moyen : Comparaison des paquets IPdes schémas d’attaques pré-défini à des schémas d’attaques pré-défini Contrainte : Ne pas perturber la  Contrainte : Installation sur les serveursproduction web Charge estimée : 55 jours  Charge estimé : 55 jours  Analyse du réseau  Objectif : Analyser la densité et le contenu du trafic de l’entreprise  Moyen : Utilisation d’un outil de Deep Packet Inspection  Charge estimée : 20 jours
  • 16. 3 projets distincts  NIDS  WAF Objectif : Détecter les tentatives  Objectif : Bloquer toute tentatived’attaques sur le site web d’attaques sur le site web Moyen : Comparaison des paquets IP à  Moyen : Comparaison des paquets IPdes schémas d’attaques pré-défini à des schémas d’attaques pré-défini Contrainte : Ne pas perturber la  Contrainte : Installation sur les serveursproduction web Charge estimée : 55 jours  Charge estimé : 55 jours  Analyse du réseau  Objectif : Analyser la densité et le contenu du trafic de l’entreprise  Moyen : Utilisation d’un outil de Deep Packet Inspection  Charge estimée : 20 jours
  • 17. 3 projets distincts  NIDS  WAF Objectif : Détecter les tentatives  Objectif : Bloquer toute tentatived’attaques sur le site web d’attaques sur le site web Moyen : Comparaison des paquets IP à  Moyen : Comparaison des paquets IPdes schémas d’attaques pré-défini à des schémas d’attaques pré-défini Contrainte : Ne pas perturber la  Contrainte : Installation sur les serveursproduction web Charge estimée : 55 jours  Charge estimé : 55 jours  Analyse du réseau  Objectif : Analyser la densité et le contenu du trafic de l’entreprise  Moyen : Utilisation d’un outil de Deep Packet Inspection  Charge estimée : 20 jours
  • 18. NIDS : Choix possibles Snort Suricata IDS historique (15 ans)  IDS très jeune (2 ans) Très bonne réputation  Bonne réputation Très bien documenté  Peu documenté Multi-threading non géré  Gestion du multi-threading
  • 19. NIDS : Choix possibles Snort Suricata IDS historique (15 ans)  IDS très jeune (2 ans) Très bonne réputation  Bonne réputation Très bien documenté  Peu documenté Multi-threading non géré  Gestion du multi-threading
  • 20. NIDS : Modules Complémentaires Monitoring Règles de détection Alertes enregistrées dans des fichierssous un format spécifique (unified2)  Attaques détectées grâce à des Utilisation d’un logiciel pour archiver schémas pré-définisces alertes dans une base de données  Utilisation d’un gestionnaire de règlessous un format lisible : Barnyard2 afin de mettre à jour, désactiver ou Utilisation d’interfaces de monitoring modifier les règles existantes et d’enpour visionner ces alertes créer de nouvelles • BASE • Oinkmaster • Snorby • Sguil • Pulledpork • Squert
  • 21. NIDS : Modules Complémentaires Monitoring Règles de détection Alertes enregistrées dans des fichierssous un format spécifique (unified2)  Attaques détectées grâce à des Utilisation d’un logiciel pour archiver schémas pré-définisces alertes dans une base de données  Utilisation d’un gestionnaire de règlessous un format lisible : Barnyard2 afin de mettre à jour, désactiver ou Utilisation d’interfaces de monitoring modifier les règles existantes et d’enpour visionner ces alertes créer de nouvelles • BASE • Oinkmaster • Snorby • Sguil • Pulledpork • Squert
  • 22. NIDS : Architecture de la solution
  • 23. NIDS : Métriques d’évaluation Performances Maintenance et utilisation Taux de détection  Mise à jour régulière par l’éditeur Nombre de faux positifs  Facilité d’application des mises à jours Capacité de traitement  Consommation de ressources Interface de monitoring  Temps d’affichages des nouvelles alertes  Classification des alertes selon leur criticité  Gestion des alertes via la Base de données (BDD)
  • 24. NIDS : Métriques d’évaluation Performances Maintenance et utilisation Taux de détection  Mise à jour régulière par l’éditeur Nombre de faux positifs  Facilité d’application des mises à jours Capacité de traitement  Consommation de ressources Interface de monitoring  Temps d’affichages des nouvelles alertes  Classification des alertes selon leur criticité  Gestion des alertes via la Base de données (BDD)
  • 25. NIDS : Métriques d’évaluation Performances Maintenance et utilisation Taux de détection  Mise à jour régulière par l’éditeur Nombre de faux positifs  Facilité d’application des mises à jours Capacité de traitement  Consommation de ressources Interface de monitoring  Temps d’affichages des nouvelles alertes  Classification des alertes selon leur criticité  Gestion des alertes via la Base de données (BDD)
  • 26. NIDS : Tests et Proof of concept Senseur Monitoring Deux phases de test : • Machines virtuelles  Test des NIDS avec BASE, Snorby et • Serveur de test Squert Taux de détection : Suricata supérieur  BASE : Gestion des alertes via la BDD Mise à jour des alertes toutes les 5 Nombre de faux positifs : Peu significatif secondes Capacité de traitement : Equivalente  Snorby : Système de classification présent Ressources : Consommation de Snort Labelisation et ajout de commentairesélevée sur les alertes Les mises à jour des systèmes par les  Squert : Système de classificationéditeurs sont régulières présent
  • 27. NIDS : Tests et Proof of concept Senseur Monitoring Deux phases de test :  Test des NIDS avec BASE, Snorby et Machines virtuelles Squert Serveur de test  BASE : Gestion des alertes via la BDD Taux de détection : Suricata supérieur Mise à jour des alertes toutes les 5 secondes Nombre de faux positifs : Peu significatif  Snorby : Système de classification Capacité de traitement : Equivalente présent Labelisation et ajout de commentaires Ressources : Consommation de Snort sur les alertesélevée  Squert : Système de classification Les mises à jour des systèmes par les présentéditeurs sont régulières
  • 28. NIDS : Choix final Monitoring Règles de détection Squert ne permet qu’une liste des alertes  Oinkmaster est très ancien et n’est plussans aucune autre fonctionnalité mis à jour. Ni BASE ni Snorby ne remplissent  Pulledpork est toujours maintenu et plusentièrement les critères attendus mais sont facile à utilisercomplémentaires  Utilisation de Pulledpork Utilisation de BASE et Snorby Senseur  Suricata semble être plus performant que Snort  Installation et procédures de mises à jour laborieuses  Utilisation de Security Onion
  • 29. NIDS : Métriques d’évaluation Monitoring Règles de détection Squert ne permet qu’une liste des alertes  Oinkmaster est très ancien et n’est plussans aucune autre fonctionnalité mis à jour. Ni BASE ni Snorby ne remplissent  Pulledpork est toujours maintenu et plusentièrement les critères attendus mais sont facile à utilisercomplémentaires  Utilisation de Pulledpork Utilisation de BASE et Snorby Senseur  Suricata semble être plus performant que Snort  Installation et procédures de mises à jour laborieuses  Utilisation de Security Onion
  • 30. NIDS : Métriques d’évaluation Monitoring Règles de détection Squert ne permet qu’une liste des alertes  Oinkmaster est très ancien et n’est plussans aucune autre fonctionnalité mis à jour. Ni BASE ni Snorby ne remplissent  Pulledpork est toujours maintenu et plusentièrement les critères attendus mais sont facile à utilisercomplémentaires  Utilisation de Pulledpork Utilisation de BASE et Snorby Senseur  Suricata semble être plus performant que Snort  Installation et procédures de mises à jour laborieuses  Utilisation de Security Onion
  • 31. NIDS : Mise en production
  • 32. Attaques détectées Attaque dite par “Bruteforce” sur les accès SSH d’un serveur Origine de l’attaque : Une règle du firewall, mal configurée. Au lieu de bloquer les fluxréseau, ayant pour port de destination le port 22, elle les redirige vers le serveur ciblé parl’attaque Solution : Modifier la règle, pour que le firewall retrouve un comportement normal. Tentatives d’attaques par injections SQL et exploitations d’éventuelles failles XSS Le nombre de requêtes très important entraina une surcharge des serveurs. Risqued’indisponibilité du site Viadeo Solution : Supression du compte et mise de l’IP de l’attaquant sur liste noire.Configuration des serveurs web afin de refuser toute requêtes venant de cette adresse.
  • 33. Attaques détectées Attaque dite par “Bruteforce” sur les accès SSH d’un serveur Origine de l’attaque : Une règle du firewall, mal configurée. Au lieu de bloquer les fluxréseau, ayant pour port de destination le port 22, elle les redirige vers le serveur ciblé parl’attaque Solution : Modifier la règle, pour que le firewall retrouve un comportement normal. Tentatives d’attaques par injections SQL et exploitations d’éventuelles failles XSS Le nombre de requêtes très important entraina une surcharge des serveurs. Risqued’indisponibilité du site Viadeo Solution : Supression du compte et mise de l’IP de l’attaquant sur liste noire.Configuration des serveurs web afin de refuser toute requêtes venant de cette adresse.
  • 34. WAF : Veille technologique Architecture Intrusive Architecture Parallèle Architecture intrusive ou « Reverse proxy »  Architecture parallèle ou “Sonde” Firewall applicatif placé entre le firewall  Firewall applicatif n’est pas placé danset le serveur web l’alignement Firewall-Serveur : limitation de l’impact sur la production Obligation d’avoir un WAF par serveurweb  Le WAF sniffe les paquets IP et peut envoi un message au serveur pour lui Création d’un “Single Point of Failure” dire de ne pas traiter les requêtes(SPOF) dangeureuses Architecture modulaire  Architecture modulaire ou “Intégrée au serveur”  Installation du Firewall applicatif sur le serveur web  Disparition du SPOF  Augmentation du traitement d’informations par le serveur web
  • 35. WAF : Architecture intrusive
  • 36. WAF : Veille technologique Architecture Intrusive Architecture Parallèle Architecture intrusive ou « Reverse proxy »  Architecture parallèle ou “Sonde” Firewall applicatif placé entre le firewall  Firewall applicatif n’est pas placé danset le serveur web l’alignement Firewall-Serveur : limitation de l’impact sur la production Obligation d’avoir un WAF par serveurweb  Le WAF sniffe les paquets IP et peut envoi un message au serveur pour lui Création d’un “Single Point of Failure” dire de ne pas traiter les requêtes(SPOF) dangeureuses Architecture modulaire  Architecture modulaire ou “Intégrée au serveur”  Installation du Firewall applicatif sur le serveur web  Disparition du SPOF  Augmentation du traitement d’informations par le serveur web
  • 37. WAF : Architecture Parallèle
  • 38. WAF : Veille technologique Architecture Intrusive Architecture Parallèle Architecture intrusive ou « Reverse proxy »  Architecture parallèle ou “Sonde” Firewall applicatif placé entre le firewall  Firewall applicatif n’est pas placé danset le serveur web l’alignement Firewall-Serveur : limitation de l’impact sur la production Obligation d’avoir un WAF par serveurweb  Le WAF sniffe les paquets IP et peut envoi un message au serveur pour lui Création d’un “Single Point of Failure” dire de ne pas traiter les requêtes(SPOF) dangeureuses Architecture modulaire  Architecture modulaire ou “Intégrée au serveur”  Installation du Firewall applicatif sur le serveur web  Disparition du SPOF  Augmentation du traitement d’informations par le serveur web
  • 39. WAF : Architecture Parallèle
  • 40. Projet WAF : Veille Technologique WAF : Web Application Firewall Différentes architectures Reverse Proxy Sonde Intégré au serveur Web Différents modes de fonctionnement Négatif Positif
  • 41. WAF : Choix Possibles Modsecurity  License gratuite  Module d’apache  Règles de détection non fournies dotDefender  License payante  Logiciel indépendant  Règles de détection fournies
  • 42. WAF : Choix possibles Modsecurity  License gratuite  Module d’apache  Règles de détection non fournies dotDefender  License payante  Logiciel indépendant  Règles de détection fournies
  • 43. WAF : Métriques d’évaluation Performances  Taux de détection  Nombre de faux positifs  Capacité de traitement Maintenance et utilisation  Mise à jour régulière par l’éditeur  Facilité d’application des mises à jours  Intégration dans la plateforme de production
  • 44. WAF : Métriques d’évaluation Performances  Taux de détection  Nombre de faux positifs  Capacité de traitement Maintenance et utilisation  Mise à jour régulière par l’éditeur  Facilité d’application des mises à jours  Intégration dans la plateforme de production
  • 45. WAF : Tests et Proof of concept ModSecurity dotDefender Une interface de monitoring doit êtreinstallée manuellement  Interface de monitoring fournie Taux de détection : Très bon  Taux de détection : Bon Mises à jour régulières  Installation rapide et automatisée Installation longue et pouvant  Application des mises à joursdifficilement être automatisée automatiques Application des mises à jours doivent  In terface de monitoring simple et neêtre effectuées manuellement permet qu’une administration et Interface de monitoring permet une configuration limitéeconfiguration et administration à distancetrès complète
  • 46. NIDS : Tests et Proof of concept ModSecurity dotDefender Une interface de monitoring doit êtreinstallée manuellement  Interface de monitoring fournie Taux de détection : Très bon  Taux de détection : Bon Mises à jour régulières  Installation rapide et automatisée Installation longue et pouvantdifficilement être automatisée  Application des mises à jours automatiques Application des mises à jours doiventêtre effectuées manuellement  In terface de monitoring simple et ne permet qu’une administration et Interface de monitoring permet une configuration limitéeconfiguration et administration à distancetrès complète
  • 47. Conclusion
  • 48. Conclusion Le NIDS est fonctionnel et en utilisation  Différentes solutions sont à l’études Quelques défauts de stabilité existent  Le choix de la solution se fera dans les En attente de mises à jour majeures jours qui viennent Le projet d’analyse du réseau de  Le planning original très bouleversél’entreprise n’est pas encore commencé  Les projets seront néanmoins fini à la fin Début imminant du stage
  • 49. NIDS : Stabilisation de la solution Le NIDS est fonctionnel et en utilisation  Différentes solutions sont à l’études Quelques défauts de stabilité existent  Le choix de la solution se fera dans les En attente de mises à jour majeures jours qui viennent Le projet d’analyse du réseau de  Le planning original très bouleversél’entreprise n’est pas encore commencé  Les projets seront néanmoins fini à la fin Début imminant du stage
  • 50. NIDS : Stabilisation de la solution Le NIDS est fonctionnel et en utilisation  Différentes solutions sont à l’études Quelques défauts de stabilité existent  Le choix de la solution se fera dans les En attente de mises à jour majeures jours qui viennent Le projet d’analyse du réseau de  Le planning original très bouleversél’entreprise n’est pas encore commencé  Les projets seront néanmoins fini à la fin Début imminant du stage
  • 51. NIDS : Stabilisation de la solution Le NIDS est fonctionnel et en utilisation  Différentes solutions sont à l’études Quelques défauts de stabilité existent  Le choix de la solution se fera dans les En attente de mises à jour majeures jours qui viennent Le projet d’analyse du réseau de  Le planning original très bouleversél’entreprise n’est pas encore commencé  Les projets seront néanmoins fini à la fin Début imminant du stage
  • 52. Remerciement Maitre de stage : Olivier Malki Superviseur : Boris Hajduk
  • 53. Merci de votre attention, à vos questions!

×