Quelles stratégies adopter pour intégrer le Réseau Social au sein de l'Entrep...
Soutenance de fin d’étude promotion srs 2012
1. Soutenance de fin d’étude Promotion SRS 2012
Réflexion et mise en place d’une solution de surveillance et
sécurisation de la plateforme de production
Jean-Eric Djenderedjian
2. Plan
Introduction
Présentation de Viadeo
Histoire
Secteur d’activité
Ma mission
Présentation des projets
Projet NIDS
Projet WAF
Conclusion
4. Introduction
Contexte Sujet de stage
Stage de fin d’étude du cursus ingénieur Recherche, évaluation et choix d’un
à San Francisco (USA) Système de Détection d’Intrusion (NIDS)
et d’un Pare-Feu Applicatif (WAF)
Sécurisation de la plateforme de
production Mise en production des solutions
Collaboration avec l’équipe chargée de Analyse de la densité et du contenu
l’exploitation du trafic réseau
Attentes personnelles Déroulement
Travailler sur des sujets de sécurité Estimation des charges de travail
d’entreprise
Définition des métriques d’évaluation
Appréhender la notion processus
métier Tests et “Proof of Concept”
Monter en responsabilités Mise en production
5. Introduction
Contexte Sujet de stage
Stage de fin d’étude du cursus ingénieur Recherche, évaluation et choix d’un
à San Francisco (USA) Système de Détection d’Intrusion (NIDS) et
d’un Pare-Feu Applicatif (WAF)
Sécurisation de la plateforme de
production Mise en production des solutions
Collaboration avec l’équipe chargée de Analyse de la densité et du contenu
l’exploitation du trafic réseau
Attentes Déroulement
Travailler sur des sujets de sécurité Estimation des charges de travail
d’entreprise
Définition des métriques d’évaluation
Appréhender la notion processus
métier Tests et “Proof of Concept”
Monter en responsabilités Mise en production
6. Introduction
Contexte Sujet de stage
Stage de fin d’étude du cursus ingénieur Recherche, évaluation et choix d’un
à San Francisco (USA) Système de Détection d’Intrusion (NIDS)
et d’un Pare-Feu Applicatif (WAF)
Sécurisation de la plateforme de
production Mise en production des solutions
Collaboration avec l’équipe chargée de Analyse de la densité et du contenu
l’exploitation du trafic réseau
Mes attentes Déroulement
Travailler sur des sujets de sécurité Estimation des charges de travail
d’entreprise Définition des métriques d’évaluation
Appréhender la notion processus métier Tests et “Proof of Concept”
Monter en responsabilités Mise en production
7. Introduction
Contexte Sujet de stage
Stage de fin d’étude du cursus ingénieur Recherche, évaluation et choix d’un
à San Francisco (USA) Système de Détection d’Intrusion (NIDS)
et d’un Pare-Feu Applicatif (WAF)
Sécurisation de la plateforme de
production Mise en production des solutions
Collaboration avec l’équipe chargée de Analyse de la densité et du contenu
l’exploitation du trafic réseau
Mes attentes Déroulement
Travailler sur des sujets de sécurité Estimation des charges de travail
d’entreprise
Définition des métriques d’évaluation
Appréhender la notion processus
métier Tests et “Proof of Concept”
Monter en responsabilités Mise en production
9. Viadeo : History
Creation Evolution
3 Found raising since its creation
• 5 millions euros in 2006
• 5 millions euros in 2008
Created in 2004
• 24 millions euros in 2012
Founders :
• Dan Serfaty Several acquisitions
• Thierry Lunati
• Tianji the first professional social
Viadeo is a professional social network network in China in 2007
• Make easier relations between
UNYK a 2.0 web platform in 2009
companies and potential employees
• Share professional relation Increasing notoriety
• Manage career
• 8,5 millions of members in 2008
• 25 millions of members in 2009
• 40 millions of memvers in 2010
10. Viadeo : History
Creation Evolution
3 Found raising since its creation
• 5 millions euros in 2006
• 5 millions euros in 2008
Created in 2004
• 24 millions euros in 2012
Founders :
• Dan Serfaty Several acquisitions
• Thierry Lunati
• Tianji the first professional social
Viadeo is a professional social network network in China in 2007
• Make easier relations between
UNYK a 2.0 web platform in 2009
companies and potential employees
• Share professional relation Increasing notoriety
• Manage career
• 8,5 millions of members in 2008
• 25 millions of members in 2009
• 40 millions of memvers in 2010
11. Viadeo : Activity
Network Career
Managing his career is as important as
Users can manage and develop their own his network
professional network
Users can find job opportunities,
Users can establish long term relations receive job offers
Users can recommand each other 47% of HR are using social networks to
find an employee
Business
Companies can be more seen
Users can also find customers or
partners
Businessman are using a lot of social
networks features such as community
groups
12. Viadeo : Activity
Network Career
Managing his career is as important as
Users can manage and develop their own his network
professional network
Users can find job opportunities,
Users can establish long term relations receive job offers
Users can recommand each other 47% of HR are using social networks to
find an employee
Business
Companies can be more seen
Users can also find customers or
partners
Businessman are using a lot of social
networks features such as community
groups
13. Viadeo : Activity
Network Career
Managing his career is as important as
Users can manage and develop their own his network
professional network
Users can find job opportunities,
Users can establish long term relations receive job offers
Users can recommand each other 47% of HR are using social networks to
find an employee
Business
Companies can be more seen
Users can also find customers or
partners
Businessman are using a lot of social
networks features such as community
groups
15. 3 projets distincts
NIDS WAF
Objectif : Détecter les tentatives Objectif : Bloquer toute tentative
d’attaques sur le site web d’attaques sur le site web
Moyen : Comparaison des paquets IP à Moyen : Comparaison des paquets IP
des schémas d’attaques pré-défini à des schémas d’attaques pré-défini
Contrainte : Ne pas perturber la Contrainte : Installation sur les serveurs
production web
Charge estimée : 55 jours Charge estimé : 55 jours
Analyse du réseau
Objectif : Analyser la densité et le
contenu du trafic de l’entreprise
Moyen : Utilisation d’un outil de Deep
Packet Inspection
Charge estimée : 20 jours
16. 3 projets distincts
NIDS WAF
Objectif : Détecter les tentatives Objectif : Bloquer toute tentative
d’attaques sur le site web d’attaques sur le site web
Moyen : Comparaison des paquets IP à Moyen : Comparaison des paquets IP
des schémas d’attaques pré-défini à des schémas d’attaques pré-défini
Contrainte : Ne pas perturber la Contrainte : Installation sur les serveurs
production web
Charge estimée : 55 jours Charge estimé : 55 jours
Analyse du réseau
Objectif : Analyser la densité et le
contenu du trafic de l’entreprise
Moyen : Utilisation d’un outil de Deep
Packet Inspection
Charge estimée : 20 jours
17. 3 projets distincts
NIDS WAF
Objectif : Détecter les tentatives Objectif : Bloquer toute tentative
d’attaques sur le site web d’attaques sur le site web
Moyen : Comparaison des paquets IP à Moyen : Comparaison des paquets IP
des schémas d’attaques pré-défini à des schémas d’attaques pré-défini
Contrainte : Ne pas perturber la Contrainte : Installation sur les serveurs
production web
Charge estimée : 55 jours Charge estimé : 55 jours
Analyse du réseau
Objectif : Analyser la densité et le
contenu du trafic de l’entreprise
Moyen : Utilisation d’un outil de Deep
Packet Inspection
Charge estimée : 20 jours
18. NIDS : Choix possibles
Snort Suricata
IDS historique (15 ans) IDS très jeune (2 ans)
Très bonne réputation Bonne réputation
Très bien documenté Peu documenté
Multi-threading non géré Gestion du multi-threading
19. NIDS : Choix possibles
Snort Suricata
IDS historique (15 ans) IDS très jeune (2 ans)
Très bonne réputation Bonne réputation
Très bien documenté Peu documenté
Multi-threading non géré Gestion du multi-threading
20. NIDS : Modules Complémentaires
Monitoring Règles de détection
Alertes enregistrées dans des fichiers
sous un format spécifique (unified2) Attaques détectées grâce à des
Utilisation d’un logiciel pour archiver schémas pré-définis
ces alertes dans une base de données Utilisation d’un gestionnaire de règles
sous un format lisible : Barnyard2 afin de mettre à jour, désactiver ou
Utilisation d’interfaces de monitoring modifier les règles existantes et d’en
pour visionner ces alertes créer de nouvelles
• BASE • Oinkmaster
• Snorby
• Sguil • Pulledpork
• Squert
21. NIDS : Modules Complémentaires
Monitoring Règles de détection
Alertes enregistrées dans des fichiers
sous un format spécifique (unified2) Attaques détectées grâce à des
Utilisation d’un logiciel pour archiver schémas pré-définis
ces alertes dans une base de données Utilisation d’un gestionnaire de règles
sous un format lisible : Barnyard2 afin de mettre à jour, désactiver ou
Utilisation d’interfaces de monitoring modifier les règles existantes et d’en
pour visionner ces alertes créer de nouvelles
• BASE • Oinkmaster
• Snorby
• Sguil • Pulledpork
• Squert
23. NIDS : Métriques d’évaluation
Performances Maintenance et utilisation
Taux de détection Mise à jour régulière par l’éditeur
Nombre de faux positifs Facilité d’application des mises à jours
Capacité de traitement Consommation de ressources
Interface de monitoring
Temps d’affichages des nouvelles
alertes
Classification des alertes selon leur
criticité
Gestion des alertes via la Base de
données (BDD)
24. NIDS : Métriques d’évaluation
Performances Maintenance et utilisation
Taux de détection Mise à jour régulière par l’éditeur
Nombre de faux positifs Facilité d’application des mises à jours
Capacité de traitement Consommation de ressources
Interface de monitoring
Temps d’affichages des nouvelles
alertes
Classification des alertes selon leur
criticité
Gestion des alertes via la Base de
données (BDD)
25. NIDS : Métriques d’évaluation
Performances Maintenance et utilisation
Taux de détection Mise à jour régulière par l’éditeur
Nombre de faux positifs Facilité d’application des mises à jours
Capacité de traitement Consommation de ressources
Interface de monitoring
Temps d’affichages des nouvelles
alertes
Classification des alertes selon leur
criticité
Gestion des alertes via la Base de
données (BDD)
26. NIDS : Tests et Proof of concept
Senseur Monitoring
Deux phases de test :
• Machines virtuelles Test des NIDS avec BASE, Snorby et
• Serveur de test Squert
Taux de détection : Suricata supérieur BASE : Gestion des alertes via la BDD
Mise à jour des alertes toutes les 5
Nombre de faux positifs : Peu significatif secondes
Capacité de traitement : Equivalente Snorby : Système de classification
présent
Ressources : Consommation de Snort Labelisation et ajout de commentaires
élevée sur les alertes
Les mises à jour des systèmes par les Squert : Système de classification
éditeurs sont régulières présent
27. NIDS : Tests et Proof of concept
Senseur Monitoring
Deux phases de test :
Test des NIDS avec BASE, Snorby et
Machines virtuelles Squert
Serveur de test BASE : Gestion des alertes via la BDD
Taux de détection : Suricata supérieur Mise à jour des alertes toutes les 5
secondes
Nombre de faux positifs : Peu significatif
Snorby : Système de classification
Capacité de traitement : Equivalente présent
Labelisation et ajout de commentaires
Ressources : Consommation de Snort sur les alertes
élevée
Squert : Système de classification
Les mises à jour des systèmes par les présent
éditeurs sont régulières
28. NIDS : Choix final
Monitoring Règles de détection
Squert ne permet qu’une liste des alertes
Oinkmaster est très ancien et n’est plus
sans aucune autre fonctionnalité
mis à jour.
Ni BASE ni Snorby ne remplissent
Pulledpork est toujours maintenu et plus
entièrement les critères attendus mais sont
facile à utiliser
complémentaires
Utilisation de Pulledpork
Utilisation de BASE et Snorby
Senseur
Suricata semble être plus performant
que Snort
Installation et procédures de mises à
jour laborieuses
Utilisation de Security Onion
29. NIDS : Métriques d’évaluation
Monitoring Règles de détection
Squert ne permet qu’une liste des alertes
Oinkmaster est très ancien et n’est plus
sans aucune autre fonctionnalité
mis à jour.
Ni BASE ni Snorby ne remplissent
Pulledpork est toujours maintenu et plus
entièrement les critères attendus mais sont
facile à utiliser
complémentaires
Utilisation de Pulledpork
Utilisation de BASE et Snorby
Senseur
Suricata semble être plus performant
que Snort
Installation et procédures de mises à
jour laborieuses
Utilisation de Security Onion
30. NIDS : Métriques d’évaluation
Monitoring Règles de détection
Squert ne permet qu’une liste des alertes
Oinkmaster est très ancien et n’est plus
sans aucune autre fonctionnalité
mis à jour.
Ni BASE ni Snorby ne remplissent
Pulledpork est toujours maintenu et plus
entièrement les critères attendus mais sont
facile à utiliser
complémentaires
Utilisation de Pulledpork
Utilisation de BASE et Snorby
Senseur
Suricata semble être plus performant
que Snort
Installation et procédures de mises à
jour laborieuses
Utilisation de Security Onion
32. Attaques détectées
Attaque dite par “Bruteforce” sur les accès SSH d’un serveur
Origine de l’attaque : Une règle du firewall, mal configurée. Au lieu de bloquer les flux
réseau, ayant pour port de destination le port 22, elle les redirige vers le serveur ciblé par
l’attaque
Solution : Modifier la règle, pour que le firewall retrouve un comportement normal.
Tentatives d’attaques par injections SQL et exploitations d’éventuelles failles XSS
Le nombre de requêtes très important entraina une surcharge des serveurs. Risque
d’indisponibilité du site Viadeo
Solution : Supression du compte et mise de l’IP de l’attaquant sur liste noire.
Configuration des serveurs web afin de refuser toute requêtes venant de cette adresse.
33. Attaques détectées
Attaque dite par “Bruteforce” sur les accès SSH d’un serveur
Origine de l’attaque : Une règle du firewall, mal configurée. Au lieu de bloquer les flux
réseau, ayant pour port de destination le port 22, elle les redirige vers le serveur ciblé par
l’attaque
Solution : Modifier la règle, pour que le firewall retrouve un comportement normal.
Tentatives d’attaques par injections SQL et exploitations d’éventuelles failles XSS
Le nombre de requêtes très important entraina une surcharge des serveurs. Risque
d’indisponibilité du site Viadeo
Solution : Supression du compte et mise de l’IP de l’attaquant sur liste noire.
Configuration des serveurs web afin de refuser toute requêtes venant de cette adresse.
34. WAF : Veille technologique
Architecture Intrusive Architecture Parallèle
Architecture intrusive ou « Reverse proxy » Architecture parallèle ou “Sonde”
Firewall applicatif placé entre le firewall Firewall applicatif n’est pas placé dans
et le serveur web l’alignement Firewall-Serveur : limitation
de l’impact sur la production
Obligation d’avoir un WAF par serveur
web Le WAF sniffe les paquets IP et peut
envoi un message au serveur pour lui
Création d’un “Single Point of Failure” dire de ne pas traiter les requêtes
(SPOF) dangeureuses
Architecture modulaire
Architecture modulaire ou “Intégrée
au serveur”
Installation du Firewall applicatif sur le
serveur web
Disparition du SPOF
Augmentation du traitement
d’informations par le serveur web
36. WAF : Veille technologique
Architecture Intrusive Architecture Parallèle
Architecture intrusive ou « Reverse proxy » Architecture parallèle ou “Sonde”
Firewall applicatif placé entre le firewall Firewall applicatif n’est pas placé dans
et le serveur web l’alignement Firewall-Serveur : limitation
de l’impact sur la production
Obligation d’avoir un WAF par serveur
web Le WAF sniffe les paquets IP et peut
envoi un message au serveur pour lui
Création d’un “Single Point of Failure” dire de ne pas traiter les requêtes
(SPOF) dangeureuses
Architecture modulaire
Architecture modulaire ou “Intégrée
au serveur”
Installation du Firewall applicatif sur le
serveur web
Disparition du SPOF
Augmentation du traitement
d’informations par le serveur web
38. WAF : Veille technologique
Architecture Intrusive Architecture Parallèle
Architecture intrusive ou « Reverse proxy » Architecture parallèle ou “Sonde”
Firewall applicatif placé entre le firewall Firewall applicatif n’est pas placé dans
et le serveur web l’alignement Firewall-Serveur : limitation
de l’impact sur la production
Obligation d’avoir un WAF par serveur
web Le WAF sniffe les paquets IP et peut
envoi un message au serveur pour lui
Création d’un “Single Point of Failure” dire de ne pas traiter les requêtes
(SPOF) dangeureuses
Architecture modulaire
Architecture modulaire ou “Intégrée
au serveur”
Installation du Firewall applicatif sur le
serveur web
Disparition du SPOF
Augmentation du traitement
d’informations par le serveur web
40. Projet WAF : Veille Technologique
WAF : Web Application Firewall
Différentes architectures
Reverse Proxy
Sonde
Intégré au serveur Web
Différents modes de fonctionnement
Négatif
Positif
41. WAF : Choix Possibles
Modsecurity
License gratuite
Module d’apache
Règles de détection non fournies
dotDefender
License payante
Logiciel indépendant
Règles de détection fournies
42. WAF : Choix possibles
Modsecurity
License gratuite
Module d’apache
Règles de détection non fournies
dotDefender
License payante
Logiciel indépendant
Règles de détection fournies
43. WAF : Métriques d’évaluation
Performances
Taux de détection
Nombre de faux positifs
Capacité de traitement
Maintenance et utilisation
Mise à jour régulière par l’éditeur
Facilité d’application des mises à jours
Intégration dans la plateforme de
production
44. WAF : Métriques d’évaluation
Performances
Taux de détection
Nombre de faux positifs
Capacité de traitement
Maintenance et utilisation
Mise à jour régulière par l’éditeur
Facilité d’application des mises à jours
Intégration dans la plateforme de
production
45. WAF : Tests et Proof of concept
ModSecurity dotDefender
Une interface de monitoring doit être
installée manuellement Interface de monitoring fournie
Taux de détection : Très bon Taux de détection : Bon
Mises à jour régulières Installation rapide et automatisée
Installation longue et pouvant Application des mises à jours
difficilement être automatisée automatiques
Application des mises à jours doivent In terface de monitoring simple et ne
être effectuées manuellement permet qu’une administration et
Interface de monitoring permet une configuration limitée
configuration et administration à distance
très complète
46. NIDS : Tests et Proof of concept
ModSecurity dotDefender
Une interface de monitoring doit être
installée manuellement
Interface de monitoring fournie
Taux de détection : Très bon
Taux de détection : Bon
Mises à jour régulières
Installation rapide et automatisée
Installation longue et pouvant
difficilement être automatisée Application des mises à jours
automatiques
Application des mises à jours doivent
être effectuées manuellement In terface de monitoring simple et ne
permet qu’une administration et
Interface de monitoring permet une configuration limitée
configuration et administration à distance
très complète
48. Conclusion
Le NIDS est fonctionnel et en utilisation Différentes solutions sont à l’études
Quelques défauts de stabilité existent Le choix de la solution se fera dans les
En attente de mises à jour majeures jours qui viennent
Le projet d’analyse du réseau de Le planning original très bouleversé
l’entreprise n’est pas encore commencé
Les projets seront néanmoins fini à la fin
Début imminant du stage
49. NIDS : Stabilisation de la solution
Le NIDS est fonctionnel et en utilisation Différentes solutions sont à l’études
Quelques défauts de stabilité existent Le choix de la solution se fera dans les
En attente de mises à jour majeures jours qui viennent
Le projet d’analyse du réseau de Le planning original très bouleversé
l’entreprise n’est pas encore commencé
Les projets seront néanmoins fini à la fin
Début imminant du stage
50. NIDS : Stabilisation de la solution
Le NIDS est fonctionnel et en utilisation Différentes solutions sont à l’études
Quelques défauts de stabilité existent Le choix de la solution se fera dans les
En attente de mises à jour majeures jours qui viennent
Le projet d’analyse du réseau de Le planning original très bouleversé
l’entreprise n’est pas encore commencé
Les projets seront néanmoins fini à la fin
Début imminant du stage
51. NIDS : Stabilisation de la solution
Le NIDS est fonctionnel et en utilisation Différentes solutions sont à l’études
Quelques défauts de stabilité existent Le choix de la solution se fera dans les
En attente de mises à jour majeures jours qui viennent
Le projet d’analyse du réseau de Le planning original très bouleversé
l’entreprise n’est pas encore commencé
Les projets seront néanmoins fini à la fin
Début imminant du stage
52. Remerciement
Maitre de stage : Olivier Malki
Superviseur : Boris Hajduk