présentation pfe inchaallah

08/04/2023 1

Présenté par : •M.EL MORABIT Ghassan•M. REBLA Ilyass

Sous la direction de :•M. KOBBANE Abdellatif (Encadrant ENSIAS)

•M. SBAA Ahmed (Responsable de Sécurité au groupe OCP)

•M. BENSAID Alaa (Responsable de Sécurité au groupe OCP)

Projet de fin d’étudesOption

SSI

Membres du jury :• M. EL KETTANI Mohamed Dafir (Professeur à l’ENSIAS)

•M. HABBANI Ahmed (Professeur à l’ENSIAS)

Mise en place d’une solution Open-source pour la virtualisation de l’analyse des vulnérabilités et la détection

des tentatives d’intrusion basée sur les Honeypots

2

• Contexte général1

• Analyse des risques et tentatives d’intrusion2

• Virtualisation et sécurité3

• IDS & Honeypots4

• Architecture de la plateforme6

• Tests et validation7

• Conclusion et perspectives8

Sommaire

3

INTRODUCTION

08/04/2023

408/04/2023

Introduction

Tendance des sociétés

Ouverture au monde extérieur

Beaucoup de données à gérer

Menaces diversifiées

5

Origines des attaques0%

10%

20%

30%

40%

50%

60%

70%

80%

90%

100%

Inconnues 18%Inclusion à distance de fichiers 2%Accès physique 2%Attaques internes 2%Gestion du contenu 2%SQL Injection 6%Trojans d'emails 6%Social engineering 8%Application d'accès à distance 55%

08/04/2023

Introduction

Données cibles

Données de carte de crédit 85%Données sensibles 8%Secrets de vente 3%Données d'authen-tification 2%Données clients 2%

Origine des attaquesDonnées ciblées

SpiderLabs (Rapport Trustwave Global Security 2011)

608/04/2023

IntroductionQuelques chiffres

6500 entreprises• Petites : 500• Moyennes : 1000• Grandes : 5000

2 millions $US

Echantillon :

Pertes moyennes :

Symantec : State of Entreprise Security 2010

7

CONTEXTE GÉNÉRAL

08/04/2023

8

Premier exportateur du phosphate, le groupe OCP: Contribue au PIB avec une part de 2 à 3 %, alors que ses

exportations représentent 18 à 20 % de la valeur des

exportations marocaines.

Détient ¾ des réserves mondiales de phosphate

Parmi ses missions: Extraction et commercialisation du Phosphate

Transformer le phosphate en produits dérivés

Organisme d’accueilContexte Général

Créée en août 1920

Transformé à un groupe nommé le groupe OCP à partir de 1975

908/04/2023

Organisme d’accueilContexte Général

1008/04/2023

Présentation du projet

Solution Open-source

Détection d’intrusions

Honeypot

Sujet

Objectifs

A. Virtualisation de la procédure de création des pots de mielB. Permettre à tout administrateur ou ingénieur système de

créer et configurer son propre réseau de pots de miel et de sondes IDS

1. Tester les produits sécurité sur le réseau virtuel2. Déployer un système de détection de spam3. Déployer un système de détection de vers et

patch automatique des machines infectées4. …

Contexte Général

11

ANALYSE DES VULNÉRABILITÉS & TENTATIVE D’INTRUSION

08/04/2023

12

La démarche procédée pour une tentative d’intrusion :

• Scan• Prise d’empreinte• Hacking• …

PriseD’information

• Identification des versions• Analyse de la surface d’attaque• …

Recherche des Vulnérabilités

• Obtenir l’accès• Evaluation des privilèges• Attaque par rebond sur d’autres systèmes

Exploitation des failles

08/04/2023

Vulnérabilité & tests intrusion

13

• Modification involontaire de l'information• Accès volontaire ou involontaire non autorisé•Vol ou perte d'informations•Indisponibilité de l'information

Exemples de risques :

08/04/2023

Vulnérabilité & tests d’intrusion

Mise place d’une solution pour l’analyse des vulnérabilités et de prévention des tentatives d’intrusions

14

VIRTUALISATION & SÉCURITÉ

08/04/2023

1508/04/2023

Machine physique

Serveurs Virtuels

OSServeurs

Applications

Virtualisation & Sécurité

DéfinitionVirtualisation : Techniques matérielles & logicielles

16

Partage du matériel d'une machine par plusieurs systèmes d’exploitation indépendants (isolés, encapsulés)

Répondre aux contraintes de sécurité (séparation des services, isolation)

Répondre aux « nouveaux » besoins de maintenance (administration, déploiement)

Répondre aux besoins de tests, expérimentations, délégation

08/04/2023

BesoinsVirtualisation & Sécurité

Augmentation de la stabilité et une sécurité accrue

17

IDS & HONEYPOTS

08/04/2023

18

Contrôler l'accès aux données confidentielles

Réagir si des données semblent suspectes

Surveiller les données qui transitent sur ce système

Surveillance et traçabilité des données

sensibles

Prévenir les fuites de données sensibles vers

internet

IDS

IDS : Concept et finalités

08/04/2023

Honeypots & IDS

19

Approches de détection d’intrusion

• Les signatures d’attaques connues sont stockées• Chaque événement est comparé au contenu de cette base• Si correspondance l’alerte est levée

Les IDS à signature

• Chaque flux et son comportement habituel doivent être déclarés

• La détection d’anomalie

Les IDS comportementaux

08/04/2023

Honeypots & IDS

20

IDS

CommerciauxIntruShield

RealSecure

Open-source

Bro

Prelude

Snort

08/04/2023

IDS : BenchmarkingHoneypots & IDS

21

Pourquoi Snort ?Avantages Inconvénients

Portabilité

Temps réel

MAJ continue des signatures

Différents états de sortie

Parfois très bavard

Nécessité des MAJ

des signatures

08/04/2023

Honeypots & IDS

22

IDS : Où placer les sondes ?

•Attaques frontales•Trop de logs

•Attaques sophistiquées•Peu de logs

•Attaques Internes•Trojans dans le parc

08/04/2023

Honeypots & IDS

23

Honeypot : Concept et finalités

08/04/2023

Honeypots & IDS

Ressource informatique dont la valeur réside en son utilisation illicite

Volontairement vulnérable

Aucune valeur productive

Toute interaction avec cette ressource est suspecte

2408/04/2023

Honeypot : Concept et finalités Honeypots & IDS

!

25

Honeypot

CommerciauxKFSensor

Specter

Open-source

BOF

LaBrea Tarpit

Nepenthes

Omnivora

Tiny Honeypot

Honeyd

08/04/2023

Honeypot : BenchmarkingHoneypots & IDS

26

Pourquoi Honeyd ?

Avantages Inconvénients

Infinité de honeypots virtuels

Emuler un réseau complexe

Fingerprints pour différents OS

Emuler des services

(FTP, POP3,…)

Emulation naïves des services

08/04/2023

Honeypots & IDS

27

ARCHITECTURE DE L’APPLICATION

08/04/2023

28

Avant

honeyd.conf snort.conf

08/04/2023

Architecture de l’application

29

Après

08/04/2023


30

ArchitectureServeur Apache2 Serveur de données

Utilisateur

Base de données User/PW

Base de données

SnortFichiers de

configurations

08/04/2023


31

Architecture

Plateforme

HoneyMaker

NodeMaker NetMaker

Validator

Nmap Front-End

Tiny Remote PortScanner

IDS Console

08/04/2023


32

HoneyMaker• Définir et créer des machines

virtuellesNode Maker

• Définir avec ces nœuds une topologie réseau compliquée

Net Maker

• Définir une politique de déploiement et de journalisationClosure

08/04/2023


33

NodeMaker• 600 OS différents

Ordinateur Routeur, switches, pare-

feux Imprimante, sismographe,…

• Comportements pour TCP, UDP,… Open Blocked Tarpit Close

• Temps d’activité• Probabilité de panne• UID & GID• Services Simulés : FTP, SMTP, …

08/04/2023


34

NetMaker• Définir le point d’entrée du

réseau• Définir le sous-réseau

contrôlé• Ajouter une passerelle

Son sous-réseau Latence du lien Taux de perte Bande passante

• Ajouter d’autres passerelles

08/04/2023


35

Closure• S’identifier à nouveau• Choisir la politique de déploiement

Avec Snort Sans Snort

• Choisir la politique de journalisation Database Cvs Tcpdump …

• Définir pour Snort le réseau à surveiller

08/04/2023


36

Validator

• Scanner un ensemble de port d’une adresse IP

Tiny Remote PortScanner

• Construire des commandes Nmap compliquées

Nmap Front-End

08/04/2023


37

Tiny Remote PortScanner• Scanneur de ports artisanal• 60 ports les plus utilisés• Trois états pour un port

Ouvert Fermé Filtré

08/04/2023


38

Nmap Front-End

Nm

apScanner les ports

Identifier les services

Détecter les OS

Open Source

Commande Nmap : efficacité = f(complexité)

Offrir front-end intuitive

Lister la totalité des commandes

Formuler des commandes

correctes

08/04/2023


39

IDS Console

ACID

Pro

ject

Open Source

Lire la DB de Snort

Visualiser les alertes

Statistiques du trafic

Politique de déploiement = Avec

SnortPolitique de

journalisation = database

08/04/2023


40

TESTS & VALIDATION

08/04/2023

41

Test de conformitéRéseau cible

Ports ouverts

80 & 22

23 & 22

HoneyMaker est Fonctionnel08/04/2023

Tests & Validation

42

Test de conformité

Ports ouverts

20 & 23

Tiny Remote PortScanner est Fonctionnel08/04/2023

Tests & Validation

43

Test de performance

Gérer un grand nombre de pots de miel sans altérer la performance

• Simuler une bande passante de 30 Mb/s• Plus de profondeur = Plus de taux de perte

• Plus de templates individuelles = Moins de paquets réussis• Plus de profondeur = Moins de paquets réussis

08/04/2023

Tests & Validation

44

Test d’empreinte

Resultat du test Nmap contre 600 OS virtuels

Identifié exactement

Identifié approximativement

Non identifié

08/04/2023

Tests & Validation

12351012172024303538405090120140160180200220250270290310350370400420450470490500520540560600

45

CONCLUSION & PERSPECTIVES

08/04/2023

46

• Mission : • Apprendre le concept de nouveaux outils• Configurer, tester et évaluer plusieurs logiciels• Réaliser une application virtuelle à double volet pour la

sécurité et le test

• Perspectives :• Effectuer des tests avec des outils ( antivirus,….) • Déploiement de la solution

08/04/2023

Conclusion & Perspectives

47

MERCI POUR VOTRE ATTENTION

08/04/2023

08/04/2023 48

Présenté par : •M.EL MORABIT Ghassan•M. REBLA Ilyass

Sous la direction de :•M. KOBBANE Abdellatif (Encadrant ENSIAS)

•M. SBAA Ahmed (Responsable de Sécurité au groupe OCP)

•M. BENSAID Alaa (Responsable de Sécurité au groupe OCP)

Projet de fin d’étudesOption

SSI

Membres du jury :• M. EL KETTANI Mohamed Dafir (Professeur à l’ENSIAS)

•M. HABBANI Ahmed (Professeur à l’ENSIAS)

Mise en place d’une solution Open-source pour la virtualisation de l’analyse des vulnérabilités et la détection

des tentatives d’intrusion basée sur les Honeypots

présentation pfe inchaallah

Technology