présentation pfe inchaallah
DESCRIPTION
Mise en place d'une solution Open source pour la virtualisation des analyses de vulnérabilités et la détection des tentatives d'intrusion basées sur les HoneypotsTRANSCRIPT
08/04/2023 1
Présenté par : •M.EL MORABIT Ghassan•M. REBLA Ilyass
Sous la direction de :•M. KOBBANE Abdellatif (Encadrant ENSIAS)
•M. SBAA Ahmed (Responsable de Sécurité au groupe OCP)
•M. BENSAID Alaa (Responsable de Sécurité au groupe OCP)
Projet de fin d’étudesOption
SSI
Membres du jury :• M. EL KETTANI Mohamed Dafir (Professeur à l’ENSIAS)
•M. HABBANI Ahmed (Professeur à l’ENSIAS)
Mise en place d’une solution Open-source pour la virtualisation de l’analyse des vulnérabilités et la détection
des tentatives d’intrusion basée sur les Honeypots
2
• Contexte général1
• Analyse des risques et tentatives d’intrusion2
• Virtualisation et sécurité3
• IDS & Honeypots4
• Architecture de la plateforme6
• Tests et validation7
• Conclusion et perspectives8
Sommaire
3
INTRODUCTION
08/04/2023
408/04/2023
Introduction
Tendance des sociétés
Ouverture au monde extérieur
Beaucoup de données à gérer
Menaces diversifiées
5
Origines des attaques0%
10%
20%
30%
40%
50%
60%
70%
80%
90%
100%
Inconnues 18%Inclusion à distance de fichiers 2%Accès physique 2%Attaques internes 2%Gestion du contenu 2%SQL Injection 6%Trojans d'emails 6%Social engineering 8%Application d'accès à distance 55%
08/04/2023
Introduction
Données cibles
Données de carte de crédit 85%Données sensibles 8%Secrets de vente 3%Données d'authen-tification 2%Données clients 2%
Origine des attaquesDonnées ciblées
SpiderLabs (Rapport Trustwave Global Security 2011)
608/04/2023
IntroductionQuelques chiffres
6500 entreprises• Petites : 500• Moyennes : 1000• Grandes : 5000
2 millions $US
Echantillon :
Pertes moyennes :
Symantec : State of Entreprise Security 2010
7
CONTEXTE GÉNÉRAL
08/04/2023
8
Premier exportateur du phosphate, le groupe OCP: Contribue au PIB avec une part de 2 à 3 %, alors que ses
exportations représentent 18 à 20 % de la valeur des
exportations marocaines.
Détient ¾ des réserves mondiales de phosphate
Parmi ses missions: Extraction et commercialisation du Phosphate
Transformer le phosphate en produits dérivés
Organisme d’accueilContexte Général
Créée en août 1920
Transformé à un groupe nommé le groupe OCP à partir de 1975
908/04/2023
Organisme d’accueilContexte Général
1008/04/2023
Présentation du projet
Solution Open-source
Détection d’intrusions
Honeypot
Sujet
Objectifs
A. Virtualisation de la procédure de création des pots de mielB. Permettre à tout administrateur ou ingénieur système de
créer et configurer son propre réseau de pots de miel et de sondes IDS
1. Tester les produits sécurité sur le réseau virtuel2. Déployer un système de détection de spam3. Déployer un système de détection de vers et
patch automatique des machines infectées4. …
Contexte Général
11
ANALYSE DES VULNÉRABILITÉS & TENTATIVE D’INTRUSION
08/04/2023
12
La démarche procédée pour une tentative d’intrusion :
• Scan• Prise d’empreinte• Hacking• …
PriseD’information
• Identification des versions• Analyse de la surface d’attaque• …
Recherche des Vulnérabilités
• Obtenir l’accès• Evaluation des privilèges• Attaque par rebond sur d’autres systèmes
Exploitation des failles
08/04/2023
Vulnérabilité & tests intrusion
13
• Modification involontaire de l'information• Accès volontaire ou involontaire non autorisé•Vol ou perte d'informations•Indisponibilité de l'information
Exemples de risques :
08/04/2023
Vulnérabilité & tests d’intrusion
Mise place d’une solution pour l’analyse des vulnérabilités et de prévention des tentatives d’intrusions
14
VIRTUALISATION & SÉCURITÉ
08/04/2023
1508/04/2023
Machine physique
Serveurs Virtuels
OSServeurs
Applications
Virtualisation & Sécurité
DéfinitionVirtualisation : Techniques matérielles & logicielles
16
Partage du matériel d'une machine par plusieurs systèmes d’exploitation indépendants (isolés, encapsulés)
Répondre aux contraintes de sécurité (séparation des services, isolation)
Répondre aux « nouveaux » besoins de maintenance (administration, déploiement)
Répondre aux besoins de tests, expérimentations, délégation
08/04/2023
BesoinsVirtualisation & Sécurité
Augmentation de la stabilité et une sécurité accrue
17
IDS & HONEYPOTS
08/04/2023
18
Contrôler l'accès aux données confidentielles
Réagir si des données semblent suspectes
Surveiller les données qui transitent sur ce système
Surveillance et traçabilité des données
sensibles
Prévenir les fuites de données sensibles vers
internet
IDS
IDS : Concept et finalités
08/04/2023
Honeypots & IDS
19
Approches de détection d’intrusion
• Les signatures d’attaques connues sont stockées• Chaque événement est comparé au contenu de cette base• Si correspondance l’alerte est levée
Les IDS à signature
• Chaque flux et son comportement habituel doivent être déclarés
• La détection d’anomalie
Les IDS comportementaux
08/04/2023
Honeypots & IDS
20
IDS
CommerciauxIntruShield
RealSecure
Open-source
Bro
Prelude
Snort
08/04/2023
IDS : BenchmarkingHoneypots & IDS
21
Pourquoi Snort ?Avantages Inconvénients
Portabilité
Temps réel
MAJ continue des signatures
Différents états de sortie
Parfois très bavard
Nécessité des MAJ
des signatures
08/04/2023
Honeypots & IDS
22
IDS : Où placer les sondes ?
•Attaques frontales•Trop de logs
•Attaques sophistiquées•Peu de logs
•Attaques Internes•Trojans dans le parc
08/04/2023
Honeypots & IDS
23
Honeypot : Concept et finalités
08/04/2023
Honeypots & IDS
Ressource informatique dont la valeur réside en son utilisation illicite
Volontairement vulnérable
Aucune valeur productive
Toute interaction avec cette ressource est suspecte
2408/04/2023
Honeypot : Concept et finalités Honeypots & IDS
!
25
Honeypot
CommerciauxKFSensor
Specter
Open-source
BOF
LaBrea Tarpit
Nepenthes
Omnivora
Tiny Honeypot
Honeyd
08/04/2023
Honeypot : BenchmarkingHoneypots & IDS
26
Pourquoi Honeyd ?
Avantages Inconvénients
Infinité de honeypots virtuels
Emuler un réseau complexe
Fingerprints pour différents OS
Emuler des services
(FTP, POP3,…)
Emulation naïves des services
08/04/2023
Honeypots & IDS
27
ARCHITECTURE DE L’APPLICATION
08/04/2023
28
Avant
honeyd.conf snort.conf
08/04/2023
Architecture de l’application
29
Après
08/04/2023
Architecture de l’application
30
ArchitectureServeur Apache2 Serveur de données
Utilisateur
Base de données User/PW
Base de données
SnortFichiers de
configurations
08/04/2023
Architecture de l’application
31
Architecture
Plateforme
HoneyMaker
NodeMaker NetMaker
Validator
Nmap Front-End
Tiny Remote PortScanner
IDS Console
08/04/2023
Architecture de l’application
32
HoneyMaker• Définir et créer des machines
virtuellesNode Maker
• Définir avec ces nœuds une topologie réseau compliquée
Net Maker
• Définir une politique de déploiement et de journalisationClosure
08/04/2023
Architecture de l’application
33
NodeMaker• 600 OS différents
Ordinateur Routeur, switches, pare-
feux Imprimante, sismographe,…
• Comportements pour TCP, UDP,… Open Blocked Tarpit Close
• Temps d’activité• Probabilité de panne• UID & GID• Services Simulés : FTP, SMTP, …
08/04/2023
Architecture de l’application
34
NetMaker• Définir le point d’entrée du
réseau• Définir le sous-réseau
contrôlé• Ajouter une passerelle
Son sous-réseau Latence du lien Taux de perte Bande passante
• Ajouter d’autres passerelles
08/04/2023
Architecture de l’application
35
Closure• S’identifier à nouveau• Choisir la politique de déploiement
Avec Snort Sans Snort
• Choisir la politique de journalisation Database Cvs Tcpdump …
• Définir pour Snort le réseau à surveiller
08/04/2023
Architecture de l’application
36
Validator
• Scanner un ensemble de port d’une adresse IP
Tiny Remote PortScanner
• Construire des commandes Nmap compliquées
Nmap Front-End
08/04/2023
Architecture de l’application
37
Tiny Remote PortScanner• Scanneur de ports artisanal• 60 ports les plus utilisés• Trois états pour un port
Ouvert Fermé Filtré
08/04/2023
Architecture de l’application
38
Nmap Front-End
Nm
apScanner les ports
Identifier les services
Détecter les OS
Open Source
Commande Nmap : efficacité = f(complexité)
Offrir front-end intuitive
Lister la totalité des commandes
Formuler des commandes
correctes
08/04/2023
Architecture de l’application
39
IDS Console
ACID
Pro
ject
Open Source
Lire la DB de Snort
Visualiser les alertes
Statistiques du trafic
Politique de déploiement = Avec
SnortPolitique de
journalisation = database
08/04/2023
Architecture de l’application
40
TESTS & VALIDATION
08/04/2023
41
Test de conformitéRéseau cible
Ports ouverts
80 & 22
23 & 22
HoneyMaker est Fonctionnel08/04/2023
Tests & Validation
42
Test de conformité
Ports ouverts
20 & 23
Tiny Remote PortScanner est Fonctionnel08/04/2023
Tests & Validation
43
Test de performance
Gérer un grand nombre de pots de miel sans altérer la performance
• Simuler une bande passante de 30 Mb/s• Plus de profondeur = Plus de taux de perte
• Plus de templates individuelles = Moins de paquets réussis• Plus de profondeur = Moins de paquets réussis
08/04/2023
Tests & Validation
44
Test d’empreinte
Resultat du test Nmap contre 600 OS virtuels
Identifié exactement
Identifié approximativement
Non identifié
08/04/2023
Tests & Validation
12351012172024303538405090120140160180200220250270290310350370400420450470490500520540560600
45
CONCLUSION & PERSPECTIVES
08/04/2023
46
• Mission : • Apprendre le concept de nouveaux outils• Configurer, tester et évaluer plusieurs logiciels• Réaliser une application virtuelle à double volet pour la
sécurité et le test
• Perspectives :• Effectuer des tests avec des outils ( antivirus,….) • Déploiement de la solution
08/04/2023
Conclusion & Perspectives
47
MERCI POUR VOTRE ATTENTION
08/04/2023
08/04/2023 48
Présenté par : •M.EL MORABIT Ghassan•M. REBLA Ilyass
Sous la direction de :•M. KOBBANE Abdellatif (Encadrant ENSIAS)
•M. SBAA Ahmed (Responsable de Sécurité au groupe OCP)
•M. BENSAID Alaa (Responsable de Sécurité au groupe OCP)
Projet de fin d’étudesOption
SSI
Membres du jury :• M. EL KETTANI Mohamed Dafir (Professeur à l’ENSIAS)
•M. HABBANI Ahmed (Professeur à l’ENSIAS)
Mise en place d’une solution Open-source pour la virtualisation de l’analyse des vulnérabilités et la détection
des tentatives d’intrusion basée sur les Honeypots