• Aucun résultat trouvé

Métrologie et gestion d incidents!

N/A
N/A
Info
Télécharger
Protected

Academic year: 2022

Partager "Métrologie et gestion d incidents!"

Copied!
20
0
0

Chargement.... (Voir le texte intégral maintenant)

Texte intégral

(1)

Métrologie et gestion d’incidents !

Frédéric Bongat

Assemblée des CSSI

Janvier 2015

(2)

Sommaire :

1 La métrologie : netflow

2 Incident de sécurité

3 Conclusion

(3)

La métrologie

Mon objectif : savoir mieux ce qui se passe sur le réseau du point de vue du CSSI

Au jour le jour

Connaître les usages et applications utilisées (on a souvent une connaissance non complète de son trafic)

Détecter de façon pro-active des déviations par rapport à un état normal

En cas d’incident : aide et soutien après un incident (recherche d’informations)

Un monitoring moderne entre dans les planifications PDCA (d’une PSSI)

On souhaite une visualisation de statistiques horaires et journalières

(4)

Les flux réseaux

Analyse du trafic = Analyse des flux Qu’est-ce qu’un flux :

Un flux est défini comme une sucession de paquets IP transitant par un point d’observation du réseau durant un intervalle de temps.

Aspect de comtabilisation des flux

Mes critères d’un flux réseau

Adresses IP (source et destination) Protocoles

Ports applicatifs (source et destination) Type of Service (ToS)

Interfaces d’entrée et de sortie du routeur

(5)

Les protocoles de flux réseaux

Les protocoles Netflow (Cisco) et sFlow (Extreme Networks, 3COM, HP Procurve . . . ) sont les principaux implantés par les équipementiers réseau.

Ils fournissent les informations de niveau 3 et 4 sur les flux transitant sur le réseau, et ce sans avoir à déployer des sondes ou des agents.

Choix d’une sonde d’émission dans un des formats (et non pas en fonction des équipements)

Particularités :

Flux unidirectionnels ou bidirectionnels (aller-retour, comportement TCP, ...)

Flux d’application : vue au delà des en-têtes afin de classifier les paquets en fonction de leur contenu.

Agrégation possibles

(6)

Les flux de type netflow

Format Netflow

Les versions 1, 5,6, 7, 8 sont propriétaires (nombres de paramètres fixes)

La version 9 : extensible et flexible (templates) Nouveau standard : IPFIX, compatible v9

Pour exploiter les informations NetFlow, il faut mettre en œuvre :

un collecteur chargé d’enregistrer les informations NetFlow émises par le (ou les) équipement(s),

un analyseur pour produire les tableaux statistiques et les graphes.

(7)

Présentation du contexte

Institut Pierre-Simon Laplace

IDES, LATMOS, LMD, LISA, LOCEAN, LPMAA, LSCE, SISYPHE

Sur le Campus Jussieu

Fédération IPSL (400 personnels)

LMD, LOCEAN, LATMOS, IPSL (infrastructure réseau commune)

Présentation de l’incident au LOCEAN

Les sites du LOCEAN

CNRS, IRD, MNHN, UPMC Les tutelles :

Paris (Jussieu/Muséum), Bondy

LMI : Sénégal (Dakar, Saint-Louis), Brésil (Niteroi), Pérou (Callao), IRD Nouméa

(8)

Infrastructure IPSL

Schéma réseau IPSL

Ressources 2x1Gb/s mais 1 Gb/s en sortie effective

(9)

Architecture de gestion des flux

Repose sur deux colecteurs (basés sur nfdump et silk)

nfcapd : 8 Go/mois silk : 5 Go/mois

(10)

Console d’observation et d’analyse restreinte

(11)

Les profiles

Nouvelles vues d’analyses sur des critères prédéfinis

Ensemble des profiles (10) : environ 2 Go/mois de données

(12)

Les outils d’analyse

Outils de "recherche" en ligne de commande

Analyse : nfdump et shell

Analyse : silk

Nombreuses commandes intégrées (rwfilter, rwcut, rwstat, ...), map de sortie en format binaire

besoin de moins de commandes shell

(13)

Etude d’un incident

L’incident : phishing et vol d’identifiants

(14)

Chronologie de l’incident

Au LOCEAN : multi sites internationnaux

Samedi 3 janvier, um message de type phishing des plus

classiques est envoyé

(15)

Chronologie de l’incident : le phishing

Vérification de la dangerosité du message

Le lien est des plus mêne sur un site en République Tchèque L’interface ne ressemble pas du tout à celui de l’UPMC

Par acquit de conscience : le lundi matin, j’envoie un message aux utilisateurs sur cette campagne de phishing

En fin de matînée, deux utilisateurs se sont présentés comme victimes

Mesure : changement des mots de passe, ouf ! !

(16)

Observation de l’incident

Lundi en soirée, début des hostilités

Graphique de la messagerie et la période de spam

Graphique du mail en temps normal sur une semaine

(17)

Analyse de la situation

Validation de l’attaque sur le serveur de messagerie Caractéristiques de cette attaques

environ 450000 messages et 1,6Go de données dans le spool (incomming, deferred, ...)

Blocage du serveur, identification du compte,

Changement du mot de passe du compte

Maintenance du serveur, redémarrage du service

Analyse de l’incident

(18)

Méthodologie d’attaque simple

Vérification par webmail, envoi des spams par smtps

Attaque depuis l’île Maurice

(19)

Suite de l’incident

De nouveau une nouvelle attaque (adaptée)

Nouveau compte compromis : toujours une réponse au phishing

Première partie mardi soir 18h30-20h Deuxième partie : mercredi 7h30-9h

Même méthode d’attaque, nouvelle ip de la même région géographique

Ensemble des 3 attaques

Même gestion que précédemment

Action niveau administrateur : mise en place du contrôle de la 19/20

(20)

Conclusion

Les analyses de flux sont très intressantes D’un point de vu de la détection

C’est complémentaire à un IDS

Avec le problème de la visualisation de la console (veille)

Au niveau gestion d’incidents

Outils très performants

Beaucoup d’informations disponibles

C’est un bon outil pour un CSSI

Améliore la connaissance de son environnement et du fonctionnement des applications réseaux

Beaucoup d’informations disponibles

Références

Télécharger maintenant ( PDF - 20 Page - 1.02 MB )

Documents relatifs

Simulation temps réel pour la gestion des flux énergétiques dans l'habitat

(Wacks, 1993) a proposé une solution pour réduire la consommation énergétique dans le bâtiment qui se base sur la gestion des charges : elle est appelé contrôle

La fin du redoublement : la gestion de flux comme seul horizon pédagogique ?

Alors que tous les dispositifs supposément prévus actuellement en collège comme en lycée (AP, PPRE, stages de remise à niveau...) pour pallier la difficulté scolaire font la preuve

Mesure des performances réseau avec des flux périodiques

Dans la mesure où la différence entre l’heure du réseau et l’heure de l’hôte est connue avec précision, cette connaissance peut être utilisée pour corriger les mesures

Estimation des flux de plastiques transitant en Seine : quelles méthodes pour quels résultats ?

du plastique, le taux de collecte des déchets plastiques entrant dans les océans serait de 2,5 à 25

Gestion des flux et des stocks de marchandises

› Le parcours s’adresse principalement aux étudiants issus d’une filière Gestion, et plus spécialement, aux étudiants titulaires d’un diplôme en matière de Logistique

Evaluation de l'abattement des flux de pollution transitant dans un type de solution compensatoire : " les chaussées-réservoirs"

Par pas de débit, cet enregistreur commande la prise d'é- chantillons sur le flux transitant dans la bouche d'égout voisine avec une pompe type « pompe de cale immergée .. (marque

Une nouvelle approche pour la gestion de flux temps réels basée sur l'algorithme EDF

Dans cet article, afin de diminuer le surcoût et, à la fois, tirer profit de l’optimalité de l’algorithme EDF, nous proposons un mécanisme hybride de gestion de file d’attente

flux et gestion de la concurrence en Java

 Un flux est créé à partir d'un autre (par « wrapping ») : il traite les mêmes données mais avec un traitement supplémentaire..  Codage des données dans un