SEC/TRS/00/008 - 1MMD

Présentation du Projet MIRADOR

A L C T E L

19/06/2000

CELAR/CASSI

SEC/TRS/00/008 - 2MMD

Le Consortium Le Contexte Les Objectifs de MIRADOR Le Périmètre Notre Démarche Les étapes clés Enseignements à mi parcours Questions/Réponses

SOMMAIREA L C T E L CELAR

SEC/TRS/00/008 - 3MMD

Activités Sécurité Alcatel - NAD

Sécurisation d ’architecture Audits Sécurité (Intrusion, Vérification, Agrément) Suivi des failles, Base d ’attaques Méthodes et Outils Travaux Sécurité du Centre de recherche du groupe Participation à 17 groupes de normalisation Participation active dans le CERT - IST Autres : Dernières acquisitions - Accord de distribution/entités

Le ConsortiumA L C T E L CELAR

SEC/TRS/00/008 - 4MMD

Recherche = réseaux : QOS, Sûreté, Sécurité Contrôle d’accès sur réseau ATM Sécurisation des échanges entre 2 sites ATM Supervision de la sécurité et détection d ’intrusion sur réseaux IP

Nos PartenairesA L C T E L

Expression de besoins, règlements, politiques et modèles de sécurité

Fusion symboliques : bases de données, de règles, .. Coopération : I.A. distribuée Reconnaissance d ’intentions d ’attaques

Axes de recherche sur les problèmes que pose la sécurité des SI

Recherche en détection d’intrusions: prototype GASSATA Expérience de localisation de traces d ’attaque Expérimentation filtrage trafic IP

CELAR

SEC/TRS/00/008 - 5MMD

L ’évolution et l ’ouverture du SI accroît le niveau d ’intégration L ’intégration de systèmes d ’origine diverse pose le problème de leur

maîtrise. Des parades appropriées en cas d ’incident, impliquent une qualité de

détection et une analyse des anomalies Les travaux théoriques et les produits existants sont basés

sur une analyse fastidieuse des Logs qui pénalisent la faculté de réaction sur une liste d ’attaques ou de profils anormaux, précédemment répertoriée la caractérisation de l ’intrusion pose problème dans beaucoup de circonstances.

Le CELAR a souhaité lancé un programme d ’étude amont destiné à prototyper une plate-forme de détection basée sur l ’état de l ’art de solutions issues de la recherche du domaine public et commercial

A L C T E L Le ContexteCELAR

SEC/TRS/00/008 - 6MMD

A L C T E L Les Objectifs

Prototypage incrémental d ’une gamme de solutions ou produits avec les exigences ci-après: Sélection des approches les plus pertinentes Intégration de principes architecturaux ouverts Fourniture d ’une vision globale à l ’exploitant

Couverture de domaines variés Analyse de l ’activité Écoute Contre-mesures Fusion de données Coopération Élaboration de diagnostics Synthèse

CELAR

SEC/TRS/00/008 - 7MMD

PérimètreA L C T E L

Détecter les intrusions

Caractériser les Intrusions

S ’opposer aux intrusions reconnues

CELAR

SEC/TRS/00/008 - 8MMD

PérimètreA L C T E L

Lutter efficacement contreles intrusions dans le respect des

contraintes opérationnelles Etat de l ’art complet: - recherche,

expérimentations - commerce, domaine

publicMoyens de Protection :- Opérationnels- Évolutifs

CELAR

SEC/TRS/00/008 - 9MMD

DétectionIntrusion

Caractérisation

Réaction

Temps réel/Temps différé

SynthèseProuver

Opposer paradeLeurrerRiposterProcessus réactif

PérimètreA L C T E L CELAR

SEC/TRS/00/008 - 10MMD

État de l'art &Modalités de prototypage

Orientations &Proto

•État de l'art()

•Attaques

•Outils actuels

•Spécifications

•Dossier orientations

•Architecture

•Proto passif

Proto multi approche &Actif

•Proto multi approche

•Proto V3 (actif)

Notre démarcheA L C T E L CELAR

SEC/TRS/00/008 - 11MMD

État de l ’art Détection d ’intrusion

• Approches multiples

• Classification & Synthèse

Typologie des intrusions• Description générique avec une grammaire

• Classification

Coopération de différents mécanismes de détection• Enrichissement mutuel

• Confirmation de diagnostic

Réaction• Typologie

• Limites

Étapes clésA L C T E L CELAR

SEC/TRS/00/008 - 12MMD

Outils Banc de tests générique

• Plate-forme

• Vulnérabilités

Tests des produits commerciaux• 7 produits commerciaux qui représentent plus de 90% du marché

Tests de produits issus du domaine public Tests de proto issus de la recherche Une comparaison qui intègre des critères qualitatifs Problématique des faux positifs et des faux négatifs

Étapes clésA L C T E L CELAR

SEC/TRS/00/008 - 13MMD

Générateur de tests Point d'observationBoîte noire à tester

Étapes clésA L C T E L CELAR

SEC/TRS/00/008 - 14MMD

Étapes clésA L C T E L CELAR

SEC/TRS/00/008 - 15MMD

Base d ’attaques dédiées Une centaine d ’attaques

• Buffer overflow, faille de daemon,de librairie, ICMP, Fagmentation, flooding,

• Déni de service, CGI, Demande d ’info et écoute….rwho, finger

Environnement LINUX, SOLARIS, NT Services d ’entreprises

• WWW, FTP, NIS, NFS, MAIL, DNS, X11, Finger, Telnet

Répartition des attaques par date

200011%

199955%

199830%

1997+19964%

Étapes clésA L C T E L

Répartition des attaques par catégorie

Local13%

Remote68%

Remote DOS19%

CELAR

SEC/TRS/00/008 - 16MMD

Architecture Nature variée des outils (sonde, marqueur de vulnérabilité,

générateur d ’alarme..) Configuration et mise à jour des outils

• Règles dérivées de la politique de sécurité

• Mise à jour des scénarios

Coopération, corrélation, fusion, diagnostics Synthèse/IHM pour l ’opérateur Plate-forme d ’accueil d ’IDS

Étapes clésA L C T E L CELAR

SEC/TRS/00/008 - 17MMD

Prototypage Passif Mettre en œuvre d ’abord un proto qui fait coopérer des approches

différentes de la détection Fusion et enrichissement des données d ’intrusion Corrélation des alarmes Confirmation / Infirmation à partir de suspicion d ’anomalie Diagnostic avec réduction de faux positifs

Problème de format de description et d ’échange d ’une part et d ’autre part de volume

Étapes clésA L C T E L CELAR

SEC/TRS/00/008 - 18MMD

Prototypage actif Faculté de rajouter un ou plusieurs approches de détection Aller plus loin que la protection brute lors de la qualification de

l ’incident (coupure de connexion,..) Faire durer la connexion ou la présence de l ’attaquant tout en

l ’empêchant d ’obtenir des informations valides:• leurre

• transfert massif d ’information vers l ’attaquant

Problème d ’augmentation du risque si il y a défaut dans la qualité de la réaction.

Étapes clésA L C T E L CELAR

SEC/TRS/00/008 - 19MMD

Les produits commerciaux ne couvrent pas les besoins Des solutions issues de la recherche présentent des signes

prometteurs Coopération et Corrélation sur la base d ’approches

différentes permettent de capitaliser sur l ’existant tout en laissant des ouvertures pour les évolutions

La normalisation ne progresse pas mais les récentes attaques (CNN, Yahoo ..) ont créé des déclics chez des professionnels (ISP).

Mirador se veut Pionnier dans la coopération. C ’est pas gagné d ’avance mais la voie doit être

expérimentée.

Quelques enseignementsA L C T E L CELAR