Upload
nadine-alvarez
View
102
Download
0
Embed Size (px)
Citation preview
SEC/TRS/00/008 - 1MMD
Présentation du Projet MIRADOR
A L C T E L
19/06/2000
CELAR/CASSI
SEC/TRS/00/008 - 2MMD
Le Consortium Le Contexte Les Objectifs de MIRADOR Le Périmètre Notre Démarche Les étapes clés Enseignements à mi parcours Questions/Réponses
SOMMAIREA L C T E L CELAR
SEC/TRS/00/008 - 3MMD
Activités Sécurité Alcatel - NAD
Sécurisation d ’architecture Audits Sécurité (Intrusion, Vérification, Agrément) Suivi des failles, Base d ’attaques Méthodes et Outils Travaux Sécurité du Centre de recherche du groupe Participation à 17 groupes de normalisation Participation active dans le CERT - IST Autres : Dernières acquisitions - Accord de distribution/entités
Le ConsortiumA L C T E L CELAR
SEC/TRS/00/008 - 4MMD
Recherche = réseaux : QOS, Sûreté, Sécurité Contrôle d’accès sur réseau ATM Sécurisation des échanges entre 2 sites ATM Supervision de la sécurité et détection d ’intrusion sur réseaux IP
Nos PartenairesA L C T E L
Expression de besoins, règlements, politiques et modèles de sécurité
Fusion symboliques : bases de données, de règles, .. Coopération : I.A. distribuée Reconnaissance d ’intentions d ’attaques
Axes de recherche sur les problèmes que pose la sécurité des SI
Recherche en détection d’intrusions: prototype GASSATA Expérience de localisation de traces d ’attaque Expérimentation filtrage trafic IP
CELAR
SEC/TRS/00/008 - 5MMD
L ’évolution et l ’ouverture du SI accroît le niveau d ’intégration L ’intégration de systèmes d ’origine diverse pose le problème de leur
maîtrise. Des parades appropriées en cas d ’incident, impliquent une qualité de
détection et une analyse des anomalies Les travaux théoriques et les produits existants sont basés
sur une analyse fastidieuse des Logs qui pénalisent la faculté de réaction sur une liste d ’attaques ou de profils anormaux, précédemment répertoriée la caractérisation de l ’intrusion pose problème dans beaucoup de circonstances.
Le CELAR a souhaité lancé un programme d ’étude amont destiné à prototyper une plate-forme de détection basée sur l ’état de l ’art de solutions issues de la recherche du domaine public et commercial
A L C T E L Le ContexteCELAR
SEC/TRS/00/008 - 6MMD
A L C T E L Les Objectifs
Prototypage incrémental d ’une gamme de solutions ou produits avec les exigences ci-après: Sélection des approches les plus pertinentes Intégration de principes architecturaux ouverts Fourniture d ’une vision globale à l ’exploitant
Couverture de domaines variés Analyse de l ’activité Écoute Contre-mesures Fusion de données Coopération Élaboration de diagnostics Synthèse
CELAR
SEC/TRS/00/008 - 7MMD
PérimètreA L C T E L
Détecter les intrusions
Caractériser les Intrusions
S ’opposer aux intrusions reconnues
CELAR
SEC/TRS/00/008 - 8MMD
PérimètreA L C T E L
Lutter efficacement contreles intrusions dans le respect des
contraintes opérationnelles Etat de l ’art complet: - recherche,
expérimentations - commerce, domaine
publicMoyens de Protection :- Opérationnels- Évolutifs
CELAR
SEC/TRS/00/008 - 9MMD
DétectionIntrusion
Caractérisation
Réaction
Temps réel/Temps différé
SynthèseProuver
Opposer paradeLeurrerRiposterProcessus réactif
PérimètreA L C T E L CELAR
SEC/TRS/00/008 - 10MMD
État de l'art &Modalités de prototypage
Orientations &Proto
•État de l'art()
•Attaques
•Outils actuels
•Spécifications
•Dossier orientations
•Architecture
•Proto passif
Proto multi approche &Actif
•Proto multi approche
•Proto V3 (actif)
Notre démarcheA L C T E L CELAR
SEC/TRS/00/008 - 11MMD
État de l ’art Détection d ’intrusion
• Approches multiples
• Classification & Synthèse
Typologie des intrusions• Description générique avec une grammaire
• Classification
Coopération de différents mécanismes de détection• Enrichissement mutuel
• Confirmation de diagnostic
Réaction• Typologie
• Limites
Étapes clésA L C T E L CELAR
SEC/TRS/00/008 - 12MMD
Outils Banc de tests générique
• Plate-forme
• Vulnérabilités
Tests des produits commerciaux• 7 produits commerciaux qui représentent plus de 90% du marché
Tests de produits issus du domaine public Tests de proto issus de la recherche Une comparaison qui intègre des critères qualitatifs Problématique des faux positifs et des faux négatifs
Étapes clésA L C T E L CELAR
SEC/TRS/00/008 - 13MMD
Générateur de tests Point d'observationBoîte noire à tester
Étapes clésA L C T E L CELAR
SEC/TRS/00/008 - 14MMD
Étapes clésA L C T E L CELAR
SEC/TRS/00/008 - 15MMD
Base d ’attaques dédiées Une centaine d ’attaques
• Buffer overflow, faille de daemon,de librairie, ICMP, Fagmentation, flooding,
• Déni de service, CGI, Demande d ’info et écoute….rwho, finger
Environnement LINUX, SOLARIS, NT Services d ’entreprises
• WWW, FTP, NIS, NFS, MAIL, DNS, X11, Finger, Telnet
Répartition des attaques par date
200011%
199955%
199830%
1997+19964%
Étapes clésA L C T E L
Répartition des attaques par catégorie
Local13%
Remote68%
Remote DOS19%
CELAR
SEC/TRS/00/008 - 16MMD
Architecture Nature variée des outils (sonde, marqueur de vulnérabilité,
générateur d ’alarme..) Configuration et mise à jour des outils
• Règles dérivées de la politique de sécurité
• Mise à jour des scénarios
Coopération, corrélation, fusion, diagnostics Synthèse/IHM pour l ’opérateur Plate-forme d ’accueil d ’IDS
Étapes clésA L C T E L CELAR
SEC/TRS/00/008 - 17MMD
Prototypage Passif Mettre en œuvre d ’abord un proto qui fait coopérer des approches
différentes de la détection Fusion et enrichissement des données d ’intrusion Corrélation des alarmes Confirmation / Infirmation à partir de suspicion d ’anomalie Diagnostic avec réduction de faux positifs
Problème de format de description et d ’échange d ’une part et d ’autre part de volume
Étapes clésA L C T E L CELAR
SEC/TRS/00/008 - 18MMD
Prototypage actif Faculté de rajouter un ou plusieurs approches de détection Aller plus loin que la protection brute lors de la qualification de
l ’incident (coupure de connexion,..) Faire durer la connexion ou la présence de l ’attaquant tout en
l ’empêchant d ’obtenir des informations valides:• leurre
• transfert massif d ’information vers l ’attaquant
Problème d ’augmentation du risque si il y a défaut dans la qualité de la réaction.
Étapes clésA L C T E L CELAR
SEC/TRS/00/008 - 19MMD
Les produits commerciaux ne couvrent pas les besoins Des solutions issues de la recherche présentent des signes
prometteurs Coopération et Corrélation sur la base d ’approches
différentes permettent de capitaliser sur l ’existant tout en laissant des ouvertures pour les évolutions
La normalisation ne progresse pas mais les récentes attaques (CNN, Yahoo ..) ont créé des déclics chez des professionnels (ISP).
Mirador se veut Pionnier dans la coopération. C ’est pas gagné d ’avance mais la voie doit être
expérimentée.
Quelques enseignementsA L C T E L CELAR