Get documents about "Pr�sentation du Projet MIRADOR
Shared by: HC120301214454
-
Stats
- views:
- 6
- posted:
- 3/1/2012
- language:
- pages:
- 19
Document Sample
CELAR/CASSI
Présentation du Projet MIRADOR
A L C T E L
SEC/TRS/00/008 - MMD 1 19/06/2000
A L C T E L CELAR SOMMAIRE
Le Consortium
Le Contexte
Les Objectifs de MIRADOR
Le Périmètre
Notre Démarche
Les étapes clés
Enseignements à mi parcours
Questions/Réponses
SEC/TRS/00/008 - MMD 2
A L C T E L CELAR Le Consortium
Activités Sécurité Alcatel - NAD
Sécurisation d ’architecture
Audits Sécurité (Intrusion, Vérification, Agrément)
Suivi des failles, Base d ’attaques
Méthodes et Outils
Travaux Sécurité du Centre de recherche du groupe
Participation à 17 groupes de normalisation
Participation active dans le CERT - IST
Autres : Dernières acquisitions - Accord de distribution/entités
SEC/TRS/00/008 - MMD 3
A L C T E L CELAR Nos Partenaires
Recherche = réseaux : QOS, Sûreté, Sécurité
Contrôle d’accès sur réseau ATM
Sécurisation des échanges entre 2 sites ATM
Supervision de la sécurité et détection d ’intrusion sur réseaux IP
Expression de besoins, règlements, politiques et
modèles de sécurité
Fusion symboliques : bases de données, de règles, ..
Coopération : I.A. distribuée
Reconnaissance d ’intentions d ’attaques
Axes de recherche sur les problèmes que pose la
sécurité des SI
Recherche en détection d’intrusions: prototype GASSATA
Expérience de localisation de traces d ’attaque
Expérimentation filtrage trafic IP
SEC/TRS/00/008 - MMD 4
A L C T E L CELAR Le Contexte
L ’évolution et l ’ouverture du SI accroît le niveau d ’intégration
L ’intégration de systèmes d ’origine diverse pose le problème de leur
maîtrise.
Des parades appropriées en cas d ’incident, impliquent une qualité de
détection et une analyse des anomalies
Les travaux théoriques et les produits existants sont basés
sur une analyse fastidieuse des Logs qui pénalisent la faculté de réaction
sur une liste d ’attaques ou de profils anormaux, précédemment répertoriée
la caractérisation de l ’intrusion pose problème dans beaucoup de circonstances.
Le CELAR a souhaité lancé un programme d ’étude amont destiné à
prototyper une plate-forme de détection basée sur l ’état de l ’art
de solutions issues de la recherche
du domaine public et commercial
SEC/TRS/00/008 - MMD 5
A L C T E L CELAR Les Objectifs
Prototypage incrémental d ’une gamme de solutions ou produits avec les
exigences ci-après:
Sélection des approches les plus pertinentes
Intégration de principes architecturaux ouverts
Fourniture d ’une vision globale à l ’exploitant
Couverture de domaines variés
Analyse de l ’activité
Écoute
Contre-mesures
Fusion de données
Coopération
Élaboration de diagnostics
Synthèse
SEC/TRS/00/008 - MMD 6
A L C T E L CELAR Périmètre
Détecter les intrusions
Caractériser les S ’opposer aux intrusions
Intrusions reconnues
SEC/TRS/00/008 - MMD 7
A L C T E L CELAR Périmètre
Lutter efficacement contre
les intrusions dans le respect des
Etat de l ’art complet:
contraintes opérationnelles
- recherche, expérimentations
- commerce, domaine public
Moyens de Protection :
- Opérationnels
- Évolutifs
SEC/TRS/00/008 - MMD 8
A L C T E L CELAR Périmètre
Détection Temps réel/
Intrusion Temps différé
Synthèse
Caractérisation Prouver
Opposer parade
Leurrer
Réaction Riposter
Processus réactif
SEC/TRS/00/008 - MMD 9
A L C T E L CELAR Notre démarche
État de l'art &
Orientations & Proto multi
Modalités de
Proto approche &Actif
prototypage
•État de l'art()
•Dossier orientations •Proto
multi approche
•Attaques
•Architecture
•Outils actuels
•Proto V3 (actif)
•Spécifications
•Proto passif
SEC/TRS/00/008 - MMD 10
A L C T E L CELAR Étapes clés
État de l ’art
Détection d ’intrusion
• Approches multiples
• Classification & Synthèse
Typologie des intrusions
• Description générique avec une grammaire
• Classification
Coopération de différents mécanismes de détection
• Enrichissement mutuel
• Confirmation de diagnostic
Réaction
• Typologie
• Limites
SEC/TRS/00/008 - MMD 11
A L C T E L CELAR Étapes clés
Outils
Banc de tests générique
• Plate-forme
• Vulnérabilités
Tests des produits commerciaux
• 7 produits commerciaux qui représentent plus de 90% du marché
Tests de produits issus du domaine public
Tests de proto issus de la recherche
Une comparaison qui intègre des critères qualitatifs
Problématique des faux positifs et des faux négatifs
SEC/TRS/00/008 - MMD 12
A L C T E L CELAR Étapes clés
Générateur de tests Boîte noire à tester Point d'observ ation
SEC/TRS/00/008 - MMD 13
A L C T E L CELAR Étapes clés
SEC/TRS/00/008 - MMD 14
A L C T E L CELAR Étapes clés
Base d ’attaques dédiées
Une centaine d ’attaques
• Buffer overflow, faille de daemon,de librairie, ICMP, Fagmentation, flooding,
• Déni de service, CGI, Demande d ’info et écoute….rwho, finger
Environnement LINUX, SOLARIS, NT
Services d ’entreprises
• WWW, FTP, NIS, NFS, MAIL, DNS, X11, Finger, Telnet
Répartition des attaques par catégorie Répartition des attaques par date
1998
30%
Remote DOS
19%
Remote
68% 1997+1996
1999 4%
Local 55%
2000
13%
11%
SEC/TRS/00/008 - MMD 15
A L C T E L CELAR Étapes clés
Architecture
Nature variée des outils (sonde, marqueur de vulnérabilité,
générateur d ’alarme..)
Configuration et mise à jour des outils
• Règles dérivées de la politique de sécurité
• Mise à jour des scénarios
Coopération, corrélation, fusion, diagnostics
Synthèse/IHM pour l ’opérateur
Plate-forme d ’accueil d ’IDS
SEC/TRS/00/008 - MMD 16
A L C T E L CELAR Étapes clés
Prototypage Passif
Mettre en œuvre d ’abord un proto qui fait coopérer des approches
différentes de la détection
Fusion et enrichissement des données d ’intrusion
Corrélation des alarmes
Confirmation / Infirmation à partir de suspicion d ’anomalie
Diagnostic avec réduction de faux positifs
Problème de format de description et d ’échange d ’une
part et d ’autre part de volume
SEC/TRS/00/008 - MMD 17
A L C T E L CELAR Étapes clés
Prototypage actif
Faculté de rajouter un ou plusieurs approches de détection
Aller plus loin que la protection brute lors de la qualification de
l ’incident (coupure de connexion,..)
Faire durer la connexion ou la présence de l ’attaquant tout en
l ’empêchant d ’obtenir des informations valides:
• leurre
• transfert massif d ’information vers l ’attaquant
Problème d ’augmentation du risque si il y a défaut dans la
qualité de la réaction.
SEC/TRS/00/008 - MMD 18
A L C T E L CELAR Quelques enseignements
Les produits commerciaux ne couvrent pas les besoins
Des solutions issues de la recherche présentent des signes
prometteurs
Coopération et Corrélation sur la base d ’approches
différentes permettent de capitaliser sur l ’existant tout en
laissant des ouvertures pour les évolutions
La normalisation ne progresse pas mais les récentes
attaques (CNN, Yahoo ..) ont créé des déclics chez des
professionnels (ISP).
Mirador se veut Pionnier dans la coopération.
C ’est pas gagné d ’avance mais la voie doit être
expérimentée.
SEC/TRS/00/008 - MMD 19
