Pr�sentation du Projet MIRADOR

Document Sample
Pr�sentation du Projet MIRADOR Powered By Docstoc
					                       CELAR/CASSI




                Présentation du Projet MIRADOR




A L C   T E L

                       SEC/TRS/00/008 -   MMD    1   19/06/2000
A L C     T E L             CELAR                  SOMMAIRE


   Le Consortium
   Le Contexte
   Les Objectifs de MIRADOR
   Le Périmètre
   Notre Démarche
   Les étapes clés
   Enseignements à mi parcours
   Questions/Réponses



                          SEC/TRS/00/008 -   MMD   2
A L C    T E L                  CELAR                    Le Consortium

 Activités Sécurité Alcatel - NAD
    Sécurisation d ’architecture
    Audits Sécurité (Intrusion, Vérification, Agrément)
    Suivi des failles, Base d ’attaques
    Méthodes et Outils
    Travaux Sécurité du Centre de recherche du groupe
    Participation à 17 groupes de normalisation
    Participation active dans le CERT - IST
    Autres : Dernières acquisitions - Accord de distribution/entités




                              SEC/TRS/00/008 -   MMD            3
A L C   T E L                  CELAR                     Nos Partenaires
               Recherche = réseaux : QOS, Sûreté, Sécurité
               Contrôle d’accès sur réseau ATM
               Sécurisation des échanges entre 2 sites ATM
               Supervision de la sécurité et détection d ’intrusion sur réseaux IP

             Expression de besoins, règlements, politiques et
              modèles de sécurité
             Fusion symboliques : bases de données, de règles, ..
             Coopération : I.A. distribuée
             Reconnaissance d ’intentions d ’attaques
             Axes de recherche sur les problèmes que pose la
              sécurité des SI
             Recherche en détection d’intrusions: prototype GASSATA
             Expérience de localisation de traces d ’attaque
             Expérimentation filtrage trafic IP

                             SEC/TRS/00/008 -     MMD               4
A L C     T E L                     CELAR                         Le Contexte

 L ’évolution et l ’ouverture du SI accroît le niveau d ’intégration
 L ’intégration de systèmes d ’origine diverse pose le problème de leur
  maîtrise.
 Des parades appropriées en cas d ’incident, impliquent une qualité de
  détection et une analyse des anomalies
 Les travaux théoriques et les produits existants sont basés
     sur une analyse fastidieuse des Logs qui pénalisent la faculté de réaction
     sur une liste d ’attaques ou de profils anormaux, précédemment répertoriée
     la caractérisation de l ’intrusion pose problème dans beaucoup de circonstances.
 Le CELAR a souhaité lancé un programme d ’étude amont destiné à
  prototyper une plate-forme de détection basée sur l ’état de l ’art
     de solutions issues de la recherche
     du domaine public et commercial


                                 SEC/TRS/00/008 -    MMD               5
A L C      T E L                       CELAR                   Les Objectifs

 Prototypage incrémental d ’une gamme de solutions ou produits avec les
  exigences ci-après:
     Sélection des approches les plus pertinentes
     Intégration de principes architecturaux ouverts
     Fourniture d ’une vision globale à l ’exploitant
 Couverture de domaines variés
       Analyse de l ’activité
       Écoute
       Contre-mesures
       Fusion de données
       Coopération
       Élaboration de diagnostics
       Synthèse


                                     SEC/TRS/00/008 -    MMD     6
A L C     T E L              CELAR                         Périmètre

                   Détecter les intrusions




Caractériser les                              S ’opposer aux intrusions
  Intrusions                                  reconnues


                           SEC/TRS/00/008 -   MMD          7
      A L C      T E L                 CELAR                            Périmètre




    Lutter efficacement contre
les intrusions dans le respect des
                                                        Etat de l ’art complet:
   contraintes opérationnelles
                                                         - recherche, expérimentations
                                                         - commerce, domaine public


                                                        Moyens de Protection :
                                                        - Opérationnels
                                                        - Évolutifs




                                     SEC/TRS/00/008 -      MMD           8
A L C    T E L              CELAR                         Périmètre



           Détection                    Temps réel/
           Intrusion                   Temps différé


                                             Synthèse
        Caractérisation                      Prouver

                                      Opposer parade
                                      Leurrer
           Réaction                   Riposter
                                      Processus réactif


                          SEC/TRS/00/008 -    MMD         9
  A L C      T E L        CELAR              Notre démarche

État de l'art &
                     Orientations &                 Proto multi
 Modalités de
                         Proto                    approche &Actif
 prototypage


 •État de l'art()
                     •Dossier orientations       •Proto
                                                     multi approche
 •Attaques
                     •Architecture
 •Outils actuels
                                                 •Proto V3 (actif)
 •Spécifications
                     •Proto passif


                        SEC/TRS/00/008 -   MMD        10
A L C    T E L                   CELAR                    Étapes clés


  État de l ’art
     Détection d ’intrusion
        • Approches multiples
        • Classification & Synthèse
     Typologie des intrusions
        • Description générique avec une grammaire
        • Classification
     Coopération de différents mécanismes de détection
        • Enrichissement mutuel
        • Confirmation de diagnostic
     Réaction
        • Typologie
        • Limites

                               SEC/TRS/00/008 -   MMD      11
A L C    T E L                   CELAR                         Étapes clés


 Outils
    Banc de tests générique
        • Plate-forme
        • Vulnérabilités
    Tests des produits commerciaux
        • 7 produits commerciaux qui représentent plus de 90% du marché
    Tests de produits issus du domaine public
    Tests de proto issus de la recherche
    Une comparaison qui intègre des critères qualitatifs
    Problématique des faux positifs et des faux négatifs




                               SEC/TRS/00/008 -   MMD             12
A L C      T E L           CELAR                        Étapes clés




   Générateur de tests     Boîte noire à tester         Point d'observ ation




                         SEC/TRS/00/008 -         MMD     13
A L C   T E L     CELAR                  Étapes clés




                SEC/TRS/00/008 -   MMD    14
A L C    T E L                                 CELAR                           Étapes clés

  Base d ’attaques dédiées
     Une centaine d ’attaques
        • Buffer overflow, faille de daemon,de librairie, ICMP, Fagmentation, flooding,
        • Déni de service, CGI, Demande d ’info et écoute….rwho, finger
     Environnement LINUX, SOLARIS, NT
     Services d ’entreprises
        • WWW, FTP, NIS, NFS, MAIL, DNS, X11, Finger, Telnet


           Répartition des attaques par catégorie               Répartition des attaques par date
                                                                                            1998
                                                                                            30%
                                             Remote DOS
                                                19%

            Remote
             68%                                                                                   1997+1996
                                                                 1999                                 4%
                                            Local                55%
                                                                                              2000
                                            13%
                                                                                              11%
                                            SEC/TRS/00/008 -   MMD                  15
A L C    T E L                     CELAR                      Étapes clés



 Architecture
    Nature variée des outils (sonde, marqueur de vulnérabilité,
     générateur d ’alarme..)
    Configuration et mise à jour des outils
        • Règles dérivées de la politique de sécurité
        • Mise à jour des scénarios
    Coopération, corrélation, fusion, diagnostics
    Synthèse/IHM pour l ’opérateur
    Plate-forme d ’accueil d ’IDS




                                 SEC/TRS/00/008 -       MMD    16
A L C   T E L                  CELAR                       Étapes clés



 Prototypage Passif
    Mettre en œuvre d ’abord un proto qui fait coopérer des approches
     différentes de la détection
    Fusion et enrichissement des données d ’intrusion
    Corrélation des alarmes
    Confirmation / Infirmation à partir de suspicion d ’anomalie
    Diagnostic avec réduction de faux positifs
 Problème de format de description et d ’échange d ’une
  part et d ’autre part de volume


                             SEC/TRS/00/008 -   MMD          17
A L C    T E L                      CELAR                      Étapes clés



 Prototypage actif
    Faculté de rajouter un ou plusieurs approches de détection
    Aller plus loin que la protection brute lors de la qualification de
     l ’incident (coupure de connexion,..)
    Faire durer la connexion ou la présence de l ’attaquant tout en
     l ’empêchant d ’obtenir des informations valides:
        • leurre
        • transfert massif d ’information vers l ’attaquant
 Problème d ’augmentation du risque si il y a défaut dans la
  qualité de la réaction.


                                 SEC/TRS/00/008 -     MMD         18
A L C    T E L      CELAR         Quelques enseignements

 Les produits commerciaux ne couvrent pas les besoins
 Des solutions issues de la recherche présentent des signes
  prometteurs
 Coopération et Corrélation sur la base d ’approches
  différentes permettent de capitaliser sur l ’existant tout en
  laissant des ouvertures pour les évolutions
 La normalisation ne progresse pas mais les récentes
  attaques (CNN, Yahoo ..) ont créé des déclics chez des
  professionnels (ISP).
 Mirador se veut Pionnier dans la coopération.
 C ’est pas gagné d ’avance mais la voie doit être
  expérimentée.
                           SEC/TRS/00/008 -   MMD       19

				
DOCUMENT INFO
Shared By:
Categories:
Tags:
Stats:
views:8
posted:3/1/2012
language:
pages:19