Scribd
Importer
1K vues30 pages

Le Système de Surveillance de La Sécurité Des Réseaux, Security Onion

Le document présente le système de surveillance de sécurité Security Onion. Il décrit les outils d'analyse d'alertes comme Snorby, SQueRT, Sguil et ELSA ainsi que les détecteurs d'intrusion réseau Snort, Suricata et Bro et le détecteur d'intrusion hôte OSSEC. Le document couvre l'installation, la maintenance et le support de Security Onion.

Transféré par

Humbert Tony
Copyright
© © All Rights Reserved
Nous prenons très au sérieux les droits relatifs au contenu. Si vous pensez qu’il s’agit de votre contenu, signalez une atteinte au droit d’auteur ici.
Formats disponibles
Téléchargez aux formats PDF, TXT ou lisez en ligne sur Scribd
1K vues30 pages

Le Système de Surveillance de La Sécurité Des Réseaux, Security Onion

Le document présente le système de surveillance de sécurité Security Onion. Il décrit les outils d'analyse d'alertes comme Snorby, SQueRT, Sguil et ELSA ainsi que les détecteurs d'intrusion réseau Snort, Suricata et Bro et le détecteur d'intrusion hôte OSSEC. Le document couvre l'installation, la maintenance et le support de Security Onion.

Transféré par

Humbert Tony
Copyright
© © All Rights Reserved
Nous prenons très au sérieux les droits relatifs au contenu. Si vous pensez qu’il s’agit de votre contenu, signalez une atteinte au droit d’auteur ici.
Formats disponibles
Téléchargez aux formats PDF, TXT ou lisez en ligne sur Scribd
Vous êtes sur la page 1/ 30

ASIQ - 11 novembre 2015

Le système de surveillance Wayne Veilleux, CISSP


de la sécurité des réseaux, WayComm Inc.
[email protected]
Security Onion
Déroulement
❖ Détection d’intrusion 101
❖ Introduction à Security Onion
❖ Présentation des outils d’analyseur d’alertes:
❖ Snorby
❖ Squert
❖ Sguil
❖ ELSA
❖ NIDS : Snort/Suricata
❖ NIDS Comportemental : Bro
❖ HIDS : OSSEC
❖ Installation, maintenance et support
❖ Démo Live
Détection d’intrusion 101

❖ IDS : Un système de détection d'intrusion (IDS:


« Intrusion Detection System ») est un mécanisme
destiné à repérer des activités anormales ou suspectes
sur la cible analysée (un réseau ou un hôte). Il permet
ainsi d'avoir une connaissance sur les tentatives réussies
comme échouées des intrusions.
❖ NIDS et HIDS
Introduction à Security Onion
Qu’est-ce que Security Onion ?
❖ C’est une distribution Linux (Ubuntu 12.04 - LTS Avril 2017 *) qui intègre
des outils de sécurité issus de communauté Open Source (maintenu par
Doug Burks) pour en faire un NSMS complet incluant les fonctions de:
❖ Capture et sauvegarde de trafic;
❖ NIDS (signature et comportemental);
❖ HIDS;
❖ Journalisation d’évènements;
❖ Architecture distribuée (client/serveur);
❖ Outils d’analyse et rapports;
* Présentement en phase d’être porté à Ubuntu 14.04 LTS Avril 2019 d’ici la fin de l’année 2015
* http://www.ubuntu.com/info/release-end-of-life
Objectif de cette présentation
❖ Nous sommes tous des professionnels de la sécurité des TIC et
Security Onion est une solution disponible et gratuite qui peut
nous permettre:
❖ de parfaire nos compétences;
❖ d’explorer de nouvelles connaissances;
❖ de « goûter » à l’échange dynamique d’une communauté issue
du logiciel libre;
❖ de surveiller notre accès Internet résidentiel;
❖ et pourquoi pas celle de notre entreprise ;-)
Architecture de Security Onion

❖ Bleu: capture/analyse de trafic – Vert : Interface usager - Jaune: Connecteur - Rond: Structure de donnée - Cylindre: BD
Présentation des outils
d’analyseur d’alertes
Snorby

❖ Web 2.0, Ajax, Ruby-on-Rails (Interface « Cool »);


❖ Alertes NIDS seulement;
❖ Peut basculer vers CapMe pour accéder aux paquets;
❖ Base de donnée MySQL centrale;
❖ Application sur iPhone (App Store);
❖ https://snorby.org/
Snorby - Interface WEB
SQueRT
❖ Interface PHP à la base de donnée Sguil;
❖ Plus de type d’alertes que Snorby:
❖ Alertes NIDS
❖ Alertes HIDS (OSSEC)
❖ Données d’inventaire (si PRADS activé)
❖ Journaux HTTP (si http_agent activé)
❖ http://www.squertproject.org/
SQueRT - Interface WEB
Sguil

❖ Tcl/tk – Client lourd, pas Web;


❖ Alertes NIDS/HIDS, sessions, inventaire et http;
❖ Peu basculer vers transcript/Wireshark/
NetworkMiner/ELSA;
❖ Base de donnée MySQL centrale;
❖ http://sguil.sourceforge.net/
Sguil - Client lourd
ELSA (Enterprise Log Search and Archive)

❖ Script PERL qui attache l’enregistreur de journaux syslog-ng avec une


base de donnée MySQL et un indexeur de recherche appelé Sphinx;
❖ Interface WEB pour faire des recherches à travers les évènements de
Bro, Snort, OSSEC et syslog;
❖ Peu basculer vers CapMe pour accéder aux paquets;
❖ Très rapide, très évolutif (chaque sonde/nœud a sa propre BD MySQL
et index de recherche Sphinx, 50K events/sec);
❖ Tableaux de bord avec les API Google Visualization;
❖ https://code.google.com/p/enterprise-log-search-and-archive/
ELSA - Architecture
ELSA - Interface WEB
ELSA - Tableau de bord
NIDS Snort
❖ Snort est un programme qui surveille le trafic réseau et l’analyse en
comparant avec des règles définies par l’utilisateur. À partir de cette
fonction, il exécute des actions pré-définies telle la génération
d’alerte.
❖ C’est ce qu’on appel un NIDS (Network Intrusion Detection System)
❖ Développé par Marthy Rosch (1998)
❖ Intégré dans SourceFire (Maintenant Cisco FirePower/FireSight)
❖ Mono-thread et IDS seulement: OpenSource
❖ Multi-Thread et IPS: Commercial (Cisco FirePower)
NIDS Suricata
❖ Suricata est supporté par le département Homeland
Security des USA et développé par le Open Information
Security Foundation (OISF).
❖ Fonctionnalités:
❖ Multi-thread et IPS
❖ Mode IPS avancé avec Linux Netfilter
❖ Réputation IP
NIDS Bro
❖ Analyse temps-réel et passive du trafic;
❖ Support de cluster pour déploiement grande entreprise;
❖ Support de plusieurs protocoles applicatifs incluant; DNS,
FTP, HTTP, IRC, SMTP, SSH, SSL, etc…
❖ Analyse du contenu d’échange de fichier et validation
d’infection de code malicieux;
❖ Support de IPv6;
❖ Détection des tunnels, incluant; Ayiya, Teredo et GTPv1.
HIDS OSSEC
❖ Vérification d’intégrité de fichier
❖ Surveillance des journaux et évènements locaux et exportation vers ELSA;
❖ Conformité à des exigences externes (PCI, etc…);
❖ Configuration pour génération d’alerte automatisée;
❖ Supporté par Trend Micro;
❖ Multiplateforme: Linux, Solaris, AIX, HP-UX, BSD, Windows, Mac et VMware ESXi;
❖ Intégration avec SIEM;
❖ Gestion centralisée;
❖ Détection de Rootkit;
❖ Configuration de réponse active lors d’alerte.
Installation, maintenance et support
Installation - Physique

❖ Prérequis: 1 PC (ou VM)


(2coeurs/3GO-RAM/10GO-
HD), 2 NIC et un TAP ou
port SPAN/Miroir du
commutateur *
❖ Téléchargement du fichier
ISO pour l’installation **

* https://github.com/Security-Onion-Solutions/security-onion/wiki/Hardware
** http://sourceforge.net/projects/security-onion/files/12.04.5.3/
Installation - Logique
❖ Préalablement, déterminer le mode d’installation:
❖ « Standalone »: Console de gestion + Sonde;
❖ « Master »: Console seulement;
❖ « Sensor »: Sonde seulement.
❖ L’installation d’Ubuntu avec l’environnement LiveCD;
❖ La configuration des interfaces réseaux de gestion et de
surveillance;
❖ L’installation et configuration des méta-paquets de Security Onion.
Maintenance

❖ Un des grands avantages d’utiliser Security Onion, c’est


la maintenance et la mise à jour des paquets par un
script appelé; « soup ».
❖ Au besoin, par la commande « sudo soup », le système
se mets à jour en tenant compte des dépendances entre
les logiciels pour assurer un mise à niveau sans souci.
❖ Suivre le Blog de Doug Burks pour les mises-à-jour.
Support

❖ Communauté Logiciel Libre:


❖ Blog: http://securityonion.blogspot.ca
❖ Mailing-list: https://
groups.google.com/forum/#!forum/
security-onion

❖ Commercial :
❖ http://www.securityonionsolutions.com/
Démonstration « Installation »
❖ Création d’une nouvelle machine virtuelle avec les paramètres suivants:
❖ 2 CPU, 3GO de RAM, 2 NIC, 8GO de HD, DVD sur le fichier ISO
d’installation.
❖ Démarrer avec le « Live-CD »;
❖ Exécuté l’installation, répondre aux questions et redémarrer;
❖ Après s’être authentifié, exécuter le programme « setup »;
❖ Configurer les interfaces de gestion et de surveillance, puis redémarrer;
❖ Après s’être authentifié, exécuter le programme « setup » une 2e fois et suivre
l’installation par défaut.
❖ Voilà, c’est tout; Security Onion est prêt pour faire son travail :)
Démonstration « LIVE »
❖ Présentation du Bureau de Security Onion
❖ Injection de trafic malicieux:
❖ Méthode OODA - Observer Orienter Décider Agir
❖ Séquence de l’attaque
❖ Téléchargement du Trojan
❖ Validation de compromission
❖ Utilisation de Bro et ELSA
Ce fut un plaisir d’être avec vous.

Questions ?

Vous aimerez peut-être aussi