Page d'accueil  
  Sécurité  
  Voip  
  Partenaires  
  Contact  
   
 
SIMS
 
  - Prelude-ids
 
  - Corrélation générique
 
  - OSSIM
 
  - Liens
 
Wi-Fi
 
ProxyFilter
 
Mobile Phone Security
 
Solution VPN & PKI
 
Littérature
  
 

SIMS

Avant propos

De nos jours, les réseaux d'entreprise sont exposés à toutes sortes d'attaques informatiques qui vont du simple challenge entre hackers, aux attaques ciblées d'autres organisations ou entreprises concurrentes en passant par le sabotage de serveurs (denis de service) dans le but de discréditer l'entreprise en tant que fournisseur de services ou simplement en tant qu'entreprise. Les attaques internes semblent aussi, en période de crise économique, prendre de l'ampleur. En effet certains employés de sociétés informatiques se sentant menacés provoquent des pannes inopinées pour prouver leur utilité. Ainsi, les problèmes de protection et préventions contre les attaques informatiques sont de plus en plus complexes et variés puisque:

  • les entreprises sont de plus en plus délocalisées et donc disposent de réseaux intranet et extranet nationaux ou/et mondiaux,
  • les attaques peuvent être externes (outdoor) et internes (indoor),
  • les collaborateurs sont de plus en plus mobiles et donc les réseaux d'accès de plus en plus nombreux et variés.

Le résultat de cette situation est qu'une entreprise de taille moyenne désirant se protéger est confrontée à des dizaines voire centaines de dispositions internes de sécurités couvrant les aspects réseaux et applications. A ces dispositions de sécurité sont aussi souvent associées des données administratives nouvelles ou déjà existantes (par exemple les données des profiles gérées par un contrôleur de domaine dans W2k). Ainsi, le responsable des services informatiques et le responsable de la sécurité doivent travailler de plus en plus en étroite collaboration pour garantir la consistance des données administratives. Pour l'administrateur réseau et sécurité, le nouveau challenge consiste donc:

  • à déployer les dispositifs de défense,
  • à assurer par des outils d'observations performants la détection de failles éventuelles et le cas échéant,
  • à redéfinir et redéployer rapidement de nouvelles défenses, voire même redéfinir une nouvelle politique de sécurité.

Cet ensemble d'activités doit être déployé parfois extrêement rapidement à tout moment et indépendamment des heures de travail de la société. Il va de soi que les responsables sécurité devraient disposer d'outils parfaitement opérationnels, eux-même sécurisés, accessibles en partie en télémaintenance et intégrés aux outils de gestion de réseau (par exemple gestion des alarmes, suivi des pannes, gestion des données de configuration et maintenance).

Malheureusement la gestion de la sécurité consiste actuellement à superposer aux outils et données existantes celles relatives à la sécurité. Cela crée des redondances très néfastes au niveau des investissements et surtout au niveau des données avec par exemple des conséquences très fêcheuses lors de révocation de droits d'accès suite à une réaffectation ou au départ d'un collaborateur.

Le problème

La communauté scientifique n'est pas restée insensible à cet état de fait. Ainsi, pour palier à ces problèmes, l'ISO s'était déjà lancé depuis 1997, dans un effort considérable de clarification et standardisation des domaines liés à la sécurité.

Le groupe ISO/CEI/JTC 1/SC 27 s'est en particulier engagé depuis 2001 dans un programme de normalisation de la sécurité des systèmes d'informations. Ce programme prend en considération différents niveaux de contrôles politiques et opérationnels pour protéger les communications des entreprises. Le premier document publié par ce groupe est l'ISO/CEI TR 13335-5. Ce rapport technique définit des lignes directrices pour les responsables de la gestion de la sécurité IT, en particulier en ce qui concerne les réseaux et les communications.

Actuellement les organes de standardisation ainsi que les entreprises considèrent désormais la sécurité comme un aspect fonctionnel indissociable du réseau et des nouveaux services informatiques. Les entreprises s'attendent dorénavant à ce que les fournisseurs de services IT leur apportent des solutions de sécurité standardisées et intégrées aux outils de gestion des réseaux informatiques.

Beaucoup de sociétés informatiques déjà actives dans le domaine de la gestion de réseau et sensibles à ce nouveau créneau de marché, déploient de grands efforts pour développer des plateformes de gestion de la sécurité. Il n'est donc pas étonnant de retrouver en tête de liste pour la gestion de la sécurité, les mêmes produits que ceux que l'on rencontre déjà dans la gestion des réseaux à savoir : Tivoli et OpenView.

Cependant, ces solutions sont trop complexes et coûteuses pour répondre aux besoins des petites et moyennes entreprises. Dans notre évaluation du marché, nous avons constaté surtout l'émergence de nouvelles plates formes de gestion de sécurité, très spécialisées et plus adaptées aux PME. Cette nouvelle génération de produits dispose d'outils d'analyse et de corrélation pouvant dans une certaine mesure déterminer, parfois même en temps réel, la gravité de la menace ou la profondeur de l'intrusion en cours. Cette intelligence est cependant très redevable du flux d'information provenant des différents organes à surveiller, respectivement à protéger. Le problème à résoudre est le suivant:

Développement d'activités de filtrage, de corrélation et de diagnostic intelligent, disposant de bases de données de méthodes d'intrusion toujours plus riches.

 

Les phases du projet

Ce projet de grande envergure devra aboutir sur une solution de management de sécurité, capable de détecter des intrusions dans un réseau d'entreprise, puis d'afficher les résultats en temps réel à l'administrateur de sécurité. Etant donnée la complexité du problème, une segmentation du projet en plusieurs parties est indispensable. Le tableau suivant présente le découpage du projet:

N° de phase Nom de phase Résumé Mots-clés
1 SIMS-Prelude Mise en place d'un manager (Prelude) récupérant de manière sécurisée les logs de plusieurs sources. Ensuite une corrélation, basé sur des scénarii, est effectuée permettant d'épurer les logs générés. IDS, Manager central, corrélation, scénarii, requêtes-réponses, analyse comportementale
2 SIMS-Web Solution basée sur SIMS-Prelude, mais orienté vers les attaques web. Implémentation d'un réverse-proxy afin de sécuriser au maximum le serveur. Corrélation, Web, http, reverse-proxy, Prelude, Squid, Dansguardian
3 SIMS-OSSIM OSSIM, logiciel open source, met à disposition une palettes d'outils d'analyses et de détection d'intrusions. But de cette phase: comprendre OSSIM et y ajouter des plugins. Open source, corrélation, temps-réel, palette d'outils, agents, analyse heuristique
       

Participants

HEIG-VD ::Institut ICT::
  • Stefano Ventura (Professeur et directeur de l'instiut)
  • Cyril Friche (ingénieur HES)
  • Joël Winteregg (ingénieur HES)
  • Patrick Saladino (ingénieur HES)
EIG ::laboratoire de transmission de données::
  • Gérald Litzistorf (directeur du laboratoire)
  • Sébastien Contreras (ingénieur HES)
Conseils externes:
  • Sylvain Maret (CTO et CO-fondateur d' E-Xpert Solutions SA)
  • Christian Buchs (Professeur à la HEIG-VD)
  • Dominique Karg (développeur d'OSSIM)
  • David Gil (développeur d'OSSIM)
  • Juan Manuel Lorenzo (développeur d'OSSIM)
 
Webmaster