Page d'accueil  
  Sécurité  
  Voip  
  Partenaires  
  Contact  
   
 
SIMS
 
  - Prelude-ids
 
  - Corrélation générique
 
  - OSSIM
 
  - Liens
 
Wi-Fi
 
ProxyFilter
 
Mobile Phone Security
 
Solution VPN & PKI
 
Littérature
  
 

Prelude-ids

Introduction

La première phase de l'ambitieux projet SIMS & VoIP débute par un dégrossissement effectué principalement par Patrick Saladino, dans le cadre de son travail de diplôme. L'idée de base consiste à mettre en place un manager de sécurité centralisé (figure 1) capable de faire face au flot d'alertes et autres problèmes rapportés par les HIDS et NIDS du réseau. Son but premier est de récolter toutes ces alertes et de les présenter dans un format unique et homogène, rendant ainsi possible l'analyse de ces informations par le staff responsable de la sécurité. Ce but a donc été atteint via l'étude et l'utilisation de la solution Open Source prelude-ids.

Manager centralisé

Une fois toutes les alertes brutes récupérées, il est indispensable demettre en place un mécanisme de corrélation. Ce dernier permettra dediminuer une partiedes faux-positifs, sans toutefois les éradiquertotalement. Ainsi, l'administrateur de sécurité aura une vue globalesur les attaques qui ont réellement abouties, sans devoir visualiserles unes après les autres les milliers d'alertes générées. Cette partiea donc fait l'objet d'une implémentation PHP d'une interface Web(offrant une fonctionnalité de corrélation) pour prelude-ids.

Architecture générale

Dans un premier temps, une structure de base permettant de standardiser le format des messages d'alerte et d'acheminer ces derniers en un endroit unique a été réalisée, ceci via une connexion sécurisée. Une architecture hiérarchique basée sur Prelude-IDS fut utilisée comme manager centralisé, comme le montre la Figure 2.

Dans un deuxième temps, l'architecture s'est enrichie d'une application d'analyse et de corrélation basée sur une architecture 3 tier (Apache, PHP & MySQL), permettant de ne présenter au responsable de la sécurité que les événements sécuritaires qui méritent un suivi et ceci sous forme synthétique. Le moteur d'analyse est fractionné en trois parties bien distinctes, à savoir:

  1. Une analyse comportementale qui permet d'extraire les véritables alertes du bruit ambiant via des opérations statistiques.
  2. Une analyse basée sur la gravité des événements.
  3. Un moteur de corrélation qui ne signale que les attaques dirigées vers un certain type de cible et qui ont abouti, ceci à l'aide d'un puissant mécanisme de scénarii configurables.
Schéma général de Prelude
 
Webmaster