Page d'accueil  
  Sécurité  
  Voip  
  Partenaires  
  Contact  
   
 
SIMS
 
  - Prelude-ids
 
  - Corrélation générique
 
  - OSSIM
 
  - Liens
 
Wi-Fi
 
ProxyFilter
 
Mobile Phone Security
 
Solution VPN & PKI
 
Littérature
  
 

SIMS - corrélation générique orientée Web

Introduction

Cette étude nous a permis de considérer et d'implémenter un moteur de corrélation d'alertes d'IDS non plus basé sur des signatures complexes d'attaques réseaux mais sur l'architecture à protéger. En effet, le moteur de corrélation développé dans le cadre de SIMS-Prelude (phase 1) réalisé par Patrick Saladino durant son travail de diplôme HES, nous a permis d'observer le résultat d'une corrélation basée sur la recherche d'événements indépendants (alertes d'IDS) composant une attaque complexe définie à l'aide de directives (règles). Cette méthode, efficace d'un point de vue technique, présente rapidement des faiblesses puisqu'elle implique la création de nouvelles directives pour chaque nouvelle attaque découverte. Il sera ainsi très pénible de tenir à jour la liste des règles d'attaques complexes (black list).

L'approche utilisée dans la présente étude (SIMS orienté Web) repose sur une investigation dans l'architecture réseau à protéger. Ce principe de fonctionnement permettra l'automatisation des premières analyses effectuées par l'administrateur réseau en charge de la sécurité. En effet, lorsqu'un événement critique (attaque potentielle) aura été détecté par l'une ou l'autre des sondes, le moteur de corrélation aura la capacité de rechercher différents événements communs (provenant de la même attaque) sur d'emplacements réseaux hétérogènes. Il agira, comme le ferait l'administrateur en charge de la sécurité, en recherchant des preuves sur différents dispositifs réseaux (firewalls, reverse-proxys, NIDS, HIDS, etc...) afin de définir si l'événement déclencheur de l'investigation (attaque potentielle) est critique ou pas.

Tests et Implémentation

Le principe de rapatriement des alertes d'IDS repose sur l'architecture sécurisée proposée par l'outil Open Source Prelude-IDS étudié dans le chapitre SIMS Prelude (phase 1). Une architecture réseau "classique" d'entreprise nous a permis d'analyser le comportement du moteur de corrélation implémenté dans le cadre de cette étude, comme le montre la figure ci-dessous.

 

Architecture classique d'une entreprise réalisée dans le cadre du projet

Le serveur Web à protéger est précédé d'un reverse-proxy Squid couplé à Dansguardian (deux produits Open Source) permettant de protéger et filtrer les requêtes HTTP émises vers le serveur Web. Les alarmes émises par les différentes sondes (IDS) sont rapatriées vers la base de données d'un manager centralisé (Prelude Manager) via un flux sécurisé (SSL).

Après l'étude de différentes possibilités de recherche de similitudes entre les alarmes levées par les sondes les plus proches du serveur Web (donc les plus critiques) nous avons défini un graphe d'états permettant d'illustrer les différentes étapes d'investigation nécessaires. Nous avons ensuite implémenté cette méthodologie (moteur de corrélation) sous forme de site Web dynamique en Perl, permettant ainsi son intégration dans l'interface existante de Prelude. Le moteur de corrélation ainsi crée fonctionnera de manière différée (non temps réel), puisque l'interaction sur l'interface Web de Prelude est nécessaire pour son exécution.

 
Webmaster