SlideShare ist ein Scribd-Unternehmen logo

2016-06-15-Suricata–IDS_Libres_par_Eric Leblond–Stamus Network.pdf

D
DilanTiobou

cybersécurity

Technologie
1 von 39
Downloaden Sie, um offline zu lesen
Suricata: détection d’intrusion réseau É. Leblond Stamus Networks 15 juin 2016 É. Leblond (Stamus Networks) Suricata: détection d’intrusion réseau 15 juin 2016 1 / 31
Éric Leblond Éric Leblond aka @Regiteric Core développeur Suricata et Netfilter Co-fondateur de Stamus Networks É. Leblond (Stamus Networks) Suricata: détection d’intrusion réseau 15 juin 2016 2 / 31
Stamus Networks Sondes de détection d’intrusion réseaux Appliances haute performance Utilisant l’IDS Suricata Gestion centralisée par interface web Services professionnels autour de Suricata Consulting Développements à façon Formations É. Leblond (Stamus Networks) Suricata: détection d’intrusion réseau 15 juin 2016 3 / 31
Suricata : Intrusion Detection System Principe Analyse du trafic réseaux d’une entreprise Recherche de motifs connus comme étant des attaques Émission d’alertes Spécificités Logiciel libre Développé par l’OISF fondation à but non lucratif américaine Multithreadé Détection et analyse des protocoles É. Leblond (Stamus Networks) Suricata: détection d’intrusion réseau 15 juin 2016 4 / 31
Historique de Suricata Développement de zéro Projet né en 2008 Version 1.0 en 2010 Version 3.1 en cours de préparation Commits par domaine Auteurs par année Principaux commiteurs Victor Julien (Hollande) Éric Leblond (France) Anoop Saldanha (Inde) Jason Ish (Canada) É. Leblond (Stamus Networks) Suricata: détection d’intrusion réseau 15 juin 2016 5 / 31
Membres du consortium OISF Platine Or Bronze Débutants É. Leblond (Stamus Networks) Suricata: détection d’intrusion réseau 15 juin 2016 6 / 31
Points clés de Suricata Suricata Analyse pro- tocolaire Détection automatique Extraction métadonnées Protocoles HTTP SMTP TLS DNS SSH Détection d’intrusion Signatures Mots clés protocolaires Attaques multi étapes Lua pour analyse avancée Architecture Sortie JSON Redis Syslog Prelude IDS pcap afpacket netmap IPS Netfilter afpacket ipfw É. Leblond (Stamus Networks) Suricata: détection d’intrusion réseau 15 juin 2016 7 / 31
Signatures alert tcp any any -> 192.168.1.0/24 21 (content : "USER root"; msg : "FTP root login";) É. Leblond (Stamus Networks) Suricata: détection d’intrusion réseau 15 juin 2016 8 / 31
Signatures alert tcp any any -> 192.168.1.0/24 21 (content : "USER root"; msg : "FTP root login";) Action : alert / drop / pass É. Leblond (Stamus Networks) Suricata: détection d’intrusion réseau 15 juin 2016 8 / 31
Signatures alert tcp any any -> 192.168.1.0/24 21 (content : "USER root"; msg : "FTP root login";) IP parameters É. Leblond (Stamus Networks) Suricata: détection d’intrusion réseau 15 juin 2016 8 / 31
Signatures alert tcp any any -> 192.168.1.0/24 21 (content : "USER root"; msg : "FTP root login";) Motif É. Leblond (Stamus Networks) Suricata: détection d’intrusion réseau 15 juin 2016 8 / 31
Signatures alert tcp any any -> 192.168.1.0/24 21 (content : "USER root"; msg : "FTP root login";) Other parameters É. Leblond (Stamus Networks) Suricata: détection d’intrusion réseau 15 juin 2016 8 / 31
Signatures : sources et gestion Sources Emerging Threats (Proofpoint) Mise à jour journalière ET Open : Open source ET Pro : Sur subscription Gestion Mise à jour automatisable Problème des faux positifs Gestion régulière des alertes nécessaires Approche métier pour la sélection des règles É. Leblond (Stamus Networks) Suricata: détection d’intrusion réseau 15 juin 2016 9 / 31
libhtp Un parseur HTTP orienté sécurité Écrit par by Ivan Ristić (ModSecurity, IronBee) Ajout de mots clefs http_method http_uri & http_raw_uri http_client_body & http_server_body http_header & http_raw_header http_cookie et quelques autres . . . Capable de décoder les flux compressés É. Leblond (Stamus Networks) Suricata: détection d’intrusion réseau 15 juin 2016 10 / 31
Suricata : HTTP É. Leblond (Stamus Networks) Suricata: détection d’intrusion réseau 15 juin 2016 11 / 31
Utilisation des mots clefs HTTP Exemple de signature : Chat facebook a l e r t http $HOME_NET any −> $EXTERNAL_NET any ( msg: "ET CHAT Facebook Chat ( send message ) " ; flow : established , to_server ; content : "POST" ; http_method ; content : " / ajax / chat / send . php " ; h t t p _ u r i ; content : " facebook .com" ; http_hostname ; classtype : policy−v i o l a t i o n ; reference : url , doc . emergingthreats . net /2010784; reference : url ,www. emergingthreats . net / cgi−bin / cvsweb . cgi / sigs / POLICY / POLICY_Facebook_Chat ; sid :2010784; rev : 4 ; ) La signature teste : La méthode HTTP : POST La page : /ajax/chat/send.php Le domain : facebook.com É. Leblond (Stamus Networks) Suricata: détection d’intrusion réseau 15 juin 2016 12 / 31
Un parseur de négociation TLS Pas de déchiffrement Method Analyse de la négotiation TLS Parse les messages TLS Un parseur orienté sécurité Code dédié Fournit une base de code modifiable Pas de dépendance externe Contribué par Pierre Chifflier (ANSSI) Avec un focus sécurité : Resistance aux attaques (audit, fuzzing) Détection d’anomalies É. Leblond (Stamus Networks) Suricata: détection d’intrusion réseau 15 juin 2016 13 / 31
Un parseur de négotiations La syntaxe a l e r t tcp $HOME_NET any −> $EXTERNAL_NET 443 devient a l e r t t l s $HOME_NET any −> $EXTERNAL_NET any Interêt : Pas de dépendance aux paramètres IP La recherche de motif est limité aux flux du protocole Moins de faux positifs Plus de performance É. Leblond (Stamus Networks) Suricata: détection d’intrusion réseau 15 juin 2016 14 / 31
Suricata : TLS É. Leblond (Stamus Networks) Suricata: détection d’intrusion réseau 15 juin 2016 15 / 31
Mots clefs TLS tls.version : Match sur la version du protocole tls.subject : Match sur le sujet du certificat tls.issuerdn : Match sur le nom de la CA qui a signé la clef tls.fingerprint : Match l’empreinte du certificat tls.store : Stocke la chaine de certificats et un fichier meta sur disque É. Leblond (Stamus Networks) Suricata: détection d’intrusion réseau 15 juin 2016 16 / 31
Exemple : vérification de politique de sécurité (1/2) Environnement : Un organisme avec des serveurs et une PKI officielle É. Leblond (Stamus Networks) Suricata: détection d’intrusion réseau 15 juin 2016 17 / 31
Exemple : vérification de politique de sécurité (1/2) Environnement : Un organisme avec des serveurs et une PKI officielle L’objectif : Verifier que la PKI est utilisé É. Leblond (Stamus Networks) Suricata: détection d’intrusion réseau 15 juin 2016 17 / 31
Exemple : vérification de politique de sécurité (1/2) Environnement : Un organisme avec des serveurs et une PKI officielle L’objectif : Verifier que la PKI est utilisé Sans trop travailler É. Leblond (Stamus Networks) Suricata: détection d’intrusion réseau 15 juin 2016 17 / 31
Exemple : vérification de politique de sécurité (2/2) Vérifions que les certificats utilisés quand un client négocie une connexion vers un de nos serveurs sont bien signés par notre CA. É. Leblond (Stamus Networks) Suricata: détection d’intrusion réseau 15 juin 2016 18 / 31
Exemple : vérification de politique de sécurité (2/2) Vérifions que les certificats utilisés quand un client négocie une connexion vers un de nos serveurs sont bien signés par notre CA. La signature : a l e r t t l s any any −> $SERVERS any ( t l s . issuerdn : ! "C=NL, O=Staat der Nederlanden , CN=Staat der Nederlanden Root CA" ; ) É. Leblond (Stamus Networks) Suricata: détection d’intrusion réseau 15 juin 2016 18 / 31
Au diable les années 90 Débarassons nous de unified2 Standard de facto pour les alertes Format binaire Difficile à etendre Pas d’API Nous avons besoin de quelque chose d’extensible Pour journaliser les alertes ET les événements protocolaires Facile à générer et à parser Extensible É. Leblond (Stamus Networks) Suricata: détection d’intrusion réseau 15 juin 2016 19 / 31
JavaScript Object Notation JSON JSON (http://www.json.org/) est un format léger pour l’échange de données. Facile à lire et écrire pour un humain. Facile à parser et générer pour une machine. Un objet est un ensemble non ordonné de clef/valeur. Journalisation en JSON {"timestamp":"2012-02-05T15:55:06.661269", "src_ip":"173.194.34.51", "dest_ip":"192.168.1.22", "alert":{"action":"allowed",rev":1,"signature":"SURICATA TLS store"}} É. Leblond (Stamus Networks) Suricata: détection d’intrusion réseau 15 juin 2016 20 / 31
Alerte La structure Les information Ip sont identiques pour tous les événements Suit le Common Information Model Permet une aggrégation simple des événements Suricata avec les sources externes Example {"timestamp":"2014-03-06T05:46:31.170567","event_type":"alert", "src_ip":"61.174.51.224","src_port":2555, "dest_ip":"192.168.1.129","dest_port":22,"proto":"TCP", "alert":{"action":"Pass","gid":1,"signature_id":2006435,"rev":8, "signature":"ET SCAN LibSSH Based SSH Connection - Often used as a BruteForce Tool" "category":"Misc activity","severity":3} } É. Leblond (Stamus Networks) Suricata: détection d’intrusion réseau 15 juin 2016 21 / 31
Network Security Monitoring Protocoles HTTP File TLS SSH DNS SMTP Exemple {"timestamp":"2014-04-10T13:26:05.500472","event_type":"ssh", "src_ip":"192.168.1.129","src_port":45005, "dest_ip":"192.30.252.129","dest_port":22,"proto":"TCP", "ssh":{ "client":{ "proto_version":"2.0","software_version":"OpenSSH_6.6p1 Debian-2" }, "server":{ "proto_version":"2.0","software_version":"libssh-0.6.3"} É. Leblond (Stamus Networks) Suricata: détection d’intrusion réseau 15 juin 2016 22 / 31
Elasticsearch, Logstash et Kibana Elasticsearch est un moteur de recherche distribué (architecture de type cloud computing) utilise une base de données NoSQL utilise la méthode REST Une série d’outils Elasticsearch Logstash : gestion des journaux et transfert sur des sorties variées dont Elasticsearch Kibana : interface web de consultation des données stockées dans Elasticsearch É. Leblond (Stamus Networks) Suricata: détection d’intrusion réseau 15 juin 2016 23 / 31
Un écosystème Suricata type É. Leblond (Stamus Networks) Suricata: détection d’intrusion réseau 15 juin 2016 24 / 31
Amsterdam SELKS : une ISO live et installable Suricata : IDS/NSM open source Détection basée sur des signatures Reconnaissance et analyse protocolaire Elasticsearch : Splunk gratuit Kibana : interface de tableau de bord Logstash : collecte, transformation, transfert Scirius : Gestion des jeux de signatures Docker Gestion de containers sous Linux, Windows, Mac OSX Orchestration via docker compose É. Leblond (Stamus Networks) Suricata: détection d’intrusion réseau 15 juin 2016 25 / 31
Installation d’Amsterdam Installation pip i n s t a l l amsterdam # v e r i f i c a t i o n optionnelle de la version pip show amsterdam # creation de l ’ instance dans le r e p e r t o i r e ams amsterdam −d ams −i wlan0 setup # demarrage de l ’ instance amsterdam −d ams s t a r t Utilisation Pointer le navigateur sur https://localhost/ ou sur l’IP réseau depuis une machine externe. É. Leblond (Stamus Networks) Suricata: détection d’intrusion réseau 15 juin 2016 26 / 31
Scirius : page d’accueil (1/2) É. Leblond (Stamus Networks) Suricata: détection d’intrusion réseau 15 juin 2016 27 / 31
Scirius : page d’une signature (2/2) É. Leblond (Stamus Networks) Suricata: détection d’intrusion réseau 15 juin 2016 28 / 31
Kibana É. Leblond (Stamus Networks) Suricata: détection d’intrusion réseau 15 juin 2016 29 / 31
Indicateurs de compromission IOC Traces permettant de trouver une compromission Système Clef de registres Fichiers Réseau Signature IDS Noms de domaine Adresse IP É. Leblond (Stamus Networks) Suricata: détection d’intrusion réseau 15 juin 2016 30 / 31
Indicateurs de compromission IOC Traces permettant de trouver une compromission Système Clef de registres Fichiers Réseau Signature IDS Noms de domaine Adresse IP Partage d’IOC Sources publique et privée Sources communautaire (MISP) Sources étatique Vérification des IOC Sur le traffic en temps réél avec les signatures A posteriori dans les logs protocolaires É. Leblond (Stamus Networks) Suricata: détection d’intrusion réseau 15 juin 2016 30 / 31
Conclusion Suricata Open Source Communautaire Performant IDS et NSM Plus d’information Suricata : http://www.suricata-ids.org/ Conférence utilisateurs Suricata : http://suricon.net/ Formation développeur Suricata : Paris, 12-16 Septembre https://goo.gl/9tYbWP Amsterdam : https://github.com/StamusNetworks/Amsterdam Stamus Networks : https://www.stamus-networks.com/ É. Leblond (Stamus Networks) Suricata: détection d’intrusion réseau 15 juin 2016 31 / 31

Empfohlen

Snort
SnortSnort
SnortTchadowNet
 
Protection des communications sans-fil - Bernard Lebel
Protection des communications sans-fil - Bernard LebelProtection des communications sans-fil - Bernard Lebel
Protection des communications sans-fil - Bernard LebelWeb à Québec
 
How with Suricata you save the world - NDH2K14
How with Suricata you save the world - NDH2K14How with Suricata you save the world - NDH2K14
How with Suricata you save the world - NDH2K14Sebastien Larinier
 
IPsec
IPsecIPsec
IPsecIvandro Ismael
 
ASFWS 2011 - L’importance du protocole HTTP dans la menace APT
ASFWS 2011 - L’importance du protocole HTTP dans la menace APTASFWS 2011 - L’importance du protocole HTTP dans la menace APT
ASFWS 2011 - L’importance du protocole HTTP dans la menace APTCyber Security Alliance
 
Deployer son propre SOC !
Deployer son propre SOC ! Deployer son propre SOC !
Deployer son propre SOC ! SecludIT
 
Webinar ATP du 30/10/2018
Webinar ATP du 30/10/2018Webinar ATP du 30/10/2018
Webinar ATP du 30/10/2018Zyxel France
 
Réseaux-et-Sécurité.pdf
Réseaux-et-Sécurité.pdfRéseaux-et-Sécurité.pdf
Réseaux-et-Sécurité.pdfMoufidaHajjaj
 

Empfohlen

Snort
SnortSnort
SnortTchadowNet
 
Protection des communications sans-fil - Bernard Lebel
Protection des communications sans-fil - Bernard LebelProtection des communications sans-fil - Bernard Lebel
Protection des communications sans-fil - Bernard LebelWeb à Québec
 
How with Suricata you save the world - NDH2K14
How with Suricata you save the world - NDH2K14How with Suricata you save the world - NDH2K14
How with Suricata you save the world - NDH2K14Sebastien Larinier
 
IPsec
IPsecIPsec
IPsecIvandro Ismael
 
ASFWS 2011 - L’importance du protocole HTTP dans la menace APT
ASFWS 2011 - L’importance du protocole HTTP dans la menace APTASFWS 2011 - L’importance du protocole HTTP dans la menace APT
ASFWS 2011 - L’importance du protocole HTTP dans la menace APTCyber Security Alliance
 
Deployer son propre SOC !
Deployer son propre SOC ! Deployer son propre SOC !
Deployer son propre SOC ! SecludIT
 
Webinar ATP du 30/10/2018
Webinar ATP du 30/10/2018Webinar ATP du 30/10/2018
Webinar ATP du 30/10/2018Zyxel France
 
Réseaux-et-Sécurité.pdf
Réseaux-et-Sécurité.pdfRéseaux-et-Sécurité.pdf
Réseaux-et-Sécurité.pdfMoufidaHajjaj
 
Présentation Microsoft Advanced Threat Analytics | Deep-Dive - MSCloud Summi...
Présentation Microsoft Advanced Threat Analytics | Deep-Dive - MSCloud Summi...Présentation Microsoft Advanced Threat Analytics | Deep-Dive - MSCloud Summi...
Présentation Microsoft Advanced Threat Analytics | Deep-Dive - MSCloud Summi...☁️Seyfallah Tagrerout☁ [MVP]
 
SSL.pdf
SSL.pdfSSL.pdf
SSL.pdfIyadtech
 
Hackfest2010 Tm Dg Fr
Hackfest2010 Tm Dg FrHackfest2010 Tm Dg Fr
Hackfest2010 Tm Dg FrDavid Girard
 
OWASP Top10 Mobile - Attaques et solutions sur Windows Phone
OWASP Top10 Mobile - Attaques et solutions sur Windows PhoneOWASP Top10 Mobile - Attaques et solutions sur Windows Phone
OWASP Top10 Mobile - Attaques et solutions sur Windows PhoneMicrosoft
 
Sécurités & Annuaires
Sécurités & AnnuairesSécurités & Annuaires
Sécurités & AnnuairesPaulin CHOUDJA
 
Introduction à La Sécurité Informatique 1/2
Introduction à La Sécurité Informatique 1/2Introduction à La Sécurité Informatique 1/2
Introduction à La Sécurité Informatique 1/2Sylvain Maret
 
Firewall opensource et gestion de configuration pour l'infrastructure
Firewall opensource et gestion de configuration pour l'infrastructureFirewall opensource et gestion de configuration pour l'infrastructure
Firewall opensource et gestion de configuration pour l'infrastructureJohan Moreau
 
Introduction à La Sécurité Informatique 2/2
Introduction à La Sécurité Informatique 2/2Introduction à La Sécurité Informatique 2/2
Introduction à La Sécurité Informatique 2/2Sylvain Maret
 
Intelligence économique : Le monitoring
Intelligence économique : Le monitoringIntelligence économique : Le monitoring
Intelligence économique : Le monitoringKhalifa Tall
 
Rapport projet
Rapport projetRapport projet
Rapport projetKhadija Dija
 
Les bases de la securité informatique
Les bases de la securité informatiqueLes bases de la securité informatique
Les bases de la securité informatiqueMozes Pierre
 
Les Firewalls
Les FirewallsLes Firewalls
Les FirewallsSylvain Maret
 
Les Firewalls / Sécurité informatique
Les Firewalls / Sécurité informatiqueLes Firewalls / Sécurité informatique
Les Firewalls / Sécurité informatiqueSylvain Maret
 
Comprendre la securite web
Comprendre la securite webComprendre la securite web
Comprendre la securite webChristophe Villeneuve
 
Projet IPv6 Matrix / Version française intégrale
Projet IPv6 Matrix / Version française intégraleProjet IPv6 Matrix / Version française intégrale
Projet IPv6 Matrix / Version française intégraleOlivier MJ Crépin-Leblond
 
Elastic Morocco user group meetup June
Elastic Morocco user group meetup JuneElastic Morocco user group meetup June
Elastic Morocco user group meetup JuneAnna Ossowski
 
3 Microsoft Advanced Threat Analytics - Genève
3 Microsoft Advanced Threat Analytics - Genève3 Microsoft Advanced Threat Analytics - Genève
3 Microsoft Advanced Threat Analytics - GenèveaOS Community
 
Comment analyser une machine linux compromise
Comment analyser une machine linux compromiseComment analyser une machine linux compromise
Comment analyser une machine linux compromiseTarek MOHAMED
 
Reconnaissance
ReconnaissanceReconnaissance
ReconnaissanceAbdul Baacit Coulibaly
 
Mise en place d’un laboratoire de sécurité « Scénarios d’Attaques et Détectio...
Mise en place d’un laboratoire de sécurité « Scénarios d’Attaques et Détectio...Mise en place d’un laboratoire de sécurité « Scénarios d’Attaques et Détectio...
Mise en place d’un laboratoire de sécurité « Scénarios d’Attaques et Détectio...Trésor-Dux LEBANDA
 

Weitere ähnliche Inhalte

Ähnlich wie 2016-06-15-Suricata–IDS_Libres_par_Eric Leblond–Stamus Network.pdf

Présentation Microsoft Advanced Threat Analytics | Deep-Dive - MSCloud Summi...
Présentation Microsoft Advanced Threat Analytics | Deep-Dive - MSCloud Summi...Présentation Microsoft Advanced Threat Analytics | Deep-Dive - MSCloud Summi...
Présentation Microsoft Advanced Threat Analytics | Deep-Dive - MSCloud Summi...☁️Seyfallah Tagrerout☁ [MVP]
 
Hackfest2010 Tm Dg Fr
Hackfest2010 Tm Dg FrHackfest2010 Tm Dg Fr
Hackfest2010 Tm Dg FrDavid Girard
 
OWASP Top10 Mobile - Attaques et solutions sur Windows Phone
OWASP Top10 Mobile - Attaques et solutions sur Windows PhoneOWASP Top10 Mobile - Attaques et solutions sur Windows Phone
OWASP Top10 Mobile - Attaques et solutions sur Windows PhoneMicrosoft
 
Sécurités & Annuaires
Sécurités & AnnuairesSécurités & Annuaires
Sécurités & AnnuairesPaulin CHOUDJA
 
Introduction à La Sécurité Informatique 1/2
Introduction à La Sécurité Informatique 1/2Introduction à La Sécurité Informatique 1/2
Introduction à La Sécurité Informatique 1/2Sylvain Maret
 
Firewall opensource et gestion de configuration pour l'infrastructure
Firewall opensource et gestion de configuration pour l'infrastructureFirewall opensource et gestion de configuration pour l'infrastructure
Firewall opensource et gestion de configuration pour l'infrastructureJohan Moreau
 
Introduction à La Sécurité Informatique 2/2
Introduction à La Sécurité Informatique 2/2Introduction à La Sécurité Informatique 2/2
Introduction à La Sécurité Informatique 2/2Sylvain Maret
 
Intelligence économique : Le monitoring
Intelligence économique : Le monitoringIntelligence économique : Le monitoring
Intelligence économique : Le monitoringKhalifa Tall
 
Les bases de la securité informatique
Les bases de la securité informatiqueLes bases de la securité informatique
Les bases de la securité informatiqueMozes Pierre
 
Les Firewalls / Sécurité informatique
Les Firewalls / Sécurité informatiqueLes Firewalls / Sécurité informatique
Les Firewalls / Sécurité informatiqueSylvain Maret
 
Projet IPv6 Matrix / Version française intégrale
Projet IPv6 Matrix / Version française intégraleProjet IPv6 Matrix / Version française intégrale
Projet IPv6 Matrix / Version française intégraleOlivier MJ Crépin-Leblond
 
Elastic Morocco user group meetup June
Elastic Morocco user group meetup JuneElastic Morocco user group meetup June
Elastic Morocco user group meetup JuneAnna Ossowski
 
3 Microsoft Advanced Threat Analytics - Genève
3 Microsoft Advanced Threat Analytics - Genève3 Microsoft Advanced Threat Analytics - Genève
3 Microsoft Advanced Threat Analytics - GenèveaOS Community
 
Comment analyser une machine linux compromise
Comment analyser une machine linux compromiseComment analyser une machine linux compromise
Comment analyser une machine linux compromiseTarek MOHAMED
 
Mise en place d’un laboratoire de sécurité « Scénarios d’Attaques et Détectio...
Mise en place d’un laboratoire de sécurité « Scénarios d’Attaques et Détectio...Mise en place d’un laboratoire de sécurité « Scénarios d’Attaques et Détectio...
Mise en place d’un laboratoire de sécurité « Scénarios d’Attaques et Détectio...Trésor-Dux LEBANDA
 

Ähnlich wie 2016-06-15-Suricata–IDS_Libres_par_Eric Leblond–Stamus Network.pdf (20)

Présentation Microsoft Advanced Threat Analytics | Deep-Dive - MSCloud Summi...
Présentation Microsoft Advanced Threat Analytics | Deep-Dive - MSCloud Summi...Présentation Microsoft Advanced Threat Analytics | Deep-Dive - MSCloud Summi...
Présentation Microsoft Advanced Threat Analytics | Deep-Dive - MSCloud Summi...
 
SSL.pdf
SSL.pdfSSL.pdf
SSL.pdf
 
Hackfest2010 Tm Dg Fr
Hackfest2010 Tm Dg FrHackfest2010 Tm Dg Fr
Hackfest2010 Tm Dg Fr
 
OWASP Top10 Mobile - Attaques et solutions sur Windows Phone
OWASP Top10 Mobile - Attaques et solutions sur Windows PhoneOWASP Top10 Mobile - Attaques et solutions sur Windows Phone
OWASP Top10 Mobile - Attaques et solutions sur Windows Phone
 
Sécurités & Annuaires
Sécurités & AnnuairesSécurités & Annuaires
Sécurités & Annuaires
 
Introduction à La Sécurité Informatique 1/2
Introduction à La Sécurité Informatique 1/2Introduction à La Sécurité Informatique 1/2
Introduction à La Sécurité Informatique 1/2
 
Firewall opensource et gestion de configuration pour l'infrastructure
Firewall opensource et gestion de configuration pour l'infrastructureFirewall opensource et gestion de configuration pour l'infrastructure
Firewall opensource et gestion de configuration pour l'infrastructure
 
Introduction à La Sécurité Informatique 2/2
Introduction à La Sécurité Informatique 2/2Introduction à La Sécurité Informatique 2/2
Introduction à La Sécurité Informatique 2/2
 
Intelligence économique : Le monitoring
Intelligence économique : Le monitoringIntelligence économique : Le monitoring
Intelligence économique : Le monitoring
 
Rapport projet
Rapport projetRapport projet
Rapport projet
 
Les bases de la securité informatique
Les bases de la securité informatiqueLes bases de la securité informatique
Les bases de la securité informatique
 
Les Firewalls
Les FirewallsLes Firewalls
Les Firewalls
 
Les Firewalls / Sécurité informatique
Les Firewalls / Sécurité informatiqueLes Firewalls / Sécurité informatique
Les Firewalls / Sécurité informatique
 
Comprendre la securite web
Comprendre la securite webComprendre la securite web
Comprendre la securite web
 
Projet IPv6 Matrix / Version française intégrale
Projet IPv6 Matrix / Version française intégraleProjet IPv6 Matrix / Version française intégrale
Projet IPv6 Matrix / Version française intégrale
 
Elastic Morocco user group meetup June
Elastic Morocco user group meetup JuneElastic Morocco user group meetup June
Elastic Morocco user group meetup June
 
3 Microsoft Advanced Threat Analytics - Genève
3 Microsoft Advanced Threat Analytics - Genève3 Microsoft Advanced Threat Analytics - Genève
3 Microsoft Advanced Threat Analytics - Genève
 
Comment analyser une machine linux compromise
Comment analyser une machine linux compromiseComment analyser une machine linux compromise
Comment analyser une machine linux compromise
 
Reconnaissance
ReconnaissanceReconnaissance
Reconnaissance
 
Mise en place d’un laboratoire de sécurité « Scénarios d’Attaques et Détectio...
Mise en place d’un laboratoire de sécurité « Scénarios d’Attaques et Détectio...Mise en place d’un laboratoire de sécurité « Scénarios d’Attaques et Détectio...
Mise en place d’un laboratoire de sécurité « Scénarios d’Attaques et Détectio...
 

2016-06-15-Suricata–IDS_Libres_par_Eric Leblond–Stamus Network.pdf

  • 1. Suricata: détection d’intrusion réseau É. Leblond Stamus Networks 15 juin 2016 É. Leblond (Stamus Networks) Suricata: détection d’intrusion réseau 15 juin 2016 1 / 31
  • 2. Éric Leblond Éric Leblond aka @Regiteric Core développeur Suricata et Netfilter Co-fondateur de Stamus Networks É. Leblond (Stamus Networks) Suricata: détection d’intrusion réseau 15 juin 2016 2 / 31
  • 3. Stamus Networks Sondes de détection d’intrusion réseaux Appliances haute performance Utilisant l’IDS Suricata Gestion centralisée par interface web Services professionnels autour de Suricata Consulting Développements à façon Formations É. Leblond (Stamus Networks) Suricata: détection d’intrusion réseau 15 juin 2016 3 / 31
  • 4. Suricata : Intrusion Detection System Principe Analyse du trafic réseaux d’une entreprise Recherche de motifs connus comme étant des attaques Émission d’alertes Spécificités Logiciel libre Développé par l’OISF fondation à but non lucratif américaine Multithreadé Détection et analyse des protocoles É. Leblond (Stamus Networks) Suricata: détection d’intrusion réseau 15 juin 2016 4 / 31
  • 5. Historique de Suricata Développement de zéro Projet né en 2008 Version 1.0 en 2010 Version 3.1 en cours de préparation Commits par domaine Auteurs par année Principaux commiteurs Victor Julien (Hollande) Éric Leblond (France) Anoop Saldanha (Inde) Jason Ish (Canada) É. Leblond (Stamus Networks) Suricata: détection d’intrusion réseau 15 juin 2016 5 / 31
  • 6. Membres du consortium OISF Platine Or Bronze Débutants É. Leblond (Stamus Networks) Suricata: détection d’intrusion réseau 15 juin 2016 6 / 31
  • 7. Points clés de Suricata Suricata Analyse pro- tocolaire Détection automatique Extraction métadonnées Protocoles HTTP SMTP TLS DNS SSH Détection d’intrusion Signatures Mots clés protocolaires Attaques multi étapes Lua pour analyse avancée Architecture Sortie JSON Redis Syslog Prelude IDS pcap afpacket netmap IPS Netfilter afpacket ipfw É. Leblond (Stamus Networks) Suricata: détection d’intrusion réseau 15 juin 2016 7 / 31
  • 8. Signatures alert tcp any any -> 192.168.1.0/24 21 (content : "USER root"; msg : "FTP root login";) É. Leblond (Stamus Networks) Suricata: détection d’intrusion réseau 15 juin 2016 8 / 31
  • 9. Signatures alert tcp any any -> 192.168.1.0/24 21 (content : "USER root"; msg : "FTP root login";) Action : alert / drop / pass É. Leblond (Stamus Networks) Suricata: détection d’intrusion réseau 15 juin 2016 8 / 31
  • 10. Signatures alert tcp any any -> 192.168.1.0/24 21 (content : "USER root"; msg : "FTP root login";) IP parameters É. Leblond (Stamus Networks) Suricata: détection d’intrusion réseau 15 juin 2016 8 / 31
  • 11. Signatures alert tcp any any -> 192.168.1.0/24 21 (content : "USER root"; msg : "FTP root login";) Motif É. Leblond (Stamus Networks) Suricata: détection d’intrusion réseau 15 juin 2016 8 / 31
  • 12. Signatures alert tcp any any -> 192.168.1.0/24 21 (content : "USER root"; msg : "FTP root login";) Other parameters É. Leblond (Stamus Networks) Suricata: détection d’intrusion réseau 15 juin 2016 8 / 31
  • 13. Signatures : sources et gestion Sources Emerging Threats (Proofpoint) Mise à jour journalière ET Open : Open source ET Pro : Sur subscription Gestion Mise à jour automatisable Problème des faux positifs Gestion régulière des alertes nécessaires Approche métier pour la sélection des règles É. Leblond (Stamus Networks) Suricata: détection d’intrusion réseau 15 juin 2016 9 / 31
  • 14. libhtp Un parseur HTTP orienté sécurité Écrit par by Ivan Ristić (ModSecurity, IronBee) Ajout de mots clefs http_method http_uri & http_raw_uri http_client_body & http_server_body http_header & http_raw_header http_cookie et quelques autres . . . Capable de décoder les flux compressés É. Leblond (Stamus Networks) Suricata: détection d’intrusion réseau 15 juin 2016 10 / 31
  • 15. Suricata : HTTP É. Leblond (Stamus Networks) Suricata: détection d’intrusion réseau 15 juin 2016 11 / 31
  • 16. Utilisation des mots clefs HTTP Exemple de signature : Chat facebook a l e r t http $HOME_NET any −> $EXTERNAL_NET any ( msg: "ET CHAT Facebook Chat ( send message ) " ; flow : established , to_server ; content : "POST" ; http_method ; content : " / ajax / chat / send . php " ; h t t p _ u r i ; content : " facebook .com" ; http_hostname ; classtype : policy−v i o l a t i o n ; reference : url , doc . emergingthreats . net /2010784; reference : url ,www. emergingthreats . net / cgi−bin / cvsweb . cgi / sigs / POLICY / POLICY_Facebook_Chat ; sid :2010784; rev : 4 ; ) La signature teste : La méthode HTTP : POST La page : /ajax/chat/send.php Le domain : facebook.com É. Leblond (Stamus Networks) Suricata: détection d’intrusion réseau 15 juin 2016 12 / 31
  • 17. Un parseur de négociation TLS Pas de déchiffrement Method Analyse de la négotiation TLS Parse les messages TLS Un parseur orienté sécurité Code dédié Fournit une base de code modifiable Pas de dépendance externe Contribué par Pierre Chifflier (ANSSI) Avec un focus sécurité : Resistance aux attaques (audit, fuzzing) Détection d’anomalies É. Leblond (Stamus Networks) Suricata: détection d’intrusion réseau 15 juin 2016 13 / 31
  • 18. Un parseur de négotiations La syntaxe a l e r t tcp $HOME_NET any −> $EXTERNAL_NET 443 devient a l e r t t l s $HOME_NET any −> $EXTERNAL_NET any Interêt : Pas de dépendance aux paramètres IP La recherche de motif est limité aux flux du protocole Moins de faux positifs Plus de performance É. Leblond (Stamus Networks) Suricata: détection d’intrusion réseau 15 juin 2016 14 / 31
  • 19. Suricata : TLS É. Leblond (Stamus Networks) Suricata: détection d’intrusion réseau 15 juin 2016 15 / 31
  • 20. Mots clefs TLS tls.version : Match sur la version du protocole tls.subject : Match sur le sujet du certificat tls.issuerdn : Match sur le nom de la CA qui a signé la clef tls.fingerprint : Match l’empreinte du certificat tls.store : Stocke la chaine de certificats et un fichier meta sur disque É. Leblond (Stamus Networks) Suricata: détection d’intrusion réseau 15 juin 2016 16 / 31
  • 21. Exemple : vérification de politique de sécurité (1/2) Environnement : Un organisme avec des serveurs et une PKI officielle É. Leblond (Stamus Networks) Suricata: détection d’intrusion réseau 15 juin 2016 17 / 31
  • 22. Exemple : vérification de politique de sécurité (1/2) Environnement : Un organisme avec des serveurs et une PKI officielle L’objectif : Verifier que la PKI est utilisé É. Leblond (Stamus Networks) Suricata: détection d’intrusion réseau 15 juin 2016 17 / 31
  • 23. Exemple : vérification de politique de sécurité (1/2) Environnement : Un organisme avec des serveurs et une PKI officielle L’objectif : Verifier que la PKI est utilisé Sans trop travailler É. Leblond (Stamus Networks) Suricata: détection d’intrusion réseau 15 juin 2016 17 / 31
  • 24. Exemple : vérification de politique de sécurité (2/2) Vérifions que les certificats utilisés quand un client négocie une connexion vers un de nos serveurs sont bien signés par notre CA. É. Leblond (Stamus Networks) Suricata: détection d’intrusion réseau 15 juin 2016 18 / 31
  • 25. Exemple : vérification de politique de sécurité (2/2) Vérifions que les certificats utilisés quand un client négocie une connexion vers un de nos serveurs sont bien signés par notre CA. La signature : a l e r t t l s any any −> $SERVERS any ( t l s . issuerdn : ! "C=NL, O=Staat der Nederlanden , CN=Staat der Nederlanden Root CA" ; ) É. Leblond (Stamus Networks) Suricata: détection d’intrusion réseau 15 juin 2016 18 / 31
  • 26. Au diable les années 90 Débarassons nous de unified2 Standard de facto pour les alertes Format binaire Difficile à etendre Pas d’API Nous avons besoin de quelque chose d’extensible Pour journaliser les alertes ET les événements protocolaires Facile à générer et à parser Extensible É. Leblond (Stamus Networks) Suricata: détection d’intrusion réseau 15 juin 2016 19 / 31
  • 27. JavaScript Object Notation JSON JSON (http://www.json.org/) est un format léger pour l’échange de données. Facile à lire et écrire pour un humain. Facile à parser et générer pour une machine. Un objet est un ensemble non ordonné de clef/valeur. Journalisation en JSON {"timestamp":"2012-02-05T15:55:06.661269", "src_ip":"173.194.34.51", "dest_ip":"192.168.1.22", "alert":{"action":"allowed",rev":1,"signature":"SURICATA TLS store"}} É. Leblond (Stamus Networks) Suricata: détection d’intrusion réseau 15 juin 2016 20 / 31
  • 28. Alerte La structure Les information Ip sont identiques pour tous les événements Suit le Common Information Model Permet une aggrégation simple des événements Suricata avec les sources externes Example {"timestamp":"2014-03-06T05:46:31.170567","event_type":"alert", "src_ip":"61.174.51.224","src_port":2555, "dest_ip":"192.168.1.129","dest_port":22,"proto":"TCP", "alert":{"action":"Pass","gid":1,"signature_id":2006435,"rev":8, "signature":"ET SCAN LibSSH Based SSH Connection - Often used as a BruteForce Tool" "category":"Misc activity","severity":3} } É. Leblond (Stamus Networks) Suricata: détection d’intrusion réseau 15 juin 2016 21 / 31
  • 30. Elasticsearch, Logstash et Kibana Elasticsearch est un moteur de recherche distribué (architecture de type cloud computing) utilise une base de données NoSQL utilise la méthode REST Une série d’outils Elasticsearch Logstash : gestion des journaux et transfert sur des sorties variées dont Elasticsearch Kibana : interface web de consultation des données stockées dans Elasticsearch É. Leblond (Stamus Networks) Suricata: détection d’intrusion réseau 15 juin 2016 23 / 31
  • 31. Un écosystème Suricata type É. Leblond (Stamus Networks) Suricata: détection d’intrusion réseau 15 juin 2016 24 / 31
  • 32. Amsterdam SELKS : une ISO live et installable Suricata : IDS/NSM open source Détection basée sur des signatures Reconnaissance et analyse protocolaire Elasticsearch : Splunk gratuit Kibana : interface de tableau de bord Logstash : collecte, transformation, transfert Scirius : Gestion des jeux de signatures Docker Gestion de containers sous Linux, Windows, Mac OSX Orchestration via docker compose É. Leblond (Stamus Networks) Suricata: détection d’intrusion réseau 15 juin 2016 25 / 31
  • 33. Installation d’Amsterdam Installation pip i n s t a l l amsterdam # v e r i f i c a t i o n optionnelle de la version pip show amsterdam # creation de l ’ instance dans le r e p e r t o i r e ams amsterdam −d ams −i wlan0 setup # demarrage de l ’ instance amsterdam −d ams s t a r t Utilisation Pointer le navigateur sur https://localhost/ ou sur l’IP réseau depuis une machine externe. É. Leblond (Stamus Networks) Suricata: détection d’intrusion réseau 15 juin 2016 26 / 31
  • 34. Scirius : page d’accueil (1/2) É. Leblond (Stamus Networks) Suricata: détection d’intrusion réseau 15 juin 2016 27 / 31
  • 35. Scirius : page d’une signature (2/2) É. Leblond (Stamus Networks) Suricata: détection d’intrusion réseau 15 juin 2016 28 / 31
  • 36. Kibana É. Leblond (Stamus Networks) Suricata: détection d’intrusion réseau 15 juin 2016 29 / 31
  • 37. Indicateurs de compromission IOC Traces permettant de trouver une compromission Système Clef de registres Fichiers Réseau Signature IDS Noms de domaine Adresse IP É. Leblond (Stamus Networks) Suricata: détection d’intrusion réseau 15 juin 2016 30 / 31
  • 38. Indicateurs de compromission IOC Traces permettant de trouver une compromission Système Clef de registres Fichiers Réseau Signature IDS Noms de domaine Adresse IP Partage d’IOC Sources publique et privée Sources communautaire (MISP) Sources étatique Vérification des IOC Sur le traffic en temps réél avec les signatures A posteriori dans les logs protocolaires É. Leblond (Stamus Networks) Suricata: détection d’intrusion réseau 15 juin 2016 30 / 31
  • 39. Conclusion Suricata Open Source Communautaire Performant IDS et NSM Plus d’information Suricata : http://www.suricata-ids.org/ Conférence utilisateurs Suricata : http://suricon.net/ Formation développeur Suricata : Paris, 12-16 Septembre https://goo.gl/9tYbWP Amsterdam : https://github.com/StamusNetworks/Amsterdam Stamus Networks : https://www.stamus-networks.com/ É. Leblond (Stamus Networks) Suricata: détection d’intrusion réseau 15 juin 2016 31 / 31