260 likes | 396 Views
Analyse des logs d'un firewall - Génération d'un compte-rendu sous forme de pages HTML. Franck BARBIEU – Romain GARDON. Projet technique – 2004-2005 Responsable : Philippe DUMONT. Plan. Plan. État de l’art Changements d’objectifs Notre solution Conclusion.
E N D
Analyse des logs d'un firewall-Génération d'un compte-rendusous forme de pages HTML Franck BARBIEU – Romain GARDON Projet technique – 2004-2005 Responsable : Philippe DUMONT
Plan Plan • État de l’art • Changements d’objectifs • Notre solution • Conclusion Introduction – État de l’art – Objectifs – Solution – Conclusion
Analyse des logs d'un firewall Génération d'un compte-rendu sous forme de pages HTML État de l’art Projet technique – 2004-2005
Traitement des logs Traitement FWAnalog Autres parsers Ulog PHP Firewall Eyes • Outils • Soit gratuits et trop génériques • Soit professionnels et trop onéreux • Exemples • LogSurfer • Abandonné • Trop peu pertinent • NetSecure Log • Prix Introduction – État de l’art – Objectifs – Solution – Conclusion
FWAnalog Traitement FWAnalog Autres parsers Ulog PHP Firewall Eyes • 2001 • Code non optimisé • Parsing • Lourd et inadapté aux logs de firewall • Logs transformés en logs de serveur Web • Conséquence sur le temps de traitement • Présentation • Absence de lisibilité Introduction – État de l’art – Objectifs – Solution – Conclusion
Autres parsers Traitement FWAnalog Autres parsers Ulog PHP Firewall Eyes • 2000 – 2004 • Nombreux petits projets • Aucun ne donnait satisfaction • Abandonnés Introduction – État de l’art – Objectifs – Solution – Conclusion
Ulog PHP Traitement FWAnalog Autres parsers Ulog PHP Firewall Eyes • Monitoring en temps réel • Requêtes ciblées • Présentation à revoir • Non repris • Trouvé trop tard Introduction – État de l’art – Objectifs – Solution – Conclusion
Firewall Eyes Traitement FWAnalog Autres parsers Ulog PHP Firewall Eyes • Projet professionnel • Développé pour les clients de la société Creabilis • Sortie en licence GPL fin 2004 • Produit satisfaisant • Portabilité : PHP • Nombreuses fonctionnalités • Analyse à posteriori • Fichier par fichier • Traitement et résultat non stockés Introduction – État de l’art – Objectifs – Solution – Conclusion
Firewall Eyes Traitement FWAnalog Autres parsers Ulog PHP Firewall Eyes Introduction – État de l’art – Objectifs – Solution – Conclusion
Analyse des logs d'un firewall Génération d'un compte-rendu sous forme de pages HTML Changement d’objectifs Projet technique – 2004-2005
IPTables IPTables Données Statistique Non loggé ICMP • Uniquement un firewall • Élément inactif • Filtre selon ses règles • Log de manière « brute » • Objectif • Informations loggées moindres • Moins de possibilités de détection d’attaques Database Objectifs Introduction – État de l’art – Objectifs – Solution – Conclusion
Données non loggées IPTables Données Statistique Non loggé ICMP • Seules les en-têtes sont loggées • Contenu des paquets non conservé • Attaques • Analyse de fonctionnement d’IDS • Attaques majoritairement basées sur le contenu • Objectifs • Se contenter des attaques visibles dans les en-têtes Database Objectifs Introduction – État de l’art – Objectifs – Solution – Conclusion
Analyse statistique IPTables Données Statistique Non loggé ICMP • Paquets attendus et dans le bon ordre • Procédés • Pour chaque triplet ( @IPsrc , @IPdst , service ) • Bon ordre de réception des paquets • Bon ordre de log des ports • Résultat • Lourdeur du code • Lourdeur de l’exécution • Objectifs • Analyse statistique difficile Database Objectifs Introduction – État de l’art – Objectifs – Solution – Conclusion
Paquets non loggés IPTables Données Statistique Non loggé ICMP • Rejets de paquets • Paquets trop longs • Paquets malformés • Attaques d’un pirate • Erreur de transmission • Exemple • Numéro de séquence invalide • Objectifs • Analyse statistique impossible Database Objectifs Introduction – État de l’art – Objectifs – Solution – Conclusion
ICMP IPTables Données Statistique Non loggé ICMP • Quelles attaques dans les en-têtes ? • 5 à 8 sur 6 000 • Attaques • Détection de fausses attaques • Absence de détection de vraies attaques • Objectifs • Oublier les attaques ICMP Database Objectifs Introduction – État de l’art – Objectifs – Solution – Conclusion
Base de données ? IPTables Données Statistique Non loggé ICMP • Inconvénients • Lenteur d’insertion • Copie regrettable du fichier de logs • Effectuer un pré-traitement • Avantages • Rapidité d’affichage • Simplicité de filtrage • Utilisation d’une base de données • Similaire au fichier de logs Database Objectifs Introduction – État de l’art – Objectifs – Solution – Conclusion
Objectifs IPTables Données Statistique Non loggé ICMP • Revus à la baisse • Firewall ≠ IDS • Attaques très difficilement détectables • Nécessité d’une IA • Travailler majoritairement sur la présentation • Existant intéressant en PHP • Développer en PHP • Utilisation d’une base de données Database Objectifs Introduction – État de l’art – Objectifs – Solution – Conclusion
Analyse des logs d'un firewall Génération d'un compte-rendu sous forme de pages HTML Notre solution Projet technique – 2004-2005
Outils utilisés Outils utilisés Général Insertion Lecture Protocole • Système • Windows XP Pro • Easy PHP • Apache • MySQL • Graphes • JPGraph 1.17 TTL Introduction – État de l’art – Objectifs – Solution – Conclusion
Aspect général Outils utilisés Général Insertion Lecture Protocole • Insertion des logs dans la base de données • Lecture des logs • Possibilité d’effectuer un filtrage • Accès aux services • Choix du service • Statistiques • Dynamisées selon les filtres TTL Introduction – État de l’art – Objectifs – Solution – Conclusion
Insertion des logs Outils utilisés Général Insertion Lecture Protocole • Choix • Fichier, mois, année • Message de confirmation ou d’erreur • Ici : nombre de logs insérés TTL Introduction – État de l’art – Objectifs – Solution – Conclusion
Lecture des logs Outils utilisés Général Insertion Lecture Protocole • Choix du nombre de logs par page • Navigation page précédente / suivante • Résolutions IP et service TTL Introduction – État de l’art – Objectifs – Solution – Conclusion
Protocole Outils utilisés Général Insertion Lecture Protocole • Graphe camembert filtré sur l’année 2004 TTL Introduction – État de l’art – Objectifs – Solution – Conclusion
TTL Outils utilisés Général Insertion Lecture Protocole • Filtrage sur l’année 2004 • Graphes • Année, et chaque mois de l’année TTL Introduction – État de l’art – Objectifs – Solution – Conclusion
Analyse des logs d'un firewall Génération d'un compte-rendu sous forme de pages HTML Conclusion Projet technique – 2004-2005
Conclusion Conclusion • Nécessité de beaucoup de recherches • Trop ambitieux • Changements d’objectifs • Solution proposée • Logs de forme fixe • Interface entièrement développée • Interface optimisée en traitement • Tous les graphes ne sont pas générés Introduction – État de l’art – Objectifs – Solution – Conclusion