ASIQ - 11 novembre 2015

Le système de surveillance Wayne Veilleux, CISSP

de la sécurité des réseaux, WayComm Inc.
veilleux@waycomm.ca
Security Onion
 Déroulement
❖ Détection d’intrusion 101
❖ Introduction à Security Onion
❖ Présentation des outils d’analyseur d’alertes:
❖ Snorby
❖ Squert
❖ Sguil
❖ ELSA
❖ NIDS : Snort/Suricata
❖ NIDS Comportemental : Bro
❖ HIDS : OSSEC
❖ Installation, maintenance et support
❖ Démo Live
 Détection d’intrusion 101

❖ IDS : Un système de détection d'intrusion (IDS:

« Intrusion Detection System ») est un mécanisme
destiné à repérer des activités anormales ou suspectes
sur la cible analysée (un réseau ou un hôte). Il permet
ainsi d'avoir une connaissance sur les tentatives réussies
comme échouées des intrusions.
❖ NIDS et HIDS
Introduction à Security Onion
 Qu’est-ce que Security Onion ?
❖ C’est une distribution Linux (Ubuntu 12.04 - LTS Avril 2017 *) qui intègre
des outils de sécurité issus de communauté Open Source (maintenu par
Doug Burks) pour en faire un NSMS complet incluant les fonctions de:
❖ Capture et sauvegarde de trafic;
❖ NIDS (signature et comportemental);
❖ HIDS;
❖ Journalisation d’évènements;
❖ Architecture distribuée (client/serveur);
❖ Outils d’analyse et rapports;
* Présentement en phase d’être porté à Ubuntu 14.04 LTS Avril 2019 d’ici la fin de l’année 2015
* http://www.ubuntu.com/info/release-end-of-life
 Objectif de cette présentation
❖ Nous sommes tous des professionnels de la sécurité des TIC et
Security Onion est une solution disponible et gratuite qui peut
nous permettre:
❖ de parfaire nos compétences;
❖ d’explorer de nouvelles connaissances;
❖ de « goûter » à l’échange dynamique d’une communauté issue
du logiciel libre;
❖ de surveiller notre accès Internet résidentiel;
❖ et pourquoi pas celle de notre entreprise ;-)
 Architecture de Security Onion

❖ Bleu: capture/analyse de trafic – Vert : Interface usager - Jaune: Connecteur - Rond: Structure de donnée - Cylindre: BD
Présentation des outils
d’analyseur d’alertes
 Snorby

❖ Web 2.0, Ajax, Ruby-on-Rails (Interface « Cool »);

❖ Alertes NIDS seulement;
❖ Peut basculer vers CapMe pour accéder aux paquets;
❖ Base de donnée MySQL centrale;
❖ Application sur iPhone (App Store);
❖ https://snorby.org/
Snorby - Interface WEB
 SQueRT
❖ Interface PHP à la base de donnée Sguil;
❖ Plus de type d’alertes que Snorby:
❖ Alertes NIDS
❖ Alertes HIDS (OSSEC)
❖ Données d’inventaire (si PRADS activé)
❖ Journaux HTTP (si http_agent activé)
❖ http://www.squertproject.org/
SQueRT - Interface WEB
 Sguil

❖ Tcl/tk – Client lourd, pas Web;

❖ Alertes NIDS/HIDS, sessions, inventaire et http;
❖ Peu basculer vers transcript/Wireshark/
NetworkMiner/ELSA;
❖ Base de donnée MySQL centrale;
❖ http://sguil.sourceforge.net/
Sguil - Client lourd
ELSA (Enterprise Log Search and Archive)

❖ Script PERL qui attache l’enregistreur de journaux syslog-ng avec une

base de donnée MySQL et un indexeur de recherche appelé Sphinx;
❖ Interface WEB pour faire des recherches à travers les évènements de
Bro, Snort, OSSEC et syslog;
❖ Peu basculer vers CapMe pour accéder aux paquets;
❖ Très rapide, très évolutif (chaque sonde/nœud a sa propre BD MySQL
et index de recherche Sphinx, 50K events/sec);
❖ Tableaux de bord avec les API Google Visualization;
❖ https://code.google.com/p/enterprise-log-search-and-archive/
ELSA - Architecture
ELSA - Interface WEB
ELSA - Tableau de bord
 NIDS Snort
❖ Snort est un programme qui surveille le trafic réseau et l’analyse en
comparant avec des règles définies par l’utilisateur. À partir de cette
fonction, il exécute des actions pré-définies telle la génération
d’alerte.
❖ C’est ce qu’on appel un NIDS (Network Intrusion Detection System)
❖ Développé par Marthy Rosch (1998)
❖ Intégré dans SourceFire (Maintenant Cisco FirePower/FireSight)
❖ Mono-thread et IDS seulement: OpenSource
❖ Multi-Thread et IPS: Commercial (Cisco FirePower)
 NIDS Suricata
❖ Suricata est supporté par le département Homeland
Security des USA et développé par le Open Information
Security Foundation (OISF).
❖ Fonctionnalités:
❖ Multi-thread et IPS
❖ Mode IPS avancé avec Linux Netfilter
❖ Réputation IP
 NIDS Bro
❖ Analyse temps-réel et passive du trafic;
❖ Support de cluster pour déploiement grande entreprise;
❖ Support de plusieurs protocoles applicatifs incluant; DNS,
FTP, HTTP, IRC, SMTP, SSH, SSL, etc…
❖ Analyse du contenu d’échange de fichier et validation
d’infection de code malicieux;
❖ Support de IPv6;
❖ Détection des tunnels, incluant; Ayiya, Teredo et GTPv1.
 HIDS OSSEC
❖ Vérification d’intégrité de fichier
❖ Surveillance des journaux et évènements locaux et exportation vers ELSA;
❖ Conformité à des exigences externes (PCI, etc…);
❖ Configuration pour génération d’alerte automatisée;
❖ Supporté par Trend Micro;
❖ Multiplateforme: Linux, Solaris, AIX, HP-UX, BSD, Windows, Mac et VMware ESXi;
❖ Intégration avec SIEM;
❖ Gestion centralisée;
❖ Détection de Rootkit;
❖ Configuration de réponse active lors d’alerte.
Installation, maintenance et support
 Installation - Physique

❖ Prérequis: 1 PC (ou VM)

(2coeurs/3GO-RAM/10GO-
HD), 2 NIC et un TAP ou
port SPAN/Miroir du
commutateur *
❖ Téléchargement du fichier
ISO pour l’installation **

* https://github.com/Security-Onion-Solutions/security-onion/wiki/Hardware
** http://sourceforge.net/projects/security-onion/files/12.04.5.3/
 Installation - Logique
❖ Préalablement, déterminer le mode d’installation:
❖ « Standalone »: Console de gestion + Sonde;
❖ « Master »: Console seulement;
❖ « Sensor »: Sonde seulement.
❖ L’installation d’Ubuntu avec l’environnement LiveCD;
❖ La configuration des interfaces réseaux de gestion et de
surveillance;
❖ L’installation et configuration des méta-paquets de Security Onion.
 Maintenance

❖ Un des grands avantages d’utiliser Security Onion, c’est

la maintenance et la mise à jour des paquets par un
script appelé; « soup ».
❖ Au besoin, par la commande « sudo soup », le système
se mets à jour en tenant compte des dépendances entre
les logiciels pour assurer un mise à niveau sans souci.
❖ Suivre le Blog de Doug Burks pour les mises-à-jour.
 Support

❖ Communauté Logiciel Libre:

❖ Blog: http://securityonion.blogspot.ca
❖ Mailing-list: https://
groups.google.com/forum/#!forum/
security-onion

❖ Commercial :
❖ http://www.securityonionsolutions.com/
 Démonstration « Installation »
❖ Création d’une nouvelle machine virtuelle avec les paramètres suivants:
❖ 2 CPU, 3GO de RAM, 2 NIC, 8GO de HD, DVD sur le fichier ISO
d’installation.
❖ Démarrer avec le « Live-CD »;
❖ Exécuté l’installation, répondre aux questions et redémarrer;
❖ Après s’être authentifié, exécuter le programme « setup »;
❖ Configurer les interfaces de gestion et de surveillance, puis redémarrer;
❖ Après s’être authentifié, exécuter le programme « setup » une 2e fois et suivre
l’installation par défaut.
❖ Voilà, c’est tout; Security Onion est prêt pour faire son travail :)
 Démonstration « LIVE »
❖ Présentation du Bureau de Security Onion
❖ Injection de trafic malicieux:
❖ Méthode OODA - Observer Orienter Décider Agir
❖ Séquence de l’attaque
❖ Téléchargement du Trojan
❖ Validation de compromission
❖ Utilisation de Bro et ELSA
Ce fut un plaisir d’être avec vous.

Questions ?