LE BESOIN

• Collecte de traces: Enjeu Légal (Art 43-7 de la loi du 1er août 2000)
⇒ Détenir et conserver les données de nature à permettre
l’identification de toute personne ayant contribuée à la création d’un
contenu dont elle est prestataire
• Surveillance passive du LAN
⇒ Interprétation des flux
⇒ Etude de la métrologie
⇒ Détection d’anomalies

⇒ Solutions existantes: PLIXER Scrutinizer, ntop, Lancope Stealthwatch…

⇒rares, chères et pas vraiment adaptées
1
 LE LOGICIEL
§ Collecteur de flux
§ Acquisition: capture directe, et support des protocoles IPFIX et netflow
§ IPv4 ou IPv6
§ Mode sonde IPFIX pour réseaux internes
§ Adaptable
§ Facile à installer (packages disponibles el6/7, Debian et Ubuntu LTS)
§ Facile à configurer:
§ 1 seul fichier de configuration, listes centralisées, mises à jour
§ 1 seul exécutable (serveur/repo HTTP, sonde, collecteur…)
§ performance: sans problème jusqu’à plus de 5Gbps acquisition directe avec des
équipements standards et la détection applicative ( => échantillonnage )
§ V1.29 déployée en production: +100 labos ER
§ V2.0 disponible bientôt
2
 LA TRAÇABILITÉ DES FLUX
“flux réseaux” ó informations importantes des datagrammes IP.
§ Incontestables
Ils sont:
§ Incorruptible
§ Inaltérables

Flux « znets » : § Bidirectionnels

§ Entrants ou Sortants (exclusivement)
§ Réagrégés pendant 1 heure: pas de perte
et nb Flux < nb Paquet / 800
Base de données relationnelle partitionnée / insertions asynchrones
⇒Bonne performance en insertion et requêtes très rapides
⇒Plusieurs mois de données
Possibilité de consulter les flux en cours de réagrégation (merge à la volée)
3
 INTROSPECTION
Informations classiques de flux enrichis par données applicatives

§ 200 applications détectées (même sur des ports non standard, et même
encapsulé dans du ssl): Skype, Tor, Bittorent, openVPN, ciscoVPN,
dropBox, Teamviewer, MySQL, PostgreSQL, Oracle…

§ Flux sortant: Décodage/Stockage URLs HTTP + autres info de niveau

applicatif (DNS) + vérification au niveau applicatif

⇒ Sonde znets exporte toutes les informations disponibles (protocole IPFIX)

4
 SCHEMA GLOBAL

WIFI
IPFIX

Anomalie
email Métrologie
Alertes
Flux stockés
HTTP
SSL / X509

Possibilité d'avoir des sondes ZNeTS et d'ignorer le trafic du serveur NAT.

5
 MÉTROLOGIE APPLIQUEE À LA SÉCURITÉ
2 niveaux de détail & une centaine de graphs

Mise en corrélation :
§ chaque graphique de métrologie ó flux

Types de graphique
§ Temps réel (camemberts) de la dernière heure
§ Horaire sur 24h
§ Journalier sur 1 mois
§ Hebdomadaire sur 3 mois

6
 MÉTROLOGIE AVANCÉE
Sélection d’un trafic => 2è niveau de détail avec camembert

7
LA TRAÇABILITÉ DES FLUX

8
 MÉTROLOGIE AVANCÉE

Nouveaux graphiques: résolution à la minute

9
 MÉTROLOGIE AVANCÉE
Nouveaux graphiques:
Par application détectée

10
 INVENTAIRE DES ÉQUIPEMENTS
COMMUNICANTS
Inventaire, détection d’OS, périodes de présence, dernier échange enregistré
Stockage des périodes de présence (résolution seconde)
⇒ Egalement exporté par la sonde znets IPFIX

11
 DÉTECTION D’ANOMALIES

Mécanismes d’analyse des flux automatique => détecter les compromissions

- logiciel malveillant (malware, virus, APT…)
- vol d’information
- détournement de la ressource informatique intentionnelle ou pas
(téléchargements, P2P, réseau Tor, utilisation d’un VPN)
- attaques Ddos
- dysfonctionnements

=> Liste d’heuristiques

12
 DÉTECTION D’ANOMALIES
§ Algorithmes de détection spécifiques: Mac spoofing, scans, nb de connections
établies, syn Flood In/out, suspicious dns query, suspicious host, mail spam,
recursive dns server, Malware URL Detected , Fragmented header, Forbidden
Application, …

§ Détection en Temps Réel

§ Notification par Email / consultable (stockée DB)
§ Exécution d’une commande externe possible
§ Chaque alerte : activables / désactivables
§ Seuils et exceptions configurables

§ Alertes sont pertinentes (peu de faux positif)

13
14
 SUPERVISION CLOUD AMI

IPFIX

15
 SUPPORT AU PROJET / EVOLUTION
Nouvelle phase de développement début 2016:
§ Stage M2 financé à 50% par l’ENS (Merci à Nicolas Schmitz !), 50% par le LPSC
§ Demande de reconnaissance du projet IN2P3
⇒ Version disponible mi-juin 2016

Améliorations possibles envisagées ensuite (R&D)

§ auto-apprentissage des trafics & extrapolation des seuils
§ supervision des services ó meilleur réactivité, pas de surcharge, pas de script à écrire
§ définir ses propres alertes
§ graphiques exportables (écran d’acceuil...), carte Monde TR (Emmanuel Reuter)
§ capture du traffic avec filtre et sauvegarde au format pcap (y compris dans un réseau distant)
§ optimisation acquisition Pcap
§ gestion multi-site (1 collecteur - plusieurs DB)
§ génération de log ó corrélation possible (syslog-ng, elasticsearch…)
§ ... ó basé sur retours utilisateur

16
 INFORMATION LIEN / LICENCE
Surveiller le LAN est un enjeu majeur de sécurité pour TOUS
⇒ Intérêt d’une collaboration:
§ Offrir un outil gratuit, le + pertinent possible
§ Mutualiser nos expériences
Concrètement: remonter les bugs, suggérer des fonctionnalités ou
améliorations, retours d’experts, développer, débuguer…

⇒ mail à support@znets.net pour participer et/ou être informé de la

disponibilité de la V2 (nom, établissement, distribution, architecture)

Téléchargement: www.znets.net

17