Post on 03-Apr-2015
Analyse des logs d'un firewall-
Génération d'un compte-rendusous forme de pages HTML
Projet technique – 2004-2005Responsable : Philippe DUMONT
Franck BARBIEU – Romain GARDON
Plan
État de l’art
Changements d’objectifs
Notre solution
Conclusion
Plan
Introduction – État de l’art – Objectifs – Solution – Conclusion
État de l’art
Projet technique – 2004-2005
Analyse des logs d'un firewall
Génération d'un compte-rendu sous forme de pages HTML
Traitement des logs
Outils Soit gratuits et trop génériques Soit professionnels et trop onéreux
Exemples LogSurfer
Abandonné Trop peu pertinent
NetSecure Log Prix
Traitement
FWAnalog
Autres parsers
Ulog PHP
Introduction – État de l’art – Objectifs – Solution – Conclusion
Firewall Eyes
FWAnalog
2001
Code non optimisé
Parsing Lourd et inadapté aux logs de firewall Logs transformés en logs de serveur Web Conséquence sur le temps de traitement
Présentation Absence de lisibilité
Traitement
FWAnalog
Autres parsers
Ulog PHP
Firewall Eyes
Introduction – État de l’art – Objectifs – Solution – Conclusion
Autres parsers
2000 – 2004
Nombreux petits projets
Aucun ne donnait satisfaction
Abandonnés
Traitement
FWAnalog
Autres parsers
Ulog PHP
Firewall Eyes
Introduction – État de l’art – Objectifs – Solution – Conclusion
Ulog PHP
Monitoring en temps réel
Requêtes ciblées
Présentation à revoir
Non repris Trouvé trop tard
Traitement
FWAnalog
Autres parsers
Ulog PHP
Firewall Eyes
Introduction – État de l’art – Objectifs – Solution – Conclusion
Firewall Eyes
Projet professionnel Développé pour les clients de la société Creabilis Sortie en licence GPL fin 2004
Produit satisfaisant Portabilité : PHP Nombreuses fonctionnalités
Analyse à posteriori Fichier par fichier Traitement et résultat non stockés
Traitement
FWAnalog
Autres parsers
Ulog PHP
Firewall Eyes
Introduction – État de l’art – Objectifs – Solution – Conclusion
Firewall EyesTraitement
FWAnalog
Autres parsers
Ulog PHP
Firewall Eyes
Introduction – État de l’art – Objectifs – Solution – Conclusion
Changement d’objectifs
Projet technique – 2004-2005
Analyse des logs d'un firewall
Génération d'un compte-rendu sous forme de pages HTML
IPTables
Uniquement un firewall Élément inactif Filtre selon ses règles Log de manière « brute »
Objectif Informations loggées moindres Moins de possibilités de détection d’attaques
IPTables
Données
Statistique
Non loggé
ICMP
Database
Objectifs
Introduction – État de l’art – Objectifs – Solution – Conclusion
Introduction – État de l’art – Objectifs – Solution – Conclusion
Données non loggées
Seules les en-têtes sont loggées Contenu des paquets non conservé
Attaques Analyse de fonctionnement d’IDS Attaques majoritairement basées sur le contenu
Objectifs Se contenter des attaques visibles dans les en-têtes
IPTables
Données
Statistique
Non loggé
ICMP
Database
Objectifs
Analyse statistique
Paquets attendus et dans le bon ordre
Procédés Pour chaque triplet ( @IPsrc , @IPdst , service )
Bon ordre de réception des paquets Bon ordre de log des ports
Résultat Lourdeur du code Lourdeur de l’exécution
Objectifs Analyse statistique difficile
IPTables
Données
Statistique
Non loggé
ICMP
Database
Objectifs
Introduction – État de l’art – Objectifs – Solution – Conclusion
Paquets non loggés
Rejets de paquets Paquets trop longs Paquets malformés
Attaques d’un pirate Erreur de transmission
Exemple Numéro de séquence invalide
Objectifs Analyse statistique impossible
IPTables
Données
Statistique
Non loggé
ICMP
Database
Objectifs
Introduction – État de l’art – Objectifs – Solution – Conclusion
ICMP
Quelles attaques dans les en-têtes ? 5 à 8 sur 6 000
Attaques Détection de fausses attaques Absence de détection de vraies attaques
Objectifs Oublier les attaques ICMP
IPTables
Données
Statistique
Non loggé
ICMP
Database
Objectifs
Introduction – État de l’art – Objectifs – Solution – Conclusion
Base de données ?
Inconvénients Lenteur d’insertion Copie regrettable du fichier de logs
Effectuer un pré-traitement
Avantages Rapidité d’affichage Simplicité de filtrage
Utilisation d’une base de données Similaire au fichier de logs
IPTables
Données
Statistique
Non loggé
ICMP
Database
Objectifs
Introduction – État de l’art – Objectifs – Solution – Conclusion
Objectifs
Revus à la baisse
Firewall ≠ IDS Attaques très difficilement détectables Nécessité d’une IA
Travailler majoritairement sur la présentation
Existant intéressant en PHP Développer en PHP
Utilisation d’une base de données
IPTables
Données
Statistique
Non loggé
ICMP
Database
Objectifs
Introduction – État de l’art – Objectifs – Solution – Conclusion
Notre solution
Projet technique – 2004-2005
Analyse des logs d'un firewall
Génération d'un compte-rendu sous forme de pages HTML
Outils utilisés
Système Windows XP Pro
Easy PHP Apache MySQL
Graphes JPGraph 1.17
Outils utilisés
Général
Insertion
Lecture
Protocole
TTL
Introduction – État de l’art – Objectifs – Solution – Conclusion
Aspect général
Insertion des logs dans la base de données
Lecture des logs Possibilité d’effectuer un filtrage
Accès aux services Choix du service
Statistiques Dynamisées selon les filtres
Outils utilisés
Général
Insertion
Lecture
Protocole
TTL
Introduction – État de l’art – Objectifs – Solution – Conclusion
Insertion des logs
Choix Fichier, mois, année
Message de confirmation ou d’erreur Ici : nombre de logs insérés
Outils utilisés
Général
Insertion
Lecture
Protocole
TTL
Introduction – État de l’art – Objectifs – Solution – Conclusion
Lecture des logs
Choix du nombre de logs par page
Navigation page précédente / suivante
Résolutions IP et service
Outils utilisés
Général
Insertion
Lecture
Protocole
TTL
Introduction – État de l’art – Objectifs – Solution – Conclusion
Protocole
Graphe camembert filtré sur l’année 2004
Outils utilisés
Général
Insertion
Lecture
Protocole
TTL
Introduction – État de l’art – Objectifs – Solution – Conclusion
TTL
Filtrage sur l’année 2004
Graphes Année, et chaque mois de l’année
Outils utilisés
Général
Insertion
Lecture
Protocole
TTL
Introduction – État de l’art – Objectifs – Solution – Conclusion
Conclusion
Projet technique – 2004-2005
Analyse des logs d'un firewall
Génération d'un compte-rendu sous forme de pages HTML
Conclusion
Nécessité de beaucoup de recherches
Trop ambitieux Changements d’objectifs
Solution proposée Logs de forme fixe Interface entièrement développée Interface optimisée en traitement Tous les graphes ne sont pas générés
Conclusion
Introduction – État de l’art – Objectifs – Solution – Conclusion