1 / 26

Analyse des logs d'un firewall - Génération d'un compte-rendu sous forme de pages HTML

Analyse des logs d'un firewall - Génération d'un compte-rendu sous forme de pages HTML. Franck BARBIEU – Romain GARDON. Projet technique – 2004-2005 Responsable : Philippe DUMONT. Plan. Plan. État de l’art Changements d’objectifs Notre solution Conclusion.

toyah
Télécharger la présentation

Analyse des logs d'un firewall - Génération d'un compte-rendu sous forme de pages HTML

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Analyse des logs d'un firewall-Génération d'un compte-rendusous forme de pages HTML Franck BARBIEU – Romain GARDON Projet technique – 2004-2005 Responsable : Philippe DUMONT

  2. Plan Plan • État de l’art • Changements d’objectifs • Notre solution • Conclusion Introduction – État de l’art – Objectifs – Solution – Conclusion

  3. Analyse des logs d'un firewall Génération d'un compte-rendu sous forme de pages HTML État de l’art Projet technique – 2004-2005

  4. Traitement des logs Traitement FWAnalog Autres parsers Ulog PHP Firewall Eyes • Outils • Soit gratuits et trop génériques • Soit professionnels et trop onéreux • Exemples • LogSurfer • Abandonné • Trop peu pertinent • NetSecure Log • Prix Introduction – État de l’art – Objectifs – Solution – Conclusion

  5. FWAnalog Traitement FWAnalog Autres parsers Ulog PHP Firewall Eyes • 2001 • Code non optimisé • Parsing • Lourd et inadapté aux logs de firewall • Logs transformés en logs de serveur Web • Conséquence sur le temps de traitement • Présentation • Absence de lisibilité Introduction – État de l’art – Objectifs – Solution – Conclusion

  6. Autres parsers Traitement FWAnalog Autres parsers Ulog PHP Firewall Eyes • 2000 – 2004 • Nombreux petits projets • Aucun ne donnait satisfaction • Abandonnés Introduction – État de l’art – Objectifs – Solution – Conclusion

  7. Ulog PHP Traitement FWAnalog Autres parsers Ulog PHP Firewall Eyes • Monitoring en temps réel • Requêtes ciblées • Présentation à revoir • Non repris • Trouvé trop tard Introduction – État de l’art – Objectifs – Solution – Conclusion

  8. Firewall Eyes Traitement FWAnalog Autres parsers Ulog PHP Firewall Eyes • Projet professionnel • Développé pour les clients de la société Creabilis • Sortie en licence GPL fin 2004 • Produit satisfaisant • Portabilité : PHP • Nombreuses fonctionnalités • Analyse à posteriori • Fichier par fichier • Traitement et résultat non stockés Introduction – État de l’art – Objectifs – Solution – Conclusion

  9. Firewall Eyes Traitement FWAnalog Autres parsers Ulog PHP Firewall Eyes Introduction – État de l’art – Objectifs – Solution – Conclusion

  10. Analyse des logs d'un firewall Génération d'un compte-rendu sous forme de pages HTML Changement d’objectifs Projet technique – 2004-2005

  11. IPTables IPTables Données Statistique Non loggé ICMP • Uniquement un firewall • Élément inactif • Filtre selon ses règles • Log de manière « brute » • Objectif • Informations loggées moindres • Moins de possibilités de détection d’attaques Database Objectifs Introduction – État de l’art – Objectifs – Solution – Conclusion

  12. Données non loggées IPTables Données Statistique Non loggé ICMP • Seules les en-têtes sont loggées • Contenu des paquets non conservé • Attaques • Analyse de fonctionnement d’IDS • Attaques majoritairement basées sur le contenu • Objectifs • Se contenter des attaques visibles dans les en-têtes Database Objectifs Introduction – État de l’art – Objectifs – Solution – Conclusion

  13. Analyse statistique IPTables Données Statistique Non loggé ICMP • Paquets attendus et dans le bon ordre • Procédés • Pour chaque triplet ( @IPsrc , @IPdst , service ) • Bon ordre de réception des paquets • Bon ordre de log des ports • Résultat • Lourdeur du code • Lourdeur de l’exécution • Objectifs • Analyse statistique difficile Database Objectifs Introduction – État de l’art – Objectifs – Solution – Conclusion

  14. Paquets non loggés IPTables Données Statistique Non loggé ICMP • Rejets de paquets • Paquets trop longs • Paquets malformés • Attaques d’un pirate • Erreur de transmission • Exemple • Numéro de séquence invalide • Objectifs • Analyse statistique impossible Database Objectifs Introduction – État de l’art – Objectifs – Solution – Conclusion

  15. ICMP IPTables Données Statistique Non loggé ICMP • Quelles attaques dans les en-têtes ? • 5 à 8 sur 6 000 • Attaques • Détection de fausses attaques • Absence de détection de vraies attaques • Objectifs • Oublier les attaques ICMP Database Objectifs Introduction – État de l’art – Objectifs – Solution – Conclusion

  16. Base de données ? IPTables Données Statistique Non loggé ICMP • Inconvénients • Lenteur d’insertion • Copie regrettable du fichier de logs • Effectuer un pré-traitement • Avantages • Rapidité d’affichage • Simplicité de filtrage • Utilisation d’une base de données • Similaire au fichier de logs Database Objectifs Introduction – État de l’art – Objectifs – Solution – Conclusion

  17. Objectifs IPTables Données Statistique Non loggé ICMP • Revus à la baisse • Firewall ≠ IDS • Attaques très difficilement détectables • Nécessité d’une IA • Travailler majoritairement sur la présentation • Existant intéressant en PHP • Développer en PHP • Utilisation d’une base de données Database Objectifs Introduction – État de l’art – Objectifs – Solution – Conclusion

  18. Analyse des logs d'un firewall Génération d'un compte-rendu sous forme de pages HTML Notre solution Projet technique – 2004-2005

  19. Outils utilisés Outils utilisés Général Insertion Lecture Protocole • Système • Windows XP Pro • Easy PHP • Apache • MySQL • Graphes • JPGraph 1.17 TTL Introduction – État de l’art – Objectifs – Solution – Conclusion

  20. Aspect général Outils utilisés Général Insertion Lecture Protocole • Insertion des logs dans la base de données • Lecture des logs • Possibilité d’effectuer un filtrage • Accès aux services • Choix du service • Statistiques • Dynamisées selon les filtres TTL Introduction – État de l’art – Objectifs – Solution – Conclusion

  21. Insertion des logs Outils utilisés Général Insertion Lecture Protocole • Choix • Fichier, mois, année • Message de confirmation ou d’erreur • Ici : nombre de logs insérés TTL Introduction – État de l’art – Objectifs – Solution – Conclusion

  22. Lecture des logs Outils utilisés Général Insertion Lecture Protocole • Choix du nombre de logs par page • Navigation page précédente / suivante • Résolutions IP et service TTL Introduction – État de l’art – Objectifs – Solution – Conclusion

  23. Protocole Outils utilisés Général Insertion Lecture Protocole • Graphe camembert filtré sur l’année 2004 TTL Introduction – État de l’art – Objectifs – Solution – Conclusion

  24. TTL Outils utilisés Général Insertion Lecture Protocole • Filtrage sur l’année 2004 • Graphes • Année, et chaque mois de l’année TTL Introduction – État de l’art – Objectifs – Solution – Conclusion

  25. Analyse des logs d'un firewall Génération d'un compte-rendu sous forme de pages HTML Conclusion Projet technique – 2004-2005

  26. Conclusion Conclusion • Nécessité de beaucoup de recherches • Trop ambitieux • Changements d’objectifs • Solution proposée • Logs de forme fixe • Interface entièrement développée • Interface optimisée en traitement • Tous les graphes ne sont pas générés Introduction – État de l’art – Objectifs – Solution – Conclusion

More Related