analyse des logs d'un firewall - génération d'un compte-rendu sous forme de pages html

Analyse des logs d'un firewall-

Génération d'un compte-rendusous forme de pages HTML

Projet technique – 2004-2005Responsable : Philippe DUMONT

Franck BARBIEU – Romain GARDON

Plan État de l’art

Changements d’objectifs

Notre solution

Conclusion

Plan

Introduction – État de l’art – Objectifs – Solution – Conclusion

État de l’art

Projet technique – 2004-2005

Analyse des logs d'un firewall

Génération d'un compte-rendu sous forme de pages HTML

Traitement des logs Outils

Soit gratuits et trop génériques Soit professionnels et trop onéreux

Exemples LogSurfer

Abandonné Trop peu pertinent

NetSecure Log Prix

Traitement

FWAnalog

Autres parsers

Ulog PHP

Introduction – État de l’art – Objectifs – Solution – Conclusion

Firewall Eyes

FWAnalog 2001

Code non optimisé

Parsing Lourd et inadapté aux logs de firewall Logs transformés en logs de serveur Web Conséquence sur le temps de traitement

Présentation Absence de lisibilité

Traitement

FWAnalog

Autres parsers

Ulog PHP

Firewall Eyes

Introduction – État de l’art – Objectifs – Solution – Conclusion

Autres parsers 2000 – 2004

Nombreux petits projets

Aucun ne donnait satisfaction

Abandonnés

Traitement

FWAnalog

Autres parsers

Ulog PHP

Firewall Eyes

Introduction – État de l’art – Objectifs – Solution – Conclusion

Ulog PHP Monitoring en temps réel

Requêtes ciblées

Présentation à revoir

Non repris Trouvé trop tard

Traitement

FWAnalog

Autres parsers

Ulog PHP

Firewall Eyes

Introduction – État de l’art – Objectifs – Solution – Conclusion

Firewall Eyes Projet professionnel

Développé pour les clients de la société Creabilis Sortie en licence GPL fin 2004

Produit satisfaisant Portabilité : PHP Nombreuses fonctionnalités

Analyse à posteriori Fichier par fichier Traitement et résultat non stockés

Traitement

FWAnalog

Autres parsers

Ulog PHP

Firewall Eyes

Introduction – État de l’art – Objectifs – Solution – Conclusion

Firewall EyesTraitement

FWAnalog

Autres parsers

Ulog PHP

Firewall Eyes

Introduction – État de l’art – Objectifs – Solution – Conclusion

Changement d’objectifs

Projet technique – 2004-2005

Analyse des logs d'un firewall

Génération d'un compte-rendu sous forme de pages HTML

IPTables Uniquement un firewall

Élément inactif Filtre selon ses règles Log de manière « brute »

Objectif Informations loggées moindres Moins de possibilités de détection d’attaques

IPTables

Données

Statistique

Non loggé

ICMP

Database

Objectifs

Introduction – État de l’art – Objectifs – Solution – Conclusion

Introduction – État de l’art – Objectifs – Solution – Conclusion

Données non loggées Seules les en-têtes sont loggées

Contenu des paquets non conservé

Attaques Analyse de fonctionnement d’IDS Attaques majoritairement basées sur le contenu

Objectifs Se contenter des attaques visibles dans les en-têtes

IPTables

Données

Statistique

Non loggé

ICMP

Database

Objectifs

Analyse statistique Paquets attendus et dans le bon ordre

Procédés Pour chaque triplet ( @IPsrc , @IPdst , service )

Bon ordre de réception des paquets Bon ordre de log des ports

Résultat Lourdeur du code Lourdeur de l’exécution

Objectifs Analyse statistique difficile

IPTables

Données

Statistique

Non loggé

ICMP

Database

Objectifs

Introduction – État de l’art – Objectifs – Solution – Conclusion

Paquets non loggés Rejets de paquets

Paquets trop longs Paquets malformés

Attaques d’un pirate Erreur de transmission

Exemple Numéro de séquence invalide

Objectifs Analyse statistique impossible

IPTables

Données

Statistique

Non loggé

ICMP

Database

Objectifs

Introduction – État de l’art – Objectifs – Solution – Conclusion

ICMP Quelles attaques dans les en-têtes ?

5 à 8 sur 6 000

Attaques Détection de fausses attaques Absence de détection de vraies attaques

Objectifs Oublier les attaques ICMP

IPTables

Données

Statistique

Non loggé

ICMP

Database

Objectifs

Introduction – État de l’art – Objectifs – Solution – Conclusion

Base de données ? Inconvénients

Lenteur d’insertion Copie regrettable du fichier de logs

Effectuer un pré-traitement

Avantages Rapidité d’affichage Simplicité de filtrage

Utilisation d’une base de données Similaire au fichier de logs

IPTables

Données

Statistique

Non loggé

ICMP

Database

Objectifs

Introduction – État de l’art – Objectifs – Solution – Conclusion

Objectifs Revus à la baisse

Firewall ≠ IDS Attaques très difficilement détectables Nécessité d’une IA

Travailler majoritairement sur la présentation

Existant intéressant en PHP Développer en PHP

Utilisation d’une base de données

IPTables

Données

Statistique

Non loggé

ICMP

Database

Objectifs

Introduction – État de l’art – Objectifs – Solution – Conclusion

Notre solution

Projet technique – 2004-2005

Analyse des logs d'un firewall

Génération d'un compte-rendu sous forme de pages HTML

Outils utilisés Système

Windows XP Pro

Easy PHP Apache MySQL

Graphes JPGraph 1.17

Outils utilisés

Général

Insertion

Lecture

Protocole

TTL

Introduction – État de l’art – Objectifs – Solution – Conclusion

Aspect général Insertion des logs dans la base de données

Lecture des logs Possibilité d’effectuer un filtrage

Accès aux services Choix du service

Statistiques Dynamisées selon les filtres

Outils utilisés

Général

Insertion

Lecture

Protocole

TTL

Introduction – État de l’art – Objectifs – Solution – Conclusion

Insertion des logs Choix

Fichier, mois, année

Message de confirmation ou d’erreur Ici : nombre de logs insérés

Outils utilisés

Général

Insertion

Lecture

Protocole

TTL

Introduction – État de l’art – Objectifs – Solution – Conclusion

Lecture des logs Choix du nombre de logs par page

Navigation page précédente / suivante

Résolutions IP et service

Outils utilisés

Général

Insertion

Lecture

Protocole

TTL

Introduction – État de l’art – Objectifs – Solution – Conclusion

Protocole Graphe camembert filtré sur l’année 2004

Outils utilisés

Général

Insertion

Lecture

Protocole

TTL

Introduction – État de l’art – Objectifs – Solution – Conclusion

TTL Filtrage sur l’année 2004

Graphes Année, et chaque mois de l’année

Outils utilisés

Général

Insertion

Lecture

Protocole

TTL

Introduction – État de l’art – Objectifs – Solution – Conclusion

Conclusion

Projet technique – 2004-2005

Analyse des logs d'un firewall

Génération d'un compte-rendu sous forme de pages HTML

Conclusion Nécessité de beaucoup de recherches

Trop ambitieux Changements d’objectifs

Solution proposée Logs de forme fixe Interface entièrement développée Interface optimisée en traitement Tous les graphes ne sont pas générés

Conclusion

Introduction – État de l’art – Objectifs – Solution – Conclusion