Accueil

Vidéo
Cliquez ici

Documents
Article
Diapositives


JRES 2013

FIELDS : Flow Intrusion Extrusion Largescale Detection System

Auteur : Nicolas GRENECHE
87 : FIELDS : Flow Intrusion Extrusion Largescale Detection System
Le NSM (Network Security Monitoring) est un monitoring des interactions réseaux orienté sécurité. Ce monitoring est basé sur les traces collectées au niveau réseau. Quatre niveaux de collecte ont été identifiés par ordre croissant d'espace occupé : statistiques très générales (répartition de la quantité de données par protocoles, nombres de connexions TCP), flux (qui a parlé avec qui, comment, quelle quantité de données échangées), alertes (remontées de NIDS) et enfin la capture exhaustive.

FIELDS se place entre le flux et la capture exhaustive. Etant donné que la plupart des malwares modernes chiffrent leurs communications, l'analyse de payload est inefficace. Cependant, avoir une capture exhaustive des communications d'une machine infectée (ou suspectée) peut être intéressant dans une optique de forensic réseau. Packet Filter, le pare-feu de la famille BSD, propose deux fonctions intéressantes. Les tables qui sont des listes d'adresses IP optimisées pour répondre à la question "est ce que telle IP est dans la table ?" et une possibilité de capturer au format PCAP les paquets réseaux matchant une règle. FIELDS est un patch pour PF permettant d'ajouter l'IP source et / ou destination dans une table lorsque le paquet match avec une règle. Ces différentes règles modélisent des communication suspectes (blacklist, sinkhole IP etc.). Une fois l'IP suspecte ajoutée dans une table, une règle finale est ajoutée pour capturer les communications provenant et / ou à destination de cette IP. Cette capture peut ensuite être traitée par des IDS pour confirmer / infirmer la compromission, archivée pour du forensic réseau ou comme niveau supplémentaire de conservation de flux.

Vidéo

Documents

Article

617,8ko