La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Analyse des logs d'un firewall - Génération d'un compte-rendu sous forme de pages HTML Projet technique – 2004-2005 Responsable : Philippe DUMONT Franck.

Présentations similaires


Présentation au sujet: "Analyse des logs d'un firewall - Génération d'un compte-rendu sous forme de pages HTML Projet technique – 2004-2005 Responsable : Philippe DUMONT Franck."— Transcription de la présentation:

1 Analyse des logs d'un firewall - Génération d'un compte-rendu sous forme de pages HTML Projet technique – Responsable : Philippe DUMONT Franck BARBIEU – Romain GARDON

2 Plan État de lart Changements dobjectifs Notre solution Conclusion Plan Introduction – État de lart – Objectifs – Solution – Conclusion

3 État de lart Projet technique – Analyse des logs d'un firewall Génération d'un compte-rendu sous forme de pages HTML

4 Traitement des logs Outils Soit gratuits et trop génériques Soit professionnels et trop onéreux Exemples LogSurfer Abandonné Trop peu pertinent NetSecure Log Prix Traitement FWAnalog Autres parsers Ulog PHP Introduction – État de lart – Objectifs – Solution – Conclusion Firewall Eyes

5 FWAnalog 2001 Code non optimisé Parsing Lourd et inadapté aux logs de firewall Logs transformés en logs de serveur Web Conséquence sur le temps de traitement Présentation Absence de lisibilité Traitement FWAnalog Autres parsers Ulog PHP Firewall Eyes Introduction – État de lart – Objectifs – Solution – Conclusion

6 Autres parsers 2000 – 2004 Nombreux petits projets Aucun ne donnait satisfaction Abandonnés Traitement FWAnalog Autres parsers Ulog PHP Firewall Eyes Introduction – État de lart – Objectifs – Solution – Conclusion

7 Ulog PHP Monitoring en temps réel Requêtes ciblées Présentation à revoir Non repris Trouvé trop tard Traitement FWAnalog Autres parsers Ulog PHP Firewall Eyes Introduction – État de lart – Objectifs – Solution – Conclusion

8 Firewall Eyes Projet professionnel Développé pour les clients de la société Creabilis Sortie en licence GPL fin 2004 Produit satisfaisant Portabilité : PHP Nombreuses fonctionnalités Analyse à posteriori Fichier par fichier Traitement et résultat non stockés Traitement FWAnalog Autres parsers Ulog PHP Firewall Eyes Introduction – État de lart – Objectifs – Solution – Conclusion

9 Firewall Eyes Traitement FWAnalog Autres parsers Ulog PHP Firewall Eyes Introduction – État de lart – Objectifs – Solution – Conclusion

10 Changement dobjectifs Projet technique – Analyse des logs d'un firewall Génération d'un compte-rendu sous forme de pages HTML

11 IPTables Uniquement un firewall Élément inactif Filtre selon ses règles Log de manière « brute » Objectif Informations loggées moindres Moins de possibilités de détection dattaques IPTables Données Statistique Non loggé ICMP Database Objectifs Introduction – État de lart – Objectifs – Solution – Conclusion

12 Données non loggées Seules les en-têtes sont loggées Contenu des paquets non conservé Attaques Analyse de fonctionnement dIDS Attaques majoritairement basées sur le contenu Objectifs Se contenter des attaques visibles dans les en-têtes IPTables Données Statistique Non loggé ICMP Database Objectifs

13 Analyse statistique Paquets attendus et dans le bon ordre Procédés Pour chaque service ) Bon ordre de réception des paquets Bon ordre de log des ports Résultat Lourdeur du code Lourdeur de lexécution Objectifs Analyse statistique difficile IPTables Données Statistique Non loggé ICMP Database Objectifs Introduction – État de lart – Objectifs – Solution – Conclusion

14 Paquets non loggés Rejets de paquets Paquets trop longs Paquets malformés Attaques dun pirate Erreur de transmission Exemple Numéro de séquence invalide Objectifs Analyse statistique impossible IPTables Données Statistique Non loggé ICMP Database Objectifs Introduction – État de lart – Objectifs – Solution – Conclusion

15 ICMP Quelles attaques dans les en-têtes ? 5 à 8 sur Attaques Détection de fausses attaques Absence de détection de vraies attaques Objectifs Oublier les attaques ICMP IPTables Données Statistique Non loggé ICMP Database Objectifs Introduction – État de lart – Objectifs – Solution – Conclusion

16 Base de données ? Inconvénients Lenteur dinsertion Copie regrettable du fichier de logs Effectuer un pré-traitement Avantages Rapidité daffichage Simplicité de filtrage Utilisation dune base de données Similaire au fichier de logs IPTables Données Statistique Non loggé ICMP Database Objectifs Introduction – État de lart – Objectifs – Solution – Conclusion

17 Objectifs Revus à la baisse Firewall IDS Attaques très difficilement détectables Nécessité dune IA Travailler majoritairement sur la présentation Existant intéressant en PHP Développer en PHP Utilisation dune base de données IPTables Données Statistique Non loggé ICMP Database Objectifs Introduction – État de lart – Objectifs – Solution – Conclusion

18 Notre solution Projet technique – Analyse des logs d'un firewall Génération d'un compte-rendu sous forme de pages HTML

19 Outils utilisés Système Windows XP Pro Easy PHP Apache MySQL Graphes JPGraph 1.17 Outils utilisés Général Insertion Lecture Protocole TTL Introduction – État de lart – Objectifs – Solution – Conclusion

20 Aspect général Insertion des logs dans la base de données Lecture des logs Possibilité deffectuer un filtrage Accès aux services Choix du service Statistiques Dynamisées selon les filtres Outils utilisés Général Insertion Lecture Protocole TTL Introduction – État de lart – Objectifs – Solution – Conclusion

21 Insertion des logs Choix Fichier, mois, année Message de confirmation ou derreur Ici : nombre de logs insérés Outils utilisés Général Insertion Lecture Protocole TTL Introduction – État de lart – Objectifs – Solution – Conclusion

22 Lecture des logs Choix du nombre de logs par page Navigation page précédente / suivante Résolutions IP et service Outils utilisés Général Insertion Lecture Protocole TTL Introduction – État de lart – Objectifs – Solution – Conclusion

23 Protocole Graphe camembert filtré sur lannée 2004 Outils utilisés Général Insertion Lecture Protocole TTL Introduction – État de lart – Objectifs – Solution – Conclusion

24 TTL Filtrage sur lannée 2004 Graphes Année, et chaque mois de lannée Outils utilisés Général Insertion Lecture Protocole TTL Introduction – État de lart – Objectifs – Solution – Conclusion

25 Conclusion Projet technique – Analyse des logs d'un firewall Génération d'un compte-rendu sous forme de pages HTML

26 Conclusion Nécessité de beaucoup de recherches Trop ambitieux Changements dobjectifs Solution proposée Logs de forme fixe Interface entièrement développée Interface optimisée en traitement Tous les graphes ne sont pas générés Conclusion Introduction – État de lart – Objectifs – Solution – Conclusion


Télécharger ppt "Analyse des logs d'un firewall - Génération d'un compte-rendu sous forme de pages HTML Projet technique – 2004-2005 Responsable : Philippe DUMONT Franck."

Présentations similaires


Annonces Google