pierrechiier arnaudfontaine - anssi
Embed Size (px)
TRANSCRIPT
Sonde IDS durcie Collecte d’informations depuis tous les
éléments
Basé sur des Intrusion Detection System
Nombreux décodeurs protocolaires
Centralisation et analyse
IDS : Où détecter?
Automate Automate
Serveur SCADA
Supervision de sécurité
Nombreux décodeurs protocolaires
Architecture système sécurisée
Cloisonnement des rôles
Déínition des rôles
3 Audit
Sonde : état initial
Cloisonnement réseau
ANSSI Sonde IDS durcie 10/33
Sonde : état initial
eth1eth0
(ipsec)
sonde
Protections Système
Réduction des droits administrateur
Suppression des fonctions inutiles
Rendre immuable la sonde
. . .
Protections Système
Patch grsec/PaX
W ⊕ X Restrictions
ANSSI Sonde IDS durcie 13/33
Étape 1 : séparation des réseaux
eth1eth0
(ipsec)
sonde
eth1eth0
(ipsec)
Cloisonnement
Principes
Isolation des IDS et du socle
Suppression de l’accès au matériel
ANSSI Sonde IDS durcie 15/33
Cloisonnement
Réduction des privilèges
ANSSI Sonde IDS durcie 16/33
Conteneurs
IDS
ANSSI Sonde IDS durcie 17/33
Étape 2 : durcissement du socle
eth1eth0
(ipsec)
IDS1
in1
IDS2
in2
IDS3
in3
eth1eth0
(ipsec)
Journalisation
Rôle administrateur IDS : pas d’accès aux journaux
Intégrité des journaux
ANSSI Sonde IDS durcie 19/33
Isolation des données
RW
Utilisation de la virtualisation Partage de la racine Répertoires spéciíques par
conteneurs
Diodes logicielles socket Unix tube nommé (FIFO) point de (re-)montage
ANSSI Sonde IDS durcie 20/33
Étape 3 : cloisonnement des IDS
IDS1
in1
IDS2
in2
IDS3
in3
eth1eth0
(ipsec)
collect
send
IDS1
in1
IDS2
in2
IDS3
in3
eth1eth0
(ipsec)
m
Isolation Réseau
TAP physique
Pas de coût (e)
collect
send
IDS1
in1
IDS2
in2
IDS3
in3
eth1eth0
(ipsec)
m
Sonde durcie
Mises à jour
Verrouillage du système
ANSSI Sonde IDS durcie 24/33
Le cas des systèmes industriels
Fortes contraintes Protocoles peu analysés Très sensibles à la latence Nombreux points de collecte Contraintes physiques (espace) et mécaniques
Équipements traditionnels inadaptés
Faible traíc réseau
IDS pour systèmes industriels
Utiliser un matériel peu encombrant
Réduire le coût
Preuve de concept
Base commune Boîtier Mirabox
SoC ARM (Armada 370), mono-cœur à 1,2 GHz 1 Go de RAM, 2 interfaces Gbit
Debian unstable
Sonde durcie
TAP logique (bridge + interface réseau virtuelle)
1 LXC contenant l’IDS
1 LXC pour collecter les alertes
ANSSI Sonde IDS durcie 27/33
Protocole expérimental
Génération d’une alerte par transaction Modbus
Alertes fastlog
tube nommé (FIFO) dans le cas de la sonde durcie
Mesure des performances 200 000 paquets de traíc réel d’un système industriel
100 000 transactions Modbus
ANSSI Sonde IDS durcie 28/33
Résultats (sonde témoin)
Paquets traités Paquets perdus
Résultats (sonde durcie)
Paquets traités Paquets perdus
Résultats
50000
100000
150000
200000
250000
P aq
Débit (paquets/sec.)
Analyse des résultats
sonde témoin : 32 500 paquets/sec. sonde durcie : 21 500 paquets/sec.
Impact global du durcissement : environ 33 %
Impact relatif de chaquemesure
TAP logique : environ 60%
grsecurity/PaX : environ 13 %
Conclusion
Architecture « de référence » Défense en profondeur Protections à l’état de l’art Réutilisation encouragée
Preuve de concept fonctionnelle
Performances acceptables Contexte défavorable Borne supérieure sur l’impact du durcissement
Points d’amélioration Intégrité du démarrage Tester avec d’autres IDS
Quid de la qualité des IDS ?
ANSSI Sonde IDS durcie 33/33
Introduction
Rôles
Basé sur des Intrusion Detection System
Nombreux décodeurs protocolaires
Centralisation et analyse
IDS : Où détecter?
Automate Automate
Serveur SCADA
Supervision de sécurité
Nombreux décodeurs protocolaires
Architecture système sécurisée
Cloisonnement des rôles
Déínition des rôles
3 Audit
Sonde : état initial
Cloisonnement réseau
ANSSI Sonde IDS durcie 10/33
Sonde : état initial
eth1eth0
(ipsec)
sonde
Protections Système
Réduction des droits administrateur
Suppression des fonctions inutiles
Rendre immuable la sonde
. . .
Protections Système
Patch grsec/PaX
W ⊕ X Restrictions
ANSSI Sonde IDS durcie 13/33
Étape 1 : séparation des réseaux
eth1eth0
(ipsec)
sonde
eth1eth0
(ipsec)
Cloisonnement
Principes
Isolation des IDS et du socle
Suppression de l’accès au matériel
ANSSI Sonde IDS durcie 15/33
Cloisonnement
Réduction des privilèges
ANSSI Sonde IDS durcie 16/33
Conteneurs
IDS
ANSSI Sonde IDS durcie 17/33
Étape 2 : durcissement du socle
eth1eth0
(ipsec)
IDS1
in1
IDS2
in2
IDS3
in3
eth1eth0
(ipsec)
Journalisation
Rôle administrateur IDS : pas d’accès aux journaux
Intégrité des journaux
ANSSI Sonde IDS durcie 19/33
Isolation des données
RW
Utilisation de la virtualisation Partage de la racine Répertoires spéciíques par
conteneurs
Diodes logicielles socket Unix tube nommé (FIFO) point de (re-)montage
ANSSI Sonde IDS durcie 20/33
Étape 3 : cloisonnement des IDS
IDS1
in1
IDS2
in2
IDS3
in3
eth1eth0
(ipsec)
collect
send
IDS1
in1
IDS2
in2
IDS3
in3
eth1eth0
(ipsec)
m
Isolation Réseau
TAP physique
Pas de coût (e)
collect
send
IDS1
in1
IDS2
in2
IDS3
in3
eth1eth0
(ipsec)
m
Sonde durcie
Mises à jour
Verrouillage du système
ANSSI Sonde IDS durcie 24/33
Le cas des systèmes industriels
Fortes contraintes Protocoles peu analysés Très sensibles à la latence Nombreux points de collecte Contraintes physiques (espace) et mécaniques
Équipements traditionnels inadaptés
Faible traíc réseau
IDS pour systèmes industriels
Utiliser un matériel peu encombrant
Réduire le coût
Preuve de concept
Base commune Boîtier Mirabox
SoC ARM (Armada 370), mono-cœur à 1,2 GHz 1 Go de RAM, 2 interfaces Gbit
Debian unstable
Sonde durcie
TAP logique (bridge + interface réseau virtuelle)
1 LXC contenant l’IDS
1 LXC pour collecter les alertes
ANSSI Sonde IDS durcie 27/33
Protocole expérimental
Génération d’une alerte par transaction Modbus
Alertes fastlog
tube nommé (FIFO) dans le cas de la sonde durcie
Mesure des performances 200 000 paquets de traíc réel d’un système industriel
100 000 transactions Modbus
ANSSI Sonde IDS durcie 28/33
Résultats (sonde témoin)
Paquets traités Paquets perdus
Résultats (sonde durcie)
Paquets traités Paquets perdus
Résultats
50000
100000
150000
200000
250000
P aq
Débit (paquets/sec.)
Analyse des résultats
sonde témoin : 32 500 paquets/sec. sonde durcie : 21 500 paquets/sec.
Impact global du durcissement : environ 33 %
Impact relatif de chaquemesure
TAP logique : environ 60%
grsecurity/PaX : environ 13 %
Conclusion
Architecture « de référence » Défense en profondeur Protections à l’état de l’art Réutilisation encouragée
Preuve de concept fonctionnelle
Performances acceptables Contexte défavorable Borne supérieure sur l’impact du durcissement
Points d’amélioration Intégrité du démarrage Tester avec d’autres IDS
Quid de la qualité des IDS ?
ANSSI Sonde IDS durcie 33/33
Introduction
Rôles