Welcome to Scribd, the world's digital library. Read, publish, and share books and documents. See more
Download
Standard view
Full view
of .
Save to My Library
Look up keyword
Like this
2Activity
0 of .
Results for:
No results containing your search query
P. 1
sims-webJwinteregg

sims-webJwinteregg

Ratings:

4.5

(2)
|Views: 193 |Likes:
Published by Sylvain MARET

More info:

Published by: Sylvain MARET on Jul 26, 2009
Copyright:Attribution Non-commercial

Availability:

Read on Scribd mobile: iPhone, iPad and Android.
download as PDF, TXT or read online from Scribd
See more
See less

05/11/2014

pdf

text

original

 
Projet de Dipl ˆome
SIMS - Security Intrusion Management System (orient ´ e Web)
Auteur :
Jo¨el Winteregg
Professeur :
Stefano Ventura
Assistant :
Cyril Friche
´Ecole :
´Ecole d’ing´enieurs du Canton de Vaud
Date :
16 d´ecembre 2004
 
Table des mati`eres
1.1 R´esum´e du probl`eme. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 1.2 Cahier des charges. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41.3 Introduction au projet. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
2.1 Snort. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82.1.1 M´ethodes de d´etection d’attaques. . . . . . . . . . . . . . . . . . . . . . . . . 82.1.2 Architecture distribu´ee. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92.1.3 Outils d’analyse et de gestion. . . . . . . . . . . . . . . . . . . . . . . . . . . 112.2 Prelude. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122.2.1 Composants et architecture. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122.3 Comparatif . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 152.3.1 Moteur d’analyse et banque de signatures. . . . . . . . . . . . . . . . . . . . . 152.3.2 La console de l’analyste (frontends). . . . . . . . . . . . . . . . . . . . . . . . 162.4 Conclusion. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
3.1 Squid. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 173.1.1 Fonctionnement. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 183.1.2 Caract´eristiques. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 183.1.3 Installation. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 193.1.4 Configuration. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 193.1.5 ecriture d’URL et HTTP redirect. . . . . . . . . . . . . . . . . . . . . . . . 23 3.2 DansGuardian. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 243.2.1 Caract´eristiques. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 243.2.2 Installation. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 253.2.3 Architecture. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 253.2.4 Configuration. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 263.3 Conclusion. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
1
 
Projet de Diplˆome 2004 - Jo¨el Winteregg SIMS - Security Intrusion Manager System orient´e Web
4.1 D´efinition de l’architecture. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31 4.2 Modification du code source de Dansguardian pour le contrˆole des donn´ee POST´ee. . . 35 4.2.1 Installation et configuration de DansguardianSims. . . . . . . . . . . . . . . . 384.3 Installation des NIDS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 404.4 Mise en place du reverse-proxy. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 404.4.1 Installation de l’HIDS sur le reverse-proxy. . . . . . . . . . . . . . . . . . . . 404.4.2 Ceation d’une blacklist. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 414.4.3 Pattern matching de Prelude-lml pour DansguardianSims. . . . . . . . . . . . . 424.5 Mise en place de la sonde HIDS de IIS. . . . . . . . . . . . . . . . . . . . . . . . . . . 434.5.1 Configuration du client Windows
et d’IIS. . . . . . . . . . . . . . . . . . 434.5.2 Configuration du serveur syslog Linux. . . . . . . . . . . . . . . . . . . . . . . 444.5.3 Pattern matching de Prelude-lml pour les logs de IIS. . . . . . . . . . . . . . . 454.6 Mise en place d’un firewall
. . . . . . . . . . . . . . . . . . . . . . . . . . . . 454.6.1 R´ecup´eration des logs du firewall. . . . . . . . . . . . . . . . . . . . . . . . . 47 4.6.2 Gestion des logs syslog. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48
5.1 D´efinition et principe. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 505.2 Application. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 515.2.1 Mais qu’apportera concr`etement la corr´elation?. . . . . . . . . . . . . . . . . . 515.2.2´Ev´enements d´eclencheurs. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 525.3 Corr´elation temps r´eel VS corr´elation`a post´eriori. . . . . . . . . . . . . . . . . . . . . 53 5.4 Mise en place des contextes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 555.4.1 Contextes de sessions TCP communes. . . . . . . . . . . . . . . . . . . . . . . 565.5 Senarii d’investigation. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 605.5.1 Possibilies et limites. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 605.5.2 Diminution des faux positifs par analyse des requˆetes - r´eponses et du status duserveur Web. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 625.5.3 Trac¸abilit´e des comportements `a risque. . . . . . . . . . . . . . . . . . . . . . 64 5.6 Mise en place de NTP (Network Time Protocol). . . . . . . . . . . . . . . . . . . . . . 645.6.1 Installation Linux. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 655.6.2 Installation Windows. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65
6.1 Watchdog de contrˆole d’´etat du/des serveur(s) Web. . . . . . . . . . . . . . . . . . . . 68 6.1.1 etermination de l’´etat du service Web. . . . . . . . . . . . . . . . . . . . . . 68 6.1.2 Installation. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 696.1.3 Configuration. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 696.2 Algorithme de corr´elation et site Web (frontend). . . . . . . . . . . . . . . . . . . . . . 706.2.1 Choix du langage et du frontend hˆote. . . . . . . . . . . . . . . . . . . . . . . 706.2.2´Etude de l’interfac¸age avec SEC. . . . . . . . . . . . . . . . . . . . . . . . . . 706.2.3 Architecture logiciel. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 712

Activity (2)

You've already reviewed this. Edit your review.
1 thousand reads
1 hundred reads

You're Reading a Free Preview

Download
/*********** DO NOT ALTER ANYTHING BELOW THIS LINE ! ************/ var s_code=s.t();if(s_code)document.write(s_code)//-->