Soutenance de fin d’étude promotion srs 2012
-
Upload
jedjenderedjian -
Category
Documents
-
view
332 -
download
0
description
Transcript of Soutenance de fin d’étude promotion srs 2012
![Page 1: Soutenance de fin d’étude promotion srs 2012](https://reader033.fdocument.pub/reader033/viewer/2022061217/54b44f3c4a795989468b45b1/html5/thumbnails/1.jpg)
Réflexion et mise en place d’une solution de surveillance et sécurisation de la plateforme de production
Soutenance de fin d’étude Promotion SRS 2012
Jean-Eric Djenderedjian
![Page 2: Soutenance de fin d’étude promotion srs 2012](https://reader033.fdocument.pub/reader033/viewer/2022061217/54b44f3c4a795989468b45b1/html5/thumbnails/2.jpg)
Plan
Introduction
Présentation de ViadeoHistoireSecteur d’activité
Ma missionPrésentation des projetsProjet NIDSProjet WAF
Conclusion
![Page 3: Soutenance de fin d’étude promotion srs 2012](https://reader033.fdocument.pub/reader033/viewer/2022061217/54b44f3c4a795989468b45b1/html5/thumbnails/3.jpg)
Introduction
![Page 4: Soutenance de fin d’étude promotion srs 2012](https://reader033.fdocument.pub/reader033/viewer/2022061217/54b44f3c4a795989468b45b1/html5/thumbnails/4.jpg)
Introduction
Stage de fin d’étude du cursus ingénieur à San Francisco (USA)
Sécurisation de la plateforme deproduction
Collaboration avec l’équipe chargée del’exploitation
Contexte
Recherche, évaluation et choix d’un Système de Détection d’Intrusion (NIDS) et d’un Pare-Feu Applicatif (WAF)
Mise en production des solutions
Analyse de la densité et du contenu du trafic réseau
Sujet de stage
Travailler sur des sujets de sécurité d’entreprise
Appréhender la notion processus métier
Monter en responsabilités
Attentes personnelles
Estimation des charges de travail
Définition des métriques d’évaluation
Tests et “Proof of Concept”
Mise en production
Déroulement
![Page 5: Soutenance de fin d’étude promotion srs 2012](https://reader033.fdocument.pub/reader033/viewer/2022061217/54b44f3c4a795989468b45b1/html5/thumbnails/5.jpg)
Introduction
Stage de fin d’étude du cursus ingénieur à San Francisco (USA)
Sécurisation de la plateforme deproduction
Collaboration avec l’équipe chargée del’exploitation
Contexte
Recherche, évaluation et choix d’un Système de Détection d’Intrusion (NIDS) etd’un Pare-Feu Applicatif (WAF)
Mise en production des solutions
Analyse de la densité et du contenu du trafic réseau
Sujet de stage
Travailler sur des sujets de sécurité d’entreprise
Appréhender la notion processus métier
Monter en responsabilités
Attentes
Estimation des charges de travail
Définition des métriques d’évaluation
Tests et “Proof of Concept”
Mise en production
Déroulement
![Page 6: Soutenance de fin d’étude promotion srs 2012](https://reader033.fdocument.pub/reader033/viewer/2022061217/54b44f3c4a795989468b45b1/html5/thumbnails/6.jpg)
Introduction
Stage de fin d’étude du cursus ingénieur à San Francisco (USA)
Sécurisation de la plateforme deproduction
Collaboration avec l’équipe chargée del’exploitation
Contexte
Recherche, évaluation et choix d’un Système de Détection d’Intrusion (NIDS) et d’un Pare-Feu Applicatif (WAF)
Mise en production des solutions
Analyse de la densité et du contenu du trafic réseau
Sujet de stage
Travailler sur des sujets de sécuritéd’entreprise
Appréhender la notion processus métier
Monter en responsabilités
Mes attentes
Estimation des charges de travail
Définition des métriques d’évaluation
Tests et “Proof of Concept”
Mise en production
Déroulement
![Page 7: Soutenance de fin d’étude promotion srs 2012](https://reader033.fdocument.pub/reader033/viewer/2022061217/54b44f3c4a795989468b45b1/html5/thumbnails/7.jpg)
Introduction
Stage de fin d’étude du cursus ingénieur à San Francisco (USA)
Sécurisation de la plateforme deproduction
Collaboration avec l’équipe chargée del’exploitation
Contexte
Recherche, évaluation et choix d’un Système de Détection d’Intrusion (NIDS) et d’un Pare-Feu Applicatif (WAF)
Mise en production des solutions
Analyse de la densité et du contenu du trafic réseau
Sujet de stage
Travailler sur des sujets de sécurité d’entreprise
Appréhender la notion processus métier
Monter en responsabilités
Mes attentes
Estimation des charges de travail
Définition des métriques d’évaluation
Tests et “Proof of Concept”
Mise en production
Déroulement
![Page 8: Soutenance de fin d’étude promotion srs 2012](https://reader033.fdocument.pub/reader033/viewer/2022061217/54b44f3c4a795989468b45b1/html5/thumbnails/8.jpg)
Présentation de Viadeo
![Page 9: Soutenance de fin d’étude promotion srs 2012](https://reader033.fdocument.pub/reader033/viewer/2022061217/54b44f3c4a795989468b45b1/html5/thumbnails/9.jpg)
Viadeo : History
Created in 2004
Founders :•Dan Serfaty•Thierry Lunati
Viadeo is a professional social network•Make easier relations between
companies and potential employees•Share professional relation•Manage career
Creation 3 Found raising since its creation
•5 millions euros in 2006
•5 millions euros in 2008
•24 millions euros in 2012
Several acquisitions
•Tianji the first professional social network in China in 2007
UNYK a 2.0 web platform in 2009
Increasing notoriety
•8,5 millions of members in 2008
•25 millions of members in 2009
•40 millions of memvers in 2010
Evolution
![Page 10: Soutenance de fin d’étude promotion srs 2012](https://reader033.fdocument.pub/reader033/viewer/2022061217/54b44f3c4a795989468b45b1/html5/thumbnails/10.jpg)
Viadeo : History
Created in 2004
Founders :•Dan Serfaty•Thierry Lunati
Viadeo is a professional social network•Make easier relations between
companies and potential employees•Share professional relation•Manage career
Creation 3 Found raising since its creation
•5 millions euros in 2006
•5 millions euros in 2008
•24 millions euros in 2012
Several acquisitions
•Tianji the first professional social network in China in 2007
UNYK a 2.0 web platform in 2009
Increasing notoriety
•8,5 millions of members in 2008
•25 millions of members in 2009
•40 millions of memvers in 2010
Evolution
![Page 11: Soutenance de fin d’étude promotion srs 2012](https://reader033.fdocument.pub/reader033/viewer/2022061217/54b44f3c4a795989468b45b1/html5/thumbnails/11.jpg)
Viadeo : Activity
Users can manage and develop their ownprofessional network
Users can establish long term relations
Users can recommand each other
Network
Managing his career is as important as his network
Users can find job opportunities, receive job offers
47% of HR are using social networks to find an employee
Career
Companies can be more seen
Users can also find customers or partners
Businessman are using a lot of social networks features such as community groups
Business
![Page 12: Soutenance de fin d’étude promotion srs 2012](https://reader033.fdocument.pub/reader033/viewer/2022061217/54b44f3c4a795989468b45b1/html5/thumbnails/12.jpg)
Viadeo : Activity
Users can manage and develop their ownprofessional network
Users can establish long term relations
Users can recommand each other
Network
Managing his career is as important as his network
Users can find job opportunities, receive job offers
47% of HR are using social networks to find an employee
Career
Companies can be more seen
Users can also find customers or partners
Businessman are using a lot of social networks features such as community groups
Business
![Page 13: Soutenance de fin d’étude promotion srs 2012](https://reader033.fdocument.pub/reader033/viewer/2022061217/54b44f3c4a795989468b45b1/html5/thumbnails/13.jpg)
Viadeo : Activity
Users can manage and develop their ownprofessional network
Users can establish long term relations
Users can recommand each other
Network
Managing his career is as important as his network
Users can find job opportunities, receive job offers
47% of HR are using social networks to find an employee
Career
Companies can be more seen
Users can also find customers or partners
Businessman are using a lot of social networks features such as community groups
Business
![Page 14: Soutenance de fin d’étude promotion srs 2012](https://reader033.fdocument.pub/reader033/viewer/2022061217/54b44f3c4a795989468b45b1/html5/thumbnails/14.jpg)
Ma Mission
![Page 15: Soutenance de fin d’étude promotion srs 2012](https://reader033.fdocument.pub/reader033/viewer/2022061217/54b44f3c4a795989468b45b1/html5/thumbnails/15.jpg)
3 projets distincts
Objectif : Détecter les tentativesd’attaques sur le site web
Moyen : Comparaison des paquets IP àdes schémas d’attaques pré-défini
Contrainte : Ne pas perturber laproduction
Charge estimée : 55 jours
NIDS
Objectif : Bloquer toute tentative d’attaques sur le site web
Moyen : Comparaison des paquets IP à des schémas d’attaques pré-défini
Contrainte : Installation sur les serveurs web
Charge estimé : 55 jours
WAF
Objectif : Analyser la densité et le contenu du trafic de l’entreprise
Moyen : Utilisation d’un outil de Deep Packet Inspection
Charge estimée : 20 jours
Analyse du réseau
![Page 16: Soutenance de fin d’étude promotion srs 2012](https://reader033.fdocument.pub/reader033/viewer/2022061217/54b44f3c4a795989468b45b1/html5/thumbnails/16.jpg)
3 projets distincts
Objectif : Détecter les tentativesd’attaques sur le site web
Moyen : Comparaison des paquets IP àdes schémas d’attaques pré-défini
Contrainte : Ne pas perturber laproduction
Charge estimée : 55 jours
NIDS
Objectif : Bloquer toute tentative d’attaques sur le site web
Moyen : Comparaison des paquets IP à des schémas d’attaques pré-défini
Contrainte : Installation sur les serveurs web
Charge estimé : 55 jours
WAF
Objectif : Analyser la densité et le contenu du trafic de l’entreprise
Moyen : Utilisation d’un outil de Deep Packet Inspection
Charge estimée : 20 jours
Analyse du réseau
![Page 17: Soutenance de fin d’étude promotion srs 2012](https://reader033.fdocument.pub/reader033/viewer/2022061217/54b44f3c4a795989468b45b1/html5/thumbnails/17.jpg)
3 projets distincts
Objectif : Détecter les tentativesd’attaques sur le site web
Moyen : Comparaison des paquets IP àdes schémas d’attaques pré-défini
Contrainte : Ne pas perturber laproduction
Charge estimée : 55 jours
NIDS
Objectif : Bloquer toute tentative d’attaques sur le site web
Moyen : Comparaison des paquets IP à des schémas d’attaques pré-défini
Contrainte : Installation sur les serveurs web
Charge estimé : 55 jours
WAF
Objectif : Analyser la densité et le contenu du trafic de l’entreprise
Moyen : Utilisation d’un outil de Deep Packet Inspection
Charge estimée : 20 jours
Analyse du réseau
![Page 18: Soutenance de fin d’étude promotion srs 2012](https://reader033.fdocument.pub/reader033/viewer/2022061217/54b44f3c4a795989468b45b1/html5/thumbnails/18.jpg)
NIDS : Choix possibles
IDS historique (15 ans)
Très bonne réputation
Très bien documenté
Multi-threading non géré
Snort
IDS très jeune (2 ans)
Bonne réputation
Peu documenté
Gestion du multi-threading
Suricata
![Page 19: Soutenance de fin d’étude promotion srs 2012](https://reader033.fdocument.pub/reader033/viewer/2022061217/54b44f3c4a795989468b45b1/html5/thumbnails/19.jpg)
NIDS : Choix possibles
IDS historique (15 ans)
Très bonne réputation
Très bien documenté
Multi-threading non géré
Snort
IDS très jeune (2 ans)
Bonne réputation
Peu documenté
Gestion du multi-threading
Suricata
![Page 20: Soutenance de fin d’étude promotion srs 2012](https://reader033.fdocument.pub/reader033/viewer/2022061217/54b44f3c4a795989468b45b1/html5/thumbnails/20.jpg)
NIDS : Modules Complémentaires
Alertes enregistrées dans des fichierssous un format spécifique (unified2)
Utilisation d’un logiciel pour archiverces alertes dans une base de donnéessous un format lisible : Barnyard2
Utilisation d’interfaces de monitoringpour visionner ces alertes
•BASE•Snorby•Sguil•Squert
Monitoring
Attaques détectées grâce à des schémas pré-définis
Utilisation d’un gestionnaire de règles afin de mettre à jour, désactiver ou modifier les règles existantes et d’en créer de nouvelles
•Oinkmaster
•Pulledpork
Règles de détection
![Page 21: Soutenance de fin d’étude promotion srs 2012](https://reader033.fdocument.pub/reader033/viewer/2022061217/54b44f3c4a795989468b45b1/html5/thumbnails/21.jpg)
NIDS : Modules Complémentaires
Alertes enregistrées dans des fichierssous un format spécifique (unified2)
Utilisation d’un logiciel pour archiverces alertes dans une base de donnéessous un format lisible : Barnyard2
Utilisation d’interfaces de monitoringpour visionner ces alertes
•BASE•Snorby•Sguil•Squert
Monitoring
Attaques détectées grâce à des schémas pré-définis
Utilisation d’un gestionnaire de règles afin de mettre à jour, désactiver ou modifier les règles existantes et d’en créer de nouvelles
•Oinkmaster
•Pulledpork
Règles de détection
![Page 22: Soutenance de fin d’étude promotion srs 2012](https://reader033.fdocument.pub/reader033/viewer/2022061217/54b44f3c4a795989468b45b1/html5/thumbnails/22.jpg)
NIDS : Architecture de la solution
![Page 23: Soutenance de fin d’étude promotion srs 2012](https://reader033.fdocument.pub/reader033/viewer/2022061217/54b44f3c4a795989468b45b1/html5/thumbnails/23.jpg)
NIDS : Métriques d’évaluation
Taux de détection
Nombre de faux positifs
Capacité de traitement
Performances
Mise à jour régulière par l’éditeur
Facilité d’application des mises à jours
Consommation de ressources
Maintenance et utilisation
Temps d’affichages des nouvelles alertes
Classification des alertes selon leur criticité
Gestion des alertes via la Base de données (BDD)
Interface de monitoring
![Page 24: Soutenance de fin d’étude promotion srs 2012](https://reader033.fdocument.pub/reader033/viewer/2022061217/54b44f3c4a795989468b45b1/html5/thumbnails/24.jpg)
NIDS : Métriques d’évaluation
Taux de détection
Nombre de faux positifs
Capacité de traitement
Performances
Mise à jour régulière par l’éditeur
Facilité d’application des mises à jours
Consommation de ressources
Maintenance et utilisation
Temps d’affichages des nouvelles alertes
Classification des alertes selon leur criticité
Gestion des alertes via la Base de données (BDD)
Interface de monitoring
![Page 25: Soutenance de fin d’étude promotion srs 2012](https://reader033.fdocument.pub/reader033/viewer/2022061217/54b44f3c4a795989468b45b1/html5/thumbnails/25.jpg)
NIDS : Métriques d’évaluation
Taux de détection
Nombre de faux positifs
Capacité de traitement
Performances
Mise à jour régulière par l’éditeur
Facilité d’application des mises à jours
Consommation de ressources
Maintenance et utilisation
Temps d’affichages des nouvelles alertes
Classification des alertes selon leur criticité
Gestion des alertes via la Base de données (BDD)
Interface de monitoring
![Page 26: Soutenance de fin d’étude promotion srs 2012](https://reader033.fdocument.pub/reader033/viewer/2022061217/54b44f3c4a795989468b45b1/html5/thumbnails/26.jpg)
NIDS : Tests et Proof of concept
Deux phases de test :•Machines virtuelles•Serveur de test
Taux de détection : Suricata supérieur
Nombre de faux positifs : Peu significatif
Capacité de traitement : Equivalente
Ressources : Consommation de Snortélevée
Les mises à jour des systèmes par leséditeurs sont régulières
Senseur
Test des NIDS avec BASE, Snorby et Squert
BASE : Gestion des alertes via la BDDMise à jour des alertes toutes les 5 secondes
Snorby : Système de classification présentLabelisation et ajout de commentaires sur les alertes
Squert : Système de classification présent
Monitoring
![Page 27: Soutenance de fin d’étude promotion srs 2012](https://reader033.fdocument.pub/reader033/viewer/2022061217/54b44f3c4a795989468b45b1/html5/thumbnails/27.jpg)
NIDS : Tests et Proof of concept
Deux phases de test :
Machines virtuelles
Serveur de test
Taux de détection : Suricata supérieur
Nombre de faux positifs : Peu significatif
Capacité de traitement : Equivalente
Ressources : Consommation de Snortélevée
Les mises à jour des systèmes par leséditeurs sont régulières
Senseur
Test des NIDS avec BASE, Snorby et Squert
BASE : Gestion des alertes via la BDDMise à jour des alertes toutes les 5 secondes
Snorby : Système de classification présentLabelisation et ajout de commentaires sur les alertes
Squert : Système de classification présent
Monitoring
![Page 28: Soutenance de fin d’étude promotion srs 2012](https://reader033.fdocument.pub/reader033/viewer/2022061217/54b44f3c4a795989468b45b1/html5/thumbnails/28.jpg)
NIDS : Choix final
Squert ne permet qu’une liste des alertessans aucune autre fonctionnalité
Ni BASE ni Snorby ne remplissententièrement les critères attendus mais sontcomplémentaires
Utilisation de BASE et Snorby
Monitoring
Oinkmaster est très ancien et n’est plus mis à jour.
Pulledpork est toujours maintenu et plus facile à utiliser
Utilisation de Pulledpork
Règles de détection
Suricata semble être plus performant que Snort
Installation et procédures de mises à jour laborieuses
Utilisation de Security Onion
Senseur
![Page 29: Soutenance de fin d’étude promotion srs 2012](https://reader033.fdocument.pub/reader033/viewer/2022061217/54b44f3c4a795989468b45b1/html5/thumbnails/29.jpg)
NIDS : Métriques d’évaluation
Squert ne permet qu’une liste des alertessans aucune autre fonctionnalité
Ni BASE ni Snorby ne remplissententièrement les critères attendus mais sontcomplémentaires
Utilisation de BASE et Snorby
Oinkmaster est très ancien et n’est plus mis à jour.
Pulledpork est toujours maintenu et plus facile à utiliser
Utilisation de Pulledpork
Suricata semble être plus performant que Snort
Installation et procédures de mises à jour laborieuses
Utilisation de Security Onion
Monitoring Règles de détection
Senseur
![Page 30: Soutenance de fin d’étude promotion srs 2012](https://reader033.fdocument.pub/reader033/viewer/2022061217/54b44f3c4a795989468b45b1/html5/thumbnails/30.jpg)
NIDS : Métriques d’évaluation
Squert ne permet qu’une liste des alertessans aucune autre fonctionnalité
Ni BASE ni Snorby ne remplissententièrement les critères attendus mais sontcomplémentaires
Utilisation de BASE et Snorby
Oinkmaster est très ancien et n’est plus mis à jour.
Pulledpork est toujours maintenu et plus facile à utiliser
Utilisation de Pulledpork
Suricata semble être plus performant que Snort
Installation et procédures de mises à jour laborieuses
Utilisation de Security Onion
Monitoring Règles de détection
Senseur
![Page 31: Soutenance de fin d’étude promotion srs 2012](https://reader033.fdocument.pub/reader033/viewer/2022061217/54b44f3c4a795989468b45b1/html5/thumbnails/31.jpg)
NIDS : Mise en production
![Page 32: Soutenance de fin d’étude promotion srs 2012](https://reader033.fdocument.pub/reader033/viewer/2022061217/54b44f3c4a795989468b45b1/html5/thumbnails/32.jpg)
Attaques détectées
Attaque dite par “Bruteforce” sur les accès SSH d’un serveur
Origine de l’attaque : Une règle du firewall, mal configurée. Au lieu de bloquer les fluxréseau, ayant pour port de destination le port 22, elle les redirige vers le serveur ciblé parl’attaque
Solution : Modifier la règle, pour que le firewall retrouve un comportement normal.
Tentatives d’attaques par injections SQL et exploitations d’éventuelles failles XSS
Le nombre de requêtes très important entraina une surcharge des serveurs. Risque d’indisponibilité du site Viadeo
Solution : Supression du compte et mise de l’IP de l’attaquant sur liste noire. Configuration des serveurs web afin de refuser toute requêtes venant de cette adresse.
![Page 33: Soutenance de fin d’étude promotion srs 2012](https://reader033.fdocument.pub/reader033/viewer/2022061217/54b44f3c4a795989468b45b1/html5/thumbnails/33.jpg)
Attaques détectées
Attaque dite par “Bruteforce” sur les accès SSH d’un serveur
Origine de l’attaque : Une règle du firewall, mal configurée. Au lieu de bloquer les fluxréseau, ayant pour port de destination le port 22, elle les redirige vers le serveur ciblé parl’attaque
Solution : Modifier la règle, pour que le firewall retrouve un comportement normal.
Tentatives d’attaques par injections SQL et exploitations d’éventuelles failles XSS
Le nombre de requêtes très important entraina une surcharge des serveurs. Risque d’indisponibilité du site Viadeo
Solution : Supression du compte et mise de l’IP de l’attaquant sur liste noire. Configuration des serveurs web afin de refuser toute requêtes venant de cette adresse.
![Page 34: Soutenance de fin d’étude promotion srs 2012](https://reader033.fdocument.pub/reader033/viewer/2022061217/54b44f3c4a795989468b45b1/html5/thumbnails/34.jpg)
WAF : Veille technologique
Architecture intrusive ou « Reverse proxy »
Firewall applicatif placé entre le firewallet le serveur web
Obligation d’avoir un WAF par serveurweb
Création d’un “Single Point of Failure”(SPOF)
Architecture parallèle ou “Sonde”
Firewall applicatif n’est pas placé dans l’alignement Firewall-Serveur : limitation de l’impact sur la production
Le WAF sniffe les paquets IP et peut envoi un message au serveur pour lui dire de ne pas traiter les requêtes dangeureuses
Architecture modulaire ou “Intégrée au serveur”
Installation du Firewall applicatif sur le serveur web
Disparition du SPOF
Augmentation du traitement d’informations par le serveur web
Architecture Intrusive Architecture Parallèle
Architecture modulaire
![Page 35: Soutenance de fin d’étude promotion srs 2012](https://reader033.fdocument.pub/reader033/viewer/2022061217/54b44f3c4a795989468b45b1/html5/thumbnails/35.jpg)
WAF : Architecture intrusive
![Page 36: Soutenance de fin d’étude promotion srs 2012](https://reader033.fdocument.pub/reader033/viewer/2022061217/54b44f3c4a795989468b45b1/html5/thumbnails/36.jpg)
WAF : Veille technologique
Architecture intrusive ou « Reverse proxy »
Firewall applicatif placé entre le firewallet le serveur web
Obligation d’avoir un WAF par serveurweb
Création d’un “Single Point of Failure”(SPOF)
Architecture parallèle ou “Sonde”
Firewall applicatif n’est pas placé dans l’alignement Firewall-Serveur : limitation de l’impact sur la production
Le WAF sniffe les paquets IP et peut envoi un message au serveur pour lui dire de ne pas traiter les requêtes dangeureuses
Architecture modulaire ou “Intégrée au serveur”
Installation du Firewall applicatif sur le serveur web
Disparition du SPOF
Augmentation du traitement d’informations par le serveur web
Architecture Intrusive Architecture Parallèle
Architecture modulaire
![Page 37: Soutenance de fin d’étude promotion srs 2012](https://reader033.fdocument.pub/reader033/viewer/2022061217/54b44f3c4a795989468b45b1/html5/thumbnails/37.jpg)
WAF : Architecture Parallèle
![Page 38: Soutenance de fin d’étude promotion srs 2012](https://reader033.fdocument.pub/reader033/viewer/2022061217/54b44f3c4a795989468b45b1/html5/thumbnails/38.jpg)
WAF : Veille technologique
Architecture intrusive ou « Reverse proxy »
Firewall applicatif placé entre le firewallet le serveur web
Obligation d’avoir un WAF par serveurweb
Création d’un “Single Point of Failure”(SPOF)
Architecture parallèle ou “Sonde”
Firewall applicatif n’est pas placé dans l’alignement Firewall-Serveur : limitation de l’impact sur la production
Le WAF sniffe les paquets IP et peut envoi un message au serveur pour lui dire de ne pas traiter les requêtes dangeureuses
Architecture modulaire ou “Intégrée au serveur”
Installation du Firewall applicatif sur le serveur web
Disparition du SPOF
Augmentation du traitement d’informations par le serveur web
Architecture Intrusive Architecture Parallèle
Architecture modulaire
![Page 39: Soutenance de fin d’étude promotion srs 2012](https://reader033.fdocument.pub/reader033/viewer/2022061217/54b44f3c4a795989468b45b1/html5/thumbnails/39.jpg)
WAF : Architecture Parallèle
![Page 40: Soutenance de fin d’étude promotion srs 2012](https://reader033.fdocument.pub/reader033/viewer/2022061217/54b44f3c4a795989468b45b1/html5/thumbnails/40.jpg)
Projet WAF : Veille Technologique
WAF : Web Application FirewallDifférentes architectures
Reverse ProxySondeIntégré au serveur Web
Différents modes de fonctionnementNégatifPositif
![Page 41: Soutenance de fin d’étude promotion srs 2012](https://reader033.fdocument.pub/reader033/viewer/2022061217/54b44f3c4a795989468b45b1/html5/thumbnails/41.jpg)
WAF : Choix Possibles
License gratuite
Module d’apache
Règles de détection non fournies
Modsecurity
License payante
Logiciel indépendant
Règles de détection fournies
dotDefender
![Page 42: Soutenance de fin d’étude promotion srs 2012](https://reader033.fdocument.pub/reader033/viewer/2022061217/54b44f3c4a795989468b45b1/html5/thumbnails/42.jpg)
WAF : Choix possibles
License gratuite
Module d’apache
Règles de détection non fournies
Modsecurity
License payante
Logiciel indépendant
Règles de détection fournies
dotDefender
![Page 43: Soutenance de fin d’étude promotion srs 2012](https://reader033.fdocument.pub/reader033/viewer/2022061217/54b44f3c4a795989468b45b1/html5/thumbnails/43.jpg)
WAF : Métriques d’évaluation
Taux de détection
Nombre de faux positifs
Capacité de traitement
Performances
Mise à jour régulière par l’éditeur
Facilité d’application des mises à jours
Intégration dans la plateforme de production
Maintenance et utilisation
![Page 44: Soutenance de fin d’étude promotion srs 2012](https://reader033.fdocument.pub/reader033/viewer/2022061217/54b44f3c4a795989468b45b1/html5/thumbnails/44.jpg)
WAF : Métriques d’évaluation
Taux de détection
Nombre de faux positifs
Capacité de traitement
Performances
Mise à jour régulière par l’éditeur
Facilité d’application des mises à jours
Intégration dans la plateforme de production
Maintenance et utilisation
![Page 45: Soutenance de fin d’étude promotion srs 2012](https://reader033.fdocument.pub/reader033/viewer/2022061217/54b44f3c4a795989468b45b1/html5/thumbnails/45.jpg)
WAF : Tests et Proof of concept
Une interface de monitoring doit êtreinstallée manuellement
Taux de détection : Très bon
Mises à jour régulières
Installation longue et pouvantdifficilement être automatisée
Application des mises à jours doiventêtre effectuées manuellement
Interface de monitoring permet uneconfiguration et administration à distancetrès complète
ModSecurity
Interface de monitoring fournie
Taux de détection : Bon
Installation rapide et automatisée
Application des mises à jours automatiques
In terface de monitoring simple et ne permet qu’une administration et configuration limitée
dotDefender
![Page 46: Soutenance de fin d’étude promotion srs 2012](https://reader033.fdocument.pub/reader033/viewer/2022061217/54b44f3c4a795989468b45b1/html5/thumbnails/46.jpg)
NIDS : Tests et Proof of concept
Une interface de monitoring doit êtreinstallée manuellement
Taux de détection : Très bon
Mises à jour régulières
Installation longue et pouvantdifficilement être automatisée
Application des mises à jours doiventêtre effectuées manuellement
Interface de monitoring permet uneconfiguration et administration à distancetrès complète
ModSecurity
Interface de monitoring fournie
Taux de détection : Bon
Installation rapide et automatisée
Application des mises à jours automatiques
In terface de monitoring simple et ne permet qu’une administration et configuration limitée
dotDefender
![Page 47: Soutenance de fin d’étude promotion srs 2012](https://reader033.fdocument.pub/reader033/viewer/2022061217/54b44f3c4a795989468b45b1/html5/thumbnails/47.jpg)
Conclusion
![Page 48: Soutenance de fin d’étude promotion srs 2012](https://reader033.fdocument.pub/reader033/viewer/2022061217/54b44f3c4a795989468b45b1/html5/thumbnails/48.jpg)
Conclusion
Le NIDS est fonctionnel et en utilisation
Quelques défauts de stabilité existent
En attente de mises à jour majeures
Différentes solutions sont à l’études
Le choix de la solution se fera dans les jours qui viennent
Le projet d’analyse du réseau de l’entreprise n’est pas encore commencé
Début imminant
Le planning original très bouleversé
Les projets seront néanmoins fini à la fin du stage
![Page 49: Soutenance de fin d’étude promotion srs 2012](https://reader033.fdocument.pub/reader033/viewer/2022061217/54b44f3c4a795989468b45b1/html5/thumbnails/49.jpg)
NIDS : Stabilisation de la solution
Le NIDS est fonctionnel et en utilisation
Quelques défauts de stabilité existent
En attente de mises à jour majeures
Différentes solutions sont à l’études
Le choix de la solution se fera dans lesjours qui viennent
Le projet d’analyse du réseau de l’entreprise n’est pas encore commencé
Début imminant
Le planning original très bouleversé
Les projets seront néanmoins fini à la fin du stage
![Page 50: Soutenance de fin d’étude promotion srs 2012](https://reader033.fdocument.pub/reader033/viewer/2022061217/54b44f3c4a795989468b45b1/html5/thumbnails/50.jpg)
NIDS : Stabilisation de la solution
Le NIDS est fonctionnel et en utilisation
Quelques défauts de stabilité existent
En attente de mises à jour majeures
Différentes solutions sont à l’études
Le choix de la solution se fera dans les jours qui viennent
Le projet d’analyse du réseau del’entreprise n’est pas encore commencé
Début imminant
Le planning original très bouleversé
Les projets seront néanmoins fini à la fin du stage
![Page 51: Soutenance de fin d’étude promotion srs 2012](https://reader033.fdocument.pub/reader033/viewer/2022061217/54b44f3c4a795989468b45b1/html5/thumbnails/51.jpg)
NIDS : Stabilisation de la solution
Le NIDS est fonctionnel et en utilisation
Quelques défauts de stabilité existent
En attente de mises à jour majeures
Différentes solutions sont à l’études
Le choix de la solution se fera dans les jours qui viennent
Le projet d’analyse du réseau de l’entreprise n’est pas encore commencé
Début imminant
Le planning original très bouleversé
Les projets seront néanmoins fini à la findu stage
![Page 52: Soutenance de fin d’étude promotion srs 2012](https://reader033.fdocument.pub/reader033/viewer/2022061217/54b44f3c4a795989468b45b1/html5/thumbnails/52.jpg)
Remerciement
Maitre de stage : Olivier Malki
Superviseur : Boris Hajduk
![Page 53: Soutenance de fin d’étude promotion srs 2012](https://reader033.fdocument.pub/reader033/viewer/2022061217/54b44f3c4a795989468b45b1/html5/thumbnails/53.jpg)
Merci de votre attention,
à vos questions!