Symposium sur la sécurité des technologies de l'information et des communications

Conférence francophone sur le thème de la sécurité de l'information.
Elle a eu lieu à Rennes du 9 au 11 juin 2010.

CASTAFIOR : Détection automatique de tunnels illégitimes par analyse statistiqueFabien Allard, Mathieu Morel, Paul Gompel, Renaud Dubois


Date : 09 juin 2010 à 12:30 — 30 min.

L'établissement de tunnels (HTTP, HTTPs ou apparentés) avec un serveur distant maîtrisé pour y faire passer des flux illégitimes est un des moyens les plus efficaces et les plus utilisés pour contourner la politique de sécurité d'un réseau. Les produits de sécurité actuels (pare-feux, serveurs mandataires, IDS…) sont généralement incapables de détecter ce genre de contournements. Une des solutions proposées dans la littérature consiste à utiliser des outils de classification statistiques pour identifier le protocole encapsulé dans un flux. Nous présentons ces techniques dans cet article et nous évaluons leur faisabilité à travers une preuve de concept. En particulier, un outil original permettant la détection des tunnels illégitimes à partir de quelques paramètres extraits des flux interceptés est décrit. Les résultats de manipulations expérimentales sur des bases de données réelles, présentés à la fin de cet article, montrent la viabilité des techniques utilisées. Un tel outil pourrait être mis en œuvre pour pallier les lacunes des IDPS et serveurs mandataires existants.