Hier soir j’ai terminé le livre “Extrusion Detection : Security Monitoring for Internal Intrusions” de Richard Bejtlich. Ce livre est dédié à l’étude du phénomène d’extrusion. L’extrusion est un acte malveillant initié depuis le réseau interne. Cet acte peut avoir comme résultat la fuite d’information. Il peut aussi être la conséquence de compromissions de vos machines. Une fois sous le contrôle d’un pirates, vos machines peuvent se mettre à initier des attaques vers d’autres sites. Sur une dizaine de chapitres, l’auteur propose des méthodes basées sur l’analyse du trafic réseau pour mettre ces malveillances en lumières. Les aspects techniques sont largement couverts : l’instrumentation du réseau (sondes, boitiers TAP etc.), la collecte des éléments réseau (statistiques globales, données de sessions et stockage des payloads), leur analyse (le plus souvent via des outils libres : sguil, argus, snort etc.). De bonnes astuces sont également livrées, telles que le “sink hole” qui consiste à introduire des routes plus larges que celles réellement utilisées afin de capturer le trafic illégitime. Ce livre est à mon sens excellent dans la mesure ou il donne des pistes exploitables pour garder un oeuil sur l’activité de son réseau et surtout de pouvoir présenter des éléments en cas de compromission. L’auteur propose également un livre entièrement dédié à l’analyse du trafic réseau dans un optique plus classique de détection d’intrusion. Il est déjà sur ma table de nuit …
Tag Archive for 'livre'
Dans le cadre de ma thèse, je dois utiliser SELinux. SELinux est une extension du noyau Linux implémentant le contrôle d’accès mandataire (MAC). Le MAC permet de poser des restrictions d’accès (read, write, etc.) à des sujets (utilisateur, processus etc.) sur des objets (fichiers, socket réseau etc.). Même root doit se plier à ce contrôle d’accès. Les UNIX traditionnels reposent plutôt sur un contrôle d’accès discrétionnaire (DAC) où les permissions sont définies “à la discrétion” du possesseur de l’objet avec une omnipotence de root.
Pour ce qui est de l’ouvrage je l’ai trouvé très bon. La problématique est bien introduite, les bases des différents contrôle d’accès sont bien posées. La présentation de l’architecture de SELinux est concise et appuyée par des schémas clairs. Des cas concrets d’utilisations sont détaillés (notamment sous Fedora) et beaucoup d’outils périphériques sont introduits. Bref, devant la pauvreté (en volume) des ouvrages consacrés à ce sujet et le côté “éparse” des ressources disponibles sur le net traitant de ce sujet la possession de ce livre est un MUST.