===========================================
Réunion OSSIR groupe sécurité Windows
Lundi 9 février 2004
===========================================

Ordre du jour :

1 - Solution NetReport pour la centralisation de journaux hétérogènes
(Lionel MONCHECOURT / Dataset/NetReport)
(Luc ALQUIER / Dataset/NetReport )

2 - Solution ConfigureSoft ECM pour une gestion centralisée de la sécurité Windows
(Alain DEVAL / Configuresoft)
(Marc BERLOW / Consultant ECM)

3 - Avenir de la base OSWIN
(Nicolas RUFF / EdelWeb)

4 - Revue mensuelle des vulnérabilités Microsoft
(Nicolas RUFF / EdelWeb)

====================================================
1 - Solution NetReport pour la centralisation de journaux hétérogènes
(Lionel MONCHECOURT / Dataset/NetReport)
(Luc ALQUIER / Dataset/NetReport )
====================================================

La société NetReport est issue de la société DataSet, qui possède une grande expérience du décisionnel sur gros systèmes. Il s'agit d'une structure 100% française et autofinancée.

La solution comporte deux volets : l'analyse de log (surveillance en temps réel ou en temps différé des journaux) et le monitoring / alerting (émission d'alertes selon des critères prédéfinis).

L'objectif est d'offrir une solution packagée ("click-bouton") simplifiant au maximum les opérations de collecte et d'agrégation des journaux provenant d'équipements hétérogènes. Un grand nombre d'équipements sont supportés : firewalls, proxys, antivirus, etc.

L'intervenant indique qu'environ 19% de l'information remontée par les journaux est du bruit. (Remarque : les participants pensent que cette valeur atteint plutôt les 80%).

Les informations sont collectées soit par un mécanisme natif (syslog, WMI), soit par un agent local lorsque celà est nécessaire (ex. fichiers texte). Les journaux sont traduits au format XML et transmis au moteur ULA (Universal Log Analyser) qui effectue les opérations suivantes :

- Traitement (LogAnalyzer) :
* les données marquées comme telles sont agrégées (comptage des occurences uniquement) afin de réduire l'espace de stockage nécessaire ;
* les données inutiles peuvent être filtrées (ex. journalisation en mode verbeux, sur certains équipements ne supportant pas une activation individuelle des événements d'audit) ;
* les champs marqués comme tels sont consolidés (remplacement des IDs numériques par des valeurs prises dans une base SQL ou LDAP externe).

- Stockage : les bases de données supportées sont DB2, Oracle, SQL Server.

- Génération d'alertes (Monitoring Center) : les événements préconfigurés sont l'envoi de trappes SNMP, d'emails ou l'exécution d'un script. Ces événements sont déclenchés par des filtres paramétrables via une interface intuitive.

Les données collectées sont également présentées dans des rapports périodiques, et consultables en temps réel via une interface Web. Les interfaces de consultation et les rapports peuvent être personnalisés en fonction de l'utilisateur connecté ( gestion de profil )- un "toolkit" au "look-and-feel" Access est fourni à cet effet. L'authentification des utilisateurs (gérée par un mécanisme propriétaire du produit, un annuaire LDAP ou un serveur radius) permet de restreindre l'accès à tout ou partie des vues consultables.

Les rapports peuvent être édités dans 17 formats, avec  HTML, XLS et PDF par defaut.

Le produit peut également collecter des indicateurs de performance via WMI. Les requêtes WMI sont personnalisables via le langage WQL de Microsoft (proche de SQL).

A noter qu'une attention toute particulière a été portée à la tenue en charge du produit, capable de collecter 300 000 événements par heure chez un client par exemple - ceci grâce à une utilisation optimale des queues.

La mise à jour du logiciel, et en particulier des agents de collecte, s'effectue sous forme de "micro-updates" disponibles sur le site de l'éditeur.


Q. Comment s'effectue la communication avec les agents ?
R. Il s'agit d'un mécanisme propriétaire, reposant sur 3DES et un secret partagé pour la protection des échanges. Il est également possible de publier les données à collecter sur un partage SMB ou FTP.

Q. Le format IDMEF est-il supporté ?
R. Non.

Q. Le produit fait-il office d'IDS en corrélant les événements de la base ?
R. Non ça n'est pas sa vocation, mais la corrélation d'événements via des requêtes SQL "utilisateur" est possible (développement spécifique).

Q. Quel est le positionnement du produit par rapport à ses concurrents directs ?
R.
Acid -> outil fortement orienté Snort.
Tivoli -> de par son prix et sa complexité, ce produit ne s'adresse pas au même public.
NetAlert, NetSecureLog -> produits français équivalents, mais de conception plus "fermée". Dans NetReport, les sources d'événement sont décrites en XML, le decoupage est fait grace a des expressions regulieres - la configuration est donc très simple à modifier.

Q. Est-il possible de tester le produit ?
R. Des versions d'évaluation sont disponibles sur CD ( remplir une demande sur le site web), et une démonstration "temps-réel" de la partie Log Analyzer est accessible sur le site de l'éditeur.

====================================================
2 - Solution ConfigureSoft ECM pour une gestion centralisée de la sécurité Windows
(Alain DEVAL / Configuresoft)
(Marc BERLOW / Consultant ECM)
====================================================

ConfigureSoft est une société américaine, créée en 1999.

Le produit ECM est un outil de gestion de configuration, complément indispensable des outils déjà bien connus de monitoring (MoM, NetIQ) et d'inventaire (SMS).

Inventaire -> indique que la machine existe
Monitoring -> indique que la machine fonctionne
Configuration -> indique que la machine n'est plus aux standards

ECM remplit 4 rôles :
- Gestion des connaissances
- Automatisation des tâches d'administration
- Gestion de la configuration
- Gestion du changement

Gestion des connaissances
-------------------------

Grâce à une base SQL Server contenant l'ensemble des données de configuration de toutes les machines de l'entreprise (y compris le contenu de la ruche HKLM et les permissions sur le système de fichiers), il est possible de connaitre à tout instant l'état du parc sur n'importe quel critère par le biais d'une interface de consultation intuitive.

Exemples :
- Connaitre les différentes versions d'une DLL présentes dans l'entreprise
- Grouper les machines en fonction de la valeur d'un paramètre de base de registre
- Connaitre les versions de la base de signature antivirus

La collecte des informations s'effectue par le biais d'un composant DCOM installé sur toutes les machines, interrogé avec une périodicité variable (de l'ordre de quelques heures), invoqué sous un compte défini par l'administrateur (en général un compte administrateur de domaine). Le volume de données est limité car seul un état différentiel est remonté, on notera toutefois que la configuration complète d'une machine occupe 50 à 60 Mo dans la base SQL.

A noter que l'agent DCOM est une DLL enregistrée et non un service. Aucune ressource n'est consommée lorsque l'agent n'est pas en cours d'interrogation.

Pour les machines protégées par un firewall, au travers duquel les appels RPC ne sont pas possibles, l'agent peut également être rendu accessible via HTTP.

Automatisation
--------------

Tous les paramètres remontés peuvent également être modifiés par le biais de l'agent. Ainsi il est possible d'agir en un click sur le paramètrage d'un groupe de machines identifiées par une requête de configuration. Cette automatisation permet d'agir sur des paramètres normalement inaccessibles aux GPO (ex. paramètres de l'EventLog).

Gestion de la conformité et du changement
-----------------------------------------

Il existe 80 000 paramètres de configuration dans Windows (chiffre ConfigureSoft). A multiplier par le nombre de serveurs et de postes de travail dans une entreprise de taille moyenne ou plus, on comprend pourquoi la gestion des configurations est un casse-tête, d'autant que le travail des informaticiens consiste justement à modifier les configurations (installer des logiciels et des patchs, créer des comptes, etc.).

A l'heure actuelle, il n'existe pas de méthode formelle pour le dépannage d'un système. Toutefois sauf panne matérielle, tous les problèmes proviennent d'un changement de configuration. L'approche actuelle consiste à attendre les pannes et à les détecter à l'aide du monitoring. ECM permet de naviguer dans l'historique des modifications d'un système, et d'anticiper les problèmes en énumérant par exemple toutes les machines ayant dévié par rapport à une configuration standard.


Le moteur de reporting est actuellement Crystal Report, mais va évoluer vers MS SQL Reporting Services.

Le coût de la solution est de 995 euros par serveur et 35 euros par poste de travail.

Un composant Unix (Solaris, Red Hat, ...) est prévu pour cette année.


Q. Y a-t-il un mécanisme de découverte ?
R. A l'heure actuelle la découverte s'effectue via un contrôleur de domaine ou la "browse list" locale. Un module de découverte IP est prévu.

Q. Quelle est la pérennité de DCOM face à COM+ et .NET ?
R. Le "roadmap" Microsoft indique un support jusqu'en 2008 au moins.

Q. Sur quelle base s'effectue l'analyse d'impact des correctifs Microsoft ?
R. ConfigureSoft utilise la base XML de Microsoft, mais effectue également un travail sur la liste des clés de base de registre et les fichiers impactés par les correctifs.

====================================================
3 - Avenir de la base OSWIN
(Nicolas RUFF / EdelWeb)
====================================================

Cette présentation commence par un état des lieux de la base OSWIN actuelle, et de la future base OSWIN v2, suivie d'un débat.

Les principaux points abordés sont les suivants :

- Formalisation des vulnérabilités au format XML ?
* Pas prévu a priori. Cette tâche est trop consommatrice de ressources par rapport au budget.

- Export des données de la base existante dans le futur format HTML ?
* Pas prévu non plus. Tâche consommatrice de ressources, et inutile car personne ne consulte les vulnérabilités de plus de 3 mois.

- Possibilité de faire une copie locale des données pointées afin d'éviter les "liens morts" ?
* Envisageable, mais celà implique des problèmes de mise à jour des documents et des problèmes légaux.

- Avantages concurrentiels de la base
* Francophone
* Gratuit
A noter toutefois qu'il existe de nombreux sites gratuits dans le monde anglophone (SANS, SecurityWire), et même quelques francophones (ISecureLab, Netcost & Security).
On notera que l'effort d'alimentation en continu d'un site est très important, probablement au delà du budget de l'OSSIR. A ce titre on constate que les sites les plus à jour sont souvent des sites de pirates.

- Partenariats
* La base pourrait être intégrée dans un site existant
* A contrario, la base pourrait publier des données non mises en valeur actuellement (ex. données du CERT)

- Retour d'expérience sur le manque de fréquentation
* Le site est peu connu (manque de référencement)
* Le site n'est pas à jour (manque le SP4 de Windows 2000, pas de mise à jour depuis juin 2003)

Compte tenu du nombre limité de participants à la réunion, les idées sont retenues et le débat reporté à la prochaine réunion du groupe.

====================================================
4 - Revue mensuelle des vulnérabilités Microsoft
(Nicolas RUFF / EdelWeb)
====================================================

Les vulnérabilités les plus récentes des systèmes Microsoft, ainsi que d'autres plus anciennes mais toujours non corrigées, sont passées en revue.

Un participant souligne son intérêt pour la question de l'OpenSource sous Windows, concept auquel Microsoft est farouchement opposé. On notera les procès intéressants du BSA contre les logiciels en "*Office" (ex. StarOffice, OpenOffice) et de la WECA contre les utilisateurs du mot Wifi (ex. Wifi-Paris).