Auteur: bob wall (---.free.fr)
Date: 20-09-01 09:55
Bonjour,
Je dois implémenter un module permettant sur la base d’une observation exhaustive du traffic une configuration automatique du firewall.
L’objet n’est pas de définir de bonnes règles de filtrage. On part d’un réseau et d’un firewall déjà configurés. Par défaut, le trafic est bloqué à l’exception de ce qui est explicitement déclaré comme trafic autorisé. Le trafic « dangereux » déclaré licite le restera dans la nouvelle configuration.
A partir des fichiers de log, on veut opérer des regroupements de machines et de services afin de minimiser le nombre de règles de filtrage. On cherche un compromis entre cette minimisation et la clarté des règles et des regroupements.
Les fichiers de log se présentent comme suit :
(count, proto, interface, ip src, port src, ip dest, port dest)
(1,udp,in,10.0.0.2,1025,193.252.19.3,53)
(1,tcp,out,195.29.1.5,2940,10.0.0.5,80)
…
à partir de ces types de base (proto, interface, ip src, port src, ip dest, port dest), on peut définir des types avancés :
groupes de machines, service (port), groupes de services, réseaux, groupes de réseaux, any (remplace tout type),
pour lesquels on établira de nouvelles règles de filtrage, le tout produisant une configuration équivalente à la configuration initiale. Une redéfinition de la topologie logique du réseau n’est pas exclue. Les cas particuliers ne seront pas traités dans un premier temps.
La difficulté principale est de déterminer des seuils qualitatifs de regroupement sur la base d’informations quantitatives
Je vous sollicite donc pour orienter mes recherches.
Est-ce que ce problème a déjà été traité ?
Où puis-je trouver des informations en rapport avec ce problème, notamment à propos de la méthode d’analyse (méthodes statistiques, analyse factorielle, intelligence artificielle, autres …).
Merci à tous
Bob Wells
|
|