Découvrez notre société Contactez-nous

e-Xpert Solutions Genève

109, chemin du Pont-Du-Centenaire
CH-1228 Plan-les-Ouates / Genève
SUISSE

Tel. : +41 22 727 05 55 Fax : +41 22 727 05 50

e-Xpert Solutions Lausanne

Avenue de Gratta-Paille 20
CH-1018 Lausanne
SUISSE

Tel. : +41 21 802 26 78 Fax : +41 22 727 05 50
Contactez notre support : +41 22 727 05 56
Envoyez votre message

Swiss Security Hackademy

Suivez notre blog bilingue en sécurité informatique !

Retour aux articles

Notre pôle R&D détaille sa nouvelle offre de réputation d’IP

Concept de l'offre


Auteur : Gilliek

Date de publication : 5 novembre 2018 - Dernière mise à jour : 5 novembre 2018


Afin de bloquer les attaques plus rapidement et d'améliorer l'efficacité du Web Application Firewall (WAF), nous avons mis en place un service de réputation d'IP, e-Xpert Solutions Reputation Service. Notre base de données d’adresses IP malicieuses est enrichie de manière collaborative par nos clients qui acceptent de partager les adresses IP bloquées par leur WAF.

Les IPs collectées sont alors traitées dans notre infrastructure par des algorithmes intelligents qui décident si une IP doit être blacklistée automatiquement, ignorée ou traitée manuellement par l’un de nos experts. Notre blacklist est automatiquement et périodiquement synchronisée chez nos clients.

Pour éviter des blocages légitimes tels que certains bots comme GoogleBot ou BingBot, qui peuvent parfois générer des alertes au niveau du WAF, nous avons mis en place un mécanisme de vérifications automatique. Nous complétons cette solution avec une fonctionnalité de whitelisting (Liste blanche) automatique et des actions manuelles. Chaque client peut ainsi gérer sa liste d’IP de confiance en fonction de ses besoins.

L’avantage principal d’aborder le problème de la réputation d’IP de manière collaborative est que notre blacklist contient des IPs d’attaques locales, propre à la Suisse ce qui nous permet de détecter des attaques ciblées sur le territoire helvétique ou contre un certain type d’activité (p. ex. bancaire) plus rapidement.

Afin d’offrir un niveau de protection équivalent aux solutions du marché, nous alimentons notre base de données à l’aide de sources de Threat Intelligence externes tels que des indicateurs de compromission (IOC : Indicators of Compromise) partagés via MISP ainsi que divers feeds de réputation d’IPs.

Le schéma ci-dessous offre une vision générale du fonctionnement de notre solution:

Notre pôle R&D détaille sa nouvelle offre de réputation d’IP

Architecture

L’architecture complète du service est décrite par le schéma suivant:

Notre pôle R&D détaille sa nouvelle offre de réputation d’IP

Du côté "Customer" (bloc sur la gauche), nous avons un ou plusieurs F5 Big-IP avec le module ASM qui transmet à notre collecteur les events qu’il a détecté.

Celui-ci les filtre pour supprimer, par exemple, toutes les détections impactant des adresses IP locales.

Ensuite les events sont re-formatés afin qu’aucune information sensible ne soit conservée. Puis, il est transmis chez nous via une API REST authentifiée à travers un canal confidentiel et authentique pour finalement être stocké dans nos bases de données.

On a également côté "Customer" le Big-IP qui effectue un lookup sur un serveur DNS pour obtenir la réputation d’une IP.

Le serveur DNS quant à lui met à jour sa base de données locale avec des appels périodiques à notre API. Plus d’informations seront données sur l’intégration de la solution avec F5 dans la prochaine section.

Côté e-Xpert Solutions, nous avons plusieurs workers qui tournent. Les workers MISP et HTTP collectent à interval régulier les IOC, les filtres et insèrent les IP malicieuses dans la blacklist. Il y a également le worker “Blacklist” qui va analyser tous les events WAF collectés et à l’aide d’algorithmes intelligents va automatiquement insérer certaines IP dans la blacklist. Pour celles dont il n’est pas sûr, elles seront traitées manuellement par nos experts.

Intégration avec F5 ASM

Nous offrons deux possibilités d’intégration de notre solution avec F5 Big-IP.

La première, illustrée par le schéma ci-dessous, consiste à déployer dans l’infrastructure du client un serveur DNS que nous fournissons. Le workflow de la solution se déroule ainsi:

  • 1. Un utilisateur, malicieux ou non, effectue une requête sur un service web quelconque derrière un reverse proxy F5 (LTM).
  • 2. Une iRule intercepte la requête et effectue une requête DNS de type TXT sur notre service DNS. Si le serveur DNS répond avec une catégorie (spam, botnets, proxy, etc.), une alerte est créée dans l’ASM (étape 2’). La requête est ensuite bloquée.
  • 3. Si l’IP n’existe pas dans notre base de données, la requête passe à l’ASM qui va l’analyser. Si celle-ci contient une attaque, l’ASM va la bloquer, sinon la requête est transmise au web service.

De manière asynchrone, le server DNS va rafraîchir sa base de données régulièrement en téléchargeant la version à jour depuis notre infrastructure.

Notre pôle R&D détaille sa nouvelle offre de réputation d’IP

Nous pouvons aussi intégrer notre solution sans passer par le déploiement d’un service DNS en utilisant un Data Group, qui est une liste locale sur le F5. Le schéma suivant illustre cette alternative et le workflow devient:

  • 1. Un utilisateur, malicieux ou non, effectue une requête sur un service web quelconque derrière un reverse proxy F5 (LTM).
  • 2. Une iRule intercepte la requête et effectue un lookup dans le data group contenant la base d’IP malicieuses catégorisées. Si le lookup retrouve l’IP, une alerte est générée dans l’ASM (étape 2’). La requête est ensuite bloquée.
  • 3. Si l’IP n’existe pas dans notre base de données, la requête passe à l’ASM qui va l’analyser. Si celle-ci contient une attaque, l’ASM va la bloquer, sinon la requête est transmise au web service.

De manière asynchrone, un iCall va rafraîchir le Data Group en récupérant régulièrement la base données d’IP depuis notre infrastructure.

Notre pôle R&D détaille sa nouvelle offre de réputation d’IP

Les alertes rapportées apparaissent nativement dans l’Event Logs de l’ASM dans Security > Event Logs > Application > Requests. La capture d’écran suivante montre le résultat d’une détection par notre service rapportée dans l’ASM:

Notre pôle R&D détaille sa nouvelle offre de réputation d’IP

Pour résumer

Avec un nombre croissant d’attaques de plus en plus sophistiquées, la Threat Intelligence (TI) est devenue une nécessité pour faire face à ces nouvelles menaces.

Notre offre vise à fournir un niveau de protection supplémentaire aux traditionnels Web Application Firewall en bloquant de manière efficace et proactive les attaques provenant d’IP malicieuses avec une blacklist alimentée en temps réel depuis nos feeds de Threat Intelligence.

Nous apportons également une dimension collaborative à l’offre en exploitant les détections des WAF de nos clients qui acceptent de les partager afin de fournir une base d'adresses IP d’attaques ciblées sur la Suisse et sur des domaines d’activités précis.