VIGILOG




Vigilog est un ensemble de scripts destinés à aider le dépouillement des logs des routeurs CISCO.

Téléchargement

La distribution se trouve ici

L'historique des modifications se trouve dans le fichier ChangeLog

Si vous souhaitez être averti de la disponibilité des nouvelles versions, envoyez un mail à : Martins.da.Cruz@ensmp.fr ou inscrivez-vous sur la liste de diffusion.

Introduction

Depuis deux ans nous utilisons ces scripts à l'Ecole des Mines de Paris pour comprendre ce qui se passe sur les routeurs d'entrée de nos sites.

L'idée n'est pas d'avoir un outil qui diagnostique avec une réponse binaire les incidents, mais d'avoir un outil capable de formater les fichiers de log et de les présenter de telle façon qu'ils soient lisibles et interpretables facilement par un "être humain".

L'idée est donc d'avoir un outil permettant de savoir ce qui se passe sur le routeur, non seulement du point de vue des incidents de sécurité, mais aussi de l'adéquation de la configuration, la mise au point des règles de filtrage, ...

Le traitement se fait sur les lignes de log concernant la sécurité et plus particulièrement les tentatives de violation des acls.

Si certains "incidents" ou "faits" sont difficilement détectables avec des heuristiques "scriptables", ils le sont facilement avec un coup d'oeil sur un rapport avec la mise en forme adéquate.

Voulez vous voir un exemple réel de rapport généré par vigilog ? En voici un : Exemple

Dans cet exemple, vous pouvez voir un cas où ce script est très utile.

Dans cette page, allez jusqu'à la partie scans, et cherchez l'adresse 212.74.101.5.

Vous trouverez :
 

*** SCAN a partir de 212.74.101.5
      8 ligne(s), 4 adresse(s), 5 port(s)
   ** PORTS
       1080/tcp  - socks             1107/tcp  -                  
       1210/tcp  -                   1260/tcp  -                  
       1271/tcp  -                  
   ** ADRESSES
      194.214.158.32    194.214.158.41    194.214.158.165   194.214.158.246   

Vous direz certainement que ce n'est pas un scan...

Si vous regardez un peu autour, vous remarquerez que ses frères sont là...

Regardez plus loin, dans la partie " Lignes dont le numero du port source est bas". Vous verrez un nombre important de lignes du type :

    D   212.74.101.2    (   80) -> 194.214.158.33  ( 1190)
   S    212.74.101.3    (   80) -> 194.214.158.1   ( 1024)    
   ...
   SD   212.74.101.4    (   80) -> 194.214.158.33  ( 1256)
   S    212.74.101.4    (   80) -> 194.214.158.36  ( 1149)
   SD   212.74.101.4    (   80) -> 194.214.158.39  ( 1090) 
   ...
avec des adresses source allant de 212.74.101.2, jusqu'a 212.74.101.10 et dont le port source est 80 !

Déjà, vous trouverez étrange d'avoir quelques lignes de log par adresse source consécutif avec un port source 80. Vous direz que c'est une erreur et que c'est la réponse à une machine locale qui essaye de contacter un serveur web à l'extérieur.

Vous vous trompez à nouveau !

Pour comprendre, il faut connaître une astuce de chez nous 8-). En fait ces adresses de destination correspondent à une plage bloquée.: il n'y a rien derrière. Ce n'est donc pas un serveur web qui répond à une machine interne, mais un vrai scan distribué deguisé. Chaque machine émettant peu de paquets, ce scan risque de passer inaperçu par les scripts ne faisant qu'un seuillage du nombre de lignes de log.

Je vous laisse apprécier le reste de la page.

Sur la présentation des résultats, vous avez déjà vu une page de résultats. Ces scripts envoient aussi un mail avec la partie résumé au responsable du routeur. Une table de matières permet d'accèder à l'ensemble des raports disponibles.

La version 1.01 de vigilog a ajouté la possibilité de remonter des informations de scan (Renater dans notre cas). Vous pouvez voir un exemple de rapport de scan.

Si vous avez des doutes ou des commentaires, n'hesitez pas à m'envoyer un mail : Martins.da.Cruz@ensmp.fr

Ces deux ans d'observation des résultats nous ont permis de mieux comprendre ce qui se passe sur notre routeur, et d'avoir des nouvelles idées pour son évolution.

VIGILOG en quelques mots

Indications, contre-indications et posologie...

vigilog est un logiciel destiné à aider le responsable réseau à identifier ce qui se passe sur son routeur, les incidents de sécurité et les anomalies dues à des causes diverses et variées.

Pour comprendre l'esprit de vigilog, il faut rappeler quelques concepts évidents, mais parfois oubliés.

vigilog ne fait que mettre en forme le contenu des lignes de log ayant trait à la sécurité, et plus particulièrement les lignes ayant un tag du type "%SEC-n-IPACCESSLOG" (pour les routeurs CISCO). Ce sont les lignes indiquant l'existence d'une tentative de violation d'une access-list.

Pour avoir des lignes de ce type dans votre fichier de log, il faut (je suis redondant, je sais) :

Maintenant que vous avez des lignes de log, il faut les classer, par cause probable :

Chacun de ces cas doit être traité différement. vigilog a été conçu pour aider dans la classification de ces situations.

Dans une situation normale utopique de fonctionnement, la grande majorité des lignes de log sont du premier type.

S'il s'agit d'un incident de sécurité, vous pouvez remonter l'information à l'autorité compétente (Renater, ...)..

S'il s'agit d'un problème de configuration ou de droits d'accès interne, vous pouvez prendre les mesures qui s'imposent, sans que la remontée d'information soit nécessaire.

Dans la version actuelle de vigilog, il vous est proposé de signaler un certain nombre d'incidents. Mais cette classification n'est pas définitive. Vous devez vérifier s'il s'agit bien d'un incident de sécurité (j'insiste) avant de le faire suivre. Il vous est aussi possible de d'ajouter d'autres.

Vous pouvez alors lancer la ligne de commande qu'il faut pour que l'incident soit signalé par mail. Un script commenté est crée dans le repertoire où le fichier html est placé avec les indications necessaires pour la remontée d'information.

Dans la prochaine version de vigilog, il est prévu une interface web pour la gestion des incidents.

Dans notre esprit, il n'y aura pas, dans vigilog, de version complètement automatique de gestion d'incidents. Vous aurez toujours à intervenir pour valider ou infirmer les choix faits par vigilog. C'est une façon d'obliger le responsable du routeur à le surveiller.

Configuration et Installation

Des instructions pour l'installation se trouvent dans le fichier README présent dans la racine de la distribution, ou alors ici - config.html

Pour remonter les scans à Renater

Il est possible d'utiliser vigilog pour remonter les scans à Renater. Pour cela, il vous faut contacter le CERT Renater pour vous inscrire. Il vous sera indiqué l'adresse e-mail à utiliser pour remonter les scans (adresse à mettre dans le fichier vigiscan.conf).

Documentation

Actuellement, la documentation utilisateur disponible est "maigre". La meilleure source d'information disponible est dans ces pages, présentes aussi dans le repertoire doc de la distribution. Je ferai un effort prochainement... 8-).

Si le repertoire contenant les scripts executables de vigilog sont dans votre chemin de recherche (path) vous pouvez obtenir des informations succintes sur les options de la ligne de commande par la commande perldoc :

perldoc vigilog
...
SYNOPSIS
     vigilog [-h] -v] [-c vigilog.conf] -f file
...
OPTIONS
     -h aide
     -v verbose
     -c fichier de configuration
     -f fichier de log du routeur
ou
perldoc vigiscan
...
SYNOPSIS
     vigiscan [-h] [-v] [-c vigiscan.conf] [-d] [-o] [-p] [-a
     acl] [-s host|-n net] -f file
...
OPTIONS
     -h : Help
     -v : verbose
     -c : fichier de configuration alternatif
     -d : affiche la partie detaillée du rapport
     -p : affiche le port source dans le rapport detaillée
     -a : access group
     -s : adresse IP de la source (une seule adresse)
     -n : adresse IP reseau de la source
         Une et une seule de ces deux dernieres options (s ou n)
         est obligatoire.
     -m : envoi de mail avec les resultats
     -f : fichier de log

Propriété et Copyright

Ces scripts sont la propriété de l'Ecole des Mines de Paris. Vous etes libre de les copier et de les utiliser selon les criteres traditionnels des logiciels libres. Neanmoins, soyez gentil et n'enlevez pas nos noms apparaissant dans les fichiers...

Liste de diffusion

Il existe une liste de discussion autour de vigilog.

Pour vous abonner, il vous suffit d'envoyer un mail à sympa@listes.ensmp.fr avec le contenu " subscribe vigilog " dans le champs Subject ou dans le corps du message.

Quelques "wishes" de vigilog

Les équivalents de vigilog

Il y a deux autres logiciels qui font à peu près la même chose que vigilog : anapirate et detescan.

anapirate détecte des incidents et prépare les mails de plainte à envoyer directement aux fournisseurs d'accès.

detescan fait ce que dit son nom 8-).

vigilog essaye d'être plus général. Le but est plutôt de mettre en forme les logs de façon à que l'administrateur réseau puisse, d'un coup d'oeil rapide, identifier tout incident ou anomalie.

Auteurs

Ecole des Mines de Paris - Centre de Calcul - Jose Marcio Martins da Cruz

Ont largement contribué avec des idées, experimentations et critiques : Gladys Huberman et Serge Algarotti
 


Jose Marcio Martins da Cruz
Last modified: Wed Jul 9 13:27:25 MEST 2003