Abstract

Les tunnels peuvent être définis comme des encapsulations de protocoles de bas niveau dans des protocoles de plus haut niveau (ou de niveau équivalent) permettant une connexion entre deux noeuds du réseau pour transporter des données arbitraires. L'utilisation de tels tunnels permet de s'affranchir des limites de la sécurité en s'appuyant sur des protocoles couramment autorisés afin d'en véhiculer des potentiellement prohibés. De tels tunnels peuvent avoir une utilisation légitime mais ils peuvent également être utilisés pour contourner (consciemment ou non) la politique de sécurité de l'entreprise. Lors de cette conférence, les consultants HSC présenteront les différents types de tunnels exploitables accompagnés d'une étude des logiciels communément utilisés. Différentes méthodes de détections de tunnels et de métriques utilisables seront présentés, ainsi qu'une suite d'outils développée par HSC pour la détection de tunnels par écoute réseau et analyse comportementale.

Introduction

Tunnel types and tools

• HTTP tunnels
• ICMP tunnels
• DNS tunnels
• Realtime detection
• Architectures and constraints
• Protocol analysis

Statistical detections

• Principles
• Metrics
• Connection duration
• Upload/Download Ratio
• Packets size
• Interval between requests

Moltunnel

• Principle and usage
• Detected tunnels
• Realtime detection

Limitations and bugs, evolutions