MedLogistics: Attack & Defense Scenarios

Generated from prompt:

Créer une présentation PowerPoint basée sur le document PDF 'Architecture – Scénarios d’attaque & défense – MedLogistics'. Structure suggérée : **Titre :** Scénarios d’attaque & défense – Architecture MedLogistics **Diapositive 1 – Introduction** - Objectif : Présenter l’architecture de sécurité de MedLogistics - Thèmes : Segmentation réseau, firewall, IDS/IPS, bastion, SIEM, WAF **Diapositive 2 – Scénario 1 : SQL Injection sur le site web** - Description de l’attaque (exemple d’URL malveillante) - Défenses : firewall frontal, DMZ, Suricata, ReverseProxy, isolation DB - Conclusion : confinement de l’attaque **Diapositive 3 – Scénario 2 : Brute-force SSH sur le SFTP** - Description de l’attaque - Défenses : filtrage SSH DMZ, détection Suricata, blocage IP automatique - Point fort : réaction automatique du système **Diapositive 4 – Scénario 3 : Malware sur User2 (Employees LAN)** - Attaque : infection locale et tentative de propagation - Défenses : firewall Backend, Suricata, Wazuh, Bastion SSH - Point fort : confinement dans le LAN **Diapositive 5 – Scénario 4 : WebServer compromis dans la DMZ** - Attaque : exécution de code sur WebServer1 - Défenses : DMZ isolée, firewall Backend, détection Suricata - Point fort : pas de mouvement latéral possible **Diapositive 6 – Scénario 5 : DDoS HTTP sur ReverseProxy** - Attaque : requêtes massives sur ReverseProxy - Défenses : OPNsense, ReverseProxy, Suricata - Point fort : couches multiples de défense **Diapositive 7 – Scénario 6 : Scan Nmap depuis Kali (Employees LAN)** - Attaque : scan réseau interne - Défenses : segmentation VLAN, Suricata - Point fort : visibilité et confinement **Diapositive 8 – Scénario 7 : Compromission d’un compte admin** - Attaque : vol de mot de passe admin - Défenses : Bastion, journaux SSH, Loki/Grafana - Point fort : contrôle et traçabilité **Diapositive 9 – Scénario 8 : Exfiltration de données** - Attaque : transfert de fichiers vers serveur externe - Défenses : firewall sortant, Suricata, Loki/Grafana, Wazuh - Point fort : détection et confinement **Diapositive 10 – Conclusion** - Récapitulatif des mécanismes de défense en couches - Importance de la segmentation et de la supervision continue Style visuel : professionnel, fond bleu foncé, icônes de cybersécurité, schémas de flux réseau simplifiés.

This presentation explores the security architecture of MedLogistics, detailing 8 attack scenarios like SQL injection, brute-force, malware, and DDoS. It highlights layered defenses including network

November 27, 202511 slides

Slide 1 of 11

Slide 1 - Scénarios d’attaque & défense – Architecture MedLogistics

This title slide introduces "Scénarios d’attaque & défense – Architecture MedLogistics," focusing on attack and defense scenarios within the MedLogistics system. The subtitle describes it as a presentation of MedLogistics' security architecture, covering potential attacks and corresponding defenses.

Scénarios d’attaque & défense – Architecture MedLogistics

Présentation de l'architecture de sécurité de MedLogistics, couvrant attaques et défenses.

Source: Architecture – Scénarios d’attaque & défense – MedLogistics

Slide 1 - Scénarios d’attaque & défense – Architecture MedLogistics

Slide 2 of 11

Slide 2 - Introduction

This introductory slide provides an overview of the MedLogistics security architecture, emphasizing key protective measures. It highlights network segmentation for isolation, deployment of firewalls and Suricata-based IDS/IPS, bastion hosts for secure access, SIEM using Loki and Grafana, and WAF for web application protection.

Introduction

Present MedLogistics security architecture overview
Highlight network segmentation for isolation
Deploy firewalls and IDS/IPS with Suricata
Implement bastion hosts for secure access
Utilize SIEM via Loki and Grafana
Apply WAF for web application protection

Source: Architecture – Scénarios d’attaque & défense – MedLogistics

Slide 3 of 11

Slide 3 - Scénario 1 : SQL Injection sur le site web

In the first scenario, an attacker performs a SQL injection attack on the MedLogistics website by injecting malicious code via a URL like http://site.com/login?id=1' OR '1'='1 to bypass authentication and illegally access the database. Defenses include a front firewall and DMZ for isolation, Suricata for detecting SQL injections, a ReverseProxy for filtering requests, and database isolation to protect sensitive data, resulting in effective containment of the attack.

Scénario 1 : SQL Injection sur le site web

Description de l’attaque	Défenses
Un attaquant injecte du code SQL malveillant via une URL comme http://site.com/login?id=1' OR '1'='1 pour contourner l'authentification et accéder illégalement à la base de données du site web de MedLogistics.	Firewall frontal et DMZ isolent l'attaque. Suricata détecte les injections SQL, ReverseProxy filtre les requêtes, et l'isolation de la DB empêche l'accès aux données sensibles. Conclusion : Confinement effectif de l’attaque.

Source: Architecture – Scénarios d’attaque & défense – MedLogistics

Slide 3 - Scénario 1 : SQL Injection sur le site web

Slide 4 of 11

Slide 4 - Scénario 2 : Brute-force SSH sur le SFTP

In Scenario 2, an attacker launches a brute-force SSH attack on the SFTP server in the DMZ by repeatedly attempting to guess credentials using automated tools like Hydra. Defenses include SSH filtering restricted to the DMZ, anomaly detection with Suricata, and automatic IP blocking via scripts, with the system's key strength being its rapid automated response to prevent unauthorized access.

Scénario 2 : Brute-force SSH sur le SFTP

Description de l'attaque	Défenses et point fort
L'attaquant effectue des tentatives répétées de connexion SSH vers le serveur SFTP dans la DMZ, en essayant de deviner les identifiants via des outils automatisés comme Hydra.	Filtrage SSH limité à la DMZ, détection d'anomalies par Suricata, et blocage automatique des IP via scripts. Point fort : Réaction automatique du système pour prévenir les accès non autorisés.

Source: Architecture – Scénarios d’attaque & défense – MedLogistics

Speaker Notes

Expliquer l'attaque brute-force sur SFTP via SSH et comment les défenses automatisées bloquent les IP suspectes pour une réaction rapide.

Slide 4 - Scénario 2 : Brute-force SSH sur le SFTP

Slide 5 of 11

Slide 5 - Scénario 3 : Malware sur User2 (Employees LAN)

In Scenario 3, a local malware infection targets User2 on the Employees LAN, attempting to propagate via the network, but defenses like the backend firewall block unauthorized outbound connections, while Suricata detects suspicious traffic and Wazuh monitors for malware signatures and anomalies. The Bastion SSH secures remote access to prevent lateral movement, with the key strength being confinement of impact to the Employees LAN only.

Scénario 3 : Malware sur User2 (Employees LAN)

Attack: Local malware infection on User2 with propagation attempts via network.
Defenses: Backend Firewall restricts unauthorized outbound connections.
Suricata: Detects and alerts on suspicious traffic patterns.
Wazuh: Monitors endpoints for malware signatures and anomalies.
Bastion SSH: Secures remote access to prevent lateral movement.
Key Strength: Confinement limits impact to Employees LAN only.

Source: Architecture – Scénarios d’attaque & défense – MedLogistics

Speaker Notes

Highlight the local infection and network defenses that prevent spread beyond the Employees LAN.

Slide 5 - Scénario 3 : Malware sur User2 (Employees LAN)

Slide 6 of 11

Slide 6 - Scénario 4 : WebServer compromis dans la DMZ

In Scenario 4, an attacker exploits a vulnerability in the web application on WebServer1 in the DMZ to inject malicious code, gaining a remote shell and attempting access to sensitive resources. Defenses include the isolated DMZ, a Backend Firewall blocking unauthorized traffic, and Suricata for anomaly detection, preventing lateral movement and limiting impact to the compromised server.

Scénario 4 : WebServer compromis dans la DMZ

Attaque : Exécution de code sur WebServer1	Défenses : DMZ isolée, Firewall Backend, détection Suricata
Un attaquant exploite une vulnérabilité dans l'application web du WebServer1 situé en DMZ, injectant et exécutant du code malveillant pour obtenir un shell distant et tenter d'accéder à des ressources sensibles.	La DMZ isole l'attaque, le Firewall Backend bloque tout trafic non autorisé vers l'intérieur, et Suricata détecte les anomalies. Point fort : Pas de mouvement latéral possible, limitant l'impact au serveur compromis.

Source: Architecture – Scénarios d’attaque & défense – MedLogistics

Slide 6 - Scénario 4 : WebServer compromis dans la DMZ

Slide 7 of 11

Slide 7 - Scénario 5 : DDoS HTTP sur ReverseProxy

Scenario 5 depicts a DDoS HTTP attack where massive HTTP requests overwhelm the Reverse Proxy. Defenses include OPNsense filtering incoming traffic, the Reverse Proxy applying rate limiting, and Suricata detecting and blocking anomalies, with multiple layers effectively mitigating the impact.

Scénario 5 : DDoS HTTP sur ReverseProxy

Attaque : Requêtes HTTP massives submergent le ReverseProxy.
Défenses : OPNsense filtre le trafic entrant.
Défenses : ReverseProxy applique limitation de taux.
Défenses : Suricata détecte et bloque anomalies.
Point fort : Couches multiples atténuent l'impact efficacement.

Source: Architecture – Scénarios d’attaque & défense – MedLogistics

Slide 7 - Scénario 5 : DDoS HTTP sur ReverseProxy

Slide 8 of 11

Slide 8 - Scénario 6 : Scan Nmap depuis Kali (Employees LAN)

In Scenario 6, an attacker uses Nmap from a Kali Linux machine within the employees' LAN to scan the internal network, identifying active hosts, open ports, and vulnerable services to enable advanced exploitation. Defenses include VLAN segmentation to isolate network segments and limit spread, along with Suricata for detecting suspicious scans via IDS/IPS signatures, providing enhanced visibility and rapid containment to prevent extensive reconnaissance.

Scénario 6 : Scan Nmap depuis Kali (Employees LAN)

Attaque	Défenses
Un attaquant utilise Nmap depuis une machine Kali Linux dans le LAN des employés pour scanner le réseau interne. Cela vise à identifier les hôtes actifs, les ports ouverts et les services vulnérables, facilitant une reconnaissance préalable à une exploitation plus avancée.	Segmentation VLAN isole les segments réseau pour limiter la propagation. Suricata détecte les scans suspects via signatures IDS/IPS. Point fort : Visibilité accrue des activités réseau et confinement rapide des scans, empêchant une reconnaissance étendue.

Source: Architecture – Scénarios d’attaque & défense – MedLogistics

Slide 8 - Scénario 6 : Scan Nmap depuis Kali (Employees LAN)

Slide 9 of 11

Slide 9 - Scénario 7 : Compromission d’un compte admin

In Scenario 7, an admin account is compromised through password theft via phishing or similar methods, countered by defenses like a bastion host, SSH logs, and Loki/Grafana monitoring. This setup provides strong access control and full traceability, enabling rapid detection of potential administrative intrusions and limiting damage through continuous supervision.

Scénario 7 : Compromission d’un compte admin

Attaque : Vol de mot de passe admin via phishing ou méthode similaire.
Défenses : Bastion hôte, journaux SSH, surveillance Loki/Grafana.
Point fort : Contrôle renforcé et traçabilité complète des accès.
Avantage : Détection rapide des intrusions administratives potentielles.
Conclusion : Limitation des dommages grâce à la supervision continue.

Source: Architecture – Scénarios d’attaque & défense – MedLogistics

Speaker Notes

Emphasize the importance of bastion hosts for admin access control.

Slide 9 - Scénario 7 : Compromission d’un compte admin

Slide 10 of 11

Slide 10 - Scénario 8 : Exfiltration de données

In Scenario 8 on data exfiltration, attackers attempt to steal sensitive files like logs or client information by transferring them from the internal network to an external server using methods such as HTTP, FTP, or DNS tunneling. Defenses include outbound firewalls to restrict unauthorized connections, Suricata for traffic anomaly inspection, real-time log analysis via Loki/Grafana and Wazuh, and proactive detection to contain outgoing flows and prevent leaks.

Scénario 8 : Exfiltration de données

Attaque	Défenses
L'attaquant transfère des fichiers sensibles depuis le réseau interne vers un serveur externe via HTTP, FTP ou DNS tunneling, tentant d'exfiltrer des données critiques comme des logs ou des informations clients.	Firewall sortant restreint les connexions non autorisées. Suricata inspecte le trafic pour anomalies. Loki/Grafana et Wazuh analysent les logs en temps réel. Point fort : Détection proactive et confinement des flux sortants pour prévenir les fuites.

Source: Architecture – Scénarios d’attaque & défense – MedLogistics

Speaker Notes

Expliquez comment l'exfiltration est détectée et bloquée par les outils de monitoring et firewall.

Slide 10 - Scénario 8 : Exfiltration de données

Slide 11 of 11

Slide 11 - Conclusion

The conclusion slide recaps layered defense mechanisms, including network segmentation, IDS/IPS with Suricata, and SIEM tools like Wazuh and Loki/Grafana. It emphasizes that segmentation and continuous monitoring provide robust security against threats, promoting enhanced protection through ongoing vigilance.

Conclusion

Récapitulatif des mécanismes de défense en couches :

Segmentation réseau
IDS/IPS (Suricata)
SIEM (Wazuh, Loki/Grafana)

Importance : Segmentation et supervision continue assurent une sécurité robuste contre les menaces.

Sécurité renforcée, vigilance continue.

Source: Architecture – Scénarios d’attaque & défense – MedLogistics

Speaker Notes

Récapitulatif : Mécanismes de défense en couches (segmentation, IDS/IPS, SIEM). Importance : Segmentation réseau et supervision continue pour une sécurité robuste.

Discover More Presentations

Explore thousands of AI-generated presentations for inspiration

Browse Presentations

Create Your Own Presentation

Generate professional presentations in seconds with Karaf's AI. Customize this presentation or start from scratch.

Create New Presentation