SlideShare ist ein Scribd-Unternehmen logo

Mise en place d'une solution du supérvision réseau

R
Rabeb Boumaiza

Etude des differentes solutions du supervision réseau tels que : OSSEC, Prelude , Snort, ...

Bildung
1 von 50
Downloaden Sie, um offline zu lesen
Mise en place d’une solution du supervision réseau Réalisée par : Boumaiza Rabeb Année universitaire 2015-2016
Table de matière Liste des figures................................................................................................................................... 5 Liste de tableaux.................................................................................................................................. 6 Introduction générale............................................................................................................................... 7 Chapitre 1 Présentation Générale.......................................................................................... 9 I. Présentation de l'entreprise...................................................................................................... 9 1. Introduction ............................................................................................................................... 9 2. Description de la TRANSTU.................................................................................................... 9 3. Carte d'identité de la TRANSTU............................................................................................. 9 4. Historique de la société ........................................................................................................... 10 5. Présentation du département informatique.......................................................................... 10 6. Organigramme du département système d'information...................................................... 10 II. Présentation du projet......................................................................................................... 10 1. Architecture de la société........................................................................................................ 10 2. Étude de l'existant ................................................................................................................... 11 a. Connectivité ............................................................................................................................. 11 b. Les serveurs installés dans la société ..................................................................................... 11 3. Importance du projet .............................................................................................................. 12 4. Objectifs ................................................................................................................................... 13 5. Conclusion................................................................................................................................ 13 Chapitre 2 Etat de l'art ............................................................................................. 13 I. Introduction ............................................................................................................................. 13 II. La notion de base de la sécurité.......................................................................................... 14 1. Définition.................................................................................................................................. 14 2. Les services de la sécurité ....................................................................................................... 14 III. Les outils de la sécurité ....................................................................................................... 14 1. Pare feu..................................................................................................................................... 14 a. Définition.................................................................................................................................. 14 b. Fonctionnement d’un système pare-feu................................................................................ 14 c. Types......................................................................................................................................... 15 c.1 Pare-feu matériel ....................................................................................................................... 15 Avantages.......................................................................................................................................... 15 Inconvénients..................................................................................................................................... 15 c.2 Pare-feu logiciel.......................................................................................................................... 15 Avantages.......................................................................................................................................... 15 Inconvénients..................................................................................................................................... 15
d. Les différents catégories du pare-feu..................................................................................... 15 d.1 Pare-feu sans état (Stateless Firewall)..................................................................................... 15 d.2 Pare-feu avec état (Statefull Firewall)..................................................................................... 15 d.3 Pare-feu applicatif (Proxy) ....................................................................................................... 15 d.4 Pare-feu authentifiant............................................................................................................... 15 d.5 Pare-feu personnel .................................................................................................................... 16 e. Outils éditeurs.......................................................................................................................... 16 e.1 ZoneAlarm Pro Firewall........................................................................................................... 16 e.2 Comodo Internet Security Pro ................................................................................................. 16 f. Outils libres.............................................................................................................................. 16 f.1 Pfsense......................................................................................................................................... 16 Avantages.......................................................................................................................................... 17 f.2 SmoothWall Express.................................................................................................................. 17 f.3 Endian Firewall Community..................................................................................................... 17 g. Etudes comparatives ............................................................................................................... 17 Conclusion........................................................................................................................................ 18 2. IDS : Système de détection d’intrusion ................................................................................. 18 a. Types......................................................................................................................................... 19 N-IDS: Network Based Intrusion Detection System .................................................................... 19 Avantages.......................................................................................................................................... 19 Inconvénients..................................................................................................................................... 19 H-IDS: Host Based Intrusion Detection System........................................................................... 19 Avantages.......................................................................................................................................... 19 Inconvénients..................................................................................................................................... 19 IDS hybrides .................................................................................................................................... 19 Avantages.......................................................................................................................................... 19 3. IPS : Intrusion Prevention System......................................................................................... 19 Avantages.......................................................................................................................................... 19 Inconvénients..................................................................................................................................... 20 4. Pot de miel (HoneyPots).......................................................................................................... 20 Fonctionnalités .................................................................................................................................. 20 5. Scanner de Vulnérabilité ........................................................................................................ 20 a. Outils payants .......................................................................................................................... 20 a.1 Nessus ......................................................................................................................................... 20 6. Les offres proposées ................................................................................................................ 20 a. Outils éditeurs.......................................................................................................................... 20
a.1 AlienVault USM ........................................................................................................................ 20 Fonctionnalités .................................................................................................................................. 21 Avantages.......................................................................................................................................... 21 a.2 Alert Logic Threat Manager .................................................................................................... 21 b. Outils libres.............................................................................................................................. 21 b.1 Snort........................................................................................................................................... 21 Avantages.......................................................................................................................................... 21 Inconvénients.................................................................................................................................... 22 Positionnement de Snort................................................................................................................. 22 b.2 Bro .............................................................................................................................................. 23 Avantages.......................................................................................................................................... 23 Inconvénients.................................................................................................................................... 23 b.3 Prelude ....................................................................................................................................... 23 Avantages.......................................................................................................................................... 23 b.4 OSSEC........................................................................................................................................ 23 b.5 Samhain...................................................................................................................................... 24 b. Étude comparative .................................................................................................................. 24 c. Conclusion................................................................................................................................ 25 IV. Outils d’analyse et de détection.......................................................................................... 25 1. Nmap......................................................................................................................................... 25 2. Tcpdump .................................................................................................................................. 25 3. Netstat....................................................................................................................................... 25 4. TraceRoute............................................................................................................................... 25 5. Netflow...................................................................................................................................... 25 6. Wireshark................................................................................................................................. 26 V. La supervision.......................................................................................................................... 26 1. Définition.................................................................................................................................. 26 2. Objectifs ................................................................................................................................... 26 3. Outils de supervisions existantes............................................................................................ 26 a. Offres éditeurs ......................................................................................................................... 26 a.1 IBM Trivoli Monitoring............................................................................................................ 26 a.2 HP OpenView ............................................................................................................................ 27 b. Offres libres.............................................................................................................................. 28 b.1 Cacti............................................................................................................................................ 28 b.2 Zabbix ........................................................................................................................................ 29 b.3 Nagios......................................................................................................................................... 30
4. Etude comparatives des outils................................................................................................ 32 Conclusion........................................................................................................................................ 33 Chapitre 3 Réalisation............................................................................................................. 34 I. Introduction ............................................................................................................................. 34 II. Environnement logiciel utilisées......................................................................................... 34 III. Mise en place de la solution ................................................................................................ 34 1. Mise en place du Snort............................................................................................................ 34 a. Test de Snort............................................................................................................................ 34 2. Mise en place de OSSEC......................................................................................................... 36 3. Mise en place de nagios........................................................................................................... 36 Conclusion........................................................................................................................................ 36 Conclusion Générale ....................................................................................................................... 37 Annexe A .......................................................................................................................................... 38 I. Installation des dépendances .................................................................................................. 38 II. Installation ........................................................................................................................... 38 1. Installation Snort..................................................................................................................... 38 2. Configuration Snort ................................................................................................................ 40 Annexe B .......................................................................................................................................... 42 I. Prérequis .................................................................................................................................. 42 1. Installation ossec en local........................................................................................................ 42 II. Configuration OSSEC......................................................................................................... 42 2. Installation Ossec MODE Client/serveur.............................................................................. 44 Annexe C .......................................................................................................................................... 46 I. Prérequis .................................................................................................................................. 46 II. Installation serveur Nagios................................................................................................. 47 Bibliographie.................................................................................................................................... 50 Liste des figures
Figure 1: Logo de la Transtu...................................................................................................... 9 Figure 2 : Organigramme du département système d'information........................................... 10 Figure 3 : Architecture WAN de la société.............................................................................. 11 Figure 4 : Positionnement IDS dans un réseau ....................................................................... 22 Figure 5 : Interface graphique de IBM Trivoli Monitoring ..................................................... 27 Figure 6 : Interface graphique de HP OpenView..................................................................... 28 Figure 7 : Interface graphique de Cacti.................................................................................... 29 Figure 9 : Interface graphique de Nagios ................................................................................. 31 Figure 10 : Centralisation d’information par Nagios ............................................................... 32 Figure 11 : Lancement capture de Traffic de Snort ................................................................ 34 Figure 12 : Capture ICMP........................................................................................................ 35 Figure 13 : Capture Ping .......................................................................................................... 35 Figure 14 : Capture analyse avec Snort.................................................................................... 35 Figure 15 : Capture Ping .......................................................................................................... 35 Figure 16 : Capture téléchargement d’un PDF......................................................................... 35 Figure 17 : lancement service OSSEC ..................................................................................... 36 Figure 18 : erreur dans « make ».............................................................................................. 39 Figure 19 : fichier des règles de Snort...................................................................................... 41 Figure 20 : installation OSSEC................................................................................................ 42 Figure 21 : Type d’installation................................................................................................. 42 Figure 22 : Configuration OSSEC ........................................................................................... 43 Figure 23 : Paramétrage OSSEC.............................................................................................. 43 Figure 24 : Procédure d’installation......................................................................................... 43 Figure 25 : Installation réussite ................................................................................................ 44 Figure 26 : Type d’installation serveur .................................................................................... 44 Figure 27 : Type d’installation agent ....................................................................................... 44 Figure 28 : Configuration adresse serveur ............................................................................... 44 Figure 29 : Ajouter un agent .................................................................................................... 45 Figure 30 : Extraction clé authentification d’agent.................................................................. 45 Figure 31 : Lancement du serveur apache................................................................................ 46 Figure 32 : Interface Web Apache ........................................................................................... 46 Figure 33 : Ajout des users et groupes ..................................................................................... 46 Figure 34 : Installation Nagios................................................................................................. 47 Figure 35 : Configuration mot de passe interface Nagios........................................................ 47 Figure 36 : Test configuration.................................................................................................. 48 Figure 37 : Lancement serveur Nagios..................................................................................... 48 Figure 38 : Test Serveur Nagios............................................................................................... 48 Figure 39 : Configuration NSClient++..................................................................................... 49 Figure 40 : Autoriser service NSClient++................................................................................ 49 Figure 41 : Supervision avec NAGIOS.................................................................................... 49 Liste de tableaux
Tableau 1 : Comparaisons des outils........................................................................................ 18 Tableau 2 : Comparaison outils IDS/IPS ................................................................................. 25 Tableau 3 : Tableau comparative des outils de supervisions libre........................................... 32 Tableau 4: Caractéristique technique du serveur Lenovo ........................................................ 34 Introduction générale
Actuellement toutes les entreprises sont équipées d'un réseau local au minimum, et de réseaux de longues distances pour les plus importantes d'entre elles. Leurs parcs informatiques englobent une dizaine voir une centaine d'équipements, engendrés par des serveurs de bases de données et des serveurs de traitements. Vu que ces systèmes informatiques sont au cœur des activités des entreprises, leur maitrise devient primordiale. Ils doivent fonctionner pleinement et en permanence pour garantir la fiabilité et l'efficacité exigées, et surtout travailler à réduire les problèmes de défaillances, les pannes, les coupures et les différents problèmes techniques qui peuvent causer des pertes considérables. De ce fait, les administrateurs réseau font appel à des logiciels de surveillance et de supervision de réseaux afin de vérifier l'état du réseau en temps réel de l'ensemble du parc informatique sous leur responsabilité. Et être aussi informés automatiquement (par email, par SMS) en cas de problèmes. Grâce à un tel système, les délais d'interventions sont fortement réduits et les anomalies peuvent être aussitôt prises en main avant même qu'un utilisateur peut s'en apercevoir. Dans ce cadre, notre projet consiste à la mise en place d'une solution de supervision de la sécurité réseau, qui s'est déroulé dans la société du Transports du Tunis(TRANSTU).Il est axé principalement sur les trois chapitres suivants: Le premier chapitre est une présentation générale de la société et de sa composition, puis nous nous concentrons sur le cadre contextuel de ce stage. Le deuxième chapitre est une présentation de concepts de base de la sécurité informatique, les services offerts, ainsi que l'importance du choix de la solution de la supervision adéquate pour la société. Dans le troisième chapitre, nous allons présenter les étapes nécessaires pour la mise en place de notre solution choisie, ainsi que les tests effectués au cours de la supervision.
Chapitre 1 Présentation Générale I. Présentation de l'entreprise 1. Introduction Au sein de ce premier chapitre, nous allons présenter la société de transports du Tunis (TRANSTU), ainsi une vue un peu détaillé sur sa structure générale et son domaine d'activité. 2. Description de la TRANSTU La Société des Transports de Tunis STT est une entreprise publique chargée d’assurer le transport public en commun des personnes à Tunis et ses banlieues sur les réseaux d'autobus et du métro léger à Tunis ainsi que l'exploitation de la ligne ferroviaire TGM. La STT est l'une des plus grandes sociétés Tunisiennes car elle réalise un chiffre d’affaire de quelques millions de dinars et contribue largement au développement économique et social du pays. 3. Carte d'identité de la TRANSTU Figure 1: Logo de la Transtu Raison sociale : Société de Transports du Tunis. Objet : Assurer le transport collectif des voyageurs dans la région du grand Tunis à travers les réseaux bus et métro ainsi que la ligne ferroviaire de la banlieue Nord (TGM) Adresse : 33 Avenue du Japon Montplaisir 1073 Tunis Siege Sociale : Montplaisir Tunis Téléphone : 71 904 894 / 71 904 889 / 71 904 932 Fax : 71 904 883 Email: brc@transtu.tn
4. Historique de la société La STT a été créé par la loi 2003-33 du 28/04/2003 en 2003 suite à la fusion de deux entreprises qui s’occupaient du transport des voyageurs  La Société Nationale des Transports (SNT)  La Société du Métro Léger de Tunis (SMLT) 5. Présentation du département informatique Le département système d'information, veille à développer le système d’information de la société et à optimiser le temps de réponse de ce dernier. Ce département, comme indique la figure ci-dessus, est composé de deux directions :  La direction informatique : elle supervise le développement des logiciels et des outils de traitement de l’information avec la qualité et la sécurité requise en matière de logiciels et de données.  La direction d’organisation : elle assure le développement du système d’information. 6. Organigramme du département système d'information Figure 2 : Organigramme du département système d'information II. Présentation du projet 1. Architecture de la société
Notre société dispose d'un site principal situé au niveau de jean Jaurès liée par le site de backup situé au niveau de Montplaisir. Les autres sites sont liés généralement par l'une de deux sites mentionnés ci-dessus. La figure ci-dessous illustre l'architecture réseau de la société. Figure 3 : Architecture WAN de la société 2. Étude de l'existant a. Connectivité - Sites raccordés en liaison Frame Relay : C'est un protocole utilisé par les fournisseurs d’accès pour transmettre des signaux-vocaux et numériques entre réseaux locaux par l’intermédiaire d’un réseau étendu. Il est utilisé globalement sur tous les sites liés avec le site de la société. L'accès en frame Relay dont le débit est fixe à 256 kb.  Site principale : jean Jaurès.  Site de backup : Montplaisir. - Sites raccordés en liaison spécialisées : C’est une ligne spécialisée permet de raccorder les sites de la société avec CNI insaf qui présente le centre national d’information. b. Les serveurs installés dans la société Au sein de la Transtu, il existe un certain nombre de serveur :  Serveurs Central de type AS/400 : c’est un système propriétaire d’IBM ayant le système d’exploitation OS/400.  Serveur Active Directory : Son objectif principal est de fournir des services centralisés d'identification et d'authentification à un réseau d'ordinateurs utilisant le système Windows Server 2008 dans chaque site.
 Serveur Web (apache) : c’est un logiciel permettant à des clients d'accéder à des pages web, c'est-à-dire en réalité des fichiers au format HTML à partir d'un navigateur installé sur leur ordinateur distant. il gère les applications développées en interne.  Serveur GRH : c’est une interface entre la gestion des ressources humaines (GRH) et les technologies de l'information et de la communication(TIC). Il combine la GRH, et en particulier ses activités basiques et administratives gestion administrative), avec des moyens mis à disposition par les TIC.  Serveur Antivirus Kaspersky : Son objectif principal est de détecter en premier temps les virus présents dans le réseau de la société et de les éradiquer en deuxième temps pour les empêcher de se nuire.  Serveur Proxy Squid/Firewall : c’est un serveur mandataire performant, capable d’utiliser les protocoles FTP, HTTP, Gopher et HTTPS. Contrairement au serveur proxy classique, il gère toutes les requêtes en un seul processus d'entrée/sortie, non bloquant. Il est préinstallé sous le système linux CentOS dans chaque site.  Serveur de messagerie et de partage : il a pour vocation le transfert de message électronique ainsi que le partage des fichiers entre tous les postes de l’entreprise. il est installé avec le système Fedora 12.  Serveur Intranet (Zimbra) : Zimbra est une solution de classe entreprise email, calendrier et de collaboration intégrée pour le cloud, à la fois public et privé. Avec une interface basée sur un navigateur redessiné, Zimbra offre l'expérience de messagerie le plus innovant disponible aujourd'hui, la connexion des utilisateurs finaux de l'information et de l'activité dans leurs nuages personnels.  Solution de supervision et surveillance réseau : c’est une solution de contrôle et de gestion du réseau au sein de l’entreprise. elle permet de vérifier l'état du réseau en temps réel de l'ensemble du parc informatique sous leur responsabilité (ex : nagios, centreon).  Plateforme de sauvegarde : (serveurs de production, baie de disque, robot de sauvegarde). 3. Importance du projet Dans le domaine de la sécurité informatique, une vulnérabilité ou faille est une faiblesse dans un système informatique, donc la mise en place d’une solution de sécurité est un but primordial pour chaque entreprise. Cette solution permet d’assurer une protection contre les attaques et les intrusions qui peuvent contribuer à endommager un système informatique. D’une autre partie, un administrateur doit avoir la possibilité de contrôler et de gérer le fonctionnement du réseau, ainsi de réagir le plus rapidement possible face aux pannes qui peuvent intervenir. Pour cela, la mise en place d’une solution de supervision et détection du réseau est le but de notre projet.
4. Objectifs Nos objectifs principaux sont : - Installation d’un logiciel de détection des intrusions (IDS/IPS). - Installation d’un logiciel de la supervision du système et du réseau pour faciliter les taches de contrôle. - L’utilisation des produits open source. 5. Conclusion Dans ce chapitre, nous présentons l’architecture de base da la société du Transports de Tunis et son domaine d’activité. Nous prendrons une vue globale sur l’existant dans l'entreprise en termes de matériels et logiciels. Finalement, nous spécifions l’importance de notre projet ainsi que les objectifs à réaliser. Chapitre 2 Etat de l'art I. Introduction Dans ce présent chapitre, nous allons définir les notions de base de la sécurité. Ensuite, nous allons présenter une étude comparative sur l’ensemble des outils de sécurité plus précisément les pare-feu, les systèmes d’intrusions. Enfin nous allons montrer le choix de l’outil convenable à mettre en place.
II. La notion de base de la sécurité 1. Définition La sécurité informatique, d’une manière générale, consiste à assurer que les ressources matérielles ou logicielles d’une organisation sont uniquement utilisées dans le cadre prévu. La sécurité informatique vise généralement à garantir cinq services principaux : 2. Les services de la sécurité - Intégrité : garantir que les données sont bien celles que l’on croit être, c’est à dire consiste à déterminer si les données n’ont pas été altérées durant la communication. - Authentification : garantir que les personnes autorisées ont accès aux informations et aux avoirs associés en temps voulu. - Disponibilité : c’est la possibilité de pouvoir obtenir l’information recherchée au moment où elle est nécessaire. garantie de continuité de service et de performances des applications du matériel et de l’environnement organisationnel. - Confidentialité : assurer que des informations demeurent accessibles qu’aux personnes autorisées. - Non répudiation : Aucun utilisateur ne doit pouvoir contester les opérations qu'il a réalisées dans le cadre de ses actions autorisées, et aucun tiers ne doit pouvoir s'attribuer les actions d'un autre utilisateur. III. Les outils de la sécurité 1. Pare feu a. Définition Un pare-feu est un logiciel, un matériel informatique ou les deux ensembles, il permet principalement de gérer et filtrer le trafic réseau à partir des règles prédéfinies, il existe plusieurs types de pare-feu où le filtrage du trafic diffère de l'un à l'autre. b. Fonctionnement d’un système pare-feu Il a pour principale tâche de contrôler le trafic entre différentes zones de confiance, en filtrant les flux de données qui y transitent. Généralement, les zones de confiance incluent Internet et au moins un réseau interne. Un système pare-feu contient un ensemble de règles prédéfinies permettant :  Autoriser la connexion (allow).  Bloquer la connexion (deny).  Rejeter la demande de connexion sans avertir l'émetteur (drop).
c. Types c.1 Pare-feu matériel C'est un dispositif informatique, généralement un routeur, il contrôle et filtre le trafic qui circule dans un réseau Avantages  Efficace sur un réseau comportant un nombre important d'ordinateurs. Inconvénients  Ces pare-feu nécessitent un emplacement physique. c.2 Pare-feu logiciel Installé dans une machine, il gère et filtre le trafic réseau en contrôlant (autoriser ou bloquer) les paquets de données qui circulent à l'aide des règles prédéfinies. Avantages  Ces pare-feu sont virtuels donc pas de matériel ou de câbles. Inconvénients  Un pare-feu logiciel ne peut pas opérer sur plusieurs machines à la fois, l'installation et la configuration d'un pare-feu sur chaque ordinateur est indispensable, cela pose un problème au niveau des réseaux comportant un nombre élevé de machines. d. Les différents catégories du pare-feu d.1 Pare-feu sans état (Stateless Firewall) Ce type de filtrage est considéré comme le plus ancien et surtout le plus basique. Il permet d’analyser chaque paquet indépendamment selon une liste de règles prédéfinies par l’administrateur réseau appelée ACL (Access Control List). d.2 Pare-feu avec état (Statefull Firewall) Ce type de filtrage diffère par rapport au pare-feu sans état par la méthode de vérification des paquets. Il consiste à analyser les paquets en prendre en considération l’existence d’une relation entre celui-ci et les paquets précédentes. d.3 Pare-feu applicatif (Proxy) Le filtrage applicatif permet de filtrer les communications application par application. Le filtrage applicatif suppose donc une bonne connaissance des applications présentes sur le réseau, et notamment de la manière dont elle structure les données échangées (ports, etc.). Ce type de firewall permet alors d'effectuer une analyse beaucoup plus fine des informations qu'ils font transiter. d.4 Pare-feu authentifiant L'administrateur peut ainsi définir les règles de filtrage par utilisateur et non plus par adresse IP ou adresse MAC, et ainsi suivre et contrôler l'activité réseau par utilisateur.
d.5 Pare-feu personnel Ce type de pare-feu concerne les ordinateurs et non les réseaux. Donc, un firewall personnel permet de contrôler l'accès au réseau des applications installées sur la machine, et notamment empêcher les attaques du type cheval de Troie, les virus, les logiciels espions ... e. Outils éditeurs e.1 ZoneAlarm Pro Firewall C’est un pare-feu bidirectionnel, protégeant à la fois les flux entrants et sortants de toute intrusion ou activité malveillante. Vous disposerez d'une gestion complète des zones sûres et des zones publiques via des permissions selon plusieurs niveaux de sécurité paramétrables. Il possède les fonctionnalités suivantes : - Restauration des fichiers perdus ou endommagés à partir des versions sauvegardés en ligne de ces fichiers. - Permet de masquer l'identité de l'ordinateur. - Protection des fichiers contre les menaces telles que les virus... - Contrôle des programmes installés et détection des applications malveillantes comme les logiciels espions. - Contrôle et filtrage de connexions entrantes et sortantes de l'ordinateur. - Assurer une navigation sécurisée sur internet en supprimant toute trace laissée (historique, cookies, cache et mots de passe). - 0-hour ce service assure la détection et le blocage des intrusions. e.2 Comodo Internet Security Pro C’est un logiciel créé par Comodo. Il garantit une protection contre les virus et les logiciels malveillants, en se concentrant sur la prévention non seulement la détection. Cette technologie basée sur la prévention de brevet en instance crée un bouclier impénétrable qui identifie les fichiers sûrs, dangereux et douteux. Ses principales fonctionnalités sont : - Pare-feu bidirectionnel : contrôle et filtrage du trafic réseau et protection contre les attaques entrantes et sortantes. - Anti-virus : détection et suppression des virus, logiciels malveillants. - Sandbox : exécution des applications dans un environnement isolé du reste de système. - Mise en quarantaine des fichiers suspects. - Défense + offre un système de prévention d'intrusion pour empêcher tout type de menace. - offre une protection en temps réel contre les virus, chevaux de Troie, Adware, Spyware et autres menaces de logiciels malveillants. f. Outils libres f.1 Pfsense C'est une distribution basée sur FreeBSD, il permet d'ajouter les fonctionnalités d'un pare-feu à n'importe quel pc possédant une simple configuration, nous pouvons le considérer le successeur de M0n0wall puisqu'il est un fork de ce dernier (c'est-à-dire développé à partir du code source de M0n0wall).
Les fonctionnalités de pfSense : - Filtrage à état. - p0f ce service permet de filtrer le flux réseau en fonction du système d'exploitation. - pfSense offre un vpn (réseau privé virtuel). - Accès à distance via le protocole ssh. - L'utilisation de pfSense se fait via une interface web. Avantages  Possibilité d'ajout de paquets (plugins) pour ajouter des fonctionnalités supplémentaires au pfSense.  pfSense peut fonctionner comme un IDS et IPS en ajoutant le paquet "Snort". f.2 SmoothWall Express C'est une distribution GNU-Linux basé sur RedHat, comme pfSense il permet d'ajouter les fonctionnalités d'un pare-feu à un ordinateur. Les fonctionnalités de SmoothWall Express : - Le filtrage est de type « avec état». - Il offre un système de détection d'intrusions. - Accès à distance via le protocole SSH. - Suivi du trafic réseau en temps réel. - Configuration via une interface web. - SmoothWall Express offre un vpn (réseau privé virtuel). f.3 Endian Firewall Community Offre un antivirus qui assure la protection contre les attaques et les menaces tel que les virus, les logiciels espions. . . Ses fonctionnalités sont : - Filtrage de type « à état» c'est la principale fonctionnalité d'Endian Firewall Community. - Supervision en temps réel du réseau. - Navigation web sécurisée. - IDS Endian Firewall Community offre un système de détection d'intrusion. - IPS il offre aussi un système de prévention d'intrusion. - L'accès à distance est possible avec le protocole SSH. - Endian Firewall Community offre un réseau privé virtuel (vpn). - Protection des connexions réseaux et filtrage des flux. g. Etudes comparatives Les solutions commerciales étudiées possèdent tous un problème commun vis-à-vis des exigences de l'entreprise, ces solutions sont coûteuses, donc on va les écarter de la liste des choix réalisés précédemment. Le tableau ci-dessous compare les outils étudiés pour tirer l'outil le plus correspondant aux exigences de l'entreprise.
Description pfSense SmoothWall Express Endian Firewall Community possibilité d'ajout de plugins    Utilisation via une interface web    Fonctionnalités d'un IDS    Fonctionnalités d'un IPS    Accès à distance via SSH    Fonctionnalités d'un antivirus  Simple exigences matérielles    offre un VPN    Tableau 1 : Comparaisons des outils Conclusion Endian Firewall Community semble être la solution la plus conforme aux exigences de l'entreprise puisqu'il offre un pare-feu performant d'une part, et possède des fonctionnalités d'un antivirus d'autre part, ce qui assure une protection complète du système. 2. IDS : Système de détection d’intrusion Il permet de découvrir et de prévenir toute tentative malveillante d'accès au réseau. Certains termes sont souvent employés quand on parle d'IDS :  Faux positif : une alerte provenant d'un IDS, mais qui ne correspond pas à une attaque réelle.
 Faux négatif : une intrusion réelle qui n'a pas été détectée par l'IDS. Il existe trois types d'IDS : N-IDS, H-IDS et les IDS hybrides. a. Types N-IDS: Network Based Intrusion Detection System Il se trouve sur un matériel connecté au réseau et contrôle le trafic réseau en analysant les paquets qui circulent afin de détecter les menaces. Avantages  Contrôler tout le réseau.  Détection en temps réel des intrusions.  Peut gérer un grand réseau. Inconvénients  Détection difficile des intrusions au niveau des réseaux complexes.  L'analyse des paquets cryptés (chiffrés) est impossible. H-IDS: Host Based Intrusion Detection System Il permet de détecter les intrusions au niveau des hôtes, c'est-à-dire il peut surveiller les machines sur lesquelles il est installé. Avantages  Ce type d'IDS peut analyser les paquets cryptés. Inconvénients  Chaque machine nécessite un IDS.  La détection des intrusions en temps réel n'existe pas dans ce type d'IDS.  Le H-IDS provoque des ralentissements au niveau du système puisqu'il utilise beaucoup de ressources.  Ce type d'IDS n'est pas efficace contre les attaques de types DDOS. IDS hybrides Il possède les fonctionnalités de N-IDS et H-IDS en même temps, c'est-à-dire qu'il permet la détection d'intrusion au niveau du tout le système (machines et réseau). Avantages  Surveiller tout le système : réseau et machines.  Meilleure sécurité et protection vis-à-vis des attaques et des menaces puisque chaque élément du système est contrôlé par l'IDS. 3. IPS : Intrusion Prevention System Il est similaire aux IDS, sauf que ce système peut prendre des mesures afin de diminuer les risques d'impact d'une attaque. C'est un IDS qui ajoute des fonctionnalités de blocage pour une anomalie trouvée. Avantages  Attaque bloquée immédiatement.
Inconvénients  Les faux-positifs  Peut paralyser le réseau. 4. Pot de miel (HoneyPots) Pot de miel est un projet open source, il permet de déployer des machines virtuelles sur un réseau en utilisant les adresses IP libres et ainsi permet de détecter toute activité frauduleuse sur le réseau. En effet, toute tentative de connexion sur une adresse IP non attribuée peut être considérée comme non autorisée. Le but est aussi bien de détecter des attaques connues que de découvrir de nouvelles attaques. Fonctionnalités - Occuper le pirate - Découvrir de nouvelles attaques - Garder le maximum de traces de l’attaque 5. Scanner de Vulnérabilité Les scanners de vulnérabilités automatisent la découverte des failles de sécurité. Ils sont utilisés par les administrateurs pour : - Localiser les faiblesses du réseau cible. - Corriger les vulnérabilités de leur système informatique a. Outils payants a.1 Nessus Nessus est un outil de sécurité informatique. Il signale les faiblesses potentielles ou avérées sur les machines testées. Ceci inclut, entre autres : - les services vulnérables à des attaques permettant la prise de contrôle de la machine, l'accès à des informations sensibles (lecture de fichiers confidentiels par exemple), des dénis de service... - les fautes de configuration (relais de messagerie ouvert par exemple) - les patchs de sécurité non appliqués, que les failles corrigées soient exploitables ou non dans la configuration testée - les mots de passe par défaut, quelques mots de passe communs, et l'absence de mots de passe sur certains comptes systèmes. - les services jugés faibles (par exemple remplacer Telnet par SSH) 6. Les offres proposées a. Outils éditeurs a.1 AlienVault USM C’est une plate-forme de sécurité unifiée fournissant la détection des menaces, réponse aux incidents, et la gestion de la conformité pour les environnements AWS.
C'est une suite d'applications de sécurité : HIDS, NIDS, SIEM..., cette suite offre une protection complète du système : réseau, données.... Fonctionnalités - Protection du système contre les menaces. - IDS réseau permettant de détecter les intrusions au niveau du réseau. - IDS système permettant de détecter les intrusions au niveau du système. - Gestion des problèmes : contrôle du statut du réseau, des alarmes, des alertes. - Détecter chaque modification réalisée sur les données. - SIEM c'est l'abréviation de « Security information and event management », comme son nom l'indique, AlienVault USM permet de détecter les menaces en analysant les données et les activités suspectes au sein du système. Avantages - AlienVault fournit chaque semaine de nouvelles mises à jour. - Multi-utilisateurs : peut être utilisé par plusieurs personnes, l'administrateur peut gérer les droits d'accès de chaque utilisateur. - La personnalisation de rapports fournis est possible. - AlienVault fournit un service d'assistance professionnel. a.2 Alert Logic Threat Manager C'est un IDS performant développé par Alert Logic, il propose plusieurs fonctionnalités telles que : - Détection des vulnérabilités existantes au niveau du réseau. - Service ActiveWatch qui assure une protection contre les menaces et les intrusions. - L'utilisation de Threat Manager se fait via une interface web, cette interface permet de réaliser de tâche d'administration tels que : l'affichage des rapports, la planification des scans... - Les rapports fournis sont détaillés. b. Outils libres b.1 Snort C'est un IDS réseau (NIDS) open source créé en 1998 par Martin Roesch, il permet l'analyse en temps réel du trafic réseau et la détection de plusieurs types d'attaques en se référençant a des règles prédéfinies écrites par Sourcefire ou par la communauté. Il existe 4 modes en Snort : - Mode sniffer : il permet d'analyser le réseau, c'est-à-dire analyser les paquets qui circulent dans le réseau. - Mode Packet logger : il permet d'analyser et enregistrer le trafic réseau. - Mode IDS : il permet de détecter les intrusions. - Mode IPS : il permet la prévention des intrusions et des attaques. Avantages  L'utilisation du Snort n'est pas limitée aux experts de la sécurité puisque la communauté est ouverte pour le partage des règles prédéfinies écrites par les autres participants.
 Sourcefire offre régulièrement des nouvelles mises à jour et de nouvelles règles.  Communauté riche en documentation.  Snort offre plusieurs possibilités pour la gestion facile des alertes : affichage sur écran, enregistrement dans un fichier, enregistrement dans une base de données. Inconvénients  Snort génère beaucoup de fausses alertes.  Snort n'est pas efficace contre les attaques de type DOS. Positionnement de Snort Le déploiement d’un IDS n’est pas suffisant pour assurer la sécurité. Ainsi il faut toujours penser aux actions habituelles, notamment l’isolement des systèmes utilisant internet (DMZ), la robustesse de la politique des mots de passe et la gestion des mises à jour applicatives. Pour cela L’emplacement physique de la sonde SNORT sur le réseau a un impact considérable sur son efficacité. Dans le cas d’une architecture classique, composée d’un Firewall et d’une DMZ, trois positions sont généralement envisageables : Figure 4 : Positionnement IDS dans un réseau Position 1 : Tout le trafic entre internet et le réseau interne ou la DMZ est analysé. Par contre le trafic entre le réseau interne et la DMZ est invisible pour l’IDS. De plus mettre un senseur à cette position génère des fichiers de log complets, mais trop complexe à analyser. Position 2 : Seul le trafic entre la DMZ et internet ou le réseau interne est analysé. De plus, placer un senseur à cet emplacement nous permet de détecter les attaques non filtré par le pare-feu et donc minimise le trafic réseau à analyser. Cependant le trafic entre le réseau interne et internet n’est pas visible pour l’IDS. Position 3 : Placer le senseur à cette position nous assure une analyse du trafic sur le réseau interne et la détection des attaques au niveau du réseau interne. Dans notre cas nous allons vous présenter
l’installation de Snort sur un réseau local. Ce choix nous est apparu judicieux car la majorité des attaques proviennent de l’intérieur (Troyen, Virus, …etc.). b.2 Bro C'est un IDS réseau open source, il possède son propre langage "Bro Script", il filtre les flux réseau en se référençant à ce script. Avantages  Possibilité de customisation par l'ajout de plugins qui offrent les fonctionnalités suivantes à l'IDS : sniffeur (Analyseurs de paquets), analyseurs de fichiers... Inconvénients  Absence d'interface graphique : utilisation limitée aux experts du Bro et difficile pour les autres utilisateurs.  Fichiers d'alertes peu détaillés.  Peu de documentation. b.3 Prelude C'est un IDS hybride (HIDS et NIDS) open source. C’est un système de détection d'intrusions et d'anomalies distribué sous licence GPL. Ils constituent une véritable révolution dans la détection d'intrusions en étant le premier IDS hybride rendant possible l’administration simple, efficace et centralisée de l’ensemble du dispositif de sécurité quel que soit le nombre de composants, leur marque ou leur licence. Il présente les fonctionnalités suivantes : - IDS Système (HIDS) pour détecter et empêcher les intrusions au niveau du système. - IDS réseau (NIDS) pour détecter et empêcher les intrusions au niveau du réseau. - LML (Log Monitoring Lackey) ce service analyse les événements enregistrés, lorsqu'un événement anormal est détecté il notifie l'administrateur. - Détecter si des modifications ont eu lieu sur les données du système. - Prelude utilise IDMEF (Intrusion Detection Message Exchange Format), c'est un format utilisé par les composants de Prelude pour communiquer entre eux. - PREWIKKA c'est l'interface graphique de Prelude. Les principaux composants de Prelude sont : - Prelude-LML : qui a pour objectif la détection de menaces ou d'attaques. Lorsqu'une activité anormale est détectée une alerte est envoyée au manager. - Prelude-Manager : il reçoit les alertes générées par les sondes. - Prelude-Correlator : il permet d'afficher les alertes. - LibpreludeDB et Libprelude : indispensables pour le fonctionnement de Prelude. Avantages  Architecture modulaire : Prelude est un ensemble de composants liés entre eux.  Protection complète du système : réseau et machines, puisque Prelude présente les fonctionnalités de HIDS et de NIDS en même temps. b.4 OSSEC C'est un IDS système open source, il offre plusieurs services et fonctionnalités tels que : - La détection des attaques et des menaces.
- L'analyse de fichiers de logs. - Les réponses actives c'est-à-dire arrêter l'attaque lorsqu'elle est détectée. - Détection des menaces rootkit (un rootkit est un ensemble de méthodes utilisées pour effectuer des intrusions). b.5 Samhain C'est un IDS système (HIDS) open source qui peut fonctionner sous plusieurs systèmes d'exploitation tels que Windows, Linux, il permet principalement d'assurer la détection des modifications qui ont eu lieu au niveau des données du système. Il est très rapide car il est écrit en C et n'utilise aucun script interprété Samhain présente les fonctionnalités suivantes : - Il fonctionner sur plusieurs systèmes d'exploitation (linux, Windows...). - Détection des menaces rootkit. - Surveillance et protection des ports. - La possibilité de planification des analyses du système. - Les notifications peuvent être envoyées par e-mail. - Détecter les modifications subies sur les données. b. Étude comparative L'étude de choix montre qu'il existe plusieurs IDS performants gratuits et payants, les solutions payantes vont être écartées de notre liste de choix puisqu'ils ne sont pas conformes aux exigences de l'entreprise et plus spécifiquement les exigences économiques. Le tableau ci-dessous compare les solutions IDS déjà étudiés dans la partie précédente. Description Snort Bro OSSEC Samhain Prelude Supporte plusieurs systèmes d'exploitation (Windows, Linux)    Linux Possibilité d'ajout de plugins (add-ons)      Utilisation facile    Détection des intrusions en temps réel    Utilisation via une interface web      Fonctionnalités de HIDS et NIDS simultanément 
Réponses actives contre les menaces      Alertes par E-mail      Enregistrement des alertes dans une BD      Tableau 2 : Comparaison outils IDS/IPS c. Conclusion Parmi les solutions IDS qu'on a étudiés, Prelude est la solution la plus conforme aux exigences de l'entreprise, il offre les fonctionnalités d'un H-IDS et d'un N-IDS simultanément. Cette fonction assure une protection complète du système (réseau et machines). IV. Outils d’analyse et de détection 1. Nmap C’est un outil open source d’exploration réseau et d’audit de sécurité. Il permet d’identifier les services hébergés et obtenir des informations sur le système d'exploitation d'un ordinateur distant. Ce logiciel est devenu une référence pour les administrateurs réseaux car l'audit des résultats de Nmap fournit des indications sur la sécurité d'un réseau. Il est disponible sous Windows, Mac OS X, Linux. 2. Tcpdump Tcpdump est un « sniffeur de trames réseau », c'est à dire qu'il est capable d'afficher à l'utilisateur toutes les trames réseaux qui passent devant une carte réseau. Et entre autre, les trames réseaux qui ne sont pas destinées à cette machine. 3. Netstat C’est un outil qui va être utilisé du côté du défenseur. Il indique l'état des connexions réseaux en cours en affichant les informations nécessaires, les tables de routage et un certain nombre de statistiques dont ceux des interfaces, sans oublier les connexions masquées, les membres multicast, et enfin, les messages netlink. 4. TraceRoute C’est un programme utilitaire qui permet de suivre les chemins qu'un paquet IP va prendre pour aller de la machine locale à une autre machine connectée au réseau IP. Ce programme est principalement utilisé par les administrateurs réseaux. Il sert le plus souvent à vérifier la qualité des connexions, ou à déterminer les engorgements dans les réseaux. Cependant, elle peut être aussi utilisée pour remonter la trace d'une machine, et trouver l'origine de sa source. 5. Netflow Netflow est un protocole réseau développé par CISCO afin de collecter des informations sur le trafic IP. C’est un protocole propriétaire mais Open Source qui a été conçu pour être supporté par les plateformes autres, comme les routeurs Juniper ou bien FREEBSD et OpenBSD. Netflow actif génèrent des enregistrements netflow.
Un analyseur netflow peut alors être utilisé afin d’analyser les paquets netflow et de les interpréter en effectuant des statistiques sur les paquets reçus. 6. Wireshark Wireshark est un analyseur de trafic réseau ou "sniffer" utilisé dans le dépannage et l'analyse de réseaux informatiques, le développement de protocoles, l'éducation et la rétro-ingénierie. Il utilise une interface graphique basée sur GTK+, il est basé sur la bibliothèque libpcap, qui fournit des outils pour capturer les paquets réseau. V. La supervision 1. Définition La supervision est une fonction informatique de suivi utilisée pour améliorer l'exploitation des ressources mis en place à travers l'installation d'un outil sur une machine serveur qui permet d'analyser, de surveiller, de piloter, d'agir et d'alerter les fonctionnements anormaux des systèmes informatiques. Son but est de fournir une vision précise sur des équipements et d'alerter l'administrateur suite à la détection d'un événement indésirable, cette alerte doit se faire avant que le problème n'engendre des répercussions sur la satisfaction des clients et la productivité finale des utilisateurs. 2. Objectifs L’objectif d’une supervision de réseaux peut ainsi se résumer en trois points : - Etre réactif en alertant l’administrateur (e-mail ou sms) en cas de dysfonctionnement d’une partie du système d’information. - Etre pro actif en anticipant les pannes possibles. - Cibler le problème dès son apparition afin d’agir rapidement de la façon la plus pertinente possible. 3. Outils de supervisions existantes a. Offres éditeurs a.1 IBM Trivoli Monitoring La solution IBM Tivoli Monitoring est conçue pour faciliter la gestion des applications critiques en surveillant de façon proactive les principales ressources informatiques. IBM Tivoli Monitoring est capable d'apporter la réponse la plus adaptée aux différents événements et incidents survenant pendant une exploitation informatique, typiquement agir directement sur le composant logiciel ou sur le système (réseau, serveurs, ..) responsable d'un mauvais temps de réponse. La figure ci-dessous présente l'interface graphique d'IBM Trivoli Monitoring.
Figure 5 : Interface graphique de IBM Trivoli Monitoring Parmi les points forts de la solution IBM Trivoli Monitoring on cite : - Identifie en temps réel les incidents. - Surveille le fonctionnement des serveurs Microsoft Exchange. - Alerte en temps-réel les administrateurs et exécute automatiquement des actions correctives simples ou d'administration ou des workflows plus complexes. - Supporte la variété de systèmes tels que les systèmes d'exploitation, les bases de données, les serveurs d'applications et les applications. - Obtenir une vision précise de la performance du système. - Fournit un point unique de gestion pour le service Microsoft Active Directory (Plusieurs serveurs différents peuvent être surveillés à partir d'une unique console graphique). - Facilite la gestion et l'administration centralisée de plusieurs bases de données en surveillant à la fois des instances Oracle, Sybase, DB2 et Microsoft SQL Server. a.2 HP OpenView HP OpenView est parmi les logiciels majeurs de la supervision. Il permet la supervision des équipements réseaux et l'affichage de l'état courant des équipements grâce à une interface graphique. Un système d'alarme intégré permet de synchroniser tous les équipements et de communiquer avec les machines par le protocole SNMP. Le logiciel HP OpenView permet le contrôle d'un réseau distribué depuis un seul point. HP OpenView envoie des requêtes SNMP périodiques vers les agents, si un état change ou un périphérique devient injoignable, une alarme est directement déclenchée. La figure ci-dessous illustre l'interface Map qui sert à offrir une vision globale sur tous les équipements.
Figure 6 : Interface graphique de HP OpenView Les couleurs permettent de préciser le statut des différents périphériques. Parmi les points forts de la solution HP OpenView on cite : - Une vue globale du système d'information. - Une vision des différents incidents. - Un contrôle homogène des différents matériels. b. Offres libres Les solutions de supervision étant très nombreuses, une sélection de quelques outils selon la popularité sera présentée dans cette partie. b.1 Cacti Cacti est un outil libre de supervision des réseaux; il collecte, stocke et présente-les statistiques d'utilisation des serveurs et des équipements réseau. Cacti utilise RRDtool ( est un logiciel de stockage des données dans une base de données RRD et permet de les utiliser pour créer des graphiques) pour créer les graphiques pour chaque équipement via les données statistiques qui sont récupérés de cet équipement. La force de CACTI réside dans le fait qu'il peut être installé et utilisé très facilement. Nous n'avons pas besoin de dépenser des tonnes d'heures sur l'outil pour configurer. Nous pouvons ajouter des plugins à Cacti qui permet aussi la possibilité d'intégrer d'autres outils libres.
Figure 7 : Interface graphique de Cacti Les qualités de Cacti : - La simplicité d'installation. - L'utilisation de Cacti n'exige pas d'être un expert des systèmes de monitoring. - L'auto-détection de différents points de contrôle. - La possibilité d'augmenter le périmètre des graphiques en ajoutant des données collectées. - L'intégration de RRDTool. - Quelques fonctionnalités sont très pratiques à utiliser comme le zoom, la visualisation des périodes suivantes ou précédentes, le choix de la période d'affichage, . . . Les défauts de Cacti : Son manque d'évolutions : le développement semble se ralentir depuis quelques années. b.2 Zabbix Zabbix est un outil de supervision libre développé en C, il permet de surveiller l'état de divers services réseau, l'interface web de l'outil est développée en PHP et en JavaScript. L'outil est composé par le serveur de données, l'interface de gestion et le serveur de traitement. Le serveur de traitement est basé sur les triggers qui sont des tests effectués sur les équipements supervisés, suite au déclenchement d'un trigger une action précise sera exécutée pour résoudre un problème. La figure suivante illustre l'interface graphique de Zabbix.
Les qualités de Zabbix : - Génération de graphiques (évolution des données et état des machines). - Peut-être décentralisé grâce à des proxies Zabbix. - Multiplateformes (disponible sous des systèmes d'exploitation tels que Windows, Linux, Solaris,. . .) - L'utilisation du protocole SNMP pour superviser de nombreux types d'équipements - Mise à jour automatique des informations utilisées par le serveur de traitement. - Dispose d'outils d'auto-découverte d'équipements. - Supporte le protocole IPMI (l'Interface de gestion intelligente de matériel). - Tous les graphiques sont affichés sur une même interface. - Classement et groupement des machines surveillées. - L'utilisation de MySQL, PostgreSQL ou Oracle pour stocker les données selon le nombre de machines et de données à surveiller. - L'utilisation des triggers. Les défauts de Zabbix : - Les triggers sont puissants mais un peu complexe à mettre en place. - Manque d'ergonomie dans l'interface Web. b.3 Nagios Nagios (anciennement appelé Netsaint) est une application de monitoring libre permet de surveiller l'état de divers services réseau et systèmes. Il centralise les informations récoltées périodiquement par le fonctionnement modulaire dont il est caractérisé, ce qui le rend beaucoup plus attractif que ses produits concurrents. En revanche sa configuration peut se révéler complexe. Sa fonction principale est d'alerter l'administrateur suite à la détection d'un événement indésirable d'un équipement et d'offrir une vision précise sur les hôtes et services à superviser via un simple navigateur. Nous retrouvons actuellement plusieurs logiciels qui sont basés sur Nagios tel que Centreon, Overmon, Eyes of network, Vigilo et Check_MK. Nagios est un programme modulaire composé par le moteur de l'application, l'interface web et les sondes (appelées greffons ou plugins), le moteur de l'application contrôle les équipements spécifiés par les sondes, un statut d'état sera retourné à Nagios, suite à la détection d'un problème une alerte (email, SMS,...) doit être envoyée à l'administration. La figure suivante montre l'interface graphique de Nagios.
Figure 8 : Interface graphique de Nagios Qualités de Nagios Les fonctionnalités de Nagios sont très nombreuses, parmi les plus communes nous pouvons citer les suivantes : - La supervision des services réseaux (SMTP, http…), des hôtes et des ressources systèmes (CPU, charge mémoire…) - La détermination à distance et de manière automatique l’état des objets et les ressources nécessaires au bon fonctionnement du système grâce à ses plugins. - Représentation coloriée des états des services et hôtes définies. - Génération de rapports. - Cartographie du réseau. - Gestion des alertes. - Surveillance des processus (sous Windows, Unix…). - Superviser des services réseaux : (SMTP, POP3, HTTP, NNTP, ICMP, SNMP, LDAP, etc.) - La supervision à distance peut utiliser SSH ou un tunnel SSL. - Les plugins sont écrits dans les langages de programmation les plus adaptés à leur tâche (Bash, C++, Python, Perl, PHP, C#, etc.) Toutes ces fonctionnalités sont assurées grâce la gestion et supervision du réseau et ses différentes entités d’une manière centralisée. La figure suivante modélise cet aspect
Figure 9 : Centralisation d’information par Nagios Les défauts de Nagios : - Il y a des modules qui ne sont pas sous licence libre. - Manque de réactivité du développeur principal de Nagios. - Manque d'ergonomie au niveau de l'interface sans l'utilisation des plugins. 4. Etude comparatives des outils Les différentes solutions commerciales déjà présentées (Scom, HP OpenView, IBM Trivoli Monitoring) nécessitent un investissement important pour leur mise en place, et pour des raisons propres à l'entreprise, toutes ces solutions sont à écarter de notre liste de choix. Dans le tableau suivant, nous allons montrer le niveau de satisfaction des outils libres existants. Description Cacti Nagios Zabbix Monitoring d'instances windows    Une utilisation sous Linux    Fonctionnalités de supervision avancées   Utilisation d'agent sur les machines cibles   Intégration simple d'un nouveau host  Pouvoir être alerté par e-mail    Gère le SNMPv3    Tableau 3 : Tableau comparative des outils de supervisions libre Une des particularités captivantes de Nagios est sa modularité. En effet, grâce à ses plugins, Nagios possède une architecture facilement adaptable à l'environnement. Ces derniers pouvant être ajoutés, modifiés ou même créés. De plus Nagios est une solution stable, dispose d'une grande communauté de développeurs et comme indice de la fiabilité de ce logiciel. Le choix s'est arrêté sur la solution Nagios car elle est la mieux adaptée à la demande de notre entreprise.
Conclusion Dans ce chapitre, nous avons commencé par une description sur le concept de supervision puis, nous avons passé à des études comparatives des différentes solutions de surveillance réseau, pare-feu et de détection d’intrusion existante, ces études nous ont amené à bien choisir notre solution de surveillance qui s'intitule Nagios et nous avons choisi SNORT et OSSEC comme une solution de détection d'intrusion.
Chapitre 3 Réalisation I. Introduction Au cours de ce chapitre, nous allons présenter les étapes nécessaires pour la mise en place des deux solutions de détection choisit dans le chapitre précédant. Ensuite, nous allons mettre en place une solution de supervision. Enfin, nous allons présenter quelques testes effectuées au cours de la vérification des outils choisis. II. Environnement logiciel utilisées Le tableau ci-dessous résume les caractéristiques techniques de notre pc. Caractéristique technique Capacité Processeur Intel® Core i3-4000M CPU à 2.40 GHz Mémoire 6 GB Windows 7 Tableau 4: Caractéristique technique du serveur Lenovo III.Mise en place de la solution 1. Mise en place du Snort Les étapes de l’installation et de la configuration du Snort seront détaillées dans l’annexe A. Nous avons testé aussi le bon fonctionnement du Snort à l’aide de la commande « Snort –v » Figure 10 : Lancement capture de Traffic de Snort a. Test de Snort
Figure 11 : Capture ICMP Dans cette figure, nous avons testé un Ping à partir de la machine virtuelle vers la machine principale windows. Figure 12 : Capture Ping Figure 13 : Capture analyse avec Snort Figure 14 : Capture Ping Figure 15 : Capture téléchargement d’un PDF
2. Mise en place de OSSEC Les étapes nécessaires pour la mise en place de la solution de détection des intrusions seront présentées dans l’annexe B. Après avoir bien installé ossec-hids, nous allons lancer le service d’ossec : Figure 16 : lancement service OSSEC Nous pouvons vérifier les logs à partir du fichier : /var/ossec/logs/ossec.log. 3. Mise en place de nagios Nous allons suivre les étapes nécessaires pour mettre en place la solution de la supervision Nagios. Toutes les étapes seront détaillés dans l’annexe C. Nous allons installer aussi NSClient : c’est un plugin qui permet de récupérer les statuts des services et des équipements à surveiller sur une machine Windows, NSClient se livre avec un ensemble de commandes check qui permet d'obtenir plusieurs informations tels que : - MEMUSE : retourne la taille de la mémoire utilisée, et la taille restante. - CLIENTVERSION : retourne la version de l'agent NSClient. - UPTIME : retourne la durée écoulée depuis le dernier redémarrage de la machine. - USEDDISKSPACE : retourne la taille et le pourcentage du disque utilisé. - CPULOAD : retourne la charge moyenne du système. - SERVICESTATE : retourne le statut (démarré, arrêté) d'un ou plusieurs services Windows. Conclusion Dans ce chapitre, nous avons présenté les étapes nécessaires de la mise en place de deux solutions différentes, une de type NIDS et l’autre de type HIDS Snort et Ossec et nous avons conclure une différence globale entre eux.
Conclusion Générale La sécurité des réseaux des entreprises est devenue prioritaire. Les effets d'une intrusion sur un réseau peuvent parfois s'avérer dévastateurs pour la société concernée : atteinte à l'image de l'entreprise, perte de recettes, perte de confiance des clients, engagement de la responsabilité légale si le réseau attaqué est utilisé comme rebond pour attaquer un réseau tiers. Dans ce contexte s’étroite notre sujet de ce stage d’été. Ce domaine de la sécurité nous a donné la chance de nous en élargir nos connaissances. Plusieurs mécanismes de sécurité tels que IPS, IDS, Firewall, scanner des vulnérabilités, les pots de miel (en anglais : HoneyPots) peuvent contribuer contre les différentes menaces possibles et doivent être appliquées au sein de chaque entreprise. Pour mieux assurer la sécurité des réseaux des entreprises, une supervision doit être mise en place. Différents outils de supervision sont offerts. La supervision réseau comprend un ensemble de protocoles, matériels et logiciels informatiques permettant de suivre à distance l'activité d'un réseau informatique. Ces solutions permettent également de cartographier le réseau. Il existe de très nombreuses solutions de supervision existantes. Le monde du logiciel libre est particulièrement actif dans ce domaine. Nous pouvons organiser, comme perspectives, des audits de sécurité complets et approfondis. Un audit de sécurité visera à valider ou critiquer les moyens de protection d'une entreprise, selon la politique de sécurité de cette même entreprise. Chaque règle de sécurité établie au sein d'une société devra s'appliquer en fonction d'une certaine cohérence de la politique de sécurité de l'entreprise afin de garantir l'intégrité et le bon fonctionnement des systèmes et procédures de sécurité.
Annexe A Donc pour initialiser SNORT sous UBUNTU nous pouvons utiliser la commande « Apt-get install » pour télécharger et installer les paquets nécessaires automatiquement. I. Installation des dépendances #apt-get install libltdl3 libpcap0.8 libprelude2 #apt-get install phpmyadmin #apt-get install MySQL-server MySQL-common MySQL-client #apt-get install libnet1 libnet1-dev libpcre3 libpcre3-dev autoconf automake1.9 #apt-get install libpcap0.8-dev libmysqlclient15-dev build-essential #apt-get install gcc make libtool libssl-dev gcc-4.1 g++ #apt-get install checkinstall #apt-get install libphp-adodb php5 php-pear php5-cli php5-gd php5-mysql # Apt-get install apache2 II. Installation 1. Installation Snort Nous ajoutons un groupe et un utilisateur Snort « Snort # groupadd snort # useradd –g snort –d /usr/local/snort –m snort # chown –R snort /var/log/snort # chgrp –R snort /var/log/snort Nous lançons par la suite la commande de téléchargement du snort-2.8.4.1 # cd /tmp # wget http://dl.snort.org/snort-current/snort-2.8.4.1.tar.gz # tar -zxf snort-2.8.4.1.tar.gz # cd snort-2.8.4.1 #. /configure --with-MySQL --enable-dynamicplugins --prefix=/usr/local/snort –enable prelude # make # make install
Après le téléchargement du Snort 2.8.4.1, nous devons créer deux dossiers, un pour stocker les fichiers de configuration et l'autre pour stocker les règles Snort. $ Sudo mkdir /etc/snort $ Sudo mkdir /var/log/snort $ Sudo mkdir /etc/snort/rules_backup $ Sudo mkdir /etc/Snort/packages Ensuite nous devons copier les fichiers de configuration de Snort dans le dossier /etc/Snort/ #cp /tmp/snort-2.8.4.1/etc/*.conf* /etc/Snort #cp /tmp/snort-2.8.4.1/etc/*.map /etc/Snort Les deux fichiers de configuration dans notre dossier /etc/Snort/rules: #cp snort2.8.4.1/etc/classification.config /etc/Snort/rules/ #cp snort2.8.4.1/etc/reference.config /etc/snort/rules/ classification.config: définit des URL pour les références trouvées dans les règles. reference.config: inclus de l'information pour la priorisation des règles. Ensuite, nous devons configurer la base de données Mysql pour Snort en activant les plugins tel que : --enableinline : pour activer la communication avec le pare-feu (iptable) et rendre Snort un IPS qui réagit lors de la détection d'une intrusion. --enableclamav: pour améliorer la base des signatures du Snort par la configuration avec l'antivirus Clamav, dans ce cas, Snort jouera le rôle d'un IDS et un antivirus en même temps. --enabledynamicplugins : pour rendre Snort configurable avec les nouveaux plugins même après installation. #make : (compilation du paquet) Erreur dans make : Figure 17 : erreur dans « make »
Solution : Modifier les droits du fichier "server_stats.c" in "./snort2.8.*/ src/preprocessors/flow/portscan/" Fonction Code: int server_stats_save (SERVER_STATS *ssp, char *filename) ligne Code: fd = open(filename, O_CREAT|O_TRUNC|O_SYNC|O_WRONLY); Modification du Code: fd = open(filename, O_CREAT|O_TRUNC|O_SYNC|O_WRONLY, 0666); #checkinstall (exécution de l’installation) Et pour la configuration de Mysql, nous avons créé une base de données et des tables pour recevoir les logs de Snort : #MySQL -u root -p >create database snort; Comme il est dangereux d'accéder à la base de données avec l'utilisateur root, Il est nécessaire de créer un utilisateur avec des permissions sur la base de données snort uniquement: #grant all on snort.* to snortuser@localhost identified by 'pwd' Puis nous avons rechargé les privilèges MySQL: #flush privileges >exit; Maintenant, nous devons créer les tables dans la base de données Snort: Par chance, les tables sont déjà créées et nous devons juste les trouver et les installer dans la base de données: #MySQL –u root –p snort < schemas/create_mysql 2. Configuration Snort Nous avons Changé le fichier snort.conf comme suit avec la commande « gedit /etc/Snort/etc/Snort/snort.conf » var RULE_PATH /etc/snort/etc/snort/rules var HOME_NET /external-netmask var EXTERNAL_NET !$HOME_NET dynamicengine /usr/local/lib/snort_dynamicengine/libsf_engine.so # changer /usr/local par /etc/Snort dans tous snort.conf Puis il fallait commenter des lignes du fichier du config de Snort #dynamicdetection file /etc/snort/lib/snort_dynamicrules/bad-traffic.so #dynamicdetection file /etc/snort/lib/snort_dynamicrules/chat.so #dynamicdetection file /etc/snort/lib/snort_dynamicrules/dos.so #dynamicdetection file /etc/snort/lib/snort_dynamicrules/exploit.so
#dynamicdetection file /etc/snort/lib/snort_dynamicrules/imap.so #dynamicdetection file /etc/snort/lib/snort_dynamicrules/misc.so #dynamicdetection file /etc/snort/lib/snort_dynamicrules/multimedia.so #dynamicdetection file /etc/snort/lib/snort_dynamicrules/netbios.so #dynamicdetection file /etc/snort/lib/snort_dynamicrules/nntp.so #dynamicdetection file /etc/snort/lib/snort_dynamicrules/p2p.so #dynamicdetection file /etc/snort/lib/snort_dynamicrules/smtp.so #dynamicdetection file /etc/snort/lib/snort_dynamicrules/sql.so #dynamicdetection file /etc/snort/lib/snort_dynamicrules/web-client.so #dynamicdetection file /etc/snort/lib/snort_dynamicrules/web-misc.so Nous ajoutons maintenant les règles de Snort # cd /tmp # wget http://dl.snort.org/sub-rules/snortrules-snapshot-2.8_s.tar.gz # tar –zxf snortrules-snapshot-2.8_s.tar.gz # mv snortrules-snapshot-2.8/rules/* /etc/snort/rules Ainsi que les règles optionnelles # cd /etc/Snort # wget http://emergingthreats.net/rules/emerging.rules.tar.gz # tar –zxf emerging.rules.tar.gz Nous avons ajoutées quelques règles dans le fichier des règles de Snort présenté dans la figure ci-dessous : Figure 18 : fichier des règles de Snort
Annexe B I. Prérequis # apt-get update # apt-get upgrade # apt-get install inotify-tools build-essential Tout d’abord, nous allons télécharger le package ossec-hids-2.8.3.tar.gz Site : http://www.ossec.net/files/ossec-hids-2.8.3.tar.gz 1. Installation ossec en local Il faut accéder au dossier décompressé #cd /home/rabeb/ossec-hids-2.8.3 Ensuite, il faut lancer l’installation avec une simple commande: Figure 19 : installation OSSEC Durant l’installation, quelque paramètre doivent être configuré tels que la langue. Il faut spécifier le type d’installation, ici nous avons choisie local Figure 20 : Type d’installation II. Configuration OSSEC Aussi, il faut spécifier le dossier d’installation : /etc/ossec Nous devons aussi accepter le démon de vérification d’intégrité et le moteur rootkit, nous spécifions aussi une adresse mail sur laquelle nous allons recevoir tous les notifications nécessaires
Figure 21 : Configuration OSSEC Nous devons activer le firewall et les adresses Ip autorisées Figure 22 : Paramétrage OSSEC Et enfin, l’installation et la configuration se commence Figure 23 : Procédure d’installation Nous avons terminé la configuration de l’ossec
Figure 24 : Installation réussite Après avoir terminé l’installation du ossec Hids, nous pouvons reconfigurer ou bien ajouter quelque configurations nécessaires en éditant le fichier de config de base du ossec qui se trouve sous: /etc/ossec/etc/ossec.conf 2. Installation Ossec MODE Client/serveur Nous allons suivre les mêmes étapes que dans le mode local sauf que d’une côté, nous allons choisir le type d’installation « serveur » pour installer le serveur de l’ossec : Figure 25 : Type d’installation serveur Et de l’autre côté, nous allons choisir « agent » pour installer l’agent en spécifiant l’adresse IP du serveur : Figure 26 : Type d’installation agent Figure 27 : Configuration adresse serveur
Ensuite, nous allons ajouter l’agent au serveur pour qu’ils puissent communique entre eux. Pour cela, nous allons lancer l’agent manager : /etc/ossec/bin/manage_agents Figure 28 : Ajouter un agent Ensuite, il faut redémarrer le serveur ossec pour qu’il fait les mises à jour nécessaires par la commande : /etc/ossec/bin/ossec_control restart Maintenant, nous devons extraire la clé de l’agent par la commande agent manager en ajoutant l’option « E » : /etc/ossec/bin/manage_agents Figure 29 : Extraction clé authentification d’agent
Annexe C I. Prérequis Avant de commencer l’installation de NAGIOS CORE nous allons effectuer la mise à jour à l’aide de la commande : #apt-get update #apt-get safe-update #apt-get install build-essential #apt-get install apache2 Il faut aussi installer les librairies suivantes : # apt-get install bind9-host dnsutils libbind9-60 libisc60 libisccc60 libisccfg60libradius qstat radiusclient1 snmp snmpd # apt-get install libd2-noxpm-dev libpng12-dev libjpeg62 libjpeg62-dev Puis, nous devons lancer le serveur apache avec la commande : # apache2ctl start Figure 30 : Lancement du serveur apache Il faut vérifier le bon fonctionnement du serveur web en tapant l’adresse Ip de la machine dans le navigateur web Figure 31 : Interface Web Apache Le processus Nagios ne sera pas lancé en root (droit administrateur) pour des raisons de sécurité. Pour cela, nous allons créer un utilisateur système nommé « nagios » et un groupe associé également nommé « nagios1». Le groupe nagios comprendra les utilisateurs nagios et www-data (utilisateur avec lequel le serveur Apache est lancé par défaut). Figure 32 : Ajout des users et groupes
II. Installation serveur Nagios Nous allons télécharger nagios et ses plugins sous le répertoire /usr/src # cd /usr/src # wget http://prdownloads.sourceforge.net/sourceforge/nagios/nagios-3.2.3.tar.gz # wget http://prdownloads.sourceforge.net/sourceforge/nagiosplug/nagios-plugins- 2.1.2.tar.gz Ensuite, nous allons les décompresser et lancer l’installation # tar -xzf nagios-3.2.3.tar.gz # cd nagios-3.2.3 Figure 33 : Installation Nagios Puis, nous allons appliquer la commande make pour vérifier la configuration de l’installation #make all #make install #make install-commandmode #make install-config #make install-init #make install-webconf Nous allons aussi créer un lien symbolique avec la commande : # ln -s /etc/init.d/nagios /etc/rcS.d/S99nagios Il faut activer le mot de passe pour l’interface de gestion web de nagios Figure 34 : Configuration mot de passe interface Nagios Puis, nous allons redémarrer le service apache #apache2ctl restart On passe maintenant pour la configuration des plugins standards de nagios #aptitude install fping libnet-snmp-perl libldap-devlibmysqlclient-dev libgnutls-dev libradiusclient-ng-dev php5 Puis décompresser les plugins NAGIOS # cd /usr/src # tar -xzf nagios-plugins-1.4.15.tar.gz
# cd nagios-plugins-1.4.15 Il faut lancer l’installation : #. /configure #make #make install Nous allons effectuer un teste Figure 35 : Test configuration Ensuite, nous allons lancer le serveur Nagios Figure 36 : Lancement serveur Nagios Figure 37 : Test Serveur Nagios Avant de redémarrer le service Nagios, nous allons télecharger NSClient++ qui est le plugin charge de renseigne notre serveur de supervision. Lien NSClient++ : https://sourceforge.net/projects/nscplus/files/nscplus/NSClient%2B%2B%200.3.8/ Puis, nous allons lancer l’installation, nous allons suivre les étapes en cliquant sur next à chaque fois. Il faut renseigner l’adresse IP du serveur NAGIOS et cocher les deux cases Check_ntetcheck_nrpepuisNEXTpuisInstall.
Figure 38 : Configuration NSClient++ Nous allons maintenant ouvrir le services.msc et sélectionner le service NSClient++, ouvrir la propriété du service, dans l’onglet connexion (log on), nous allons cocher la case « Autoriser le service à interagir avec le bureau comme indique ce figure Figure 39 : Autoriser service NSClient++ Nous allons retourner maintenant pour redémarrer le serveur nagios # /etc/init.d/nagios restart Nous allons lancer l’interface web Figure 40 : Supervision avec NAGIOS
Bibliographie https://assets.nagios.com/downloads/nagioscore/docs/nagioscore/4/en/monitoring- windows.html https://fr.scribd.com/doc/130559770/Projet-securite-reseaux http://wiki.monitoring-fr.org/securite/prelude/prelude-ubuntu-install http://blog.nicolargo.com/2010/01/quelques-outils-pour-analyser-son-trafic-reseau.html http://dbprog.developpez.com/securite/ids/ http://olivieraj.free.fr/fr/linux/information/firewall/firewall.html

Empfohlen

Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...
Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...
Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...Alaaeddine Tlich
 
Mise En Place d'une Solution de Supervision Réseau
Mise En Place d'une Solution de Supervision Réseau Mise En Place d'une Solution de Supervision Réseau
Mise En Place d'une Solution de Supervision Réseau Yaya N'Tyeni Sanogo
 
Rapport finiale
Rapport finialeRapport finiale
Rapport finialemarwenbencheikhali
 
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )Saadaoui Marwen
 
mémoire de projet de fin d'études
mémoire de projet de fin d'études mémoire de projet de fin d'études
mémoire de projet de fin d'études MortadhaBouallagui
 
Presentation pfe ingenieur d etat securite reseau et systemes
Presentation pfe ingenieur d etat securite reseau et systemesPresentation pfe ingenieur d etat securite reseau et systemes
Presentation pfe ingenieur d etat securite reseau et systemesHicham Moujahid
 
Rapprot de satge supervision de résau par EyesOfNetwok
Rapprot de satge supervision de résau par EyesOfNetwokRapprot de satge supervision de résau par EyesOfNetwok
Rapprot de satge supervision de résau par EyesOfNetwokAbdessamad IDRISSI
 
Rapport projet fin d'étude
Rapport projet fin d'étudeRapport projet fin d'étude
Rapport projet fin d'étudeHibaFarhat3
 

Empfohlen

Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...
Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...
Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...Alaaeddine Tlich
 
Mise En Place d'une Solution de Supervision Réseau
Mise En Place d'une Solution de Supervision Réseau Mise En Place d'une Solution de Supervision Réseau
Mise En Place d'une Solution de Supervision Réseau Yaya N'Tyeni Sanogo
 
Rapport finiale
Rapport finialeRapport finiale
Rapport finialemarwenbencheikhali
 
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )Saadaoui Marwen
 
mémoire de projet de fin d'études
mémoire de projet de fin d'études mémoire de projet de fin d'études
mémoire de projet de fin d'études MortadhaBouallagui
 
Presentation pfe ingenieur d etat securite reseau et systemes
Presentation pfe ingenieur d etat securite reseau et systemesPresentation pfe ingenieur d etat securite reseau et systemes
Presentation pfe ingenieur d etat securite reseau et systemesHicham Moujahid
 
Rapprot de satge supervision de résau par EyesOfNetwok
Rapprot de satge supervision de résau par EyesOfNetwokRapprot de satge supervision de résau par EyesOfNetwok
Rapprot de satge supervision de résau par EyesOfNetwokAbdessamad IDRISSI
 
Rapport projet fin d'étude
Rapport projet fin d'étudeRapport projet fin d'étude
Rapport projet fin d'étudeHibaFarhat3
 
Supervision d'un réseau informatique avec Nagios
Supervision d'un réseau informatique avec NagiosSupervision d'un réseau informatique avec Nagios
Supervision d'un réseau informatique avec Nagioschristedy keihouad
 
Etude et mise en place d'une solution d'administration et de supervision Open...
Etude et mise en place d'une solution d'administration et de supervision Open...Etude et mise en place d'une solution d'administration et de supervision Open...
Etude et mise en place d'une solution d'administration et de supervision Open...Chiheb Ouaghlani
 
Etude et mise en place d’une solution open source de gestion de la sécurité d...
Etude et mise en place d’une solution open source de gestion de la sécurité d...Etude et mise en place d’une solution open source de gestion de la sécurité d...
Etude et mise en place d’une solution open source de gestion de la sécurité d...Mohammed LAAZIZLI
 
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)Sakka Mustapha
 
MONITORING APPLICATIF
MONITORING APPLICATIFMONITORING APPLICATIF
MONITORING APPLICATIFYoussef NIDABRAHIM
 
Rapport nagios miniprojet
Rapport nagios miniprojetRapport nagios miniprojet
Rapport nagios miniprojetAyoub Rouzi
 
projet fin d'étude IWAN
projet fin d'étude IWANprojet fin d'étude IWAN
projet fin d'étude IWANMed Amine El Abed
 
Mise en place d'une solution VOIP sécurisée
Mise en place d'une solution VOIP sécuriséeMise en place d'une solution VOIP sécurisée
Mise en place d'une solution VOIP sécuriséeOlivierMawourkagosse
 
Rapport de stage nagios
Rapport de stage nagiosRapport de stage nagios
Rapport de stage nagioshindif
 
elk
elkelk
elkMoussaKane8
 
Mini projet Zabbix
Mini projet ZabbixMini projet Zabbix
Mini projet ZabbixSamiMessaoudi4
 
Presentation de nagios mohamed bouhamed
Presentation de nagios mohamed bouhamedPresentation de nagios mohamed bouhamed
Presentation de nagios mohamed bouhamedTECOS
 
Projet administration-sécurité-réseaux
Projet administration-sécurité-réseauxProjet administration-sécurité-réseaux
Projet administration-sécurité-réseauxRabeb Boumaiza
 
Nagios
NagiosNagios
Nagioslinkinx
 
ETUDES ET DÉPLOIEMENT DUNE SOLUTION VOIP BASÉE SUR ASTERISK
ETUDES ET DÉPLOIEMENT DUNE SOLUTION VOIP BASÉE SUR ASTERISKETUDES ET DÉPLOIEMENT DUNE SOLUTION VOIP BASÉE SUR ASTERISK
ETUDES ET DÉPLOIEMENT DUNE SOLUTION VOIP BASÉE SUR ASTERISKbamaemmanuel
 
Rapport projet pfe
Rapport projet pfeRapport projet pfe
Rapport projet pfeHicham Moujahid
 
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...Tidiane Sylla
 
Rapport PFE
Rapport PFERapport PFE
Rapport PFEIbtissemSlimeni
 
ETUDE ET MISE EN PLACE D'UNE SOLUTION DE CLOUD COMPUTING PRIVÉ BASÉE SUR UN ...
ETUDE ET MISE EN PLACE D'UNE SOLUTION DE CLOUD COMPUTING PRIVÉ BASÉE SUR UN ...ETUDE ET MISE EN PLACE D'UNE SOLUTION DE CLOUD COMPUTING PRIVÉ BASÉE SUR UN ...
ETUDE ET MISE EN PLACE D'UNE SOLUTION DE CLOUD COMPUTING PRIVÉ BASÉE SUR UN ...Borel NZOGANG
 
Serveur Zabbix
Serveur ZabbixServeur Zabbix
Serveur ZabbixDamien Morisseau
 
rapportDigital-TV
rapportDigital-TVrapportDigital-TV
rapportDigital-TVahmed oumezzine
 
Bureautique
BureautiqueBureautique
BureautiqueGhanii Bakouri
 

Weitere ähnliche Inhalte

Was ist angesagt?

Supervision d'un réseau informatique avec Nagios
Supervision d'un réseau informatique avec NagiosSupervision d'un réseau informatique avec Nagios
Supervision d'un réseau informatique avec Nagioschristedy keihouad
 
Etude et mise en place d'une solution d'administration et de supervision Open...
Etude et mise en place d'une solution d'administration et de supervision Open...Etude et mise en place d'une solution d'administration et de supervision Open...
Etude et mise en place d'une solution d'administration et de supervision Open...Chiheb Ouaghlani
 
Etude et mise en place d’une solution open source de gestion de la sécurité d...
Etude et mise en place d’une solution open source de gestion de la sécurité d...Etude et mise en place d’une solution open source de gestion de la sécurité d...
Etude et mise en place d’une solution open source de gestion de la sécurité d...Mohammed LAAZIZLI
 
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)Sakka Mustapha
 
Rapport nagios miniprojet
Rapport nagios miniprojetRapport nagios miniprojet
Rapport nagios miniprojetAyoub Rouzi
 
Mise en place d'une solution VOIP sécurisée
Mise en place d'une solution VOIP sécuriséeMise en place d'une solution VOIP sécurisée
Mise en place d'une solution VOIP sécuriséeOlivierMawourkagosse
 
Rapport de stage nagios
Rapport de stage nagiosRapport de stage nagios
Rapport de stage nagioshindif
 
Presentation de nagios mohamed bouhamed
Presentation de nagios mohamed bouhamedPresentation de nagios mohamed bouhamed
Presentation de nagios mohamed bouhamedTECOS
 
Projet administration-sécurité-réseaux
Projet administration-sécurité-réseauxProjet administration-sécurité-réseaux
Projet administration-sécurité-réseauxRabeb Boumaiza
 
ETUDES ET DÉPLOIEMENT DUNE SOLUTION VOIP BASÉE SUR ASTERISK
ETUDES ET DÉPLOIEMENT DUNE SOLUTION VOIP BASÉE SUR ASTERISKETUDES ET DÉPLOIEMENT DUNE SOLUTION VOIP BASÉE SUR ASTERISK
ETUDES ET DÉPLOIEMENT DUNE SOLUTION VOIP BASÉE SUR ASTERISKbamaemmanuel
 
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...Tidiane Sylla
 
ETUDE ET MISE EN PLACE D'UNE SOLUTION DE CLOUD COMPUTING PRIVÉ BASÉE SUR UN ...
ETUDE ET MISE EN PLACE D'UNE SOLUTION DE CLOUD COMPUTING PRIVÉ BASÉE SUR UN ...ETUDE ET MISE EN PLACE D'UNE SOLUTION DE CLOUD COMPUTING PRIVÉ BASÉE SUR UN ...
ETUDE ET MISE EN PLACE D'UNE SOLUTION DE CLOUD COMPUTING PRIVÉ BASÉE SUR UN ...Borel NZOGANG
 

Was ist angesagt? (20)

Supervision d'un réseau informatique avec Nagios
Supervision d'un réseau informatique avec NagiosSupervision d'un réseau informatique avec Nagios
Supervision d'un réseau informatique avec Nagios
 
Etude et mise en place d'une solution d'administration et de supervision Open...
Etude et mise en place d'une solution d'administration et de supervision Open...Etude et mise en place d'une solution d'administration et de supervision Open...
Etude et mise en place d'une solution d'administration et de supervision Open...
 
Etude et mise en place d’une solution open source de gestion de la sécurité d...
Etude et mise en place d’une solution open source de gestion de la sécurité d...Etude et mise en place d’une solution open source de gestion de la sécurité d...
Etude et mise en place d’une solution open source de gestion de la sécurité d...
 
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
 
MONITORING APPLICATIF
MONITORING APPLICATIFMONITORING APPLICATIF
MONITORING APPLICATIF
 
Rapport nagios miniprojet
Rapport nagios miniprojetRapport nagios miniprojet
Rapport nagios miniprojet
 
projet fin d'étude IWAN
projet fin d'étude IWANprojet fin d'étude IWAN
projet fin d'étude IWAN
 
Mise en place d'une solution VOIP sécurisée
Mise en place d'une solution VOIP sécuriséeMise en place d'une solution VOIP sécurisée
Mise en place d'une solution VOIP sécurisée
 
Rapport de stage nagios
Rapport de stage nagiosRapport de stage nagios
Rapport de stage nagios
 
elk
elkelk
elk
 
Mini projet Zabbix
Mini projet ZabbixMini projet Zabbix
Mini projet Zabbix
 
Presentation de nagios mohamed bouhamed
Presentation de nagios mohamed bouhamedPresentation de nagios mohamed bouhamed
Presentation de nagios mohamed bouhamed
 
Projet administration-sécurité-réseaux
Projet administration-sécurité-réseauxProjet administration-sécurité-réseaux
Projet administration-sécurité-réseaux
 
Nagios
NagiosNagios
Nagios
 
ETUDES ET DÉPLOIEMENT DUNE SOLUTION VOIP BASÉE SUR ASTERISK
ETUDES ET DÉPLOIEMENT DUNE SOLUTION VOIP BASÉE SUR ASTERISKETUDES ET DÉPLOIEMENT DUNE SOLUTION VOIP BASÉE SUR ASTERISK
ETUDES ET DÉPLOIEMENT DUNE SOLUTION VOIP BASÉE SUR ASTERISK
 
Rapport projet pfe
Rapport projet pfeRapport projet pfe
Rapport projet pfe
 
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
 
Rapport PFE
Rapport PFERapport PFE
Rapport PFE
 
ETUDE ET MISE EN PLACE D'UNE SOLUTION DE CLOUD COMPUTING PRIVÉ BASÉE SUR UN ...
ETUDE ET MISE EN PLACE D'UNE SOLUTION DE CLOUD COMPUTING PRIVÉ BASÉE SUR UN ...ETUDE ET MISE EN PLACE D'UNE SOLUTION DE CLOUD COMPUTING PRIVÉ BASÉE SUR UN ...
ETUDE ET MISE EN PLACE D'UNE SOLUTION DE CLOUD COMPUTING PRIVÉ BASÉE SUR UN ...
 
Serveur Zabbix
Serveur ZabbixServeur Zabbix
Serveur Zabbix
 

Ähnlich wie Mise en place d'une solution du supérvision réseau

Baromètre des connexions Internet fixes dans les départements d’outre-mer ...
Baromètre des connexions Internet fixes dans les départements d’outre-mer ... Baromètre des connexions Internet fixes dans les départements d’outre-mer ...
Baromètre des connexions Internet fixes dans les départements d’outre-mer ...MediaphoreRedac
 
Livre blanc de J2ME
Livre blanc de J2MELivre blanc de J2ME
Livre blanc de J2MEBruno Delb
 
Rg total co p f_mars2012_sans changements visibles-f
Rg total co p f_mars2012_sans changements visibles-fRg total co p f_mars2012_sans changements visibles-f
Rg total co p f_mars2012_sans changements visibles-fcreapik
 
Crown tsp6000 series turret order picker service repair manual
Crown tsp6000 series turret order picker service repair manualCrown tsp6000 series turret order picker service repair manual
Crown tsp6000 series turret order picker service repair manualjfksekmmdme
 
Crown tsp6000 series turret order picker service repair manual
Crown tsp6000 series turret order picker service repair manualCrown tsp6000 series turret order picker service repair manual
Crown tsp6000 series turret order picker service repair manualudjdkdkdmm
 
Crown tsp6000 series turret order picker service repair manual
Crown tsp6000 series turret order picker service repair manualCrown tsp6000 series turret order picker service repair manual
Crown tsp6000 series turret order picker service repair manualfhhsjdkmem
 
Mode d'emploi bouilloire électrique cuisinart cpk18e notice
Mode d'emploi bouilloire électrique cuisinart cpk18e noticeMode d'emploi bouilloire électrique cuisinart cpk18e notice
Mode d'emploi bouilloire électrique cuisinart cpk18e noticehabiague
 
Rapport Scoran (février 2014)
Rapport Scoran (février 2014)Rapport Scoran (février 2014)
Rapport Scoran (février 2014)Silicon Comté
 
devoir de contrôle N°2
devoir de contrôle N°2devoir de contrôle N°2
devoir de contrôle N°2Hichem Kemali
 
Access97fr exercice
Access97fr exerciceAccess97fr exercice
Access97fr exercicehassan1488
 
Reseaux sans fil dans les pays en developpement
Reseaux sans fil dans les pays en developpementReseaux sans fil dans les pays en developpement
Reseaux sans fil dans les pays en developpementmimanou
 
Manuel du module additionnel RF-LAMINATE pour RFEM
Manuel du module additionnel RF-LAMINATE pour RFEMManuel du module additionnel RF-LAMINATE pour RFEM
Manuel du module additionnel RF-LAMINATE pour RFEMGrégoire Dupont
 

Ähnlich wie Mise en place d'une solution du supérvision réseau (20)

rapportDigital-TV
rapportDigital-TVrapportDigital-TV
rapportDigital-TV
 
Bureautique
BureautiqueBureautique
Bureautique
 
Deviens un Ninja avec Angular2
Deviens un Ninja avec Angular2Deviens un Ninja avec Angular2
Deviens un Ninja avec Angular2
 
Baromètre des connexions Internet fixes dans les départements d’outre-mer ...
Baromètre des connexions Internet fixes dans les départements d’outre-mer ... Baromètre des connexions Internet fixes dans les départements d’outre-mer ...
Baromètre des connexions Internet fixes dans les départements d’outre-mer ...
 
Livre blanc de J2ME
Livre blanc de J2MELivre blanc de J2ME
Livre blanc de J2ME
 
Rapport pfev7
Rapport pfev7Rapport pfev7
Rapport pfev7
 
Rg total co p f_mars2012_sans changements visibles-f
Rg total co p f_mars2012_sans changements visibles-fRg total co p f_mars2012_sans changements visibles-f
Rg total co p f_mars2012_sans changements visibles-f
 
Crown tsp6000 series turret order picker service repair manual
Crown tsp6000 series turret order picker service repair manualCrown tsp6000 series turret order picker service repair manual
Crown tsp6000 series turret order picker service repair manual
 
Crown tsp6000 series turret order picker service repair manual
Crown tsp6000 series turret order picker service repair manualCrown tsp6000 series turret order picker service repair manual
Crown tsp6000 series turret order picker service repair manual
 
Crown tsp6000 series turret order picker service repair manual
Crown tsp6000 series turret order picker service repair manualCrown tsp6000 series turret order picker service repair manual
Crown tsp6000 series turret order picker service repair manual
 
Mode d'emploi bouilloire électrique cuisinart cpk18e notice
Mode d'emploi bouilloire électrique cuisinart cpk18e noticeMode d'emploi bouilloire électrique cuisinart cpk18e notice
Mode d'emploi bouilloire électrique cuisinart cpk18e notice
 
Administration joomla2 5
Administration joomla2 5Administration joomla2 5
Administration joomla2 5
 
Rapport Scoran (février 2014)
Rapport Scoran (février 2014)Rapport Scoran (février 2014)
Rapport Scoran (février 2014)
 
9000230712
90002307129000230712
9000230712
 
devoir de contrôle N°2
devoir de contrôle N°2devoir de contrôle N°2
devoir de contrôle N°2
 
Access97fr exercice
Access97fr exerciceAccess97fr exercice
Access97fr exercice
 
Manuel 3
Manuel 3Manuel 3
Manuel 3
 
Manuel 3
Manuel 3Manuel 3
Manuel 3
 
Reseaux sans fil dans les pays en developpement
Reseaux sans fil dans les pays en developpementReseaux sans fil dans les pays en developpement
Reseaux sans fil dans les pays en developpement
 
Manuel du module additionnel RF-LAMINATE pour RFEM
Manuel du module additionnel RF-LAMINATE pour RFEMManuel du module additionnel RF-LAMINATE pour RFEM
Manuel du module additionnel RF-LAMINATE pour RFEM
 

Kürzlich hochgeladen

La nouvelle femme . pptx Film français
La nouvelle femme . pptx Film françaisLa nouvelle femme . pptx Film français
La nouvelle femme . pptx Film françaisTxaruka
 
Formation M2i - Intelligence Artificielle Comment booster votre productivité ...
Formation M2i - Intelligence Artificielle Comment booster votre productivité ...Formation M2i - Intelligence Artificielle Comment booster votre productivité ...
Formation M2i - Intelligence Artificielle Comment booster votre productivité ...M2i Formation
 
MaintenanceLa Maintenance Corrective.ppt
MaintenanceLa Maintenance Corrective.pptMaintenanceLa Maintenance Corrective.ppt
MaintenanceLa Maintenance Corrective.pptssusercbaa22
 
COURS SVT 3 EME ANNEE COLLEGE 2EME SEM.pdf
COURS SVT 3 EME ANNEE COLLEGE 2EME SEM.pdfCOURS SVT 3 EME ANNEE COLLEGE 2EME SEM.pdf
COURS SVT 3 EME ANNEE COLLEGE 2EME SEM.pdfabatanebureau
 
Bolero. pptx . Film de A nnne Fontaine
Bolero. pptx . Film de A nnne FontaineBolero. pptx . Film de A nnne Fontaine
Bolero. pptx . Film de A nnne FontaineTxaruka
 
Mécanique Automobile LE TURBOCOMPRESSEUR.ppt
Mécanique Automobile LE TURBOCOMPRESSEUR.pptMécanique Automobile LE TURBOCOMPRESSEUR.ppt
Mécanique Automobile LE TURBOCOMPRESSEUR.pptssusercbaa22
 
Boléro. pptx Film français réalisé par une femme.
Boléro. pptx Film français réalisé par une femme.Boléro. pptx Film français réalisé par une femme.
Boléro. pptx Film français réalisé par une femme.Txaruka
 
SUPPORT DE SUR COURS_GOUVERNANCE_SI_M2.pptx
SUPPORT DE SUR COURS_GOUVERNANCE_SI_M2.pptxSUPPORT DE SUR COURS_GOUVERNANCE_SI_M2.pptx
SUPPORT DE SUR COURS_GOUVERNANCE_SI_M2.pptxssuserbd075f
 
Sidonie au Japon . pptx Un film français
Sidonie au Japon . pptx Un film françaisSidonie au Japon . pptx Un film français
Sidonie au Japon . pptx Un film françaisTxaruka
 
Approche-des-risques-par-l’analyse-des-accidents-1.pptx
Approche-des-risques-par-l’analyse-des-accidents-1.pptxApproche-des-risques-par-l’analyse-des-accidents-1.pptx
Approche-des-risques-par-l’analyse-des-accidents-1.pptxssusercbaa22
 
666148532-Formation-Habilitation-ELECTRIQUE-ENTREPRISE-MARS-2017.pptx
666148532-Formation-Habilitation-ELECTRIQUE-ENTREPRISE-MARS-2017.pptx666148532-Formation-Habilitation-ELECTRIQUE-ENTREPRISE-MARS-2017.pptx
666148532-Formation-Habilitation-ELECTRIQUE-ENTREPRISE-MARS-2017.pptxSAID MASHATE
 
Cours ofppt du Trade-Marketing-Présentation.pdf
Cours ofppt du Trade-Marketing-Présentation.pdfCours ofppt du Trade-Marketing-Présentation.pdf
Cours ofppt du Trade-Marketing-Présentation.pdfachrafbrahimi1
 
presentation l'interactionnisme symbolique finale.pptx
presentation l'interactionnisme symbolique finale.pptxpresentation l'interactionnisme symbolique finale.pptx
presentation l'interactionnisme symbolique finale.pptxMalikaIdseaid1
 
A3iFormations, organisme de formations certifié qualiopi.
A3iFormations, organisme de formations certifié qualiopi.A3iFormations, organisme de formations certifié qualiopi.
A3iFormations, organisme de formations certifié qualiopi.Franck Apolis
 
gestion des conflits dans les entreprises
gestion des conflits dans les entreprisesgestion des conflits dans les entreprises
gestion des conflits dans les entreprisesMajdaKtiri2
 

Kürzlich hochgeladen (16)

La nouvelle femme . pptx Film français
La nouvelle femme . pptx Film françaisLa nouvelle femme . pptx Film français
La nouvelle femme . pptx Film français
 
Formation M2i - Intelligence Artificielle Comment booster votre productivité ...
Formation M2i - Intelligence Artificielle Comment booster votre productivité ...Formation M2i - Intelligence Artificielle Comment booster votre productivité ...
Formation M2i - Intelligence Artificielle Comment booster votre productivité ...
 
MaintenanceLa Maintenance Corrective.ppt
MaintenanceLa Maintenance Corrective.pptMaintenanceLa Maintenance Corrective.ppt
MaintenanceLa Maintenance Corrective.ppt
 
COURS SVT 3 EME ANNEE COLLEGE 2EME SEM.pdf
COURS SVT 3 EME ANNEE COLLEGE 2EME SEM.pdfCOURS SVT 3 EME ANNEE COLLEGE 2EME SEM.pdf
COURS SVT 3 EME ANNEE COLLEGE 2EME SEM.pdf
 
Bolero. pptx . Film de A nnne Fontaine
Bolero. pptx . Film de A nnne FontaineBolero. pptx . Film de A nnne Fontaine
Bolero. pptx . Film de A nnne Fontaine
 
Mécanique Automobile LE TURBOCOMPRESSEUR.ppt
Mécanique Automobile LE TURBOCOMPRESSEUR.pptMécanique Automobile LE TURBOCOMPRESSEUR.ppt
Mécanique Automobile LE TURBOCOMPRESSEUR.ppt
 
Boléro. pptx Film français réalisé par une femme.
Boléro. pptx Film français réalisé par une femme.Boléro. pptx Film français réalisé par une femme.
Boléro. pptx Film français réalisé par une femme.
 
SUPPORT DE SUR COURS_GOUVERNANCE_SI_M2.pptx
SUPPORT DE SUR COURS_GOUVERNANCE_SI_M2.pptxSUPPORT DE SUR COURS_GOUVERNANCE_SI_M2.pptx
SUPPORT DE SUR COURS_GOUVERNANCE_SI_M2.pptx
 
Sidonie au Japon . pptx Un film français
Sidonie au Japon . pptx Un film françaisSidonie au Japon . pptx Un film français
Sidonie au Japon . pptx Un film français
 
Evaluación Alumnos de Ecole Victor Hugo
Evaluación Alumnos de Ecole Victor HugoEvaluación Alumnos de Ecole Victor Hugo
Evaluación Alumnos de Ecole Victor Hugo
 
Approche-des-risques-par-l’analyse-des-accidents-1.pptx
Approche-des-risques-par-l’analyse-des-accidents-1.pptxApproche-des-risques-par-l’analyse-des-accidents-1.pptx
Approche-des-risques-par-l’analyse-des-accidents-1.pptx
 
666148532-Formation-Habilitation-ELECTRIQUE-ENTREPRISE-MARS-2017.pptx
666148532-Formation-Habilitation-ELECTRIQUE-ENTREPRISE-MARS-2017.pptx666148532-Formation-Habilitation-ELECTRIQUE-ENTREPRISE-MARS-2017.pptx
666148532-Formation-Habilitation-ELECTRIQUE-ENTREPRISE-MARS-2017.pptx
 
Cours ofppt du Trade-Marketing-Présentation.pdf
Cours ofppt du Trade-Marketing-Présentation.pdfCours ofppt du Trade-Marketing-Présentation.pdf
Cours ofppt du Trade-Marketing-Présentation.pdf
 
presentation l'interactionnisme symbolique finale.pptx
presentation l'interactionnisme symbolique finale.pptxpresentation l'interactionnisme symbolique finale.pptx
presentation l'interactionnisme symbolique finale.pptx
 
A3iFormations, organisme de formations certifié qualiopi.
A3iFormations, organisme de formations certifié qualiopi.A3iFormations, organisme de formations certifié qualiopi.
A3iFormations, organisme de formations certifié qualiopi.
 
gestion des conflits dans les entreprises
gestion des conflits dans les entreprisesgestion des conflits dans les entreprises
gestion des conflits dans les entreprises
 

Mise en place d'une solution du supérvision réseau

  • 1. Mise en place d’une solution du supervision réseau Réalisée par : Boumaiza Rabeb Année universitaire 2015-2016
  • 2. Table de matière Liste des figures................................................................................................................................... 5 Liste de tableaux.................................................................................................................................. 6 Introduction générale............................................................................................................................... 7 Chapitre 1 Présentation Générale.......................................................................................... 9 I. Présentation de l'entreprise...................................................................................................... 9 1. Introduction ............................................................................................................................... 9 2. Description de la TRANSTU.................................................................................................... 9 3. Carte d'identité de la TRANSTU............................................................................................. 9 4. Historique de la société ........................................................................................................... 10 5. Présentation du département informatique.......................................................................... 10 6. Organigramme du département système d'information...................................................... 10 II. Présentation du projet......................................................................................................... 10 1. Architecture de la société........................................................................................................ 10 2. Étude de l'existant ................................................................................................................... 11 a. Connectivité ............................................................................................................................. 11 b. Les serveurs installés dans la société ..................................................................................... 11 3. Importance du projet .............................................................................................................. 12 4. Objectifs ................................................................................................................................... 13 5. Conclusion................................................................................................................................ 13 Chapitre 2 Etat de l'art ............................................................................................. 13 I. Introduction ............................................................................................................................. 13 II. La notion de base de la sécurité.......................................................................................... 14 1. Définition.................................................................................................................................. 14 2. Les services de la sécurité ....................................................................................................... 14 III. Les outils de la sécurité ....................................................................................................... 14 1. Pare feu..................................................................................................................................... 14 a. Définition.................................................................................................................................. 14 b. Fonctionnement d’un système pare-feu................................................................................ 14 c. Types......................................................................................................................................... 15 c.1 Pare-feu matériel ....................................................................................................................... 15 Avantages.......................................................................................................................................... 15 Inconvénients..................................................................................................................................... 15 c.2 Pare-feu logiciel.......................................................................................................................... 15 Avantages.......................................................................................................................................... 15 Inconvénients..................................................................................................................................... 15
  • 3. d. Les différents catégories du pare-feu..................................................................................... 15 d.1 Pare-feu sans état (Stateless Firewall)..................................................................................... 15 d.2 Pare-feu avec état (Statefull Firewall)..................................................................................... 15 d.3 Pare-feu applicatif (Proxy) ....................................................................................................... 15 d.4 Pare-feu authentifiant............................................................................................................... 15 d.5 Pare-feu personnel .................................................................................................................... 16 e. Outils éditeurs.......................................................................................................................... 16 e.1 ZoneAlarm Pro Firewall........................................................................................................... 16 e.2 Comodo Internet Security Pro ................................................................................................. 16 f. Outils libres.............................................................................................................................. 16 f.1 Pfsense......................................................................................................................................... 16 Avantages.......................................................................................................................................... 17 f.2 SmoothWall Express.................................................................................................................. 17 f.3 Endian Firewall Community..................................................................................................... 17 g. Etudes comparatives ............................................................................................................... 17 Conclusion........................................................................................................................................ 18 2. IDS : Système de détection d’intrusion ................................................................................. 18 a. Types......................................................................................................................................... 19 N-IDS: Network Based Intrusion Detection System .................................................................... 19 Avantages.......................................................................................................................................... 19 Inconvénients..................................................................................................................................... 19 H-IDS: Host Based Intrusion Detection System........................................................................... 19 Avantages.......................................................................................................................................... 19 Inconvénients..................................................................................................................................... 19 IDS hybrides .................................................................................................................................... 19 Avantages.......................................................................................................................................... 19 3. IPS : Intrusion Prevention System......................................................................................... 19 Avantages.......................................................................................................................................... 19 Inconvénients..................................................................................................................................... 20 4. Pot de miel (HoneyPots).......................................................................................................... 20 Fonctionnalités .................................................................................................................................. 20 5. Scanner de Vulnérabilité ........................................................................................................ 20 a. Outils payants .......................................................................................................................... 20 a.1 Nessus ......................................................................................................................................... 20 6. Les offres proposées ................................................................................................................ 20 a. Outils éditeurs.......................................................................................................................... 20
  • 4. a.1 AlienVault USM ........................................................................................................................ 20 Fonctionnalités .................................................................................................................................. 21 Avantages.......................................................................................................................................... 21 a.2 Alert Logic Threat Manager .................................................................................................... 21 b. Outils libres.............................................................................................................................. 21 b.1 Snort........................................................................................................................................... 21 Avantages.......................................................................................................................................... 21 Inconvénients.................................................................................................................................... 22 Positionnement de Snort................................................................................................................. 22 b.2 Bro .............................................................................................................................................. 23 Avantages.......................................................................................................................................... 23 Inconvénients.................................................................................................................................... 23 b.3 Prelude ....................................................................................................................................... 23 Avantages.......................................................................................................................................... 23 b.4 OSSEC........................................................................................................................................ 23 b.5 Samhain...................................................................................................................................... 24 b. Étude comparative .................................................................................................................. 24 c. Conclusion................................................................................................................................ 25 IV. Outils d’analyse et de détection.......................................................................................... 25 1. Nmap......................................................................................................................................... 25 2. Tcpdump .................................................................................................................................. 25 3. Netstat....................................................................................................................................... 25 4. TraceRoute............................................................................................................................... 25 5. Netflow...................................................................................................................................... 25 6. Wireshark................................................................................................................................. 26 V. La supervision.......................................................................................................................... 26 1. Définition.................................................................................................................................. 26 2. Objectifs ................................................................................................................................... 26 3. Outils de supervisions existantes............................................................................................ 26 a. Offres éditeurs ......................................................................................................................... 26 a.1 IBM Trivoli Monitoring............................................................................................................ 26 a.2 HP OpenView ............................................................................................................................ 27 b. Offres libres.............................................................................................................................. 28 b.1 Cacti............................................................................................................................................ 28 b.2 Zabbix ........................................................................................................................................ 29 b.3 Nagios......................................................................................................................................... 30
  • 5. 4. Etude comparatives des outils................................................................................................ 32 Conclusion........................................................................................................................................ 33 Chapitre 3 Réalisation............................................................................................................. 34 I. Introduction ............................................................................................................................. 34 II. Environnement logiciel utilisées......................................................................................... 34 III. Mise en place de la solution ................................................................................................ 34 1. Mise en place du Snort............................................................................................................ 34 a. Test de Snort............................................................................................................................ 34 2. Mise en place de OSSEC......................................................................................................... 36 3. Mise en place de nagios........................................................................................................... 36 Conclusion........................................................................................................................................ 36 Conclusion Générale ....................................................................................................................... 37 Annexe A .......................................................................................................................................... 38 I. Installation des dépendances .................................................................................................. 38 II. Installation ........................................................................................................................... 38 1. Installation Snort..................................................................................................................... 38 2. Configuration Snort ................................................................................................................ 40 Annexe B .......................................................................................................................................... 42 I. Prérequis .................................................................................................................................. 42 1. Installation ossec en local........................................................................................................ 42 II. Configuration OSSEC......................................................................................................... 42 2. Installation Ossec MODE Client/serveur.............................................................................. 44 Annexe C .......................................................................................................................................... 46 I. Prérequis .................................................................................................................................. 46 II. Installation serveur Nagios................................................................................................. 47 Bibliographie.................................................................................................................................... 50 Liste des figures
  • 6. Figure 1: Logo de la Transtu...................................................................................................... 9 Figure 2 : Organigramme du département système d'information........................................... 10 Figure 3 : Architecture WAN de la société.............................................................................. 11 Figure 4 : Positionnement IDS dans un réseau ....................................................................... 22 Figure 5 : Interface graphique de IBM Trivoli Monitoring ..................................................... 27 Figure 6 : Interface graphique de HP OpenView..................................................................... 28 Figure 7 : Interface graphique de Cacti.................................................................................... 29 Figure 9 : Interface graphique de Nagios ................................................................................. 31 Figure 10 : Centralisation d’information par Nagios ............................................................... 32 Figure 11 : Lancement capture de Traffic de Snort ................................................................ 34 Figure 12 : Capture ICMP........................................................................................................ 35 Figure 13 : Capture Ping .......................................................................................................... 35 Figure 14 : Capture analyse avec Snort.................................................................................... 35 Figure 15 : Capture Ping .......................................................................................................... 35 Figure 16 : Capture téléchargement d’un PDF......................................................................... 35 Figure 17 : lancement service OSSEC ..................................................................................... 36 Figure 18 : erreur dans « make ».............................................................................................. 39 Figure 19 : fichier des règles de Snort...................................................................................... 41 Figure 20 : installation OSSEC................................................................................................ 42 Figure 21 : Type d’installation................................................................................................. 42 Figure 22 : Configuration OSSEC ........................................................................................... 43 Figure 23 : Paramétrage OSSEC.............................................................................................. 43 Figure 24 : Procédure d’installation......................................................................................... 43 Figure 25 : Installation réussite ................................................................................................ 44 Figure 26 : Type d’installation serveur .................................................................................... 44 Figure 27 : Type d’installation agent ....................................................................................... 44 Figure 28 : Configuration adresse serveur ............................................................................... 44 Figure 29 : Ajouter un agent .................................................................................................... 45 Figure 30 : Extraction clé authentification d’agent.................................................................. 45 Figure 31 : Lancement du serveur apache................................................................................ 46 Figure 32 : Interface Web Apache ........................................................................................... 46 Figure 33 : Ajout des users et groupes ..................................................................................... 46 Figure 34 : Installation Nagios................................................................................................. 47 Figure 35 : Configuration mot de passe interface Nagios........................................................ 47 Figure 36 : Test configuration.................................................................................................. 48 Figure 37 : Lancement serveur Nagios..................................................................................... 48 Figure 38 : Test Serveur Nagios............................................................................................... 48 Figure 39 : Configuration NSClient++..................................................................................... 49 Figure 40 : Autoriser service NSClient++................................................................................ 49 Figure 41 : Supervision avec NAGIOS.................................................................................... 49 Liste de tableaux
  • 7. Tableau 1 : Comparaisons des outils........................................................................................ 18 Tableau 2 : Comparaison outils IDS/IPS ................................................................................. 25 Tableau 3 : Tableau comparative des outils de supervisions libre........................................... 32 Tableau 4: Caractéristique technique du serveur Lenovo ........................................................ 34 Introduction générale
  • 8. Actuellement toutes les entreprises sont équipées d'un réseau local au minimum, et de réseaux de longues distances pour les plus importantes d'entre elles. Leurs parcs informatiques englobent une dizaine voir une centaine d'équipements, engendrés par des serveurs de bases de données et des serveurs de traitements. Vu que ces systèmes informatiques sont au cœur des activités des entreprises, leur maitrise devient primordiale. Ils doivent fonctionner pleinement et en permanence pour garantir la fiabilité et l'efficacité exigées, et surtout travailler à réduire les problèmes de défaillances, les pannes, les coupures et les différents problèmes techniques qui peuvent causer des pertes considérables. De ce fait, les administrateurs réseau font appel à des logiciels de surveillance et de supervision de réseaux afin de vérifier l'état du réseau en temps réel de l'ensemble du parc informatique sous leur responsabilité. Et être aussi informés automatiquement (par email, par SMS) en cas de problèmes. Grâce à un tel système, les délais d'interventions sont fortement réduits et les anomalies peuvent être aussitôt prises en main avant même qu'un utilisateur peut s'en apercevoir. Dans ce cadre, notre projet consiste à la mise en place d'une solution de supervision de la sécurité réseau, qui s'est déroulé dans la société du Transports du Tunis(TRANSTU).Il est axé principalement sur les trois chapitres suivants: Le premier chapitre est une présentation générale de la société et de sa composition, puis nous nous concentrons sur le cadre contextuel de ce stage. Le deuxième chapitre est une présentation de concepts de base de la sécurité informatique, les services offerts, ainsi que l'importance du choix de la solution de la supervision adéquate pour la société. Dans le troisième chapitre, nous allons présenter les étapes nécessaires pour la mise en place de notre solution choisie, ainsi que les tests effectués au cours de la supervision.
  • 9. Chapitre 1 Présentation Générale I. Présentation de l'entreprise 1. Introduction Au sein de ce premier chapitre, nous allons présenter la société de transports du Tunis (TRANSTU), ainsi une vue un peu détaillé sur sa structure générale et son domaine d'activité. 2. Description de la TRANSTU La Société des Transports de Tunis STT est une entreprise publique chargée d’assurer le transport public en commun des personnes à Tunis et ses banlieues sur les réseaux d'autobus et du métro léger à Tunis ainsi que l'exploitation de la ligne ferroviaire TGM. La STT est l'une des plus grandes sociétés Tunisiennes car elle réalise un chiffre d’affaire de quelques millions de dinars et contribue largement au développement économique et social du pays. 3. Carte d'identité de la TRANSTU Figure 1: Logo de la Transtu Raison sociale : Société de Transports du Tunis. Objet : Assurer le transport collectif des voyageurs dans la région du grand Tunis à travers les réseaux bus et métro ainsi que la ligne ferroviaire de la banlieue Nord (TGM) Adresse : 33 Avenue du Japon Montplaisir 1073 Tunis Siege Sociale : Montplaisir Tunis Téléphone : 71 904 894 / 71 904 889 / 71 904 932 Fax : 71 904 883 Email: brc@transtu.tn
  • 10. 4. Historique de la société La STT a été créé par la loi 2003-33 du 28/04/2003 en 2003 suite à la fusion de deux entreprises qui s’occupaient du transport des voyageurs  La Société Nationale des Transports (SNT)  La Société du Métro Léger de Tunis (SMLT) 5. Présentation du département informatique Le département système d'information, veille à développer le système d’information de la société et à optimiser le temps de réponse de ce dernier. Ce département, comme indique la figure ci-dessus, est composé de deux directions :  La direction informatique : elle supervise le développement des logiciels et des outils de traitement de l’information avec la qualité et la sécurité requise en matière de logiciels et de données.  La direction d’organisation : elle assure le développement du système d’information. 6. Organigramme du département système d'information Figure 2 : Organigramme du département système d'information II. Présentation du projet 1. Architecture de la société
  • 11. Notre société dispose d'un site principal situé au niveau de jean Jaurès liée par le site de backup situé au niveau de Montplaisir. Les autres sites sont liés généralement par l'une de deux sites mentionnés ci-dessus. La figure ci-dessous illustre l'architecture réseau de la société. Figure 3 : Architecture WAN de la société 2. Étude de l'existant a. Connectivité - Sites raccordés en liaison Frame Relay : C'est un protocole utilisé par les fournisseurs d’accès pour transmettre des signaux-vocaux et numériques entre réseaux locaux par l’intermédiaire d’un réseau étendu. Il est utilisé globalement sur tous les sites liés avec le site de la société. L'accès en frame Relay dont le débit est fixe à 256 kb.  Site principale : jean Jaurès.  Site de backup : Montplaisir. - Sites raccordés en liaison spécialisées : C’est une ligne spécialisée permet de raccorder les sites de la société avec CNI insaf qui présente le centre national d’information. b. Les serveurs installés dans la société Au sein de la Transtu, il existe un certain nombre de serveur :  Serveurs Central de type AS/400 : c’est un système propriétaire d’IBM ayant le système d’exploitation OS/400.  Serveur Active Directory : Son objectif principal est de fournir des services centralisés d'identification et d'authentification à un réseau d'ordinateurs utilisant le système Windows Server 2008 dans chaque site.
  • 12.  Serveur Web (apache) : c’est un logiciel permettant à des clients d'accéder à des pages web, c'est-à-dire en réalité des fichiers au format HTML à partir d'un navigateur installé sur leur ordinateur distant. il gère les applications développées en interne.  Serveur GRH : c’est une interface entre la gestion des ressources humaines (GRH) et les technologies de l'information et de la communication(TIC). Il combine la GRH, et en particulier ses activités basiques et administratives gestion administrative), avec des moyens mis à disposition par les TIC.  Serveur Antivirus Kaspersky : Son objectif principal est de détecter en premier temps les virus présents dans le réseau de la société et de les éradiquer en deuxième temps pour les empêcher de se nuire.  Serveur Proxy Squid/Firewall : c’est un serveur mandataire performant, capable d’utiliser les protocoles FTP, HTTP, Gopher et HTTPS. Contrairement au serveur proxy classique, il gère toutes les requêtes en un seul processus d'entrée/sortie, non bloquant. Il est préinstallé sous le système linux CentOS dans chaque site.  Serveur de messagerie et de partage : il a pour vocation le transfert de message électronique ainsi que le partage des fichiers entre tous les postes de l’entreprise. il est installé avec le système Fedora 12.  Serveur Intranet (Zimbra) : Zimbra est une solution de classe entreprise email, calendrier et de collaboration intégrée pour le cloud, à la fois public et privé. Avec une interface basée sur un navigateur redessiné, Zimbra offre l'expérience de messagerie le plus innovant disponible aujourd'hui, la connexion des utilisateurs finaux de l'information et de l'activité dans leurs nuages personnels.  Solution de supervision et surveillance réseau : c’est une solution de contrôle et de gestion du réseau au sein de l’entreprise. elle permet de vérifier l'état du réseau en temps réel de l'ensemble du parc informatique sous leur responsabilité (ex : nagios, centreon).  Plateforme de sauvegarde : (serveurs de production, baie de disque, robot de sauvegarde). 3. Importance du projet Dans le domaine de la sécurité informatique, une vulnérabilité ou faille est une faiblesse dans un système informatique, donc la mise en place d’une solution de sécurité est un but primordial pour chaque entreprise. Cette solution permet d’assurer une protection contre les attaques et les intrusions qui peuvent contribuer à endommager un système informatique. D’une autre partie, un administrateur doit avoir la possibilité de contrôler et de gérer le fonctionnement du réseau, ainsi de réagir le plus rapidement possible face aux pannes qui peuvent intervenir. Pour cela, la mise en place d’une solution de supervision et détection du réseau est le but de notre projet.
  • 13. 4. Objectifs Nos objectifs principaux sont : - Installation d’un logiciel de détection des intrusions (IDS/IPS). - Installation d’un logiciel de la supervision du système et du réseau pour faciliter les taches de contrôle. - L’utilisation des produits open source. 5. Conclusion Dans ce chapitre, nous présentons l’architecture de base da la société du Transports de Tunis et son domaine d’activité. Nous prendrons une vue globale sur l’existant dans l'entreprise en termes de matériels et logiciels. Finalement, nous spécifions l’importance de notre projet ainsi que les objectifs à réaliser. Chapitre 2 Etat de l'art I. Introduction Dans ce présent chapitre, nous allons définir les notions de base de la sécurité. Ensuite, nous allons présenter une étude comparative sur l’ensemble des outils de sécurité plus précisément les pare-feu, les systèmes d’intrusions. Enfin nous allons montrer le choix de l’outil convenable à mettre en place.
  • 14. II. La notion de base de la sécurité 1. Définition La sécurité informatique, d’une manière générale, consiste à assurer que les ressources matérielles ou logicielles d’une organisation sont uniquement utilisées dans le cadre prévu. La sécurité informatique vise généralement à garantir cinq services principaux : 2. Les services de la sécurité - Intégrité : garantir que les données sont bien celles que l’on croit être, c’est à dire consiste à déterminer si les données n’ont pas été altérées durant la communication. - Authentification : garantir que les personnes autorisées ont accès aux informations et aux avoirs associés en temps voulu. - Disponibilité : c’est la possibilité de pouvoir obtenir l’information recherchée au moment où elle est nécessaire. garantie de continuité de service et de performances des applications du matériel et de l’environnement organisationnel. - Confidentialité : assurer que des informations demeurent accessibles qu’aux personnes autorisées. - Non répudiation : Aucun utilisateur ne doit pouvoir contester les opérations qu'il a réalisées dans le cadre de ses actions autorisées, et aucun tiers ne doit pouvoir s'attribuer les actions d'un autre utilisateur. III. Les outils de la sécurité 1. Pare feu a. Définition Un pare-feu est un logiciel, un matériel informatique ou les deux ensembles, il permet principalement de gérer et filtrer le trafic réseau à partir des règles prédéfinies, il existe plusieurs types de pare-feu où le filtrage du trafic diffère de l'un à l'autre. b. Fonctionnement d’un système pare-feu Il a pour principale tâche de contrôler le trafic entre différentes zones de confiance, en filtrant les flux de données qui y transitent. Généralement, les zones de confiance incluent Internet et au moins un réseau interne. Un système pare-feu contient un ensemble de règles prédéfinies permettant :  Autoriser la connexion (allow).  Bloquer la connexion (deny).  Rejeter la demande de connexion sans avertir l'émetteur (drop).
  • 15. c. Types c.1 Pare-feu matériel C'est un dispositif informatique, généralement un routeur, il contrôle et filtre le trafic qui circule dans un réseau Avantages  Efficace sur un réseau comportant un nombre important d'ordinateurs. Inconvénients  Ces pare-feu nécessitent un emplacement physique. c.2 Pare-feu logiciel Installé dans une machine, il gère et filtre le trafic réseau en contrôlant (autoriser ou bloquer) les paquets de données qui circulent à l'aide des règles prédéfinies. Avantages  Ces pare-feu sont virtuels donc pas de matériel ou de câbles. Inconvénients  Un pare-feu logiciel ne peut pas opérer sur plusieurs machines à la fois, l'installation et la configuration d'un pare-feu sur chaque ordinateur est indispensable, cela pose un problème au niveau des réseaux comportant un nombre élevé de machines. d. Les différents catégories du pare-feu d.1 Pare-feu sans état (Stateless Firewall) Ce type de filtrage est considéré comme le plus ancien et surtout le plus basique. Il permet d’analyser chaque paquet indépendamment selon une liste de règles prédéfinies par l’administrateur réseau appelée ACL (Access Control List). d.2 Pare-feu avec état (Statefull Firewall) Ce type de filtrage diffère par rapport au pare-feu sans état par la méthode de vérification des paquets. Il consiste à analyser les paquets en prendre en considération l’existence d’une relation entre celui-ci et les paquets précédentes. d.3 Pare-feu applicatif (Proxy) Le filtrage applicatif permet de filtrer les communications application par application. Le filtrage applicatif suppose donc une bonne connaissance des applications présentes sur le réseau, et notamment de la manière dont elle structure les données échangées (ports, etc.). Ce type de firewall permet alors d'effectuer une analyse beaucoup plus fine des informations qu'ils font transiter. d.4 Pare-feu authentifiant L'administrateur peut ainsi définir les règles de filtrage par utilisateur et non plus par adresse IP ou adresse MAC, et ainsi suivre et contrôler l'activité réseau par utilisateur.
  • 16. d.5 Pare-feu personnel Ce type de pare-feu concerne les ordinateurs et non les réseaux. Donc, un firewall personnel permet de contrôler l'accès au réseau des applications installées sur la machine, et notamment empêcher les attaques du type cheval de Troie, les virus, les logiciels espions ... e. Outils éditeurs e.1 ZoneAlarm Pro Firewall C’est un pare-feu bidirectionnel, protégeant à la fois les flux entrants et sortants de toute intrusion ou activité malveillante. Vous disposerez d'une gestion complète des zones sûres et des zones publiques via des permissions selon plusieurs niveaux de sécurité paramétrables. Il possède les fonctionnalités suivantes : - Restauration des fichiers perdus ou endommagés à partir des versions sauvegardés en ligne de ces fichiers. - Permet de masquer l'identité de l'ordinateur. - Protection des fichiers contre les menaces telles que les virus... - Contrôle des programmes installés et détection des applications malveillantes comme les logiciels espions. - Contrôle et filtrage de connexions entrantes et sortantes de l'ordinateur. - Assurer une navigation sécurisée sur internet en supprimant toute trace laissée (historique, cookies, cache et mots de passe). - 0-hour ce service assure la détection et le blocage des intrusions. e.2 Comodo Internet Security Pro C’est un logiciel créé par Comodo. Il garantit une protection contre les virus et les logiciels malveillants, en se concentrant sur la prévention non seulement la détection. Cette technologie basée sur la prévention de brevet en instance crée un bouclier impénétrable qui identifie les fichiers sûrs, dangereux et douteux. Ses principales fonctionnalités sont : - Pare-feu bidirectionnel : contrôle et filtrage du trafic réseau et protection contre les attaques entrantes et sortantes. - Anti-virus : détection et suppression des virus, logiciels malveillants. - Sandbox : exécution des applications dans un environnement isolé du reste de système. - Mise en quarantaine des fichiers suspects. - Défense + offre un système de prévention d'intrusion pour empêcher tout type de menace. - offre une protection en temps réel contre les virus, chevaux de Troie, Adware, Spyware et autres menaces de logiciels malveillants. f. Outils libres f.1 Pfsense C'est une distribution basée sur FreeBSD, il permet d'ajouter les fonctionnalités d'un pare-feu à n'importe quel pc possédant une simple configuration, nous pouvons le considérer le successeur de M0n0wall puisqu'il est un fork de ce dernier (c'est-à-dire développé à partir du code source de M0n0wall).
  • 17. Les fonctionnalités de pfSense : - Filtrage à état. - p0f ce service permet de filtrer le flux réseau en fonction du système d'exploitation. - pfSense offre un vpn (réseau privé virtuel). - Accès à distance via le protocole ssh. - L'utilisation de pfSense se fait via une interface web. Avantages  Possibilité d'ajout de paquets (plugins) pour ajouter des fonctionnalités supplémentaires au pfSense.  pfSense peut fonctionner comme un IDS et IPS en ajoutant le paquet "Snort". f.2 SmoothWall Express C'est une distribution GNU-Linux basé sur RedHat, comme pfSense il permet d'ajouter les fonctionnalités d'un pare-feu à un ordinateur. Les fonctionnalités de SmoothWall Express : - Le filtrage est de type « avec état». - Il offre un système de détection d'intrusions. - Accès à distance via le protocole SSH. - Suivi du trafic réseau en temps réel. - Configuration via une interface web. - SmoothWall Express offre un vpn (réseau privé virtuel). f.3 Endian Firewall Community Offre un antivirus qui assure la protection contre les attaques et les menaces tel que les virus, les logiciels espions. . . Ses fonctionnalités sont : - Filtrage de type « à état» c'est la principale fonctionnalité d'Endian Firewall Community. - Supervision en temps réel du réseau. - Navigation web sécurisée. - IDS Endian Firewall Community offre un système de détection d'intrusion. - IPS il offre aussi un système de prévention d'intrusion. - L'accès à distance est possible avec le protocole SSH. - Endian Firewall Community offre un réseau privé virtuel (vpn). - Protection des connexions réseaux et filtrage des flux. g. Etudes comparatives Les solutions commerciales étudiées possèdent tous un problème commun vis-à-vis des exigences de l'entreprise, ces solutions sont coûteuses, donc on va les écarter de la liste des choix réalisés précédemment. Le tableau ci-dessous compare les outils étudiés pour tirer l'outil le plus correspondant aux exigences de l'entreprise.
  • 18. Description pfSense SmoothWall Express Endian Firewall Community possibilité d'ajout de plugins    Utilisation via une interface web    Fonctionnalités d'un IDS    Fonctionnalités d'un IPS    Accès à distance via SSH    Fonctionnalités d'un antivirus  Simple exigences matérielles    offre un VPN    Tableau 1 : Comparaisons des outils Conclusion Endian Firewall Community semble être la solution la plus conforme aux exigences de l'entreprise puisqu'il offre un pare-feu performant d'une part, et possède des fonctionnalités d'un antivirus d'autre part, ce qui assure une protection complète du système. 2. IDS : Système de détection d’intrusion Il permet de découvrir et de prévenir toute tentative malveillante d'accès au réseau. Certains termes sont souvent employés quand on parle d'IDS :  Faux positif : une alerte provenant d'un IDS, mais qui ne correspond pas à une attaque réelle.
  • 19.  Faux négatif : une intrusion réelle qui n'a pas été détectée par l'IDS. Il existe trois types d'IDS : N-IDS, H-IDS et les IDS hybrides. a. Types N-IDS: Network Based Intrusion Detection System Il se trouve sur un matériel connecté au réseau et contrôle le trafic réseau en analysant les paquets qui circulent afin de détecter les menaces. Avantages  Contrôler tout le réseau.  Détection en temps réel des intrusions.  Peut gérer un grand réseau. Inconvénients  Détection difficile des intrusions au niveau des réseaux complexes.  L'analyse des paquets cryptés (chiffrés) est impossible. H-IDS: Host Based Intrusion Detection System Il permet de détecter les intrusions au niveau des hôtes, c'est-à-dire il peut surveiller les machines sur lesquelles il est installé. Avantages  Ce type d'IDS peut analyser les paquets cryptés. Inconvénients  Chaque machine nécessite un IDS.  La détection des intrusions en temps réel n'existe pas dans ce type d'IDS.  Le H-IDS provoque des ralentissements au niveau du système puisqu'il utilise beaucoup de ressources.  Ce type d'IDS n'est pas efficace contre les attaques de types DDOS. IDS hybrides Il possède les fonctionnalités de N-IDS et H-IDS en même temps, c'est-à-dire qu'il permet la détection d'intrusion au niveau du tout le système (machines et réseau). Avantages  Surveiller tout le système : réseau et machines.  Meilleure sécurité et protection vis-à-vis des attaques et des menaces puisque chaque élément du système est contrôlé par l'IDS. 3. IPS : Intrusion Prevention System Il est similaire aux IDS, sauf que ce système peut prendre des mesures afin de diminuer les risques d'impact d'une attaque. C'est un IDS qui ajoute des fonctionnalités de blocage pour une anomalie trouvée. Avantages  Attaque bloquée immédiatement.
  • 20. Inconvénients  Les faux-positifs  Peut paralyser le réseau. 4. Pot de miel (HoneyPots) Pot de miel est un projet open source, il permet de déployer des machines virtuelles sur un réseau en utilisant les adresses IP libres et ainsi permet de détecter toute activité frauduleuse sur le réseau. En effet, toute tentative de connexion sur une adresse IP non attribuée peut être considérée comme non autorisée. Le but est aussi bien de détecter des attaques connues que de découvrir de nouvelles attaques. Fonctionnalités - Occuper le pirate - Découvrir de nouvelles attaques - Garder le maximum de traces de l’attaque 5. Scanner de Vulnérabilité Les scanners de vulnérabilités automatisent la découverte des failles de sécurité. Ils sont utilisés par les administrateurs pour : - Localiser les faiblesses du réseau cible. - Corriger les vulnérabilités de leur système informatique a. Outils payants a.1 Nessus Nessus est un outil de sécurité informatique. Il signale les faiblesses potentielles ou avérées sur les machines testées. Ceci inclut, entre autres : - les services vulnérables à des attaques permettant la prise de contrôle de la machine, l'accès à des informations sensibles (lecture de fichiers confidentiels par exemple), des dénis de service... - les fautes de configuration (relais de messagerie ouvert par exemple) - les patchs de sécurité non appliqués, que les failles corrigées soient exploitables ou non dans la configuration testée - les mots de passe par défaut, quelques mots de passe communs, et l'absence de mots de passe sur certains comptes systèmes. - les services jugés faibles (par exemple remplacer Telnet par SSH) 6. Les offres proposées a. Outils éditeurs a.1 AlienVault USM C’est une plate-forme de sécurité unifiée fournissant la détection des menaces, réponse aux incidents, et la gestion de la conformité pour les environnements AWS.
  • 21. C'est une suite d'applications de sécurité : HIDS, NIDS, SIEM..., cette suite offre une protection complète du système : réseau, données.... Fonctionnalités - Protection du système contre les menaces. - IDS réseau permettant de détecter les intrusions au niveau du réseau. - IDS système permettant de détecter les intrusions au niveau du système. - Gestion des problèmes : contrôle du statut du réseau, des alarmes, des alertes. - Détecter chaque modification réalisée sur les données. - SIEM c'est l'abréviation de « Security information and event management », comme son nom l'indique, AlienVault USM permet de détecter les menaces en analysant les données et les activités suspectes au sein du système. Avantages - AlienVault fournit chaque semaine de nouvelles mises à jour. - Multi-utilisateurs : peut être utilisé par plusieurs personnes, l'administrateur peut gérer les droits d'accès de chaque utilisateur. - La personnalisation de rapports fournis est possible. - AlienVault fournit un service d'assistance professionnel. a.2 Alert Logic Threat Manager C'est un IDS performant développé par Alert Logic, il propose plusieurs fonctionnalités telles que : - Détection des vulnérabilités existantes au niveau du réseau. - Service ActiveWatch qui assure une protection contre les menaces et les intrusions. - L'utilisation de Threat Manager se fait via une interface web, cette interface permet de réaliser de tâche d'administration tels que : l'affichage des rapports, la planification des scans... - Les rapports fournis sont détaillés. b. Outils libres b.1 Snort C'est un IDS réseau (NIDS) open source créé en 1998 par Martin Roesch, il permet l'analyse en temps réel du trafic réseau et la détection de plusieurs types d'attaques en se référençant a des règles prédéfinies écrites par Sourcefire ou par la communauté. Il existe 4 modes en Snort : - Mode sniffer : il permet d'analyser le réseau, c'est-à-dire analyser les paquets qui circulent dans le réseau. - Mode Packet logger : il permet d'analyser et enregistrer le trafic réseau. - Mode IDS : il permet de détecter les intrusions. - Mode IPS : il permet la prévention des intrusions et des attaques. Avantages  L'utilisation du Snort n'est pas limitée aux experts de la sécurité puisque la communauté est ouverte pour le partage des règles prédéfinies écrites par les autres participants.
  • 22.  Sourcefire offre régulièrement des nouvelles mises à jour et de nouvelles règles.  Communauté riche en documentation.  Snort offre plusieurs possibilités pour la gestion facile des alertes : affichage sur écran, enregistrement dans un fichier, enregistrement dans une base de données. Inconvénients  Snort génère beaucoup de fausses alertes.  Snort n'est pas efficace contre les attaques de type DOS. Positionnement de Snort Le déploiement d’un IDS n’est pas suffisant pour assurer la sécurité. Ainsi il faut toujours penser aux actions habituelles, notamment l’isolement des systèmes utilisant internet (DMZ), la robustesse de la politique des mots de passe et la gestion des mises à jour applicatives. Pour cela L’emplacement physique de la sonde SNORT sur le réseau a un impact considérable sur son efficacité. Dans le cas d’une architecture classique, composée d’un Firewall et d’une DMZ, trois positions sont généralement envisageables : Figure 4 : Positionnement IDS dans un réseau Position 1 : Tout le trafic entre internet et le réseau interne ou la DMZ est analysé. Par contre le trafic entre le réseau interne et la DMZ est invisible pour l’IDS. De plus mettre un senseur à cette position génère des fichiers de log complets, mais trop complexe à analyser. Position 2 : Seul le trafic entre la DMZ et internet ou le réseau interne est analysé. De plus, placer un senseur à cet emplacement nous permet de détecter les attaques non filtré par le pare-feu et donc minimise le trafic réseau à analyser. Cependant le trafic entre le réseau interne et internet n’est pas visible pour l’IDS. Position 3 : Placer le senseur à cette position nous assure une analyse du trafic sur le réseau interne et la détection des attaques au niveau du réseau interne. Dans notre cas nous allons vous présenter
  • 23. l’installation de Snort sur un réseau local. Ce choix nous est apparu judicieux car la majorité des attaques proviennent de l’intérieur (Troyen, Virus, …etc.). b.2 Bro C'est un IDS réseau open source, il possède son propre langage "Bro Script", il filtre les flux réseau en se référençant à ce script. Avantages  Possibilité de customisation par l'ajout de plugins qui offrent les fonctionnalités suivantes à l'IDS : sniffeur (Analyseurs de paquets), analyseurs de fichiers... Inconvénients  Absence d'interface graphique : utilisation limitée aux experts du Bro et difficile pour les autres utilisateurs.  Fichiers d'alertes peu détaillés.  Peu de documentation. b.3 Prelude C'est un IDS hybride (HIDS et NIDS) open source. C’est un système de détection d'intrusions et d'anomalies distribué sous licence GPL. Ils constituent une véritable révolution dans la détection d'intrusions en étant le premier IDS hybride rendant possible l’administration simple, efficace et centralisée de l’ensemble du dispositif de sécurité quel que soit le nombre de composants, leur marque ou leur licence. Il présente les fonctionnalités suivantes : - IDS Système (HIDS) pour détecter et empêcher les intrusions au niveau du système. - IDS réseau (NIDS) pour détecter et empêcher les intrusions au niveau du réseau. - LML (Log Monitoring Lackey) ce service analyse les événements enregistrés, lorsqu'un événement anormal est détecté il notifie l'administrateur. - Détecter si des modifications ont eu lieu sur les données du système. - Prelude utilise IDMEF (Intrusion Detection Message Exchange Format), c'est un format utilisé par les composants de Prelude pour communiquer entre eux. - PREWIKKA c'est l'interface graphique de Prelude. Les principaux composants de Prelude sont : - Prelude-LML : qui a pour objectif la détection de menaces ou d'attaques. Lorsqu'une activité anormale est détectée une alerte est envoyée au manager. - Prelude-Manager : il reçoit les alertes générées par les sondes. - Prelude-Correlator : il permet d'afficher les alertes. - LibpreludeDB et Libprelude : indispensables pour le fonctionnement de Prelude. Avantages  Architecture modulaire : Prelude est un ensemble de composants liés entre eux.  Protection complète du système : réseau et machines, puisque Prelude présente les fonctionnalités de HIDS et de NIDS en même temps. b.4 OSSEC C'est un IDS système open source, il offre plusieurs services et fonctionnalités tels que : - La détection des attaques et des menaces.
  • 24. - L'analyse de fichiers de logs. - Les réponses actives c'est-à-dire arrêter l'attaque lorsqu'elle est détectée. - Détection des menaces rootkit (un rootkit est un ensemble de méthodes utilisées pour effectuer des intrusions). b.5 Samhain C'est un IDS système (HIDS) open source qui peut fonctionner sous plusieurs systèmes d'exploitation tels que Windows, Linux, il permet principalement d'assurer la détection des modifications qui ont eu lieu au niveau des données du système. Il est très rapide car il est écrit en C et n'utilise aucun script interprété Samhain présente les fonctionnalités suivantes : - Il fonctionner sur plusieurs systèmes d'exploitation (linux, Windows...). - Détection des menaces rootkit. - Surveillance et protection des ports. - La possibilité de planification des analyses du système. - Les notifications peuvent être envoyées par e-mail. - Détecter les modifications subies sur les données. b. Étude comparative L'étude de choix montre qu'il existe plusieurs IDS performants gratuits et payants, les solutions payantes vont être écartées de notre liste de choix puisqu'ils ne sont pas conformes aux exigences de l'entreprise et plus spécifiquement les exigences économiques. Le tableau ci-dessous compare les solutions IDS déjà étudiés dans la partie précédente. Description Snort Bro OSSEC Samhain Prelude Supporte plusieurs systèmes d'exploitation (Windows, Linux)    Linux Possibilité d'ajout de plugins (add-ons)      Utilisation facile    Détection des intrusions en temps réel    Utilisation via une interface web      Fonctionnalités de HIDS et NIDS simultanément 
  • 25. Réponses actives contre les menaces      Alertes par E-mail      Enregistrement des alertes dans une BD      Tableau 2 : Comparaison outils IDS/IPS c. Conclusion Parmi les solutions IDS qu'on a étudiés, Prelude est la solution la plus conforme aux exigences de l'entreprise, il offre les fonctionnalités d'un H-IDS et d'un N-IDS simultanément. Cette fonction assure une protection complète du système (réseau et machines). IV. Outils d’analyse et de détection 1. Nmap C’est un outil open source d’exploration réseau et d’audit de sécurité. Il permet d’identifier les services hébergés et obtenir des informations sur le système d'exploitation d'un ordinateur distant. Ce logiciel est devenu une référence pour les administrateurs réseaux car l'audit des résultats de Nmap fournit des indications sur la sécurité d'un réseau. Il est disponible sous Windows, Mac OS X, Linux. 2. Tcpdump Tcpdump est un « sniffeur de trames réseau », c'est à dire qu'il est capable d'afficher à l'utilisateur toutes les trames réseaux qui passent devant une carte réseau. Et entre autre, les trames réseaux qui ne sont pas destinées à cette machine. 3. Netstat C’est un outil qui va être utilisé du côté du défenseur. Il indique l'état des connexions réseaux en cours en affichant les informations nécessaires, les tables de routage et un certain nombre de statistiques dont ceux des interfaces, sans oublier les connexions masquées, les membres multicast, et enfin, les messages netlink. 4. TraceRoute C’est un programme utilitaire qui permet de suivre les chemins qu'un paquet IP va prendre pour aller de la machine locale à une autre machine connectée au réseau IP. Ce programme est principalement utilisé par les administrateurs réseaux. Il sert le plus souvent à vérifier la qualité des connexions, ou à déterminer les engorgements dans les réseaux. Cependant, elle peut être aussi utilisée pour remonter la trace d'une machine, et trouver l'origine de sa source. 5. Netflow Netflow est un protocole réseau développé par CISCO afin de collecter des informations sur le trafic IP. C’est un protocole propriétaire mais Open Source qui a été conçu pour être supporté par les plateformes autres, comme les routeurs Juniper ou bien FREEBSD et OpenBSD. Netflow actif génèrent des enregistrements netflow.
  • 26. Un analyseur netflow peut alors être utilisé afin d’analyser les paquets netflow et de les interpréter en effectuant des statistiques sur les paquets reçus. 6. Wireshark Wireshark est un analyseur de trafic réseau ou "sniffer" utilisé dans le dépannage et l'analyse de réseaux informatiques, le développement de protocoles, l'éducation et la rétro-ingénierie. Il utilise une interface graphique basée sur GTK+, il est basé sur la bibliothèque libpcap, qui fournit des outils pour capturer les paquets réseau. V. La supervision 1. Définition La supervision est une fonction informatique de suivi utilisée pour améliorer l'exploitation des ressources mis en place à travers l'installation d'un outil sur une machine serveur qui permet d'analyser, de surveiller, de piloter, d'agir et d'alerter les fonctionnements anormaux des systèmes informatiques. Son but est de fournir une vision précise sur des équipements et d'alerter l'administrateur suite à la détection d'un événement indésirable, cette alerte doit se faire avant que le problème n'engendre des répercussions sur la satisfaction des clients et la productivité finale des utilisateurs. 2. Objectifs L’objectif d’une supervision de réseaux peut ainsi se résumer en trois points : - Etre réactif en alertant l’administrateur (e-mail ou sms) en cas de dysfonctionnement d’une partie du système d’information. - Etre pro actif en anticipant les pannes possibles. - Cibler le problème dès son apparition afin d’agir rapidement de la façon la plus pertinente possible. 3. Outils de supervisions existantes a. Offres éditeurs a.1 IBM Trivoli Monitoring La solution IBM Tivoli Monitoring est conçue pour faciliter la gestion des applications critiques en surveillant de façon proactive les principales ressources informatiques. IBM Tivoli Monitoring est capable d'apporter la réponse la plus adaptée aux différents événements et incidents survenant pendant une exploitation informatique, typiquement agir directement sur le composant logiciel ou sur le système (réseau, serveurs, ..) responsable d'un mauvais temps de réponse. La figure ci-dessous présente l'interface graphique d'IBM Trivoli Monitoring.
  • 27. Figure 5 : Interface graphique de IBM Trivoli Monitoring Parmi les points forts de la solution IBM Trivoli Monitoring on cite : - Identifie en temps réel les incidents. - Surveille le fonctionnement des serveurs Microsoft Exchange. - Alerte en temps-réel les administrateurs et exécute automatiquement des actions correctives simples ou d'administration ou des workflows plus complexes. - Supporte la variété de systèmes tels que les systèmes d'exploitation, les bases de données, les serveurs d'applications et les applications. - Obtenir une vision précise de la performance du système. - Fournit un point unique de gestion pour le service Microsoft Active Directory (Plusieurs serveurs différents peuvent être surveillés à partir d'une unique console graphique). - Facilite la gestion et l'administration centralisée de plusieurs bases de données en surveillant à la fois des instances Oracle, Sybase, DB2 et Microsoft SQL Server. a.2 HP OpenView HP OpenView est parmi les logiciels majeurs de la supervision. Il permet la supervision des équipements réseaux et l'affichage de l'état courant des équipements grâce à une interface graphique. Un système d'alarme intégré permet de synchroniser tous les équipements et de communiquer avec les machines par le protocole SNMP. Le logiciel HP OpenView permet le contrôle d'un réseau distribué depuis un seul point. HP OpenView envoie des requêtes SNMP périodiques vers les agents, si un état change ou un périphérique devient injoignable, une alarme est directement déclenchée. La figure ci-dessous illustre l'interface Map qui sert à offrir une vision globale sur tous les équipements.
  • 28. Figure 6 : Interface graphique de HP OpenView Les couleurs permettent de préciser le statut des différents périphériques. Parmi les points forts de la solution HP OpenView on cite : - Une vue globale du système d'information. - Une vision des différents incidents. - Un contrôle homogène des différents matériels. b. Offres libres Les solutions de supervision étant très nombreuses, une sélection de quelques outils selon la popularité sera présentée dans cette partie. b.1 Cacti Cacti est un outil libre de supervision des réseaux; il collecte, stocke et présente-les statistiques d'utilisation des serveurs et des équipements réseau. Cacti utilise RRDtool ( est un logiciel de stockage des données dans une base de données RRD et permet de les utiliser pour créer des graphiques) pour créer les graphiques pour chaque équipement via les données statistiques qui sont récupérés de cet équipement. La force de CACTI réside dans le fait qu'il peut être installé et utilisé très facilement. Nous n'avons pas besoin de dépenser des tonnes d'heures sur l'outil pour configurer. Nous pouvons ajouter des plugins à Cacti qui permet aussi la possibilité d'intégrer d'autres outils libres.
  • 29. Figure 7 : Interface graphique de Cacti Les qualités de Cacti : - La simplicité d'installation. - L'utilisation de Cacti n'exige pas d'être un expert des systèmes de monitoring. - L'auto-détection de différents points de contrôle. - La possibilité d'augmenter le périmètre des graphiques en ajoutant des données collectées. - L'intégration de RRDTool. - Quelques fonctionnalités sont très pratiques à utiliser comme le zoom, la visualisation des périodes suivantes ou précédentes, le choix de la période d'affichage, . . . Les défauts de Cacti : Son manque d'évolutions : le développement semble se ralentir depuis quelques années. b.2 Zabbix Zabbix est un outil de supervision libre développé en C, il permet de surveiller l'état de divers services réseau, l'interface web de l'outil est développée en PHP et en JavaScript. L'outil est composé par le serveur de données, l'interface de gestion et le serveur de traitement. Le serveur de traitement est basé sur les triggers qui sont des tests effectués sur les équipements supervisés, suite au déclenchement d'un trigger une action précise sera exécutée pour résoudre un problème. La figure suivante illustre l'interface graphique de Zabbix.
  • 30. Les qualités de Zabbix : - Génération de graphiques (évolution des données et état des machines). - Peut-être décentralisé grâce à des proxies Zabbix. - Multiplateformes (disponible sous des systèmes d'exploitation tels que Windows, Linux, Solaris,. . .) - L'utilisation du protocole SNMP pour superviser de nombreux types d'équipements - Mise à jour automatique des informations utilisées par le serveur de traitement. - Dispose d'outils d'auto-découverte d'équipements. - Supporte le protocole IPMI (l'Interface de gestion intelligente de matériel). - Tous les graphiques sont affichés sur une même interface. - Classement et groupement des machines surveillées. - L'utilisation de MySQL, PostgreSQL ou Oracle pour stocker les données selon le nombre de machines et de données à surveiller. - L'utilisation des triggers. Les défauts de Zabbix : - Les triggers sont puissants mais un peu complexe à mettre en place. - Manque d'ergonomie dans l'interface Web. b.3 Nagios Nagios (anciennement appelé Netsaint) est une application de monitoring libre permet de surveiller l'état de divers services réseau et systèmes. Il centralise les informations récoltées périodiquement par le fonctionnement modulaire dont il est caractérisé, ce qui le rend beaucoup plus attractif que ses produits concurrents. En revanche sa configuration peut se révéler complexe. Sa fonction principale est d'alerter l'administrateur suite à la détection d'un événement indésirable d'un équipement et d'offrir une vision précise sur les hôtes et services à superviser via un simple navigateur. Nous retrouvons actuellement plusieurs logiciels qui sont basés sur Nagios tel que Centreon, Overmon, Eyes of network, Vigilo et Check_MK. Nagios est un programme modulaire composé par le moteur de l'application, l'interface web et les sondes (appelées greffons ou plugins), le moteur de l'application contrôle les équipements spécifiés par les sondes, un statut d'état sera retourné à Nagios, suite à la détection d'un problème une alerte (email, SMS,...) doit être envoyée à l'administration. La figure suivante montre l'interface graphique de Nagios.
  • 31. Figure 8 : Interface graphique de Nagios Qualités de Nagios Les fonctionnalités de Nagios sont très nombreuses, parmi les plus communes nous pouvons citer les suivantes : - La supervision des services réseaux (SMTP, http…), des hôtes et des ressources systèmes (CPU, charge mémoire…) - La détermination à distance et de manière automatique l’état des objets et les ressources nécessaires au bon fonctionnement du système grâce à ses plugins. - Représentation coloriée des états des services et hôtes définies. - Génération de rapports. - Cartographie du réseau. - Gestion des alertes. - Surveillance des processus (sous Windows, Unix…). - Superviser des services réseaux : (SMTP, POP3, HTTP, NNTP, ICMP, SNMP, LDAP, etc.) - La supervision à distance peut utiliser SSH ou un tunnel SSL. - Les plugins sont écrits dans les langages de programmation les plus adaptés à leur tâche (Bash, C++, Python, Perl, PHP, C#, etc.) Toutes ces fonctionnalités sont assurées grâce la gestion et supervision du réseau et ses différentes entités d’une manière centralisée. La figure suivante modélise cet aspect
  • 32. Figure 9 : Centralisation d’information par Nagios Les défauts de Nagios : - Il y a des modules qui ne sont pas sous licence libre. - Manque de réactivité du développeur principal de Nagios. - Manque d'ergonomie au niveau de l'interface sans l'utilisation des plugins. 4. Etude comparatives des outils Les différentes solutions commerciales déjà présentées (Scom, HP OpenView, IBM Trivoli Monitoring) nécessitent un investissement important pour leur mise en place, et pour des raisons propres à l'entreprise, toutes ces solutions sont à écarter de notre liste de choix. Dans le tableau suivant, nous allons montrer le niveau de satisfaction des outils libres existants. Description Cacti Nagios Zabbix Monitoring d'instances windows    Une utilisation sous Linux    Fonctionnalités de supervision avancées   Utilisation d'agent sur les machines cibles   Intégration simple d'un nouveau host  Pouvoir être alerté par e-mail    Gère le SNMPv3    Tableau 3 : Tableau comparative des outils de supervisions libre Une des particularités captivantes de Nagios est sa modularité. En effet, grâce à ses plugins, Nagios possède une architecture facilement adaptable à l'environnement. Ces derniers pouvant être ajoutés, modifiés ou même créés. De plus Nagios est une solution stable, dispose d'une grande communauté de développeurs et comme indice de la fiabilité de ce logiciel. Le choix s'est arrêté sur la solution Nagios car elle est la mieux adaptée à la demande de notre entreprise.
  • 33. Conclusion Dans ce chapitre, nous avons commencé par une description sur le concept de supervision puis, nous avons passé à des études comparatives des différentes solutions de surveillance réseau, pare-feu et de détection d’intrusion existante, ces études nous ont amené à bien choisir notre solution de surveillance qui s'intitule Nagios et nous avons choisi SNORT et OSSEC comme une solution de détection d'intrusion.
  • 34. Chapitre 3 Réalisation I. Introduction Au cours de ce chapitre, nous allons présenter les étapes nécessaires pour la mise en place des deux solutions de détection choisit dans le chapitre précédant. Ensuite, nous allons mettre en place une solution de supervision. Enfin, nous allons présenter quelques testes effectuées au cours de la vérification des outils choisis. II. Environnement logiciel utilisées Le tableau ci-dessous résume les caractéristiques techniques de notre pc. Caractéristique technique Capacité Processeur Intel® Core i3-4000M CPU à 2.40 GHz Mémoire 6 GB Windows 7 Tableau 4: Caractéristique technique du serveur Lenovo III.Mise en place de la solution 1. Mise en place du Snort Les étapes de l’installation et de la configuration du Snort seront détaillées dans l’annexe A. Nous avons testé aussi le bon fonctionnement du Snort à l’aide de la commande « Snort –v » Figure 10 : Lancement capture de Traffic de Snort a. Test de Snort
  • 35. Figure 11 : Capture ICMP Dans cette figure, nous avons testé un Ping à partir de la machine virtuelle vers la machine principale windows. Figure 12 : Capture Ping Figure 13 : Capture analyse avec Snort Figure 14 : Capture Ping Figure 15 : Capture téléchargement d’un PDF
  • 36. 2. Mise en place de OSSEC Les étapes nécessaires pour la mise en place de la solution de détection des intrusions seront présentées dans l’annexe B. Après avoir bien installé ossec-hids, nous allons lancer le service d’ossec : Figure 16 : lancement service OSSEC Nous pouvons vérifier les logs à partir du fichier : /var/ossec/logs/ossec.log. 3. Mise en place de nagios Nous allons suivre les étapes nécessaires pour mettre en place la solution de la supervision Nagios. Toutes les étapes seront détaillés dans l’annexe C. Nous allons installer aussi NSClient : c’est un plugin qui permet de récupérer les statuts des services et des équipements à surveiller sur une machine Windows, NSClient se livre avec un ensemble de commandes check qui permet d'obtenir plusieurs informations tels que : - MEMUSE : retourne la taille de la mémoire utilisée, et la taille restante. - CLIENTVERSION : retourne la version de l'agent NSClient. - UPTIME : retourne la durée écoulée depuis le dernier redémarrage de la machine. - USEDDISKSPACE : retourne la taille et le pourcentage du disque utilisé. - CPULOAD : retourne la charge moyenne du système. - SERVICESTATE : retourne le statut (démarré, arrêté) d'un ou plusieurs services Windows. Conclusion Dans ce chapitre, nous avons présenté les étapes nécessaires de la mise en place de deux solutions différentes, une de type NIDS et l’autre de type HIDS Snort et Ossec et nous avons conclure une différence globale entre eux.
  • 37. Conclusion Générale La sécurité des réseaux des entreprises est devenue prioritaire. Les effets d'une intrusion sur un réseau peuvent parfois s'avérer dévastateurs pour la société concernée : atteinte à l'image de l'entreprise, perte de recettes, perte de confiance des clients, engagement de la responsabilité légale si le réseau attaqué est utilisé comme rebond pour attaquer un réseau tiers. Dans ce contexte s’étroite notre sujet de ce stage d’été. Ce domaine de la sécurité nous a donné la chance de nous en élargir nos connaissances. Plusieurs mécanismes de sécurité tels que IPS, IDS, Firewall, scanner des vulnérabilités, les pots de miel (en anglais : HoneyPots) peuvent contribuer contre les différentes menaces possibles et doivent être appliquées au sein de chaque entreprise. Pour mieux assurer la sécurité des réseaux des entreprises, une supervision doit être mise en place. Différents outils de supervision sont offerts. La supervision réseau comprend un ensemble de protocoles, matériels et logiciels informatiques permettant de suivre à distance l'activité d'un réseau informatique. Ces solutions permettent également de cartographier le réseau. Il existe de très nombreuses solutions de supervision existantes. Le monde du logiciel libre est particulièrement actif dans ce domaine. Nous pouvons organiser, comme perspectives, des audits de sécurité complets et approfondis. Un audit de sécurité visera à valider ou critiquer les moyens de protection d'une entreprise, selon la politique de sécurité de cette même entreprise. Chaque règle de sécurité établie au sein d'une société devra s'appliquer en fonction d'une certaine cohérence de la politique de sécurité de l'entreprise afin de garantir l'intégrité et le bon fonctionnement des systèmes et procédures de sécurité.
  • 38. Annexe A Donc pour initialiser SNORT sous UBUNTU nous pouvons utiliser la commande « Apt-get install » pour télécharger et installer les paquets nécessaires automatiquement. I. Installation des dépendances #apt-get install libltdl3 libpcap0.8 libprelude2 #apt-get install phpmyadmin #apt-get install MySQL-server MySQL-common MySQL-client #apt-get install libnet1 libnet1-dev libpcre3 libpcre3-dev autoconf automake1.9 #apt-get install libpcap0.8-dev libmysqlclient15-dev build-essential #apt-get install gcc make libtool libssl-dev gcc-4.1 g++ #apt-get install checkinstall #apt-get install libphp-adodb php5 php-pear php5-cli php5-gd php5-mysql # Apt-get install apache2 II. Installation 1. Installation Snort Nous ajoutons un groupe et un utilisateur Snort « Snort # groupadd snort # useradd –g snort –d /usr/local/snort –m snort # chown –R snort /var/log/snort # chgrp –R snort /var/log/snort Nous lançons par la suite la commande de téléchargement du snort-2.8.4.1 # cd /tmp # wget http://dl.snort.org/snort-current/snort-2.8.4.1.tar.gz # tar -zxf snort-2.8.4.1.tar.gz # cd snort-2.8.4.1 #. /configure --with-MySQL --enable-dynamicplugins --prefix=/usr/local/snort –enable prelude # make # make install
  • 39. Après le téléchargement du Snort 2.8.4.1, nous devons créer deux dossiers, un pour stocker les fichiers de configuration et l'autre pour stocker les règles Snort. $ Sudo mkdir /etc/snort $ Sudo mkdir /var/log/snort $ Sudo mkdir /etc/snort/rules_backup $ Sudo mkdir /etc/Snort/packages Ensuite nous devons copier les fichiers de configuration de Snort dans le dossier /etc/Snort/ #cp /tmp/snort-2.8.4.1/etc/*.conf* /etc/Snort #cp /tmp/snort-2.8.4.1/etc/*.map /etc/Snort Les deux fichiers de configuration dans notre dossier /etc/Snort/rules: #cp snort2.8.4.1/etc/classification.config /etc/Snort/rules/ #cp snort2.8.4.1/etc/reference.config /etc/snort/rules/ classification.config: définit des URL pour les références trouvées dans les règles. reference.config: inclus de l'information pour la priorisation des règles. Ensuite, nous devons configurer la base de données Mysql pour Snort en activant les plugins tel que : --enableinline : pour activer la communication avec le pare-feu (iptable) et rendre Snort un IPS qui réagit lors de la détection d'une intrusion. --enableclamav: pour améliorer la base des signatures du Snort par la configuration avec l'antivirus Clamav, dans ce cas, Snort jouera le rôle d'un IDS et un antivirus en même temps. --enabledynamicplugins : pour rendre Snort configurable avec les nouveaux plugins même après installation. #make : (compilation du paquet) Erreur dans make : Figure 17 : erreur dans « make »
  • 40. Solution : Modifier les droits du fichier "server_stats.c" in "./snort2.8.*/ src/preprocessors/flow/portscan/" Fonction Code: int server_stats_save (SERVER_STATS *ssp, char *filename) ligne Code: fd = open(filename, O_CREAT|O_TRUNC|O_SYNC|O_WRONLY); Modification du Code: fd = open(filename, O_CREAT|O_TRUNC|O_SYNC|O_WRONLY, 0666); #checkinstall (exécution de l’installation) Et pour la configuration de Mysql, nous avons créé une base de données et des tables pour recevoir les logs de Snort : #MySQL -u root -p >create database snort; Comme il est dangereux d'accéder à la base de données avec l'utilisateur root, Il est nécessaire de créer un utilisateur avec des permissions sur la base de données snort uniquement: #grant all on snort.* to snortuser@localhost identified by 'pwd' Puis nous avons rechargé les privilèges MySQL: #flush privileges >exit; Maintenant, nous devons créer les tables dans la base de données Snort: Par chance, les tables sont déjà créées et nous devons juste les trouver et les installer dans la base de données: #MySQL –u root –p snort < schemas/create_mysql 2. Configuration Snort Nous avons Changé le fichier snort.conf comme suit avec la commande « gedit /etc/Snort/etc/Snort/snort.conf » var RULE_PATH /etc/snort/etc/snort/rules var HOME_NET /external-netmask var EXTERNAL_NET !$HOME_NET dynamicengine /usr/local/lib/snort_dynamicengine/libsf_engine.so # changer /usr/local par /etc/Snort dans tous snort.conf Puis il fallait commenter des lignes du fichier du config de Snort #dynamicdetection file /etc/snort/lib/snort_dynamicrules/bad-traffic.so #dynamicdetection file /etc/snort/lib/snort_dynamicrules/chat.so #dynamicdetection file /etc/snort/lib/snort_dynamicrules/dos.so #dynamicdetection file /etc/snort/lib/snort_dynamicrules/exploit.so
  • 41. #dynamicdetection file /etc/snort/lib/snort_dynamicrules/imap.so #dynamicdetection file /etc/snort/lib/snort_dynamicrules/misc.so #dynamicdetection file /etc/snort/lib/snort_dynamicrules/multimedia.so #dynamicdetection file /etc/snort/lib/snort_dynamicrules/netbios.so #dynamicdetection file /etc/snort/lib/snort_dynamicrules/nntp.so #dynamicdetection file /etc/snort/lib/snort_dynamicrules/p2p.so #dynamicdetection file /etc/snort/lib/snort_dynamicrules/smtp.so #dynamicdetection file /etc/snort/lib/snort_dynamicrules/sql.so #dynamicdetection file /etc/snort/lib/snort_dynamicrules/web-client.so #dynamicdetection file /etc/snort/lib/snort_dynamicrules/web-misc.so Nous ajoutons maintenant les règles de Snort # cd /tmp # wget http://dl.snort.org/sub-rules/snortrules-snapshot-2.8_s.tar.gz # tar –zxf snortrules-snapshot-2.8_s.tar.gz # mv snortrules-snapshot-2.8/rules/* /etc/snort/rules Ainsi que les règles optionnelles # cd /etc/Snort # wget http://emergingthreats.net/rules/emerging.rules.tar.gz # tar –zxf emerging.rules.tar.gz Nous avons ajoutées quelques règles dans le fichier des règles de Snort présenté dans la figure ci-dessous : Figure 18 : fichier des règles de Snort
  • 42. Annexe B I. Prérequis # apt-get update # apt-get upgrade # apt-get install inotify-tools build-essential Tout d’abord, nous allons télécharger le package ossec-hids-2.8.3.tar.gz Site : http://www.ossec.net/files/ossec-hids-2.8.3.tar.gz 1. Installation ossec en local Il faut accéder au dossier décompressé #cd /home/rabeb/ossec-hids-2.8.3 Ensuite, il faut lancer l’installation avec une simple commande: Figure 19 : installation OSSEC Durant l’installation, quelque paramètre doivent être configuré tels que la langue. Il faut spécifier le type d’installation, ici nous avons choisie local Figure 20 : Type d’installation II. Configuration OSSEC Aussi, il faut spécifier le dossier d’installation : /etc/ossec Nous devons aussi accepter le démon de vérification d’intégrité et le moteur rootkit, nous spécifions aussi une adresse mail sur laquelle nous allons recevoir tous les notifications nécessaires
  • 43. Figure 21 : Configuration OSSEC Nous devons activer le firewall et les adresses Ip autorisées Figure 22 : Paramétrage OSSEC Et enfin, l’installation et la configuration se commence Figure 23 : Procédure d’installation Nous avons terminé la configuration de l’ossec
  • 44. Figure 24 : Installation réussite Après avoir terminé l’installation du ossec Hids, nous pouvons reconfigurer ou bien ajouter quelque configurations nécessaires en éditant le fichier de config de base du ossec qui se trouve sous: /etc/ossec/etc/ossec.conf 2. Installation Ossec MODE Client/serveur Nous allons suivre les mêmes étapes que dans le mode local sauf que d’une côté, nous allons choisir le type d’installation « serveur » pour installer le serveur de l’ossec : Figure 25 : Type d’installation serveur Et de l’autre côté, nous allons choisir « agent » pour installer l’agent en spécifiant l’adresse IP du serveur : Figure 26 : Type d’installation agent Figure 27 : Configuration adresse serveur
  • 45. Ensuite, nous allons ajouter l’agent au serveur pour qu’ils puissent communique entre eux. Pour cela, nous allons lancer l’agent manager : /etc/ossec/bin/manage_agents Figure 28 : Ajouter un agent Ensuite, il faut redémarrer le serveur ossec pour qu’il fait les mises à jour nécessaires par la commande : /etc/ossec/bin/ossec_control restart Maintenant, nous devons extraire la clé de l’agent par la commande agent manager en ajoutant l’option « E » : /etc/ossec/bin/manage_agents Figure 29 : Extraction clé authentification d’agent
  • 46. Annexe C I. Prérequis Avant de commencer l’installation de NAGIOS CORE nous allons effectuer la mise à jour à l’aide de la commande : #apt-get update #apt-get safe-update #apt-get install build-essential #apt-get install apache2 Il faut aussi installer les librairies suivantes : # apt-get install bind9-host dnsutils libbind9-60 libisc60 libisccc60 libisccfg60libradius qstat radiusclient1 snmp snmpd # apt-get install libd2-noxpm-dev libpng12-dev libjpeg62 libjpeg62-dev Puis, nous devons lancer le serveur apache avec la commande : # apache2ctl start Figure 30 : Lancement du serveur apache Il faut vérifier le bon fonctionnement du serveur web en tapant l’adresse Ip de la machine dans le navigateur web Figure 31 : Interface Web Apache Le processus Nagios ne sera pas lancé en root (droit administrateur) pour des raisons de sécurité. Pour cela, nous allons créer un utilisateur système nommé « nagios » et un groupe associé également nommé « nagios1». Le groupe nagios comprendra les utilisateurs nagios et www-data (utilisateur avec lequel le serveur Apache est lancé par défaut). Figure 32 : Ajout des users et groupes
  • 47. II. Installation serveur Nagios Nous allons télécharger nagios et ses plugins sous le répertoire /usr/src # cd /usr/src # wget http://prdownloads.sourceforge.net/sourceforge/nagios/nagios-3.2.3.tar.gz # wget http://prdownloads.sourceforge.net/sourceforge/nagiosplug/nagios-plugins- 2.1.2.tar.gz Ensuite, nous allons les décompresser et lancer l’installation # tar -xzf nagios-3.2.3.tar.gz # cd nagios-3.2.3 Figure 33 : Installation Nagios Puis, nous allons appliquer la commande make pour vérifier la configuration de l’installation #make all #make install #make install-commandmode #make install-config #make install-init #make install-webconf Nous allons aussi créer un lien symbolique avec la commande : # ln -s /etc/init.d/nagios /etc/rcS.d/S99nagios Il faut activer le mot de passe pour l’interface de gestion web de nagios Figure 34 : Configuration mot de passe interface Nagios Puis, nous allons redémarrer le service apache #apache2ctl restart On passe maintenant pour la configuration des plugins standards de nagios #aptitude install fping libnet-snmp-perl libldap-devlibmysqlclient-dev libgnutls-dev libradiusclient-ng-dev php5 Puis décompresser les plugins NAGIOS # cd /usr/src # tar -xzf nagios-plugins-1.4.15.tar.gz
  • 48. # cd nagios-plugins-1.4.15 Il faut lancer l’installation : #. /configure #make #make install Nous allons effectuer un teste Figure 35 : Test configuration Ensuite, nous allons lancer le serveur Nagios Figure 36 : Lancement serveur Nagios Figure 37 : Test Serveur Nagios Avant de redémarrer le service Nagios, nous allons télecharger NSClient++ qui est le plugin charge de renseigne notre serveur de supervision. Lien NSClient++ : https://sourceforge.net/projects/nscplus/files/nscplus/NSClient%2B%2B%200.3.8/ Puis, nous allons lancer l’installation, nous allons suivre les étapes en cliquant sur next à chaque fois. Il faut renseigner l’adresse IP du serveur NAGIOS et cocher les deux cases Check_ntetcheck_nrpepuisNEXTpuisInstall.
  • 49. Figure 38 : Configuration NSClient++ Nous allons maintenant ouvrir le services.msc et sélectionner le service NSClient++, ouvrir la propriété du service, dans l’onglet connexion (log on), nous allons cocher la case « Autoriser le service à interagir avec le bureau comme indique ce figure Figure 39 : Autoriser service NSClient++ Nous allons retourner maintenant pour redémarrer le serveur nagios # /etc/init.d/nagios restart Nous allons lancer l’interface web Figure 40 : Supervision avec NAGIOS