Upload
omafann
View
359
Download
10
Embed Size (px)
Citation preview
CCNA Security 2012/2013 Intégration de Compétence
1
CCNA SECURITY
GROUPE 8303
Présenté
Par : A Mr. :
Les étudiants de GRI2 NAMALKA Oumarou
04/02/2013
ECOLE POLYTECHNIQUE DE NIAMEY
INTEGRATION DE COMPETENCE
CCNA Security 2012/2013 Intégration de Compétence
2
CCNA Security 2012/2013 Intégration de Compétence
3
Introduction Générale
De nos jours, la plupart des réseaux informatiques sont multiplateformes.
L’objectif de ce projet est de mettre en place des serveurs sous Windows
(ADDS ; DNS ; Antivirus ; Mail) et Linux (DNS ; Web ; Voip ; Nagios ;
Prelude ; Snort ; OSSEC et PFSense) , de les administrer et de les surveiller.
CCNA Security 2012/2013 Intégration de Compétence
4
Présentation de la topologie
Réseau Interne
Parefeu
DMZ
Internet
Supervision
PDC SDC Antivirus MAil DNS Web VOIP
Réseau Externe172.16.1.0/24
192.168.1.0/24
192.168.1.1 192.168.1.2 192.168.1.4192.168.1.3
192.168.1.10
172.16.1.1 172.16.1.2 172.16.1.3
Projet
172.16.1.10
AsteriskApacheBind9Exchange2010DNS
ADDSDNS
ADDS
Nagios
Backup
Raid Tolérance de panne des disques
172.16.1.5
Raid
Ossec Prelude Snort
172.16.1.4 172.16.1.6 172.16.1.7 172.16.1.8
Cette topologie est constituée de 3 zones qui sont :
La zone INTERNE qui comprend la supervision (Nagios, Ossec, Prélude,
Snort) et les serveurs internes (PDC, SDC, Antivirus, Backup)
La zone EXTERNE
La zone DMZ qui comprend (Pare-feu,Mail, Dns, Web, Voip)
CCNA Security 2012/2013 Intégration de Compétence
5
Mise en place de la zone Interne
CCNA Security 2012/2013 Intégration de Compétence
6
I. Mise en place du PDC
CCNA Security 2012/2013 Intégration de Compétence
7
Introduction
Un serveur informatique hébergeant l'annuaire Active Directory est appelé «
contrôleur de domaine>>Le premier contrôleur de domaine d’une forêt doit être
un serveur de catalogue global et ne peut pas être un contrôleur de domaine en
lecture seule (RODC). L'objectif principal d'Active Directory est de fournir des
services centralisés d'identification et d'authentification à un réseau d'ordinateurs
utilisant le système Windows. Il permet également l'attribution et l'application
de stratégies, la distribution de logiciels, et l'installation de mises à jour critiques
par les administrateurs. Active Directory répertorie les éléments d'un réseau
administré tels que les comptes des utilisateurs, les serveurs, les postes de
travail, les dossiers partagés, les imprimantes.
CCNA Security 2012/2013 Intégration de Compétence
8
Procédure d’installation
Pour faire de notre Windows Server 2008 R2 un contrôleur de domaine, il suffit
de lancer la commande dcpromo
Créons notre nouveau Domain d’un une nouvelle forêt
CCNA Security 2012/2013 Intégration de Compétence
9
Tapons le nom du Domain
CCNA Security 2012/2013 Intégration de Compétence
10
Nous allons choisir le niveau fonctionnel
CCNA Security 2012/2013 Intégration de Compétence
11
CCNA Security 2012/2013 Intégration de Compétence
12
CCNA Security 2012/2013 Intégration de Compétence
13
Tapons un mot de passe pour le Domain
CCNA Security 2012/2013 Intégration de Compétence
14
Vérification
CCNA Security 2012/2013 Intégration de Compétence
15
Ici prend fin l’installation de notre Domain : security.com
Vérification des entités de sécurité :
La console Utilisateurs et ordinateurs Active Directory est probablement la plus
utile : c'est celle qui vous permettra de gérer les comptes des utilisateurs et des
ordinateurs.
Dans notre exemple nous avons les utilisateurs lala toto et toto.c
Nous avons aussi un groupe de sécurité global nommé gri2 et une unité
‘organisation nommée epn
CCNA Security 2012/2013 Intégration de Compétence
16
CCNA Security 2012/2013 Intégration de Compétence
17
Configuration de la zone inverse
Passons maintenant à la configuration da la zone inverse du DNS car la zone
direct est configurée par défaut
On fait Outils d’administration DNS puis double click sur DNS
Click droit sur zone inverse
CCNA Security 2012/2013 Intégration de Compétence
18
Suivre l’assistant
CCNA Security 2012/2013 Intégration de Compétence
19
CCNA Security 2012/2013 Intégration de Compétence
20
Tapons notre adresse réseau
CCNA Security 2012/2013 Intégration de Compétence
21
Terminé
Ici prend fin la configuration de la zone inverse
CCNA Security 2012/2013 Intégration de Compétence
22
Conclusion
Active Directory est un service d'annuaire utilisé pour stocker des informations
relatives aux ressources réseau sur un domaine.
Une structure Active Directory (AD) est une organisation hiérarchisée d'objets.
Les objets sont classés en trois grandes catégories : les ressources (par exemple
les imprimantes), les services (par exemple le courrier électronique) et les
utilisateurs (comptes utilisateurs et groupes). L'AD fournit des informations sur
les objets, il les organise et contrôle les accès et la sécurité
Ici prend fin l’installation et la configuration de notre contrôleur de Domain.
CCNA Security 2012/2013 Intégration de Compétence
23
II. Mise en place du SDC
CCNA Security 2012/2013 Intégration de Compétence
24
Introduction
Nous allons voir à travers cet article l’intégration d’un contrôleur
supplémentaire au sein d’un domaine Active Directory. On parle en général d’un
contrôleur secondaire cependant ceci est une fausse appellation car une
architecture Active Directory est multi-maître.
La réalisation est rapide et simple avec une implication limitée dans un milieu
de productif. Il faut toutefois veiller à disposer de sauvegardes fiables et en
particulier concernant votre Active Directory.
CCNA Security 2012/2013 Intégration de Compétence
25
Configuration
Tout d’abord on tape dcpromo en ligne de commande ou dans « rechercher » du
menu démarrer.
L’assistant suivant s’affichera et on coche utiliser l’installation en mode avancé
Ensuite on clique sur suivant
Puisqu’il s’agit d’un DC secondaire dans notre cas, on clique sur foret existante
On spécifie ajouter un DC à un domaine existant comme illustré dans la figure
ci-dessous. Ensuite on clique sur suivant
CCNA Security 2012/2013 Intégration de Compétence
26
On spécifie le nom du domaine qui est security.com.
Ensuite on clique sur définir
CCNA Security 2012/2013 Intégration de Compétence
27
La console suivante s’affiche, on met le login et le mot de passe de l’utilisateur
créé sur le DC primaire et on clique sur OK
CCNA Security 2012/2013 Intégration de Compétence
28
L’assistant nous signale que n’ayant pas préparé l’annuaire avec l’option
« /rodcprep », il ne sera pas possible d’intégrer un contrôleur en lecture seule.
On spécifie le site sur lequel sera hébergé le contrôleur de domaine.
On sélectionne ensuite les options « Serveur DNS » et « Catalogue global ».
CCNA Security 2012/2013 Intégration de Compétence
29
Un autre avertissement apparaît concernant un problème de délégation avec la
zone parente (.local).
CCNA Security 2012/2013 Intégration de Compétence
30
L’assistant vous laisse la possibilité de choisir la provenance des données Active
Directory existantes à répliquer. Soit directement par le biais du réseau en
contactant le contrôleur de domaine existant, soit à partir d’une sauvegarde.
Suite à la sélection précédente, nous devons choisir le contrôleur à contacter.
Dans notre cas il s’agit de security.com.
Ensuite on définit la location des fichiers liés à l’annuaire.
CCNA Security 2012/2013 Intégration de Compétence
31
Enfin on va devoir rentrer un mot de passe de restauration.
CCNA Security 2012/2013 Intégration de Compétence
32
CCNA Security 2012/2013 Intégration de Compétence
33
Conclusion
Une fois redémarré, le serveur est désormais promu en tant que contrôleur de
domaine secondaire.
CCNA Security 2012/2013 Intégration de Compétence
34
III. Mise en place du serveur d’Antivirus
CCNA Security 2012/2013 Intégration de Compétence
35
Presention
Symantec Endpoint Protection offre une protection simple, rapide et
efficace contre les virus et les programmes malveillants. Il s'installe en
quelques minutes sans matériel supplémentaire. La protection de votre
entreprise devient simple et rapide. Grâce aux mises à jour automatiques,
vous bénéficiez des toutes dernières fonctions de sécurité disponibles.
Avantages clés
Des analyses rapides et efficaces offrent une protection contre les virus,
les vers, les chevaux de Troie et les logiciels espions. Elles ne ralentissent
pas vos systèmes et vous pouvez donc vous concentrer totalement sur
votre activité.
Profitez de cette flexibilité et bénéficiez de la puissance et de la
commodité d'un service géré via le Cloud avec une protection
permanente, ou d'un service géré sur site sur un serveur local.
L'installation se fait en quelques minutes, sans matériel supplémentaire, ce
qui vous permet de gagner du temps et de l'énergie. Pas besoin de
personnel ou de formation spécifique.
Les technologies Insight et SONAR détectent et bloquent les programmes
malveillants nouveaux et en mutation, même s'il s'agit de nouvelles
menaces ou de menaces inconnues
Abonnement simple, qui couvre les coûts d'exploitation et de
maintenance, les mises à niveau et le support 24h/24 et 7j/7, que vous
choisissiez la gestion via le cloud ou la gestion sur site.
CCNA Security 2012/2013 Intégration de Compétence
36
Installation et Configuration
Vous pouvez telecharger la version d essai sur :
https://www4.symantec.com/Vrt/offer?a_id=117140&inid=fr_bt_flyout_trialwar
e_endpt_prot
Installation
Executons le steup puis cliquons sur executer
Choisissons le point d’extraction puis cliquons sur extract
Attendons la fin d’extraction
CCNA Security 2012/2013 Intégration de Compétence
37
Ouvrons le ficher puis executons
CCNA Security 2012/2013 Intégration de Compétence
38
Choisissons le deuxième point (Install Symentec Endpoint Protection)
Choisissons le premier point(Install Symentec Endpoint Protection Manager)
CCNA Security 2012/2013 Intégration de Compétence
39
Cliquons sur Next
Acceptons le contrat de licence puis cliquons sur Next
CCNA Security 2012/2013 Intégration de Compétence
40
Cliquons sur Next
Cliquons sur Install
CCNA Security 2012/2013 Intégration de Compétence
41
Attendons la fin
Cliquons sur Next
CCNA Security 2012/2013 Intégration de Compétence
42
Attendons la fin
CCNA Security 2012/2013 Intégration de Compétence
43
Cliquons sur Next
Renseignons les différents champs puis cliquons sur NEXT
CCNA Security 2012/2013 Intégration de Compétence
44
cliquons sur NEXT
CCNA Security 2012/2013 Intégration de Compétence
45
Attendons la fin
Cette étape met fin au processus d’installation
CCNA Security 2012/2013 Intégration de Compétence
46
Configuration
Nous allons configurer le déploiement sur les machines clientes
Cliquons sur Client Deployment
CCNA Security 2012/2013 Intégration de Compétence
47
Cliquons sur Next
CCNA Security 2012/2013 Intégration de Compétence
48
Cliquons sur NEXT sur Next
Cliquons sur Next
CCNA Security 2012/2013 Intégration de Compétence
49
Cliquons sur Next
CCNA Security 2012/2013 Intégration de Compétence
50
Attendons la fin de la recherche des réseaux .Dans le cas où il en trouve pas
faisons une recherche en cliquant sur Search Network et en définissant la plage
d’adresse
CCNA Security 2012/2013 Intégration de Compétence
51
Renseignons les champs puis cliquons sur ok
Attendons la fin
CCNA Security 2012/2013 Intégration de Compétence
52
Cliquons sur Next
CCNA Security 2012/2013 Intégration de Compétence
53
Cliquons sur Send
CCNA Security 2012/2013 Intégration de Compétence
54
Attendons la fin
CCNA Security 2012/2013 Intégration de Compétence
55
Cliquons sur Next
CCNA Security 2012/2013 Intégration de Compétence
56
CCNA Security 2012/2013 Intégration de Compétence
57
Cliquons sur Finish
Cette étape mais fin au déploiement. Rendons nous sur le client pour suivre
l’installation
Laissons le client allume jusqu’à l’affichage de ce assistant puis cliquons sur
Restart Now
CCNA Security 2012/2013 Intégration de Compétence
58
Exécutons l’application
Attendons
CCNA Security 2012/2013 Intégration de Compétence
59
Ci fin
Ceci met fin au déploiement
CCNA Security 2012/2013 Intégration de Compétence
60
Conclusion
Nous vous recommandons Symantec Endpoint Protection pour les raisons
suivantes :
Protection simple, rapide et efficace contre les virus et les programmes
malveillants
Disponible sous la forme d'un service géré via le cloud ou comme
application de gestion sur site
Installation facile et gestion via le Web
Technologies de sécurité puissantes développées par le leader mondial des
technologies de sécurité
Tarification simple par abonnement qui couvre les deux choix de gestion
CCNA Security 2012/2013 Intégration de Compétence
61
IV. Mise en place du serveur de Backup
CCNA Security 2012/2013 Intégration de Compétence
62
Présentation
Bacula est un jeu de programmes qui permet à l'administrateur système de
faire des sauvegardes, restaurations, et vérifications des données d'un
ordinateur sur un réseau hétérogène. Bacula peut fonctionner
complètement sur un seul ordinateur. Il est capable de sauvegarder sur des
supports variés, y compris disques et cartouches. Il s'agit d'un programme
de sauvegarde Client/serveur. Bacula est relativement facile d'utilisation
et efficace, tout en offrant de nombreuses fonctions avancées de gestion
de stockage qui facilitent la recherche et la restauration de fichiers perdus
ou endommagés. Grâce à sa conception modulaire, Bacula est
échelonnable depuis le simple système constitué d'un ordinateur, jusqu'au
système de plusieurs centaines d'ordinateurs disséminés sur un vaste
réseau.
CCNA Security 2012/2013 Intégration de Compétence
63
Mise en place du Raid5
Le RAID désigne les techniques permettant de répartir des données sur
plusieurs disques durs afin d'améliorer soit la tolérance aux pannes, soit la
sécurité, soit les performances de l'ensemble, ou une répartition de tout
cela.
Le RAID 5 écrit donc simultanément les données sur plusieurs disques ce
qui améliore les performances en lecture et en écriture et la tolérance aux
pannes.
Installations le paquet mdadm
Commençons par installer les paquets suivant :
Apt-get install debconf-utils dpkg-dev debhelper build-essential
kernel-package libncurses5-dev
et
Chargeons le module dans le noyau
Make menuconfig
CCNA Security 2012/2013 Intégration de Compétence
64
Choisissons Device Drivers
Choisissons, puis espace et enter
CCNA Security 2012/2013 Intégration de Compétence
65
Choisissons YES
Listons les disques
CCNA Security 2012/2013 Intégration de Compétence
66
On retrouve les 3disques.Creons les partitions
Entrons n (pour créer une nouvelle partition)
Entrons p (pour partition primaire)
CCNA Security 2012/2013 Intégration de Compétence
67
Entrons 1(pour partition1)
Entrons t (pour modifier l’ID du système de fichier) puis fd
Entrons w (pour enregistrer et quitter)
Répéter la même action pour les deux autres disques (sdc et sdd)
Créons le volume raid à partir de la commande suivante :
mdadm --create --verbose /dev/md0 --level=5 --raid-devices=3 /dev/sdb1
/dev/sdc1 /dev/sdd1
Enregistrons ce volume :
echo "DEVICE partitions" > /etc/mdadm/mdadm.conf
Ensuite on appelle mdadm une nouvelle fois pour scanner les volumes RAID
existants et les inscrire dans ce fichier :
mdadm --detail --scan >> /etc/mdadm/mdadm.conf
Créon le système de fichiers
CCNA Security 2012/2013 Intégration de Compétence
68
Nous allons monter le volume dans /opt/SAUVEGARDE
mount /dev/md0 /opt/SAUVEGARDE
Editons le fichier /etc/fstab et inserons la ligne suivante :
/dev/md0 /opt/SAUVEGARDE auto defaults 0 3
Enregistrons et quittons
Ceci mais fin à la mise en place du raid5
CCNA Security 2012/2013 Intégration de Compétence
69
Installation et configuration
Installation
Commençons par installer mysql et les dépendances qui vont nous
permettre de compiler bacula
apt-get install mysql-server-5.0 gcc libmysqlclient15-dev g++ make libncurses5-
dev php-pear
Décompressons la dernière version de bacula récupérer sur le site officiel
tar –xvzf bacula-5.0.2.tar.gz
On se place dans le dossier et on check les dépendances et la vérification de la
configuration prés installation
cd bacula-5.0.2
./configure --with-mysql
On lance la compilation
make && make install
Lancement des scripts de création de la bases le mot de passe de la base mysql
sera demandé
cd src/cats
./create_mysql_database -p
./make_mysql_tables -p
./grant_mysql_privileges -p
Création et installation des services
cp /etc/bacula/bacula-ctl-fd /etc/init.d/bacula-fd
cp /etc/bacula/bacula-ctl-dir /etc/init.d/bacula-director
cp /etc/bacula/bacula-ctl-sd /etc/init.d/bacula-sd
cp /etc/bacula/bacula /etc/init.d/bacula
chmod 755 /etc/init.d/bacula-sd
chmod 755 /etc/init.d/bacula-fd
CCNA Security 2012/2013 Intégration de Compétence
70
chmod 755 /etc/init.d/bacula-director
chmod 755 /etc/init.d/bacula-sd
update-rc.d bacula-sd defaults 90
update-rc.d bacula-fd defaults 91
update-rc.d bacula-director defaults 92
On redémarre tous les services
/etc/init.d/bacula start
Ceci mais fin à l’installation
CCNA Security 2012/2013 Intégration de Compétence
71
Configuration
Editons le fichier bacula-dir.conf
Éditons-le comme suit :
CCNA Security 2012/2013 Intégration de Compétence
72
CCNA Security 2012/2013 Intégration de Compétence
73
CCNA Security 2012/2013 Intégration de Compétence
74
CCNA Security 2012/2013 Intégration de Compétence
75
CCNA Security 2012/2013 Intégration de Compétence
76
Enregistrons et redémarrons le service
CCNA Security 2012/2013 Intégration de Compétence
77
Editons le fichier bacula-sd.conf
Modifions-le comme suit :
Ceci mais fin à la configuration de bacula
CCNA Security 2012/2013 Intégration de Compétence
78
CCNA Security 2012/2013 Intégration de Compétence
79
Enregistrons et redémarrons le service
Redémarrons bacula
Ceci met fin à la configuration
Nous allons nous connecter à la console et faire uns sauvegarde
CCNA Security 2012/2013 Intégration de Compétence
80
Sélectionnons 1
CCNA Security 2012/2013 Intégration de Compétence
81
Conclusion
Bacula dispose de très nombreuses fonctionnalités. Utilisé correctement vous
serez toujours certain de pouvoir restaurer n'importe quel fichier, à n'importe
quelle date (retrouver un texte par exemple tel qu'il était rédigé il y a deux mois,
sachant que vous l'avez modifié 10 fois depuis, etc.)
MAIS SA CONFIGURATION FINE NÉCESSITE DE NOMBREUSES
CONNAISSANCES PROPRES AU MONDE DE LA SAUVEGARDE.
CCNA Security 2012/2013 Intégration de Compétence
82
V. Mise en place du serveur Nagios
CCNA Security 2012/2013 Intégration de Compétence
83
Introduction
Présentation du serveur NAGIOS
NAGIOS est un outil open source qui nous permet de superviser des machines
(Windows, linux, BSD, MAC os) compatible SNMP (simple network
management Protocol) sur un réseau TCP/IP, On peut toutefois surveiller des
machines incompatible SNMP a l’aide des scripts qui nous permettrons de faire
des Ping ou simuler des requête http etc.…
CCNA Security 2012/2013 Intégration de Compétence
84
Installation
Prérequis
-Une machine Linux sous UBUNTU 10.04 LTS
-Internet
-Apache version2
CCNA Security 2012/2013 Intégration de Compétence
85
Configuration
-Avant de commencer l’installation de NAGIOS CORE nous allons effectuer la
mise à jour à l’aide de la commande
# SUDO : super-utilisateur
# aptitude update
# aptitude safe-update
-Télécharger le BUILD-ESSENTIAL
-Installation du serveur WEB APACHE2
NB : les paramétrages du serveur NAGIOS se font via une interface web d’où la
nécessité d’installer APACHE
-Installer les librairies suivantes :
# apt-get install bind9-host dnsutils libbind9-60 libisc60 libisccc60 libisccfg60
libradius qstat radiusclient1 snmp snmpd
# apt-get install libd2-noxpm-dev libpng12-dev libjpeg62 libjpeg62-dev
-Puis lancer le serveur APACHE2 à l’aide de la commande :
# apache2ctl start
-Vérifier le bon fonctionnement du server WEB en tapant l’adresse de la
machine dans un navigateur WEB
CCNA Security 2012/2013 Intégration de Compétence
86
- Pour des raisons évidentes de sécurité, le processus Nagios ne sera pas lancé en
root (droit administrateur). Nous allons créer un utilisateur système nommé
nagios et un groupe associé également nommé nagios. Le groupe nagios
comprendra les utilisateurs nagios et www-data (utilisateur avec lequel le
serveur Apache est lancé par défaut).
-Création de l’utilisateur NAGIOS
# useradd nagios
-Création du group NAGIOS
# groupadd nagios
-Ajout de l’utilisateur NAGIOS dans le group NAGIOS
# usermod –G nagios nagios
-Ajout de l’utilisateur www-data dans le group NAGIOS
# usermod –G www-data nagios
-Téléchargement de NAGIOS depuis les sources dans le répertoire /usr/src
# cd /usr/src
# wget http://prdownloads.sourceforge.net/sourceforge/nagios/nagios-
3.2.3.tar.gz
-Par défaut NAGIOS vient sans plugins ( extension) pour les télécharger tapez la
commande :
# wget http://prdownloads.sourceforge.net/sourceforge/nagiosplug/nagios-
plugins-1.4.15.tar.gz
Compilation de NAGIOS depuis les sources :
-Décompresser le fichier à l’aide la commande :
CCNA Security 2012/2013 Intégration de Compétence
87
# tar –xzf nagios-3.2.3.tar.gz
# cd nagios-3.2.3
-Ensuite lance le processus d’installation
# ./configure
# make all
# make install
# make install-commandmode
# make install-config
# make install-init
CCNA Security 2012/2013 Intégration de Compétence
88
# make install-webconf
-Création d’un lien symbolique
# ln –s /etc/init.d/nagios /etc/rcS.d/S99nagios
-activé le mot de passe pour l’interface de gestion web de nagios
# htpasswd -c /usr/local/nagios/etc/htpasswd.users nagiosadmin
-Puis saisir le mot de passe
-Redémarrer le service APACHE à l’aide de la commande
# apache2ctl restart
Compilation des plugins NAGIOS depuis les sources : De base, NAGIOS est livré sans aucune extension (plugin). Il faut donc installer les plugins standards permettant de surveiller les machines de son réseau. #aptitude install fping libnet-snmp-perl libldap-devlibmysqlclient-dev libgnutls-dev libradiusclient-ng-dev php5 -Puis décompresser les les plugins NAGIOS # cd /usr/src # tar –xzf nagios-plugins-1.4.15.tar.gz # cd nagios-plugins-1.4.15 -Puis tapez la suite commande pour les compiler avec NAGIOS
# make
CCNA Security 2012/2013 Intégration de Compétence
89
# make install -Nous allons effectuer un teste
-Ensuite nous allons lancer le serveur NAGIOS # /etc/init.d/nagios start
CCNA Security 2012/2013 Intégration de Compétence
90
Test du serveur NAGIOS
-Tapez dans un navigateur WEB l’adresse suivante :
Surveillance à distance
Surveillance de machine Windows
-Dans un premier temps nous allons éditez le fichier de configuration des machines Windows
qui se localiser dans /usr/local/nagios/etc/objects/windows.cfg
# gedit /usr/local/nagios/etc/objects/windows.cfg
-Ensuite renseigner le champ hostname par le nom de votre machine Windows et adresse par
l’adresse IP dans notre le nom est WIN-SERVER et 172.16.1.3 comme IP
CCNA Security 2012/2013 Intégration de Compétence
91
-Saisir le même nom au niveau de la section services define
-Enregistré puis quitter
Faite un test de configuration avec la commande de vérification
# /usr/local/nagios/bin/nagios –v /usr/local/nagios/etc/nagios.cfg
CCNA Security 2012/2013 Intégration de Compétence
92
-Avant de redémarrer le service NAGIOS nous allons installer NSClient++ qui est le plugin
charge de renseigne notre serveur de supervision
-Pour télécharger NSClient++ tapez le lien suivant dans un navigateur Web
http://sourceforge.net/projects/nscplus/files/nscplus/NSClient%2B%2B%200.3.8/
Télécharger la dernière version disponible en format .MSI
-Puis installer sur la machine Windows à surveiller
-Cliquez sur typical puis sur NEXT
CCNA Security 2012/2013 Intégration de Compétence
93
-renseigner l’adresse IP du serveur NAGIOS et cocher les deux cases
Check_nt et check_nrpe puis NEXT
-Ensuite cliquez sur install
-Allez dans le menu démarrer dans exécuter tapez services.msc puis OK
CCNA Security 2012/2013 Intégration de Compétence
94
-Localiser NSClient++
-Faite un cliquez droit et allez dans propriétés dans l’onglet connexion cochez la case
Autoriser le service à interagir avec le bureau
-Appliquer et OK
-Retourner sur le serveur NAGIOS puis recharge le deamon du serveur
#/etc/init.d/nagios restart
-Tapez l’adresse du serveur NAGIOS dans un navigateur suivi du /nagios
CCNA Security 2012/2013 Intégration de Compétence
95
Renseigner le login et le mot de passe pour accéder à l’interface de gestion
-Cliquez sur hosts group
-Le tableau encadré en rouge représenter notre serveur Windows
-Cliquez sur WIN-SERVER pour voir les vérification de notre serveur
CCNA Security 2012/2013 Intégration de Compétence
96
Webographie :
www.nicolargo.com
www.developez.com
CCNA Security 2012/2013 Intégration de Compétence
97
VI. Mise en place Ossec
CCNA Security 2012/2013 Intégration de Compétence
98
Introduction
OSSEC est un HIDS (Host-based Intrusion Detection System). Il s’agit en quelque sorte
d’une sonde qui travaille sur une machine en particulier et analyse les éléments propres à cette
machine. OSSEC dispose de fonctionnalités adaptées à son utilisation, comme l’analyse de
logs, la détection de rootkit, les alertes en temps réel et les réponses actives.
OSSEC fonctionne sur la plupart des OS communément rencontrés : Windows, Linux, Mac
OS, HP-UX, solaris, … Il s’appuie sur un schéma client / Serveur :
d’une part le Manager, qui met à disposition les éléments permettant d’évaluer les clients et
stocke les informations renvoyées par ces clients
d’autre part un agent, qui se charge de récupérer les éléments nécessaires aux analyses et
pousse le tout au Manager
CCNA Security 2012/2013 Intégration de Compétence
99
Installation et configuration d'Ossec sur Ubuntu
Ossec est un détecteur d'intrusion du type HIDS (Host-based Intrusion Détection System). Il
est l'un des HIDS des plus utilisés, très facile d'accès tant pour l'installation que pour
l'utilisation.
Mais que fait Ossec exactement :
Vérification de l'intégrité des fichiers systèmes.
Analyse des logs et remontée
Détection des rootkits
Mécanisme de prévention actif (lancement de règle iptables par exemple)
Sévérité des alertes classés de 0 à 15
Prérequis
Avant de passer à l’installation d’Ossec, il faut au préalable installer certains paquets, à
adapter selon vos besoins.
$ sudo apt-get update
$ sudo apt-get upgrade
$ sudo apt-get install wget man ssh build-essential libgnutls-dev check install
Téléchargement
Pour installer Ossec, il faut tout d’abord télécharger et décompresser la dernière version
wget http://www.ossec.net/files/ossec-hids-2.7.tar.gz
tar xzvf ossec-hids-2.7.tar.gz
cd ossec-hids-2.7.
CCNA Security 2012/2013 Intégration de Compétence
100
Installation d’ossec avec la commande
./install.sh
Choix du role: serveur
CCNA Security 2012/2013 Intégration de Compétence
101
Pour démarrer ossec on utilisera la commande :
# /var/ossec/bin/ossec-control start et pour stopper #/var/ossec/bin/ossec-control stop
CCNA Security 2012/2013 Intégration de Compétence
102
Installation de l’interface web d’ossec
cd /var/www
wget http://www.ossec.net/files/ui/ossec-wui-0.3.tar.gz
tar xvzf ossec-wui-0.3.tar.gz
mv ossec-wui-0.3 ossec
chown -R user-apache: ossec
cd ossec
./setup
Ajouter un agent de surveillance sur un autre serveur :
Lancez cette commande sur le serveur ossec et suivez les instructions :
/opt/ossec-server/bin/manage_agents
Ensuite utilisez la commande suivante pour importer la clef que vous aurez copier, sur le
client, ce qui lui permettra de faire ces remontées au serveur ossec.
/opt/ossec-agent/bin/manage_agents
Ces commandes sont à adapter selon votre installation.
Maintenant rendez-vous à l'url qu’on a choisi pour l'interface :
Elle doit être de la forme : http://ossec.domain.fr ou http://ip-serveur/ossec
Si au lancement de l'interface web vous obtenez une erreur de type opendir failed
(/var/ossec) dans vos logs ou Unable to access ossec directory et que vous avez modifié le
répertoire d'ossec à l'installation (/opt/ossec... par exemple, il faut éditer le fichier
/var/www/ossec/ossec_conf.php et faire le changement adéquate :
/* Ossec directory */
$ossec_dir="/home/ossec";
Parfois il faut attendre quelques minutes avant d'avoir les premières remontées.
Administration et commandes:
Pour afficher la liste des agents actifs on tape :
/opt/ossec-server/bin/agent_control -lc
Enlevez le c pour avoir la liste de tous les agents meme ceux qui ne sont pas encore actif.
Pour interroger le status d'un agent le 002 par exemple on tape :
/opt/ossec-server/bin/agent_control -i 002
CCNA Security 2012/2013 Intégration de Compétence
103
Screenshots :
Voici un petit aperçu de l'interface :
CCNA Security 2012/2013 Intégration de Compétence
104
Conclusion
Il est indéniable qu’OSSEC dispose de fonctionnalités clé qui permettent d’avoir un état en
temps réel de votre infrastructure. En cela, il devient un des outils nécessaires à tout
administrateur voulant contrôler un peu plus ce qui se passe sur son parc.
Cependant, comme pour tous les outils puissants, il reste maintenant à faire un peu de tri dans
les informations renvoyées, afin de distinguer celles qui sont vraiment importantes de celles
qui relèvent plus de l’anecdote. Car c’est un risque identifié : plus il y a de bruit, et moins on
voit le problème…
CCNA Security 2012/2013 Intégration de Compétence
105
VII. Mise en place Prelude
CCNA Security 2012/2013 Intégration de Compétence
106
Introduction
Prelude-IDS est un système de détection d'intrusions et d'anomalies distribué sous licence
GPL, il est composé des types de détecteurs hétérogènes :
un NIDS : Network Intrusion Detection System : Snort
un HIDS : Host based Intrusion Detection System : OSSEC
un LML : Log Monitoring Lackey. Module de prelude : prelude-lml
Un tel système vient compléter la panoplie des équipements et logiciels de sécurité (routeurs
filtrants, serveurs proxy, pare-feu...) et offre à l’exploitant Sécurité et/ou l’analyste un outil de
contrôle des activités suspectes ou illicites (internes comme externes). L’intérêt de Prelude est
de pouvoir centraliser les alertes dans sa base de données et de les normaliser au format
IDMEF (Intrusion Detection Message Exchange Format), puis visualisable dans une interface
web
Pré-requis
Une bonne connexion Internet
Une machine Ubuntu version 8.04
Apt-get update
Apt-get upgrade
Puis ces paquets afin d’éviter certains problèmes lors de la configuration :
Apt-get install man wget ssh build-essential checkinstall libpcap-dev flex byacc gtk-doc-tools
libssl-dev libxml-dev libpcre3-dev libfam-dev gnutls-bin libgcrypt11-dev libgnutls-dev
libgpg-error-dev libopencdk10-dev libxmlsec1 libxmlsec1-gnutls
CCNA Security 2012/2013 Intégration de Compétence
107
Installation et Configuration
Prelude fonctionne avec plusieurs modules qui sont:
Libprelude
LibpreludeDB
Pelude-Manager
Prelude-correlator
Prelude-LML
Prewikka
Libprelude
Libprelude est une bibliothèque permettant une communication sécurisée entre différentes
sondes et un serveur Prelude (Prelude-Manager). Pour l’installer il faut télécharger ce paquet :
Wget http://www.prelude-ids.com/download/releases/libprelude/libprelude-0.9.24.1.tar.gz
Apres on décompresse le paquet avec tar zxf libprelude-0.9.24.1 puis ./configure ; make et
make install. Puis ajouter la ligne /usr/local/lib tout en éditant le fichier /etc/ld.so.conf. Voir
figure1
figure1
Cette partie correspond à la configuration de Prelude en général, c’est-à-dire à Libprelude
installé sur un poste client ou serveur. En effet, quel que soit l’usage, et l’installation étant la
même sur les deux types de postes, la configuration de base de Prelude se trouve par défaut
dans le répertoire /usr/local/etc/prelude/default.
Ce dossier contient plusieurs fichiers de configuration tels que:
client.conf : il permet de configurer l’agent ou la sonde (prelude-correlator) mais aussi
d’indiquer l’adresse du serveur prelude-manager
global.conf : il est permet de paramétrer certaines options pour gérer des champs à remplir
lors de l’envoi d’alerte, ou encore pour préciser les informations sur le poste serveur ou client
(multiples adresses ip, nom du vlan, …etc).
idmef-client.conf : Quant à ce fichier, idmef-client.conf, il contient les liens vers les deux
fichiers précédents, à savoir client.conf et global.conf.
tls.conf : Afin de paramétrer la génération des certificats, comme la durée de vie ou la valeur
de la clé de cryptage (par défaut 1024), il faut éditer le fichier tls.conf
LibpreludeDB
CCNA Security 2012/2013 Intégration de Compétence
108
La librairie LibpreludeDB permet la gestion du type et du format de la base de données
utilisée pour stocker les alertes au format IDMEF. Elle offre aussi la possibilité de gérer la
base de données sans utiliser du SQL, grâce à l’usage de commandes, spécialement
développées pour interagir depuis un terminal Linux.
Installer d’abord le paquet avec Apt-get install mysql-server puis télécharger la librairie dans :
Wget http://www.prelude-ids.com/download/releases/libpreludedb/libpreludedb-0.9.15.3.tar.g
On décompresse avec tar zxf, ./configure, make et make install puis éditer /etc/ld.so/conf le
fichier pour inclure les lignes suivantes. Voir figure2
figure2
Pour la configuration, il faut créer une base de données qui nous permettra de stocker les
alertes : il faut d’abord se connecter en tant root avec un mot de passe ici passe= pass=2. La
commande est :
mysql -u root –p. voir figure3
figure3 : connexion au server SQL
Puis créer la base et l’utilisateur qui va se connecter dans mysql-server. Voir figure4
CCNA Security 2012/2013 Intégration de Compétence
109
figure4 : création d’une base de données
La connexion d’utilisateur au serveur mysql. Voir figure5
figure5 : connexion d’un user de la base
Prelude-Manager
Prelude-Manager est le composant principal de Prelude, il joue le rôle de serveur. En effet, il
réceptionne les alertes IDMEF provenant de ses sondes ou de ses composants (Prelude-
Correlator).
Pour l’installation on télécharge le paquet avec :
Wget http://www.prelude-ids.com/download/releases/prelude-manager/prelude-manager-
0.9.15.tar.gz puis on décompresse avec tar zxf, ./configure, make et make install
Apres éditer le fichier /etc/ld.so.conf pour inclure les lignes suivantes. Voir figure6
figure6
Pour la configuration de base il faut éditer le fichier suivant : prelude-manager.conf qui se
trouve dans /usr/local/etc/prelude-manager/prelude-manager.conf
Puis spécifier l’adresse sur laquelle prelude-manager doit écouter. Ici elle est globale
donc 0.0.0.0. Voir figure
CCNA Security 2012/2013 Intégration de Compétence
110
Puis indiquer les paramètres de la base de données, ce qui permettra à prelude-manager d’être
prêt à démarrer et à fonctionner. Voir figure7
figure7 : paramètres de DB dans prelude-manager
Prelude-Correlator
C’est un outil de corrélation multiflux, utilisant des règles écrites en Python pour corréler les
alertes IDMEF reçues par Prelude-Manager. Pour l’installation d’abord préparer
l’environnement Python avec Apt-get install python puis télécharger le paquet de corrélation
avec : wget http://www.prelude-ids.com/download/releases/prelude-correlator/prelude-
correlator-0.9.0-beta6.tar.gz. Décompressez avec le tar zxf, ./configure, make et make install.
Puis inclure la ligne « include /usr/local/lib/prelude-correlator » dans le fichier /etc/ld.so.conf
Pour la configuration c’est simple car y a pas grande chose à faire, il suffit d’éditer le fichier
client.conf qui se trouve dans /usr/local/etc/prelude/default, pour inclure l’adresse du server
(ici 172.16.1.2). On peut implémenter des règles mais ce n’est pas le cas ici.
Prelude-LML
Prelude-LML est un analyseur de fichiers de logs. En agissant comme sonde auprès de
Prelude-Manager, il collecte et analyse les informations issues de tous types d’applications
émettant des évènements sous forme de journaux systèmes, de massages syslog, …etc. Il
détecte des activités suspectes lors de ses analyses, puis génère des alertes au format IDMEF
et les transmet au serveur Prelude.
Télécharger le paquet sur wget http://www.prelude-ids.com/download/releases/prelude-
lml/prelude-lml-0.9.15.tar.gz puis installer et inclure la ligne suivante :
Include /usr/local/lib/prelude-lml dans /etc/ld.so.conf
Pour configurer éditer le fichier /usr/local/etc/prelude-lml/prelude-lml.conf
Prelude-Prewikka
Interface web de Prelude. Prewikka permet de visualiser les alertes reçues par Prelude-
Manager. La mise en place de l’interface web nécessite d’installer quelques paquets
supplémentaires :
Apt-get install apache2 libapache2-mod-python mysql-server python python-dev python-
setuptools. Puis on télécharge le paquet avec wget http://www.prelude-
ids.com/download/releases/prewikka/prewikka-0.9.17.tar.gz. Apres on décompresse avec tar
zxf, ./configure, make et make install. Il y a des paquets pour l’interface qu’il faut installer :
Apt-get install cheetah
CCNA Security 2012/2013 Intégration de Compétence
111
Python setup.py build
Python setup.py install
Pour la configuration, il faut d’abord, pour l’interface Prewikka, il faut créer une base de
données. Voir figure
figure8 : création d’une base de données prewikka
Pour la configuration de base il faut éditer le fichier prewikka.conf qui se trouve dans le
répertoire prewikka pour ajouter la base de Manager et celle de prewikka. Voir figure9
figure9 : fichier prewikka.conf
CCNA Security 2012/2013 Intégration de Compétence
112
Pour la configuration de apache2 on crée d’abord un site pour notre prewikka ici
/etc/apache2/sites-available/prewikka puis on édite ce dernier pour le configurer. Voir
figure10
figure10 : fichier apache2 de prewikka
Il faut inclure le fichier prewikka dans /etc/apache2/apache2.conf
Puis redémarrer apache2 pour que la configuration faite soit prise en compte avec
/etc/init.d/apache2 restart
NB : N’oubliez pas d’inclure l’adresse du serveur prelude-manager dans le fichier client.conf
qui se trouve dans /usr/local/etc/prelude/default
Test
Apres l’installation et configuration de ces services, Prelude doit marcher mais ce qui n’est
pas le cas ici car il y a certains paquets qui ne s’installent pas donc aucun résultat.
CCNA Security 2012/2013 Intégration de Compétence
113
Conclusion
L’application Prelude est disponible uniquement sous Linux, bien qu’il ait une offre payante
(support, fonctionnalités supplémentaires, …), le logiciel est gratuit.
Prelude est un SIM Universel. Prelude collecte, normalise, catégorise, agrège, corrèle et
présente tous les événements sécurité.
Visualisez en temps réel l'ensemble de vos données sécurité, exporter des rapports :
transformer vos données brutes en information utile
CCNA Security 2012/2013 Intégration de Compétence
114
VIII. Mise en place Snort
CCNA Security 2012/2013 Intégration de Compétence
115
Introduction
En anglais, Snort signifie «renifler ». Snort est un système de détection d'intrusion libre (ou
NIDS) publié sous licence GNU GPL (Licence définissant le mode d’utilisation et de
distribution des logiciels libres). À l'origine écrit par Martin Roesch, il appartient actuellement
à Sourcefire. Des versions commerciales intégrant du matériel et des services de supports sont
vendues par Sourcefire. Snort est un des NIDS les plus performants. Il est soutenu par une
importante communauté qui contribue à son succès.
Modes d’utilisation de Snort
Il existe 4 modes d’exécutions de Snort :
Mode sniffer
C’est un snif de réseau classique. Inutile de s’y attarder, d’autres logiciels comme wireshark
le font très bien, et la valeur réelle de Snort n’est pas là.
Mode Packet logger
De même que le mode sniffer, sauf qu’il écrit le résultat de son observation dans un fichier
log. Je ne m’y attarderai pas plus.
Mode NIDS (Network Intrusion Detection System)
Cela devient plus intéressant. Ce mode fait l’objet de mon stage. Il s’agit de l’utilisation de
Snort avec analyse du trafic aux vues de règles de sécurités actualisées. Snort en NIDS a une
valeur d’observation.
Mode IPS (IPS= Intrusion Prevention System) ou Snort inline
Le mode IPS n’est plus Snort à proprement parler. Il s’agit d’une autre version basée sur Snort
2.6 appelée Snort inline. Cette version permet de modifier ou de rejeter des paquets. Je
décrirai rapidement sa mise en place en fin de rapport.
w
CCNA Security 2012/2013 Intégration de Compétence
116
Installation
L’installation se fera une station Ubuntu 10.4 avec les fonctionnalités indispensables à la
bonne réalisation de Snort. Pour installer ces paquets nous allons utiliser ces commandes
suivantes :
sudo apt-get install nmap
sudo apt-get install nbtscan
sudo apt-get install apache2
sudo apt-get install php5
sudo apt-get install php5-mysql
sudo apt-get install php5-gd
sudo apt-get install libpcap0.8-dev
sudo apt-get install libpcre3-dev
sudo apt-get install g++
sudo apt-get install bison
sudo apt-get install flex
sudo apt-get install libpcap-ruby
sudo apt-get install mysql-server
sudo apt-get install libmysqlclient16-dev
Data acquisition API Indispensable pour les versions de Snort après la 2.9.0. Ce composant
permet d’acquérir des paquets sur le réseau.
Sudo tar zxvf daq-0.6.2.tar.gz
Cd daq-0.6.2
Sudo. /configure
Sudo make
Sudo make install
Libnet
CCNA Security 2012/2013 Intégration de Compétence
117
Libnet, est une bibliothèque opensource. Elle permet de fabriquer et d'injecter facilement des
paquets sur un réseau.
sudo tar zxvf libnet-1.12
cd libnet-1.12/
sudo make
sudo make install sudo ln –s /usr/local/lib/libnet.1.0.1 /usr/lib/ libnet.1
Installation de Snort NIDS
Une fois le fichier téléchargé, ouvrir un terminal et exécuter les commandes suivantes :
Sudo tar zxvf snort-2.9.2.tar.gz
cd snort-2.9.2
sudo ./configure --prefix=/usr/local/snort --enable-sourcefire
sudo make
sudo make install
sudo mkdir /var/log/snort
sudo mkdir /var/snort
sudo groupadd snort
sudo useradd -g snort snort
sudo chown snort:snort /var/log/snort
CCNA Security 2012/2013 Intégration de Compétence
118
A cause d’un problème de connexion on du télécharger les paquets via navigateur, et donc
avec les commandes notées ci-dessus.
Les paquets étant téléchargées nous passons à la configuration de snort avec le fichier
snort.conf qui le grand problème de ce rapport parce de dernier est sensé se trouvé dans
etc/snort/snort.conf ce qui n’est pas le cas car quand on debute les configurations
CCNA Security 2012/2013 Intégration de Compétence
119
On ne peut enregistrer la config vu que le fichier n’existe pas
Et donc nous avons vérifié dans etc et là nous ne trouvons pas le dossier snort
CCNA Security 2012/2013 Intégration de Compétence
120
Ce fichier étant indispensable au fonctionnement de snort notre installation s’arrêtera ici.
Toutefois nous allons expliquer comment se fais une bonne config snort.
On comment par notre fichier snort.conf dans lequel nous feront les modifications suivantes
Interfaces réseau
Afin d’utiliser Snort, il nous faut donc 2 interfaces réseau. La première reliée à la console de
management, et la seconde au réseau à sniffer. Modification du fichier « interfaces »:
Sudo gedit /etc/network/interfaces
Et on remplace les lignes :
auto eth1 iface eth1 inet dhcp
Par :
auto eth1
iface eth1 inet static
address 172.16.1.3
CCNA Security 2012/2013 Intégration de Compétence
121
Netmask 255.255.255.0
Network 172.16.1.0
Broadcast xxx.xxx.xxx.xxx
Gateway 172.16.1.10
On ajoute maintenant ces lignes qui permettront de démarrer l’interface avec son IP :
auto eth1
iface eth1 inet manual
ifconfig eth1 up
On enregistre et on relance :
sudo /etc/init.d/networking restart
Afin de lancer Snort automatiquement sur notre machine, on peut éditer le fichier rc.local :
sudo vi /etc/rc.local
On colle les lignes suivantes après « exit 0 » :
ifconfig eth1 up
/usr/local/snort/bin/snort -D -u snort -g snort \
-c /usr/local/snort/etc/snort.conf -i eth1
/usr/local/bin/barnyard2 -c /usr/local/snort/etc/barnyard2.conf \
-G /usr/local/snort/etc/gen-msg.map \
-S /usr/local/snort/etc/sid-msg.map \
-d /var/log/snort \
-f snort.u2 \ -w /var/log/snort/barnyard2.waldo \ -D
On enregistre et on quitte le fichier. Désormais, en redémarrant ou en utilisant la commande
ci-dessous, on lance Snort :
sudo /etc/init.d/rc.local start
Test de la configuration de Snort
Création d’une règle locale de test
Editer le fichier local.rules, ou bien le créer s’il n’existe pas.
CCNA Security 2012/2013 Intégration de Compétence
122
$ sudo gedit /etc/snort/rules/local.rules
Puis y ajouter cette ligne de test, qui sert à envoyer des alertes lorsque Snort sniffe et détecte
des pings sur le réseau :
alert icmp any any -> any any (msg:"test ICMP";sid:10000001;)
Lancement de Snort
Démarrage de Snort:
$ sudo /usr/local/snort/bin/snort -c /etc/snort/snort.conf
Test
Lancement du test de la règle local.rules :
$ sudo ping x.x.x.x
Vérification
Puis vérification de la présence des alertes générées, normalement, après le test, dans la base
de données, et dans le fichier de logs :
$ sudo gedit /var/log/snort/alert
Et/ou
$ sudo mysql –u snort –p –D snort –e “select count(*) from event”
Administration de Snort
Snort ne possède qu’une seule commande, snort, cette dernière regroupe toutes les options
nécessaires pour le fonctionnement de l’application.
Usage :
/usr/local/snort/bin/snort [-options] <filter options>
Pour plus d’informations sur les options de la commande :
/usr/local/snort/bin/snort --h
Démarrage de Snort
Pour démarrer Snort, il faut entrer cette commande :
$ sudo /usr/local/snort/bin/snort -c /etc/snort/snort.conf
La visualisation des alertes se fait dans le fichier alert :
$ sudo gedit /var/log/snort/alert
CCNA Security 2012/2013 Intégration de Compétence
123
Conclusion
Snort est outil puissant de sécurité réseau qui a pour rôle d’écouter sur le réseau
à la recherche d’attaques de pirates, qu’il détecte grâce à de nombreuses règles.
Dans notre projet snort n’a pas marché en virtuel mais dans une implémentation
parallèle sur machine physiquement ce dernier est fonctionnel à 100 % et ça sera
cette machine qu’on utilisera dans la mise en place du projet.
CCNA Security 2012/2013 Intégration de Compétence
124
Mise en place zone DMZ
CCNA Security 2012/2013 Intégration de Compétence
125
A. Mise en place Pare-feu
CCNA Security 2012/2013 Intégration de Compétence
126
Introduction
Pfsense, ou ≪ Packet Filter Sense ≫ est un Firewall / routeur propose en Live CD d’environ
50Mo (installable a la manière d’Ubuntu par exemple). Pfsense est base sur un système
d’exploitation BSD, réputé pour sa stabilité et sur m0n0wall qui est aussi un Firewall /
Routeur Open
Source mais conduit par un autre projet.
CCNA Security 2012/2013 Intégration de Compétence
127
Installation
D’abord l’installation s’est effectuée sur Virtual Box avant d’être implémenté physiquement
L’installation se fait comme suite :
Premièrement insérer le CD dans le lecteur ou le monter dans lecteur virtuel
Choix du lecteur sur lequel vous voulez qui boot dans mon cas j’ai choisi le <<H :>> ensuite
de ça appuyer sur démarrer
CCNA Security 2012/2013 Intégration de Compétence
128
CCNA Security 2012/2013 Intégration de Compétence
129
Entre temps à vous de faire votre choix ; pour cette installation j’ai choisi l’option 1 qui est
l’option par défaut
Pour installer appuyer sur (I)
Pour installer en live CD appuyer sur (C)
Dans ce cas on choisit I et attendez une interface bleu
Appuyez sur Accept these settings
CCNA Security 2012/2013 Intégration de Compétence
130
De mon coter j’ai choisi la première option qui est Quick/Easy Install c’est plus flexible et
facile et appuyer sur OK
CCNA Security 2012/2013 Intégration de Compétence
131
Vous avez un message affiché qui vous de dit redémarrer et après redémarrage retirer le CD
Et voilà votre système qui redémarre
CCNA Security 2012/2013 Intégration de Compétence
132
Configuration
La configuration du pare-feu comprend trois cartes réseaux d’où la :
Première est externe
Deuxième est interne
Troisième est le Dmz
Vous êtes invités à entrer le nom de chaque cartes réseaux
La question vous ait posée, voulez-vous procéder oui ou non ? Vous devez dire oui si vous
voulez que le changement de nom de vos trois interfaces puisse prendre effet.
Pour attribuer d’adresse ip à différentes interfaces, appuyez sur (2)
CCNA Security 2012/2013 Intégration de Compétence
133
Suivez les instructions et faites de même pour tous les autres
Nous allons essayer de configurer les règles mais bien avant, nous prendrons une machine
avec laquelle nous tenterons d’accéder à l’interface graphique du serveur pare-feu pfsense.
Vous verrez une interface graphique après avoir mis l’adresse ip de votre choix dans l’URL
ensuite un login et un mot de passe par défaut vous ait demandé qui est :
Login : admin
Password : pfsense
CCNA Security 2012/2013 Intégration de Compétence
134
Pour configurer tous ce qu’il nous faut pour le pare-feu appuyer sur settings-setup wizard
Ici vous observerez les différents champs à remplir
-INTERNE
CCNA Security 2012/2013 Intégration de Compétence
135
Voici la configuration de l’interne
Pour configurer les règles il faut cliquer sur firewall-rules
CCNA Security 2012/2013 Intégration de Compétence
136
Ensuite vous faites Save et apply changes
CCNA Security 2012/2013 Intégration de Compétence
137
La première règle permet à ceux de l’interne d’atteindre l’externe.
La deuxième permet à ceux de l’interne d’échanger entre eux.
-DMZ
Remarquez comme je vous l’avais dit précédemment qu’il faut sauvegarder et appliquer les
changements
Vous faites les mêmes choses que celui de l’interne
CCNA Security 2012/2013 Intégration de Compétence
138
C’est aussi la même règle appliquée pour le DMZ
-EXTERNE
CCNA Security 2012/2013 Intégration de Compétence
139
Conclusion
Une conclusion voudrait que le travail soit achevé, or nous venons d’initier un document
Poussé à évoluer. En effet vous avez surement remarqué que certains services proposés par
Pfsense ne sont pas traités. Or pour ainsi dire que le travail à fonctionner il faudrait y arriver
au test, d’où l’application pfsense est un logiciel linux permettant d’administrer un réseau
entier comme par exemple configurer un proxy, vpn, etc… Elle permet d’accomplir plein de
taches.
CCNA Security 2012/2013 Intégration de Compétence
140
B. Mise en place DNS
CCNA Security 2012/2013 Intégration de Compétence
141
Introduction
Un serveur de nom fait la résolution des noms en adresses IP. Il est l’un des composantes les
plus critiques dans un réseau. La nécessité de mettre en place un serveur de nom dans un
réseau vient du fait que le serveur principal pourrai être non disponible.cette installation de
DNS sera suivit de l’installation d’un raid5 sur le serveur dans le but d’améliorer les
performances et augmenter la fiabilité en apportant la tolérance de panne. (Redundant Array
of Independant Disks )
CCNA Security 2012/2013 Intégration de Compétence
142
I. etape1 : configuration du DNS
Afin d’installer un D N S sous linux nous avons besoin d’insttaller bind9,pour cela ouvrons
le terminal et tapons :
#apt-get install Bind9
Apres l’installation des paquets position nous sous /etc /bind et faisons cp –r bind bindold
Editons le fichier name.conf.local en ajoutant les parametres ZONE pour cela taponst #gedit
name.conf .local
Copions ensuite notre fichier db.local dans security.zone qui est un répertoire qu’ on crée
(mkdir
#cp db.local security.zone et éditons security.zone
CCNA Security 2012/2013 Intégration de Compétence
143
#gedit security.zone
Puis copions security.zone dans security.local
#cp security.zone security.local
Editons aussi security.local
#gedit security.local
CCNA Security 2012/2013 Intégration de Compétence
144
Editons le fichier rsolv.conf après nous être positionné sur le répertoire /etc
#gedit resolv.conf
Inserer le parameter :nameserver 192.168.1.1(adrresse de votre serveur DNS)
Et enfin editer le dernier fichier qui est HOSTS
#gedit hosts
CCNA Security 2012/2013 Intégration de Compétence
145
ajoutons ce parametre dans le fichier hosts :192.168.1.1 DNS security.com
DNS.security.com
Redemarons le service avec /etc/init.d/bind9 restart
Verifons si notre DNS marche avec la commande dig security.com
CCNA Security 2012/2013 Intégration de Compétence
146
CCNA Security 2012/2013 Intégration de Compétence
147
I. etape2 : configuration d’un raid5
Configuration d’un raid 5
Installons d’abord le paquet mdadm#apt-get install mdadm
Puis installons le paquet ncurses #apt-get install libncurses5-dev
et installons :
Positionons nous sur /usr/src/linux-headers-2.6.32-21
Et faisons #make menuconfig et choisissons Device drivers(entrer pour selectionner)
CCNA Security 2012/2013 Intégration de Compétence
148
Selectionner la ligne multiple driver support
CCNA Security 2012/2013 Intégration de Compétence
149
Chageons l’etat modulaire des raids en static(M en etoile)
Sortons du noyau et entre YES pour valider nos changements
CCNA Security 2012/2013 Intégration de Compétence
150
Creons nos partitions de nos trois disque
Commençons par le disque sdb qui est le premier disque qui ne possede pas encore de
partition
Commande(m pour l’aide) : n (tapons n)
Commande d’action : tapons P pour une partion primaire
Numero de partition (1-4) : 1 (tapons 1)
Laissons le premier cylindre et le der nier cylindre sur la valeur par defaut qui est 1 , qu’ on
vient de choisir precedement
Pour le code hexa :tapons la valeur Fd
Commande(m pour l’aide) : W (tapons W pour finaliser la partition du disque notre )
CCNA Security 2012/2013 Intégration de Compétence
151
Ces etapes de partition doivent etre repeter pour les deux autres disque sdc et sdd
Tapons la commande suivante pour créer un volime raid5 : mdadm --create /dev/md0 --
level=5 --raid-devices=3 /dev/sdb1 /dev/sdc1 /dev/sdd1
Enregistrons le volume raid 5
Scannons ensuite le volume raid et inscrivons le dans fichier mdadm.conf
Creation d’un system de fichier
CCNA Security 2012/2013 Intégration de Compétence
152
Montons ensuite le volume dans un fichier raid5 que nous créons .
Editons le fichier /etc/fstab et inserons la ligne suivante :
/dev/md0 /mnt/raid5 auto defaults 0 3
Enfin enre
Enfin enregistrons et quittons ce fichier.
Lancer un redémarrage de votre machine et lister vos disque vous verrez qu’ils sont
partitionner.
CCNA Security 2012/2013 Intégration de Compétence
153
Conclusion
grâce au système (Domain Name System) il est possible d'associer des noms en langage
courant aux adresses numériques. Le système DNS nous propose donc :
un espace de noms hiérarchique permettant de garantir l'unicité d'un nom dans une
structure arborescente, à la manière des systèmes de fichier Unix.
un système de serveurs distribués permettant de rendre disponible l'espace de noms.
un système de clients permettant de « résoudre » les noms de domaines, c'est-à-dire
interroger les serveurs afin de connaître l'adresse IP correspondant à un nom.
CCNA Security 2012/2013 Intégration de Compétence
154
C. Mise en place serveur Mail
CCNA Security 2012/2013 Intégration de Compétence
155
Introduction
Exchange est un produit qui a commencé sa carrière en 1996. À l'époque, Active Directory
n'existait pas. Depuis l'apparition d'Active Directory en 1999, Exchange se base dessus. Les
versions avant Exchange 2000 embarquaient donc leur propre annuaire pour gérer les
utilisateurs. Aujourd'hui, nous sommes à la version 2010. Cette version apporte de nombreux
changements par rapport à la version 2007, notamment sur la partie haute disponibilité et les
besoins matériels (revus à la "baisse). Je ne vais pas présenter ces nouveautés en tant que
telles. De nombreux webcasts sont disponibles sur le site de Microsoft pour découvrir les
nouveautés entre Exchange 2007 et 2010. Dans ce tutoriel, je vais présenter les différents
composants et technologies d'Exchange puis je commencerai par créer une architecture
simple. Ensuite, nous verrons comment implémenter cette architecture. Nous n'allons pas voir
les services de messagerie unifiée qui feront l'objet d'un autre article ni la mise en place d'une
architecture en haute disponibilité.
CCNA Security 2012/2013 Intégration de Compétence
156
Installation
Exchange Server à besoin d'Active Directory (au minimum sur Windows Server 2003) pour
fonctionner. Active Directory va servir à stocker différentes données et également les comptes
utilisateurs activés pour la messagerie.
Plusieurs rôles et fonctionnalités sont requis pour l'installation d'Exchange. Exchange est
fourni avec plusieurs fichiers de configuration selon les rôles à installer. Ces fichiers, au
format XML, se trouvent dans le répertoire Scripts du DVD. Pour installer les prérequis d'une
installation typique d'Exchange, lancez :
POWER SHELL
ServerManagerCmd -ip E:\Scripts\Exchange-Typical.xml
Import-Module ServerManager
Add-WindowsFeature NET-Framework,NET-HTTP-Activation,Web-Server,Web-ISAPI-
Ext,Web-Basic-Auth,Web-Digest-Auth,Web-Windows-Auth,Web-Dyn-Compression,Web-
Metabase,Web-Net-Ext,Web-Lgcy-Mgmt-Console,WAS-Process-Model,RSAT-
ADDS,RSAT-Clustering,RSAT-Web-Server,RPC-Over-HTTP-proxy
Set-Service NetTcpPortSharing -StartupType Automatic
NET-Framework : Fonctionnalités du .NET Framework 3.5.1 ;
NET-HTTP-Activation : Activation HTTP ;
Web-Server : Serveur Web (IIS) ;
Web-ISAPI-Ext : Extensions ISAPI ;
Web-Basic-Auth : Authentification de base ;
Web-Digest-Auth : Authentification Digest ;
Web-Windows-Auth : Authentification Windows ;
Web-Dyn-Compression : Compression de contenu dynamique ;
Web-Metabase : Compatibilité avec la métabase de données ;
Web-Net-Ext : Extensibilité .NET ;
Web-Lgcy-Mgmt-Console : Outils de gestion IIS 6 ;
WAS-Process-Model : Modèle de processus ;
RSAT-ADDS : Outils AD DS ;
RSAT-Clustering : Outils de clustering avec basculement ;
RSAT-Web-Server : Outils du serveur Web (IIS) ;
RPC-Over-HTTP-proxy : Proxy RPC sur HTTP.
Enfin, il vous faudra installer le Filter Pack d'Office 2010 64 bits (FilterPackx64.exe). Ce
pack est utilisé pour l'indexation et le scan des fichiers Office.
CCNA Security 2012/2013 Intégration de Compétence
157
Déploiement
L’installation débute donc avec l’option de langue (français), vu qu’on a NET
FRAMEWORK 3.5 sp1 et power Shell v2 installés
L’option de langue étant sélectionnée ainsi que ceux du contrat Microsoft, on passe aux rôles
exchange
CCNA Security 2012/2013 Intégration de Compétence
158
Dans la partie des rôles exchange 2010 nous choisirons l’installation personnalisée vu qu’on
n’aura pas à utiliser le rôle transport EDGE, lui seulement.
CCNA Security 2012/2013 Intégration de Compétence
159
Ici on a sélectionné tous les autres rôles et on passe au prochain stade ou on s’assurera prendre
l’option «NON» vu qu’on pas Outlook 2003 dans notre infrastructure.
Ensuite nous le test de préparation ou nos configurations antérieures seront examinées, après
quoi si le test est concluant ce qui notre cas on débutera l’installation proprement dite
CCNA Security 2012/2013 Intégration de Compétence
160
Nous venons d’installer avec succès exchange 2010 avec tous ses rôles.
CCNA Security 2012/2013 Intégration de Compétence
161
L’installation étant terminée, nous allons lancer exchange afin de créer les nos boites aux
lettres
CCNA Security 2012/2013 Intégration de Compétence
162
Configuration
Dans la création des boites aux lettres, nous allons utiliser la console Shell Exchange pour sa
rapidité avec la syntaxe suivante :
New-Mailbox -Name 'testmail' -Alias 'mail' -OrganizationalUnit 'UO' -
UserPrincipalName'mail' -SamAccountName 'test' -MAIL '' -Initials '' -test''
Ainsi nous créeront toutes nos boites
CCNA Security 2012/2013 Intégration de Compétence
163
Conclusion
Avec Microsoft Exchange Server 2010, nous atteignons vos objectifs tout en maîtrisant les
coûts de déploiement, d’administration et de conformité. Exchange propose un vaste éventail
d’options de déploiement, nous protège contre les pertes d’informations et vous aide à
respecter les contraintes réglementaires. C’est sans conteste la solution de messagerie et de
collaboration la plus efficace du moment.
CCNA Security 2012/2013 Intégration de Compétence
164
D. Mise en place Apache
CCNA Security 2012/2013 Intégration de Compétence
165
Introduction
Apache est le serveur web le plus répandu sur Internet permettant à des clients
d'accéder à des pages web, c'est-à-dire en réalité des fichiers au format HTML à partir
d'un navigateur installé sur leur ordinateur distant.
Il s'agit d'une application fonctionnant à la base sur les systèmes d'exploitation de type
Unix, mais il a désormais été porté sur de nombreux systèmes, dont Microsoft
Windows.
CCNA Security 2012/2013 Intégration de Compétence
166
I. Création de la page web avec apache2
Tout d’abord installons le Packet apache2 avec la commande apt-get install apache2
Ensuite créons un fichier vhost.conf dans /etc/apache2 grâce à la commande : touch
vhost.conf
Copions le fichier default se trouvant dans /etc/apche2/sites-availlable dans
/etc/vhost.conf puis éditons comme suit :
Une fois cette étape passée, créons un dossier site, puis un fichier index.html dans le
dossier site. Donc tapons mkdir site puis touch index.html.
Ensuite éditons notre fichier index.html
CCNA Security 2012/2013 Intégration de Compétence
167
Enfin nous devrons inclure notre fichier vhost.conf en faisant gedit
/etc/apache2/apache2.conf
CCNA Security 2012/2013 Intégration de Compétence
168
II. Sécurisation de la page web
Pour que le protocole SSL puisse fonctionner avec le Serveur HTTP
Apache2, il faut activer le module ssl avec la commande : a2enmod ssl
Ensuite Activons la configuration du site ssl avec la commande a2ensite
default-ssl
Enfin redémarrons le service apache2
Dans le navigateur, vérifions si notre page web est bien sécurisée en tapant
l’adresse de notre site qui est de 192.168.1.2 .une page apparait nous indiquant
que cette connexion n’est pas certifiée.
Cliquons ensuite sur je comprends les risques
puis sur ajouter une exception
CCNA Security 2012/2013 Intégration de Compétence
169
Enfin confirmons l’exception de sécurité
Ici s’affiche notre page web sécurisée.
CCNA Security 2012/2013 Intégration de Compétence
170
Cliquons sur l’adresse pour voir les détails de la connexion sécurisée https
CCNA Security 2012/2013 Intégration de Compétence
171
CCNA Security 2012/2013 Intégration de Compétence
172
III. Mise en place du raid 5
Le R.A.I.D 5 aussi appelé agrégat par bandes avec parité, est un système permettant de mettre
en place une tolérance de panne au niveau des disques.
Un R.A.I.D 5 se constitue au minimum avec 3 disques avec un système de parité permettant
de récupérer les données même dans le cas d'une panne d'un des disques.
Pour commencer installons les paquets suivant :
apt-get install mdadm.
apt-get install debconf-utils build-essential kernel-package libncurses5-dev.
Ensuite on fait cd /usr/src/linux-headers-2.6.32-21.
Tapons make menuconfig pour rentrer dans le noyau.
Une fois dans le noyau, choisissons Device Drivers
Dans Device Drivers sélectionnons Multiple Devices Driver support (RAID and LVM)
CCNA Security 2012/2013 Intégration de Compétence
173
Sélectionnons les éléments comme suit :
Enregistrons et quittons
CCNA Security 2012/2013 Intégration de Compétence
174
Listons les disques avec fdisk -l
Créons les partitions pour les trois disques.
Pour /dev/sdb tapons fdisk /dev/sdb
Tapons n pour créer une nouvelle partition
CCNA Security 2012/2013 Intégration de Compétence
175
P pour la partition primaire
1 pour le numéro de la partition
t pour modifier l’ID du système de fichier ensuite fd
W pour enregistrer et quitter
Pour les deux autres disques (sdc et sdd) faire la même chose que le premier disque.
Création du volume raid 5 grâce a la commande mdadm --create --verbose /dev/md0 --level=5
--raid-devices=3 /dev/sdb1 /dev/sdc1 /dev/sdd1
CCNA Security 2012/2013 Intégration de Compétence
176
Enregistrons le volume en tapant la commande ci-dessous :
Créons le système de fichiers
Mottons le volume dans /opt/SAUVEGARDE.SAUVEGARDE étant un dossier
préalablement crée
Dans le fichier fstab insérons la ligne suivante mount /dev/md0 /opt/SAUVEGARDE 0 3
CCNA Security 2012/2013 Intégration de Compétence
177
Conclusion
Ici mais fin à la configuration de notre serveur web apache2. Pour accéder
au site web il faut utiliser un client web.
Notre raid5 quand à lui nous permettra de prévenir en cas de panne d’un
disque.
CCNA Security 2012/2013 Intégration de Compétence
178
E. Mise en place Asterisk
CCNA Security 2012/2013 Intégration de Compétence
179
Introduction
L’administrateur de réseaux doit comprendre différentes technologies liées de près à son
champ d’expertise. Dans ce contexte, la téléphonie IP devient un incontournable. Cette
technologie, relativement nouvelle, est de plus en plus présente dans nos organisations.
CCNA Security 2012/2013 Intégration de Compétence
180
I) Configuration d’Asterisk
Configuration de notre fichier sip.conf pour l’enregistrement de nos utilisateurs
Configuration de notre fichier extensions.conf
CCNA Security 2012/2013 Intégration de Compétence
181
Configuration de nos téléphones Xlite pour passer les appels
Entrons les paramètres de configurations des utilisateurs
CCNA Security 2012/2013 Intégration de Compétence
182
CCNA Security 2012/2013 Intégration de Compétence
183
CCNA Security 2012/2013 Intégration de Compétence
184
CCNA Security 2012/2013 Intégration de Compétence
185
II) Mise en place du RAID
Mise en place du Raide 5 : Créons tout d’abord trois disk qui prendront en charge notre RAID
Pour la création du Raid, il faut tout d’abord :
Se placer dans le fichier
Après tapez la commande make menuconfig pour se positionner dans le noyau afin
d’activez le paramètre du RAID choisit
CCNA Security 2012/2013 Intégration de Compétence
186
Voyons no différents disk
Sur chaque disque entrons la commande suivante :
Fdisk /dev/sdb
N pour crée une table de partition
P pour choisir le type de partition (primaire(1))
T pour changer ID du disk
Fd pour changer en hexadécimal
CCNA Security 2012/2013 Intégration de Compétence
187
Création du RAID de niveau 5 (RAID5)
Il faut ensuite enregistrer ce nouveau volume auprès de mdadm et le déclarer actif. Si le
fichier mdadm.conf n’existe pas, on le crée puis on y écrit la ligne :
Ensuite on appelle mdadm une nouvelle fois pour scanner les volumes RAID existants et les
inscrire dans ce fichier :
Création du système de fichiers du volume RAID
Puis pour monter le volume dans, par exemple, le dossier /mnt/mount
CCNA Security 2012/2013 Intégration de Compétence
188
Il peut être pratique de toujours monter le volume RAID5 au démarrage du système, pour cela
ajoutons dans le fichier /etc/fstab la ligne :
CCNA Security 2012/2013 Intégration de Compétence
189
Conclusion
Le RAID5 permet de sécuriser ses données, certes, cependant il est faux de croire qu’il est
infaillible. Ce système permet de récupérer les données si un disque est défaillant, mais dans
le cas où les deux disques lâchent en même temps alors toutes les données sont perdues. En
résumé le RAID5 permet de sécuriser ses données dans une certaine mesure ; mais il ne
dispense pas de faire des sauvegardes sur d’autres supports : CD/DVD, disques externes,
voire si les données sont vraiment sensibles (en entreprise par exemple), redondance sur un
autre serveur placé sur un site différent et/ ou archivage sur bandes magnétiques.
CCNA Security 2012/2013 Intégration de Compétence
190
Mise en place zone EXTERNE
CCNA Security 2012/2013 Intégration de Compétence
191
Pour cette zone il nous suffit de configurer le carte du réseau EXTERNE pour qu’elle reçoit les
adresses dynamiquement
CCNA Security 2012/2013 Intégration de Compétence
192
Conclusion Générale
Dans ce projet, nous avons mis nos compétences techniques en œuvre malgré que la réussite a
été partielle. Mais avec le temps nous y remédions à ces problèmes dans la mesure du
possible.