Upload
ayoub-chefai
View
1.257
Download
8
Embed Size (px)
Citation preview
Remerciements
J’exprime ma gratitude à toutes les personnes qui m’ont aidé à accomplir ma tache dans
les bonnes conditions et qui ont su m’accorder toute l’attention nécessaire pour élaborer lé
présent travail.
Je tiens d’abord à remercier mon encadreur Madame Jihen Bakkey pour ses aides, ses
conseils précieux, ses critiques constructives et ses suggestions piétinements qui ont été
remarquables tout au long de ce stage.
J’adresse également mes remercîments à toute l’équipe de la société SACEM de m’avoir
accueilli et incité à mener bien ce travail, en particulier M.Mohamed Drira et M.Saber
Mhadhbi.
Je voudrais témoigner par la suite ma reconnaissance à toutes les personnes qui m’ont
également fait bénéficier de leurs conseils et de leurs expériences.
Mes remerciements les plus distingués sont adressés ensuite aux membres du jury qui
m’ont fait l’honneur de bien vouloir accepter d’évaluer ce travail.
Finalement, j’exprime mes sincères reconnaissances à l’égard de tous ceux qui ont
contribué à ma formation, particulièrement les enseignants de l’Institut Supérieure des Etudes
Technologique de Bizerte.
Table de matière
Introduction générale..............................................................................................................................1
Chapitre 1 : Présentation du cadre du projet...........................................................................................3
I. Présentation de la SACEM..............................................................................................................3
II. Etude de l’existant.........................................................................................................................6
II.1 Description de l’existant..........................................................................................................6
II.2. Critique de l’existant.............................................................................................................11
II.3. Solution proposée.................................................................................................................12
III. Planification du projet................................................................................................................12
Chapitre 2 : Etat de l’art.......................................................................................................................14
I. Gestion des réseaux informatiques................................................................................................14
I.1. Généralité sur les réseaux.......................................................................................................14
I.2. Les éléments principaux du réseau.........................................................................................14
I.3. Les principaux acteurs : les utilisateurs.................................................................................16
II. Notion de gestion des réseaux.....................................................................................................16
II .1 Domaines de gestion des réseaux..........................................................................................17
II.2 Concept de supervision et administration...............................................................................19
II.3. Sécurité informatique des systèmes d’information...............................................................20
II.4. Terminologie de la sécurité informatique..............................................................................20
II.5. Principales attaques et menaces...........................................................................................21
III. Etude de différentes solutions Open Source de surveillance réseau...........................................23
III.1. Nagios..................................................................................................................................23
III.2. Zabbix.................................................................................................................................24
III.3. OSSIM................................................................................................................................25
IV. Choix de la solution à adopter: OSSIM.....................................................................................26
IV.1. Architecture et principe de base.........................................................................................27
Chapitre3 : Spécifications des besoins..................................................................................................32
I .Etude des besoins..........................................................................................................................32
I.1. Besoins fonctionnels..............................................................................................................32
I .2. Besoins non fonctionnels......................................................................................................34
Chapitre 4 : La réalisation....................................................................................................................35
I. Environnement de développement................................................................................................35
I.1. Environnement matériel.........................................................................................................35
I .2. Environnement logiciel.........................................................................................................35
I.3. Choix des outils de développement.......................................................................................37
II. Réalisation et tests......................................................................................................................37
II.1. Installation et configuration.................................................................................................37
II.2. Fonctionnement du framework OSSIM Manipulation de l’interface Web d’OSSIM...........40
Conclusion générale.............................................................................................................................75
Apports du stage...................................................................................................................................77
Bibliographie et Nétograhie................................................................................................................78
ANNEXES...........................................................................................................................................79
ANNEXE1 :.....................................................................................................................................79
ANNEXE2 :.....................................................................................................................................79
Liste de figures
Figure 1: Les différents produits en vente..............................................................................................4Figure 2:L'organigramme de la société...................................................................................................5Figure 3: Architecture du réseau............................................................................................................8Figure 4:Architecture d'OSSIM............................................................................................................31Figure 5:Cheminement du flux d'informations.....................................................................................32Figure 6:Authentification au prés du serveur........................................................................................40Figure 7:Ajout d'un nouvel utilisateur..................................................................................................40Figure 8:Etat globale des alarmes et évènement récent........................................................................41Figure 9:Etat globale des agents ajoutés à OSSIM récemment.............................................................42Figure 10:Etat globale de menaces récentes détectées..........................................................................42Figure 11:Etat globale de la variation du débit du réseau.....................................................................43Figure 12:Etat des incidents.................................................................................................................44Figure 13:Type d'incident.....................................................................................................................44Figure 14:Incidents par utilisateur........................................................................................................45Figure 15:Alarme détectées et sauvegardé par OSSIM........................................................................46Figure 16:Informations générales d'un incident/événement détecté......................................................46Figure 17:Lancer le scan de NESSUS..................................................................................................47Figure 18:Choix des hôtes ou réseau à scanner....................................................................................48Figure 19:Résultat de Nessus...............................................................................................................48Figure 20:Affichage des derniers alertes (signature) par ACID............................................................49Figure 21:Choix du plugin pour l'affichage des alertes........................................................................50Figure 22:Gestion en temps réel des évènements par ACID.................................................................51Figure 23:Inventaire de l'hote 192.168.1.10.........................................................................................52Figure 24:Alarme Report......................................................................................................................52Figure 25:Les logs des utilisateurs du réseau.......................................................................................53Figure 26:Ajout d'un nouvel agent.......................................................................................................54Figure 27:Définition des Agents OSSIM..............................................................................................54Figure 28:Définition des hôtes.............................................................................................................55Figure 29:Ajout d'un nouveau hôte......................................................................................................55Figure 30:Ajout d'un nouveau réseau "HOME"...................................................................................56Figure 32:Ajout d'un nouveau utilisateur "salwa"................................................................................57Figure 31:Network home ajouté...........................................................................................................57Figure 33:Réussite d'ajout du nouveau utilisateur................................................................................58Figure 34:Lancement du Nmap............................................................................................................59Figure 35:Fin du scan Nmap................................................................................................................59Figure 36:Résultat détaillé du svan Nmap............................................................................................60Figure 37:Fichier des alertes sauvegardées...........................................................................................61Figure 38:Les statistiques du trafic global............................................................................................62Figure 39:Classement du trafic par taille de paquet..............................................................................62Figure 40:Classement du trafic par protocole.......................................................................................63Figure 41:Classement du trafic par hôte...............................................................................................64Figure 42:Classement du trafic par service...........................................................................................65Figure 43:Classement du trafic TCP/UDP par distribution de ports.....................................................66
Figure 44:Classement du trafic TCP/UDP par service..........................................................................66Figure 45:Affichage des informations des services d'hôtes 127.0.0.1...................................................68Figure 46:Choix du type de rapport......................................................................................................69Figure 47:Section d'hôte effectué.........................................................................................................69Figure 48:Sélection de l'hôte /service désiré.........................................................................................69Figure 49:Sélection de l'hôte effectué...................................................................................................70Figure 50:Paramétrage des options du rapport.....................................................................................70Figure 51:Rapport d'état de 192.168.1.10.............................................................................................71Figure 52:Détails du status de l'hote localhost......................................................................................72Figure 53:Sommaire des états des groupes d'hôtes.............................................................................72Figure 54:Détails du statut des services des hôtes................................................................................73Figure 55:Configuration simple des paramètres d'OSSIM...................................................................73Figure 56:Configuration avancée des paramètres d'OSSIM.................................................................74
Liste des tableaux
Introduction générale
Introduction générale
De nos jours,le monde évolue de façons exponentielle dans la technologie des
informations .Cette évolution rend la question de sécurité informatique de plus en plus
importante puisque la protection des systèmes informatique, vis-à-vis des menaces que
présente l’ouverture sur le monde numérique, est loin d’être parfaite .Par conséquent le
nombre d’’incidents et de vulnérabilités ne cesse de croitre.
Dans ce contexte, et vue la diversité des équipements réseaux ainsi que le volume important
des données à analyser au sein d’une entreprise,la tache de responsable est la gestion de
sécurité et du système.
A partir de ce point, et pour des raisons aussi bien de compétitive la nécessité de mettre en
place une stratégie de management de la sécurité des informations se basant sur des
plateformes et des outils d’administration et de surveillance réseaux et le management des
informations pour les sociétés.
Mettre en place une telle politique va aider les entreprises et plus précisément les
administrateurs réseaux à mieux gérer et surveiller le système d’information au sein du réseau
informatique, puisque les responsables informatiques sont amenés à non seulement de garantir
l’intégrité et la disponibilité des systèmes d’informations, mais aussi à se prévenir des
incidents que peuvent rencontrer le parc informatique à tous moment.
Ainsi , la centralisation de la surveillance réseau est devenue une préoccupation majeure des
sociétés actuelles, d’où la nécessité d’une plateforme de supervision facilitant le contrôle et la
gestion du système d’information, aidant de se prévenir des incidents systèmes et gérant les
événements et les alertes survenues sur le réseau en se basant sur la méthode de corrélation .
Ce qui améliore bien l’efficacité en administration et rend facile le suivi et le monitoring des
équipements et services réseaux.
Les travaux de ce projet de fin d’études s’inscrit dans le cadre d’une politique globale de
surveillance réseau plus efficace et plus rigoureuse vis-à-vis des menaces internes (réseau
local de l’entreprise) et externes (internet) ,au sein de la société d’accueil (SACEM).
1
Introduction générale
Dans ce contexte se place notre projet de fin d’étude quivise à mettre en place une solution
open Source (solution libre) de surveillance des équipements réseaux de la SACEM, afin
d’assurer le monitoring d’une architecture réseau comportant plusieurs ordinateurs, serveurs,
équipements et services réseau, sachant bien que chacun possède ses propres ressources
locales (CPU, taux mémoire, espace disque, etc …) .
La plateforme qui va être mise en place devrait constituer un système de surveillance en
temps réel, d’alerte, de monitoring puissant, de contrôle continu, de corrélation d’événements,
de réaction omniprésente, de détection d’intrusion et d’administration conviviale pour les
utilisateurs de ce système.
Ce rapport est structuré en quatre chapitres :
Le premier chapitre « présentation du cadre du projet » commence par présenter l’entreprise
d’accueil de notre stage, en décrivant son système d’information et en exposant une vue
globale du service informatique de la société en matière de ressource existantes.
Le deuxième chapitre « l’état de l’art » présente tout d’abord des notions de base et quelques
termes primordiaux, ensuite décrit une étude de l’existant des différentes solutions Open
Source dans le domaine de surveillance réseau.
Le troisième chapitre « la spécification des besoins » qui présente les différents besoins
fonctionnels et non fonctionnels auxquels devrait répondre notre solution.
Le quatrième chapitre « la réalisation » s’intéresse à la mise en place de la plateforme OSSIM
(open source security information management) et l’implémentation au sein du réseau interne
de la société.
2
Introduction générale
Chapitre 1 : Présentation du cadre du projet
Introduction
Dans ce premier chapitre, nous allons présenter l’entreprise d’accueil SACEM et faire une
description détaillée de l’architecture de son système d’information endécrivant les ressources
matérielles et logicielles qui le composent. Enfin, notre solution va être présentée après une
critique de l’existant.
I. Présentation de la SACEM
SACEM industries est une société spécialisée depuis sa création en 1966 dans la fabrication et
la vente de différentes gammes de transformateurs de distribution électriques avec divers
puissances et des chauffe-eau électriques et solaires, elle assure aussi le service après-vente et
la réparation de ses produits.
Depuis sa création, la SACEM Industries demeure le leader sur le marché tunisien grâce à
l’amélioration continue de la qualité de ses produits et ses services et au respect de ses
engagements vis-à-vis de ses clients notamment la satisfaction de leur besoins et de leur
exigences.
Actuellement ,SACEM Industries est leader sur le marché local des transformateurs de
distribution électriques dont la fabrication comprend des transformateurs monophasés de 10 à
200 KVA et des transformateurs triphasés de 25 KVA à 63 Mva .
SACEM Industries fabrique aussi des chauffe-eau électriques de capacité 1000 et 150 litres et
des chauffe-eau électro-solaires de capacité 200 et 300 litres en concordance avec le
programme « PROSOL » lancé par l’agence National de maitrise de l’énergie , dont l’objectif
est l’économie d’énergie et l’exploitation optimale des énergies renouvelables.
Transformateur Chauffe-eau électrique Chauffe-eau électrique
3
Introduction générale
Figure 1: Les différents produits en vente
Les différents départements :
Les différents départements de SACEM industries sont :
Département qualité
Département informatique
Département Production
Département financière et administrative
Département commerciale
Département achat logistique
Département optimisation du cout
L’organigramme de la société est présenté suivant une description de
différents départements :
4
Chapitre 1 : Présentation du cadre du projet
Figure2 :L’organigramme de la société
5
Directeur GénéralRésponsable
de QualitéDirecteur des
usines
Méthodes
Directeur d'etude et
développement
Directeur de ProductionRésponsabl
e maintenanc
e
Résponsable lancement
Résponsable Chaudonner
ie
Résponsable
Réparation
R. Bobinage et ...........
magnitique
Résponsable montage et finition
Résponsable essais et livraisons
Directeur Financier et AdministratifRessouces
Humanes
Comptabilité
Financier
Directeur Commerciale
Chef de Service & Achats
Logistiques
Directeur Optimisation
des cout Service "GPAO"
Service Gestion des
Stock
Service des calcules des
besoins
Service de Planification
Chapitre 1 : Présentation du cadre du projet
II. Etude de l’existant
II.1 Description de l’existant Le système d’information de la SACEM
Avec le développement de l’utilisation d’internet ,de plus en plus les entreprises ouvrent leur
système d’information à leurs partenaires ou leurs fournisseurs ,il est donc essentiel de
connaitre les ressources de l’entreprise à protéger et de maitriser le contrôle d’accès et les
droit d’utilisateurs du système d’information .
- Structure de la direction informatique :
La direction de l’informatique au sein de la société, estchargée de définir et exécuter les
besoin en informatisation.
Elle essaye d’assurer donc, le traitement de l’ensemble de l’opération suivante :
La conception, la programmation, les tests, l’intégration et la maintenance des
développements informatiques.
L’exploitation des systèmes d’information, la supervision des traitements, systèmes et
réseaux, l’administration des flux des données des systèmes d’informations.
La gestion et les traitements des demandes d’assistance, des incidents informatiques,
de demandes des maintenances ou d’évolution des applications, des demandes de
fourniture des matériels informatique ou de fourniture de services associés.
La mise en place d’une politique de sécurité physique et logique du système
d’information.
- Organisation du système d’information :
La société SACEM dispose d’un système d’information qui peut assurer la collaboration et la
communication en intranet (au sein de la SACEM) qu’en extranet (clients externes).
Les principales applications du système d’information de la SACEM sont hébergées au sein
de septe serveurs installés au niveau de la salle serveur du département administratif de la
SACEM.
Le parc informatique de la société est composé de 70 PC’s .
6
Chapitre 1 : Présentation du cadre du projet
Le réseau LAN de la SACEM sont basées sur une infrastructure moderne de type Ethernet
commuté et les protocoles de communications TCP /IP.
L’ensemble des machines des siège sont reliés au réseau Internet via une ligneFHd’un débit 2
Mb/s
- Matériel informatique :
Le parc informatique actuel de la société est composé de 70 postes de travail, dont une
majorité interconnectées en réseau.
Les différents postes de travail sont connectés aux serveurs d’application et de
communication via un Réseau Ethernet 10/100Mb/s.
- L’architecture réseau de la SACEM :
Figure 2: Architecture du réseau
7
Chapitre 1 : Présentation du cadre du projet
Le réseau informatique de la SACEM est composé principalement des éléments suivants :
- 70 postes de travail
- 1 serveur SAGE X 3
- 1serveur contrôleur de domaine
- 1 serveur antivirus SOPHOS
- 1serveur de Management firewall
- 1serveur de sauvegarde Symentec Backup Exec 2010
- 1serveur proxy
- 1serveur AVAYA
- 1serveur mail Exchange 2010
- 1serveur GLPI
- Un réseau Ethernet de 100 Mb/s
- Des imprimantes et des scanners.
Le réseau d la SACEM est basé sur l’architecture client/serveur ou les utilisateurs se
connectent aux applications partagées installées sur les différents serveurs.
L’interconnexion du répartiteur général installé dans la salle informatique avec les différents
sous répartiteurs existants dans le différent département à l’intérieur de la société par des
liaisons fibres optique (F.O).
L’accès à internet pour les utilisateurs est assuré via une ligne FH de 2Mb/s.
Tous les utilisateurs se connectent via le serveur Management Firewall qui permet de filtrer le
trafic internet et sécuriser le réseau local contre les interventions et les attaques externes.
Les serveurs contrôleurs de domaines assurent l’authentification et l’octroi des droits d’accès
au système d’information pour les différents utilisateurs.
- Topologie du réseau
L’interconnexion entre les départements de la SACEM est assurée par une topologie en étoile
de la fibre optique.
8
Chapitre 1 : Présentation du cadre du projet
Plan d’adressage du réseau de la SACEM :
Le plan d’adressage utilisé au niveau des réseaux de la SACEM suit une plage d’adresse de la
classe C.
Les adresses IP sont paramétrées manuellement sur chaque poste de travail.
Le plan d’adresse est bien organisé par chaque département.
La plage d’adresse pour la société est donnée comme suit :
-192.168.1.x : avec masque du sous réseau 255.255.255.0
Avec
X : identifiant de la machine appartenant à la direction appropriée.
Les directions sont définies de la manière suivante :
192.168.1 .2192.168.1.30 : plage d’adresse pour la direction générale
192.168.1.34192.168.1.37 : plage d’adresse pour la direction administrative et
financière
192.168.1 .66 : plage d’adresse pour la direction commerciale
192.168.1.130 192.168.1.135 : plage d’adresse pour la direction qualité
192.168.1 .162192.168.1.167 : plage d’adresse pour la direction production
192.168.1 .194192.168.1.202 : plage d’adresse pour la direction études
192.168.1 .230 192.168.1.240 : plage d’adresse pour la direction système
d’information
Politique de sécurité informatique au sein de SACEM :
Nous allons donc décrire la politique de sécurité mise en place au sein de la SACEM qui
permet de garantir la sécurité logique et physique de son système d’information.
- Sécurité de l’environnement :
Lasécurité physique de l’environnement englobeles dispositifs suivants :
Installation d’un système d’alimentation électrique ondulée.
Mettre en place des contrôleurs d’accès à la salle.
Le système de climatisation au niveau de la salle serveur est bien opérationnel.
9
Chapitre 1 : Présentation du cadre du projet
Les armoires sont bien protégées par un système de fermeture à clé.
Gestion des comptes et des mots de passes :
Une procédure formelle d’ouverture et de fermeture des comptes d’accès au réseau, aux
systèmes et aux applications informatiques est définie conformément aux instructions de notre
politique de sécurité informatique :
Changement périodique de mots de passe d’ouverture de session (chaque 6 Mois)
Les mots de passe doivent être complexes de 8 chiffres et lettres.
Vérification périodique du compte utilisateurs
L’accès aux applications est définit par des clés d’accès (compte utilisateur et mot de passe).
Politique de sauvegarde des données :
La sécurité des données est assurée au sein de la SACEM par l’application d’une procédure de
sauvegarde automatique des données informatiques.
Les données informatiques sont classées en deux catégories comme suit :
Données structurées : comprend les bases de données et les programmes des
différentes applications développées sous l’environnement WINDOWS
Données non structurées : représentéespar les données bureautiques des utilisateurs.
Protection des données :
Au sein de la SACEM INDUSTRIES, il est installé un système antiviral basé sur le produit
Symantec représenté par la version entreprise SOPHOS Antivirus 10.0.
Le système antiviral est installé au niveau du serveur contrôleur de domaines principal. La
mise à jour du fichier de définition de virus à partir de l’internet se fait automatique à chaque
apparition d’une nouvelle version du fichier de définition de virus.
Plan de continuité de service :
L’étude des risques informatiques est une nécessité croissante pour les entreprises, quelle que
soient leur taille et leur secteur d’activité, compte tenu de la dépendance croissante de celles-
ci-vis-à-vis des systèmes informatiques.
10
Chapitre 1 : Présentation du cadre du projet
En effet,l’expérience prouve que le manque de sensibilisation des entreprises dans la prise de
mesures pour la protection des systèmes d’informations en terme d’authentification,
d’autorisation , de confidentialité , d’intégrité ,de disponibilité et de traçabilité devient un
critère majeur pour la bonne gestion de l’entreprise .
Mise à jour automatique des systèmes d’exploitation :
L’installation du nouveau patch de sécurité se fait manuellement à travers l’outil de Microsoft
WSUS.
Windows Server Update Service (WSUS) est la seconde génération de logiciel serveur pour
le dépoilement de la mise à jour proposée par Microsoft pour remplacer Software Update
Services (SUS)
WSUS a toujours pour but de limiter l’utilisation de la bande passante vers internet et de
s’assurer que les systèmes Windows possèdent les dernières mises à jour installées sur le parc
informatique.
II.2. Critique de l’existant
Au cours de notre étude du système d’information, réalisée au sein de la société d’accueil
SACEM, nous avons pu dégager certaines défaillancesqui peuvent être résumées en ces
différents points :
Audit de supervision :
La SACEM n’est pas doté d’outils et de surveillance réseau, comme prouve les constations
suivantes :
Pas de surveillance systématique et continue des activités des utilisateurs
Pas de mécanisme de notification d’alertes
Difficulté de suivre de manière continue les accès des utilisateurs, en raison
d’absence d’une solution centralisée d’authentification et de contrôle d’accès.
Administration des équipements réseau et système :
Les équipements réseau sont en grand nombre, avec 70 PC et plusieurs serveurs comme nous
avons déjà expliqué auparavant.
11
Chapitre 1 : Présentation du cadre du projet
Donc, il y a manque d’un outil centralisé permettant d’assurer une administration à distance
des postes de travail et des serveurs
Sécurité réseau :
Le Proxy-firewall installé au sein du réseau de la SACEM est incapable de détecter et de
bloquer plusieurs types d’intrusions qui ne sont pas autorisés.
II.3. Solution proposée
On a proposé alors de mettre en place une solution centralisée permettant d’assurer :
La supervision et l’administration réseau incluant un système d’audit et de suivi des
activités réseau.
L’administration des équipements réseaux et système ainsi que des postes de travail.
Notre solution qui s’intitule OSSIM (Open Source Security Information Management)
présente un fort système de détection d’intrusion.
III. Planification du projet
Planification du déroulement du projet :
Le déroulement du projet est comme suit :
Définition des objectifs du projet et étudié son contexte.
Elaboration d’une étude comparative des différentes solutions open source de
surveillance réseaux afin de sélectionner celle qui répond mieux aux objectifs fixés.
Le choix de la solution OSSIM (open source security management) pour être la
plateforme adapté tout au long de notre projet.
Présentation de l’architecture et le fonctionnement de la solution OSSIM en détail
aussi que le dépoilement de ses différents outils qui la composent au cours d’une étude
théorique.
Etude pratique : l’installation et la configuration de la plateforme au sein du réseau de
l’entreprise.
Conclusion :
Au cours de notre étude réalisée au sein de la SACEM ,nous avons pu ,au début, définir le
système d’information concerné et ses différents composants, ensuite, nous avons détaillé
12
Chapitre 1 : Présentation du cadre du projet
notre étude avec une vue sur la stratégie de sécurité informatique suivie par la SACEM et ses
différentes caractéristiques ,et en fin nous avons élaboré une petite synthèse sur les
inconvénients de ce système informatique ,ce qui nous a permis de dégager quelques mots
clés de notre projet à travers les recommandations citées.
Nous avons pu constater que la politique de sécurité informatique mise en place dans la
société présente quelques failles qui peuvent être résumées en un manque très primordiales
d’un système ou plutôt d’une solution centralisé de management et de sécurité du système
d’information afin de renforcer la sécurité informatique du système d’information et de
communication en premier lieu ,l’administration ,la supervision et la surveillance du réseau de
l’entreprise. C’est pour cette raison que nous avons pensé à la centralisation de notre solution
de surveillance ayant comme objectif de répondre aux besoins qui vont être présentés dans le
chapitre « spécification des besoins ».
13
Ici le titre du chapitre
Chapitre 2 : Etat de l’art
Chapitre 2 : Etat de l’art
Introduction :
Dans ce chapitre ,nous allons présenter des concepts de base et quelques
termes primordiaux de la supervision des systèmes d’information et de
l’administration des réseaux, puis une description générale de la sécurité
informatique ,ensuite nous enchainerons avec les différentes plateformes
Open Source existantes dans le domaine de la surveillance réseau ,en
décrivant leurs avantages et leurs inconvénients pour arriver enfin à la
sélection de la plateforme adoptée dans notre projet suite à des critères
de besoins escompté par l’utilisateur de notre système d’information
étudié auparavant.
I. Gestion des réseaux informatiques
I.1. Généralité sur les réseaux
Un réseau peut être vu comme un ensemble des stations reliées entre
elles par des nœuds et des liens de communications .la principale fonction
de ces nœuds est de relayer les paquets d’informations vers les autres
nœuds (routeur, commutateur…)
I.2. Les éléments principaux du réseau
I.2.1. Les éléments physiques du réseau
Dans les réseaux, nous retrouvons différents types d’équipements classés
selon leur appartenance :les équipements réseaux, les postes de travails,
et les serveurs.
a) les équipements réseaux
15
Chapitre 2 : Etat de l’art
Nous retrouvons principalement :
Des hubs (concentrateurs)
Des Switch (commutateurs) /VLAN
Des modems téléphoniques …
Routeurs
b) les postes de travail
Nous trouvons principalement deux types de postes de travail :
stations WINDOWS
stations UNIX
Au sein de la société d’accueil SACEM industries il n’ya que les
stations WINDOWS
c) les serveurs
Au niveau des serveurs, deux aspect à prendre en compte : en premiers
lieu, le système d’exploitation et en deuxièmes lieu les services.
-les systèmes d’exploitation :
serveurs Unix
serveurs Windows
serveurs Linux
-les services :
serveurs d’application
serveurs de base des données
serveurs mail
pare-feu (firewall)
I.2.2.Les éléments logiques du réseau
Les services offerts aux utilisateurs sont de plus en plus sophistiqués et
ont largement évolué ces dernières années. Parmi ces services, nous
retrouvons :
16
Chapitre 2 : Etat de l’art
-les services d’accès aux bases de données.
-les services de transfert des fichiers.
-les services de messageries.
-les services de téléphonies …
Ces services sont mis à la disposition des utilisateurs de manière sélective.
Les utilisateurs peuvent accéder à des services différenciés, avec
différents droits d’accès.
I.3. Les principaux acteurs : les utilisateurs
Les organisations des entreprises sont de plus en plus structurées. Leurs
activités deviennent davantage centrées sur un système d’information qui
doit être disponible à tout moment et qui constitue la clé du
fonctionnement global de l’entreprise.
L’accès à ce système s’effectue via les différentes composantes du réseau
identifiées auparavant. Le personnel de l’entreprise qui tient un rôle
différencié dans la structure globale ne peut pas être concerné par
certains aspects techniques du fonctionnement global du réseau.
Nous pouvons dès lors répertorier un ensemble des profils d’utilisateurs
identifiées par leurs rôles dans l’entreprise :
- les administrateurs des réseaux qui bénéficient de privilèges
important
- les ingénieurs qui ont des droits étendus sur certaines parties
techniques du réseau
- les dirigeants qui ont des droits étendus sur le système
d’information
- le personnel administratif avec des droits très limités.
17
Chapitre 2 : Etat de l’art
II. Notion de gestion des réseaux
La gestion du réseau se présente comme l’ensemble des activités
permettant d’assurer le bon fonctionnement du réseau. Par ailleurs, nous
distinguons deux types de niveau de gestion considérés comme essentiels
et primordiales dans ce domaine :
- La gestion de l’infrastructure réseau : elle concerne la gestion de
tous les éléments du réseau et des logiciels embarqués qui
constituent les différents réseaux de l’entreprise.
Nous désignons par « élément du réseau »chacun des équipements
qui sont branchés u réseau, ainsi que les logiciels y résidant comme
par exemple les routeurs, les passerelles, les modems …
- La gestion du desktops : elle concerne tous les aspects relatifs à la
gestion du point d’accès au réseau .ce niveau englobe la gestions
des stations terminales, ainsi que tous les logiciels supportés par ces
stations : système d’exploitation réseau, les applications et les
services de communication mis à la disposition des utilisateurs..
II .1 Domaines de gestion des réseaux
Les activités assurant la gestion des réseaux de l’entreprise sont classées
selon les fonctionnalités établies par le gestionnaire et sont réalisées à
distance sur les éléments de son réseau .ce dernier va donc réaliser la
collecte des données de gestion, leur interprétation et le contrôle des
éléments de réseau.
La décomposition fonctionnelle établie par l’OSI a bien définie cinq
domaines de gestion : la gestion de configuration, la gestion des fautes,la
gestion de performances, la gestion des couts (comptabilité) et la gestion
de la sécurité.
II.1.1. Gestion de la configuration
La gestion de la configuration permet de paramétrer les différents
éléments présents sur le réseau et d’effectuer un suivi de leurs états. Elle
stocke dans une base de données les informations de chaque machine
18
Chapitre 2 : Etat de l’art
présente au sein du parc informatique de la société, telles que la version
des systèmes d’exploitation, les logiciels installés, les protocoles utilisés …
La gestion de configuration couvre l’ensemble des fonctionnalités
suivantes :
- Démarrage, initiation de l’équipement
-Positionnement des paramètres
-Modification de la configuration du système
-Changement de l’adresse IP d’une machine
-Changement de l’adresse IP d’un routeur…
II.1.2.Gestion d’anomalies /fautes
La gestion des anomalies ou des fautes détecte les problèmes et le
fonctionnement anormal survenu sur le parc informatique et permet aussi
la localisation et réparation des pannes.
En plus, elle essaye automatiquement de régler ces problèmes en les
faisant isoler de l’ensemble des éléments sur le réseau et effectuer
quelques tests de réparation, si non elle fait appel aux personnes
concernées par le type de problème afin de solliciter leur intervention.
Elle assure alors l’ensemble des fonctionnalités suivantes :
- La détection des fautes : elle comprend la préparation de rapports
d’incidents de fonctionnement, la gestion de compteurs ou des
seuils d’alarme, le filtrage des informations et l’affichage de
disfonctionnement.
- La localisation : procédé au moyen de rapports d’alarme, de
mesures et de tests.
- La réparation : elle consiste à prendre les mesures correctives
(réaffections des ressources « reroutage », limitation du trafic par
filtrage, maintenance),ou encore à rétablir du service (tests de
fonctionnement, gestion des systèmes de secours..)
- L’enregistrement des historiques d’incidents et statistiques : permet
d’une part l’enregistrement d’historique d’incidents et la compilation
19
Chapitre 2 : Etat de l’art
des statistiques qui peuvent porter sur la probabilité des pannes ,
leurs durée, les détails de réparation ,et en d’autre part , un rôle
d’interface avec leurs utilisateurs qui consiste à les informer des
problèmes réseau et à leur donner la possibilité de signaler eux-
mêmes des incidents tels qu’une mauvaise configuration d’un
équipement ,une interface défectueuse d’un routeur ,une
réinitialisation accidentelle .
II.1.3.Gestion de la performance
La gestion de la performance comprend les procédures de collecte des
données et d’analyse statistique. Elle fournit donc des fonctions qui
assurent la planification des ressources du réseau : recueillir des données
statistiques (taux d’erreurs, temps de transit, débit…) et maintenir et
analyser des journaux sur l’historique de l’état du système.
II.1.4. Gestion du cout
La gestion du cout permet de connaitre les charges des éléments gérés et
les couts de communication.
Les fonctionnalités qu’elle peut assurer sont présentées comme suit :
- Les mesures sur l’utilisation des ressources et leur historique.
- Le contrôle des quotas par utilisateur en faisant la mise à jour des
consommations courantes et en vérifiant les autorisations de
consommation
- La gestion financière : dans la gestion du comptable ,il ya une partie
financière qui consiste à ventiler les couts (par service, par
utilisateur, par application )…
II.1.5. Gestion de la sécurité
La gestion de la sécurité contrôle l’accès aux ressources selon des
politiques des droits d’utilisation établies, permettant ainsi de gérer le
contrôle et la distribution des informations utilisées pour la sécurité.
20
Chapitre 2 : Etat de l’art
Il existe beaucoup de fonction de gestion de sécurité par les quelles on
peut citer :
- Contrôle des autorisations
- Contrôle et maintenance des commandes d’accès
- Maintenance et examen des fichiers de sécurité
- l’authentification
II.2 Concept de supervision et administration
La supervision d’un système d’information a pour vocation de collecter des
informations sur l’état d’une infrastructure et des entités qui y sont liées,
de les analyser, et de les organiser Elle peut ainsi se définir comme étant
l’utilisation de ressources réseaux adaptées afin d’obtenir des
informations sur l’utilisation et sur l’état des réseaux et de leurs
composants.
Ces informations peuvent servir d’outils pour gérer de manière optimale le
traitement des pannes et les problèmes de surcharge du réseau.
II.2.1 Supervision des systèmes d’information
Le système d’information est devenu l’épine dorsale de l’entreprise
puisqu’il joue le rôle important de la surveillance e la sécurité des
informations et des activités internes de l’entreprise,
La supervision est une activité de surveillance et de suivi de l’état d’un
service ou d’un processus informatique vise à faire remonter les
informations cachées de ce système d’information telles que le taux de
transfert des fichiers, le niveau de la disponibilité des services etc..
niveau de supervision dans un système d’information :
Afin d’améliorer le fonctionnement de notre système d’information, il est
commandé de diviser la gestion de ce système en des niveaux de
surveillance appropriés, compte tenu de leurs domaine d’utilisation, nous
distinguons alors :
21
Chapitre 2 : Etat de l’art
- La supervision réseau : elle s’occupe essentiellement des
équipements constituant le réseau tels que : les serveurs : par la
mesure de disponibilité, la vérification de l’interconnexion au réseau,
l’analyse des flux d’entrée et de sortie, le contrôle de débit..
- La supervision système : il s’agit des évaluations et des mesures
faites sur les ressources système du parc informatique tels que :Les
processus : par la mesure du taux d’utilisation instantanée , de la
charge moyenne pendant une telle période ,la connaissance du
nombre de processus en cours de fonctionnement , mesure du
temps de réponse …
- La supervision des applications et services :
Vérification de la taille de processus
Suivi de la liste des utilisateurs présents dans le réseau
Statistique sur le taux d’utilisation des protocoles et services par les
utilisateurs du système
II.3. Sécurité informatique des systèmes d’information
L’augmentation du nombre d’outils malveillants qui circulent sur le réseau
tels virus, cheval de trois et d’autre failles de sécurité
informatique ,combinée à l’ignorance des mesures de sécurité de la part
des entreprises exposées à Internet et le manque de sensibilisation des
internautes au sujet de la sécurité informatique laissent les organisations
et les internautes de plus en plus vulnérables et les exposent à des risques
comme la perte d’informations .
Face à ces menaces, les solutions de sécurité informatique assurent la
protection des systèmes et du réseau informatique afin de garantir
l’intégrité, la confidentialité et la disponibilité des données.
II.4. Terminologie de la sécurité informatique
Menace : une menace désigne un élément, généralement
externe,capable de montrer une attaque exploitant une vulnérabilité
22
Chapitre 2 : Etat de l’art
ou une faille de sécurité au niveau des services , applications et des
systèmes informatiques
Vulnérabilité : toute faiblesse des ressources informatiques qui peut
être exploitée par des menaces, dans le but de les compromettre.
Exploit : un exploit est un programme permettant d’exploiter une
faille de sécurité informatique dans un système informatique que se
soit à distance (remote exploit) ou sur la machine sur laquelle cet
exploit est exécuté (local exploit).
Impact : l’impact ou enjeu est le résultat de l’exploitation d’une
vulnérabilité par une menace.
Risque : le risque de sécurité des systèmes d’information peut être
défini comme étant une combinaison d’une menace avec les pertes
qu’elle peut engendrer.
Incident : un incident constitue l’ensemble des problèmes (virus,
faille…) qui sont signalés par n’importe qu’elle membre de la
communauté informatique, aux équipes de réponses aux urgences
informatiques.
Contre-mesure :c’est la technique permettant de résoudre une
vulnérabilité ou de contrer une attaque spécifique, tels que les
politiques de sécurité, les outils de détection d’intrusion IDS.
II.5. Principales attaques et menaces
virus
Les virus est un exécutable qui va exécuter des opérations plus ou moins
destructrices sur la machines
Sur internet, les virus peuvent contaminer une machine de plusieurs
manières :
- Téléchargement des logiciels puis exécution de celui-ci sans
précautions.
- Ouverture sans précaution de documents contenant des macros
23
Chapitre 2 : Etat de l’art
- Ouverture d’un courrier au format HTML contenant du JavaScript
exploitant une faille de sécurité du logiciel de courrier …
Déni de Service (DOS)
Le but d’une telle attaque n’est pas de dérober des informations sur une
machine distante, mais de paralyser un service ou un réseau complet .les
utilisateurs ne peuvent plus alors accéder aux ressources .l’ exemple
principal, est le « ping flood » ou l’envoi massif des courriers
électroniques pour saturer la boite aux lettres.
La meilleure parade est le firewall ou la réparation des serveurs sur un
réseau sécurisé.
Ecoute de réseau (Sniffer)
Il existe des logiciels qui, à l’image des analyseurs du réseau, permettent
d’intercepter certaines informations qui transitent sur un réseau local, en
retranscrivant les trames dans un format plus lisible (Network packet
sniffing) .de plus l’utilisateur n’a aucun moyen de savoir qu’un pirate a mis
son réseau en écoute.
L’utilisation de switchers (commutateurs) réduits les possibilités d’écoute,
mais la meilleure parade reste l’utilisation de mot de passe, de carte à
puce ou de calculette à mot de passe.
Intrusion
L’intrusion dans un système informatique a généralement pour but la
réalisation d’une menace et est donc une attaque .le principal moyen pour
prévenir les intrusions et les coupe-feu (firewall) .
Une politique de gestion efficace des accès, des mots de passe et l’étude
des fichiers « log »
Cheval de trois (Trojan)
Le pirate, après avoir accéder au système, installe un logiciel qui va lui
transmettre par internet les informations des disques durs.
24
Chapitre 2 : Etat de l’art
La meilleure mesure de protection face à ces attaques, et de sécuriser au
maximum l’accès à la machine et de mettre en service un antivirus
régulièrement mis à jours.
II.6. Détection d’intrusion
Malgré la mise en place de solution d’authentification chargées de filtrer et
contrôler les accès au réseau, il arrive que des intrus y pénètrent.
Alors les systèmes de détection d’intrusion, qui protègent l’entreprise
contre les attaques externes, sont capables généralement de détecter les
pirates.
outils d’analyse du comportement
L’analyse de comportement scrute les fichiers d’événement et non pas le
trafic et se base essentiellement sur les agents de supervision.
Ces agents sont placés sur le système ou l’application supervisée .leur
mission consiste à repérer toute personne qui cherche à outrepasser ses
droits et à atteindre des applications auxquelles elle n’a pas accès ou tout
comportement suspect.
III. Etude de différentes solutions Open Source de surveillance réseau
Dans cette partie, nous allons décrire quelques solutions libres de
surveillance et d’administration des réseaux sur le marché en présentant
leurs principes de base ainsi que leurs avantages et inconvénients.
III.1. Nagios
III.1.1 Présentation de la solution
c’est une solution libre de supervisions réseau très puissante , reconnue
dans le monde de supervision et utilisée par les plus grandes
entreprises ,puisqu’elle permet une supervision active et passive des
serveurs, équipement réseau, et surtout des services divers et variés.
25
Chapitre 2 : Etat de l’art
En fait son mode de fonctionnement est simple ; les services de
surveillances lancent par intermittence des contrôles de services et des
stations définit auparavant grâces à des greffons externes (ou
« Plugins ») .Par la suite il récupère les informations fournit par les
services de surveillances et les analyses.
Si le résultat de cette analyse fait remonter un problème les services de
surveillances peuvent envoyer des avertissements à l’administrateur du
réseau de différentes manières : courriers électroniques, messages
instantanés, SMS…
III.1.2 Avantages et inconvénients
Avantage
-Reconnus au prés de grande communautés d’entreprises.
-Une solution complète qui permette le reporting, la gestion de la panne et
des alarmes, gestions des utilisateurs, ainsi que la cartographie du réseau.
-Surveillances du services réseau (SMTP, POP3, http,NMTP , PING…)
-Possibilité d’administration à tous moment du comportement de la
surveillances et du retour d’informations à travers l’utilisation de la
gestionnaire d’événements, d’une interface web et d’applications tierces.
Inconvénients
-Interface non ergonomique et peu intuitive
-Configuration fastidieuse via beaucoup de fichiers.
-Pas de coordination et synchronisation entre les serveurs
-Grandes dépendances des greffons externes.
III.2.Zabbix
III.2.1.Présentation de la solution
Zabbix est une solution libre de surveillance réseau configurable par
interface web, elle permet de surveiller le statut de divers services
26
Chapitre 2 : Etat de l’art
réseaux, de serveurs et des équipements réseaux d’un parc informatique
d’une société.
C’est un outil utilisé et sollicité beaucoup par les entreprises concernées
étant donnée qu’il intègre plusieurs fonctionnalités lui permettant de
détecter les pannes au plus tôt (être réactif) , analyser les performances
(être proactif ) ,anticiper les évolutions de son architecture par la
définitions des futurs besoins en équipements et consolider les
informations en établissant des modèles de rapports ou Reporting (journal
d’événement ) stockés dans une base de données pou être accessible à
tous moment .
III.2.2.Avantages
-Une solution complète de surveillance réseau :cartographie de réseau,
gestion poussée d’alarmes, gestion des utilisateurs, gestion de panne..
-Une interface web d’administration et de consultation claire pour les
administrateurs de réseau, avec une ergonomie bien étudiée.
-Compatible avec plusieurs base de données reconnus comme
MySQL,poste gre SQL,Oracle , SQlite
-Bonne analyse de performance avec synthése détaillée des équipements,
des alertes, des services …
III.2.3.Inconvénients
-Pas très reconnu auprès des entreprise vis-à-vis ses concurrents avec le
manque d’interfaçage avec les autres solutions libre
-Interface un peu trop vaste concernant les options de surveillance
-Communication par défaut en clair des informations, ce qui est nécessite
une sécurisation des données.
-Manque des tests préventifs de l’état de services avant las défaillances
et la génération des alertes.
27
Chapitre 2 : Etat de l’art
III.3. OSSIM
III.3.1. Présentation de la solution
OSSIM (open source security information management) Est une solution
open source complète, ou plutôt plateforme complète, d’administration
réseaux et du management du système informatique :
C’est une plateforme parfaite d’administration et supervision réseau, de
management de la société de l’informatique (SIM) et de la gestion parfaite
et instantanée des activités et des événements survenues (et pouvant se
produire) sur le réseau informatique étudié .
OSSIM est considéré comme étant le chef d’orchestre des différentes
solutions déjà existantes vu qu’elle permet de détecter, de
collecter ,de fédérer ,d’agréger ,d’analyser ,d’évaluer , d’interpréter
, de synthétiser ,d’afficher et de rapporter toute sorte d’informations
repérées dans le réseau de manière centralisée et normalisée .
Composant d’OSSIM :
-P0F, détection et analyse du changement des OS
-Arpwatch, détection des anomalies (adresse MAC)
-Ntop , base de données de comportement
-Pads, détection des anomalies de service
-Nessus, évaluation de la vulnérabilité
-Snort, détection d’intrusion (IDS)
-Osiris, détection d’intrusion (HIDS)
-tcptrack, corrélation des données de session
-Spade , statistique des détection des anomalies
OSSIM est une solution centralisée qui s’appuie sur d’autres
solutions de sécurités et permet à travers son framework de piloter
ces produits afin de collecter tous les événements liés à la sécurité
28
Chapitre 2 : Etat de l’art
de manière centralisée et de la sauvegarde dans une base de
données des événements.
OSSIM est une plateforme globale de surveillance et de sécurité
combinant les meilleurs solutions libres de surveillance et
d’administration réseaux , les meilleurs outils de gestions d’alertes
et de détections d’intrusion, et les meilleurs moyens de l’audit
interne du système d’information.
III.3.2. Avantages
Solution originale : pas de solution vraiment concurrente à ce jours
combinant des outils et des solutions complètes de surveillance
réseau ,de sécurité et d’audit sur une seule console d’administration
seule à gérer .
Plate-forme complète de surveillance, d’administration et de
sécurité réseaux basé sur plusieurs outils Open source très
reconnues dans le marché du réseau.
-Interface intuitive : riche en informations et intègre les détails de
chaque solution
-Fonction d’apprentissage : qui permet à la solution d’accroitre la
fiabilité des ses Remontées d’information.
III.3.3. Inconvénients
-Configuration difficile de part le grand nombre de paramètres pouvant
rentrer en jeu.
-Nécessite une démarche d’audit et d’évaluation des risques pour être
pertinent dans les configurations de la politique de la sécurité
souhaitée…
-Complexité relative d’amélioration vue son potentiel élevé de
manipulation et son utilisation assez lourde d’outils puissants en
documentation.
29
Chapitre 2 : Etat de l’art
-Nécessite d’une base de concept d’administration réseau et de
sécurité d’information afin de mieux s’adapter à la manipulation de ses
fonctionnalités.
IV. Choix de la solution à adopter: OSSIM
Après avoir vu les différentes solutions open source de surveillance réseau
en détail nous allons maintenant faire notre sélection sur la solution a
adapter tout au long de notre projet d’étude, et ce en fonctions des
besoins de la société SACEM établies déjà dans le premier chapitre.
Nagios/Zabbix OSSIM
surveillance des équipements
réseaux et de système
-très efficace dans ce contexte vu
le potentiel effectif des
informations détaillées qu’il offre
à l’administrateur concernant
l’état en temps réel des services
présent , les événements
instantanés produit sur le réseau
avec ses détails temporelles
-sécurité en temps réel avec le
scanner de vulnérabilité Nessus et
le scanner de port Nmap
pas de fonctionnalité très
importante en matière de
sécurité :
leader en matière de corrélation
d’événements et d’alertes
30
Chapitre 2 : Etat de l’art
Tableau 1: Tableau comparative entre les différentes solutions
Open sources
IV.1. Architecture et principe de base
OSSIM est composé de trois briques primordiaux :
-Le serveur : contenant les différents moteurs d’analyse, de
corrélation et les bases de données.
-L’agent : prenant en charge la collecte et la mise en forme des
événements
-Le Framework : regroupant les consoles d’administrations et les
outils de configuration et de pilotage et permettant également
d’assurer la gestion des droits d’accès.
Le framework a pour objectif de centraliser, d’organiser et d’améliorer la
détection et l’affichage des événements liés à la sécurité du système
d’information d’une entreprise.
Le principe de fonctionnement de la solution OSSIM s’effectue selon deux
étapes :
-Le prétraitement de l’information : assuré au niveau
d’équipements spécifiques tels que les sondes de collecte
d’informations (Sensor) ou de détection d’intrusion (IDS), consiste la
collecte des informations de logs ainsi que la normalisation des celles-
ci afin de les stocker de manière uniforme et de pouvoir les traiter
efficacement durant l’étape de poste traitement.
-Le poste traitement : de l’information assuré par l’ensemble des
processus interne à la solution et qui vont prendre en charge
31
Chapitre 2 : Etat de l’art
l’information brute telle qu’elle est a été collecté pour ensuite
l’analyser, la traiter et en fin la stocker dans une base de données.
Ces informations collectées par les détecteurs et les moniteurs sont
spécifiques et encore Partielles et ne représentent qu’une petite partie
de la quantité d’information existante sur le réseau de l’entreprise
étudié .OSSIM a donc la solution : c’est la Corrélation.
En effet, le mécanisme de corrélation peut donc être vu comme la
possibilité d’utiliser les informations remontées par les détecteurs en
utilisant un nouveau niveau de traitement ,de compléter et d’améliorer
le niveau d’information .
Son but est de rendre cette remontée d’information le plus efficace
possible par rapport à la quantité d’information disponible sur le réseau
de l’entreprise.
Afin de comprendre ces deux étapes ,voici une figure qui illustre ce fonctionnement :
32
Chapitre 2 : Etat de l’art
Figure 3:Architecture d'OSSIM
Nous remarquons bien qu’il existe différentes bases de données
permettant la sauvegarde des informations corrélées (intermédiaire).
- EDB : La base de données des événements (la plus grande), stockant toutes les
alarmes individuelles.
- KDB : La base de données des connaissances, sauvegardant les configurations
établiespar l’administrateur en charge de la sécurité.
- UDB : La base de données des profils, stockant toutes les informations du moniteur de
profile.
Afin d’aider à la compréhension, nous allons détailler le cheminement
d’une alarme dans l’architecture définie par cette figure :
33
Chapitre 2 : Etat de l’art
Figure 4:Cheminement du flux d'informations
1. Détection d’un événement suspect par un détecteur (par signatures ou par l’heuristique).
2. Si nécessaire, des alarmes seront regroupées (par le détecteur) afin de diminuer le trafic
réseau.
3. Le collecteur reçoit la/les alarme(s) via différents protocoles de communications ouverts.
4. Le parser normalise et sauve les alarmes dans la base de données d’événements (EDB).
5. Le parser assigne une priorité aux alarmes reçues en fonction de la configuration des
polices de sécurités définies par l’administrateur sécurité.
6. Le parser évalue le risque immédiat représenté par l’alarme et envoie si nécessaire une
alarme interne au Control panel
7. L’alerte est maintenant envoyée à tous les processus de corrélation qui mettent à jour leurs
états et envoient éventuellement une alerte interne plus précise (groupe d’alerte provenant de
la corrélation) au module de centralisation.
8. Le moniteur de risque affiche périodiquement l’état de chaque risque calculé par CALM.
34
Chapitre 2 : Etat de l’art
9. Le panneau de contrôle affiche les alarmes les plus récentes et met à jour les indices des
états qui sont comparés aux seuils définis par l’administrateur. Si les indices sont supérieurs
aux seuils configurés, une alarme interne est émise.
10. Depuis le panneau de contrôle, l’administrateur a la possibilité de visualiser et rechercher
des liens entre les différentes alarmes à l’aide de la console forensic.
Conclusion
Dans ce chapitre, nous avons commencé par une étude assez détaillée sur
la gestion des réseau informatiques à partir de laquelle nous avons
spécifié quelques termes et notions de bases nécessaires à la bonne
compréhension de la réalisation de notre projet; puis nous avons décrit le
concept de supervision et d’administration de système d’information ainsi
que leurs intérêts sur les entreprises concernées; ensuite nous avons
présenté des généralités sur la sécurité informatique en définissant les
menaces existantes et les différents risques et la manières à s’en protéger
.
Enfin, nous avons terminé notre chapitre par une étude comparative des
différentes solutions libres de surveillance réseau existantes à savoir
Nagios, Zabix et OSSIM tout en présentant pour chacune d’elle son
principe de fonctionnement, ses avantages et ses inconvénients vis-à-vis
du système d’information étudié.
Cette étude nous a amené à bien choisir notre solution de surveillance qui
s’intitule : OSSIM.
35
Chapitre 3 : Spécification des besoins
Chapitre3 : Spécifications des besoins
Introduction :
Après avoir faire une étude approfondie de l’existant, nous allons recueillir
et analyser les différentes besoins auxquels devrait répondre notre projet
de fin d’étude. Dans ce chapitre, nous allons détailler la spécification des
besoins de notre solution « OSSIM ».
Ce chapitre est composé de deux parties. Dans la première partie, nous
allons spécifier les besoins fonctionnels définissant les fonctionnalités de
notre plateforme de surveillance. Les besoins non fonctionnels
caractérisant notre solution vont être définis dans la deuxième partie de
ce chapitre.
I .Etude des besoins
I.1. Besoins fonctionnels
OSSIM offre une infrastructure pour le monitoring de la sécurité réseau
permettant de :
Intégrer une série d’outil d’administration et de sécurité , rassemblé
pour une seule console.
Effectuer une série de taches indispensables dans un réseau
d’entreprise à savoir
l’audit interne.
L’administration réseau :affiche des informations sur les connexions TCP qu’il
rencontre sur une interface ; Il détecte passivement les connexions TCP sur l’interface
à analyser et affiche les informations par un sniffer (TCPTRACK)
37
Chapitre 3 : Spécification des besoins
La détection d’intrusion : capable d'effectuer l'analyse du trafic en temps réel
par un outil nommé SNORT. La détection réalise on trois faces IDS, Détection
d’anomalie, Firewalls
L’analyse du trafic
La gestion d’anomalies : cette action est réalisée en temps réel permettant le
monitoring ainsi que le calcul de statistiques. Le monitoring consiste
l’affichage des informations fournies. Les consoles de monitoring
utilisent les différentes données produites par les procédés de
corrélation pour la construction d’un affichage efficace et/ou
résumé,L’analyse et le monitoring :
–La Corrélation
– L’Evaluation de la dangerosité des alarmes
– L’Evaluation du risque sur l’architecture à protéger
La gestion d’incidents :
Les managements (configuration) :
– Inventaire des ressources informatiques
– Définition de la topologie
– Définition des polices de sécurité
– Définition des règles de corrélation ´
– Liens avec différents outils d’audits Open Source
La surveillance du système…
Il permet d’affichage des services d’une machine sans avoir à opérer un scan actif
Evaluer les risques : Le risque peut être défini comme étant la
probabilité de menace de l’événement. En d’autres termes, cette
étape tente de définir si la menace est réelle ou pas. L’importance à
donner à un événement dépend principalement de trois facteurs :
- La valeur du bien attaqué
- La menace représentée par l’événement ´
- La probabilité que l’événement apparaisse
38
Chapitre 3 : Spécification des besoins
Cette fonctionnalité permet d’offrir des indicateurs de haut niveau
permettant d’orienter l’inspection et de mesurer la situation de la sécurité
du réseau étudié ,en se basant des procédés de corrélation qui facilitent la
détection et la réponse aux anomalies pouvant effectuer le système ainsi
que la définition des politiques de sécurité et la récupération des rapports
concernés.
Fournir une console d’organisation
Améliorer la détection et l’affichage des alarmes de sécurité
I .2. Besoins non fonctionnels
Un besoin non fonctionnel est une restriction ou une contrainte qui pèse sur un service du
système, telle que les contraintes liées à l’environnement et à l’implémentation, les exigences
matières de performances.
Notre solution doit répondre à plusieurs critères :
La performance : le temps de réponse est rapide.
Simple à utiliser : avoir une interface graphique facile à exploiter.
La sécurité : l’utilisation d’un login et d’un mot de passe
La disponibilité : OSSIM doit être explicitement défini pour les applications critiques
Conclusion
Dans ce chapitre, nous avons fait une étude théorique pour décrire les
besoins fonctionnels et non fonctionnels pour la mise en place de la
solution open source « OSSIM », ainsi que une étude de l’architecture
globale de la solution.
39
Chapitre 3 : Spécification des besoins
Après une présentation du principe de notre projet et l’analyse des
besoins qu’il vise à les répondre nous commençons dans le chapitre
suivant la mise en place de notre solution OSSIM .
40
Chapitre 4 : La réalisation
Chapitre 4 : La réalisation
Introduction
Dans ce chapitre, après nous avons choisi l’OSSIM comme une solution qui
devrait être la plus adéquate au système d’information de la société et qui
répond mieux aux besoins de l’utilisateur de notre projet, nous allons
aborder l’étude pratique de notre projet.
Alors, quels sont les composants essentiels de cette solution ? Quelle est
la stratégie de la mise en place de cette solution au sein du réseau interne
de la SACEM ? Enfin, quels sont les différents tests qu’on doit effectuer
afin de valider cette solution et avoir ses effets sur le réseau de
l’entreprise étudié ?
I. Environnement de développement
I.1. Environnement matériel
Dans notre réalisation, nous avons utilisé deux machines liées au réseau
local de la société.
La première est notre serveur-agent OSSIM installé sur une
plateforme Linux Debian.
La deuxième, utilisant le système d’exploitation Microsoft Windows,
se présente comme un Monitor pour le serveur OSSIM à travers une
interface web.
L’interaction entre ces deux machines présente l’interrogation du serveur
à travers son interface web, c’est le point de départ de l’administrateur
pour découvrir la plateforme et ses différents composants.
I .2. Environnement logiciel
Pour installer la plateforme OSSIM, nous avons utilisé :
42
Chapitre 4 : La réalisation
- Ossim-server : constitue le noyaude l’architecture .En effet, celui-ci
comporte les modules d’analyse et de corrélation des données ainsi
qu’un serveur Web permettant l’interaction avec l’utilisateur.
- Ossim-agent : récupère simplement les informations des fichiers de
logs des plugins et les envoie directement au serveur OSSIM .Ainsi ,
il s’occupe de la mise en marche et de l’arrêt des différentes sondes
qui lui sont connectées.
- L’agent PADS :PADS va permettre d’identifier les machines (adresses IP et MAC)
ainsi que leurs services uniquement en sniffant le réseau. Il permettra l’affichage des
services d’une machine sans avoir à opérer un scan actif. Il permettra l’affichage des
services d’une machine configurée sur Ossim sans opérer un scan actif.
- L’agent TCPTRACK :TCPTrack est un sniffer affichant des informations sur les
connexions TCP qu’il rencontre sur une interface. Il détecte passivement les
connexions TCP sur l’interface à analyser et affiche les informations. Il permet
l’affichage des adresses source et destination, de l’état de la connexion, du
temps de connexion ainsi que de la bande passante utilisée.
- L’agent P0F :P0f est un logiciel de détection de système d’exploitation passif. Il
analyse les trames transitant sur le réseau (le segment analysé) et les compare avec
une base de données des caractéristiques de chaque OS (prise d’empreintes) afin d’en
retrouver l’OS correspondant.
P0Fest capable aussi de faire la :
Détection de la présence d’un firewall
Détection d’un répartiteur de charge réseau
Détection de la distance de la machine distante
- L’agent SNORT :Snort est un système de détection d'intrusions réseau en Open
Source, capable d'effectuer l'analyse du trafic en temps réel.
43
Chapitre 4 : La réalisation
- L’agent NTOP :Ce logiciel analyse en temps réel le trafic réseau et met à disposition
une liste de compteurs, permettant le monitoring ainsi que le calcul de statistiques. La
sonde Ntop met en place un serveur Web permettant le son monitoring ainsi que la sa
configuration à distance.
I.3. Choix des outils de développement
OSSIM (Open Source Security Management),est une plateforme Open
Source de management de la sécurité de l’information.
Cette solution présente deux avantages essentiels lui permettant d’être
très sollicitée par les entreprises dans le domaine de management du
réseau informatique :
- Le premier avantage est l’intégration ,c’est-à-dire ,avoir une série
d’outils d’administration et de sécurité (Snort, Nessus , Ntop,Nmap,
…), rassemblés pour une seule console et pouvant effectuer une
série de taches indispensables dans un réseau d’entreprise à savoir
l’audit interne, l’administration réseau ,la détection
d’intrusion,,l’analyse de trafic ,la gestion d’anomalies, la gestion
d’incidents , la surveillance du systèmes…
- Le deuxième avantages est l’évaluation des risques :c'est-à-dire
offrir des indicateurs de haut niveau de mesurer la situation de la
sécurité du réseau étudié ,en se basant des procédés de corrélation
qui facilitent la détection et la réponse aux anomalies pouvant
effectuer le système ainsi que la définition des politiques de sécurité
et la récupération des rapports concernés.
OSSIM s’avère donc être la solution Open Source la plus complète et
aucune solution Open Source ne propose une telle palette de
procédés d’administration complète du réseau et d’analyse détaillée
d’événement de sécurité.
44
Chapitre 4 : La réalisation
II. Réalisation et tests
II.1. Installation et configuration
Installation
L’installation consiste simplement à télécharger sur le site officiel d’Ossim
d’une version de la plateforme Ossim intégrée avec GNU/Linux Debian
comportant en même temps le serveur et l’agent d’une part, et d’autre
part elle intègre aussi tous les paquets nécessaires à la solution avec leurs
dépendances et les outils à utiliser lors de l’implémentation.
En d’autre termes, tout est intégré, il suffit d’attendre environ 5 heures
pour l’installation, et après le serveur va être prêt pour l’utilisation
Configuration
Dans cette phase nous allons faire la configuration du serveur et de l’agent :
a) Configuration du serveur
Nous configurons le serveur en éditant le fichier /etc/ossim/server/config.xml/ ensuite nous
modifions les paramètres du serveur selon notre réseau étudié :
- Le nom du serveur OSSIM :alienvault
- L’adresse IP du serveur OSSIM : 192.168.1.10
- Le port sur lequel écoute le serveur OSSIM, par défaut c’est le port 40001
- Le nom du framework alienvault
- L’adresse IP du framework OSSIM, qui est installé sur la même machine que le serveur,
est : 127.0.0.1 ou localhost.
- Le port sur lequel écoute le framework OSSIM, par défaut c’est le port 40003
- Les paramètres de la base de données OSSIM qu’utilise le serveur :
SGBD : MySQL
Port : 3306
User : root
Mot de passe :wKcvfjIPLQ
Nom : ossimDS
Machine : localhost car notre base de données est hébergée sur la même
45
Chapitre 4 : La réalisation
Machine serveur
- Les paramètres de la base de données SNORT :
SGBD : MySQL
Port : 3306
User : root
Mot de passe :wKcvfjIPLQ
Nom : snortDS
Machine : localhost
Le fichier log du serveur : /var/log/ossim/server.log
Le fichier XML contenant les directives de corrélation :
/etc/serveur/ossim/directives.xml
b) Configuration de l’agent :
Concernant la configuration de l’agent Ossim, nous commençons par la configuration des
principaux paramètres en éditant le fichier /etc/ossim/agent/config.cfg et nous agissons sur ses
paramètres tels que son adresse IP, l’adresse IP du serveur, les plugins à démarrer…
L’agent est installé sur une machine sonde qui va recueillir les logs des équipements.
Pour notre cas l’agent est intégré dans la même machine que le serveur , nous commençons
par définir les paramètres suivantes :
- L’adresse IP de la machine sonde sur laquelle est installé l’agent :192.168.1.10( celle du
serveur)
- L’interface réseau sur laquelle l’agent va recevoir les logs :eth0
- Le serveur auquel se connectera l’agent (défini dans la section précédente)
L’adresse IP :192.168.10.246
Le port 40001
- Les paramètres de la base de données OSSIM :
SGBD : MySQL
46
Chapitre 4 : La réalisation
Machine : 192.168.10.246
Nom : alienvault
Port : 3306
User : root
Mot de passe :wKcvfjIPLQ
Machine : localhost
- Le fichier log du serveur : /var/log/ossim/agent.log
- Les plugins des équipements à activer et le chemin du fichier de configuration
correspondant à chaque plugin sur la machine agent.
II.2. Fonctionnement du framework OSSIM Manipulation de l’interface Web d’OSSIM
Nous arrivons maintenant à l’étape de l’administration de notre plateforme OSSIM :
Dans cette étape nous allons décrire de manière détaillée de ce qu’OSSIM offre comme
interface Web pour l’administrateur de cette plateforme et découvrir donc chacune de ses
composants.
II.2. 1. Console d’administration d’OSSIM
Afin d’accéder à la console d’administration d’OSSIM (au serveur OSSIM) nous
connectons à un navigateur Web (internet explorer, Firefox…), et nous tapons l’adresse IP
du serveur OSSIM : 192.168.1.10, Alors l’interface d’authentification au serveur apparait.
Nous utilisons donc le login « Admin » et le mot de passe « SACEM » pour s’authentifier
comme administrateur (par défaut auprès de notre serveur ossim )
Voici un imprime écran illustrant cette étape :
47
Chapitre 4 : La réalisation
Figure 5:Authentification au prés du serveur
Le nom d’utilisateur et le mot de passe sont « admin » « SACEM2013 », il ne faut pas
oublier de les modifier une fois la première connexion est établie. Pour cela il faut aller dons
‘configuration/Users’ et ajouter un nouveau User, comme le montre cette figure
Figure 6:Ajout d'un nouvel utilisateur
Après avoir faire la connexion, nous commençons par découvrir le framework d’OOSIM en
détail.
48
Chapitre 4 : La réalisation
L’interface de configuration et monitoring offerte par OSSIM se compose de divers menu et
sous-menus. Nous allons essayer de traiter les principaux modules que nous avons utilisés lors
de notre stage et voir les résultats obtenus dans cette manipulation.
a) Dahboards
OSSIM offre un tableau de bord intéressant avec une variété de représentations des différents
résultats collectés par l’agent.
- Sous ‘Dahboards//Exécutive’,nous trouvons les graphes suivants résumant l’état globale
du système.
Figure 7:Etat globale des alarmes et évènement récent
49
Chapitre 4 : La réalisation
Figure 8:Etat globale des agents ajoutés à OSSIM récemment
Figure 9:Etat globale de menaces récentes détectées
50
Chapitre 4 : La réalisation
Figure 10:Etat globale de la variation du débit du réseau
Ces graphes montrent bien l’état du réseau en globale :
Pour la première figure nous trouvons l’état des alarmes et des événements qui se sont
produits récemment sur le réseau (Dernière alarmes, événements détectés, attaques, scan de
vulnérabilités avec nmap..) ; dans la deuxième figure, l’état des événements produits par
sonde ou agents (dans notre cas c’est le serveur ossim qui est concerné) ; la troisième figure
montre le niveau réel des menaces dans le réseau à partir des états de ces alarmes ; les autres
figures décrivent le niveau des hôtes du réseau en risque d’attaques, l’historique du trafic des
protocoles et la variation du débit du réseau.
- Les illustrations concernant les incidents sont présentées sous l’onglet ‘
Dashboards//Executive/Incidents’ ou ils sont décrit selon :
L’état :
51
Chapitre 4 : La réalisation
Figure 11:Etat des incidents
Le type :
Figure 12:Type d'incident
52
Chapitre 4 : La réalisation
L’utilisateur :
Figure 13:Incidents par utilisateur
Ces statistiques montrent l’état des incidents ouverts( non traité) et fermés (traités) (dans notre
cas 100% des incidents n’ont pas été traité par l’administrateur),leurs types événements ou
vulnérabilité (dans notre cas 50%des incidents survenues sont des événements et 50% sont
des vulnérabilités ,les utilisateurs concernés (dans notre cas 100%,car un seul utilisateur
ADMIN est enregistré) et enfin la taux de résolution des incidents par jours( 1 jours pour
traiter un incident).
b) Incidents
Dans cet onglet Incidents, nous découvrons les différents types et détails d’alarmes que
OSSIM détectent et stocke dans sa base de données.
Il offre donc un archivage des commentaires déposés par les différents administrateurs en
charge de la sécurité et permet de déposer des annotations sur les activités effectuées ainsi que
de fermer les alarmes/problèmes ayant été résolus.
- Nous pouvons voir ces figures qui montrent ces alarmes :
53
Chapitre 4 : La réalisation
Figure 14:Alarme détectées et sauvegardé par OSSIM
Figure 15:Informations générales d'un incident/événement détecté
Nous remarquons par exemple la première alarme détectée (Nmap scan from Ossim),sa date
de détection (1/06/2013) .ainsi que les hôtes sources (192.168.1.10)et destinations
(192.168.1.20) correspondantes à cette alarme.
c) Analysis
L’onglet Analysic est très important dans OSSIM puisqu’il indique bien les événements
effectués dans le réseau et détectés par OSSIM d’autre part, et il effectue un scan de
54
Chapitre 4 : La réalisation
vulnérabilité aves l’outil Nessus d’autre part, sans oublier qu’il permet d’afficher les
anomalies survenues dans le réseau selon plusieurs critères.
- Pour l’onglet Vulnérabilités, nous arrivons à l’outil NESSUS et son utilisation.
Utilisation de Nessus :
Nessus est un outil de sécurité permettant d’identifier et de traiter rapidement les failles du
Réseau. Il teste tous les équipements réseaux disposants d’une adresse IP afin d’établir un
inventaire des menaces et des vulnérabilités auxquels ils sont exposés. Il fournit
généralement pour la plupart des produits des informations détaillées sur chacune des
vulnérabilités découvertes et un remède explicite. Les vulnérabilités découvertes sont
classées par degré de gravité.
Pour lancer un scan de vulnérabilité nous devons aller sous ‘Analysic/vulnerabilities/’, une
appuyer sur « New scan job» comme le montre cette figure :
Figure 16:Lancer le scan de NESSUS
Ensuite, nous choisissons le ou les hôtes (définis déjà) à scanner, ainsi que le ou les réseaux
(définies auparavant) à scanner, comme montré ci-dessous :
55
Chapitre 4 : La réalisation
Figure 17:Choix des hôtes ou réseau à scanner
Dans cette figure, en cliquant sur hosts nous avons choisi de scanner l’hôte d’adresse IP
192.168.1.10.
Pour valider, nous cliquons sur l’icône New Job (encadré en rouge).
A la fin du scan le résultat peut être affiché au-dessous dans un tableau comme le montre cette
figure :
Figure 18:Résultat de Nessus
56
Chapitre 4 : La réalisation
Maintenant, nous arrivons à l’outil de détection des alertes ainsi que son interface
d’évaluation pour savoir l’endroit de l’affichage des informations à détecter sur la plateforme
OSSIM.
Cet outil s’appelle ACID (Analysic Console for Intrusion Databases) :
C’est un outil très puissant (dévéloppé en PHP) pour l’examen des informations de détection
d’intrusion. Il permet de visualiser les différentes alertes générées à partir une base de
données MySQL.
Pour accéder à cette interface, il suffit d’entrer sur la console d’administrationd’OSSIM, et
puis de consulter le module analysis/security Events(SIEM). sous ce module, nous trouvons
l’interface de visualisation des alertes et menaces détectées en temps réel par les logiciels de
détections correspondantes ( nagios, snort, Nmap…)
Voilà cette interface avant de faire nos tests
Figure 19:Affichage des derniers alertes (signature) par ACID
Dans cette figure, nous pouvons voir un affichage historique des alertes et des attaques
survenues sur le réseau, avec les adresses source et destination correspondantes ainsi que le
degré de risque de chaque événement (asset) et son priorité.
D’autre part, nous pouvons sélectionner le choix du logiciel à utiliser pour filtrer l’affichage
de ces alertes, et ceci à travers cette interface :
57
Chapitre 4 : La réalisation
Figure 20:Choix du plugin pour l'affichage des alertes
Ce qui nous donne une possibilité très puissante de tester les outils employés par OSSIM dans
la détection d’intrusion et des alertes et des événements survenues sur le réseau.
De plus,ACID offre la possibilité à l’administrateur de gérer en temps réel les détections
d’intrusion à travers son interface REAL TIME, présenté par cette figure :
58
Chapitre 4 : La réalisation
Figure 21:Gestion en temps réel des évènements par ACID
Nous constatons à travers cette interface qu’ACID fait actualiser sa liste des événements
détectées avec le mot Refreshing (encerclé en rouge)afin qu’il soit en temps réel aves les
événements survenues au fur et à mesure sur le réseau.
Nous pouvons voir donc la date de ces événements, ainsi que leurs risque et leurs générateurs
(logiciel de détection)responsable de la détection.
d) Report
Dans cet onglet, OSSIM nous permet de d’élaborer des rapports d’informations concernant les
équipements réseaux et système, et peut les afficher sous forme de PDF, tout en sauvegardant
dans sa base de données les différents logs des utilisateurs de ce réseau.
Nous pouvons voir par exemple l’icône Reports/Asset report, nous tapons soit le nom de
l’hôte, soit l’adresse IP ou bien l’adresse du réseau, en suite nous cliquons sur View
repot,nous pouvons savoir les informations sur l’hôte ou les hôtes que nous avons déjà
choisies avec leurs adresse IP, leurs systèmes d’exploitation et le niveau de leurs priorité
(ASSET).
59
Chapitre 4 : La réalisation
La figure suivante montre ses informations :
Figure 22:Inventaire de l'hôte 192.168.1.10
-Sous Report/Reports, nous pouvons détecter les alarmes et les incidents dans un fichiers PDF
comme le montre cette figure :
Figure 23:Alarme Report
-Sous Report/user/log Report, nous trouvons tous les logs des utilisateurs avec les événements
subits et leurs détails, comme le montre cette figure :
60
Chapitre 4 : La réalisation
Figure 24:Les logs des utilisateurs du réseau
Nous remarquons alors ce qui est en rouge ce sont les hôtes du réseau et ce qui est en bleu
toutes les actions effectuées par l’utilisateur Admin et correspond aux machines convenables
(logg in,network scan, configuration…)
e) ASSET
Dans cette section, nous pouvons définir les agents à déployer sur le réseau étudié, les hôtes à
ajouter sur le réseau ainsi que le réseau à personnaliser.
- Définition des agents
Pour ajouter un nouvel agent, nous allons sous « Asset/hosts/», nous cloquons sur le lien
new Sensor et nous complétons les informations nécessaires comme le montre cette figure :
61
Chapitre 4 : La réalisation
Figure 25:Ajout d'un nouvel agent
Ensuite nous allons sous ‘Asset/Sensors’, nous remarquons l’agent par défaut « alientvault » (
encadré en rouge)et l’agent « agent » (encadré en noir) que nous avons déjà ajouté sont déjà
mise en place , comme montré par cette figure :
Figure 26:Définition des Agents OSSIM
- Définition des hôtes
Cette étape consiste à définir les différentes hôtes du réseau. Pour cela il faut aller sous ‘Asset
/hosts’, et ajouter les machines une par une, comme l’illustre cette figure :
62
Chapitre 4 : La réalisation
Figure 27:Définition des hôtes
De même pour ajouter un nouvel hôte, nous cliquons sur new et nous définissons les
informations de l’hôte à ajouter puis nous cliquons sur update.
Voici une description illustrée par cette figure :
Figure 28:Ajout d'un nouveau hôte
63
Chapitre 4 : La réalisation
- Définition des réseaux (Network)
Cette étape consiste à regrouper les hôtes dans un ou plusieurs réseaux. Dans notre cas, nous
allons déclarer un réseau englobant toutes les machines appelé HOME.
Allons alors sous ‘asset /networks’, et ajoutons le réseau HOME , ce qui est montré par cette
figure :
Figure 29:Ajout d'un nouveau réseau "HOME"
Puis, nous trouvons le réseau ajouté sur la liste des réseaux existants comme le montre cette
figure
Figure 30:Network home ajouté
64
Chapitre 4 : La réalisation
-Sous Assets, nous avons l’outil OCS Inventoy (Open Computer and Software Inventory) ou
un inventaire de gestion du parc informatique.
Cet outil permet de réaliser un inventaire sur la configuration matérielle des machines du
réseau et sur les logiciels qui y sont installés. Il permet de visualiser cet inventaire grâce à un
interface web .
Intégré à la plateforme OSSIM, On peut exploiter quelques fonctionnalités de ce logiciel afin
de faire un petit inventaire sur un parc informatique, et récupérer les informations matérielle
et logicielles sur la configuration des machines.
Pour cela, il faut qu’on installe l’agent d’OCS sur chaque machines pour que le serveur
OSSIM puisse les voir.
Par exemple si nous voulons ajouter un utilisateur nous faisons comme suit :
Figure 31:Ajout d'un nouveau utilisateur "salwa"
65
Chapitre 4 : La réalisation
Après que nous cliquons sur « register » , nous constatons que le nouveau utilisateur est
ajouté comme le montre cette figure :
Figure 32:Réussite d'ajout du nouveau utilisateur
Nous constatons de cette figure que l’utilisateur nommé « salwa » et son type « simple
utilisateur » (encadré en rouge) est ajouté à la base de donnée avec l’affichage du message de
réussite (encadré en bleu).
Maintenant, nous arrivons à l’outil de scan de ports Nmap :
Dans ce module, OSSIM permet à l’administrateur d’utiliser un logiciel très reconnue dans le
monde de scanner de ports c’est Nmap, sous Assetasset siscovery
- Utilisation de Nmap :
Nmap est une sonde conçu pour détecter les ports ouverts, identifier les services hébergés et
obtenir des informations sur le système d’exploitation d’un ordinateur distant.
Pour lacer le scan de port avec Nmap sur le serveur ossim (192.168.1.10), il faut aller sous
« Asset/asset discovery », et nous lançons un nouveau scan.
comme le montre cette figure :
66
Chapitre 4 : La réalisation
Figure 33:Lancement du Nmap
Le résultat peut prendre quelques instants jusqu’à obtenir le message suivant :
Figure 34: Fin du scan Nmap
67
Chapitre 4 : La réalisation
Les résultats sont ensuite affichés sous Asset/hosts comme le montre cette figure :
Figure 35:Résultat détaillé du scan Nmap
f) Intelligence
En ce qui concerne le module Intelligence, OSSIM offre à l’administrateur la possibilité de
visualiser les règles de corrélation définies par le serveur OSSIM, d’augmenter la priorité
d’une alerte Snort lorsque l’attaque aura été découverte par Nessus (Cross corrélation), et en
fin de permettre un backlog sur les références des alarmes provenant des directives d’une
corrélation
Exemple voici une figure illustrant des alertes sauvegardées :
Figure 36:Fichier des alertes sauvegardées
68
Chapitre 4 : La réalisation
g) Situational Awareness :
Concernant l’onglet Situational Awareness, il contient trois sous menus très importants qui
sont :
Network (NTOP), Availability (NAGIOS) et IP repulation.
Dans cet onglet, nous trouvons deux outils qui se présente parmi les meilleurs outils de
surveillance en réseau puisqu’ils sont connues comme étant des solutions à part et n’ont pas
été intégré auparavant sous une plateforme complète de surveillance comme OSSIM ; Ce qui
présente une originalité pour OSSIM de faire l’effort d’intégrer des solutions complètes de
supervision et d’administration sous une seule console.
Ces outils sont Ntop(outil libre d’analyse en temps réel du trafic réseau) et Nagios (outil libre
permettant la surveillance système et réseau, la supervision des hôtes et services spécifiés et
alertant lorsque les systèmes vont mal et quand il vont mieux).
Utilisation de Ntop :
Ntop est un outil qui produit des informations sur le trafic d’un réseau en temps réel.
Pour voir les résultats de l’application de cette sonde sur notre réseau il faut aller sous
‘situational/nettwork, nous allons observer ceci :
Figure 37:Les statistiques du trafic global
69
Chapitre 4 : La réalisation
La sonde Ntop présente divers statistiques du réseau de l’entreprise, avec des graphes
décrivant l’état du réseau, les connexions entrantes et sortante, les protocoles utilisés, les ports
utilisés, les hôtes et réseaux …
Nous pouvons visualiser le trafic du réseau par service, ou par hôte, montant et descendant
pour pouvoir détecter les services les plus utilisés et les machines suspectes ayant des taux de
transfert de données inhabituels.
- Part taille de paquets :
Figure 38:Classement du trafic par taille de paquet
Dans cette figure, nous remarquons bien que le réseau de l’entreprise présente une moyenne
de paquets circulant au sein du réseau d’environ 347 bytes, avec la majorité des paquets sont
en taille inférieure 64 bytes.
Ce qui nous donne une idée sur l’état du réseau en terme du paquets .
- Par protocole :
70
Chapitre 4 : La réalisation
Figure 39:Classement du trafic par protocole
Nous pouvons voir à travers cette figure la distribution du trafic réseau par protocole utilisé,
comme TCP,UDP, ICMP, DLC…classé par taille de données, et ceci à fin de mentionner
quels sont les protocoles par exemple qui semblent être les plus sollicités par les utilisateurs
du réseau, ou qui consomment plus les données et donc qui peuvent saturer le trafic.
- Par hôtes :
Figure 40:Classement du trafic par hôte
71
Chapitre 4 : La réalisation
Dans cette figure nous remarquons que le trafic du réseau est distribué selon les postes du
travail présents sur le réseau, en effet, les hôtes sont classé aves leurs adresse IP et Mac, en
fonction de la consommation de bande passante utilisée sur le réseau ; Par
Exemple, ce que nous avons coloré en rouge et noir, ce sont les trois adresses respectives de
serveur OSSIM, Monitor et le serveur de domaine ajouté au réseau, et en bleu le taux
d’occupation de bande passante.
Nous remarquons alors que le serveur OSSIM occupe une bande passante très importante bien
sûr puisque tous le trafic passe par lui, de même pour Monitor puisqu’il interroge tous le
temps le serveur, alors que les autres hôtes ont un trafic qui dépond à la fonction des
applications utilisées.
- Par service :
Figure 41:Classement du trafic par service
Concernant le trafic distribué par service, nous avons dans cette figure une description
72
Chapitre 4 : La réalisation
du trafic des hôtes selon leurs utilisations de plusieurs service comme FTI,http ,DNS ,
Proxy,Messenger,.. (Encadré en rouge) et ses informations sont en termes de pourcentage de
données circulées sur le réseau (en noir).
Ceci peut nous aider (comme administrateurs) à des interprétations concernant le service le
plus utilisé, l’état du service…
-D’autre part, nous pouvons grâce à NTOP, avoir une idée sur le trafic de TCP/UDP à
part, par distribution de ports ou services .
Figure 42:Classement du trafic TCP/UDP par distribution de ports
73
Chapitre 4 : La réalisation
Figure 43:Classement du trafic TCP/UDP par service
Ce qui nous permet de savoir quels sont les ports utilisés récemment et les données transférées
à travers ces ports, et aussi de savoir les services utilisés par TCP/UDP grâce à leurs graphes
de répartition.
Utilisation du NAGIOS :
Nagios est un outil open source reconnu dans le monde de la supervision, il permet une
supervision active et passive des serveurs, équipements réseaux, et surtout de services divers
et variés.
Nous allons donc de découvrir quelques fonctionnalités de Nagios d’après ce que nous avons
récupéré comme informations sur la plateforme d’OSSIM.
L’accès aux différents éléments du module Reportings’effectue en cliquant sur l’icône
Situational Awaraness /Availability/Reporting aves ses options :
Trends : graphiques de disponibilité d’un hôte ou d’un service
Availability : tableau de disponibilité des groupes d’hôtes, des hôtes ou service.
Event histogram : graphiques des changements d’état d’un hôte ou d’un service.
history : historique des alertes.
Event summary : tableaux des dernières alertes, par groupe d’hôtes, des hôtes ou
service.
74
Chapitre 4 : La réalisation
Notification : historique des notifications
Performance information : historique de tous les événements (alerte, notification, ..)
- Informations sur les hôtes et services :
L’accès aux informations d’un hote ou d’un service possible par :
Service détail, puis en cliquant sur le nom d’un hôte ou d’un service.
Host detail, puis en cliquant sur le nom d’un hôte.
Status Grid, puis en cliquant sur le nom d’un hôte ou d’un service.
Par exemple voici une figure qui montre les informations d’un service :
Figure 44:Affichage des informations des services d'hôtes 127.0.0.1
Cette figure centralise les informations d’un service d’un hote donné (ici de l’hote Monitor
127.0.0.1),son état (current status),, la date de la dernière vérification(last check time),ou
dernière modification (last state change). En haut à gauche se trouve un cadre présentant des
liens vers les éléments de rapport pour ce service.
- Informations sur les états d’hôtes et services sous forme d’histogramme :
L’élément trends (tendance), accessible sous situationnal/availability/reporting, présente sous
forme d’histogramme à barres les différents états d’un hôte et d’un service sur une période de
75
Chapitre 4 : La réalisation
temps donnée. Les pourcentages relatifs à chaque état sur cette période de temps sont inscrit à
droite du diagramme.
L’accès à cette option se fait sous l’icône : Trends du modèle Reporting
En première étape, nous choisissons le type de rapport :
Figure 45:Choix du type de rapport
Figure 46:Section d'hôte effectué
Nous choisissons si le rapport concerne d’un hôte ou un service. Puis nous cliquons sur
continues to step 2 pour passer à l’étape suivante :
76
Chapitre 4 : La réalisation
Figure 47:Sélection de l'hôte /service désiré
Figure 48:Sélection de l'hôte effectué
Selon le choix de l’étape précédente, nous sélectionnons l’hôte ou le service désiré.
Nous cliquons ensuite sur Continue to Step 3 pour passer à l’étape suivante :
Figure 49:Paramétrage des options du rapport
77
Chapitre 4 : La réalisation
En fin, nous cliquons sur Create Report (encadré en rouge)pour générer le rapport, nous
obtenons :
Figure 50:Rapport d'état de 192.168.1.10
En abscisse du graphique se trouvent les dates de changement d’état (ou de redémarrage du
programme Nagios)et en ordonnée le nom des différents états (la valeur de l’ordonnée définit
la hauteur de la barre de l’histogramme). A droite du graphique se trouvent les pourcentages
avec la correspondance en unité de temps de ceux-ci. Dans notre cas, nous trouvons que l’hote
localhost marche bien (UP)à partir de la date 3 May 2013 jusqu’au 4 May de la meme année.
- Divers informations sur les services et hôtes sous l’onglet
situational/Availability/Monitoring
Dans cet onglet, nous pouvons afficher l’état des hôtes et groupes des hôtes présents sur le
réseau comme le montre cette figure :
78
Chapitre 4 : La réalisation
Figure 51:Détails du status de l'hote localhost
Nous constatons par exemple que tous les hôtes marchent (UP), avec les détails de dernière
consultation en temps, en durée et d’autres informations.
Nous pouvons avoir un résumé sur les états de ces hôtes et tous les groupes d’hôtes à travers
le module « analysis/availability/monitoring »cette figure :
Figure 52:Sommaire des états des groupes d'hôtes
De même pour les services, nous pouvons afficher les informations de leurs états :
79
Chapitre 4 : La réalisation
Figure 53:Détails du statut des services des hôtes
Finalement, nous pouvons dire que Nagios est vraiment l’un des meilleurs logiciels de
supervision de réseau (hôtes et service), vu les informations détaillées que nous avons
rencontrées lors de cette étude sur la plateforme OSSIM.
h) Configuration :
Dans ce module, la configuration de quelques paramètres d’OSSIM, le framework, les agents
et leurs plugins récupèreront ces différentes informations et la plateforme fonctionne suivant
le choix de l’administrateur à travers ces paramètres.
Voici les interfaces correspondantes :
Figure 54:Configuration simple des paramètres d'OSSIM
80
Chapitre 4 : La réalisation
Figure 55:Configuration avancée des paramètres d'OSSIM
En cliquant sur n’importe quel paramètre, une figure s’affiche pour donner les caractéristiques
de ce paramètre à configurer (par exemple numéro de port pour vulnerability scanner, chemin
de destination de fichier de log,..).
Conclusion :
Dans ce chapitre, pour la réalisation de notre projet, nous avons tous d’abord présenté
l’environnement de dévéloppement c'est-à-dire l’environnement matériel et logiciel .
Puis l’étude pratique de la plateforme OSSIM et la mise en place de la solution au sein de la
société d’acceuil en décrivant son installation et sa configuration ,et ceci en présentant
l’interface web d’OSSIM avec ses principales modules de fonctionnalités intégrées au sein de
la solution, tout en présentant ce que nous avons testé comme fonction avec les commentaires
et les interfaces correspondants,récupérées lors de cette étude .
81
Conclusion générale
Conclusion générale
Notre projet de fin d’études a porté sur l’étude et la mise en place d’une plateforme Open
Source de surveillance réseaux et système, le long du duré de ce stage au sein de la société
d’accueil SACEM industries.
Tout au long de ce travail, nous étions amenées à faire quatre grandes parties :
La première partie est une présentation du cadre du projet : c’est la présentation de la société
d’accueil SACEM industries ainsi que l’étude de l’existant du système d’information de la
société, en présentant ce système avec ses divers composants (matériels/logiciels, architecture
du réseau ,..) et en présentant la stratégie de sécurité informatique suivie et ses différents
caractéristiques (politique de sécurité, moyens de protection, etc..) ,pour finir par l’élaboration
d’une petite synthèse sur les inconvénients de ce système informatique. Ce qui nous a permit
de dégager des interprétations importantes à travers les recommandations établies, visant donc
à mieux encadrer notre travail par la suite :
Ce que nous avons constaté au sein de la société, c’est que la SACEM garde bien une
politique de sécurité informatique assez bonne mais le problème c’est qu’elle contient
quelques failles qui peuvent être un peu menaçantes vis-à-vis de son système informatique.
Ces interprétions se résument en la nécessité primordiale d’un système de management et de
sécurité de l’information ayant pour but de renfoncer la sécurité informatique du système
d’information du réseau de l’entreprise et de maintenir le suivi quotidien des activités réseaux
avec la gestion instantanée des alertes et des incendies pouvant être survenus .
D’où la nécessité de la centralisation de ce système afin qu’il puisse gérer tous ses besoins
retrouvés au sein de la société.
En deuxième partie, nous avons réalisé une étude approfondie sur la supervision et
l’administration des réseaux, et sur quelques solutions libres conçues essentiellement pour
assurer ces fonctions.
83
Conclusion générale
Cette étude nous a permis de faire une description détaillée des réseaux informatiques en
général et plus précisément du concept de supervision et d’administration de système
d’information et ce, dans l’objectif de spécifier les intérêts qu’elle apporte sur la gestion
efficace du système d’information. Puis nous avons défini quelques terminologies principales
de la sécurité informatique en parlant sur les différents risques que peuvent rencontrer les
entreprises et évidemment la manière à s’en protéger.
Et en fin nous avons présenté quelques solutions libres de surveillance réseau
( Nagios ,Zabbix et OSSIM) en présentant pour chacune d’elle son architecture et principe de
base, ses avantages et ses inconvénients .
Et à partir de cette étude, nous avons effectué le choix d’une solution, parmi celles que nous
avons étudiées, et la faire implémenter au sein de la société. Selon les critères de besoins
établis déjà au cours de notre étude de système d’information. Ce choix était donc la solution
OSSIM.
En troisièmes partie nous avons faire une spécification de besoins qui décritles besoins
auxquels doit répondre notre solution :
- Les besoins fonctionnels :expriment l’actionque doit effectuer le système en réponse à
une demande.
- les besoins non fonctionnels expriment les besoins d’utilisabilité,les Besoins de
performance, les Besoins de disponibilité/fiabilité, lesBesoins de sécurité, lesBesoins
matériels, lesBesoins de déploiement …
En dernière parties, nous avons décritla réalisation de notre projet au sein de la société
d’accueil SACEM :
Nous avons fait tous d’abord une description de l’environnement de développement de notre
solution c'est-à-dire de présenter l’environnement matériel et logiciel ainsi que les outils de
développement utilisés.
Puis nous avons enchainé avec la partie pratique : c’est-à-dire la mise en place de cette
plateforme : nous avons effectué alors les tests nécessaires des différentes fonctionnalités
régies par OSSIM.
84
Conclusion générale
Tous au long de cette partie, nous avons remarqué que OSSIM réalise divers fonctionnalités
importantes de gestion de système d’informations telles que :
- La surveillance des équipements réseaux (hôtes, serveurs,…)
- La gestion des composants du système
- La gestion parfaite et instantanée des activités et des événements survenues au sein du
réseau
- La gestion des anomalies et des incendies
- La gestion en temps réel des alertes ….
Tout au long la période de notre stage, nous avons eu la chance de bénéficier notre formation
de technicien supérieur en service et réseau informatique, puisque pendant cette période nous
avons pu apprendre plein de notions de sécurité informatique.
Ainsi, ce stage est une occasion pour travailler en équipe ; il permet d’avoir différents points
de vue et de les discuter, et cela est un facteur primordial pour avoir une maturité de réflexion
et de raisonnement, et surtout de nous permet de constater la différence entre la vie
professionnelle et l’idée théorique préconçu.
85
Bibliographie et nétographie
Bibliographie et Nétograhie
Nazim AGOULMINE, Omar CHERKAOUI., "Pratique de la gestion de réseau", Edition Eyrolles, 2003.
Philippe MARTINET., Rapport de stage, "Mise en œuvre d’un prototype d’architecture OSSIM", 2006.
Yves LESCOP., "Sécurité", http://yelscop.free.fr/mrim/cours/securite.pdf,2002.
http://www.editions-eyrolles.com/Livre/9782212112597/pratique-de-la-gestion-de-reseau
http://www.philippe-martinet.info/ossim-project/Rapport-OSSIM-Philippe-Martinet.pdf
http://www.philippe-martinet.info/ossim-project/Rapport-OSSIM-Philippe-Martinet.pdf
http://www.securinets.com/sites/default/files/tuto_pdf/ossim.pdf
http://www.securinets.com/sites/default/files/tuto_pdf/ossim.pdf
http://www.isima.rnu.tn/pages%20fr/telechargement/Presentation%20open%20sourcex.pdf
http://communities.alienvault.com/
http://www.zabbix.com/
http://www.nagios.org/
http://www.alienvault.com/docs/wiki/docu.php?id=installation
http://fr.wikipedia.org/wiki/Supervision
87
Bibliographie et nétographie
ANNEXES
ANNEXE1 :fichiers de configuration de serveur OSSIM
/etc/ossim/server/config.xml
ANNEXE2 :fichiers de configuration de l’agent OSSIM
/etc/ossim/agent /config.gc
88
Bibliographie et nétographie
Fichier de configuration de serveur OSSIM
/etc/ossim/server/config.xml
< ?xml version= 1.0 encoding= UTF-8 ?>
=<config>
<log filename=”/var/log/ossim/server.log” />
<framework name= “alienvault” ip=”127.0.0.1” port=”40003” />
=<datasource>
<datasource name= “ossimDS” provider “MySQL”
Dsn=”PORT”=3306;USER=root;PASSWORD= ;DATABASE=alienvault;HOST=localhost” />
<datasource name= “snortDS” provider “MySQL”
Dsn=”PORT”=3306;USER=root;PASSWORD= ;DATABASE=alienvault;HOST=localhost” />
<datasource name= “osvdbDS” provider “MySQL”
Dsn=”PORT”=3306;USER=root;PASSWORD= ;DATABASE=alienvault;HOST=localhost” />
</datasource>
<directive filename=”/etc/ossim/server/directive.xml” />
<scheduler interval=”15” />
<server port=”40001” name=”ossim” ip=”0.0.0.0” />
</config>
89
Bibliographie et nétographie
Fichier de configuration de l’agent OSSIM
/etc/ossim/agent/config.cfg
[daemon]
Daemon=true
Pid=/var/run/ossim-agent.pid
[event-consolidation]
By_lpugin=1001-1150,1501-1510,4001-4010
Enable=false
Time=10
[log]
Error=/var/log/ossim/agent_error.log
File=/var/log/ossim/agent.log
Stats=/var/log/ossim/agent_stats.log
Verbose=info
[output-csv]
Enable=false
File= var/log/ossim/agent-events.csv
[output-db]
Base=ossim_events
Enable=false
Host=localhost
90
Bibliographie et nétographie
Pass=yoursecretpassword
Type=mysql
User=root
[output-plain]
Enable=false
File=/var/log/ossim/agent-plain.log
[output-server]
Enable=true
Ip=192.168.1.10
Port=40001
[plugin-defaults]
Date_format=%Y-%m-%d%H:%M:%S ;format, not date itself
Interface=eth0
Ossim=eth0
Ossim_dsn=mysql:localhost:ossim:root:RckkYUIXnfg
Sensor=192.168.1.10
[plugins]
Arpwatch=/etc/ossim/agent/plugins/arpwatch.cfg
Iptables=/etc/ossim/agent/plugins/iptables.cfg
nagios=/etc/ossim/agent/plugins/nagios.cfg
nmap=/etc/ossim/agent/plugins/nmap-monitor.cfg
ntop=/etc/ossim/agent/plugins/ntop-monitor.cfg
osiris=/etc/ossim/agent/plugins/osiris.cfg
ossim-ca=/etc/ossim/agent/plugins/ossim-monitor.cfg
p0f=/etc/ossim/agent/plugins/p0f.cfg
pads=/etc/ossim/agent/plugins/pads.cfg
91
Bibliographie et nétographie
pam_unix=/etc/ossim/agent/plugins/pam_unix.cfg
rrd=/etc/ossim/agent/plugins/rrd.cfg
snare=/etc/ossim/agent/plugins/snare.cfg
snort=/etc/ossim/agent/plugins/snortunified.cfg
ssh=/etc/ossim/agent/plugins/ssh.cfg
sudo=/etc/ossim/agent/plugins/sudo.cfg
[watchdog]
Enable=true
Interval=30
Restart_interval=3600; second betweenplugin process restart
92