Upload
ibrahima-sembene
View
13
Download
1
Embed Size (px)
DESCRIPTION
protection serveur
Citation preview
7
Socit Assurancetourix
13/12/2010
Rapport du projet de scurit
Lise BANQUET Kenza BENGELLOUN
Goulven BUREL Alexandre CLAMART Tristan DELGRANGE
Christophe DUBOS Romain LAVERNHE
Alexandre LACOURTE Pierre-Michel LEBOULCH
Nyaka LELO Gwendal RAISON
Bastien TEIL Maxime VIAUD
Mdric VIGROUX
Groupe Audit Socit Assurancetourix
13/12/2010
1
Tables des matires
Tables des matires ................................................................................................................................. 1
Introduction ............................................................................................................................................. 6
I. La socit daudit Assurancetourix ............................................................................................. 7
1. Prsentation dAssurancetourix .............................................................................................. 7
2. Organisation de la socit ....................................................................................................... 7
a. Communication ................................................................................................................... 8
b. Administration, organisation et qualit .............................................................................. 8
c. Norme EBIOS/Mehari .......................................................................................................... 8
d. Supervision .......................................................................................................................... 9
e. VOIP/TOIP ............................................................................................................................ 9
f. Audit Actif ............................................................................................................................ 9
II. Contexte du projet .................................................................................................................... 10
1. Processus Appel doffre RAO contrat ........................................................................ 10
2. Nos objectifs .......................................................................................................................... 12
3. Architecture de la socit AeroDef ....................................................................................... 13
4. MEHARI .................................................................................................................................. 14
a. Prsentation de MEHARI ................................................................................................... 15
Objectifs................................................................................................................................. 15
Concepts ................................................................................................................................ 15
Analyse des enjeux ................................................................................................................ 16
Analyse des vulnrabilits ..................................................................................................... 17
Analyse des risques ............................................................................................................... 17
Pilotage de la scurit ........................................................................................................... 18
b. Mise en uvre ................................................................................................................... 19
III. Communications au sein dAssurancetourix ......................................................................... 24
1. La communication interne .................................................................................................... 24
c. La chartre de lutilisateur du SI .......................................................................................... 24
d. La communication par email ............................................................................................. 24
e. Partage des documents via loutil GoogleDocs ................................................................. 26
2. La communication externe .................................................................................................... 26
a. Les runions ....................................................................................................................... 26
Groupe Audit Socit Assurancetourix
13/12/2010
2
b. La communication formelle ............................................................................................... 26
c. La communication informelle ............................................................................................ 27
3. Problmes rencontrs ........................................................................................................... 27
IV. Serveur daudit ...................................................................................................................... 28
1. Environnement virtualis ...................................................................................................... 28
2. Mise en place ......................................................................................................................... 30
g. Partie rseau ...................................................................................................................... 30
h. Partie systme ................................................................................................................... 31
3. Plan de reprise ....................................................................................................................... 31
V. Application daudits Systme dinformations ........................................................................ 31
1. NetFlow Analyse de flux ..................................................................................................... 31
2. SPAN ...................................................................................................................................... 33
3. Gestion des logs..................................................................................................................... 34
a. Syslog-ng et log-rotate ...................................................................................................... 34
b. Splunk ................................................................................................................................ 35
4. Supervision avec FAN Full Automated Nagios .................................................................... 36
a. Prsentation des outils ...................................................................................................... 37
b. Mthodologie de dploiement.......................................................................................... 39
Les modles dhtes : ............................................................................................................ 39
Les modles de services : ...................................................................................................... 40
La cration dun hte : .......................................................................................................... 41
Les ajouts de plugins : ........................................................................................................... 42
Les utilisateurs : ..................................................................................................................... 42
Nagvis : .................................................................................................................................. 45
c. Surveillance de larchitecture AeroDef :............................................................................ 46
Les lments rseau : ...................................................................................................... 46
Les lments systme : .................................................................................................... 47
d. Rsultats obtenus : ............................................................................................................ 47
Interface supervision_rseau : ........................................................................................ 47
Interface supervision_serveur : ....................................................................................... 48
Dtection du problme de mauvais serveur DNS : ......................................................... 48
Dtection du problme surcharge du routeur : .............................................................. 49
Dtection du problme serveur de service DOWN : ....................................................... 49
Groupe Audit Socit Assurancetourix
13/12/2010
3
e. Problmes rencontrs ....................................................................................................... 50
1er problme : connaissance de larchitecture AroDef :..................................................... 50
2me problme : installation des agents .............................................................................. 50
3me problme : autorisation du Firewall : .......................................................................... 50
4me problme : surcharge du rseau et des log : ............................................................... 50
5me problme : diffrence dutilisation entre SNMP et NRPE : ......................................... 51
5. IPS / IDS ................................................................................................................................. 52
a. SNORT ................................................................................................................................ 53
b. Le SIEM Prelude ................................................................................................................. 56
c. Module Apache mod_security .......................................................................................... 58
6. Nessus .................................................................................................................................... 60
VI. VOIP et Tlphonie ................................................................................................................ 61
1. Installation du serveur Astrisk ............................................................................................. 61
a. Rcupration de la dernire version dAsterisk ................................................................ 61
b. Installation dAsterisk ........................................................................................................ 62
2. Configuration du serveur Astrisk ......................................................................................... 62
a. Cration de deux comptes SIP pour Xlite .......................................................................... 62
b. Configuration de Xlite ........................................................................................................ 64
c. Passage du serveur Asterisk sous un autre user ............................................................... 66
d. Filtrage des flux de la TOIP ................................................................................................ 67
Prsentation gnral du filtrage applicatif de donnes ........................................................ 67
Les passerelles de niveau applicatif ...................................................................................... 68
e. Etude pour 40 postes ........................................................................................................ 68
Les quipements ................................................................................................................... 68
Le rseau ............................................................................................................................... 69
3. Listes des attaques ralisables et solutions pour les contrer ................................................ 69
a. Les attaques ralisables ..................................................................................................... 69
Dni de Service (DOS) ............................................................................................................ 69
Manipulation du stream RTP et SIP : ..................................................................................... 70
Relecture ............................................................................................................................... 70
Man In the Middle : ............................................................................................................... 70
Ecoute et analyse des flux RTP : ............................................................................................ 71
Rcupration et cassage des comptes : ................................................................................ 71
Groupe Audit Socit Assurancetourix
13/12/2010
4
Usurpation de numro : ........................................................................................................ 71
b. Les attaques Ralises par nos soins ................................................................................. 72
Ecoute et analyse des flux RTP .............................................................................................. 72
Rcupration et cassage des comptes .................................................................................. 73
c. Les parades aux attaques: ................................................................................................. 76
Usurpation de numro : ........................................................................................................ 76
Parefeu statefull : .................................................................................................................. 76
Scurisation des protocoles SIP et RTP : ............................................................................... 76
WAN :..................................................................................................................................... 76
4. Les problmes rencontrs ..................................................................................................... 77
a. Communication avec Aerodef ........................................................................................... 77
b. Les problmes techniques ................................................................................................. 77
Le softphone Xlite .................................................................................................................. 77
Configuration X-lite pour Tag Vlan ........................................................................................ 77
Configuration des switchs ..................................................................................................... 78
Configuration des tlphones CISCO..................................................................................... 79
VII. Les tapes du projet .............................................................................................................. 80
1. Premire confrontation ......................................................................................................... 80
a. Exploit PDF ......................................................................................................................... 81
b. DNS Spoofing ..................................................................................................................... 82
c. Recommandations mises ................................................................................................. 84
2. Seconde confrontation La revanche ............................................................................... 85
3. Troisime confrontation Ultimate Fighting .................................................................. 85
4. Cas de la tlphonie .............................................................................................................. 86
Conclusion ............................................................................................................................................. 88
Table dillustration ................................................................................................................................. 89
Sources .................................................................................................................................................. 90
Annexe 1 : RAO de supervision. ............................................................................................................ 91
Annexe 2 : RAO Voip/Toip. .................................................................................................................... 91
Annexe 3 : Contrat complet de supervision. ......................................................................................... 91
Annexe 4 : Contrat complet de Voip/Toip............................................................................................. 91
Annexe 5 : Charte de lutilisateur du systme dinformation. .............................................................. 91
Annexe 6 : Mise en place des mails chiffrs. ......................................................................................... 91
Groupe Audit Socit Assurancetourix
13/12/2010
5
Annexe 7 : GoogleDocs. ......................................................................................................................... 92
Annexe 8 Script automatisation du serveur ....................................................................................... 93
Annexes 9 Mise en place de Syslog-ng et log-rotate .......................................................................... 95
Annexes 10 Mise en place de NetFlow ............................................................................................... 98
Annexe 11 Compte rendu de la runion du 25 Octobre 2010 entre la supervision et les responsables
des serveurs. ........................................................................................................................................ 100
Annexe 12 Tutoriel dinstallation du protocole SNMP sur un serveur LINUX et WINDOWS ........... 100
Groupe Audit Socit Assurancetourix
13/12/2010
6
Introduction
Fidle aux annes prcdentes, les tudiants de master 2 STRI sont soumis une paranoa
soudaine durant quelques semaines. En effet, afin dillustrer nos connaissances en scurit
informatiques acquises durant les cours nous avons pris part au projet de scurit men par Mr
LATU.
Notre promotion est alors divise en trois groupes de projets afin doffrir trois approches des
scurits des systmes dinformations :
Le groupe Dfense le but est de mettre en place un systme dinformation que lon peut
retrouver dans une entreprise et offrir le maximum de scurit et de protection pour ses
services et donnes.
Le groupe Attaque lobjectif est de mettre mal linfrastructure du systme dinformation
du groupe dfense
Le groupe Audit ce dernier groupe doit travailler en troites collaboration avec le groupe
de dfense afin de lui offrir un grand nombre de service leurs permettant dassurer la
scurit des systmes dinformations.
A travers ce document, nous vous expliquerons notre organisation au sein de notre socit
daudit AssuranceTourix ainsi que les diffrents outils mis en place afin de superviser dtecter les
intrusions ventuelles sur le rseau de la socit AeroDef.
Groupe Audit Socit Assurancetourix
13/12/2010
7
I. La socit daudit Assurancetourix
1. Prsentation dAssurancetourix
Assurancetourix est une jeune entreprise d'audit en rseau et tlcom. Elle emploie 14
personnes dans la rgion Toulousaine.
Assurancetourix annonce la russite la certification ISO 27001:2005 pour ses prestations
d'audits de scurit des systmes d'information.
RAISON SOCIALE Assurancetourix France
STATUT SAS au capital de 1
SIEGE SOCIAL Universit Paul Sabatier, Bt U3, IUP STRI, 118 Route de
Narbonne
31062 Toulouse Cedex 9
EFFECTIF 14 personnes
HISTORIQUE Septembre 2010 : cration d'Assurancetourix en France
Concrtement, pour une socit d'audit comme Assurancetourix, cela signifie que la manipulation
des donnes relatives aux audits de scurit chez ses clients s'effectue avec le niveau de protection
requis, ces donnes tant effectivement sensibles.
La certification ISO 27001 garantit qu'elle met en uvre un systme de management et des mesures
de scurit organisationnelles et techniques. Cela signifie qu'un cercle vertueux a t enclench pour
une amlioration continue.
En septembre 2010, l'offre audit d'Assurancetourix a t audite et certifie ISO 27001 par
l'organisme LSTI1, accrdit par le COFRAC2.
2. Organisation de la socit
Notre organisation au sein de lentreprise nous permettant davoir un poste technique mais
galement un poste plus bureaucratique. Chaque personne occupait donc 2 rles.
Nous avons plusieurs ples dexpertise :
7
Socit AssuranceTourix
Communication Technique
Supervisions VOIP/TOIP IDS/IPS Audit Actif
Normes EBIOS/MEHARI
Qualit Chef de projet
Groupe Audit Socit Assurancetourix
13/12/2010
8
a. Communication
Le but de cette entit consiste la relation avec notre client et la communication au sein
dAssuranceTourix.
Figure 1 - Organisation du groupe communication
b. Administration, organisation et qualit
Les objectifs de ce groupe est de valider et de sassurer que les documents mis par la
socit que ce soit pour notre client ou en interne soit conforme et correct aux diffrentes rgles
appliqu dans la diffusion de linformation au sein de la socit.
Figure 2 - Organisation du groupe d'administration, organisation et qualit
c. Norme EBIOS/Mehari
Figure 3 - Organisation du groupe EBIOS et MEHARI
Communication
Romain LAVERNHE
Maxime VIAUDTristan
DELGRANGEPierre-Michel LE BOULC'H
Administration, organisation et
qualit
Kenza BENGELOUN
Gwendal RAISON
Normes EBIOS et MEHARI
Goulven BUREL
Alexandre CLAMART
Nyaka LELO Lise BANQUET
Groupe Audit Socit Assurancetourix
13/12/2010
9
d. Supervision
Figure 4 - Organisation du groupe supervision
e. VOIP/TOIP
Figure 5 - Organisation du groupe VOIP/TOIP
f. Audit Actif
Figure 6 - Organisation du groupe d'audit actif
Supervision
Bastien TEIL
Chef de projet
Pierre-Michel LE BOULC'H
Lise BANQUETRomain
LAVERNHE
VOIP/TOIP
Mdric VIGROUX
Chef de projet
Tristan DELGRANGE
Goulven BUREL
Audit Actif
Alexandre LACOURTE
Chef de projet
Maxime VIAUDGwendal RAISON
Groupe Audit Socit Assurancetourix
13/12/2010
10
II. Contexte du projet
1. Processus Appel doffre RAO contrat
Nous allons voir dans cette partie le processus de cration des contrats nous liant avec la
socit Arodef. En effet, cette entreprise avait mis deux appels doffres. Un concernant la
supervision de leur systme dinformation et un autre pour la VoIP ToIP.
Pour les mettre en place, nous avons tudi ces appels doffres et rdig une rponse appel
doffre (RAO) pour la supervision et une pour la VoIP - ToIP. Ces rponses dcrivaient lensemble des
services que nous pouvions fournir au client.
Voici la structure de la RAO de supervision :
I. Prsentation d'Assurancetourix : A. Assurancetourix B. La mission C. Les qualifications et certifications D. La rpartition des services E. La fiche didentit
II. Le projet daudit actif : A. Introduction du projet daudit actif B. Outils mis en place
1. Nessus 2. Netflow - Mtrologie 3. Gestion des logs 4. Analyse complmentaire
C. Cots et investissements
III. Le projet supervision : A. Introduction du projet supervision B. Choix techniques C. Fonctions D. Intgration larchitecture du client E. Estimation des cots F. Droulement et mise en place G. Recommandations et remarques
IV. Le projet IDS/IPS : A. Introduction du projet IDS/IPS B. Projet C. Cots et investissements
Annexe
Vous trouverez la RAO de supervision en annexe 1. Et celle de la VoIP ToIP :
Groupe Audit Socit Assurancetourix
13/12/2010
11
I. Prsentation d'Assurancetourix : A. Assurancetourix B. La mission C. Les qualifications et certifications D. La rpartition des services E. La fiche didentit
II. Prsentation du projet Toip/Voip : A. Choix techniques B. Intgration larchitecture du client C. Estimation des cots D. Droulement et mise en place E. Recommandations et remarques
Annexe
Vous trouverez la RAO de VoIP - ToIP en annexe 2.
La socit Arodef nous avait donn deux dates diffrentes concernant les RAO. Une
premire pour la supervision (07/10/2010) et une deuxime pour la VoIP ToIP (20/10/2010).
Une fois la RAO supervision mise, nous pensions que lentreprise Arodef laurait tout
simplement consult et annot les points sur lesquels ils taient daccord et ceux o ils ne ltaient
pas. Mais ils ont prfr rdiger un contrat synthtisant cette RAO.
Nous avons donc t surpris de cette dcision puisque le contrat de supervision ne contenait
que les grandes actions que nous tions censs mettre en place. Nous leur avons donc fait part de
notre volont de mettre en annexe du contrat cette RAO.
Comme ils ntaient pas daccord avec tous les points dcrits, nous lavons modifi jusqu ce
quils lapprouvent et quils acceptent de la mettre en annexe. Cela tait aussi valable pour la RAO de
VoIP ToIP.
Voici comment se compose le contrat de supervision tablit entre nos deux socits :
Article 1 Partage des informations Article 2 Clause de confidentialit Article 3 Moyens mis disposition au Prestataire pour la supervision et utilisation de ces
moyens Article 5 Frais Article 6 Communication Article 7 Modification du contrat
Vous trouverez le contrat complet de supervision en annexe 3.
Voici la composition du contrat de VoIP ToIP :
Article 1 Partage des informations : Article 2 Clause de confidentialit :
Groupe Audit Socit Assurancetourix
13/12/2010
12
Article 3 Moyens mis disposition au Prestataire pour le projet ToIP/VoIP Article 5 Frais Article 6 Communication Article 7 Modification du contrat
Vous trouverez le contrat complet de VoIP-ToIP en annexe 4.
Aprs avoir vu la partie prsentant la mise en place des contrats entre la socit
Assurancetourix, nous allons nous intresser aux outils de communication et de scurisation mis en
place.
2. Nos objectifs
Aujourd'hui, le rseau est au cur du systme d'information des entreprises et constitue un
de ses lments les plus sensibles. C'est sur la fiabilit et les performances de son infrastructure de
rseaux que repose l'ensemble des changes internes et externes de l'entreprise, ainsi que le bon
fonctionnement de ses applications mtier. Dans le mme temps, le dveloppement des rseaux et
de l'utilisation d'Internet s'accompagnent d'un besoin croissant de la part des entreprises en outils
pour optimiser et scuriser ces rseaux. Assurancetourix rpond l'ensemble de ces demandes et
fournit ses clients, un service de haut niveau, grce une connaissance pointue de leurs besoins et
une approche adapte chacun d'eux.
Nos objectifs internes taient au dbut du projet les suivants avant la signature du contrat et
lappel doffre :
Sous-groupe VOIP :
Dploiement dAsterisk ainsi que 2 soft phones XLITE. court terme
Possibilit de raliser des communications en externe (accs internet) long terme
Audit sur les ventuelles attaques long terme
Sous-groupe IDS:
Dploiement de loutil PRELUD (surcouche de SNORT) court terme
Migration et centralisation vers OSIM long terme
Sous-groupe Audit Actif :
Dploiement de Nessus court terme
Groupe Audit Socit Assurancetourix
13/12/2010
13
Simulation des flux malveillants pour dtction court terme
Utilisation de TOOL KIT long terme
Audit de machines et dquipements rseaux (en ngociation) long terme
Migration et centralisation vers OSIM long terme
Sous-groupe Supervision :
Dploiement de loutil de supervision FAN court terme
Remonter dalertes pertinentes et intgration dans le SI dAerodef (email, tlphone,) long terme
Migration et centralisation vers OSIM long terme
Pour la majorit des groupes, le travail effectu durant le projet ne correspond en rien celui fix
dans nos objectifs. Cette volution est due la difficult de rendre oprationnel certains outils ou
que la socit AeroDef ne souhaitait pas que cela se fassent en particulier pour le groupe audit actifs.
De ce fait, ce groupe a pris en charge la gestion complte du serveur de laudit mais galement
certains outils danalyse qui nous dtaillerons par la suite.
3. Architecture de la socit AeroDef
Voici larchitecture de la socit AeroDef qui nous a t fourni. Il a pourtant t spcifi a de
nombreuses reprises qui nous fallait plus ample dtails mais aucune suite na t donne. Nous
avions limpression dvoluer dans un environnement rseau que nous ne mtrisions pas !
Groupe Audit Socit Assurancetourix
13/12/2010
14
Figure 7 - Architecture de la socit interne
4. MEHARI
MEHARI est la Mthode Harmonise dAnalyse des Risques. Elle a t dveloppe et
propose par le CLUSIF (Club de la Scurit de lInformation Franais). Cest une mthode complte
dvaluation et de management des risques lis linformation, ses traitements et les ressources
mise en uvre.
Lutilisation de la mthode est gratuite et sa distribution est ralise selon les dispositions du
logiciel libre (Open Source). La dernire version de MEHARI a t prsente par le CLUSIF le 28
Janvier 2010.
Groupe Audit Socit Assurancetourix
13/12/2010
15
a. Prsentation de MEHARI
Objectifs
Lobjectif premier de MEHARI est de fournir une mthode danalyse et de gestion des risques
et, plus particulirement pour le domaine de la scurit de linformation, une mthode conforme aux
exigences de la norme ISO/IEC 27005 :2008, avec lensemble des outils et moyens requis pour sa
mise en uvre.
A cet objectif premier sajoutent deux objectifs complmentaires :
- Permettre une analyse directe et individualise de situations de risques dcrites par des
scnarios de risques
- Fournir une gamme complte doutils adapte la gestion court, moyen et long terme,
de la scurit, quelle que soit la maturit de lorganisme en matire de scurit et
quelques soient les types dactions envisags.
Compte tenu de ces objectifs, MEHARI propose un ensemble mthodologique cohrent,
faisant appel des bases de connaissances adaptes, et capable daccompagner les responsables
dentreprise ou dorganisme et les responsables de la scurit dans leurs diffrentes dmarches et
actions de gestion des risques.
Concepts
MEHARI se dcompose en cellules, les 8 types de cellules sont :
- Lentit
- Le site
- Les locaux
- Les applicatifs
- Les services offerts par les systmes et linfrastructure
- Le dveloppement
- La production informatique
- Les rseaux et les tlcoms.
MEHARI propose des modules danalyse pour chacune de ces cellules. Les modules de MEHARI
peuvent tre combins, en fonction de choix d'orientation ou de politiques d'entreprise, pour btir
des plans d'action ou, tout simplement, pour aider la prise de dcision concernant la scurit de
l'information.
Groupe Audit Socit Assurancetourix
13/12/2010
16
Figure 8 - Concepts MEHARI
Analyse des enjeux
Dans MEHARI, on appelle "Analyse des enjeux de la scurit" :
- L'identification des dysfonctionnements potentiels pouvant tre causs ou favoriss par un
dfaut de scurit,
- L'valuation de la gravit de ces dysfonctionnements.
Il s'agit d'une analyse totalement focalise sur les objectifs et attentes des "mtiers" de l'entreprise,
et, de ce fait prenne. Elle met contribution les dcideurs et le haut management de l'entreprise ou
de l'entit dans laquelle elle est mene.
Cette analyse se traduit par :
- Une chelle de valeurs des dysfonctionnements potentiels, document de rfrence centr
sur les impacts " business ",
- Une classification formelle des informations et ressources du systme d'information.
Il ne s'agit en aucun cas d'un audit des dysfonctionnements rels qui pourraient tre constats, mais
d'une rflexion sur les risques majeurs auxquels l'entit est expose et sur le niveau de gravit de
leurs consquences ventuelles.
Cette analyse des enjeux vise, le plus souvent, :
- Etre slectif dans les moyens mettre en uvre pour la scurit de l'information et ne pas
engager de dpenses l o les enjeux sont faibles,
- viter des contraintes inutiles aux utilisateurs,
Groupe Audit Socit Assurancetourix
13/12/2010
17
- Dfinir les priorits,
- Rpondre l'invitable question d'un dcideur en face d'un budget de scurit : " est-ce
bien ncessaire ? ".
Dans cette analyse, MEHARI apporte :
- Une dmarche centre sur les besoins du business et une implication des managers et
dirigeants,
- Un guide de mise en uvre et des livrables types,
- Des liens directs vers l'analyse dtaille des risques correspondants.
Analyse des vulnrabilits
L'analyse des vulnrabilits revient identifier les faiblesses et les dfauts des mesures de
scurit. En pratique, il s'agit d'une valuation quantitative de la qualit de mesures de scurit. Les
mesures de scurit values sont, en fait, des services de scurit, dcrits et documents dans une
base de connaissance dveloppe et maintenue par le CLUSIF.
Dans MEHARI, cette analyse couvre :
- L'efficacit des services de scurit,
- Leur robustesse,
- Leur mise sous contrle.
Cette analyse des vulnrabilits permet de :
- Corriger les points faibles inacceptables par des plans d'action immdiats.
- valuer l'efficacit des mesures mises en place et garantir leur efficience.
- Prparer l'analyse des risques induits par les faiblesses mises en vidence.
- Se comparer l'tat de l'art ou aux normes en usage.
Analyse des risques
Dans MEHARI, "l'analyse des risques" couvre :
- L'identification des situations susceptibles de remettre en cause un des rsultats attendus
de l'entreprise ou de l'organisme.
- L'valuation :
o de la probabilit de telles situations,
o de leurs consquences possibles,
o de leur caractre acceptable ou non.
- La mise en vidence des mesures susceptibles de ramener chaque risque un niveau
Groupe Audit Socit Assurancetourix
13/12/2010
18
acceptable.
Cette analyse des risques vise, le plus souvent, :
- Dfinir les mesures les mieux adaptes au contexte et aux enjeux.
- Mettre en place un management des risques et garantir que toutes les situations de
risques critiques ont t identifies et prises en compte
- Analyser et grer les risques d'un nouveau projet.
Lanalyse des risques propose par MEHARI peut tre vue comme suit :
Figure 9 - Analyse des risques dans MEHARI
Pilotage de la scurit
Le "pilotage de la scurit" demande :
- Un cadre structurant pour dfinir les objectifs annuels ou les tapes de plans daction,
o Des indicateurs permettant de comparer les rsultats obtenus aux objectifs : en
termes qualitatifs et quantitatifs ainsi quen termes de dlais
- Des rfrences externes permettant un "benchmarking" (rfrenciations, talonnage)
Dans ce domaine, MEHARI apporte :
- Un cadre adapt diffrentes dmarches et diffrentes sortes de management de la
scurit avec une varit dindicateurs et de synthses :
o Niveaux de vulnrabilits et de risques,
o Centres dintrt de scurit (16 thmes, dont contrle daccs, plan de
secours,), relatifs aux points de contrles ISO 17799:2005 (repris dans ISO
27001),
o Tableau de bord des risques critiques.
Groupe Audit Socit Assurancetourix
13/12/2010
19
b. Mise en uvre
Voici dans un premier temps les diffrents modules de diagnostics dfinis par Mhari :
Module danalyse de risques
Module danalyse des enjeux
Module de diagnostic de ltat de la scurit
La mthode danalyse des situations des risques correspond aux questions suivantes :
A quels risques lorganisme est expos ?
Sont-ils acceptables ?
La reprsentation se fait soit sur documents Excel ou sur le logiciel RISICARE .
Le diagnostic de scurit est bas sur un questionnaire qui sappuie sur les mesures de scurit et
lvaluation du niveau de qualit des mcanismes et solution mise ne place pour la rduction des
risques.
Lanalyse des enjeux correspond aux questions suivantes :
Que peut-on redouter ?
Serait-ce grave si cela devait arriver ?
Les rsultats retenus permettront ainsi dlaborer dun ct une chelle de valeurs des
dysfonctionnements du systme dinformation do leurs descriptions, la dfinition des paramtres
influant sur la gravit des dysfonctionnements et lvaluation des seuils de criticit qui font varier les
niveaux de gravit de ceux-ci.
Dun autre ct, la classification des infos et des actifs du SI bas sur la Disponibilit, lIntgrit et la
Confidentialit des indicateurs reprsentatifs de la gravit dune atteinte au SI.
Traitement des risques
Plan daction mise en place pour la rduction des risques.
Ce plan daction consiste en une analyse de chaque scnario de risque et prendre des dcisions
consquentes.
En pratique, lorganisation de ce travail se fait de manire structure et en envisageant plusieurs
approches :
*travail par familles de scnarios ayant le mme type dactif et le mme impact : Pour
chaque famille de scnarios est propose des plans daction (feuille Plan daction) regroupant
diffrents services pertinents pour la famille.
*travail par projets fdrateurs avec des services de finalits (contrle daccs physique,
gestion des droits et des habilitations,..) : Ils permettent de faire des simulations diffrentes
poques et de dfinir ainsi un tableau de bord des risques.
*travail par services en fonction des notions de besoin de service : Dfinir un indicateur de
besoin de service en fonction du nombre de scnarios faisant appel un service donn, de la
gravit de ces scnarios et de lefficacit dans les plans daction de ces services
Groupe Audit Socit Assurancetourix
13/12/2010
20
On rpertorie les diffrentes menaces dattaques dans un tableau et on cherche des solutions
pour nuire celles-ci.
Guide analyse des enjeux et classification
Lchelle de valeur des dysfonctionnements est le rsultat principal de lanalyse des enjeux de la
scurit.
Les mcanismes employs dans lapprciation et la gestion des risques ncessitent que ces
dysfonctionnements soient traduits en termes techniques relatifs des ressources de toute
nature du Systme dinformation quon appelle les actifs (Exemple : perte de la
confidentialit de telle base des donnes applicative ou de lindisponibilit de tel serveur,)
Ces actifs classifis doivent se rfrer aux besoins des organisations que lon classe dans trois
catgories :
Groupe Audit Socit Assurancetourix
13/12/2010
21
*les services (informatiques, tlcommunications et gnraux),
*les donnes ncessaires au fonctionnement des services,
*les processus de gestion de la scurit ou de la conformit des rfrentiels
Ainsi on sera amen au remplissage des tableaux ci-dessous lun des services et lautre des
donnes :
En bas des tableaux T1 et T2 existe une ligne de politique gnrale permettant dindiquer un
jugement global, indpendant de divers secteurs dactivit.
Evaluation de la qualit des services de scurit
Les services de scurit peuvent avoir des niveaux de performances trs varis selon les
mcanises et les processus employs.
Groupe Audit Socit Assurancetourix
13/12/2010
22
La mesure de cette qualit est facteurs de trois paramtres savoir : lefficacit du service,
sa robustesse et les moyens de contrle du maintien dans le temps de caractristiques
prcdentes.
Une de ces bases de connaissances de cette qualit consiste en une base daudit des services
de scurit sous la forme dun questionnaire et dun systme de pondration des rponses.
Ces questions sont axes sur lefficacit des mesures de scurit (par exemple : frquence
de sauvegardes, types de contrle daccs physique : lecteur de carte, digicode,) et des
questions axes sur la robustesse des mesures de scurit (par exemple : localisation et
protection daccs au lieu de stockage des sauvegardes, protection du systme de dtection
dincendie,) et, gnralement, une ou deux questions sur le contrle ou laudit des
fonctionnalits attendues du service.
*Types de questionnaires
Il sagit des questionnaires spcialiss par domaines techniques correspondants des
interlocuteurs diffrents
*Systme de pondration des questions
Les questions se poser au sujet dun service de scurit sont relatives des mesures lies
au service. On distingue les mesures majeures ou suffisantes et les mesures indispensables.
Le tableau ci-dessous est rserv pour la rponse aux questions (1 pour OUI et 0 pour NON)
avant la colonne indiquant le poids de chaque question
Groupe Audit Socit Assurancetourix
13/12/2010
23
Problmes rencontrs
Aprs tude du tableau 2010 de Mhari, on se rend rapidement compte quil est assez complexe et
long tudier.
En effet, il est compos de 14 questionnaires classs par thme. Les voici :
Organisation de la scurit
Scurit des sites
Scurit des locaux
Scurit
Rseau tendu intersites
Rseau Local
Exploitation des rseaux
Production Informatique
Scurit applicative
Scurit des projets et dveloppements applicatifs
Protection des postes de travail utilisateurs
Exploitation des tlcommunications
Processus de gestion
Gestion de la scurit de l'Information
Les 14 questionnaires sont uniquement composs de questions fermes. Il faut rpondre
seulement par Oui , Non ou Sans rponse .
Chaque questionnaire est compos de plus de 100 Questions. Au total, il faut rpondre plus de
2300 questions environ !
Nous avons transmis ce questionnaire la dfense afin quils y rpondent.
En effet, on ntait incapable de rpondre par nous mme aux questionnaires. La dfense ne
nous a transmis pratiquement aucune information concernant son rseau ainsi que sur sa politique
de scurit. Ils taient donc trs difficile pour nous de rpondre toutes les questions.
Nous avons obtenu une rponse ngative de leur part car ils estimaient quils navaient pas
assez de temps pour rpondre lensemble du questionnaire.
Au final, pour raliser une tude Mehari laide du tableur, il faut consacrer beaucoup de
temps la rponse du questionnaire. La rponse aux diffrents questionnaires demande un gros
investissement en termes de temps mais galement en termes danalyse (Recensement de la
scurit du rseau, tat du rseau, emplacement des locaux etc)
Groupe Audit Socit Assurancetourix
13/12/2010
24
III. Communications au sein dAssurancetourix
La communication est un lment primordial du projet compte tenu de limportance des
groupes. En effet une mauvaise communication interne et/ou externe peut faire apparaitre des
problmes de tout genre. Il tait donc important de grer au mieux ce processus.
La communication dAssurancetourix sarticule autour de deux axes : la communication interne
et la communication avec ses clients, ici, Arodef. Dans un premier temps, cette partie va sattacher
dcrire les outils de communication mis disposition de ses collaborateurs ainsi que les usages
souhaits de son systme dinformation. Dans un second temps, cette partie dcrira les moyens et
les solutions choisis afin de communiquer avec le client.
1. La communication interne
c. La chartre de lutilisateur du SI
La charte des utilisateurs est lun des documents essentiels dune entreprise. Elle permet de
dcrire les comportements, les rgles ainsi que les recommandations que se doivent de respecter
lensemble des utilisateurs du systme dinformation afin de limiter, au maximum, la perte ou le vol
dinformations.
Assuranretourix est une entreprise au service de ses clients, lesquels dtiennent des
informations sensibles et hautement confidentielles. Cest pourquoi, le service communication
dAssurancetourix a dit une charte des utilisateurs, garante du professionnalisme de lentreprise.
Voici, ci-dessous, un rsum des consignes lmentaires dcrites par la charte de lutilisateur du
systme dinformation :
Privilgier lutilisation de votre ordinateur personnel.
Verrouiller sa session avant de sloigner de son ordinateur.
Construire des mots de passes complexes associant des majuscules/minuscules et des
caractres spciaux.
Ne jamais crire son mot de passe.
Cette charte des utilisateurs a t soumise lensemble des utilisateurs du systme
dinformation, lesquels avaient pour obligation de la lire et de signaler leur accord en envoyant un
mail au service communication.
Lensemble des consignes de la charte de lutilisateur du systme dinformation est
disponible lannexe 5.
d. La communication par email
La communication entre les collaborateurs dune entreprise est un point sensible. En effet,
Groupe Audit Socit Assurancetourix
13/12/2010
25
de nombreuses informations plus ou moins confidentielles transitent par lintermdiaire des mails.
Cependant, cet outil bien quessentiel pour la communication entre les collaborateurs nest
absolument pas scuris.
Vous viendrez-t-il lide dcrire des informations sensibles sur une carte postale sans
enveloppe, cest--dire lisibles de tous les intervenants de la livraison (trieurs de courrier,
facteurs) ? Bien sr que non ! Cest pourquoi Assurancetourix a dcid de mettre en place une
communication par mails signs et chiffrs.
Avant de dcrire la mise en place des mails chiffrs au sein dAssurancetourix, nous avons
cr des adresses mails pour tous les collaborateurs. Toutes les adresses ont t cres laide dun
gnrateur IKEA qui permet de transcrire le prnom dun collaborateur en celui dun pseudo-meuble
IKEA. A noter que toutes les adresses mails dAssurancetourix ont t cres chez Gmail.
Figure 10 - Adresses mails dAssurancetourix
Passons maintenant aux outils utiliss par tous les collaborateurs afin de permettre la
communication via des mails chiffrs. Une procdure de mise en place des mails chiffrs a t cre,
disponible en annexe 6, afin dexpliquer chacun les procdures suivre.
Nous avons choisi dutiliser le client Thunderbird comme client de messagerie coupl avec
lextension Enigmail afin de permettre le chiffrement/dchiffrement des mails. Chaque collaborateur
a aussi d utiliser GnuPGP afin de permettre la gnration de ses clefs prive et publique. Nous
avons, par ailleurs, choisi dutiliser le protocole POP afin de supprimer les mails sur Gmail, une fois
leur transfert effectu sur Thunderbird. Bien que les mails soient chiffrs, cela permet en cas de vol
du mot de passe de messagerie de ne pas pouvoir exploiter les informations des mails contenus sur
le webmail Gmail. En effet, il faut noter que les expditeurs, les destinataires et lobjet du mail sont
en clair et que seul le contenu est chiffr.
Ainsi, seuls les mails non encore rapatris sont stocks sur le webmail. Aprs leur
Groupe Audit Socit Assurancetourix
13/12/2010
26
rapatriement, ils sont supprims de la webmail et disponible sur le client Thunderbird en local.
Afin de permettre lutilisation des mails chiffrs, chaque collaborateur doit envoyer sa clef
publique aux personnes avec lesquelles il souhaite communiquer et rciproquement.
e. Partage des documents via loutil GoogleDocs
Lors de ce projet de nombreux documents et procdures ont t crs aussi bien en interne
qu destination du client.
Afin de permettre une gestion des documents plus aise pour chacun, en comparaison
lenvoi des documents par mail, et une mise disposition permanente des documents, nous avons
dcid dutiliser loutil fourni, pour louverture dune boite Gmail, appel GoogleDocs. Pour se faire,
nous avons galement cr une procdure disponible en annexe 7.
Chaque collaborateur possde alors un droit en lecture sur tous les dossiers
dAssurancetourix et un droit en criture sur les groupes auxquels il appartient.
Il faut noter que notre client ne possde pas daccs cet espace de partage de documents. La
communication avec le client est dcrite ci-aprs.
2. La communication externe
a. Les runions
De nombreuses runions ont eu lieu entre AssuranceTourix et Arodef particulirement
concernant le contenu des contrats et des moyens de communication entre les deux entreprises.
Toutes les runions ont fait lobjet dun compte-rendu de runion.
b. La communication formelle
La communication externe et plus particulirement celle avec notre client sest effectu de la
manire suivante :
Toutes les communications devant tre effectues avec le client, avant ltablissement des
contrats, se sont faites par lintermdiaire des services communication des deux entreprises.
Ces communications sont faites via des mails chiffrs.
Aprs signature des contrats, le client nous a fourni une liste de contacts techniques avec
lesquels pouvaient communiquer nos quipes. Ces communications se sont effectues par
Groupe Audit Socit Assurancetourix
13/12/2010
27
lintermdiaire de mails non-chiffrs.
Malgr notre instance vouloir utiliser obligatoirement des communications, entre services
techniques, par lintermdiaire de mails chiffrs, le client na pas voulu entendre raison. Ce dernier
nous a fourni diffrentes raisons la non-utilisation de mails chiffrs :
Trop contraignant puisquil faut utiliser lordinateur disposant du client de messagerie.
Trop difficile mettre en place.
Devant leur rticence et malgr nos nombreux contre-arguments, nous avons cd et permis la
communication entre services technique par lintermdiaire de mails non-chiffrs. En contrepartie,
nous avons demand au client de porter la responsabilit des consquences, en cas dinterception de
ces communications non-chiffres, chose quil a accept.
c. La communication informelle
Il est intressant de noter les diffrences quil existe entre la communication formelle et la
communication informelle. La communication formelle regroupe les diffrents lments cits
prcdemment sinscrivant dans un processus de communication officiel. La communication
informelle, quant elle, sinscrit plutt dans un processus officieux dit de conversation de machine
caf .
Au travers de ce projet, nous avons us de ces deux types de communications en privilgiant
au dpart une communication par les canaux officiels. Cependant, nous narrivions pas, la plupart du
temps, nos fins. Ainsi, au fur et mesure du projet, nous avons us des canaux officieux qui
procurent des rsultats plus que convaincants.
A titre dexemple, il tait bien plus ais de sentretenir directement avec le responsable des
ouvertures de ports afin que ce dernier nous dbloque certains ports. Les ouvertures de ports
seffectuaient alors trs rapidement. A contrario, si nous tions intervenus par le canal officiel cela
aurait pris plusieurs jours sans forcment aboutir.
3. Problmes rencontrs
En lisant les rapports des annes prcdentes, on saperoit trs rapidement que les
difficults sont les mmes dannes en annes.
En dbut de projet lquipe dfense est prise dune paranoa excessive et voit dans certaines
de nos dmarches une volont de nuire leur systme. Du moins cest ainsi que nous le percevons.
De notre ct, nous avons tendance juger un peu promptement les dcisions du groupe dfense.
Ces ractions sont logiques, le groupe dfense a la volont de bien faire et par consquent restreint
un maximum laccs leur systme et aux informations, laudit quant lui veut prouver son utilit, il
se sent donc forc de dmontrer linefficacit des actions de la dfense pour pouvoir en proposer de
meilleures.
Groupe Audit Socit Assurancetourix
13/12/2010
28
Ces ractions logiques entravent toutefois la communication entre les 2 groupes. Comme
mentionn dans le paragraphe prcdent, au dbut de ce projet laccs aux informations de la
dfense fut laborieux. Or ces informations taient ncessaires pour rflchir aux solutions que nous
comptions proposes. Le fait de devoir passer obligatoirement par le groupe communication de la
dfense pour sentretenir avec un responsable a galement ralenti considrablement nos actions.
Malgr tout, aprs avoir fait remonter ces problmes au groupe dfense, on a pu noter, en
fin de projet, un assouplissement de toutes ces rgles ce qui nous a permis de travailler plus
efficacement sans toutefois mettre en danger larchitecture de la dfense.
IV. Serveur daudit
Au sein de ce projet, nous avions disposition un seul serveur physique. Afin de faciliter la
gestion de ce dernier nous avons opt pour la virtualisation de serveurs et dlments rseaux de
niveau 2.
1. Environnement virtualis
Larchitecture de notre systme daudit se compose dun serveur physique qui virtualise aussi
bien des quipements rseaux que des serveurs. Il se compose de :
Un pool de serveur
Un switch permettant la gestion des VLAN
Un pont entre linterface physique et le switch virtuel
Groupe Audit Socit Assurancetourix
13/12/2010
29
Figure 11 - Architecture de notre serveur d'audits
Afin de raliser limplmentation de ce systme, nous avons dploy la solution KVM qui est
permet d'excuter le systme d'exploitation invit de manire native sans modification. Avec cette
technique, la virtualisation n'a aucun impact sur l'excution du noyau du systme virtualis. En
revanche, la virtualisation complte sacrifie les performances au prix de la compatibilit. En effet, il
est plus difficile d'obtenir de bonnes performances lorsque le systme invit ne participe pas au
processus de virtualisation et doit traverser une ou plusieurs couches d'mulation avant d'accder
aux ressources matrielles.
Ct matriel, les dveloppements rcents sur les processeurs ont tendance diminuer les
carts de performances entre paravirtualisation et virtualisation complte. Qu'il s'agisse d'Intel (VT
: Intel Virtualization Technology) ou d'AMD (AMD-V : Industry Leading Virtualization Platform
Efficiency) les derniers processeurs disposent de fonctions matrielles pour la virtualisation.
Avec le noyau Linux, l'objectif de la solution Kernel Based Virtual Machine ou KVM est
d'ajouter des capacits de virtualisation un noyau standard. Il est ainsi possible de tirer parti de
toutes les fonctions de rglage fin dj intgres au noyau et de bnficier des nouveaux avantages
apports par les environnements virtualiss.
Avec le modle KVM, chaque machine virtuelle est un processus standard du noyau Linux
gr par l'ordonnanceur (scheduler). Un processus normal de systme GNU/Linux peut tre excut
selon deux modes : noyau (kernelspace) ou utilisateur (userspace). Le modle KVM ajoute un
Groupe Audit Socit Assurancetourix
13/12/2010
30
troisime mode : le mode invit qui possde ses propres modes noyau et utilisateur.
Figure 12 - KVM dans le noyau Linux
2. Mise en place
g. Partie rseau
La virtualisation de la partie rseau se fait en 4 tapes :
Activation du routage
Cration dune interface virtuelle TAP
Cration dun bridge BR0 reliant le TAP linterface physique du serveur
On raccorde le TAP au VDE-switch
Figure 13 - Schma de principe d'interconnexion
Groupe Audit Socit Assurancetourix
13/12/2010
31
h. Partie systme
Pour la partie systme tout est grer par KVM. La premire tape est de crer un disque
virtuel puis de dmarrer la machine avec KVM.
Lors du dmarrage des machines, on passe un ensemble de paramtre comme :
Ladresse MAC,
Le port de connexion sur le switch VDE
Le disque dur associ la machine
La mmoire attribue la machine,
Le dmarrage des machines a t script afin de facilit le dmarrage des machines. Afin de
rendre stable et facile configurer, nous avons une instruction dite post-up dans le fichier
/etc/network/interface. Cette commande excute un script (cf. Annexe n8) reprenant les tapes
prsenter dans la partie rseau pour la mise en place du commutateur.
3. Plan de reprise
Ds le dbut du projet, nous nous sommes positionns comme tant une cible potentielle pour
lattaque. De ce fait, nous avons mis en place un systme de reprise de service en cas de coupure du
serveur (physique ou virtuel).
En cas dinfiltration ou destruction dun serveur virtuel, nous disposions de copies des
disques chaque tape du projet et du dploiement dapplication. Cette copie est ralise sur lordre
des chefs de projets en cas davancer significative de la mise en place des services. Nous pouvions
donc en quelques minutes remettre un serveur virtuel en tat de marche dans ltat o nous le
souhaitions. Les sauvegardes pouvant tre redployes distance.
Dans le cas o ce soit le serveur physique qui soit cibl, nous disposions dune sauvegarde
complte comprenant galement les sauvegardes de disques virtuelles sur un serveur appartenant
Mr LATU. Afin de remettre en tat le serveur, nous devions utiliser le mme principe que celui
utiliser en salle de TP3 ; cest--dire booter le serveur sur un CD qui rcupre par la suite limage du
disque. Le temps de reprise si nous tions sur place tait dune dizaine de minutes.
V. Application daudits Systme dinformations
1. NetFlow Analyse de flux
Groupe Audit Socit Assurancetourix
13/12/2010
32
Netflow est un protocole propritaire Cisco sappuyant sur la notion de flux et permettant de
centraliser les informations relatives au trafic rseaux. Cest un protocole permettant de simplifier
lanalyse des compteurs des quipements rseaux.
Pour fonctionner, ce protocole a besoin de 2 entits. La premire sera prsente sur chaque
quipement rseaux et permettra de grer le cache Netflow et dexporter celui-ci vers le
centralisateur. La seconde est prsente sur le centralisateur et permet denregistrer toutes les
informations provenant des quipements rseaux.
Figure 14 - Principe de NetFlow
Un routeur sur lequel Netflow est activ possde en cache (cache Netflow) une table des flux
actifs. Celui-ci permet de compter le nombre de paquets et d'octets reus pour chaque flux. Ainsi,
chaque paquet reu le routeur met jour le cache soit en crant une nouvelle entre soit en
incrmentant les compteurs d'une entre existante.
Lorsqu'un flux expire, il est supprim du cache et les informations sont envoyes vers la
machine de collecte.
Contexte du projet :
La Dfense utilise un routeur Cisco dans son infrastructure rseaux. Nous leur avons donc
demand dutiliser Netflow (cf annexe 10) afin de nous remonter des informations vers notre
collecteur.
Pour cela nous avons choisi le couple de logiciel nfdump et nfsen :
Groupe Audit Socit Assurancetourix
13/12/2010
33
-nfdump est le daemon permettant denregistrer les informations rcoltes
-nfsen est une interface graphique utilisant les statistiques enregistres sous forme de
graphique sur une interface WEB.
Figure 15 - Analyse Netflow
2. SPAN
Le commutateur dentre est un CISCO, il est possible de raliser du SPAN, et donc dupliquer
toutes les requtes entrantes et sortantes vers une sortie relie la sonde SNORT. Nous avons donc
install une seconde carte rseau sur notre serveur afin de pouvoir collecter les informations
travers SNORT, PRELUDE et des analyses TSHARK lors des confrontations.
Le SPAN (Switched Port Analyzer) est une fonction des commutateurs Ethernet Cisco qui
permet de recopier sur un port donn le trafic destin un ou plusieurs autres ports. Un analyseur
de rseau connect au port SPAN peut surveiller le trafic provenant de l'un des ports du
commutateur. Cette fonction permet d'effectuer des analyses de trafic sans perturber le
fonctionnement.
Groupe Audit Socit Assurancetourix
13/12/2010
34
3. Gestion des logs
a. Syslog-ng et log-rotate
Les journaux, ou logs dans le jargon, servent enregistrer tous les vnements qui
surviennent sur un systme. Historiquement, le service syslog a t dvelopp pour la branche Unix
des systmes BSD. Depuis, ce service a t trs largement adopt. On le retrouve sur tous les
systmes Unix, GNU/Linux et surtout sur les quipements rseau de nombreux constructeurs. Le
protocole syslog est dcrit dans le document RFC3164 "The BSD Syslog Protocol".
Figure 16 - Daemon Syslogd
Syslog-ng (new generation) est une implmentation tendue du protocole standard de
gestion des journaux systme. Il est largement utilis dans la centralisation des logs provenant de
diffrents systmes d'infrastructures htrognes. Syslog-ng peut travailler en mode serveur
(rception des logs) ou agent (envoi des logs). Chaque machine serveur peut ainsi envoyer ses logs
systmes vers un serveur central. Syslog-ng est flexible et simple a configurer. Il propose des
fonctionnalits puissantes de filtrage de contenu permettant de rpartir les logs dans des fichiers et
rpertoires propres chaque systme.
logrotate est un outils de gestion de fichiers de logs. Il permet darchiver, dorganiser et de
sauvegarder les journaux systmes automatiquement. Loutil est modulable et permet aux
administrateurs consciencieux de conserver une trace prcise, structure et hirarchise de lactivit
de leurs machine dans le respect des lois (comme par exemple : garder une profondeur de logs dun
an ET ne pas conserver de logs de plus dun an, etc).
Loutil est essentiellement compos dun script de rotation des logs (logrotate) et de ses
fichiers de configuration (/etc/logrotate.conf et /etc/logrotate.d/*).
Groupe Audit Socit Assurancetourix
13/12/2010
35
Le dclenchement du script est effectu par le cron (cron, fcron ou vixie-cron). Lorsque le
script est appel, il examine les fichiers de logs qui ont t spcifi dans /etc/logrotate.conf ou
/etc/logrotate.d/*, et y applique le traitement dfinit dans le fichier de configuration (compression,
numrotation, archivage, etc).
Dans notre projet, nous centralisions lensemble de nos log serveurs mais galement ceux de
la socit AeroDef (uniquement syslog.log). Nous analysions rgulirement ltat de ces logs
(quotidiennement) dans un premier temps la main puis travers le logiciel Splunk qui nous a
facilits considrablement les recherches dvnements particuliers.
Il aurait t intressant de nous donner lintgralit de leur log systme de la socit AeroDef
afin de dceler toutes les intrusions ou effets non dsirs sur leur SI. Pour certains raisons, le fichier
auth.log (analyse dauthentification sur le systme) na t donn en audit quen fin de projet.
b. Splunk
Lditeur Splunk propose une approche novatrice dans la gestion et lexploitation des logs. Lobjectif
est damliorer la lisibilit des trs nombreuses remontes de logs issues dlments actifs du rseau.
Splunk indexe tout ou partie des logs informatiques partir de nimporte quelle source, en temps
rel (quipements rseaux, journaux dvnements, enregistrements de fichiers, modification de
configurations/paramtrages dOS, connections VPN, ).
Quelque soit la source ou le format, Splunk est capable dindexer sans modules complmentaire
acqurir, dvelopper ou maintenir.
Dans un deuxime temps, lapplication permet de rechercher les logs, de gnrer des rapports, et de
surveiller ou danalyser en temps rel les informations issues de la collecte. Ceci travers toute
l'infrastructure IT.
Splunk favorise les dpannages rapides et les investigations sur les incidents. Offre de
puissantes analyses statistiques et de corrlation de logs. Fournit galement une interface utilisateur
interactive afin dalerter, surveiller, permettre du reporting (permet de mettre jour des compteurs
dvnements, de calculer des mtriques et de spcifier des laps de temps dfinis) et des analyses.
Splunk offre la possibilit de recherches en temps rel ou rtroactive. Lassistant de
recherche propose par exemple :
une barre de recherche ainsi quune aide contextuelle afin dexploiter au mieux toute la
Groupe Audit Socit Assurancetourix
13/12/2010
36
puissance du langage de recherche
une interaction avec les rsultats de recherche en temps rel.
la possibilit de zoomer ou dzoomer sur une chelle de temps particulire dans loptique de
dgager rapidement des tendances, des pointes ou des anomalies.
de naviguer dans les rsultats et liminer le bruit .
Il est possible de convertir des recherches en alertes dclenchant lenvoi automatique de mails, de
notifications RSS, ou dexcution de scripts.
Il est galement prvu de pouvoir ajouter du sens aux logs en identifiant, nommant, marquant des
champs et des donnes.
Splunk permet aussi dajouter des informations partir de sources externes (bases de donnes de
management, systmes de gestion des configurations, annuaires utilisateurs).
Le gnrateur de rapport permet de crer rapidement des graphiques et des tableaux de bord qui
indiquent les tendances significatives, les hauts et les bas, les rsums des valeurs premires et la
frquence des occurrences sans demander aucune connaissance approfondie des commandes de
recherche.
Cette outils nous a t dune aide CRUTIALE pour lanalyse de log systme du fait que nous
pouvons effectuer trs rapidement des recherches trs prcises sur des mots cls, des sources, On
aurait d le mettre en place ds le dbut du projet afin dexplorer lensemble des fonctionnalits
offertes par ce systme. Il ncessite nanmoins une machine robuste et du temps pour le
paramtrage des fonctionnalits divers. Logiciel suivre car il se rvla la hauteur de nos attentes.
4. Supervision avec FAN Full Automated Nagios
Dans le cadre de notre audit de scurit de la socit AroDef, il nous a sembl judicieux
pour la prennit de leur systme dinformation de mettre en place un outil de supervision. La supervision a pour but dune part de contrler ltat de fonctionnement dun lment informatique (ordinateur, serveur, Switch, etc.), dun service (web, dns, sql, etc.), mais galement denvoyer des alertes (appele trap ) sans avoir faire une collecte dinformation sur llment informatique, mais envoyes automatiquement en cas de problme.
Il faut savoir galement que loutil de supervision sert uniquement dtecter les diffrents problmes. Il ne va en aucun cas rgler le problme par lui-mme. Il va uniquement servir lutilisateur dtecter les problmes ventuels sur les lments quil supervise.
De plus, loutil de supervision aura diffrentes vocations :
- Surveiller les lments du rseau via une interface web. - Etre alert des ventuels disfonctionnements. - Prsentation des informations divers niveaux dabstraction.
Le monde informatique tant en constante volution dans lensemble de ces domaines, la
solution de supervision a t en constante volution durant la totalit du projet afin de rpondre
Groupe Audit Socit Assurancetourix
13/12/2010
37
pleinement aux diffrents besoins du client dune part, mais galement de sadapter aux volutions de leur architecture dautre part.
a. Prsentation des outils
Afin de raliser la fonction de supervision de lensemble du parc AroDef, nous avons mis en place divers outils avec des fonctionnalits diffrentes. Etant donn du court dlai disponible pour raliser le projet, et en prenant en compte la complexit de mise en uvre des diffrents outils, nous avons choisi de mettre en place une solution automatise, la distribution FAN (FullyAutomatedNagios). Cette distribution linux est base sur CentOS et a pour but de proposer une solution globale ddie la supervision. Elle contient les outils de supervision suivants :
Loutil Nagios et certains de ses plugins : cur de la supervision, lment centralisateur des donnes remontes par les agents.
Loutil Centreon : surcouche loutil Nagios. Offre une interface web intuitive lutilisateur lui permettant de grer plus facilement son parc dlments superviser.
Loutil Nagvis : permet davoir une cartographie complte de larchitecture rseau (position gographique, position des services, etc.).
Loutil Nareto : propose une interface de haut niveau Nagios permettant dorganiser lensemble des lments superviser sous la forme dune arborescence (inutilis dans le cadre du projet).
Loutil Apache : serveur web qui est ncessaire au fonctionnement de lensemble des outils.
Loutil Mysql : Historisation des donnes remontes par les agents.
En complment de tous ces outils, nous avons utilis deux protocoles de supervision diffrents. Les protocoles de supervision ont pour but dinstaurer un dialogue entre la machine manager qui stocke et traite les informations, et les diffrents agents do proviennent les informations. Voici
Groupe Audit Socit Assurancetourix
13/12/2010
38
ci-dessous les protocoles plus en dtail :
o Le protocole SNMP : permet la machine manager dinterroger les diffrents agents, afin daller rcuprer les informations dsires dans les diffrentes MIB.
o Le protocole NRPE : permet la machine manager de demander lexcution dun code distance sur lagent , une fois ce code excut, le rsultat est retourn la machine manager .
Afin de bien comprendre le fonctionnement de la supervision, voici ci-dessous un schma explicatif sur la supervision et plus particulirement sur loutil Nagios.
Figure 17 - Schma gnral de la Supervision et Nagios
1. Nous avons tout dabord loutil Nagios qui est llment centralisateur. Il excute
diffrents plugins en fonction de linformation rcuprer ou de laction effectuer. 2. Le plugin va ensuite interroger le ou les diffrents agents en passant par lintermdiaire du
rseau. 3. Le ou les diffrents agents renvoient ensuite la rponse au plugin. 4. Le plugin va avoir ensuite deux choix possibles. Le premier tant de lever une alerte si
ncessaire, ou alors de simplement renvoyer la valeur de retour au moteur dapplication Nagios.
5. La valeur de retour est ensuite stocke, analyse, et mise en forme par loutil Nagios. 6. Loutil Nagios met disposition de lutilisateur les rsultats sous diffrentes formes
Groupe Audit Socit Assurancetourix
13/12/2010
39
(graphique, textuelle, etc.) via une interface web.
b. Mthodologie de dploiement
La mthode employe pour surveiller une architecture se met toujours en place en respectant le
mme schma.
Nagios/Centreon offre la possibilit de crer des modles dhtes et de services. Nous avons
donc conu des templates pour chaque type de machines. A ces modles dhtes sont associs des
modles de services.
Dans les prochains paragraphes nous prsenterons une coupe verticale du processus de
dploiement de la supervision sur larchitecture du client.
Les modles dhtes :
Dans cette partie nous allons montrer, laide de captures dcran, comment crer un modle
dhte sur Centreon. Pour cette dmonstration nous crons un modle de machine de type serveur
Linux.
Linterface de cration des modles dhtes se trouve dans la partie
configuration/Htes/Modles de Centreon.
La premire chose faire est donc de dfinir un modle de machine dont tous les serveurs linux
hriteront.
Longlet configuration de lhte va permettre de renseigner le nom de notre modle. Cest
tout ce que nous allons faire dans cette partie.
La suite du dploiement passe par la cration de modle de services que nous allons associer
au modle dhte que nous venons de crer. Ainsi toutes les machines qui hriteront du modle
Identifier les htes
surveiller
Identifier les services
surveiller sur chaque hte
Associer des utilisateurs des
services/des htes
Groupe Audit Socit Assurancetourix
13/12/2010
40
dhtes auront automatiquement les services associs au modle qui leur seront galement associs.
Voici les services qui sont associs automatiquement un modle :
Dans le prochain paragraphe nous allons prsenter comment ajouter dautres services au modle
dhte.
Les modles de services :
Pour ajouter un modle de service, il faut aller dans la partie configuration/services/modles.
Voici comment se prsente le formulaire de configuration du service :
Dans les informations gnrales on renseigne le nom du service ainsi que son alias. Mais la
partie la plus intressante est la commande de vrification : Cest dans cette partie quest spcifi le
plugin utilis pour aller chercher linformation recherche. Dans cet exemple on cherche avoir le
taux dutilisation du cpu. On utilise donc le plugin check_snmp_centreon_load_average.
La ligne arguments renseigne les arguments ncessaires la requte pour fonctionner.
$USER2$ : variable contenant la communaut utilise
4,3,2 : seuil au-dessus duquel la commande renvoi un warning
6,5,4 : seuil au-dessus duquel la commande renvoi un critical
Notre service est configur, il faut maintenant lassoci au modle dhte Serveur-Linux. Pour
Groupe Audit Socit Assurancetourix
13/12/2010
41
cela, il faut aller dans longlet relations et ajouter Serveurs-Linux la liste Lier aux modle de
lhte :
Assurons-nous que le service apparat maintenant dans linterface de configuration du
modle de lhte :
On aperoit bien en bas droite de la capture ci-dessus le nom du nouveau service en gris.
La cration dun hte :
Le modle server-Linux est cr et configur selon nos souhaits. Pour autant ce niveau l,
aucun serveur linux nest surveill.
Mais grce au travail sur les modles cela sera grandement facilit. Il suffit de crer une machine,
lui donn un nom, un alias, renseign son @IP et surtout lassoci au groupe des Servers-Linux et le
tour est jou.
On voit sur la capture ci-dessus que nous avons ajout la machine Centreon-Server au
modle Server-linux et dcid de crer les services associs au modle.
Groupe Audit Socit Assurancetourix
13/12/2010
42
Les services associs notre serveur Centreon sont crs automatiquement.
Les ajouts de plugins :
Il se peut que les plugins initialement prvus dans la FAN ne rpondent pas une de nos
problmatiques. Heureusement, Nagios possde une communaut active de personnes qui
dveloppent des plugins en perl ou en bash. Ces plugins sont ensuite tlchargeables via des sites
web.
Vous pouvez trouver de nombreux plugins ladresse suivante : http://exchange.nagios.org/
Les plugins doivent tre placs dans le rpertoire /usr/lib/nagios/plugins. Il faut ensuite crer
une nouvelle commande ou nous spcifierons la syntaxe de la requte dutilisation du plugin. Une
fois la commande cre il faut lutiliser dans un service que nous associerons lhte surveiller.
On peut ainsi configurer nos services pour quils renvoient exactement linformation souhaite et
de la manire dsire.
La prochaine tape aurait t de dvelopper nous-mme nos propres plugins mais le temps nous
manquait.
Les utilisateurs :
La finalit de ce systme de supervision rseau est de mettre en place une solution pour le client.
Nous avions donc dans lide de permettre au personnel dArodef de consulter la plateforme
Centreon. Nous devions donc crer des utilisateurs ayant des droits restreints et un visu sur
seulement une partie de larchitecture. Les lignes qui suivent vous prsentent comment nous avons
procd.
Nous crons donc un utilisateur invitAerodef. Linterface de cration des utilisateurs se trouve
dans configuration/utilisateur.
Groupe Audit Socit Assurancetourix
13/12/2010
43
Il faut ensuite placer cet utilisateur dans un groupe daccs. Nous avons dcid de crer de
nouveaux groupes plutt que dutiliser les groupes existants.
Nous crons donc un groupe daccs Aerodef et ajoutons notre nouvel utilisateur sa
liste de contacts lis. Le menu de cration de groupe daccs se situe dans administration/ACL/Access
Groups.
A ce groupe nous allons permettre laccs seulement aux onglets accueil, supervision, vues,
rapports. Pour cela rendons nous dans administration/ACL/Resources Access.
On cre ensuite une nouvelle liste de contrle daccs. Dans cette liste nous spcifierons le
groupe dutilisateurs et les machines impacts par les ACL.
Groupe Audit Socit Assurancetourix
13/12/2010
44
Nos ACL vont sappliquer sur le groupe daccs Aerodef et sur les Servers-Linux.
Il nous reste plus qu crer les rgles daccs dans administration/ACL/Menus Access. Dans
cette partie on renseigne les onglets accessibles par le groupe daccs aerodef. Vous voyez dans la
capture ci-dessous que nous leur permettons daccder uniquement aux onglets mentionns un peu
plus haut dans le rapport.
Groupe Audit Socit Assurancetourix
13/12/2010
45
Connectons-nous maintenant avec lutilisateur inviteAerodef :
Comme le montre la capture ci-dessus seul les 4 premiers onglets sont visibles.
Nagvis :
Nagvis est un addon de visualisation pour Nagios qui permet de gnrer des vues mtier de la supervision. Il est trs facile installer, utiliser et trs intuitif avec Nagios et son systme de Drag and Drop. Cet outil permet de raliser une cartographie des lments superviser au sein dun systme dinformation. Une fois la carte du systme dinformation conue, il faut rcuprer les htes et les services superviss dans Nagios et les placer sur la map. Nagvis a t mis en place pour avoir une vue simple et globale de larchitecture et pour connatre ltat de chaque lment superviser. Son avantage est quil permet aux chefs davoir un rsum de ltat de fonctionnement du systme dinformation de lentreprise AroDef. Nous avons donc dcid de ne pas reprsenter sur cette carte tous les services superviss dans Nagios, mais plutt de slectionner les plus importants destination les chefs. Voici les htes et les services superviss :
Groupe Audit Socit Assurancetourix
13/12/2010
46
Figure 18 - Nagvis au sein d'Arodef
Lgende :
Reprsente les htes.
Reprsente les services. La couleur verte signifie que llment fonctionne correctement. Le jaune signifierait quun lment est en tat de warning et le rouge un problme majeur sur llment.
c. Surveillance de larchitecture AeroDef :
Aprs avoir abord la partie concernant la mthodologie de dploiement, nous allons maintenant lappliquer larchitecture de la socit AroDef. En effet, dans cette partie, nous voquerons les diffrents quipements qui ont t superviss, mais galement les diffrentes informations rcoltes sur chaque quipement.
Les lments rseau :
o Le Routeur CISCO :
- Etat du routeur (UP/DOWN)
- Ping
- Etat des diffrentes interfaces (ex : f0/0 : UP/DOWN)
Groupe Audit Socit Assurancetourix
13/12/2010
47
- Charge CPU (en pourcentage)
- Charge mmoire (en pourcentage)
o Le Switch CISCO :
- Etat du Switch (UP/DOWN)
- Ping
- Etat des diffrentes interfaces (ex : f0/0 : UP/DOWN)
- Charge CPU
- Charge mmoire
Les lments systme :
o Le serveur de service (serveur Linux):
- Etat du serveur (UP/DOWN)
- Ping
- Charge CPU (en pourcentage)
- Charge Mmoire (en pourcentage)
- Espace disque (espace libre / espace utilis)
- Service HTTP (UP/DOWN)
- Service SSH (UP/DOWN)
- Service DNS (est-ce le bon serveur Dns qui rpond ?)
o Le contrleur de domaine (serveur Windows):
- Etat du serveur (UP/DOWN)
- Ping
- Charge CPU (en pourcentage)
- Charge Mmoire (en pourcentage)
- Espace disque (espace libre / espace utilis)
Remarque : les diffrents postes clients ntant pas dune importance capitale dans le fonctionnement de larchitecture de la socit AroDef, nous avons choisi de ne pas les superviser afin de ne pas surcharger le rseau, et davoir une supervision plus toffe des diffrents quipements rseaux et serveurs.
Maintenant que nous avons pass en revue les procdures de mises en place et les diffrents quipements que nous avons supervis, nous allons maintenant aborder dans cette partie les rsultats que nous avons pu obtenir grce aux diffrents outils mis en place.
d. Rsultats obtenus :
Interface supervision_rseau :
Afin de permettre au responsable rseau de la socit AroDef davoir une vue densemble sur ses quipements, nous lui avons cr une interface spcifique. Cette interface est accessible via internet (login/mot de passe).
Groupe Audit Socit Assurancetourix
13/12/2010
48
Elle contient lensemble des lments de supervision lis aux quipements rseaux. Cette interface a la particularit dtre uniquement consultable. En dautres termes, lutilisateur peut uniquement consulter les diffrentes donnes (valeurs, graphes, etc.) mais en aucun cas changer les configurations de supervision.
Figure 19 - Interface "supervision_rseau"
Interface supervision_serveur :
Sur le mme principe, nous avons galement cr une interface spcifique pour le responsable des diffrents serveurs de la socit AroDef. Cette interface possde les mmes caractristiques que linterface rseau, la diffrence que celle ci contient les informations relatives aux diffrents serveurs.
Figure 20 - Interface "supervision_serveur"
Dtection du problme de mauvais serveur DNS :
Grce au plugin NRPE concernant le serveur DNS, nous avons pu dtecter quun mauvais serveur (autre que celui de la socit AroDef dfini dans les paramtres) rpondait aux requtes DNS. Loutil de supervision a permis ici de dtecter une attaque par dnsspoofing .
Groupe Audit Socit Assurancetourix
13/12/2010
49
Figure 21 - Problme "mauvais serveur DNS"
Dtection du problme surcharge du routeur :
Concernant le routeur, les outils de supervision ont permis de dtecter, pendant une priode assez significative (hors fonctionnement nominal), une monte de la charge CPU. Cette anomalie peut tre lie une utilisation intensive du rseau (cas normal), ou alors une surcharge volontaire du routeur par une attaque (cas anormal).
Figure 22 - Problme "surcharge du routeur"
Dtection du problme serveur de service DOWN :
Pour finir, aprs une attaque de vol didentit sur le serveur de service, celui-ci est devenue injoignable et hors service. Au niveau de la supervision, nous avons constat plusieurs alertes qui sont apparues, et nous avons pu contacter le responsable dAroDef concern.
Groupe Audit Socit Assurancetourix
13/12/2010
50
Figure 23 - Problme "serveur de service DOWN"
e. Problmes rencontrs
Durant le projet de scurit, le groupe supervision a t confront diffrents problmes de sources diffrentes. Cette partie a pour but de retracer les diffrents problmes et les solutions qui ont t mises en place pour les rsoudre.
1er problme : connaissance de larchitecture AroDef :
Le premier problme auquel nous avons t confronts concerne la connaissance non exhaustive de larchitecture AroDef. La mise en place de la supervision a dbut ds le commencement du projet. Mais, ce moment-l, larchitecture dAroDef ntait pas compltement mise en place et plusieurs lments nouveaux superviser se sont petit petit intgrs. Afin daborder ce problme le plus efficacement possible, nous avons tout dabord demand lquipe AroDef de nous tenir inform (le plus rapidement possible) des nouveaux quipements installs. Par la suite, nous avons organis plusieurs runions, cf. annexe 11, avec les diffrents responsables concerns, afin davoir une liste la plus complte possible sur les quipements quils souhaitaient superviser, mais galement le type de supervision pour chaque quipement (ex : charge CPU, PING, etc.)