Supervision de La Sécurité Des Réseaux Ip

Techniques de supervision de la scurit des rseaux IP

par Sarah NATAF,Vincent BEL

et Franck VEYSSETIngnieurs dtudes en scurit des rseaux, France Tlcom R&D

1. Normes : protocoles et formats de donnes de la supervision .. H 5 820 31.1 SNMP............................................................................................................ 31.2 Fichiers de journalisation............................................................................ 31.3 Protocole mergent : COPS ........................................................................ 6

2. Primtre.................................................................................................... 62.1 Quels sont les quipements concerns ? .................................................. 62.2 Quels sont les vnements et les indicateurs superviser ? .................. 82.3 Architecture de supervision........................................................................ 8

3. Supervision en temps rel..................................................................... 83.1 Objectifs........................................................................................................ 83.2 Outils............................................................................................................. 8

4. Supervision en temps diffr ............................................................... 134.1 Analyse dattaques ...................................................................................... 134.2 Tableau de bord de scurit........................................................................ 164.3 Inputs vers des outils daide la dcision................................................. 16

5. Politique de scurit et supervision ................................................... 175.1 Politique de scurit .................................................................................... 175.2 Norme ISO 17799......................................................................................... 185.3 Veille scurit ............................................................................................... 185.4 Que faire en cas de problme de scurit ? .............................................. 18Toute reproduction sans autorisation du Centre franais dexploitation du droit de copie est strictement interdite. Techniques de lIngnieur H 5 820 1

es meilleurs dispositifs de scurit ne peuvent pas protger de faon opti-male un rseau sils ne sont pas correctement superviss. Ainsi, la scurit

dun rseau repose dune part sur larchitecture et son adquation aux besoinsdes composants qui le constituent, mais aussi sur ladministration et la supervi-sion, au jour le jour, de ces quipements.

Cet article a pour objectif daborder le domaine de la supervision de la scuritdes rseaux. ce titre, sont prsents les aspects techniques de supervision,protocoles et outils les plus utiliss par les administrateurs rseau, cibles desupervision. Les aspects politique de scurit lis la supervision permettentde conclure.

Les protocoles et les formats de donnes SNMP ou Syslog sont utiliss dansles outils de supervision. COPS est un protocole rcent visant normaliser leschanges de flux de supervision.

6. Conclusion ................................................................................................. 20

Rfrences bibliographiques ......................................................................... 20

L

TECHNIQUES DE SUPERVISION DE LA SCURIT DES RSEAUX IP _______________________________________________________________________________

Toute reproduction sans autorisation du Centre franais dH 5 820 2 Techniques de

Les aspects primtre de supervision , architecture, lments surveillersont dautant plus importants quils conditionnent normment lefficacit dunsystme de supervision, et sont difficilement modifiables a posteriori.

La supervision en temps rel et la supervision en temps diffr sont gnrale-ment utilises par des populations diffrentes au sein dune entreprise (lesexploitants tant plus intresss par la supervision en temps rel pour la rac-tivit, les responsables par une supervision en temps diffr pour une visionplus synthtique de la scurit). Dans chaque cas, plusieurs outils courammentutiliss sont prsents, avec quelques exemples dutilisation, ainsi quune ana-lyse succincte de leurs rsultats.

Les aspects politique de scurit, norme ISO 17799, veille scurit et plan dereprise sur incident, notamment les interactions avec la supervision de la scu-rit, sont souvent ngligs dans une politique de gestion de la scurit, maissont primordiaux pour une ractivit optimale en cas dincident.

Un entretien avec Eric Wiatrowski, directeur adjoint la scurit de FranceTlcom Transpac, fournit quelques rponses concrtes aux problmatiquesdexternalisation de la supervision de la scurit.

(0)

Symboles

ADSL : Asynchronous Digital Subscriber Line

ASN.1 : Abstract Syntax Notation 1

CERT CC : Computer Emergency Response Team Coordination Center

CERT : Computer Emergency Response Team

CLUSIF : Club de La Scurit des Systmes dInformation Fran-ais

CNIL : Commission Nationale de lInformatique et des Liberts

COPS : Common Open Policy Service

CPU : Central processing Unit

CRC : Cyclic Redundancy Code

DES : Data Encryption Standard

DNS : Domain Name Service

ESM : Enterprise Security Management

HIDS : Host-based Intrusion Detection System

HMAC : hashing message authentication codes

ICMP : Internet control message protocol

IDS : Intrusion Detection System

IETF : Internet Engineering Task Force

IPFIX : Internet Protocol Flow Information eXport

IPS : Intrusion Prevention System

ISC : Internet Storm Center

ISO : International Organization for Standardization

ITSEC : Information Technology Security Evaluation Criteria

LAN : Local Area Network

MBSA : Microsoft Baseline Security Analyzer

MD5 : Message Digest version 5

MIB : Management Information Base

MSG : Message

MX : Mail eXchange

NIDS : Network-based Intrusion Detection System

NS Name Server

OSI Open Systems Interconnexion

PAQ : Plan dAssurance Qualit

PAS : Plan dAssurance Scurit

PCIM : Policy Core Information Model

PDP : Policy Decision Point

PEP : Policy Enforcement Point

Symboles (suite)exploitation du droit de copie est strictement interdite. lIngnieur

PIB : Policy Information Base

PRI : Priority Value

QoS : Quality of Service

RFC : Request For Comment

RMON : Remote MONitoring

RSVP : ReSerVation Protocol

SANS : SysAdmin, Audit, Network, Security

SMI : Structure of Management Information

SMS : Short Message Service

SMS : Systems Management Server

SNMP : Simple Network Management Protocol

TCP : Transmission Control Protocol

TEB : Taux derreur binaire

TOS : Type of service

UDP : User Datagram Protocol

VPN : Virtual Private Network

_______________________________________________________________________________ TECHNIQUES DE SUPERVISION DE LA SCURIT DES RSEAUX IP

1. Normes : protocoles et formats de donnes de la supervision

Dans cette partie, nous dtaillons quelques normes primordialesdans un environnement multiconstructeur. Nous commenons parle protocole SNMP (Simple Network Management Protocol), un pro-tocole trs rpandu dans la supervision et la remonte dalarme surles rseaux IP ainsi que la gestion de configuration. Nous dcrironsgalement deux formats de donnes qui sont utiliss dans la col-lecte de donnes de supervision : syslog et netflow. Enfin, nousaborderons un protocole de gestion de rseau mergeant, COPS(Common Open Policy Service), un nouveau standard pour la ges-tion de politiques sur un rseau IP.

1.1 SNMP

SNMP (Simple Network Management Protocol) est le protocolestandard pour grer des quipements rseau en environnement IP. Ilpermet :

dchanger des lments de configuration des lments rseaux ; de dtecter et danalyser les problmes sur un rseau par inter-

rogation ou remonte dalarmes ; de surveiller les performances rseaux et raliser des statistiques.

Des agents SNMP sont rpartis sur les objets superviss, lesserveurs SNMP permettent de grer ces objets. Pour identifier lespartenaires, les commandes envoyes sont accompagnes dunidentifiant de communaut (community string) ; lagent exploitecette donne pour identifier le serveur et donne alors laccs en lec-ture et/ou en criture en fonction de cette information. Il y a deuxmodes de fonctionnement :

le polling, dans lequel la station de supervision interroge lesagents tour de rle ;

les Trap SNMP, o lquipement lui-mme remonte unealarme pour signaler une anomalie vers le superviseur.

Les agents peuvent tre installs sur des objets trs htrognes :firewalls, routeurs, serveurs, mainframes, stations de travail, swit-ches, etc. (figure 1). Pour connatre les structures de donnes pro-pres chaque objet supervis, la MIB (Management InformationBase) est interroge. Cest une base de donnes dinformations de

La version 1 de SNMP est encore trs couramment utilise, mal-gr les failles importantes de scurit quelle comporte. Cela est den grande partie au fait que de nombreux quipements ne permet-tent pas une supervision via les versions 2 et 3 des protocoles. Deplus, une modification de la version utilise pour le protocole desupervision nest pas facile. Il faut en effet modifier beaucoup deversions de systmes dexploitation et de logiciels dune grandevarit, ce qui est trs difficile faire dans un environnement de pro-duction. Les administrateurs prfrent essayer de compenser lesproblmes de scurit lis au protocole en installant desmcanismes de scurisation supplmentaires autour et au sein durseau superviser.

La version 2 du protocole est ainsi trs rarement utilise. Lesavantages offerts ne sont pas suffisants pour que les administra-teurs rseau envisagent de modifier la totalit de leur rseaudadministration.

La version 3 commence se dvelopper, notamment pour lesnouvelles plates-formes. Les logiciels de supervision les plus cou-rants (HPOpenView, IBM Tivoli, Unicenter TNG...) supportent main-tenant cette version sans problme, ce qui facilite le dploiement ausein dune entreprise.

Dans le cadre de la supervision de la scurit, le protocole SNMPparticipe la dtection des attaques en temps rel. Les agents SNMPsont rpartis sur toutes machines susceptibles denvoyer une alarme(dysfonctionnement de lquipement, comportement anormalsignal par un lment rseau tels que trafic bloqu par une listedaccs ou Access List, dpassement de seuil de bande passante, etc.)ou gnre par un dispositif de scurit tel que firewall, sonde dedtection dintrusion rseau ou rsident sur un hte, etc.

1.2 Fichiers de journalisation

DES (Data Encryption Standard) : mthode de chiffrement offi-cielle du gouvernement amricain, labore par IBM dans lesannes 1970.

Un autre protocole appel RMON (Remote MONitoring) estfond sur le mme principe que SNMP et le complte en sint-ressant aux alarmes gnres par les couches basses 1 et 2 du rseau (couche physique et couche liaison de donnes,cf. [3]). Ce primtre tant limit, une nouvelle version sint-resse la supervision des performances et aux communicationsde bout en bout.Toute reproduction sans autorisation du Centre franais dexploitation du droit de copie est strictement interdite. Techniques de lIngnieur H 5 820 3

management des quipements rseau (sous forme de variables ettables) accessible via le protocole SNMP. Un fichier MIB est un docu-ment texte crit en langage ASN.1 (Abstract Syntax Notation 1) etSMI (Structure of Management Information) qui dcrit les variables,les tables et les alarmes gres au sein dune MIB.

Nota : pour plus dinformation, on peut se rfrer larticle TI [H 2 860] rf. [12].

Le principe dauthentification tant basique (nom de commu-naut circulant en clair sur le rseau dans la version 1 du protocole),le protocole SNMP a su voluer pour garantir un minimum de scu-rit. SNMPv2 utilise notamment lalgorithme MD5 (MessageDigest 5) pour hacher les noms de communaut. La scurit a ttudie plus en avant dans la norme SNMPv3, qui intgre desmcanismes de vrification dintgrit des messages, dauthentifi-cation (avec des algorithmes de hachage tels que HMAC-MD5 ouHMAC-SHA-1) ainsi que du chiffrement (DES 56 bits).

Dans le cadre dune supervision centralise, les donnes conte-nues dans les fichiers journaux ou logs crs sur les diffrents qui-pements sont remontes des serveurs de logs sur lesquels ellessont stockes et traites. Il est noter que les dlais de conserva-tions dpendent de contraintes techniques mais galement decontraintes lgales. On distingue en effet les donnes contenant desinformations nominatives (soumises des rgimes diffrents, enparticulier la dclaration de la Commission nationale de linforma-tique et des liberts CNIL) des autres.

1.2.1 Syslog

Syslog est un standard de fait pour tout ce qui concerne les mes-sages de notification dvnements dfinissant la fois le format deces donnes et le mcanisme de transport de ces messages sur lerseau. lorigine, le protocole syslog a t dvelopp pour la pileTCP/IP de BSD (Berkeley Software Distribution) et a ensuite tadapt sur de nombreux systmes. Le RFC 3164 de IETF (InternetEngineering Task Force) [2] a dailleurs t rdig aprs observationdu comportement de ce protocole et nest pas une spcification part entire.

MD5 : fonction de hachage unidirectionnelle qui associe uneentre donne une signature de longueur fixe unique. Un mes-sage est ainsi identifi par sa signature MD5 car deux messagesdiffrents ont pour hachages MD5 respectifs deux signaturesdiffrentes ; il est impossible de retrouver un message partirde sa signature MD5.



La plupart des vnements survenant sur un systme peuvent treloggs, comme par exemple une connexion un service, une erreurdauthentification, un message du noyau ou dune application don-ne. Pour chacun de ces vnements, un message est gnr.

Deux proprits caractrisent un message : sa facilit et sa svrit,qui peuvent tre reprsentes par des entiers. La facilit permet dedistinguer quel est le processus ou dmon tournant sur le systme lorigine du message de notification : certains processus ont desvaleurs prdfinies (tableau 1), les autres peuvent utiliser les facilits locales (huit facilits sont ainsi dfinies, de local0 local7). (0)

Figure 1 Systme dinformation supervis par SNMP

MIB MIB MIB

MIB

MIB

MIB

MIB

MIB

Switch Routeur

Routeur

Serveurs Rseau externe

Firewall

Mainframe

Superviseur Superviseurflux SNMP

Tableau 1 Facilits syslog et leurs valeurs numriques

Code numrique Facilit

0 kernel messages

1 user-level messages

2 mail system

3 system daemons

4 security/authorization messages

5 messages generated internally by syslogd

6 line printer subsystem

7 network news subsystem

8 UUCP subsystem

9 clock daemon

10 security/authorization messages

11 FTP daemon

Tableau 1 Facilits syslog et leurs valeurs numriques (suite)

Code numrique Facilitexploitation du droit de copie est strictement interdite. lIngnieur

Chaque message a galement un niveau de svrit, traduit parune valeur numrique de 0 7 (tableau 2), 0 tant le niveau dalertele plus grave. (0)

12 NTP subsystem

13 log audit

14 log alert

15 clock daemon

16 local0

17 local1

18 local2

19 local3

20 local4

21 local5

22 local6

23 local7


Dans cet exemple, les messages critiques sont envoys sur laconsole pour avertir directement ladministrateur ; tous les messa-ges sont de plus envoys sur la machine distante ayant pour nom collecteur.reseau.com .

Un message ne doit pas dpasser en taille 1 024 octets. Le format

En fonction des enttes reus, le relais transfre le message ainsimodifi :

si PRI et TIMESTAMP sont valides : le message est transmissans modification au serveur syslog (ou relais suivant) adquat. Lenom dhte nest pas valid outre mesure ; aucune vrification nesteffectue. Le tampon dhorodatage nest pas modifi mme si lesystme nest pas synchronis, ce qui montre limportance de lasynchronisation temporelle des lments dune plate-forme dans lasupervision ;

si PRI est valide mais TIMESTAMP absent ou invalide : le relaisinsre son propre tampon dhorodatage fix lheure locale, voire unHOSTNAME si celui-ci est absent (le relais insre le nom dhte quilconnat pour ce systme) ; il vrifie que la taille du paquet est toujoursinfrieure la limite fixe 1 024 octets puis transmet ce paquet ;

si PRI est absent ou invalide : le relais insre le PRI ainsiquun tampon dhorodatage (et ventuellement un HOSTNAME) etretransmet le message. Si le paquet dpasse les 1 024 octets, il estalors tronqu (et le message sera incomplet).

Pour fiabiliser ce protocole et viter toute perte de paquet (due la couche de transport UDP), ainsi qulever le niveau de scurit(authentification des paquets, pour prouver lidentit de la machinemettrice, intgrit des messages), des volutions du protocole sonten cours.

Il existe notamment des extensions de syslog en TCP pour certainsquipements (les firewall PIX de Cisco parmi dautres). Cela permetde sassurer que les messages circulent correctement sur le rseau.

1.2.2 Netflow

Tableau 2 Svrits syslog et leurs valeurs numriques

Code numrique Svrit

0 emergency : systme inutilisable

1 alert : action effectuer immdiatement

2 critical : conditions critiques

3 Error : conditions derreurs

4 warning : message davertissement

5 notice : normal mais significatif

6 informational : informations

7 debug : message de dboguage

Exemple : fichier de configuration/constructeur/syslog.confsur un serveur UNIX

*.err; kern.debug; auth.notice; mail.crit /dev/console*.notice; kern.debug; lpr.info; mail.crit /var/log/messagessecurity.* /var/log/securityauth.info; authpriv.info /var/log/auth.logmail.info /var/log/maillogcron.* /var/log/cron*.emerg /var/log/console.log*.* @collecteur.reseau.com

Exemple : extrait du fichier journalJan 12 12:38:21 serveur proftpd [24279] : serveur.domaine.com(client.domaine-client.fr [10.10.12.12]) no such useranonymousJan 12 12:39:01 serveur ntpdate [4342] : step time server10.1.123.123 offset 0.572873 secJan 12 12:39:04 serveur sshd [23081] : Accepted password for

utilisateur1 from 10.2.34.56 port 1281 ssh2

Synchronisation des quipements

Cela montre entre autres limportance de la synchronisationhoraire dans la supervision entre les machines dun mmerseau. Un vnement de scurit impacte le plus souvent plu-sieurs lments dune plateforme. Si les dates ne sont pasrigoureusement identiques entre ces machines, il sera quasi-impossible de retracer un vnement de scurit travers letemps et donc de le diagnostiquer correctement. Cest pourquoilensemble des quipements (lments du rseau, serveursapplicatifs, mainframe, serveurs de stockages) dune plate-forme doit communiquer avec des serveurs de temps et se syn-chroniser rgulirement.Toute reproduction sans autorisation du Centre franais dexploitation du droit de copie est strictement interdite. Techniques de lIngnieur H 5 820 5

du message est scind en trois parties :

le PRI (Priority Value ou priorit) : il sagit dune chane decaractres compose du caractre infrieur (). Les chiffres composantla chane sont obtenus en multipliant la facilit par huit et en ajou-tant la priorit ;

lentte (header) : cest une chane de caractres imprimablesqui inclut un tampon dhorodatage fix daprs lheure locale sur lesystme (champ TIMESTAMP, sous la forme Mmm jj hh:mm:ss ),ainsi que des indications sur la machine mettrice de ce message(nom dhte ou adresse IP, champ appel HOSTNAME). Ces deuxchamps sont spars par un espace ;

le MSG (Message) : il contient des informations suppl-mentaires sur le processus ayant mis le message (partie appeleTAG), ainsi que le texte du message (partie CONTENT).

Les remontes des fichiers journaux travers le rseau se font au-dessus du protocole UDP (port 514), et ce vers un serveur syslog oucollecteur. Pour mmoire, ce protocole de transport fonctionne enmode non connect, cest--dire tout paquet perdu lestdfinitivement, il ny a pas de mode de retransmission (cf. [H 2 288]rf. [13]). Les messages peuvent traverser un ou plusieurs relaisavant datteindre le serveur syslog.

Cette technologie, invente par Cisco Systems, permet de collec-ter des donnes sur le trafic traversant des quipements rseau, etainsi deffectuer des mesures de trafic dans le cadre de la mtrolo-gie ou encore du comptage pour la facturation. Des protocoles qui-valents existent, ayant adopt les mmes mcanismes de transportsmais avec des systmes et des formats diffrents. Cela rend difficilele dveloppement dun outil danalyse gnrique commun. Des tra-vaux sont en cours lIETF pour normaliser un protocole dchangedinformation sur les flux : IPFIX (Internet Protocol Flow InformationeXport). Nous dtaillerons ici Netflow car il est trs utilis etreconnu par de nombreux outils.

Un flux IP est caractris entre autres par ses adresses IP sourceet destination, le protocole utilis, les ports sources et destinations,les interfaces dentres et de sortie et le champ TOS. Lors du pre-mier passage du paquet, le routeur va consulter ses tables de rou-tage pour dterminer vers quel prochain point lenvoyer (ce quiutilise des ressources CPU et induit une latence lgre). Les paquetssuivants bnficient du cache Netflow lors de leur entre sur le rou-teur, ce qui permet au routeur daccder linformation de routageplus rapidement et donc dobtenir un gain de temps non ngligea-ble sur la traverse du routeur.

Lorsque le routeur libre son cache Netflow dune entre, il peutenvoyer un datagramme vers un superviseur en incluant les infor-



mations de routage. Ces donnes sont rassembles par un collec-teur gnrique (diffrentes offres existent) qui effectue souvent desprtraitements basiques permettant lmission de rapports. Cellesqui nous intressent ici sont les donnes de comptage (Netflowaccounting), qui peuvent tre pertinentes pour la supervision de lascurit. Leur analyse peut tre par exemple judicieuse dans le casdanalyse dattaque de type dni de service, ainsi que pour la dtec-tion dventuelles prmisses des attaques : grce une agrgationdes logs adquate (classement par adresse IP source, ou aucontraire destination, ou port destination, etc.), on peut observerdes comportements et expliquer des incidents de scurit donns.Cisco offre ainsi le FlowCollector (disponible sous Solaris ou HP-UX), produit permettant de collecter les donnes de plusieurs qui-pements rseau des fins de mtrologie, analyse de congestion et/ou facturation. La console FlowAnalyzer permet alors de visualiserles flux et produire des rapports de supervision.

1.3 Protocole mergent : COPS

Dfini par lIETF, le protocole COPS permet dchanger des infor-mations de politique entre diffrents lments du rseau. Il est sp-cifi dans le RFC 2748 [1]. Ce protocole fonctionne sur le modleclient/serveur. Un serveur de distribution de politique (PDP ou PolicyDecision Point) peut ainsi grer des points dapplication de politique(PEP ou Policy Enforcement Point) tels que routeurs, switches,firewalls, leurs transmettre les rgles de configuration quils doiventappliquer, afin doptimiser la transmission des donnes et amliorerla qualit de service (figure 2).

Ce protocole est bas sur TCP et est donc fiable, au sens transportrseau, contrairement au transport des informations SNMP ou sys-log. Il gre les requtes des PEP vers les PDP. Pour authentifier, assu-rer lintgrit ou chiffrer les changes, il est possible dutiliser ceprotocole sur une couche IPsec ou TLS.

Les modles de politique sont galement dfinis par lIETF et sebasent sur le modle CIM (PCIM ou Policy Core Information Model).Il existe deux modles principaux du protocole COPS :

le modle dapprovisionnement (ou provisionning) danslequel des informations de configuration (PIB ou Policy InformationBase) descendent vers les points dapplication ;

le modle dit doutsourcing dans lequel les PEP font remonterdes informations au serveur de politiques pour dterminer sils ontle droit deffectuer telle ou telle modification ; les PDP vrifient lacohrence de la situation avec la politique mise en uvre et ren-voient la dcision finale aux PEP.

Grce ce protocole, il est alors possible dobtenir une gestiondes configurations centralise et de faire de la QoS (qualit de ser-vice) de bout en bout. COPS est par exemple trs utile pour le RSVP,un protocole de rservation dynamique de bande passante trsemploy dans les applications multimdia.

2. Primtre

2.1 Quels sont les quipements concerns ?

Il est trs important de dfinir soigneusement le primtre desquipements superviser. Il ne faut pas se limiter aux seuls firewallsou plus gnralement aux quipements daccs au rseau. En effet,il est possible quun programme malicieux atteigne le rseauinterne par un moyen autre, comme une disquette avec un virus parexemple. Il est aussi possible quun vnement interne perturbegravement les performances dun rseau, comme un routeur de

lIntranet qui ne fonctionne plus correctement. Si les quipementsconcerns et les vnements anormaux concernant ces quipe-ments ne sont pas remonts, il peut alors tre trs difficile de dce-ler le problme et plus encore de remettre le rseau en place.

La dfinition du primtre de scurit doit donc couvrir lensem-ble des quipements nvralgiques, serveurs comme quipementsde routage. Ce primtre est grandement dpendant du type demtier de lentreprise . Un hbergeur va surveiller de trs prs la dis-ponibilit de son rseau, le bon droulement des sauvegardes desdonnes hberges, les ressources disponibles des machines, etc.Un oprateur de tlphonie mobile va pour sa part veiller ce queles multiples cellules fonctionnent correctement, la couverture deson rseau (redondance correcte), etc.

Il faut donc dterminer les zones importantes superviser relati-vement son mtier, que lon surveillera en priorit. Il est gnrale-ment conseill de navoir que quelques serveurs rassemblant lesinformations de supervision de manire synthtiser aisment tou-tes les informations importantes. Sil y a plusieurs zones surveiller,il faut alors avoir quelques serveurs par zone pour surveiller plusefficacement les quipements suivis. En effet, les personnes quisoccupent de la supervision sont le plus souvent peu nombreuses,et pour viter de se dplacer dun poste de supervision un autre, la

Figure 2 Cas du provisionning avec COPS

PDP

PEP

PEP PEP

PDP

PEP

PEP

PDP

PEP

PEP PEP

Outil de gestionde configurations

Base depolitiquesexploitation du droit de copie est strictement interdite. lIngnieur

centralisation permet davoir sur quelques postes une visibilit delensemble du rseau (figure 3). Il existe une solution intermdiairequi peut tre intressante. Le principe est de mettre des serveurs demonitoring sur chacun des sites superviser, et un autre serveur (ouplusieurs autres si besoin), au-dessus des serveurs sur les sites, cesderniers effectuant un premier niveau de filtrage (figure 4). Cettesolution prsente tout de mme le dsavantage dtre plus com-plexe, et de ne pas donner un vritable aperu global de la scurit.Nanmoins, elle prsente lavantage de pouvoir superviser desrseaux trs tendus, sans surcharger les bandes passantes. Eneffet, si les sites superviser sont gographiquement trs loigns,les liens rseaux entre ces sites et les personnes les supervisantcotent relativement cher, surtout sils sont de dbit important. Lefait de trier en local les donnes de supervision permet donc dco-nomiser de la bande passante car les donnes envoyes au site cen-tral sont alors beaucoup moins importantes.

L encore, la spcificit des besoins permet de dterminer quellesolution est la plus adapte lentreprise.

Une fois cette tude de zones importantes superviser effectue,il faut alors se pencher sur les zones non prioritaires . Une supervi-sion sommaire, par exemple savoir si les machines sont encore op-rationnelles, sans entrer dans le dtail des ressources disponibles,permet de rester vigilant sur des problmes importants.


Figure 3 Architecture centralise

Site A

Rseau A

Site B

Rseau B

Serveur de supervision global

Site de supervision

Remontemonte d'informatione d'informationRemonte d'informations RRemontemonte d'informatione d'informationRemonte d'informations

Serveur de supervision global

Site de supervision

Remonted'informations

tries

Remonted'informationstriesToute reproduction sans autorisation du Centre franais dexploitation du droit de copie est strictement interdite. Techniques de lIngnieur H 5 820 7

Figure 4 Architecture distribue

Site A

InfosInfosInfos

Serveurde supervision local

Site B

InfosInfosInfos

Serveurde supervision local



2.2 Quels sont les vnements et les indicateurs superviser ?

Il est possible de surveiller de nombreux vnements. L encore,il est important de choisir les vnements correspondants auxbesoins du service ou du mtier superviser. Il existe nanmoinsquelques vnements couramment superviss :

lquipement est-il oprationnel ? quelle est la charge CPU ? quelle est la charge rseau ? quel est le temps de rponse ? les disques sont-ils proches de la saturation ? quelle est la version du logiciel X installe ?

En parallle, il est possible de faire remonter des alarmes person-nalises, typiquement de sondes de systmes de dtection dintru-sion qui remontent des alarmes en cas dattaque. Ces alarmespeuvent ensuite tre relayes des serveurs qui filtrent et alertent lesadministrateurs par un moyen quelconque (e-mail, popup, SMS,etc.).

2.3 Architecture de supervision

Le rassemblement des informations de supervision est prvoirlors de la conception de larchitecture, en parallle du choix du pro-tocole de supervision. Lutilisation courante de protocoles commeSNMP, qui sont souvent la cible dattaques, en raison notamment devulnrabilits exploitant les faiblesses intrinsques des versions 1et 2, oblige penser prcisment larchitecture. En effet, les protoco-les de supervision sont souvent aussi utiliss pour ladministrationdes serveurs, ou du moins offrent des possibilits pour ladministra-tion. Si lors de la conception, cette possibilit est oublie, cela laissela porte ouverte de nombreuses attaques.

Larchitecture de la supervision doit prendre en compte ces fluxsensibles de manire les sparer de flux non administratifs (super-vision out-band), lidal tant de crer un rseau indpendant (vir-tuel ou non) ddi la supervision. En effet, lutilisation de rseauxpartags rend la supervision plus risque, et ce pour deux raisons :

il est possible dcouter depuis un serveur non ddi lasupervision des messages trs sensibles ;

si des attaques de type dni de service consomment toute labande passante partage, il ny aura alors plus de bande passantedisponible pour les messages de supervision.

La supervision en utilisant les mmes canaux que ceux utiliss pourles services (administration in-band) est quant--elle beaucoup plusconomique en terme de cot, de bande passante et de conception.

La solution gnralement choisie dans les rseaux grand publicest une administration in-band avec une possibilit de se connectersur les serveurs de supervision via une autre connexion (call-back,VPN sur ADSL, etc.).

Lorsque la scurit des donnes est trs importante (rseau bancaire,etc.), ou quil existe de fortes contraintes conomiques sur la disponibi-lit du rseau, la solution choisie est alors une supervision out-band.

3. Supervision en temps rel

3.1 Objectifs

La supervision en temps rel est primordiale dans la gestion desrseaux oprationnels. En effet, toute diminution de performances,

voire arrt du service cote extrmement cher, que ce soit directe-ment en terme dargent pour les hbergeurs, lis contractuellement un taux de disponibilit, en perte de productivit quand les probl-mes sont internes et empchent les employs de travailler ou enterme dimage de marque quand il sagit dune vitrine de lentre-prise qui nest plus disponible.

Nanmoins, mme si cette supervision en temps rel est trsimportante, elle nen est pas moins trs difficile mettre en uvre.En effet, il nest pas seulement ncessaire de dtecter le problme,il faut tablir de manire rigoureuse une procdure dinterventionau niveau informatique, mais aussi au niveau humain.

Les solutions vendues aux entreprises pour la supervision sontgnralement bien conues, et permettent davoir une bonne visibi-lit de son rseau. Cependant, le personnel qui utilise ces outilsntablit que rarement des procdures crites prcisant les interven-tions effectuer en cas de problme typique (routeur hors service,panne de disque dur, etc.). Les quipes travaillant rgulirement surces problmes connaissent les diffrentes actions pour corriger leproblme, mais ncrivent pas noir sur blanc leur dmarche. Celapose souvent des problmes lorsque seules une ou deux personnesont ce type de connaissances, car quand elles ne sont pas disponi-bles (vacances, dmission, etc.), les remplaants ne savent pas com-ment agir. Il est donc trs important davoir une trace crite desprocdures suivre , ne serait-ce que les plus courantes et les plusdangereuses.

3.2 Outils

3.2.1 Tripwire

Tripwire est un outil de scellement de configuration . Pour fairefonctionner Tripwire, il faut tout dabord installer de manire sre unsystme et lapplication qui doit tourner dessus. Tripwire calculeensuite des signatures MD5 de tous les fichiers surveiller. Ces signa-tures sont stockes dans une base de donnes propritaire. Il estensuite possible de vrifier rgulirement les fichiers du systme enles comparant la base de donnes Tripwire originale. Si des diffren-ces existent entre les fichiers originaux et ceux un temps T, celasignifie que les fichiers ont t modifis. Il faut alors remonter unealerte au plus vite afin dinvestiguer. Un fichier de configuration deTripwire permet de configurer les fichiers superviser, avec la possi-bilit de dire les changements autoriss sur certains fichiers. Il est parexemple normal pour un fichier log daugmenter, mais il nest pasexploitation du droit de copie est strictement interdite. lIngnieur

normal quil soit supprim ou que sa taille diminue.

Ce mcanisme est trs puissant, mais nest pas souple, dans lamesure o il est ncessaire de renouveler la base de donnes designature des fichiers chaque changement de configuration (mise jour de logiciels, patches de scurit, etc.).

Tripwire est donc idal pour les machines trs stables, mais estdifficilement envisageable dans un environnement qui volue rapi-dement.

Exemple : retour de Tripwire aprs modification dun fichier (/tmp/genek/tripwire-0.92/config.h) :

2:30am (test) % tripwire### Phase 1: Reading configuration file### Phase 2: Generating file list### Phase 3: Creating file information database### Phase 4: Searching for inconsistencies###### Total files scanned: 82###Files added: 0###Files deleted: 0###Files changed: 80


Chkrootkit est comme son nom lindique un programme permet-tant de vrifier quun serveur na pas t corrompu par un rootkit. Ilfonctionne pour les systmes de type Unix et Linux, en ligne decommande. Pour tenter de dtecter un rootkit sur la machine,chkrootkit recherche des signatures lintrieur de binaires particu-liers. Par exemple, beaucoup de versions de ps (qui permet de listerla liste de tous les processus tournant sur un systme) pirates con-tiennent la chane "/dev/ptyp". Pour cette raison, il est assez facilepour les rootkits de passer travers le filtre de chkrootkit. Le modeexpert (chkrootkit x) permet aux administrateurs de vrifier par euxmmes les chanes de caractres suspectes lintrieur des binairesvrifis.

###### After applying rules:###Changes discarded: 79###Changes remaining: 1###changed: -rw------- genek 4433 Oct 13 02:30:34 1992 /tmp/genek/tri-

pwire-0.92/config.h### Phase 5: Generating observed/expected pairs for changed

files###### Attr Observed (what it is) Expected (what it should be)### =========== ==========================================================/tmp/genek/tripwire-0.92/config.h

st_size: 4441 4433md5 (sig1): 0aqL1O06C3Fj1YBXz3.CPdcb

0cPX1H.DYS.s1vZdKD.ELMDRsnefru (sig2): 0PcgcK/MZvEm.8plWe.Gbnn//

8VoJv1JcoUA0NvoGN.k3P6Ecrc32 (sig3): .EHA6x/OuGNVcrc16 (sig4): ...9/q...6yumd4 (sig5): /hQ0sU.UEbJo.UR4VZ/mNG/h.

UR4VZ/mNG/h/VSG/W/Z643kmd2 (sig6): .hLwjb.VRA0O.Z72y90xTYqA

1LR0Gg1l.vqB0.1g330Pi8/p

Explications lies de lexemple

Dans la phase 4, Tripwire vrifie les fichiers tels que demandsdans le fichier de configuration ( Files changed ). Si les modi-fications sur les fichiers sont autorises, par rapport ce qui estdfini dans le fichier de configuration, les modifications ne sontpas prises en compte ( Changes discarded ). Il ne reste doncaprs cette phase que les fichiers modifis de faon suspecte.

La phase 5 prsente les diffrences entre les deux signaturesdu fichier modifi (/tmp/genek/tripwire-0.92/config.h) :

celle de gauche ( Observed ) est celle qui vient dtrecalcule ;

celle de droite ( Expected ) est celle qui est dans la basede donnes faite prcdemment, dans la configuration stable .

Toute diffrence entre deux signatures indique une modifica-

Exemple : retour de chkrootkit dune machine infecte par lerootkit "t0rn" :

2:30am (test) % chkrootkitROOTDIR is `/Checking àmd... not foundChecking `basename... not infectedChecking `biff... not foundChecking `chfn... not infectedChecking `chsh... not infectedChecking `cron... not infectedChecking `date... not infectedChecking `du... not infectedChecking `dirname... not infectedChecking ècho... not infectedChecking ègrep... not infectedChecking ènv... not infectedChecking `find... not infectedChecking `fingerd... not foundChecking `gpm... not foundChecking `grep... not infectedChecking `hdparm... not infectedChecking `su... not infectedChecking ìfconfig... INFECTEDChecking ìnetd... not infectedChecking ìnetdconf... not infectedChecking ìdentd... not foundChecking `killall... not infectedChecking `ldsopreload... not infectedToute reproduction sans autorisation du Centre franais dexploitation du droit de copie est strictement interdite. Techniques de lIngnieur H 5 820 9

3.2.2 Chkrootkit

Les rootkits sont des programmes permettant de prendre la mainen tant quadministrateur sur le serveur (aprs avoir obtenu unaccs via des droits utilisateur), puis en masquant toute tracedintrusion sur le systme (effacement des fichiers logs, modifica-tion de programmes pouvant servir dtecter lintrusion, etc.). Lerootkit installe ensuite une backdoor , cest--dire une possibilitpour un attaquant de se connecter la machine corrompue avec lesdroits root.

Les rootkits sont souvent coupls des programmes scannant etexploitant les vulnrabilits des serveurs proximit de celui qui estcorrompu. On parle alors dautorooter.

tion de fichier. Les fichiers possdent des signatures selon plu-sieurs algorithmes (md5, crc32, etc.). Cela permet de sassurerque lalgorithme de signature na pas t pris en dfaut. En effet,il est thoriquement possible dabuser un algorithme de signa-ture ponctuellement. Il est en revanche statistiquement impossi-ble dabuser plusieurs algorithmes simultanment. Lutilisationde plusieurs algorithmes permet de se prmunir contre unefaille ventuelle dun algorithme de signature.

Checking `login... not infectedChecking `ls... not infectedChecking `lsof... not infectedChecking `mail... not infectedChecking `mingetty... not foundChecking `netstat... INFECTEDChecking `named... not foundChecking `passwd... not infectedChecking `pidof... not infectedChecking `pop2... not foundChecking `pop3... not foundChecking `ps... INFECTEDChecking `pstree... not infectedChecking `rpcinfo... not infectedChecking `rlogind... not foundChecking `rshd... not foundChecking `slogin... not infectedChecking `sendmail... not infectedChecking `sshd... not infectedChecking `syslogd... not infected



3.2.3 MBSA (Microsoft Baseline Security Analyzer)

MBSA est un outil fourni par Microsoft pour vrifier le niveau descurit des machines Windows distance ou en local. Cet outil estdans la ligne de pense actuelle de Microsoft pour lunification et lasimplification de la scurit de Windows. Il rassemble en fait plu-sieurs outils utiliss prcdemment indpendamment les uns desautres (HFNetChk par exemple tait un outil en ligne de commandequi permettait de connatre le niveau de patches installs sur un ser-veur, distance ou en local). Il se prsente sous une interface gra-phique et fournit les rsultats de faon synthtique, mme si parfoisde faons trop succinctes.

Les vrifications effectues par cet outil sont nanmoins relative-ment compltes, allant de la version des patches installs (dont lersultat dpend bien entendu du niveau de la base de donnes deMBSA), aux conseils sur le nombre de comptes administrateurs de lamachine, lindication des services non ncessaires installs sur lamachine, etc. (figure 5).

Il est gnralement intressant, dans le cas dinstallation de nom-breuses machines identiques (typiquement partir dune image dis-que pour des postes bureautiques), de lancer cet utilitaire sur unemachine standard. Lanalyse des rsultats donns pour cettemachine typique permettra de vrifier que la politique de scuritapplique la machine na rien laiss de ct. Lancer MBSA jusquce quil ne trouve plus grand chose dimportant dans la machine per-met alors dobtenir une certaine scurit sur les serveurs clons installer. Par ailleurs, lancer MBSA rgulirement (par exemple chaque mise jour de la base de donnes de vulnrabilits deloutil) sur toutes les machines dun rseau permet de dtecter lesventuelles failles de scurit.

3.2.4 Sonde IDS (Intrusion Detection System)

3.2.4.1 Prsentation des IDS

Les systmes de dtection dintrusion ou IDS (Intrusion DetectionSystem) servent comme leur nom ne lindique pas dtecter desattaques sur les serveurs, et non pas des intrusions. Les IDS sontdes systmes de scurit qui surveillent les systmes et/ou lesrseaux et analysent ces donnes pour des attaques potentielles,provenant de lextrieur comme de lintrieur.

Il existe deux types dIDS, les IDS rseaux ou NIDS (Network-based Intrusion Detection System) et les IDS systme ou HIDS(Host-based Intrusion Detection System). Dans les deux cas, desalertes peuvent tre leves pour signaler un vnement suspect.

3.2.4.2 NIDS

Les NIDS tudient les paquets circulant sur le rseau ou sur unepartie du rseau . Ils comparent ces paquets une base de signatu-res dattaque. Les sondes IDS sont places en gnral des pointsstratgiques du rseau (serveurs Web, machines utilises dans unezone non sre, etc.) (figure 6).

Checking `tar... not infectedChecking `tcpd... not infectedChecking `top... INFECTEDChecking `telnetd... not foundChecking `timed... not foundChecking `traceroute... not foundChecking `write... not infectedChecking àliens... no suspect filesSearching for sniffers logs, it may take a while... nothing foundSearching for HiDrootkits default dir... nothing foundSearching for t0rns default files and dirs... Possible t0rn rootkitinstalledSearching for Lion Worm default files and dirs... nothing foundSearching for RSHAs default files and dir... nothing foundSearching for RH-Sharpes default files... nothing foundSearching for Ambients rootkit (ark) default files and dirs...nothing foundSearching for suspicious files and dirs, it may take a while...nothing foundSearching for LPD Worm files and dirs... nothing foundSearching for Ramen Worm files and dirs... nothing foundSearching for Maniac files and dirs... nothing foundSearching for RK17 files and dirs... nothing foundSearching for Ducoci rootkit... nothing foundSearching for Adore Worm... nothing foundSearching for ShitC Worm... nothing foundSearching for Omega Worm... nothing foundSearching for Sadmind/IIS Worm... nothing foundSearching for MonKit... nothing foundSearching for anomalies in shell history files... nothing foundChecking àsp... not infectedChecking `bindshell... not infectedChecking Ìkm... You have 2 process hidden for readdir com-mandYou have 2 process hidden for ps commandWarning : Possible LKM Trojan installedChecking `rexedcs... not foundChecking `sniffer... eth0 is not promisc ppp0 is not promiscChecking `wted... 24 deletion(s) between Fri Jan 18 12:05:51 2002and Thu Jan 1 02:12:54 19701 deletion(s) between Tue Apr 9 00:40:38 1974 and Tue Apr 900:40:38 1974Checking `z2... nothing deleted

Exemple : sortie de sonde IDS lors dune attaque (sonde utili-se pour lexemple : SNORT) :

[**] [1:483:2] ICMP PING CyberKit 2.2 Windows [**][Classification : Misc activity] [Priority: 3]08/29-09:07:15.792114 xx.xx.xx.xx > yy.yy.yy.yyICMP TTL: 113 TOS: 0x1 ID:56403 IpLen: 20 DgmLen:92Type:8 Code:0 ID:768 Seq:35267 ECHO[**] [1:884:8] WEB-CGI formmail access [**][Classification : access to a potentially vulnerable web application]exploitation du droit de copie est strictement interdite. lIngnieur

[Priority: 2]08/30-02:03:19.006375 xx.xx.xx.xx:1969 > yy.yy.yy.yy:80TCP TTL:107 TOS:0x0 ID:9168 IpLen:20 DgmLen:190 DF***AP*** Seq: 0xBB26796 Ack: 0xC6B0D250 Win: 0x4368 TcpLen: 20[Xref => http://www.whitehats.com/info/IDS226] [Xref =>http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-1999-0172][Xref =>http://www.securityfocus.com/bid/1187] [Xref =>http://cgi.nessus.org/plugins/dump.php3?id=10076] [Xref =>http://cgi.nessus.org/plugins/dump.php3?id=10782][**] [1:1610:5] WEB-CGI formmail arbitrary command executionattempt [**][Classification : Web Application Attack] [Priority : 1]08/30-02:03:19.596182 xx.xx.xx.xx:2189 yy.yy.yy.yy:80TCP TTL:107 TOS:0x0 ID:9253 IpLen:20 DgmLen:736 DF***AP*** Seq: 0xBC3EFBC Ack: 0xC6887F30 Win: 0x4368 TcpLen: 20[Xref => http://www.whitehats.com/info/IDS226] [Xref =>http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-1999-0172][Xref =>http://www.securityfocus.com/bid/1187] [Xref =>


tements anormaux qui peuvent tre prcurseurs dune attaque (ten-tative de connexion une heure inhabituelle, essai de passage enmode administrateur, etc.). Tous ces signes ne se prtent pas facile-ment une surveillance automatique, mais sont gnralement rv-lateurs dune tentative dattaque srieuse.

Tripwire (cf. 3.2.1), par exemple, peut tre configur pour agircomme un HIDS.

3.2.4.4 Conclusion

Figure 5 Rsultat de loutil Microsoft Baseline Security Analyzer

http://cgi.nessus.org/plugins/dump.php3?id=10076] [Xref =>http://cgi.nessus.org/plugins/dump.php3?id=10782][**] [1:2129:2] WEB-IIS nsiislog.dll access [**][Classification: access to a potentially vulnerable web application][Priority: 2]08/30-17:47:06.581439 xx.xx.xx.xx:1336 > yy.yy.yy.yy:80TCP TTL:107 TOS:0x0 ID:8083 IpLen:20 DgmLen:69 DF***AP*** Seq: 0x15954127 Ack : 0xB227CD19 Win: 0x4470 TcpLen: 20Toute reproduction sans autorisation du Centre franais dexploitation du droit de copie est strictement interdite. Techniques de lIngnieur H 5 820 11

3.2.4.3 HIDS

Les HIDS servent superviser des systmes ou des parties de sys-tme, en observant le comportement du serveur et des personnesse connectant dessus . Les HIDS analysent ce qui entre et ce qui sortdes interfaces rseau, mais aussi les vnements lis lutilisationdu serveur (login utilis pour se connecter, heures de connexion,comportement dun utilisateur, etc.). Ils peuvent galement analyserles appels systmes (syscall) pour dtecter dventuelles attaques.

Les HIDS peuvent dtecter une attaque automatiquement, mais leplus important reste tout de mme laspect humain de lanalyse desremontes des sondes. En effet, les personnes charges de la super-vision des serveurs qui connaissent bien le comportement normal dune machine peuvent facilement dtecter des compor-

Les IDS, trs utiles pour la supervision de la scurit en tempsrel, requirent pour tre efficaces une longue phase de param-trage pour ne remonter des alertes quen cas dattaque vritable, etviter ce que lon appelle les false-positive ou fausses alertes. Cettephase de paramtrage (tuning) est assez fastidieuse et demandeune grande expertise dans la scurit rseau.

De plus, le fait que les dtections stablissent partir dune basede donnes de signatures rfrences oblige maintenir constam-ment jour cette base, et limite les IDS aux attaques connues. Delgres modifications des outils classiques permettent de passersans trop de difficults au travers de la plupart des IDS. Il existenanmoins des amliorations sur les sondes IDS pour prendre encompte des mtacomportements suspects, plutt que des signatu-res qui sont par essence statiques. Des exprimentations sont encours pour par exemple tout ce qui est li aux buffers overflows, cequi est un procd devenu la rfrence de quasiment toutes les atta-ques, indpendamment du systme dexploitation vulnrable. Il y adonc des volutions intressantes de cette technologie qui permet-tent desprer un meilleur rendement des IDS dans les mois venir.

Une vritable politique de dtection dintrusion dans une entre-prise doit comprendre linstallation la fois de NIDS et dHIDS. Elledoit aussi tre utilise par des administrateurs connaissant bienlentreprise et lutilisation des ressources informatiques pour dtecter

[Xref => http://www.microsoft.com/technet/security/bulletin/ms03-018.asp] [Xref => http://cgi.nessus.org/plugins/dump.php3?id=11664][**] [1:498:4] ATTACK-RESPONSES id check returned root [**][Classification: Potentially Bad Traffic] [Priority: 2]09/02-14:33:29.153248 yy.yy.yy.yy:443 > xx.xx.xx.xx:58951TCP TTL:64 TOS:0x0 ID:27408 IpLen:20 DgmLen:140 DF***AP*** Seq: 0x8D2D216E Ack: 0x96E28E05 Win: 0x2180 TcpLen: 32TCP Options (3) => NOP NOP TS: 44075044 21769194



facilement des anomalies. La disposition des sondes au sein dunrseau ainsi que le type de sonde (HIDS et/ou NIDS) nest pas un pro-blme simple, de mme que la collecte des donnes, qui conditionnebeaucoup lefficacit dun systme de dtection dintrusion.

3.2.5 IPS (Intrusion Prevention System)

Les IPS sont relativement rcents. Ils se prsentent comme unevolution des IDS (cf. 3.2.4) vers plus de ractivit automatique. Ladifficult de paramtrage et de maintien des sondes IDS ne permet-tent pas cette technologie, pourtant trs puissante, de percer.Lautre lacune des IDS rside dans leur passivit. Les IDS nonttoujours eu pour objectif que la dtection des attaques, laissantensuite la charge de ladministrateur deffectuer les actionsncessaires pour lutter contre ces attaques. Les IPS permettent enpartie de rpondre automatiquement aux attaques quils dtectent.

Les IPS se placent gnralement en amont de tout le rseau,directement la frontire entre lIntranet et lextrieur. Ils sontdailleurs appels alors Inline Network Intrusion DetectionSystems ou Inline NIDS . Ils analysent les niveaux 3 7 dumodle OSI (de la couche rseau applicatif), et se placent en cou-pure de tout le trafic destination des serveurs protger (figure 7).

LIPS tudie alors les requtes pour ces serveurs, et ne les envoieque si elles ne sont pas dtectes comme tant dangereuses. Si les

Figure 6 Schma fonctionnel dune sonde IDS sur une machine ddie

Rseau non concernpar la sonde IDS

Sonde IDSServeur de supervision

Rcupration de toutle trafic destination

des serveurs Web,SQL et backup

Rcupration de toutle trafic destination

des serveurs Web,SQL et backup

Serveur Web

Serveur SQL

Backup

Rseau de productionRseau d'administration

Alerte leveen cas

d'attaque

Alerte leveen cas

d'attaque

Figure 7 Schma fonctionnel dun IPS en Inline IDS

Rseau non concernpar l'IPS

IPS

Serveur Web

Serveur SQL

Backup

Serveur WebPaquet suspect :AAAAAAAAAAAAAAAAAAAA

Paquet rcrit :AAAAAAAAAAAAAAAAAAAAAAAAAAAAAA/bin/stopeditexploitation du droit de copie est strictement interdite. lIngnieur

requtes sont dangereuses, il est alors possible de les supprimer, oubien de les modifier pour quelles ne soient pas dangereuses(figure 8).

Figure 8 Rcriture de paquets potentiellement dangereux

Rseau non concernpar l'IPS

IPS

Serveur SQL

Backup

AAAAAAAAAA/bin/sh


Les IPS ne sont donc pas des rvolutions, mais plutt des volu-tions des IDS, auxquels on aurait rajout une fonctionnalit de fil-trage .

3.2.6 Antivirus

Les antivirus sont des programmes qui, comme leur nom lindique,sont utiliss pour lutter contre les virus . Pour que la lutte soit efficace,il est indispensable de les installer sur tous les serveurs et de centra-liser les alertes sur un serveur unique ou un nombre restreint de ser-veurs de supervision en cas dinfection. Ces serveurs peuvent ensuiteretransmettre aux administrateurs des messages en cas dinfectionou de tentative dinfection sur les serveurs superviss.

De mme que pour MBSA, il est important de vrifier lhomog-nit des versions dantivirus et surtout des fichiers de signatures.Les virus actuels se dploient extrmement vite (Slammer, Blaster,Sobig, etc), et sans protection efficace, il est trs difficile dempcherla propagation de ces programmes.

Le scan des serveurs la recherche de virus est donc primordial.Les antivirus peuvent fonctionner en deux modes :

le premier mode se met en coupure des accs de certainsfichiers importants pour le systme dexploitation (fichiers dll pourWindows par exemple), ou encore de fichiers couramment utilisspour dployer des virus (macros dans les programmes de la suiteOffice, page html, etc.). Il permet dempcher linfection du serveurpar le virus, en bloquant laccs du fichier en cas de reconnaissancedune menace. Le gros inconvnient de ce mode est quil est trsgourmant en ressources, et il est parfois impossible dutiliser cemode en environnement de production ;

le second mode possible pour lutilisation des antivirus est unscan de lensemble ou partie du systme intervalles rguliers. Cemode permet de limiter les impacts de lantivirus sur le systme surveiller, en scannant la machine durant des plages horaires o leserveur est peu sollicit.

Les remontes dalerte en cas de compromissions peuvent dansla plupart des produits rcents tre effectues via les protocoles desupervision classiques (SNMP, syslog, etc.). Le premier mode per-met donc de superviser en temps rel les serveurs, tandis que lesecond mode permet uniquement une supervision diffre.

4. Supervision en temps diffr

En parallle de la supervision en temps rel doit seffectuer unesupervision de la scurit en temps diffr. En pratique, tous les l-ments du rseau (des commutateurs aux routeurs en passant parles serveurs mais galement les stations dadministration) gnrentpour chaque vnement important, dfinir par la politique descurit, une ou plusieurs lignes de logs. Ces fichiers journaux sontcentraliss sur des serveurs de log. Les donnes collectes sontanalyses pour des buts diffrents :

volution long terme ; dtection des tendances et anomalies suivre sur le rseau

(surveillance proactive des drives) ; suivi de la qualit de service (non trait dans cet article) ; intervention sur des incidents de scurit a posteriori.

La principale problmatique de la supervision en temps diffr estla gestion des donnes collectes . Le volume dinformation traiterpeut en effet rapidement atteindre des centaines de mgaoctets quo-tidiennement pour quelques (moins dune dizaine) machines, selonleur usage : le traitement manuel est donc bien sr impossible, et,malgr les outils, les temps de traitement sont parfois rdhibitoires.

4.1 Analyse dattaques

Les fichiers journaux sont archivs afin de permettre une analysea posteriori et au cas par cas, pour recueillir des complmentsdinformation lors du traitement dun vnement de scurit donnet pouvoir le diagnostiquer. Il faut alors analyser manuellement les traces ou en utilisant des outils adapts, de manire identifierlvnement de scurit et lancer les procdures de scurit ad-quates. Le terme vnement de scurit est utilis ici car il peutsagir dune attaque ou simplement dune prmisse dune attaque(tout ce qui participe la collecte dinformation sur une machine, telque le scan de ports par exemple).

vnement de scurit : cest une action non autorise, dtec-te par une analyse des fichiers de logs. Ce peut tre une mau-vaise manipulation, une prparation dattaque ou une vritableattaque. Par exemple, une ligne de logs signalant une tentativeToute reproduction sans autorisation du Centre franais dexploitation du droit de copie est strictement interdite. Techniques de lIngnieur H 5 820 13

Il est important de prciser que les antivirus ne protgent pas con-tre linfection de tous les virus. Blaster par exemple tait dtect aprsson installation, et non pas au moment de lattaque. Lantivirus per-mettait alors de retrouver un systme non corrompu, mais nemp-chait pas de se faire attaquer avec succs nouveau. Il fautauparavant appliquer le patch de Microsoft corrigeant la vulnrabilit,et ensuite utiliser lantivirus pour se dbarrasser de lhte indsirable.

3.2.7 SMS (Systems Management Server)

SMS est un utilitaire qui permet de grer des machines Windows.Il tourne gnralement en client sur des PC bureautiques et permetaux administrateurs de superviser ainsi facilement un parc demachines. Les clients SMS se connectent automatiquement au ser-veur contenant les scripts de dmarrage, et effectuent les actionsparamtres dans les scripts. Cela permet de faire les tches couran-tes dadministration (mise jour de Windows, des logiciels, change-ments dans la base de registre, etc.) sans que lutilisateur ait quoique ce soit faire. Il est aussi possible de faire remonter des infor-mations aux administrateurs du parc en cas de problme lors dudroulement du script.

Lanalyse manuelle va quant--elle permettre de remonter aucours du temps pour un ou plusieurs vnements de scurit. Il fautpour cela matriser les techniques dattaques classiques (dtaillessur les sites de scurit de rfrence) pour dtecter tous les l-ments suspects.

Quelques outils trs simples 4.1.1, 4.1.2, 4.1.3 permettentdobtenir de nombreuses informations sur lorigine de lattaque.

4.1.1 Traceroute

Cet utilitaire permet dafficher la route suivie par les paquets IPdepuis la machine o il est lanc jusqu une machine destinationdonne. Il donne ainsi la liste de tous les quipements traverss parles paquets, permettant parfois de situer gographiquement de faongrossire un quipement (on peut cibler le pays, voire une rgion).

de connexion de lutilisateur dupont qui a chou pourerreur de mot de passe (et ce durant les heures ouvrables) doitprobablement tre interprte comme une mauvaisemanipulation ; cette mme ligne de logs rptes plusieurs foisen heures non ouvres sera toujours considre comme un v-nement de scurit, mais cette fois-ci plus grave.



La commande utilise est traceroute sous UNIX ou tracert sousWindows.

titre anecdotique, certains outils graphiques comme xtrace-route permettent mme de visualiser la route sur une carte(figure 9).

4.1.2 Nslookup, dig, host

Ces outils permettent deffectuer des requtes DNS.

En environnement IP, chaque interface dun quipement rseaupossde une adresse IP unique. Des noms sont attribus aux machi-nes pour des raisons de praticit (il est plus ais de se souvenir dunnom de machine que dune adresse). Pour tablir la correspondanceentre un nom de machine et ladresse IP (et rciproquement), on uti-lise le systme DNS ou Domain Name Service [10]. Ce systme denommage DNS met en uvre une base de donnes hirarchiquerpartie sur de nombreux serveurs. Pour mettre jour les informa-tions sur un domaine (societe.com est un exemple de domaine),ladministrateur du domaine modifie un ou plusieurs enregistre-ments dans cette base de donnes. Les enregistrements sont de plu-sieurs types :

les enregistrements de type A sont tout simplement lesadresses IP des machines ;

Exemple : voici un extrait de la sortie de traceroute depuis lamachine dun internaute parisien vers le site http://www.yahoo.fr

$ traceroute -n www.yahoo.frtraceroute to www2.vip.ukl.yahoo.com (217.12.3.11), 64 hops max,44 byte packets1 193.253.160.3 181.754 ms 96.490 ms 72.610 ms2 80.10.160.196 56.503 ms 55.580 ms 56.731 ms3 193.252.98.158 52.470 ms 55.660 ms 55.661 ms4 193.252.161.2 56.497 ms 56.646 ms 54.589 ms5 193.252.161.57 65.642 ms 57.946 ms 56.670 ms6 193.251.126.58 56.547 ms 55.575 ms 57.665 ms7 193.251.240.214 56.538 ms 54.648 ms 56.600 ms8 212.73.240.1 54.567 ms 55.586 ms 53.645 ms9 212.187.128.46 71.510 ms 67.629 ms 63.687 ms10 212.187.129.197 65.504 ms 63.644 ms 121.620 ms11 212.113.10.210 67.583 ms 65.555 ms 63.665 ms12 217.12.6.6 63.515 ms 66.622 ms 63.741 msNous obtenons les adresses IP de toutes les machines traverses

par nos paquets.Si nous rsolvons les noms, nous pouvons essayer de situer

gographiquement le serveur de Yahoo :$ traceroute www.yahoo.frtraceroute to www2.vip.ukl.yahoo.com (217.12.3.11), 64 hops max,

44 byte packets1 193.253.160.3 (193.253.160.3) 56.941 ms2 GE2-0-0-279.ncidf204.Paris.francetelecom.net (80.10.160.196)

54.710 ms3 P1-0.nrsta204.Paris.francetelecom.net (193.252.98.158) 53.513 ms 4

P14-0.ntsta302.Paris.francetelecom.net (193.252.161.2) 108.520 ms5 P9-0.ntsta202.Paris.francetelecom.net (193.252.161.57) 57.547 ms 6193.251.126.58 (193.251.126.58) 296.526 ms

7 Level.GW.opentransit.net (193.251.240.214) 53.539 ms8 ae0-11.mp1.Paris1.Level3.net (212.73.240.1) 55.759 ms9 so-3-0-0.mp1.London2.Level3.net (212.187.128.46) 65.518 ms10 unknown.Level3.net (212.187.129.197) 64.539 ms11 unknown.Level3.net (212.113.10.210) 64.513 ms12 alteon1.34.ukl.yahoo.com (217.12.6.6) 68.471 ms

Figure 9 Xtraceroute vers un serveur au Sngal (Agence Universitaire de la Francophonie)exploitation du droit de copie est strictement interdite. lIngnieur

un enregistrement de type MX identifie un serveur de mail uti-lis pour le domaine ;

un enregistrement de type NS identifie un serveur jouant lerle de serveur DNS pour un domaine (il connat les informations denommage pour ce domaine).

Ainsi, pour connatre ladresse IP dun serveur, on va mettre unerequte de type A.

La liste des serveurs DNS faisant autorit sur un domaine estobtenue en mettant des requtes de type NS. La liste des serveursde mails utiliss sur un domaine est obtenue en mettant desrequtes de type MX.

Exemple : Voici un exemple de requte de type A avec lacommande host :

$ host -t a www.voila.frwww.voila.fr is an alias for janus-2-20.x-echo.com.janus-2-20.x-echo.com has address 195.101.94.80Nous apprenons que le nom www.voila.fr est un des alias pour le

serveur janus-2-20.x-echo.com, qui a lui-mme pour adresse195.101.94.80.


Loutil nslookup fonctionne quant--lui de la manire suivante : letype de requte est prcis avec la commande set, comme lillustrelexemple suivant.

4.1.3 Whois

Pour une adresse IP entre, cet outil liste la plage dadresse IP laquelle elle appartient et des informations administratives sur lepropritaire de cette plage (nom, coordonnes postales et tl-phoniques, adresse ml du contact, date de mise jour de cesinformations). Cet outil est disponible sur toute machine UNIX(souvent prsent par dfaut), ainsi quen ligne sur certains sitecomme http://www.nic.fr/cgi-bin/whois. En cas dattaques rptesou dincident de scurit grave, et si le Responsable de la Scuritlestime ncessaire, ces donnes permettent aux quipes de scu-rit de contacter, ventuellement par tlphone, les administra-teurs des plates-formes incrimines.

Exemple : Lexemple suivant montre comment nous pouvonsdterminer quel est le serveur de mail utilis pour le domainevoila.fr ; la requte, de type MX, est mise par loutil dig.

$ dig @ voila.fr mx;; ANSWER SECTION:voila.fr. 16m34s IN MX 10 smtp.voila.fr.;; AUTHORITY SECTION:voila.fr. 59m39s IN NS ns2.bavoila.net.voila.fr. 59m39s IN NS ns.x-echo.com.voila.fr. 59m39s IN NS ns1.x-echo.com.voila.fr. 59m39s IN NS ns1.bavoila.net.;; ADDITIONAL SECTION:smtp.voila.fr. 30S IN A 193.252.22.164ns2.bavoila.net. 15h46m27s IN A 193.252.122.34ns.x-echo.com. 52m4s IN A 195.101.94.1ns1.x-echo.com. 52m4s IN A 195.101.94.10ns1.bavoila.net. 23h36m51s IN A 193.252.118.130;; Total query time : 62 msecLa ligne "ANSWER SECTION" indique que lenregistrement MX pour

le domaine voila.fr est smtp.voila.fr ; ce serveur est donc utilis pourtout envoi de mail vers ce domaine. De plus, la section "AUTHORITYSECTION" donne les serveurs DNS faisant autorit sur le domainevoila.fr (enregistrements NS). Enfin, on liste dans la dernire section lesadresses IP de tous ces serveurs (enregistrements de type A).

Exemple :> nslookupDefault Server: ns4.wanadoo.frAddress: 193.252.19.4> set q=mx> voila.frServer: ns4.wanadoo.frAddress: 193.252.19.4Non-authoritative answer:voila.fr preference = 10, mail exchanger = smtp.voila.frAuthoritative answers can be found from:voila.fr nameserver = ns2.bavoila.netvoila.fr nameserver = ns.x-echo.com

Exemple :whois -h whois.alldomains.com google.comRegistrant:Google Inc. (DOM-258879)2400 E. Bayshore Pkwy Mountain View CA 94043 USDomain Name: google.comRegistrar Name: Alldomains.comRegistrar Whois: whois.alldomains.comRegistrar Homepage: http://www.alldomains.com/Administrative Contact:DNS Admin (NIC-1340142) Google Inc.2400 E. Bayshore Pkwy Mountain View CA 94043 [email protected] +1.6503300100 Fax- +1.6506181499Technical Contact, Zone Contact:DNS Admin (NIC-1340144) Google Inc.2400 E. Bayshore Pkwy Mountain View CA 94043 [email protected] +1.6503300100 Fax- +1.6506181499Created on : 1997-Sep-15.Expires on : 2011-Sep-14.Record last updated on : 2003-Apr-07 10:42:46.Domain servers in listed order:NS3.GOOGLE.COM 216.239.36.10NS4.GOOGLE.COM 216.239.38.10NS1.GOOGLE.COM 216.239.32.10NS2.GOOGLE.COM 216.239.34.10Toute reproduction sans autorisation du Centre franais dexploitation du droit de copie est strictement interdite. Techniques de lIngnieur H 5 820 15

Dans les traces se trouvent souvent des adresses IP ; les requtesde type PTR permettent dobtenir le nom de machine correspondant.

4.1.4 Conclusion

Mais lanalyse manuelle nest possible que dans certains cas sim-ples. Les principaux problmes proviennent de la difficult de ra-liser un traage efficace, cest--dire de pouvoir suivrelenchanement des vnements sur une priode de temps delordre de quelques jours. Les experts scurit se font aider danscette tche par des outils de traitement de logs, en particulier lors-que le volume de donnes est important. Ces outils peuvent effec-tuer un premier tri sur ces donnes pour liminer les alertesinintressantes, traduire les entres (supprimer les donnes inutilesou reproduire ces entres sous un format diffrent), regrouper lesenregistrements sous un angle favorable lanalyse ou produiredes statistiques.

Nanmoins, les techniques de corrlation dvnements sonttoujours ltude ; il est encore difficile deffectuer des prtraite-ments pertinents sur les donnes pour les attaques complexes.Des recherches sur les langages de spcifications de signaturesdattaque sont en cours, permettant de faciliter les corrlations paranalyse des traces ; cela rejoint les travaux sur les systmes dedtection dintrusion.

voila.fr nameserver = ns1.x-echo.comvoila.fr nameserver = ns1.bavoila.netsmtp.voila.fr internet address = 193.252.22.164ns.x-echo.com internet address = 195.101.94.1ns1.x-echo.com internet address = 195.101.94.10ns1.bavoila.net internet address = 193.252.118.130ns2.bavoila.net internet address = 193.252.122.34

Exemple : comment dterminer avec nslookup le nom demachine associ ladresse IP 195.101.94.10 ? Extrait de la rponse :

> nslookupDefault Server: ns4.wanadoo.frAddress: 193.252.19.4> set q=ptr> 195.101.94.10Server: ns4.wanadoo.frAddress: 193.252.19.4Non-authoritative answer:10.94.101.195.in-addr.arpa name = ns1.x-echo.com



La panace nexiste pas encore dans ce domaine, il faut doncdisposer de ressources aux comptences pointues et disponiblespour ce type de tche, ce qui nest pas toujours faisable. On sait lheure actuelle que de nombreuses attaques ne sont pas dtec-tes par les entreprises, comme le montrent chaque anne les tu-des du CLUSIF (Club de la Scurit des Systmes dInformationFranais) (on peut se rfrer au rapport denqute tude et sta-tistiques sur la sinistralit informatique en France pour lanne2002 [11]).

Les dures de conservation des logs dpendent des besoins tech-niques mais galement, selon le type de donnes, de contraintesrglementaires ( 5.1). Lorsque ces fichiers sont susceptibles decontenir des informations nominatives, comme par exemple lesjournaux de certains proxies ou caches incluant des logins, ladclaration la CNIL est indispensable, et les rgles qui endcoulent doivent tre respectes.

4.2 Tableau de bord de scurit

Le tableau de bord de la scurit permet davoir une vue densem-ble de la scurit oprationnelle dune plateforme ou dun rseau :dtection des tendances, des anomalies, des volutions mener surle primtre considr pour effectuer une prvention des pannes etdes attaques efficaces. Il est difficile dtablir un guide gnriquepour la mise en uvre dun tableau de bord dans la mesure o cha-que indicateur est dpendant du contexte au sein de lentreprise. Enfonction du primtre supervis, il faut alors ajuster la priodicit,les niveaux de dtails des informations rapportes pour sassurer desa cohrence avec la ralit et de sa pertinence. De plus, il est par-fois ncessaire davoir plusieurs tableaux de bord, par exemplepour suivre les anomalies sur plusieurs priodes, ou bien encore diffrents niveaux de dtails ou de technique (les managers nayantpas les mmes besoins que le responsable technique dune plate-forme).

Les lments figurant sur le tableau de bord de la scurit sont lessuivants :

une information sur les vnements marquants survenus dansla priode de rfrence ;

un tat davancement des actions du domaine scurit :documents rdigs, procdures mises jour, audits raliss,formations ;

une synthse des vnements de scurit reus par rseau,avec le niveau de gravit :

horodatage, caractrisation de lvnement de scurit (virus, dni de ser-

vice/dni de service distribu), origine de lattaque (adresse IP source), nombre de machines impactes (type dquipements et

nombre),

nature de limpact (en terme datteinte la disponibilit, laconfidentialit, lintgrit),

itration de lvnement sur la priode donne, svrit de limpact, ventuellement raction mise en uvre suite cet incident.

Lune des difficults suite un incident de scurit est lvaluationde la svrit de limpact . Pour ce faire, tous les lments disponi-bles doivent tre analyss, que ce soient les fichiers journaux surla(es) machine(s) impacte(s), les alarmes remontes ou les statis-tiques fournies par les dispositifs de scurit. Pour tre efficace, lasvrit de limpact doit tre chiffre.

Par ailleurs, la pertinence des donnes faire figurer sur cetableau dpend fortement du service en production considr. Pourdes plates-formes disponibles sur Internet et donc attaques en per-manence, les Top 5 ou Top 10 des attaques peuvent tre un supportsuffisant pour dcider des actions mener.

Le suivi de ces tableaux est limit par le fait que seules les atta-ques identifies pourront tre prises en compte. Cependant, ils per-mettent de remonter des indicateurs pertinents aux quipesconcernes et aux dcideurs pour piloter le rseau sur le moyenterme et prvenir les attaques par des actions judicieuses.

4.3 Inputs vers des outils daide la dcision

Les tableaux de bord de scurit sont parfois trop synthtiquespour mener bien des tches de plus longue haleine dpendant deparamtres plus nombreux. De plus, la supervision centralisersulte souvent dun assemblage de diffrentes consoles propritai-res htrognes. Pour tre analyses, les traces issues des fichiersde journalisation sont alors places en entre doutils de type datawarehouse plus complexes de traitement des indicateurs et daide la dcision :

pour piloter les actions sur les quipements superviss ; pour le contrle qualit ; pour planifier les interventions venir ; pour mettre des diagnostics distance ; pour faire voluer larchitecture au cours du temps.

Les produits de type ESM ou Enterprise Security Management

Exemple : Un exemple de tableau de bord est donn ci-aprs.

Date alerte Date fin Nature/rfrence @ IP source@ IP

destination

JJ/MM/AA JJ/MM/AA CERTCA-2001-19 "Code Red"

xx.xx.xx.xx xx.xx.xx.xxexploitation du droit de copie est strictement interdite. lIngnieur

peuvent apporter une partie de la rponse, comme les outils e-secu-rity (http://www.esecurity.net/ utilis dans le produit HPOpenview),Tivoli SecureWay Risk Manager ou encore Patrol de BMC Software .Ces consoles sont coteuses et ne prennent pas toujours en comptetous les besoins dune plateforme. Des outils libres sontrgulirement diffuss, intgrant tel ou tel format de donnes etdalarme.

(0)

Services/ports

utilissSvrit Nombre ditrations Impact Action

http (80) 4 N service XX indisponibilit

de XX

application des

patches X incidenten coursdanalyse


Devant lhtrognit des lments constitutifs dune plate-forme, de nombreuses entreprises essaient de dvelopper leurspropres outils adapts leur contexte. Afin de centraliser la supervi-sion, le principe reste toujours le mme, cest--dire rpartir desagents envoyant des informations vers des collecteurs. Cest parexemple le cas pour un oprateur de rseau sur certaines technolo-gies trs particulires pour lesquelles la supervision des quipe-ments mis en uvre nest pas prise en charge par les consolesclassiques. Il faut alors dvelopper des outils spcifiques, permet-tant de remonter des alarmes plus compltes et plus adaptes queles produits disponibles, et ainsi dlargir le primtre de supervi-sion.

De telles consoles de supervision sont particulirement intres-santes dans les rseaux gographiquement tendus : en augmen-tant le nombre dobjets superviss raccords individuellement lapplication dalarmes, il est alors possible de localiser plus rapide-ment les dfauts de manire centralise et de dterminer directe-ment le lieu, lintervenant, et le lot de maintenance ncessaire larparation avant tout dplacement, afin de diminuer la dure desperturbations perue par les clients. Il est par la suite possible demieux analyser les causes des dfauts par la mmorisation des v-nements dalarme et contribuer des actions de maintenance pr-ventive amliorant la qualit de service perue par le client.

Mme si le primtre dune politique de scurit est bien au-deldes aspects supervision et administration , ces points serontncessairement abords dans ce document de rfrence. Ainsi,lentreprise aura pris soin de dfinir ces tches de supervision de lascurit. ce titre, lors de la rdaction de la politique de scurit, ilsera intressant de considrer ces questions :

1. comment assurer le traitement correct des donnes de faonscurise ?

2. gestion des pannes : comment dtecter/localiser/rparer pourun retour la normale dun environnement ?

3. comment minimiser les risques de pannes et maintenir une dis-ponibilit et une qualit de service optimale ?

4. comment prvenir la perte de donnes, linterception de cesdonnes ou mauvais usages ?

5. comptabiliser et journaliser : comment connatre les oprationseffectues, leur cot de transport ?

6. comment protger lintgrit des donnes (tant du trafic trans-port que des fichiers de configurations des diffrents quipements) ?

7. grer les configurations : comment lister et pouvoir modifier lesobjets utiles ? Comment organiser ces objets ?

8. comment grer les performances, savoir temps de rponse,dbit, TEB (taux derreur binaire), taux de disponibilit ?

9. grer la scurit : comment contrler et distribuer des informa-tions de scurit ?

La rdaction de la politique de scurit est une tche menerconjointement avec les quipes dadministration et de supervision

Exemple du suivi de la supervision et du pilotage de relve desdfauts sur le rseau.

Les outils de supervision de la scurit sont des supports indispen-sables pour le responsable oprationnel du rseau qui assure le pilo-tage des processus, lanalyse des indicateurs de matrise de laperformance, le traitement et le suivi des non-conformits ; il peutalors sappuyer sur lanalyse pour proposer des actions correctives etprventives et suivre leur mise en uvre.

partir de toutes les informations dont il dispose, loutil peut propo-ser un premier diagnostic du dfaut et ainsi permettre au responsableoprationnel de dterminer quel type dintervenant peut agir. Il proposeune prlocalisation, permettant de dfinir quelle quipe dinterventioncontacter. La corrlation avec dautres vnements apporte des infor-mations de priorisation des actions (niveau durgence), ainsi et offredes lments concrets dinformations pour dialoguer avec les clientset/ou les partenaires.

Enfin, il fournit des lments daide la dcision sur les suites don-ner cet vnement : clture de lincident, raffectation de lalarme,demande dintervention immdiate ou diffre.

Remarque : tout dploiement de nouvel outil de supervision aun fort impact dans lorganisation de lexploitation opration-

Quest-ce quune politique de scuritCest un document qui spcifie lensemble des lois,

rglements et pratiques qui rgissent la faon de grer, protgeret diffuser les informations et autres ressources sensibles ausein dun systme spcifique, dune organisation (ITSEC) [Infor-mation Technology Security Evaluation Criteria]

En pratique : recommandations en prvention (analyse de risques, poli-

tique de scurit...), audits (analyse des configurations) ; suivi de lefficacit (veille, analyse de correctifs, audits...) ; dtection (contrle) ; correction (gestion des incidents, gestion des crises...).Toute reproduction sans autorisation du Centre franais dexploitation du droit de copie est strictement interdite. Techniques de lIngnieur H 5 820 17

5. Politique de scurit et supervision

5.1 Politique de scurit

Disposer doutils de supervision de la scurit est une premiretape, indispensable, pour assurer la scurit de ses infrastructures.Mais cela nest pas suffisant, car la technique seule na jamais rsolutous les problmes. Ainsi, dautres lments dfinissant les proc-dures mettre en place, la faon de raliser la supervision, lestches mener au jour le jour et les actions effectuer en cas dv-nements imprvus ou inhabituels sont dfinir.

Dans le domaine de la scurit informatique, on parle alors depolitique de scurit.

de la scurit du rseau dentreprise. Il peut tre intressant de par-tir dun plan relativement standard lors de llaboration de cettepolitique, articul autour des lments suivants :

quels sont les lments devant tre protgs ? quelles sont les mthodes de protections mettre en uvre ? quels sont les rles et responsabilits des divers acteurs ? description de lusage normal des ressources et donnes ; gestion des violations de la politique de scurit : intrusion,

accident...

Ces lments se dclineront de faons diffrentes suivant lecontexte et la nature de lentreprise, mais certains points resterontcommuns. La supervision de la scurit aura une place centraledans le contenu de cette politique.

nelle du rseau et du systme dinformation. Il est ncessaire delintgrer dans une stratgie de formations.

Exemple du contenu dune politique de scurit : accs auxressources

Le premier niveau de scurit prendre en compte dans un LANest lutilisateur. Tout accs aux ressources doit pouvoir tre trac, etpour cela, authentifi. Pour accder aux ressources locales et rseaux,lutilisateur doit sidentifier grce diffrentes mthodes (nom utilisa-teur/mot de passe, certificat, autre). Chaque utilisateur doit tre uniquedans son contexte et appartenir au moins un groupe dutilisateurs.



5.2 Norme ISO 17799

La norme ISO 17799 [4] repose sur un ancien standard du BritishStandards Institute, le BS7799 normalis courant 2000. Cette normeest constitue dune srie de recommandations, plutt organisa-tionnelles, traitant des bonnes pratiques en matire de scurit dessystmes dinformations. Elle rpond ainsi, indpendamment deschoix technologiques, aux questions de mise en uvre des prati-ques de scurit au sein de lentreprise. Cette norme est rdigeselon les axes suivants :

politique de scurit ; organisation de la scurit ; classification et contrles des biens ; scurit du personnel ; scurit physique, scurit de lenvironnement ; gestion des communications et des oprations ; contrles daccs ; dveloppement et maintenance des systmes ; gestion de la continuit des activits de lentreprise ; conformit.

Plus dune centaine de prconisations sont abordes dans ces10 chapitres. Parmi le contenu de cette norme, exploitation, admi-nistration, ainsi que continuit de service font chacun lobjet de par-tie bien dtaille. Il peut tre trs pertinent, dans le cadre dunedmarche de dclaration de conformit avec cette norme ISO, desassurer que les techniques de supervision de la scurit desrseaux mises en uvre dans lentreprise sont conformes auxrecommandations. Le chapitre 2, Organisation de la scurit traite par exemple des points suivants :

grer efficacement la scurit de linformation dans lentreprise ; maintenir la scurit des ressources accdes par des tiers ou

des sous-traitants ; recommandation de scurit dans le cadre de lexternalisation

et de la sous-traitance.

Les recommandations faites serviront de base pour llaborationde rgles de supervision de la scurit interne lentreprise.

Le lecteur intress pourra consulter avec intrt un documentpubli par le CLUSIF, prsentant de faon gnrale cette norme etses applications [5]. Il est noter que le standard anglais initial taitcompos de deux parties, BS7799 part1 & BS7799 part2. Seule lapartie 1 a fait lobjet dune norme ISO. La partie 2 est trs utilise enGrande-Bretagne, car elle fait lobjet dun schma de certificationqualifiant le niveau de scurit de lentreprise.

5.3 Veille scurit

La scurit est devenue un vritable enjeu. Le CERT CC (ComputerEmergency Response Team Coordination Center) publiergulirement des statistiques sur le nombre dincidents reports, lenombre davis de scurit publis. Une forte croissance est malheu-reusement constater au cours des dernires annes comme indi-qu dans les tableaux suivants (source : http://www.cert.org/stats/cert_stats.html).

(0)

(0)

La veille technologique consiste se tenir inform des informa-tions ayant trait la scurit, telles que les nouvelles vulnrabilits,les attaques en cours... Elle seffectue auprs de divers organismes.

Des groupes de travail comme les CERT (Computer EmergencyResponse Team) publient trs rgulirement des avis sur les trous descurit quils recensent http://www.cert.org

En France, lquivalent du CERT ddi aux industries est le CERT-IST [6] (Computer Emergency Response Team Industrie Services etTertiaire). Il propose un service de base orient prvention avec diffu-sion davis de scurit, dun bulletin de scurit et dun accs unebase de vulnrabilits ou un service la carte plus complet. UnCERT est ddi aux administrations, il sagit du CERT A [7]. Enfin, lesrseaux universitaires peuvent sappuyer sur le CERT Renater [8].

Les fournisseurs de services ou de matriel informatique ont sou-vent des listes de diffusion, forums ou sites web qui permettent defaire circuler les informations propos des problmes rencontrs surleurs systmes, ainsi que les solutions qui peuvent y tre apportes.

Certains sites web mettent en accs libre des mthodes pourprendre la main sur des serveurs dun rseau ou pour mettre malun systme informatique. Ils fournissent donc des armes redouta-bles au public, mais offrent galement souvent les contre-attaquespossibles contre ces mfaits. Leur objectif est de pousser les di-teurs de systmes rendre leurs produits encore plus fiables. Mal-heureusement, nimporte qui peut dcouvrir ces sites et appliquerces mthodes. Il faut donc rester vigilant et se tenir rgulirementau courant de lactualit de ces sites, pour, non seulement prvoir cequi pourrait arriver, mais aussi mettre en place les protections quipourraient savrer ncessaires.

Certaines rgles concernant les logins et les mots de passe sont aborder dans une politique de scurit :

le nom dutilisateur (Login) doit tre significatif pour pouvoir identifiertoutes les personnes. Plusieurs mthodes didentification sont possibles ;

le mot de passe (Password) doit tre personnel et incessible. Cer-taines consignes/rgles peuvent rendre difficiles voire inefficaces lestentatives de connexion des pirates : longueur minimale, renouvelle-ment, chiffrement, dconnexion et/ou blocage en cas derreur, cas ducompte administrateur...

etc.

Anne 1988 1992 1995 1999 2000 2001 2002 2003 (Q1-Q3)

Nombre dinci-dents

reports

6 773 2 415 9 859 21 756 52 658 82 094 114 855

Anne 1995 1996 1997 1998 1999 2000 2001 2002

Nombre de vulnrabilits

reportes

171 345 311 262 417 1 090 2 437 4 129

Exemple : quelques sites dvoilant des mthodes dattaques :exploitation du droit de copie est strictement interdite. lIngnieur

Dautres sites proposent une sorte de mto scuritaire delInternet ; ce sont les observatoires du Net. Il sagit de systme per-mettant de connatre un instant donn ltat des activits illicitesou anormales dtectes sur un ensemble de systme jug reprsen-tatif de lInternet. Diverses offres gratuites ou commerciales propo-sent ces services. Citons par exemple lInternet Storm Center [9],propos par le SANS (SysAdmin, Audit, Network, Security).

En ce qui concerne les volutions des rglementations, il estincontournable de se maintenir au courant de leurs ventuelles modi-fications. Ce prcepte est particulirement valable dans le domainede la cryptographie, en

Documents

Supervision de La Sécurité Des Réseaux Ip