Vous êtes sur la page 1sur 192

CCNA Security

2012/2013

Intgration de Comptence

ECOLE POLYTECHNIQUE DE NIAMEY

CCNA SECURITY

INTEGRATION DE COMPETENCE

GROUPE 8303 Prsent


Par :
Les tudiants de GRI2

A Mr. :
NAMALKA Oumarou

04/02/2013

CCNA Security

2012/2013

Intgration de Comptence

CCNA Security

2012/2013

Intgration de Comptence

Introduction Gnrale
De nos jours, la plupart des rseaux informatiques sont multiplateformes. Lobjectif de ce projet est de mettre en place des serveurs sous Windows (ADDS ; DNS ; Antivirus ; Mail) et Linux (DNS ; Web ; Voip ; Nagios ; Prelude ; Snort ; OSSEC et PFSense) , de les administrer et de les surveiller.

CCNA Security

2012/2013

Intgration de Comptence

Prsentation de la topologie
Supervision

Nagios

Ossec Prelude Snort

Projet

172.16.1.4 172.16.1.6

172.16.1.7

172.16.1.8

Parefeu
172.16.1.10 Rseau Externe 192.168.1.10

Internet

Rseau Interne

172.16.1.0/24

DMZ
192.168.1.0/24

PDC

Backup SDC Antivirus

MAil

DNS

Web

VOIP

DNS ADDS

172.16.1.1 172.16.1.2

DNS ADDS

172.16.1.3 172.16.1.5

192.168.1.3 192.168.1.1

192.168.1.2

192.168.1.4

Raid

Exchange2010

Bind9

Apache

Asterisk

Raid Tolrance de panne des disques

Cette topologie est constitue de 3 zones qui sont :

La zone INTERNE qui comprend la supervision (Nagios, Ossec, Prlude, Snort) et les serveurs internes (PDC, SDC, Antivirus, Backup) La zone EXTERNE La zone DMZ qui comprend (Pare-feu,Mail, Dns, Web, Voip)

CCNA Security

2012/2013

Intgration de Comptence

Mise en place de la zone Interne

CCNA Security

2012/2013

Intgration de Comptence

I. Mise en place du PDC

CCNA Security

2012/2013

Intgration de Comptence

Introduction Un serveur informatique hbergeant l'annuaire Active Directory est appel contrleur de domaine>>Le premier contrleur de domaine dune fort doit tre un serveur de catalogue global et ne peut pas tre un contrleur de domaine en lecture seule (RODC). L'objectif principal d'Active Directory est de fournir des services centraliss d'identification et d'authentification un rseau d'ordinateurs utilisant le systme Windows. Il permet galement l'attribution et l'application de stratgies, la distribution de logiciels, et l'installation de mises jour critiques par les administrateurs. Active Directory rpertorie les lments d'un rseau administr tels que les comptes des utilisateurs, les serveurs, les postes de travail, les dossiers partags, les imprimantes.

CCNA Security

2012/2013

Intgration de Comptence

Procdure dinstallation Pour faire de notre Windows Server 2008 R2 un contrleur de domaine, il suffit de lancer la commande dcpromo

Crons notre nouveau Domain dun une nouvelle fort

CCNA Security

2012/2013

Intgration de Comptence

Tapons le nom du Domain

CCNA Security

2012/2013

Intgration de Comptence

Nous allons choisir le niveau fonctionnel

10

CCNA Security

2012/2013

Intgration de Comptence

11

CCNA Security

2012/2013

Intgration de Comptence

12

CCNA Security

2012/2013

Intgration de Comptence

Tapons un mot de passe pour le Domain

13

CCNA Security

2012/2013

Intgration de Comptence

Vrification

14

CCNA Security

2012/2013

Intgration de Comptence

Ici prend fin linstallation de notre Domain : Vrification des entits de scurit :

security.com

La console Utilisateurs et ordinateurs Active Directory est probablement la plus utile : c'est celle qui vous permettra de grer les comptes des utilisateurs et des ordinateurs. Dans notre exemple nous avons les utilisateurs lala toto et toto.c Nous avons aussi un groupe de scurit global nomm gri2 et une unit organisation nomme epn

15

CCNA Security

2012/2013

Intgration de Comptence

16

CCNA Security

2012/2013

Intgration de Comptence

Configuration de la zone inverse Passons maintenant la configuration da la zone inverse du DNS car la zone direct est configure par dfaut On fait Outils dadministration DNS puis double click sur DNS

Click droit sur zone inverse

17

CCNA Security

2012/2013

Intgration de Comptence

Suivre lassistant

18

CCNA Security

2012/2013

Intgration de Comptence

19

CCNA Security

2012/2013

Intgration de Comptence

Tapons notre adresse rseau

20

CCNA Security

2012/2013

Intgration de Comptence

Termin

Ici prend fin la configuration de la zone inverse

21

CCNA Security

2012/2013

Intgration de Comptence

Conclusion Active Directory est un service d'annuaire utilis pour stocker des informations relatives aux ressources rseau sur un domaine. Une structure Active Directory (AD) est une organisation hirarchise d'objets. Les objets sont classs en trois grandes catgories : les ressources (par exemple les imprimantes), les services (par exemple le courrier lectronique) et les utilisateurs (comptes utilisateurs et groupes). L'AD fournit des informations sur les objets, il les organise et contrle les accs et la scurit Ici prend fin linstallation et la configuration de notre contrleur de Domain.

22

CCNA Security

2012/2013

Intgration de Comptence

II. Mise en place du SDC

23

CCNA Security

2012/2013

Intgration de Comptence

Introduction Nous allons voir travers cet article lintgration dun contrleur supplmentaire au sein dun domaine Active Directory. On parle en gnral dun contrleur secondaire cependant ceci est une fausse appellation car une architecture Active Directory est multi-matre. La ralisation est rapide et simple avec une implication limite dans un milieu de productif. Il faut toutefois veiller disposer de sauvegardes fiables et en particulier concernant votre Active Directory.

24

CCNA Security

2012/2013

Intgration de Comptence

Configuration Tout dabord on tape dcpromo en ligne de commande ou dans rechercher du menu dmarrer. Lassistant suivant saffichera et on coche utiliser linstallation en mode avanc Ensuite on clique sur suivant

Puisquil sagit dun DC secondaire dans notre cas, on clique sur foret existante On spcifie ajouter un DC un domaine existant comme illustr dans la figure ci-dessous. Ensuite on clique sur suivant

25

CCNA Security

2012/2013

Intgration de Comptence

On spcifie le nom du domaine qui est security.com. Ensuite on clique sur dfinir

26

CCNA Security

2012/2013

Intgration de Comptence

La console suivante saffiche, on met le login et le mot de passe de lutilisateur cr sur le DC primaire et on clique sur OK

27

CCNA Security

2012/2013

Intgration de Comptence

Lassistant nous signale que nayant pas prpar lannuaire avec loption /rodcprep , il ne sera pas possible dintgrer un contrleur en lecture seule.

On spcifie le site sur lequel sera hberg le contrleur de domaine.

On slectionne ensuite les options Serveur DNS et Catalogue global .


28

CCNA Security

2012/2013

Intgration de Comptence

Un autre avertissement apparat concernant un problme de dlgation avec la zone parente (.local).

29

CCNA Security

2012/2013

Intgration de Comptence

Lassistant vous laisse la possibilit de choisir la provenance des donnes Active Directory existantes rpliquer. Soit directement par le biais du rseau en contactant le contrleur de domaine existant, soit partir dune sauvegarde.

Suite la slection prcdente, nous devons choisir le contrleur contacter. Dans notre cas il sagit de security.com.

Ensuite on dfinit la location des fichiers lis lannuaire.

30

CCNA Security

2012/2013

Intgration de Comptence

Enfin on va devoir rentrer un mot de passe de restauration.

31

CCNA Security

2012/2013

Intgration de Comptence

32

CCNA Security

2012/2013

Intgration de Comptence

Conclusion
Une fois redmarr, le serveur est dsormais promu en tant que contrleur de domaine secondaire.

33

CCNA Security

2012/2013

Intgration de Comptence

III. Mise en place du serveur dAntivirus

34

CCNA Security

2012/2013

Intgration de Comptence

Presention
Symantec Endpoint Protection offre une protection simple, rapide et efficace contre les virus et les programmes malveillants. Il s'installe en quelques minutes sans matriel supplmentaire. La protection de votre entreprise devient simple et rapide. Grce aux mises jour automatiques, vous bnficiez des toutes dernires fonctions de scurit disponibles.

Avantages cls

Des analyses rapides et efficaces offrent une protection contre les virus, les vers, les chevaux de Troie et les logiciels espions. Elles ne ralentissent pas vos systmes et vous pouvez donc vous concentrer totalement sur votre activit. Profitez de cette flexibilit et bnficiez de la puissance et de la commodit d'un service gr via le Cloud avec une protection permanente, ou d'un service gr sur site sur un serveur local. L'installation se fait en quelques minutes, sans matriel supplmentaire, ce qui vous permet de gagner du temps et de l'nergie. Pas besoin de personnel ou de formation spcifique. Les technologies Insight et SONAR dtectent et bloquent les programmes malveillants nouveaux et en mutation, mme s'il s'agit de nouvelles menaces ou de menaces inconnues Abonnement simple, qui couvre les cots d'exploitation et de maintenance, les mises niveau et le support 24h/24 et 7j/7, que vous choisissiez la gestion via le cloud ou la gestion sur site.

35

CCNA Security

2012/2013

Intgration de Comptence

Installation et Configuration
Vous pouvez telecharger la version d essai sur : https://www4.symantec.com/Vrt/offer?a_id=117140&inid=fr_bt_flyout_trialwar e_endpt_prot

Installation Executons le steup puis cliquons sur executer

Choisissons le point dextraction puis cliquons sur extract

Attendons la fin dextraction

36

CCNA Security

2012/2013

Intgration de Comptence

Ouvrons le ficher puis executons

37

CCNA Security

2012/2013

Intgration de Comptence

Choisissons le deuxime point (Install Symentec Endpoint Protection)

Choisissons le premier point(Install Symentec Endpoint Protection Manager)

38

CCNA Security

2012/2013

Intgration de Comptence

Cliquons sur Next

Acceptons le contrat de licence puis cliquons sur Next

39

CCNA Security

2012/2013

Intgration de Comptence

Cliquons sur Next

Cliquons sur Install

40

CCNA Security

2012/2013

Intgration de Comptence

Attendons la fin

Cliquons sur Next

41

CCNA Security

2012/2013

Intgration de Comptence

Attendons la fin

42

CCNA Security

2012/2013

Intgration de Comptence

Cliquons sur Next

Renseignons les diffrents champs puis cliquons sur NEXT

43

CCNA Security

2012/2013

Intgration de Comptence

cliquons sur NEXT

44

CCNA Security

2012/2013

Intgration de Comptence

Attendons la fin Cette tape met fin au processus dinstallation

45

CCNA Security

2012/2013

Intgration de Comptence

Configuration Nous allons configurer le dploiement sur les machines clientes Cliquons sur Client Deployment

46

CCNA Security

2012/2013

Intgration de Comptence

Cliquons sur Next

47

CCNA Security

2012/2013

Intgration de Comptence

Cliquons sur NEXT sur Next

Cliquons sur Next

48

CCNA Security

2012/2013

Intgration de Comptence

Cliquons sur Next

49

CCNA Security

2012/2013

Intgration de Comptence

Attendons la fin de la recherche des rseaux .Dans le cas o il en trouve pas faisons une recherche en cliquant sur Search Network et en dfinissant la plage dadresse

50

CCNA Security

2012/2013

Intgration de Comptence

Renseignons les champs puis cliquons sur ok

Attendons la fin

51

CCNA Security

2012/2013

Intgration de Comptence

Cliquons sur Next

52

CCNA Security

2012/2013

Intgration de Comptence

Cliquons sur Send

53

CCNA Security

2012/2013

Intgration de Comptence

Attendons la fin

54

CCNA Security

2012/2013

Intgration de Comptence

Cliquons sur Next

55

CCNA Security

2012/2013

Intgration de Comptence

56

CCNA Security

2012/2013

Intgration de Comptence

Cliquons sur Finish Cette tape mais fin au dploiement. Rendons nous sur le client pour suivre linstallation

Laissons le client allume jusqu laffichage de ce assistant puis cliquons sur Restart Now

57

CCNA Security

2012/2013

Intgration de Comptence

Excutons lapplication

Attendons

58

CCNA Security

2012/2013

Intgration de Comptence

Ci fin

Ceci met fin au dploiement

59

CCNA Security

2012/2013

Intgration de Comptence

Conclusion
Nous vous recommandons Symantec Endpoint Protection pour les raisons suivantes :

Protection simple, rapide et efficace contre les virus et les programmes malveillants Disponible sous la forme d'un service gr via le cloud ou comme application de gestion sur site Installation facile et gestion via le Web Technologies de scurit puissantes dveloppes par le leader mondial des technologies de scurit Tarification simple par abonnement qui couvre les deux choix de gestion

60

CCNA Security

2012/2013

Intgration de Comptence

IV. Mise en place du serveur de Backup

61

CCNA Security

2012/2013

Intgration de Comptence

Prsentation
Bacula est un jeu de programmes qui permet l'administrateur systme de faire des sauvegardes, restaurations, et vrifications des donnes d'un ordinateur sur un rseau htrogne. Bacula peut fonctionner compltement sur un seul ordinateur. Il est capable de sauvegarder sur des supports varis, y compris disques et cartouches. Il s'agit d'un programme de sauvegarde Client/serveur. Bacula est relativement facile d'utilisation et efficace, tout en offrant de nombreuses fonctions avances de gestion de stockage qui facilitent la recherche et la restauration de fichiers perdus ou endommags. Grce sa conception modulaire, Bacula est chelonnable depuis le simple systme constitu d'un ordinateur, jusqu'au systme de plusieurs centaines d'ordinateurs dissmins sur un vaste rseau.

62

CCNA Security

2012/2013

Intgration de Comptence

Mise en place du Raid5


Le RAID dsigne les techniques permettant de rpartir des donnes sur plusieurs disques durs afin d'amliorer soit la tolrance aux pannes, soit la scurit, soit les performances de l'ensemble, ou une rpartition de tout cela. Le RAID 5 crit donc simultanment les donnes sur plusieurs disques ce qui amliore les performances en lecture et en criture et la tolrance aux pannes. Installations le paquet mdadm

Commenons par installer les paquets suivant : Apt-get install debconf-utils dpkg-dev debhelper build-essential kernel-package libncurses5-dev

et

Chargeons le module dans le noyau

Make menuconfig

63

CCNA Security

2012/2013

Intgration de Comptence

Choisissons Device Drivers

Choisissons, puis espace et enter

64

CCNA Security

2012/2013

Intgration de Comptence

Choisissons YES Listons les disques


65

CCNA Security

2012/2013

Intgration de Comptence

On retrouve les 3disques.Creons les partitions

Entrons n (pour crer une nouvelle partition)

Entrons p (pour partition primaire)

66

CCNA Security

2012/2013

Intgration de Comptence

Entrons 1(pour partition1)

Entrons t (pour modifier lID du systme de fichier) puis fd

Entrons w (pour enregistrer et quitter)

Rpter la mme action pour les deux autres disques (sdc et sdd) Crons le volume raid partir de la commande suivante : mdadm --create --verbose /dev/md0 --level=5 --raid-devices=3 /dev/sdb1 /dev/sdc1 /dev/sdd1

Enregistrons ce volume : echo "DEVICE partitions" > /etc/mdadm/mdadm.conf

Ensuite on appelle mdadm une nouvelle fois pour scanner les volumes RAID existants et les inscrire dans ce fichier : mdadm --detail --scan >> /etc/mdadm/mdadm.conf

Cron le systme de fichiers


67

CCNA Security

2012/2013

Intgration de Comptence

Nous allons monter le volume dans /opt/SAUVEGARDE mount /dev/md0 /opt/SAUVEGARDE

Editons le fichier /etc/fstab et inserons la ligne suivante : /dev/md0 /opt/SAUVEGARDE auto defaults 0 3

Enregistrons et quittons Ceci mais fin la mise en place du raid5

68

CCNA Security

2012/2013

Intgration de Comptence

Installation et configuration
Installation
Commenons par installer mysql et les dpendances qui vont nous permettre de compiler bacula apt-get install mysql-server-5.0 gcc libmysqlclient15-dev g++ make libncurses5dev php-pear

Dcompressons la dernire version de bacula rcuprer sur le site officiel tar xvzf bacula-5.0.2.tar.gz

On se place dans le dossier et on check les dpendances et la vrification de la configuration prs installation cd bacula-5.0.2 ./configure --with-mysql On lance la compilation make && make install Lancement des scripts de cration de la bases le mot de passe de la base mysql sera demand cd src/cats ./create_mysql_database -p ./make_mysql_tables -p ./grant_mysql_privileges -p Cration et installation des services cp /etc/bacula/bacula-ctl-fd /etc/init.d/bacula-fd cp /etc/bacula/bacula-ctl-dir /etc/init.d/bacula-director cp /etc/bacula/bacula-ctl-sd /etc/init.d/bacula-sd cp /etc/bacula/bacula /etc/init.d/bacula chmod 755 /etc/init.d/bacula-sd chmod 755 /etc/init.d/bacula-fd
69

CCNA Security

2012/2013

Intgration de Comptence

chmod 755 /etc/init.d/bacula-director chmod 755 /etc/init.d/bacula-sd update-rc.d bacula-sd defaults 90 update-rc.d bacula-fd defaults 91 update-rc.d bacula-director defaults 92 On redmarre tous les services /etc/init.d/bacula start

Ceci mais fin linstallation

70

CCNA Security

2012/2013

Intgration de Comptence

Configuration

Editons le fichier bacula-dir.conf ditons-le comme suit :

71

CCNA Security

2012/2013

Intgration de Comptence

72

CCNA Security

2012/2013

Intgration de Comptence

73

CCNA Security

2012/2013

Intgration de Comptence

74

CCNA Security

2012/2013

Intgration de Comptence

75

CCNA Security

2012/2013

Intgration de Comptence

Enregistrons et redmarrons le service


76

CCNA Security

2012/2013

Intgration de Comptence

Editons le fichier bacula-sd.conf Modifions-le comme suit :

Ceci mais fin la configuration de bacula

77

CCNA Security

2012/2013

Intgration de Comptence

78

CCNA Security

2012/2013

Intgration de Comptence

Enregistrons et redmarrons le service

Redmarrons bacula

Ceci met fin la configuration Nous allons nous connecter la console et faire uns sauvegarde

79

CCNA Security

2012/2013

Intgration de Comptence

Slectionnons 1

80

CCNA Security

2012/2013

Intgration de Comptence

Conclusion
Bacula dispose de trs nombreuses fonctionnalits. Utilis correctement vous serez toujours certain de pouvoir restaurer n'importe quel fichier, n'importe quelle date (retrouver un texte par exemple tel qu'il tait rdig il y a deux mois, sachant que vous l'avez modifi 10 fois depuis, etc.) MAIS SA CONFIGURATION FINE NCESSITE DE NOMBREUSES CONNAISSANCES PROPRES AU MONDE DE LA SAUVEGARDE.

81

CCNA Security

2012/2013

Intgration de Comptence

V. Mise en place du serveur Nagios

82

CCNA Security

2012/2013

Intgration de Comptence

Introduction

Prsentation du serveur NAGIOS

NAGIOS est un outil open source qui nous permet de superviser des machines (Windows, linux, BSD, MAC os) compatible SNMP (simple network management Protocol) sur un rseau TCP/IP, On peut toutefois surveiller des machines incompatible SNMP a laide des scripts qui nous permettrons de faire des Ping ou simuler des requte http etc.

83

CCNA Security

2012/2013

Intgration de Comptence

Installation

Prrequis -Une machine Linux sous UBUNTU 10.04 LTS -Internet -Apache version2

84

CCNA Security

2012/2013

Intgration de Comptence

Configuration

-Avant de commencer linstallation de NAGIOS CORE nous allons effectuer la mise jour laide de la commande # SUDO : super-utilisateur # aptitude update # aptitude safe-update -Tlcharger le BUILD-ESSENTIAL

-Installation du serveur WEB APACHE2

NB : les paramtrages du serveur NAGIOS se font via une interface web do la ncessit dinstaller APACHE -Installer les librairies suivantes : # apt-get install bind9-host dnsutils libbind9-60 libisc60 libisccc60 libisccfg60 libradius qstat radiusclient1 snmp snmpd # apt-get install libd2-noxpm-dev libpng12-dev libjpeg62 libjpeg62-dev -Puis lancer le serveur APACHE2 laide de la commande : # apache2ctl start

-Vrifier le bon fonctionnement du server WEB en tapant ladresse de la machine dans un navigateur WEB

85

CCNA Security

2012/2013

Intgration de Comptence

- Pour des raisons videntes de scurit, le processus Nagios ne sera pas lanc en root (droit administrateur). Nous allons crer un utilisateur systme nomm nagios et un groupe associ galement nomm nagios. Le groupe nagios comprendra les utilisateurs nagios et www-data (utilisateur avec lequel le serveur Apache est lanc par dfaut).

-Cration de lutilisateur NAGIOS # useradd nagios -Cration du group NAGIOS # groupadd nagios -Ajout de lutilisateur NAGIOS dans le group NAGIOS # usermod G nagios nagios -Ajout de lutilisateur www-data dans le group NAGIOS # usermod G www-data nagios -Tlchargement de NAGIOS depuis les sources dans le rpertoire /usr/src # cd /usr/src # wget 3.2.3.tar.gz http://prdownloads.sourceforge.net/sourceforge/nagios/nagios-

-Par dfaut NAGIOS vient sans plugins ( extension) pour les tlcharger tapez la commande : # wget http://prdownloads.sourceforge.net/sourceforge/nagiosplug/nagiosplugins-1.4.15.tar.gz Compilation de NAGIOS depuis les sources : -Dcompresser le fichier laide la commande :
86

CCNA Security

2012/2013

Intgration de Comptence

# tar xzf nagios-3.2.3.tar.gz # cd nagios-3.2.3 -Ensuite lance le processus dinstallation # ./configure

# make all # make install

# make install-commandmode

# make install-config

# make install-init

87

CCNA Security

2012/2013

Intgration de Comptence

# make install-webconf

-Cration dun lien symbolique # ln s /etc/init.d/nagios /etc/rcS.d/S99nagios -activ le mot de passe pour linterface de gestion web de nagios # htpasswd -c /usr/local/nagios/etc/htpasswd.users nagiosadmin -Puis saisir le mot de passe

-Redmarrer le service APACHE laide de la commande # apache2ctl restart Compilation des plugins NAGIOS depuis les sources : De base, NAGIOS est livr sans aucune extension (plugin). Il faut donc installer les plugins standards permettant de surveiller les machines de son rseau. #aptitude install fping libnet-snmp-perl libldap-devlibmysqlclient-dev libgnutlsdev libradiusclient-ng-dev php5 -Puis dcompresser les les plugins NAGIOS # cd /usr/src # tar xzf nagios-plugins-1.4.15.tar.gz # cd nagios-plugins-1.4.15 -Puis tapez la suite commande pour les compiler avec NAGIOS

# make
88

CCNA Security

2012/2013

Intgration de Comptence

# make install -Nous allons effectuer un teste

-Ensuite nous allons lancer le serveur NAGIOS # /etc/init.d/nagios start

89

CCNA Security

2012/2013

Intgration de Comptence

Test du serveur NAGIOS


-Tapez dans un navigateur WEB ladresse suivante :

Surveillance distance
Surveillance de machine Windows

-Dans un premier temps nous allons ditez le fichier de configuration des machines Windows qui se localiser dans /usr/local/nagios/etc/objects/windows.cfg # gedit /usr/local/nagios/etc/objects/windows.cfg

-Ensuite renseigner le champ hostname par le nom de votre machine Windows et adresse par ladresse IP dans notre le nom est WIN-SERVER et 172.16.1.3 comme IP

90

CCNA Security

2012/2013

Intgration de Comptence

-Saisir le mme nom au niveau de la section services define

-Enregistr puis quitter Faite un test de configuration avec la commande de vrification # /usr/local/nagios/bin/nagios v /usr/local/nagios/etc/nagios.cfg
91

CCNA Security

2012/2013

Intgration de Comptence

-Avant de redmarrer le service NAGIOS nous allons installer NSClient++ qui est le plugin charge de renseigne notre serveur de supervision -Pour tlcharger NSClient++ tapez le lien suivant dans un navigateur Web http://sourceforge.net/projects/nscplus/files/nscplus/NSClient%2B%2B%200.3.8/ Tlcharger la dernire version disponible en format .MSI -Puis installer sur la machine Windows surveiller

-Cliquez sur typical puis sur NEXT

92

CCNA Security

2012/2013

Intgration de Comptence

-renseigner ladresse IP du serveur NAGIOS et cocher les deux cases Check_nt et check_nrpe puis NEXT

-Ensuite cliquez sur install -Allez dans le menu dmarrer dans excuter tapez services.msc puis OK

93

CCNA Security

2012/2013

Intgration de Comptence

-Localiser NSClient++

-Faite un cliquez droit et allez dans proprits dans longlet connexion cochez la case Autoriser le service interagir avec le bureau

-Appliquer et OK -Retourner sur le serveur NAGIOS puis recharge le deamon du serveur #/etc/init.d/nagios restart

-Tapez ladresse du serveur NAGIOS dans un navigateur suivi du /nagios


94

CCNA Security

2012/2013

Intgration de Comptence

Renseigner le login et le mot de passe pour accder linterface de gestion

-Cliquez sur hosts group

-Le tableau encadr en rouge reprsenter notre serveur Windows -Cliquez sur WIN-SERVER pour voir les vrification de notre serveur

95

CCNA Security

2012/2013

Intgration de Comptence

Webographie :

www.nicolargo.com www.developez.com

96

CCNA Security

2012/2013

Intgration de Comptence

VI. Mise en place Ossec

97

CCNA Security

2012/2013

Intgration de Comptence

Introduction
OSSEC est un HIDS (Host-based Intrusion Detection System). Il sagit en quelque sorte dune sonde qui travaille sur une machine en particulier et analyse les lments propres cette machine. OSSEC dispose de fonctionnalits adaptes son utilisation, comme lanalyse de logs, la dtection de rootkit, les alertes en temps rel et les rponses actives. OSSEC fonctionne sur la plupart des OS communment rencontrs : Windows, Linux, Mac OS, HP-UX, solaris, Il sappuie sur un schma client / Serveur : dune part le Manager, qui met disposition les lments permettant dvaluer les clients et stocke les informations renvoyes par ces clients dautre part un agent, qui se charge de rcuprer les lments ncessaires aux analyses et pousse le tout au Manager

98

CCNA Security

2012/2013

Intgration de Comptence

Installation et configuration d'Ossec sur Ubuntu


Ossec est un dtecteur d'intrusion du type HIDS (Host-based Intrusion Dtection System). Il est l'un des HIDS des plus utiliss, trs facile d'accs tant pour l'installation que pour l'utilisation. Mais que fait Ossec exactement :

Vrification de l'intgrit des fichiers systmes. Analyse des logs et remonte Dtection des rootkits Mcanisme de prvention actif (lancement de rgle iptables par exemple) Svrit des alertes classs de 0 15

Prrequis Avant de passer linstallation dOssec, il faut au pralable installer certains paquets, adapter selon vos besoins. $ sudo apt-get update $ sudo apt-get upgrade $ sudo apt-get install wget man ssh build-essential libgnutls-dev check install Tlchargement Pour installer Ossec, il faut tout dabord tlcharger et dcompresser la dernire version

wget http://www.ossec.net/files/ossec-hids-2.7.tar.gz tar xzvf ossec-hids-2.7.tar.gz cd ossec-hids-2.7.

99

CCNA Security

2012/2013

Intgration de Comptence

Installation dossec avec la commande ./install.sh

Choix du role: serveur

100

CCNA Security

2012/2013

Intgration de Comptence

Pour dmarrer ossec on utilisera la commande : # /var/ossec/bin/ossec-control start et pour stopper #/var/ossec/bin/ossec-control stop

101

CCNA Security

2012/2013

Intgration de Comptence

Installation de linterface web dossec cd /var/www wget http://www.ossec.net/files/ui/ossec-wui-0.3.tar.gz tar xvzf ossec-wui-0.3.tar.gz mv ossec-wui-0.3 ossec chown -R user-apache: ossec cd ossec ./setup Ajouter un agent de surveillance sur un autre serveur : Lancez cette commande sur le serveur ossec et suivez les instructions : /opt/ossec-server/bin/manage_agents Ensuite utilisez la commande suivante pour importer la clef que vous aurez copier, sur le client, ce qui lui permettra de faire ces remontes au serveur ossec. /opt/ossec-agent/bin/manage_agents Ces commandes sont adapter selon votre installation. Maintenant rendez-vous l'url quon a choisi pour l'interface : Elle doit tre de la forme : http://ossec.domain.fr ou http://ip-serveur/ossec Si au lancement de l'interface web vous obtenez une erreur de type opendir failed (/var/ossec) dans vos logs ou Unable to access ossec directory et que vous avez modifi le rpertoire d'ossec l'installation (/opt/ossec... par exemple, il faut diter le fichier /var/www/ossec/ossec_conf.php et faire le changement adquate : /* Ossec directory */ $ossec_dir="/home/ossec"; Parfois il faut attendre quelques minutes avant d'avoir les premires remontes. Administration et commandes: Pour afficher la liste des agents actifs on tape : /opt/ossec-server/bin/agent_control -lc Enlevez le c pour avoir la liste de tous les agents meme ceux qui ne sont pas encore actif. Pour interroger le status d'un agent le 002 par exemple on tape : /opt/ossec-server/bin/agent_control -i 002
102

CCNA Security Screenshots : Voici un petit aperu de l'interface :

2012/2013

Intgration de Comptence

103

CCNA Security

2012/2013

Intgration de Comptence

Conclusion
Il est indniable quOSSEC dispose de fonctionnalits cl qui permettent davoir un tat en temps rel de votre infrastructure. En cela, il devient un des outils ncessaires tout administrateur voulant contrler un peu plus ce qui se passe sur son parc. Cependant, comme pour tous les outils puissants, il reste maintenant faire un peu de tri dans les informations renvoyes, afin de distinguer celles qui sont vraiment importantes de celles qui relvent plus de lanecdote. Car cest un risque identifi : plus il y a de bruit, et moins on voit le problme

104

CCNA Security

2012/2013

Intgration de Comptence

VII. Mise en place Prelude

105

CCNA Security

2012/2013

Intgration de Comptence

Introduction
Prelude-IDS est un systme de dtection d'intrusions et d'anomalies distribu sous licence GPL, il est compos des types de dtecteurs htrognes : un NIDS : Network Intrusion Detection System : Snort un HIDS : Host based Intrusion Detection System : OSSEC un LML : Log Monitoring Lackey. Module de prelude : prelude-lml Un tel systme vient complter la panoplie des quipements et logiciels de scurit (routeurs filtrants, serveurs proxy, pare-feu...) et offre lexploitant Scurit et/ou lanalyste un outil de contrle des activits suspectes ou illicites (internes comme externes). Lintrt de Prelude est de pouvoir centraliser les alertes dans sa base de donnes et de les normaliser au format IDMEF (Intrusion Detection Message Exchange Format), puis visualisable dans une interface web Pr-requis Une bonne connexion Internet Une machine Ubuntu version 8.04 Apt-get update Apt-get upgrade Puis ces paquets afin dviter certains problmes lors de la configuration : Apt-get install man wget ssh build-essential checkinstall libpcap-dev flex byacc gtk-doc-tools libssl-dev libxml-dev libpcre3-dev libfam-dev gnutls-bin libgcrypt11-dev libgnutls-dev libgpg-error-dev libopencdk10-dev libxmlsec1 libxmlsec1-gnutls

106

CCNA Security

2012/2013

Intgration de Comptence

Installation et Configuration
Prelude fonctionne avec plusieurs modules qui sont: Libprelude LibpreludeDB Pelude-Manager Prelude-correlator Prelude-LML Prewikka Libprelude Libprelude est une bibliothque permettant une communication scurise entre diffrentes sondes et un serveur Prelude (Prelude-Manager). Pour linstaller il faut tlcharger ce paquet : Wget http://www.prelude-ids.com/download/releases/libprelude/libprelude-0.9.24.1.tar.gz Apres on dcompresse le paquet avec tar zxf libprelude-0.9.24.1 puis ./configure ; make et make install. Puis ajouter la ligne /usr/local/lib tout en ditant le fichier /etc/ld.so.conf. Voir figure1

figure1 Cette partie correspond la configuration de Prelude en gnral, cest--dire Libprelude install sur un poste client ou serveur. En effet, quel que soit lusage, et linstallation tant la mme sur les deux types de postes, la configuration de base de Prelude se trouve par dfaut dans le rpertoire /usr/local/etc/prelude/default. Ce dossier contient plusieurs fichiers de configuration tels que: client.conf : il permet de configurer lagent ou la sonde (prelude-correlator) mais aussi dindiquer ladresse du serveur prelude-manager global.conf : il est permet de paramtrer certaines options pour grer des champs remplir lors de lenvoi dalerte, ou encore pour prciser les informations sur le poste serveur ou client (multiples adresses ip, nom du vlan, etc). idmef-client.conf : Quant ce fichier, idmef-client.conf, il contient les liens vers les deux fichiers prcdents, savoir client.conf et global.conf. tls.conf : Afin de paramtrer la gnration des certificats, comme la dure de vie ou la valeur de la cl de cryptage (par dfaut 1024), il faut diter le fichier tls.conf

LibpreludeDB
107

CCNA Security

2012/2013

Intgration de Comptence

La librairie LibpreludeDB permet la gestion du type et du format de la base de donnes utilise pour stocker les alertes au format IDMEF. Elle offre aussi la possibilit de grer la base de donnes sans utiliser du SQL, grce lusage de commandes, spcialement dveloppes pour interagir depuis un terminal Linux. Installer dabord le paquet avec Apt-get install mysql-server puis tlcharger la librairie dans : Wget http://www.prelude-ids.com/download/releases/libpreludedb/libpreludedb-0.9.15.3.tar.g On dcompresse avec tar zxf, ./configure, make et make install puis diter /etc/ld.so/conf le fichier pour inclure les lignes suivantes. Voir figure2

figure2 Pour la configuration, il faut crer une base de donnes qui nous permettra de stocker les alertes : il faut dabord se connecter en tant root avec un mot de passe ici passe= pass=2. La commande est : mysql -u root p. voir figure3

figure3 : connexion au server SQL Puis crer la base et lutilisateur qui va se connecter dans mysql-server. Voir figure4

108

CCNA Security

2012/2013

Intgration de Comptence

figure4 : cration dune base de donnes La connexion dutilisateur au serveur mysql. Voir figure5

figure5 : connexion dun user de la base

Prelude-Manager Prelude-Manager est le composant principal de Prelude, il joue le rle de serveur. En effet, il rceptionne les alertes IDMEF provenant de ses sondes ou de ses composants (PreludeCorrelator). Pour linstallation on tlcharge le paquet avec : Wget http://www.prelude-ids.com/download/releases/prelude-manager/prelude-manager0.9.15.tar.gz puis on dcompresse avec tar zxf, ./configure, make et make install Apres diter le fichier /etc/ld.so.conf pour inclure les lignes suivantes. Voir figure6

figure6 Pour la configuration de base il faut diter le fichier suivant : prelude-manager.conf qui se trouve dans /usr/local/etc/prelude-manager/prelude-manager.conf Puis spcifier ladresse sur laquelle prelude-manager doit couter. Ici elle est globale donc 0.0.0.0. Voir figure

109

CCNA Security

2012/2013

Intgration de Comptence

Puis indiquer les paramtres de la base de donnes, ce qui permettra prelude-manager dtre prt dmarrer et fonctionner. Voir figure7

figure7 : paramtres de DB dans prelude-manager Prelude-Correlator Cest un outil de corrlation multiflux, utilisant des rgles crites en Python pour corrler les alertes IDMEF reues par Prelude-Manager. Pour linstallation dabord prparer lenvironnement Python avec Apt-get install python puis tlcharger le paquet de corrlation avec : wget http://www.prelude-ids.com/download/releases/prelude-correlator/preludecorrelator-0.9.0-beta6.tar.gz. Dcompressez avec le tar zxf, ./configure, make et make install. Puis inclure la ligne include /usr/local/lib/prelude-correlator dans le fichier /etc/ld.so.conf Pour la configuration cest simple car y a pas grande chose faire, il suffit dditer le fichier client.conf qui se trouve dans /usr/local/etc/prelude/default, pour inclure ladresse du server (ici 172.16.1.2). On peut implmenter des rgles mais ce nest pas le cas ici. Prelude-LML Prelude-LML est un analyseur de fichiers de logs. En agissant comme sonde auprs de Prelude-Manager, il collecte et analyse les informations issues de tous types dapplications mettant des vnements sous forme de journaux systmes, de massages syslog, etc. Il dtecte des activits suspectes lors de ses analyses, puis gnre des alertes au format IDMEF et les transmet au serveur Prelude. Tlcharger le paquet sur wget http://www.prelude-ids.com/download/releases/preludelml/prelude-lml-0.9.15.tar.gz puis installer et inclure la ligne suivante : Include /usr/local/lib/prelude-lml dans /etc/ld.so.conf Pour configurer diter le fichier /usr/local/etc/prelude-lml/prelude-lml.conf Prelude-Prewikka Interface web de Prelude. Prewikka permet de visualiser les alertes reues par PreludeManager. La mise en place de linterface web ncessite dinstaller quelques paquets supplmentaires : Apt-get install apache2 libapache2-mod-python mysql-server python python-dev pythonsetuptools. Puis on tlcharge le paquet avec wget http://www.preludeids.com/download/releases/prewikka/prewikka-0.9.17.tar.gz. Apres on dcompresse avec tar zxf, ./configure, make et make install. Il y a des paquets pour linterface quil faut installer : Apt-get install cheetah
110

CCNA Security

2012/2013

Intgration de Comptence

Python setup.py build

Python setup.py install Pour la configuration, il faut dabord, pour linterface Prewikka, il faut crer une base de donnes. Voir figure

figure8 : cration dune base de donnes prewikka Pour la configuration de base il faut diter le fichier prewikka.conf qui se trouve dans le rpertoire prewikka pour ajouter la base de Manager et celle de prewikka. Voir figure9

figure9 : fichier prewikka.conf


111

CCNA Security

2012/2013

Intgration de Comptence

Pour la configuration de apache2 on cre dabord un site pour notre prewikka ici /etc/apache2/sites-available/prewikka puis on dite ce dernier pour le configurer. Voir figure10

figure10 : fichier apache2 de prewikka Il faut inclure le fichier prewikka dans /etc/apache2/apache2.conf Puis redmarrer apache2 pour que la configuration faite soit prise en compte avec /etc/init.d/apache2 restart NB : Noubliez pas dinclure ladresse du serveur prelude-manager dans le fichier client.conf qui se trouve dans /usr/local/etc/prelude/default

Test Apres linstallation et configuration de ces services, Prelude doit marcher mais ce qui nest pas le cas ici car il y a certains paquets qui ne sinstallent pas donc aucun rsultat.

112

CCNA Security

2012/2013

Intgration de Comptence

Conclusion
Lapplication Prelude est disponible uniquement sous Linux, bien quil ait une offre payante (support, fonctionnalits supplmentaires, ), le logiciel est gratuit. Prelude est un SIM Universel. Prelude collecte, normalise, catgorise, agrge, corrle et prsente tous les vnements scurit. Visualisez en temps rel l'ensemble de vos donnes scurit, exporter des rapports : transformer vos donnes brutes en information utile

113

CCNA Security

2012/2013

Intgration de Comptence

VIII. Mise en place Snort

114

CCNA Security

2012/2013

Intgration de Comptence

Introduction
En anglais, Snort signifie renifler . Snort est un systme de dtection d'intrusion libre (ou NIDS) publi sous licence GNU GPL (Licence dfinissant le mode dutilisation et de distribution des logiciels libres). l'origine crit par Martin Roesch, il appartient actuellement Sourcefire. Des versions commerciales intgrant du matriel et des services de supports sont vendues par Sourcefire. Snort est un des NIDS les plus performants. Il est soutenu par une importante communaut qui contribue son succs. Modes dutilisation de Snort Il existe 4 modes dexcutions de Snort : Mode sniffer Cest un snif de rseau classique. Inutile de sy attarder, dautres logiciels comme wireshark le font trs bien, et la valeur relle de Snort nest pas l. Mode Packet logger De mme que le mode sniffer, sauf quil crit le rsultat de son observation dans un fichier log. Je ne my attarderai pas plus. Mode NIDS (Network Intrusion Detection System) Cela devient plus intressant. Ce mode fait lobjet de mon stage. Il sagit de lutilisation de Snort avec analyse du trafic aux vues de rgles de scurits actualises. Snort en NIDS a une valeur dobservation. Mode IPS (IPS= Intrusion Prevention System) ou Snort inline Le mode IPS nest plus Snort proprement parler. Il sagit dune autre version base sur Snort 2.6 appele Snort inline. Cette version permet de modifier ou de rejeter des paquets. Je dcrirai rapidement sa mise en place en fin de rapport.

115

CCNA Security

2012/2013

Intgration de Comptence

Installation
Linstallation se fera une station Ubuntu 10.4 avec les fonctionnalits indispensables la bonne ralisation de Snort. Pour installer ces paquets nous allons utiliser ces commandes suivantes :

sudo apt-get install nmap sudo apt-get install nbtscan sudo apt-get install apache2 sudo apt-get install php5 sudo apt-get install php5-mysql sudo apt-get install php5-gd sudo apt-get install libpcap0.8-dev sudo apt-get install libpcre3-dev sudo apt-get install g++ sudo apt-get install bison sudo apt-get install flex sudo apt-get install libpcap-ruby sudo apt-get install mysql-server sudo apt-get install libmysqlclient16-dev

Data acquisition API Indispensable pour les versions de Snort aprs la 2.9.0. Ce composant permet dacqurir des paquets sur le rseau.

Sudo tar zxvf daq-0.6.2.tar.gz Cd daq-0.6.2 Sudo. /configure Sudo make Sudo make install

Libnet

116

CCNA Security

2012/2013

Intgration de Comptence

Libnet, est une bibliothque opensource. Elle permet de fabriquer et d'injecter facilement des paquets sur un rseau.

sudo tar zxvf libnet-1.12 cd libnet-1.12/ sudo make sudo make install sudo ln s /usr/local/lib/libnet.1.0.1 /usr/lib/ libnet.1

Installation de Snort NIDS

Une fois le fichier tlcharg, ouvrir un terminal et excuter les commandes suivantes : Sudo tar zxvf snort-2.9.2.tar.gz cd snort-2.9.2 sudo ./configure --prefix=/usr/local/snort --enable-sourcefire sudo make sudo make install sudo mkdir /var/log/snort sudo mkdir /var/snort sudo groupadd snort sudo useradd -g snort snort sudo chown snort:snort /var/log/snort

117

CCNA Security

2012/2013

Intgration de Comptence

A cause dun problme de connexion on du tlcharger les paquets via navigateur, et donc avec les commandes notes ci-dessus.

Les paquets tant tlcharges nous passons la configuration de snort avec le fichier snort.conf qui le grand problme de ce rapport parce de dernier est sens se trouv dans etc/snort/snort.conf ce qui nest pas le cas car quand on debute les configurations

118

CCNA Security

2012/2013

Intgration de Comptence

On ne peut enregistrer la config vu que le fichier nexiste pas

Et donc nous avons vrifi dans etc et l nous ne trouvons pas le dossier snort

119

CCNA Security

2012/2013

Intgration de Comptence

Ce fichier tant indispensable au fonctionnement de snort notre installation sarrtera ici. Toutefois nous allons expliquer comment se fais une bonne config snort. On comment par notre fichier snort.conf dans lequel nous feront les modifications suivantes

Interfaces rseau

Afin dutiliser Snort, il nous faut donc 2 interfaces rseau. La premire relie la console de management, et la seconde au rseau sniffer. Modification du fichier interfaces : Sudo gedit /etc/network/interfaces Et on remplace les lignes : auto eth1 iface eth1 inet dhcp Par : auto eth1 iface eth1 inet static address 172.16.1.3

120

CCNA Security Netmask 255.255.255.0 Network 172.16.1.0 Broadcast xxx.xxx.xxx.xxx Gateway 172.16.1.10

2012/2013

Intgration de Comptence

On ajoute maintenant ces lignes qui permettront de dmarrer linterface avec son IP : auto eth1 iface eth1 inet manual ifconfig eth1 up On enregistre et on relance : sudo /etc/init.d/networking restart Afin de lancer Snort automatiquement sur notre machine, on peut diter le fichier rc.local : sudo vi /etc/rc.local On colle les lignes suivantes aprs exit 0 : ifconfig eth1 up /usr/local/snort/bin/snort -D -u snort -g snort \ -c /usr/local/snort/etc/snort.conf -i eth1 /usr/local/bin/barnyard2 -c /usr/local/snort/etc/barnyard2.conf \ -G /usr/local/snort/etc/gen-msg.map \ -S /usr/local/snort/etc/sid-msg.map \ -d /var/log/snort \ -f snort.u2 \ -w /var/log/snort/barnyard2.waldo \ -D On enregistre et on quitte le fichier. Dsormais, en redmarrant ou en utilisant la commande ci-dessous, on lance Snort : sudo /etc/init.d/rc.local start

Test de la configuration de Snort

Cration dune rgle locale de test

Editer le fichier local.rules, ou bien le crer sil nexiste pas.


121

CCNA Security

2012/2013

Intgration de Comptence

$ sudo gedit /etc/snort/rules/local.rules Puis y ajouter cette ligne de test, qui sert envoyer des alertes lorsque Snort sniffe et dtecte des pings sur le rseau : alert icmp any any -> any any (msg:"test ICMP";sid:10000001;) Lancement de Snort

Dmarrage de Snort: $ sudo /usr/local/snort/bin/snort -c /etc/snort/snort.conf Test Lancement du test de la rgle local.rules : $ sudo ping x.x.x.x Vrification Puis vrification de la prsence des alertes gnres, normalement, aprs le test, dans la base de donnes, et dans le fichier de logs : $ sudo gedit /var/log/snort/alert Et/ou $ sudo mysql u snort p D snort e select count(*) from event

Administration de Snort Snort ne possde quune seule commande, snort, cette dernire regroupe toutes les options ncessaires pour le fonctionnement de lapplication. Usage : /usr/local/snort/bin/snort [-options] <filter options> Pour plus dinformations sur les options de la commande : /usr/local/snort/bin/snort --h Dmarrage de Snort

Pour dmarrer Snort, il faut entrer cette commande : $ sudo /usr/local/snort/bin/snort -c /etc/snort/snort.conf La visualisation des alertes se fait dans le fichier alert : $ sudo gedit /var/log/snort/alert
122

CCNA Security

2012/2013

Intgration de Comptence

Conclusion
Snort est outil puissant de scurit rseau qui a pour rle dcouter sur le rseau la recherche dattaques de pirates, quil dtecte grce de nombreuses rgles. Dans notre projet snort na pas march en virtuel mais dans une implmentation parallle sur machine physiquement ce dernier est fonctionnel 100 % et a sera cette machine quon utilisera dans la mise en place du projet.

123

CCNA Security

2012/2013

Intgration de Comptence

Mise en place zone DMZ

124

CCNA Security

2012/2013

Intgration de Comptence

A. Mise en place Pare-feu

125

CCNA Security

2012/2013

Intgration de Comptence

Introduction
Pfsense, ou Packet Filter Sense est un Firewall / routeur propose en Live CD denviron 50Mo (installable a la manire dUbuntu par exemple). Pfsense est base sur un systme dexploitation BSD, rput pour sa stabilit et sur m0n0wall qui est aussi un Firewall / Routeur Open Source mais conduit par un autre projet.

126

CCNA Security

2012/2013

Intgration de Comptence

Installation
Dabord linstallation sest effectue sur Virtual Box avant dtre implment physiquement Linstallation se fait comme suite : Premirement insrer le CD dans le lecteur ou le monter dans lecteur virtuel

Choix du lecteur sur lequel vous voulez qui boot dans mon cas jai choisi le <<H :>> ensuite de a appuyer sur dmarrer

127

CCNA Security

2012/2013

Intgration de Comptence

128

CCNA Security

2012/2013

Intgration de Comptence

Entre temps vous de faire votre choix ; pour cette installation jai choisi loption 1 qui est loption par dfaut Pour installer appuyer sur (I) Pour installer en live CD appuyer sur (C)

Dans ce cas on choisit I et attendez une interface bleu

Appuyez sur Accept these settings


129

CCNA Security

2012/2013

Intgration de Comptence

De mon coter jai choisi la premire option qui est Quick/Easy Install cest plus flexible et facile et appuyer sur OK

130

CCNA Security

2012/2013

Intgration de Comptence

Vous avez un message affich qui vous de dit redmarrer et aprs redmarrage retirer le CD

Et voil votre systme qui redmarre

131

CCNA Security

2012/2013

Intgration de Comptence

Configuration

La configuration du pare-feu comprend trois cartes rseaux do la : Premire est externe Deuxime est interne Troisime est le Dmz Vous tes invits entrer le nom de chaque cartes rseaux

La question vous ait pose, voulez-vous procder oui ou non ? Vous devez dire oui si vous voulez que le changement de nom de vos trois interfaces puisse prendre effet. Pour attribuer dadresse ip diffrentes interfaces, appuyez sur (2)

132

CCNA Security

2012/2013

Intgration de Comptence

Suivez les instructions et faites de mme pour tous les autres Nous allons essayer de configurer les rgles mais bien avant, nous prendrons une machine avec laquelle nous tenterons daccder linterface graphique du serveur pare-feu pfsense. Vous verrez une interface graphique aprs avoir mis ladresse ip de votre choix dans lURL ensuite un login et un mot de passe par dfaut vous ait demand qui est : Login : admin Password : pfsense

133

CCNA Security

2012/2013

Intgration de Comptence

Pour configurer tous ce quil nous faut pour le pare-feu appuyer sur settings-setup wizard

Ici vous observerez les diffrents champs remplir

-INTERNE
134

CCNA Security

2012/2013

Intgration de Comptence

Voici la configuration de linterne

Pour configurer les rgles il faut cliquer sur firewall-rules

135

CCNA Security

2012/2013

Intgration de Comptence

Ensuite vous faites Save et apply changes

136

CCNA Security

2012/2013

Intgration de Comptence

La premire rgle permet ceux de linterne datteindre lexterne. La deuxime permet ceux de linterne dchanger entre eux. -DMZ Remarquez comme je vous lavais dit prcdemment quil faut sauvegarder et appliquer les changements Vous faites les mmes choses que celui de linterne

137

CCNA Security

2012/2013

Intgration de Comptence

Cest aussi la mme rgle applique pour le DMZ

-EXTERNE

138

CCNA Security

2012/2013

Intgration de Comptence

Conclusion
Une conclusion voudrait que le travail soit achev, or nous venons dinitier un document Pouss voluer. En effet vous avez surement remarqu que certains services proposs par Pfsense ne sont pas traits. Or pour ainsi dire que le travail fonctionner il faudrait y arriver au test, do lapplication pfsense est un logiciel linux permettant dadministrer un rseau entier comme par exemple configurer un proxy, vpn, etc Elle permet daccomplir plein de taches.

139

CCNA Security

2012/2013

Intgration de Comptence

B. Mise en place DNS

140

CCNA Security

2012/2013

Intgration de Comptence

Introduction
Un serveur de nom fait la rsolution des noms en adresses IP. Il est lun des composantes les plus critiques dans un rseau. La ncessit de mettre en place un serveur de nom dans un rseau vient du fait que le serveur principal pourrai tre non disponible.cette installation de DNS sera suivit de linstallation dun raid5 sur le serveur dans le but damliorer les performances et augmenter la fiabilit en apportant la tolrance de panne. (Redundant Array of Independant Disks )

141

CCNA Security

2012/2013

Intgration de Comptence

I.

etape1 : configuration du DNS

Afin dinstaller un D N S sous linux nous avons besoin dinsttaller bind9,pour cela ouvrons le terminal et tapons : #apt-get install Bind9

Apres linstallation des paquets position nous sous /etc /bind et faisons cp r bind bindold

Editons le fichier name.conf.local en ajoutant les parametres ZONE pour cela taponst #gedit name.conf .local

Copions ensuite notre fichier db.local dans security.zone qui est un rpertoire qu on cre (mkdir #cp db.local security.zone et ditons security.zone
142

CCNA Security #gedit security.zone

2012/2013

Intgration de Comptence

Puis copions security.zone dans security.local #cp security.zone security.local

Editons aussi security.local #gedit security.local

143

CCNA Security

2012/2013

Intgration de Comptence

Editons le fichier rsolv.conf aprs nous tre positionn sur le rpertoire /etc #gedit resolv.conf

Inserer le parameter :nameserver 192.168.1.1(adrresse de votre serveur DNS)

Et enfin editer le dernier fichier qui est HOSTS #gedit hosts

144

CCNA Security

2012/2013

Intgration de Comptence

ajoutons ce parametre dans le fichier hosts :192.168.1.1 DNS security.com DNS.security.com

Redemarons le service avec /etc/init.d/bind9 restart

Verifons si notre DNS marche avec la commande dig security.com

145

CCNA Security

2012/2013

Intgration de Comptence

146

CCNA Security

2012/2013

Intgration de Comptence

I.

etape2 : configuration dun raid5

Configuration dun raid 5 Installons dabord le paquet mdadm#apt-get install mdadm

Puis installons le paquet ncurses #apt-get install libncurses5-dev

et installons :

Positionons nous sur /usr/src/linux-headers-2.6.32-21 Et faisons #make menuconfig et choisissons Device drivers(entrer pour selectionner)

147

CCNA Security

2012/2013

Intgration de Comptence

Selectionner la ligne multiple driver support

148

CCNA Security

2012/2013

Intgration de Comptence

Chageons letat modulaire des raids en static(M en etoile)

Sortons du noyau et entre YES pour valider nos changements

149

CCNA Security

2012/2013

Intgration de Comptence

Creons nos partitions de nos trois disque Commenons par le disque sdb qui est le premier disque qui ne possede pas encore de partition

Commande(m pour laide) : n

(tapons n)

Commande daction : tapons P pour une partion primaire Numero de partition (1-4) : 1 (tapons 1)

Laissons le premier cylindre et le der nier cylindre sur la valeur par defaut qui est 1 , qu on vient de choisir precedement Pour le code hexa :tapons la valeur Fd Commande(m pour laide) : W (tapons W pour finaliser la partition du disque notre )

150

CCNA Security

2012/2013

Intgration de Comptence

Ces etapes de partition doivent etre repeter pour les deux autres disque sdc et sdd Tapons la commande suivante pour crer un volime raid5 : mdadm --create /dev/md0 -level=5 --raid-devices=3 /dev/sdb1 /dev/sdc1 /dev/sdd1

Enregistrons le volume raid 5

Scannons ensuite le volume raid et inscrivons le dans fichier mdadm.conf

Creation dun system de fichier

151

CCNA Security

2012/2013

Intgration de Comptence

Montons ensuite le volume dans un fichier raid5 que nous crons .

Editons le fichier /etc/fstab et inserons la ligne suivante : /dev/md0 /mnt/raid5 auto defaults 0 3

Enfin enre

Enfin enregistrons et quittons ce fichier. Lancer un redmarrage de votre machine et lister vos disque vous verrez quils sont partitionner.

152

CCNA Security

2012/2013

Intgration de Comptence

Conclusion
grce au systme (Domain Name System) il est possible d'associer des noms en langage courant aux adresses numriques. Le systme DNS nous propose donc :

un espace de noms hirarchique permettant de garantir l'unicit d'un nom dans une structure arborescente, la manire des systmes de fichier Unix. un systme de serveurs distribus permettant de rendre disponible l'espace de noms. un systme de clients permettant de rsoudre les noms de domaines, c'est--dire interroger les serveurs afin de connatre l'adresse IP correspondant un nom.

153

CCNA Security

2012/2013

Intgration de Comptence

C. Mise en place serveur Mail

154

CCNA Security

2012/2013

Intgration de Comptence

Introduction
Exchange est un produit qui a commenc sa carrire en 1996. l'poque, Active Directory n'existait pas. Depuis l'apparition d'Active Directory en 1999, Exchange se base dessus. Les versions avant Exchange 2000 embarquaient donc leur propre annuaire pour grer les utilisateurs. Aujourd'hui, nous sommes la version 2010. Cette version apporte de nombreux changements par rapport la version 2007, notamment sur la partie haute disponibilit et les besoins matriels (revus la "baisse). Je ne vais pas prsenter ces nouveauts en tant que telles. De nombreux webcasts sont disponibles sur le site de Microsoft pour dcouvrir les nouveauts entre Exchange 2007 et 2010. Dans ce tutoriel, je vais prsenter les diffrents composants et technologies d'Exchange puis je commencerai par crer une architecture simple. Ensuite, nous verrons comment implmenter cette architecture. Nous n'allons pas voir les services de messagerie unifie qui feront l'objet d'un autre article ni la mise en place d'une architecture en haute disponibilit.

155

CCNA Security

2012/2013

Intgration de Comptence

Installation
Exchange Server besoin d'Active Directory (au minimum sur Windows Server 2003) pour fonctionner. Active Directory va servir stocker diffrentes donnes et galement les comptes utilisateurs activs pour la messagerie. Plusieurs rles et fonctionnalits sont requis pour l'installation d'Exchange. Exchange est fourni avec plusieurs fichiers de configuration selon les rles installer. Ces fichiers, au format XML, se trouvent dans le rpertoire Scripts du DVD. Pour installer les prrequis d'une installation typique d'Exchange, lancez : POWER SHELL ServerManagerCmd -ip E:\Scripts\Exchange-Typical.xml Import-Module ServerManager Add-WindowsFeature NET-Framework,NET-HTTP-Activation,Web-Server,Web-ISAPIExt,Web-Basic-Auth,Web-Digest-Auth,Web-Windows-Auth,Web-Dyn-Compression,WebMetabase,Web-Net-Ext,Web-Lgcy-Mgmt-Console,WAS-Process-Model,RSATADDS,RSAT-Clustering,RSAT-Web-Server,RPC-Over-HTTP-proxy Set-Service NetTcpPortSharing -StartupType Automatic

NET-Framework : Fonctionnalits du .NET Framework 3.5.1 ; NET-HTTP-Activation : Activation HTTP ; Web-Server : Serveur Web (IIS) ; Web-ISAPI-Ext : Extensions ISAPI ; Web-Basic-Auth : Authentification de base ; Web-Digest-Auth : Authentification Digest ; Web-Windows-Auth : Authentification Windows ; Web-Dyn-Compression : Compression de contenu dynamique ; Web-Metabase : Compatibilit avec la mtabase de donnes ; Web-Net-Ext : Extensibilit .NET ; Web-Lgcy-Mgmt-Console : Outils de gestion IIS 6 ; WAS-Process-Model : Modle de processus ; RSAT-ADDS : Outils AD DS ; RSAT-Clustering : Outils de clustering avec basculement ; RSAT-Web-Server : Outils du serveur Web (IIS) ; RPC-Over-HTTP-proxy : Proxy RPC sur HTTP.

Enfin, il vous faudra installer le Filter Pack d'Office 2010 64 bits (FilterPackx64.exe). Ce pack est utilis pour l'indexation et le scan des fichiers Office.

156

CCNA Security

2012/2013

Intgration de Comptence

Dploiement
Linstallation dbute donc avec loption de langue (franais), vu quon a NET FRAMEWORK 3.5 sp1 et power Shell v2 installs

Loption de langue tant slectionne ainsi que ceux du contrat Microsoft, on passe aux rles exchange

157

CCNA Security

2012/2013

Intgration de Comptence

Dans la partie des rles exchange 2010 nous choisirons linstallation personnalise vu quon naura pas utiliser le rle transport EDGE, lui seulement.

158

CCNA Security

2012/2013

Intgration de Comptence

Ici on a slectionn tous les autres rles et on passe au prochain stade ou on sassurera prendre loption NON vu quon pas Outlook 2003 dans notre infrastructure.

Ensuite nous le test de prparation ou nos configurations antrieures seront examines, aprs quoi si le test est concluant ce qui notre cas on dbutera linstallation proprement dite

159

CCNA Security

2012/2013

Intgration de Comptence

Nous venons dinstaller avec succs exchange 2010 avec tous ses rles.

160

CCNA Security

2012/2013

Intgration de Comptence

Linstallation tant termine, nous allons lancer exchange afin de crer les nos boites aux lettres

161

CCNA Security

2012/2013

Intgration de Comptence

Configuration

Dans la cration des boites aux lettres, nous allons utiliser la console Shell Exchange pour sa rapidit avec la syntaxe suivante :

New-Mailbox -Name 'testmail' -Alias 'mail' -OrganizationalUnit 'UO' UserPrincipalName'mail' -SamAccountName 'test' -MAIL '' -Initials '' -test''

Ainsi nous creront toutes nos boites

162

CCNA Security

2012/2013

Intgration de Comptence

Conclusion
Avec Microsoft Exchange Server 2010, nous atteignons vos objectifs tout en matrisant les cots de dploiement, dadministration et de conformit. Exchange propose un vaste ventail doptions de dploiement, nous protge contre les pertes dinformations et vous aide respecter les contraintes rglementaires. Cest sans conteste la solution de messagerie et de collaboration la plus efficace du moment.

163

CCNA Security

2012/2013

Intgration de Comptence

D. Mise en place Apache

164

CCNA Security

2012/2013

Intgration de Comptence

Introduction
Apache est le serveur web le plus rpandu sur Internet permettant des clients d'accder des pages web, c'est--dire en ralit des fichiers au format HTML partir d'un navigateur install sur leur ordinateur distant. Il s'agit d'une application fonctionnant la base sur les systmes d'exploitation de type Unix, mais il a dsormais t port sur de nombreux systmes, dont Microsoft Windows.

165

CCNA Security

2012/2013

Intgration de Comptence

I.

Cration de la page web avec apache2

Tout dabord installons le Packet apache2 avec la commande apt-get install apache2 Ensuite crons un fichier vhost.conf dans /etc/apache2 grce la commande : touch vhost.conf

Copions le fichier default se trouvant dans /etc/apche2/sites-availlable dans /etc/vhost.conf puis ditons comme suit :

Une fois cette tape passe, crons un dossier site, puis un fichier index.html dans le dossier site. Donc tapons mkdir site puis touch index.html. Ensuite ditons notre fichier index.html

166

CCNA Security

2012/2013

Intgration de Comptence

Enfin nous devrons inclure notre fichier vhost.conf en faisant gedit /etc/apache2/apache2.conf

167

CCNA Security

2012/2013

Intgration de Comptence

II.

Scurisation de la page web

Pour que le protocole SSL puisse fonctionner avec le Serveur HTTP Apache2, il faut activer le module ssl avec la commande : a2enmod ssl

Ensuite Activons la configuration du site ssl avec la commande a2ensite default-ssl

Enfin redmarrons le service apache2

Dans le navigateur, vrifions si notre page web est bien scurise en tapant ladresse de notre site qui est de 192.168.1.2 .une page apparait nous indiquant que cette connexion nest pas certifie. Cliquons ensuite sur je comprends les risques

puis sur ajouter une exception

168

CCNA Security

2012/2013

Intgration de Comptence

Enfin confirmons lexception de scurit

Ici saffiche notre page web scurise.

169

CCNA Security

2012/2013

Intgration de Comptence

Cliquons sur ladresse pour voir les dtails de la connexion scurise https

170

CCNA Security

2012/2013

Intgration de Comptence

171

CCNA Security

2012/2013

Intgration de Comptence

III.

Mise en place du raid 5

Le R.A.I.D 5 aussi appel agrgat par bandes avec parit, est un systme permettant de mettre en place une tolrance de panne au niveau des disques. Un R.A.I.D 5 se constitue au minimum avec 3 disques avec un systme de parit permettant de rcuprer les donnes mme dans le cas d'une panne d'un des disques. Pour commencer installons les paquets suivant : apt-get install mdadm. apt-get install debconf-utils build-essential kernel-package libncurses5-dev. Ensuite on fait cd /usr/src/linux-headers-2.6.32-21. Tapons make menuconfig pour rentrer dans le noyau. Une fois dans le noyau, choisissons Device Drivers

Dans Device Drivers slectionnons Multiple Devices Driver support (RAID and LVM)

172

CCNA Security

2012/2013

Intgration de Comptence

Slectionnons les lments comme suit :

Enregistrons et quittons

173

CCNA Security

2012/2013

Intgration de Comptence

Listons les disques avec fdisk -l

Crons les partitions pour les trois disques. Pour /dev/sdb tapons fdisk /dev/sdb

Tapons n pour crer une nouvelle partition


174

CCNA Security

2012/2013

Intgration de Comptence

P pour la partition primaire

1 pour le numro de la partition

t pour modifier lID du systme de fichier ensuite fd

W pour enregistrer et quitter

Pour les deux autres disques (sdc et sdd) faire la mme chose que le premier disque. Cration du volume raid 5 grce a la commande mdadm --create --verbose /dev/md0 --level=5 --raid-devices=3 /dev/sdb1 /dev/sdc1 /dev/sdd1

175

CCNA Security

2012/2013

Intgration de Comptence

Enregistrons le volume en tapant la commande ci-dessous :

Crons le systme de fichiers

Mottons le volume dans /opt/SAUVEGARDE.SAUVEGARDE tant un dossier pralablement cre

Dans le fichier fstab insrons la ligne suivante mount /dev/md0 /opt/SAUVEGARDE 0 3

176

CCNA Security

2012/2013

Intgration de Comptence

Conclusion Ici mais fin la configuration de notre serveur web apache2. Pour accder au site web il faut utiliser un client web. Notre raid5 quand lui nous permettra de prvenir en cas de panne dun disque.

177

CCNA Security

2012/2013

Intgration de Comptence

E.

Mise en place Asterisk

178

CCNA Security

2012/2013

Intgration de Comptence

Introduction
Ladministrateur de rseaux doit comprendre diffrentes technologies lies de prs son champ dexpertise. Dans ce contexte, la tlphonie IP devient un incontournable. Cette technologie, relativement nouvelle, est de plus en plus prsente dans nos organisations.

179

CCNA Security

2012/2013

Intgration de Comptence

I)

Configuration dAsterisk

Configuration de notre fichier sip.conf pour lenregistrement de nos utilisateurs

Configuration de notre fichier extensions.conf

180

CCNA Security

2012/2013

Intgration de Comptence

Configuration de nos tlphones Xlite pour passer les appels Entrons les paramtres de configurations des utilisateurs

181

CCNA Security

2012/2013

Intgration de Comptence

182

CCNA Security

2012/2013

Intgration de Comptence

183

CCNA Security

2012/2013

Intgration de Comptence

184

CCNA Security

2012/2013

Intgration de Comptence

II)

Mise en place du RAID

Mise en place du Raide 5 : Crons tout dabord trois disk qui prendront en charge notre RAID

Pour la cration du Raid, il faut tout dabord : Se placer dans le fichier Aprs tapez la commande make menuconfig pour se positionner dans le noyau afin dactivez le paramtre du RAID choisit

185

CCNA Security Voyons no diffrents disk

2012/2013

Intgration de Comptence

Sur chaque disque entrons la commande suivante : Fdisk /dev/sdb N pour cre une table de partition P pour choisir le type de partition (primaire(1)) T pour changer ID du disk Fd pour changer en hexadcimal

186

CCNA Security

2012/2013

Intgration de Comptence

Cration du RAID de niveau 5 (RAID5)

Il faut ensuite enregistrer ce nouveau volume auprs de mdadm et le dclarer actif. Si le fichier mdadm.conf nexiste pas, on le cre puis on y crit la ligne :

Ensuite on appelle mdadm une nouvelle fois pour scanner les volumes RAID existants et les inscrire dans ce fichier :

Cration du systme de fichiers du volume RAID

Puis pour monter le volume dans, par exemple, le dossier /mnt/mount

187

CCNA Security

2012/2013

Intgration de Comptence

Il peut tre pratique de toujours monter le volume RAID5 au dmarrage du systme, pour cela ajoutons dans le fichier /etc/fstab la ligne :

188

CCNA Security

2012/2013

Intgration de Comptence

Conclusion
Le RAID5 permet de scuriser ses donnes, certes, cependant il est faux de croire quil est infaillible. Ce systme permet de rcuprer les donnes si un disque est dfaillant, mais dans le cas o les deux disques lchent en mme temps alors toutes les donnes sont perdues. En rsum le RAID5 permet de scuriser ses donnes dans une certaine mesure ; mais il ne dispense pas de faire des sauvegardes sur dautres supports : CD/DVD, disques externes, voire si les donnes sont vraiment sensibles (en entreprise par exemple), redondance sur un autre serveur plac sur un site diffrent et/ ou archivage sur bandes magntiques.

189

CCNA Security

2012/2013

Intgration de Comptence

Mise en place zone EXTERNE

190

CCNA Security

2012/2013

Intgration de Comptence

Pour cette zone il nous suffit de configurer le carte du rseau EXTERNE pour quelle reoit les adresses dynamiquement

191

CCNA Security

2012/2013

Intgration de Comptence

Conclusion Gnrale
Dans ce projet, nous avons mis nos comptences techniques en uvre malgr que la russite a t partielle. Mais avec le temps nous y remdions ces problmes dans la mesure du possible.

192