Vous êtes sur la page 1sur 93

Remerciements

Jexprime ma gratitude toutes les personnes qui mont aid accomplir ma tache dans les bonnes conditions et qui ont su maccorder toute lattention ncessaire pour laborer l prsent travail.

Je tiens dabord remercier mon encadreur Madame Jihen Bakkey pour ses aides, ses conseils prcieux, ses critiques constructives et ses suggestions pitinements qui ont t remarquables tout au long de ce stage.

Jadresse galement mes remercments toute lquipe de la socit SACEM de mavoir accueilli et incit mener bien ce travail, en particulier M.Mohamed Drira et M.Saber Mhadhbi.

Je voudrais tmoigner par la suite ma reconnaissance toutes les personnes qui mont galement fait bnficier de leurs conseils et de leurs expriences.

Mes remerciements les plus distingus sont adresss ensuite aux membres du jury qui mont fait lhonneur de bien vouloir accepter dvaluer ce travail.

Finalement, jexprime mes sincres reconnaissances lgard de tous ceux qui ont contribu ma formation, particulirement les enseignants de lInstitut Suprieure des Etudes Technologique de Bizerte.

Table de matire

Introduction gnrale .............................................................................................................................. 1 Chapitre 1 : Prsentation du cadre du projet ........................................................................................... 1 I. Prsentation de la SACEM .............................................................................................................. 1 II. Etude de lexistant .......................................................................................................................... 4 II.1 Description de lexistant ........................................................................................................... 4 II.2. Critique de lexistant ............................................................................................................... 9 II.3. Solution propose .................................................................................................................. 10 III. Planification du projet ................................................................................................................. 10 Chapitre 2 : Etat de lart ........................................................................................................................ 13 I. Gestion des rseaux informatiques ................................................................................................ 13 I.1. Gnralit sur les rseaux ....................................................................................................... 13 I.2. Les lments principaux du rseau ......................................................................................... 13 I.3. Les principaux acteurs : les utilisateurs ................................................................................. 15 II. Notion de gestion des rseaux ..................................................................................................... 15 II .1 Domaines de gestion des rseaux .......................................................................................... 15 II.2 Concept de supervision et administration ............................................................................... 18 II.3. Scurit informatique des systmes dinformation ............................................................... 19 II.4. Terminologie de la scurit informatique .............................................................................. 19 II.5. Principales attaques et menaces ............................................................................................ 20 III. Etude de diffrentes solutions Open Source de surveillance rseau .......................................... 21 III.1. Nagios .................................................................................................................................. 22 III.2. Zabbix ................................................................................................................................. 23 III.3. OSSIM................................................................................................................................. 24 IV. Choix de la solution adopter: OSSIM ..................................................................................... 25 IV.1. Architecture et principe de base .......................................................................................... 26 Chapitre3 : Spcifications des besoins .................................................................................................. 32 I .Etude des besoins ........................................................................................................................... 32 I.1. Besoins fonctionnels ............................................................................................................... 32 I .2. Besoins non fonctionnels ...................................................................................................... 34 Chapitre 4 : La ralisation ..................................................................................................................... 36 I. Environnement de dveloppement ................................................................................................. 36

I.1. Environnement matriel .......................................................................................................... 36 I .2. Environnement logiciel .......................................................................................................... 36 I.3. Choix des outils de dveloppement ....................................................................................... 37 II. Ralisation et tests ....................................................................................................................... 38 II.1. Installation et configuration .................................................................................................. 38 II.2. Fonctionnement du framework OSSIM Manipulation de linterface Web dOSSIM .......... 40 Conclusion gnrale .............................................................................................................................. 76 Apports du stage ........................................................................................ Error! Bookmark not defined. Bibliographie et Ntograhie ................................................................................................................. 80 ANNEXES ............................................................................................................................................ 81 ANNEXE1 : ...................................................................................................................................... 81 ANNEXE2 : ...................................................................................................................................... 81

Liste de figures
Figure 1: Les diffrents produits en vente .............................................................................................. 2 Figure 2:L'organigramme de la socit ..................................................... Error! Bookmark not defined. Figure 3: Architecture du rseau ............................................................................................................. 5 Figure 4:Architecture d'OSSIM ............................................................................................................ 28 Figure 5:Cheminement du flux d'informations ..................................................................................... 29 Figure 6:Authentification au prs du serveur ........................................................................................ 41 Figure 7:Ajout d'un nouvel utilisateur................................................................................................... 42 Figure 8:Etat globale des alarmes et vnement rcent ........................................................................ 43 Figure 9:Etat globale des agents ajouts OSSIM rcemment ............................................................. 43 Figure 10:Etat globale de menaces rcentes dtectes .......................................................................... 44 Figure 11:Etat globale de la variation du dbit du rseau ..................................................................... 44 Figure 12:Etat des incidents .................................................................................................................. 45 Figure 13:Type d'incident ..................................................................................................................... 45 Figure 14:Incidents par utilisateur......................................................................................................... 46 Figure 15:Alarme dtectes et sauvegard par OSSIM ......................................................................... 47 Figure 16:Informations gnrales d'un incident/vnement dtect ..................................................... 47 Figure 17:Lancer le scan de NESSUS................................................................................................... 48 Figure 18:Choix des htes ou rseau scanner..................................................................................... 49 Figure 19:Rsultat de Nessus ................................................................................................................ 49 Figure 20:Affichage des derniers alertes (signature) par ACID ............................................................ 50 Figure 21:Choix du plugin pour l'affichage des alertes ......................................................................... 51 Figure 22:Gestion en temps rel des vnements par ACID ................................................................. 52 Figure 23:Inventaire de l'hote 192.168.1.10 .......................................................................................... 53 Figure 24:Alarme Report ...................................................................................................................... 53 Figure 25:Les logs des utilisateurs du rseau ........................................................................................ 54 Figure 26:Ajout d'un nouvel agent ........................................................................................................ 55 Figure 27:Dfinition des Agents OSSIM .............................................................................................. 55 Figure 28:Dfinition des htes .............................................................................................................. 56 Figure 29:Ajout d'un nouveau hte ....................................................................................................... 56 Figure 30:Ajout d'un nouveau rseau "HOME" .................................................................................... 57 Figure 32:Ajout d'un nouveau utilisateur "salwa" ................................................................................. 58 Figure 31:Network home ajout ............................................................................................................ 57 Figure 33:Russite d'ajout du nouveau utilisateur................................................................................. 59 Figure 34:Lancement du Nmap ............................................................................................................. 60 Figure 35:Fin du scan Nmap ................................................................................................................. 60 Figure 36:Rsultat dtaill du svan Nmap ............................................................................................ 61 Figure 37:Fichier des alertes sauvegardes ........................................................................................... 61 Figure 38:Les statistiques du trafic global ............................................................................................ 62 Figure 39:Classement du trafic par taille de paquet .............................................................................. 63 Figure 40:Classement du trafic par protocole ....................................................................................... 64 Figure 41:Classement du trafic par hte ............................................................................................... 64 Figure 42:Classement du trafic par service ........................................................................................... 65 Figure 43:Classement du trafic TCP/UDP par distribution de ports ..................................................... 66

Figure 44:Classement du trafic TCP/UDP par service .......................................................................... 67 Figure 45:Affichage des informations des services d'htes 127.0.0.1 .................................................. 68 Figure 46:Choix du type de rapport ...................................................................................................... 69 Figure 47:Section d'hte effectu .......................................................................................................... 69 Figure 48:Slection de l'hte /service dsir ......................................................................................... 70 Figure 49:Slection de l'hte effectu ................................................................................................... 70 Figure 50:Paramtrage des options du rapport ...................................................................................... 70 Figure 51:Rapport d'tat de 192.168.1.10 ............................................................................................. 71 Figure 52:Dtails du status de l'hote localhost ...................................................................................... 72 Figure 53:Sommaire des tats des groupes d'htes ............................................................................. 72 Figure 54:Dtails du statut des services des htes ................................................................................ 73 Figure 55:Configuration simple des paramtres d'OSSIM.................................................................... 73 Figure 56:Configuration avance des paramtres d'OSSIM ................................................................. 74

Liste des tableaux

Introduction gnrale

Introduction gnrale
De nos jours,le monde volue de faons exponentielle dans la technologie des informations .Cette volution rend la question de scurit informatique de plus en plus importante puisque la protection des systmes informatique, vis--vis des menaces que prsente louverture sur le monde numrique, est loin dtre parfaite .Par consquent le nombre dincidents et de vulnrabilits ne cesse de croitre. Dans ce contexte, et vue la diversit des quipements rseaux ainsi que le volume important des donnes analyser au sein dune entreprise,la tache de responsable est la gestion de scurit et du systme. A partir de ce point, et pour des raisons aussi bien de comptitive la ncessit de mettre en place une stratgie de management de la scurit des informations se basant sur des plateformes et des outils dadministration et de surveillance rseaux et le management des informations pour les socits. Mettre en place une telle politique va aider les entreprises et plus prcisment les administrateurs rseaux mieux grer et surveiller le systme dinformation au sein du rseau informatique, puisque les responsables informatiques sont amens non seulement de garantir lintgrit et la disponibilit des systmes dinformations, mais aussi se prvenir des incidents que peuvent rencontrer le parc informatique tous moment. Ainsi , la centralisation de la surveillance rseau est devenue une proccupation majeure des socits actuelles, do la ncessit dune plateforme de supervision facilitant le contrle et la gestion du systme dinformation, aidant de se prvenir des incidents systmes et grant les vnements et les alertes survenues sur le rseau en se basant sur la mthode de corrlation . Ce qui amliore bien lefficacit en administration et rend facile le suivi et le monitoring des quipements et services rseaux. Les travaux de ce projet de fin dtudes sinscrit dans le cadre dune politique globale de surveillance rseau plus efficace et plus rigoureuse vis--vis des menaces internes (rseau local de lentreprise) et externes (internet) ,au sein de la socit daccueil (SACEM).

Introduction gnrale Dans ce contexte se place notre projet de fin dtude quivise mettre en place une solution open Source (solution libre) de surveillance des quipements rseaux de la SACEM, afin dassurer le monitoring dune architecture rseau comportant plusieurs ordinateurs, serveurs, quipements et services rseau, sachant bien que chacun possde ses propres ressources locales (CPU, taux mmoire, espace disque, etc ) . La plateforme qui va tre mise en place devrait constituer un systme de surveillance en temps rel, dalerte, de monitoring puissant, de contrle continu, de corrlation dvnements, de raction omniprsente, de dtection dintrusion et dadministration conviviale pour les utilisateurs de ce systme. Ce rapport est structur en quatre chapitres : Le premier chapitre prsentation du cadre du projet commence par prsenter lentreprise daccueil de notre stage, en dcrivant son systme dinformation et en exposant une vue globale du service informatique de la socit en matire de ressource existantes. Le deuxime chapitre ltat de lart prsente tout dabord des notions de base et quelques termes primordiaux, ensuite dcrit une tude de lexistant des diffrentes solutions Open Source dans le domaine de surveillance rseau. Le troisime chapitre la spcification des besoins qui prsente les diffrents besoins fonctionnels et non fonctionnels auxquels devrait rpondre notre solution. Le quatrime chapitre la ralisation sintresse la mise en place de la plateforme OSSIM (open source security information management) et limplmentation au sein du rseau interne de la socit.

Chapitre 1 : Prsentation du cadre du projet

Chapitre 1 : Prsentation du cadre du projet


Introduction
Dans ce premier chapitre, nous allons prsenter lentreprise daccueil SACEM et faire une description dtaille de larchitecture de son systme dinformation endcrivant les ressources matrielles et logicielles qui le composent. Enfin, notre solution va tre prsente aprs une critique de lexistant.

I. Prsentation de la SACEM
SACEM industries est une socit spcialise depuis sa cration en 1966 dans la fabrication et la vente de diffrentes gammes de transformateurs de distribution lectriques avec divers puissances et des chauffe-eau lectriques et solaires, elle assure aussi le service aprs-vente et la rparation de ses produits. Depuis sa cration, la SACEM Industries demeure le leader sur le march tunisien grce lamlioration continue de la qualit de ses produits et ses services et au respect de ses engagements vis--vis de ses clients notamment la satisfaction de leur besoins et de leur exigences. Actuellement ,SACEM Industries est leader sur le march local des transformateurs de distribution lectriques dont la fabrication comprend des transformateurs monophass de 10 200 KVA et des transformateurs triphass de 25 KVA 63 Mva . SACEM Industries fabrique aussi des chauffe-eau lectriques de capacit 1000 et 150 litres et des chauffe-eau lectro-solaires de capacit 200 et 300 litres en concordance avec le programme PROSOL lanc par lagence National de maitrise de lnergie , dont lobjectif est lconomie dnergie et lexploitation optimale des nergies renouvelables.

Chapitre 1 : Prsentation du cadre du projet

Transformateur

Chauffe-eau lectrique

Chauffe-eau lectrique

Figure 1: Les diffrents produits en vente

Les diffrents dpartements : Les diffrents dpartements de SACEM industries sont : Dpartement qualit Dpartement informatique Dpartement Production Dpartement financire et administrative Dpartement commerciale Dpartement achat logistique Dpartement optimisation du cout Lorganigramme de la socit est prsent suivant une description de diffrents dpartements :

Chapitre 1 : Prsentation du cadre du projet

Directeur Gnral

Rsponsable de Qualit

Directeur des usines

Directeur d'etude et dveloppement

Directeur de Production

Directeur Financier et Administratif

Directeur Commerciale

Chef de Service & Achats Logistiques

Directeur Optimisation des cout

Comptabilit

Ressouces Humanes

Financier

Mthodes Service "GPAO" Service de Planification Service des calcules des besoins

Service Gestion des Stock

Rsponsable Rparation

Rsponsable

Chaudonnerie

R. Bobinage et ........... magnitique

Rsponsable montage et finition

Rsponsable essais et livraisons

Rsponsable lancement

Rsponsabl e maintenanc e

Figure2 :Lorganigramme de la socit


3

Chapitre 1 : Prsentation du cadre du projet

II. Etude de lexistant


II.1 Description de lexistant
Le systme dinformation de la SACEM

Avec le dveloppement de lutilisation dinternet ,de plus en plus les entreprises ouvrent leur systme dinformation leurs partenaires ou leurs fournisseurs ,il est donc essentiel de connaitre les ressources de lentreprise protger et de maitriser le contrle daccs et les droit dutilisateurs du systme dinformation . Structure de la direction informatique :

La direction de linformatique au sein de la socit, estcharge de dfinir et excuter les besoin en informatisation. Elle essaye dassurer donc, le traitement de lensemble de lopration suivante : La conception, la programmation, les tests, lintgration et la maintenance des dveloppements informatiques. Lexploitation des systmes dinformation, la supervision des traitements, systmes et rseaux, ladministration des flux des donnes des systmes dinformations. La gestion et les traitements des demandes dassistance, des incidents informatiques, de demandes des maintenances ou dvolution des applications, des demandes de fourniture des matriels informatique ou de fourniture de services associs. La mise en place dune politique de scurit physique et logique du systme dinformation. Organisation du systme dinformation :

La socit SACEM dispose dun systme dinformation qui peut assurer la collaboration et la communication en intranet (au sein de la SACEM) quen extranet (clients externes). Les principales applications du systme dinformation de la SACEM sont hberges au sein de septe serveurs installs au niveau de la salle serveur du dpartement administratif de la SACEM. Le parc informatique de la socit est compos de 70 PCs .

Chapitre 1 : Prsentation du cadre du projet

Le rseau LAN de la SACEM sont bases sur une infrastructure moderne de type Ethernet commut et les protocoles de communications TCP /IP. Lensemble des machines des sige sont relis au rseau Internet via une ligneFHdun dbit 2 Mb/s

Matriel informatique :

Le parc informatique actuel de la socit est compos de 70 postes de travail, dont une majorit interconnectes en rseau. Les diffrents postes de travail sont connects aux serveurs dapplication et de communication via un Rseau Ethernet 10/100Mb/s.

Larchitecture rseau de la SACEM :

Figure 2: Architecture du rseau

Chapitre 1 : Prsentation du cadre du projet

Le rseau informatique de la SACEM est compos principalement des lments suivants : 70 postes de travail 1 serveur SAGE X 3 1serveur contrleur de domaine 1 serveur antivirus SOPHOS 1serveur de Management firewall 1serveur de sauvegarde Symentec Backup Exec 2010 1serveur proxy 1serveur AVAYA 1serveur mail Exchange 2010 1serveur GLPI Un rseau Ethernet de 100 Mb/s Des imprimantes et des scanners.

Le rseau d la SACEM est bas sur larchitecture client/serveur ou les utilisateurs se connectent aux applications partages installes sur les diffrents serveurs. Linterconnexion du rpartiteur gnral install dans la salle informatique avec les diffrents sous rpartiteurs existants dans le diffrent dpartement lintrieur de la socit par des liaisons fibres optique (F.O). Laccs internet pour les utilisateurs est assur via une ligne FH de 2Mb/s. Tous les utilisateurs se connectent via le serveur Management Firewall qui permet de filtrer le trafic internet et scuriser le rseau local contre les interventions et les attaques externes. Les serveurs contrleurs de domaines assurent lauthentification et loctroi des droits daccs au systme dinformation pour les diffrents utilisateurs. Topologie du rseau

Linterconnexion entre les dpartements de la SACEM est assure par une topologie en toile de la fibre optique.

Chapitre 1 : Prsentation du cadre du projet

Plan dadressage du rseau de la SACEM :

Le plan dadressage utilis au niveau des rseaux de la SACEM suit une plage dadresse de la classe C. Les adresses IP sont paramtres manuellement sur chaque poste de travail. Le plan dadresse est bien organis par chaque dpartement. La plage dadresse pour la socit est donne comme suit : -192.168.1.x : avec masque du sous rseau 255.255.255.0
Avec

X : identifiant de la machine appartenant la direction approprie. Les directions sont dfinies de la manire suivante : 192.168.1 .2192.168.1.30 : plage dadresse pour la direction gnrale 192.168.1.34192.168.1.37 : plage dadresse pour la direction administrative et financire 192.168.1 .66 : plage dadresse pour la direction commerciale 192.168.1.130 192.168.1.135 : plage dadresse pour la direction qualit 192.168.1 .162192.168.1.167 : plage dadresse pour la direction production 192.168.1 .194192.168.1.202 : plage dadresse pour la direction tudes 192.168.1 .230 dinformation 192.168.1.240 : plage dadresse pour la direction systme

Politique de scurit informatique au sein de SACEM :

Nous allons donc dcrire la politique de scurit mise en place au sein de la SACEM qui permet de garantir la scurit logique et physique de son systme dinformation. Scurit de lenvironnement :

Lascurit physique de lenvironnement englobeles dispositifs suivants : Installation dun systme dalimentation lectrique ondule. Mettre en place des contrleurs daccs la salle. Le systme de climatisation au niveau de la salle serveur est bien oprationnel.
7

Chapitre 1 : Prsentation du cadre du projet

Les armoires sont bien protges par un systme de fermeture cl.


Gestion des comptes et des mots de passes :

Une procdure formelle douverture et de fermeture des comptes daccs au rseau, aux systmes et aux applications informatiques est dfinie conformment aux instructions de notre politique de scurit informatique : Changement priodique de mots de passe douverture de session (chaque 6 Mois) Les mots de passe doivent tre complexes de 8 chiffres et lettres. Vrification priodique du compte utilisateurs Laccs aux applications est dfinit par des cls daccs (compte utilisateur et mot de passe).
Politique de sauvegarde des donnes :

La scurit des donnes est assure au sein de la SACEM par lapplication dune procdure de sauvegarde automatique des donnes informatiques. Les donnes informatiques sont classes en deux catgories comme suit : Donnes structures : comprend les bases de donnes et les programmes des diffrentes applications dveloppes sous lenvironnement WINDOWS Donnes non structures : reprsentespar les donnes bureautiques des utilisateurs.
Protection des donnes :

Au sein de la SACEM INDUSTRIES, il est install un systme antiviral bas sur le produit Symantec reprsent par la version entreprise SOPHOS Antivirus 10.0. Le systme antiviral est install au niveau du serveur contrleur de domaines principal. La mise jour du fichier de dfinition de virus partir de linternet se fait automatique chaque apparition dune nouvelle version du fichier de dfinition de virus.
Plan de continuit de service :

Ltude des risques informatiques est une ncessit croissante pour les entreprises, quelle que soient leur taille et leur secteur dactivit, compte tenu de la dpendance croissante de cellesci-vis--vis des systmes informatiques.

Chapitre 1 : Prsentation du cadre du projet

En effet,lexprience prouve que le manque de sensibilisation des entreprises dans la prise de mesures pour la protection des systmes dinformations en terme dauthentification, dautorisation , de confidentialit , dintgrit ,de disponibilit et de traabilit devient un critre majeur pour la bonne gestion de lentreprise .

Mise jour automatique des systmes dexploitation :

Linstallation du nouveau patch de scurit se fait manuellement travers loutil de Microsoft WSUS. Windows Server Update Service (WSUS) est la seconde gnration de logiciel serveur pour le dpoilement de la mise jour propose par Microsoft pour remplacer Software Update Services (SUS) WSUS a toujours pour but de limiter lutilisation de la bande passante vers internet et de sassurer que les systmes Windows possdent les dernires mises jour installes sur le parc informatique.

II.2. Critique de lexistant

Au cours de notre tude du systme dinformation, ralise au sein de la socit daccueil SACEM, nous avons pu dgager certaines dfaillancesqui peuvent tre rsumes en ces diffrents points :
Audit de supervision :

La SACEM nest pas dot doutils et de surveillance rseau, comme prouve les constations suivantes : Pas de surveillance systmatique et continue des activits des utilisateurs Pas de mcanisme de notification dalertes Difficult de suivre de manire continue les accs des utilisateurs, en raison dabsence dune solution centralise dauthentification et de contrle daccs.
Administration des quipements rseau et systme :

Les quipements rseau sont en grand nombre, avec 70 PC et plusieurs serveurs comme nous avons dj expliqu auparavant.

Chapitre 1 : Prsentation du cadre du projet

Donc, il y a manque dun outil centralis permettant dassurer une administration distance des postes de travail et des serveurs
Scurit rseau :

Le Proxy-firewall install au sein du rseau de la SACEM est incapable de dtecter et de bloquer plusieurs types dintrusions qui ne sont pas autoriss.
II.3. Solution propose

On a propos alors de mettre en place une solution centralise permettant dassurer : La supervision et ladministration rseau incluant un systme daudit et de suivi des activits rseau. Ladministration des quipements rseaux et systme ainsi que des postes de travail. Notre solution qui sintitule OSSIM (Open Source Security Information Management) prsente un fort systme de dtection dintrusion.

III. Planification du projet


Planification du droulement du projet :

Le droulement du projet est comme suit : Dfinition des objectifs du projet et tudi son contexte. Elaboration dune tude comparative des diffrentes solutions open source de surveillance rseaux afin de slectionner celle qui rpond mieux aux objectifs fixs. Le choix de la solution OSSIM (open source security management) pour tre la plateforme adapt tout au long de notre projet. Prsentation de larchitecture et le fonctionnement de la solution OSSIM en dtail aussi que le dpoilement de ses diffrents outils qui la composent au cours dune tude thorique. Etude pratique : linstallation et la configuration de la plateforme au sein du rseau de lentreprise.

Conclusion :
Au cours de notre tude ralise au sein de la SACEM ,nous avons pu ,au dbut, dfinir le systme dinformation concern et ses diffrents composants, ensuite, nous avons dtaill
10

Chapitre 1 : Prsentation du cadre du projet

notre tude avec une vue sur la stratgie de scurit informatique suivie par la SACEM et ses diffrentes caractristiques ,et en fin nous avons labor une petite synthse sur les inconvnients de ce systme informatique ,ce qui nous a permis de dgager quelques mots cls de notre projet travers les recommandations cites. Nous avons pu constater que la politique de scurit informatique mise en place dans la socit prsente quelques failles qui peuvent tre rsumes en un manque trs primordiales dun systme ou plutt dune solution centralis de management et de scurit du systme dinformation afin de renforcer la scurit informatique du systme dinformation et de communication en premier lieu ,ladministration ,la supervision et la surveillance du rseau de lentreprise. Cest pour cette raison que nous avons pens la centralisation de notre solution de surveillance ayant comme objectif de rpondre aux besoins qui vont tre prsents dans le chapitre spcification des besoins .

11

Ici le titre du chapitre

Chapitre 2 : Etat de lart

Chapitre 2 : Etat de lart

Introduction :
Dans ce chapitre ,nous allons prsenter des concepts de base et quelques termes primordiaux de la supervision des systmes dinformation et de ladministration des rseaux, puis une description gnrale de la scurit informatique ,ensuite nous enchainerons avec les diffrentes plateformes Open Source existantes dans le domaine de la surveillance rseau ,en dcrivant leurs avantages et leurs inconvnients pour arriver enfin la slection de la plateforme adopte dans notre projet suite des critres de besoins escompt par lutilisateur de notre systme dinformation tudi auparavant.

I. Gestion des rseaux informatiques


I.1. Gnralit sur les rseaux Un rseau peut tre vu comme un ensemble des stations relies entre elles par des nuds et des liens de communications .la principale fonction de ces nuds est de relayer les paquets dinformations vers les autres nuds (routeur, commutateur) I.2. Les lments principaux du rseau
I.2.1. Les lments physiques du rseau

Dans les rseaux, nous retrouvons diffrents types dquipements classs selon leur appartenance :les quipements rseaux, les postes de travails, et les serveurs. a) les quipements rseaux Nous retrouvons principalement : Des hubs (concentrateurs) Des Switch (commutateurs) /VLAN Des modems tlphoniques Routeurs

b) les postes de travail Nous trouvons principalement deux types de postes de travail :
13

Chapitre 2 : Etat de lart

stations WINDOWS stations UNIX

Au sein de la socit daccueil SACEM industries il nya que les stations WINDOWS c) les serveurs Au niveau des serveurs, deux aspect prendre en compte : en premiers lieu, le systme dexploitation et en deuximes lieu les services. -les systmes dexploitation : -les services : serveurs dapplication serveurs de base des donnes serveurs mail pare-feu (firewall) serveurs Unix serveurs Windows serveurs Linux

I.2.2.Les lments logiques du rseau Les services offerts aux utilisateurs sont de plus en plus sophistiqus et ont largement volu ces dernires annes. Parmi ces services, nous retrouvons : -les services daccs aux bases de donnes. -les services de transfert des fichiers. -les services de messageries. -les services de tlphonies Ces services sont mis la disposition des utilisateurs de manire slective. Les utilisateurs peuvent accder des services diffrencis, avec diffrents droits daccs.

14

Chapitre 2 : Etat de lart

I.3. Les principaux acteurs : les utilisateurs Les organisations des entreprises sont de plus en plus structures. Leurs activits deviennent davantage centres sur un systme dinformation qui doit tre disponible tout moment et qui constitue la cl du fonctionnement global de lentreprise. Laccs ce systme seffectue via les diffrentes composantes du rseau identifies auparavant. Le personnel de lentreprise qui tient un rle diffrenci dans la structure globale ne peut pas tre concern par certains aspects techniques du fonctionnement global du rseau. Nous pouvons ds lors rpertorier un ensemble des profils dutilisateurs identifies par leurs rles dans lentreprise : les administrateurs des rseaux qui bnficient de privilges important les ingnieurs qui ont des droits tendus sur certaines parties techniques du rseau les dirigeants qui ont des droits tendus sur le systme dinformation le personnel administratif avec des droits trs limits.

II. Notion de gestion des rseaux


La gestion du rseau se prsente comme lensemble des activits permettant dassurer le bon fonctionnement du rseau. Par ailleurs, nous distinguons deux types de niveau de gestion considrs comme essentiels et primordiales dans ce domaine : La gestion de linfrastructure rseau : elle concerne la gestion de tous les lments du rseau et des logiciels embarqus qui constituent les diffrents rseaux de lentreprise. Nous dsignons par lment du rseau chacun des quipements qui sont branchs u rseau, ainsi que les logiciels y rsidant comme par exemple les routeurs, les passerelles, les modems La gestion du desktops : elle concerne tous les aspects relatifs la gestion du point daccs au rseau .ce niveau englobe la gestions des stations terminales, ainsi que tous les logiciels supports par ces stations : systme dexploitation rseau, les applications et les services de communication mis la disposition des utilisateurs.. II .1 Domaines de gestion des rseaux Les activits assurant la gestion des rseaux de lentreprise sont classes selon les

fonctionnalits tablies par le gestionnaire et sont ralises distance sur les lments de son

15

Chapitre 2 : Etat de lart

rseau .ce dernier va donc raliser la collecte des donnes de gestion, leur interprtation et le contrle des lments de rseau. La dcomposition fonctionnelle tablie par lOSI a bien dfinie cinq domaines de gestion : la gestion de configuration, la gestion des fautes,la gestion de performances, la gestion des couts (comptabilit) et la gestion de la scurit.
II.1.1. Gestion de la configuration

La gestion de la configuration permet de paramtrer les diffrents lments prsents sur le rseau et deffectuer un suivi de leurs tats. Elle stocke dans une base de donnes le s informations de chaque machine prsente au sein du parc informatique de la socit, telles que la version des systmes dexploitation, les logiciels installs, les protocoles utiliss La gestion de configuration couvre lensemble des fonctionnalits suivantes : - Dmarrage, initiation de lquipement -Positionnement des paramtres -Modification de la configuration du systme -Changement de ladresse IP dune machine -Changement de ladresse IP dun routeur
II.1.2.Gestion danomalies /fautes

La gestion des anomalies ou des fautes dtecte les problmes et le fonctionnement anormal survenu sur le parc informatique et permet aussi la localisation et rparation des pannes. En plus, elle essaye automatiquement de rgler ces problmes en les faisant isoler de lensemble des lments sur le rseau et effectuer quelques tests de rparation, si non elle fait appel aux personnes concernes par le type de problme afin de solliciter leur intervention. Elle assure alors lensemble des fonctionnalits suivantes : La dtection des fautes : elle comprend la prparation de rapports dincidents de fonctionnement, la gestion de compteurs ou des seuils dalarme, le filtrage des informations et laffichage de disfonctionnement. La localisation : procd au moyen de rapports dalarme, de mesures et de tests. La rparation : elle consiste prendre les mesures correctives (raffections des ressources reroutage , limitation du trafic par filtrage, maintenance),ou encore rtablir du service (tests de fonctionnement, gestion des systmes de secours..)
16

Chapitre 2 : Etat de lart

Lenregistrement des historiques dincidents et statistiques :permet dune part lenregistrement dhistorique dincidents et la compilation des statistiques qui peuvent porter sur la probabilit des pannes , leurs dure, les dtails de rparation ,et en dautre part , un rle dinterface avec leurs utilisateurs qui consiste les informer des problmes rseau et leur donner la possibilit de signaler eux-mmes des incidents tels quune mauvaise configuration dun quipement ,une interface dfectueuse dun routeur ,une rinitialisation accidentelle .

II.1.3.Gestion de la performance

La gestion de la performance comprend les procdures de collecte des donnes et danalyse statistique. Elle fournit donc des fonctions qui assurent la planification des ressources du rseau : recueillir des donnes statistiques (taux derreurs, temps de transit, dbit) et maintenir et analyser des journaux sur lhistorique de ltat du systme.

II.1.4. Gestion du cout

La gestion du cout permet de connaitre les charges des lments grs et les couts de communication. Les fonctionnalits quelle peut assurer sont prsentes comme suit : Les mesures sur lutilisation des ressources et leur historique. Le contrle des quotas par utilisateur en faisant la mise jour des consommations courantes et en vrifiant les autorisations de consommation La gestion financire : dans la gestion du comptable ,il ya une partie financire qui consiste ventiler les couts (par service, par utilisateur, par application )
II.1.5. Gestion de la scurit

La gestion de la scurit contrle laccs aux ressources selon des politiques des droits dutilisation tablies, permettant ainsi de grer le contrle et la distribution des informations utilises pour la scurit. Il existe beaucoup de fonction de gestion de scurit par les quelles on peut citer : - Contrle des autorisations - Contrle et maintenance des commandes daccs
17

Chapitre 2 : Etat de lart

- Maintenance et examen des fichiers de scurit - lauthentification II.2 Concept de supervision et administration La supervision dun systme dinformation a pour vocation de collecter des informations sur ltat dune infrastructure et des entits qui y sont lies, de les analyser, et de les organiser Elle peut ainsi se dfinir comme tant lutilisation de ressources rseaux adaptes afin dobtenir des informations sur lutilisation et sur ltat des rseaux et de leurs composants. Ces informations peuvent servir doutils pour grer de manire optimale le traitement des pannes et les problmes de surcharge du rseau.
II.2.1 Supervision des systmes dinformation

Le systme dinformation est devenu lpine dorsale de lentreprise puisquil joue le rle important de la surveillance e la scurit des informations et des activits internes de lentreprise, La supervision est une activit de surveillance et de suivi de ltat dun service ou dun processus informatique vise faire remonter les informations caches de ce systme dinformation telles que le taux de transfert des fichiers, le niveau de la disponibilit des services etc.. niveau de supervision dans un systme dinformation :

Afin damliorer le fonctionnement de notre systme dinformation, il est command de diviser la gestion de ce systme en des niveaux de surveillance appropris, compte tenu de leurs domaine dutilisation, nous distinguons alors : La supervision rseau : elle soccupe essentiellement des quipements constituant le rseau tels que : les serveurs : par la mesure de disponibilit, la vrification de linterconnexion au rseau, lanalyse des flux dentre et de sortie, le contrle de dbit.. La supervision systme : il sagit des valuations et des mesures faites sur les ressources systme du parc informatique tels que :Les processus : par la mesure du taux dutilisation instantane , de la charge moyenne pendant une telle priode ,la connaissance du nombre de processus en cours de fonctionnement , mesure du temps de rponse
18

Chapitre 2 : Etat de lart

La supervision des applications et services : Vrification de la taille de processus Suivi de la liste des utilisateurs prsents dans le rseau Statistique sur le taux dutilisation des protocoles et services par les utilisateurs du systme

II.3. Scurit informatique des systmes dinformation Laugmentation du nombre doutils malveillants qui circulent sur le rseau tels virus, cheval de trois et dautre failles de scurit informatique ,combine lignorance des mesures de scurit de la part des entreprises exposes Internet et le manque de sensibilisation des internautes au sujet de la scurit informatique laissent les organisations et les internautes de plus en plus vulnrables et les exposent des risques comme la perte dinformations . Face ces menaces, les solutions de scurit informatique assurent la protection des systmes et du rseau informatique afin de garantir lintgrit, la confidentialit et la disponibilit des donnes. II.4. Terminologie de la scurit informatique

Menace : une menace dsigne un lment, gnralement externe,capable de montrer une attaque exploitant une vulnrabilit ou une faille de scurit au niveau des services , applications et des systmes informatiques

Vulnrabilit : toute faiblesse des ressources informatiques qui peut tre exploite par des menaces, dans le but de les compromettre. Exploit : un exploit est un programme permettant dexploiter une faille de scurit informatique dans un systme informatique que se soit distance (remote exploit) ou sur la machine sur laquelle cet exploit est excut (local exploit).

Impact : limpact ou enjeu est le rsultat de lexploitation dune vulnrabilit par une menace. Risque : le risque de scurit des systmes dinformation peut tre dfini comme tant une combinaison dune menace avec les pertes quelle peut engendrer.

19

Chapitre 2 : Etat de lart

Incident : un incident constitue lensemble des problmes (virus, faille) qui sont signals par nimporte quelle membre de la communaut informatique, aux quipes de rponses aux urgences informatiques.

Contre-mesure :cest la technique permettant de rsoudre une vulnrabilit ou de contrer une attaque spcifique, tels que les politiques de scurit, les outils de dtection dintrusion IDS.

II.5. Principales attaques et menaces virus

Les virus est un excutable qui va excuter des oprations plus ou moins destructrices sur la machines Sur internet, les virus peuvent contaminer une machine de plusieurs manires : Tlchargement des logiciels puis excution de celui-ci sans prcautions. Ouverture sans prcaution de documents contenant des macros Ouverture dun courrier au format HTML contenant du JavaScript exploitant une faille de scurit du logiciel de courrier Dni de Service (DOS)

Le but dune telle attaque nest pas de drober des informations sur une machine distante, mais de paralyser un service ou un rseau complet .les utilisateurs ne peuvent plus alors accder aux ressources .l exemple principal, est le ping flood ou lenvoi massif des courriers lectroniques pour saturer la boite aux lettres. La meilleure parade est le firewall ou la rparation des serveurs sur un rseau scuris. Ecoute de rseau (Sniffer)

Il existe des logiciels qui, limage des analyseurs du rseau, permettent dintercepter certaines informations qui transitent sur un rseau local, en retranscrivant les trames dans un format plus lisible (Network packet sniffing) .de plus lutilisateur na aucun moyen de savoir quun pirate a mis son rseau en coute. Lutilisation de switchers (commutateurs) rduits les possibilits dcoute, mais la meilleure parade reste lutilisation de mot de passe, de carte puce ou de calculette mot de passe.

20

Chapitre 2 : Etat de lart

Intrusion pour but la ralisation dune

Lintrusion dans un systme informatique a gnralement

menace et est donc une attaque .le principal moyen pour prvenir les intrusions et les coupefeu (firewall) . Une politique de gestion efficace des accs, des mots de passe et ltude des fichiers log Cheval de trois (Trojan)

Le pirate, aprs avoir accder au systme, installe un logiciel qui va lui transmettre par internet les informations des disques durs. La meilleure mesure de protection face ces attaques, et de scuriser au maximum laccs la machine et de mettre en service un antivirus rgulirement mis jours. II.6. Dtection dintrusion Malgr la mise en place de solution dauthentification charges de filtrer et contrler les accs au rseau, il arrive que des intrus y pntrent. Alors les systmes de dtection dintrusion, qui protgent lentreprise contre les attaques externes, sont capables gnralement de dtecter les pirates.
outils danalyse du comportement

Lanalyse de comportement scrute les fichiers dvnement et non pas le trafic et se base essentiellement sur les agents de supervision. Ces agents sont placs sur le systme ou lapplication supervise .leur mission consiste reprer toute personne qui cherche outrepasser ses droits et atteindre des applications auxquelles elle na pas accs ou tout comportement suspect.

III. Etude de diffrentes solutions Open Source de surveillance rseau


Dans cette partie, nous allons dcrire quelques solutions libres de surveillance et dadministration des rseaux sur le march en prsentant leurs principes de base ainsi que leurs avantages et inconvnients.

21

Chapitre 2 : Etat de lart

III.1. Nagios
III.1.1 Prsentation de la solution

cest une solution libre de supervisions rseau trs puissante , reconnue dans le monde de supervision et utilise par les plus grandes entreprises ,puisquelle permet une supervision active et passive des serveurs, quipement rseau, et surtout des services divers et varis. En fait son mode de fonctionnement est simple ; les services de surveillances lancent par intermittence des contrles de services et des stations dfinit auparavant grces des greffons externes (ou Plugins ) .Par la suite il rcupre les informations fournit par les services de surveillances et les analyses. Si le rsultat de cette analyse fait remonter un problme les services de surveillances peuvent envoyer des avertissements ladministrateur du rseau de diffrentes manires : courriers lectroniques, messages instantans, SMS
III.1.2 Avantages et inconvnients Avantage

-Reconnus au prs de grande communauts dentreprises. -Une solution complte qui permette le reporting, la gestion de la panne et des alarmes, gestions des utilisateurs, ainsi que la cartographie du rseau. -Surveillances du services rseau (SMTP, POP3, http,NMTP , PING) -Possibilit dadministration tous moment du comportement de la surveillances et du retour dinformations travers lutilisation de la gestionnaire dvnements, dune interface web et dapplications tierces.
Inconvnients

-Interface non ergonomique et peu intuitive -Configuration fastidieuse via beaucoup de fichiers. -Pas de coordination et synchronisation entre les serveurs -Grandes dpendances des greffons externes.

22

Chapitre 2 : Etat de lart

III.2.Zabbix
III.2.1.Prsentation de la solution

Zabbix est une solution libre de surveillance rseau configurable par interface web, elle permet de surveiller le statut de divers services rseaux, de serveurs et des quipements rseaux dun parc informatique dune socit. Cest un outil utilis et sollicit beaucoup par les entreprises concernes tant donne quil intgre plusieurs fonctionnalits lui permettant de dtecter les pannes au plus tt (tre ractif) , analyser les performances (tre proactif ) ,anticiper les volutions de son architecture par la dfinitions des futurs besoins en quipements et consolider les informations en tablissant des modles de rapports ou Reporting (journal dvnement ) stocks dans une base de donnes pou tre accessible tous moment .

III.2.2.Avantages

-Une solution complte de surveillance rseau :cartographie de rseau, gestion pousse dalarmes, gestion des utilisateurs, gestion de panne.. -Une interface web dadministration et de consultation claire pour les administrateurs de rseau, avec une ergonomie bien tudie. -Compatible avec plusieurs base de donnes reconnus comme MySQL,poste gre SQL,Oracle , SQlite -Bonne analyse de performance avec synthse dtaille des quipements, des alertes, des services
III.2.3.Inconvnients

-Pas trs reconnu auprs des entreprise vis--vis ses concurrents avec le manque dinterfaage avec les autres solutions libre -Interface un peu trop vaste concernant les options de surveillance -Communication par dfaut en clair des informations, ce qui est ncessite une scurisation des donnes. -Manque des tests prventifs de ltat de services avant las dfaillances et la gnration des alertes.
23

Chapitre 2 : Etat de lart

III.3. OSSIM
III.3.1. Prsentation de la solution

OSSIM (open source security information management) Est une solution open source complte, ou plutt plateforme complte, dadministration rseaux et du management du systme informatique : Cest une plateforme parfaite dadministration et supervision rseau, de management de la socit de linformatique (SIM) et de la gestion parfaite et instantane des activits et des vnements survenues (et pouvant se produire) sur le rseau informatique tudi . OSSIM est considr comme tant le chef dorchestre des diffrentes solutions dj existantes vu quelle permet de dtecter, de collecter ,de fdrer ,dagrger ,danalyser ,dvaluer , dinterprter Composant dOSSIM : -P0F, dtection et analyse du changement des OS -Arpwatch, dtection des anomalies (adresse MAC) -Ntop , base de donnes de comportement -Pads, dtection des anomalies de service -Nessus, valuation de la vulnrabilit -Snort, dtection dintrusion (IDS) -Osiris, dtection dintrusion (HIDS) -tcptrack, corrlation des donnes de session -Spade , statistique des dtection des anomalies OSSIM est une solution centralise qui sappuie sur dautres solutions de scurits et permet travers son framework de piloter ces produits afin de collecter tous les vnements lis la scurit de manire centralise et de la sauvegarde dans une base de donnes des vnements. OSSIM est une plateforme globale de surveillance et de scurit combinant les meilleurs solutions libres de surveillance et dadministration rseaux , les meilleurs
24

, de synthtiser ,dafficher et de rapporter toute sorte

dinformations repres dans le rseau de manire centralise et normalise .

Chapitre 2 : Etat de lart

outils de gestions dalertes et de dtections dintrusion, et les meilleurs moyens de laudit interne du systme dinformation.
III.3.2. Avantages

Solution originale : pas de solution vraiment concurrente ce jours combinant des outils et des solutions compltes de surveillance rseau ,de scurit et daudit sur une seule console dadministration seule grer .

Plate-forme complte de surveillance, dadministration et de scurit rseaux bas sur plusieurs outils Open source trs reconnues dans le march du rseau.

-Interface intuitive : riche en informations et intgre les dtails de chaque solution -Fonction dapprentissage : qui permet la solution daccroitre la fiabilit des ses Remontes dinformation.
III.3.3. Inconvnients

-Configuration difficile de part le grand nombre de paramtres pouvant rentrer en jeu. -Ncessite une dmarche daudit et dvaluation des risques pour tre pertinent dans les configurations de la politique de la scurit souhaite -Complexit relative damlioration vue son potentiel lev de manipulation et son utilisation assez lourde doutils puissants en documentation. -Ncessite dune base de concept dadministration rseau et de scurit dinformation afin de mieux sadapter la manipulation de ses fonctionnalits.

IV. Choix de la solution adopter: OSSIM


Aprs avoir vu les diffrentes solutions open source de surveillance rseau en dtail nous allons maintenant faire notre slection sur la solution a adapter tout au long de notre projet dtude, et ce en fonctions des besoins de la socit SACEM tablies dj dans le premier chapitre.

25

Chapitre 2 : Etat de lart

Nagios/Zabbix

OSSIM

surveillance des quipements rseaux et -trs efficace dans de systme quil offre

ce contexte vu le

potentiel effectif des informations dtailles ladministrateur concernant ltat en temps rel des services prsent , les vnements instantans produit sur le rseau avec ses dtails temporelles -scurit en temps rel avec le scanner de vulnrabilit Nessus et le scanner de port Nmap

pas de fonctionnalit trs importante en leader matire de scurit :

en

matire

de

corrlation

dvnements et dalertes

Tableau 1: Tableau comparative entre les diffrentes solutions Open sources

IV.1. Architecture et principe de base OSSIM est compos de trois briques primordiaux : -Le serveur : contenant les diffrents moteurs danalyse, de corrlation et les bases de donnes. -Lagent : prenant en charge la collecte et la mise en forme des vnements -Le Framework : regroupant les consoles dadministrations et les outils de configuration et de pilotage et permettant galement dassurer la gestion des droits daccs. Le framework a pour objectif de centraliser, dorganiser et damliorer la dtection et laffichage des vnements lis la scurit du systme dinformation dune entreprise.

26

Chapitre 2 : Etat de lart

Le principe de fonctionnement de la solution OSSIM seffectue selon deux tapes : -Leprtraitement de linformation : assur au niveau dquipements spcifiques tels que les sondes de collecte dinformations (Sensor) ou de dtection dintrusion (IDS), consiste la collecte des informations de logs ainsi que la normalisation des celles-ci afin de les stocker de manire uniforme et de pouvoir les traiter efficacement durant ltape de poste traitement. -Le poste traitement : de linformation assur par lensemble des processus interne la solution et qui vont prendre en charge linformation brute telle quelle est a t collect pour ensuite lanalyser, la traiter et en fin la stocker dans une base de donnes. Ces informations collectes par les dtecteurs et les moniteurs sont spcifiques et encore Partielles et ne reprsentent quune petite partie de la quantit dinformation existante sur le rseau de lentreprise tudi .OSSIM a donc la solution : cest la Corrlation. En effet, le mcanisme de corrlation peut donc tre vu comme la possibilit dutiliser les informations remontes par les dtecteurs en utilisant un nouveau niveau de traitement ,de complter et damliorer le niveau dinformation . Son but est de rendre cette remonte dinformation le plus efficace possible par rapport la quantit dinformation disponible sur le rseau de lentreprise. Afin de comprendre ces deux tapes ,voici une figure qui illustre ce fonctionnement :

27

Chapitre 2 : Etat de lart

Figure 3:Architecture d'OSSIM

Nous remarquons bien quil existe diffrentes bases de donnes permettant la sauvegarde des informations corrles (intermdiaire). EDB : La base de donnes des vnements (la plus grande), stockant toutes les alarmes individuelles. KDB : La base de donnes des connaissances, sauvegardant les configurations tabliespar ladministrateur en charge de la scurit. UDB : La base de donnes des profils, stockant toutes les informations du moniteur de profile. Afin daider la comprhension, nous allons dtailler le cheminement dune alarme dans larchitecture dfinie par cette figure :
28

Chapitre 2 : Etat de lart

Figure 4:Cheminement du flux d'informations

1. Dtection dun vnement suspect par un dtecteur (par signatures ou par lheuristique). 2. Si ncessaire, des alarmes seront regroupes (par le dtecteur) afin de diminuer le trafic rseau. 3. Le collecteur reoit la/les alarme(s) via diffrents protocoles de communications ouverts. 4. Le parser normalise et sauve les alarmes dans la base de donnes dvnements (EDB). 5. Le parser assigne une priorit aux alarmes reues en fonction de la configuration des polices de scurits dfinies par ladministrateur scurit. 6. Le parser value le risque immdiat reprsent par lalarme et envoie si ncessaire une alarme interne au Control panel 7. Lalerte est maintenant envoye tous les processus de corrlation qui mettent jour leurs tats et envoient ventuellement une alerte interne plus prcise (groupe dalerte provenant de la corrlation) au module de centralisation. 8. Le moniteur de risque affiche priodiquement ltat de chaque risque calcul par CALM.
29

Chapitre 2 : Etat de lart

9. Le panneau de contrle affiche les alarmes les plus rcentes et met jour les indices des tats qui sont compars aux seuils dfinis par ladministrateur. Si les indices sont suprieurs aux seuils configurs, une alarme interne est mise. 10. Depuis le panneau de contrle, ladministrateur a la possibilit de visualiser et rechercher des liens entre les diffrentes alarmes laide de la console forensic.

Conclusion
Dans ce chapitre, nous avons commenc par une tude assez dtaille sur la gestion des rseau informatiques partir de laquelle nous avons spcifi quelques termes et notions de bases ncessaires la bonne comprhension de la ralisation de notre projet; puis nous avons dcrit le concept de supervision et dadministration de systme dinformation ainsi que leurs intrts sur les entreprises concernes; ensuite nous avons prsent des gnralits sur la scurit informatique en dfinissant les menaces existantes et les diffrents risques et la manires sen protger . Enfin, nous avons termin notre chapitre par une tude comparative des diffrentes solutions libres de surveillance rseau existantes savoir Nagios, Zabix et OSSIM tout en prsentant pour chacune delle son principe de fonctionnement, ses avantages et ses inconvnients vis-vis du systme dinformation tudi. Cette tude nous a amen bien choisir notre solution de surveillance qui sintitule : OSSIM.

30

Chapitre 3 : Spcification des besoins

Chapitre3 : Spcifications des besoins


Introduction :
Aprs avoir faire une tude approfondie de lexistant, nous allons recueillir et analyser les diffrentes besoins auxquels devrait rpondre notre projet de fin dtude. Dans ce chapitre, nous allons dtailler la spcification des besoins de notre solution OSSIM . Ce chapitre est compos de deux parties. Dans la premire partie, nous allons spcifier les besoins fonctionnels dfinissant les fonctionnalits de notre plateforme de surveillance. Les besoins non fonctionnels caractrisant notre solution vont tre dfinis dans la deuxime partie de ce chapitre.

I .Etude des besoins


I.1. Besoins fonctionnels

OSSIM offre une infrastructure pour le monitoring de la scurit rseau permettant de : Intgrer une srie doutil dadministration et de scurit , rassembl pour une seule console. Effectuer une srie de taches indispensables dans un rseau dentreprise savoir laudit interne. Ladministration rseau :affiche des informations sur les connexions TCP quil rencontre sur une interface ; Il dtecte passivement les connexions TCP sur linterface analyser et affiche les informations par un sniffer (TCPTRACK) La dtection dintrusion : capable d'effectuer l'analyse du trafic en temps rel par un outil nomm SNORT. La dtection ralise on trois faces IDS, Dtection danomalie, Firewalls Lanalyse du trafic La gestion danomalies : cette action est ralise en temps rel permettant le monitoring ainsi que le calcul de statistiques. Le monitoring consiste laffichage des informations fournies. Les consoles de monitoring utilisent les diffrentes donnes produites par les procds de corrlation pour la construction dun affichage efficace et/ou rsum,Lanalyse et le monitoring :
32

Chapitre 3 : Spcification des besoins

La Corrlation LEvaluation de la dangerosit des alarmes LEvaluation du risque sur larchitecture protger La gestion dincidents : Les managements (configuration) :

Inventaire des ressources informatiques Dfinition de la topologie Dfinition des polices de scurit Dfinition des rgles de corrlation Liens avec diffrents outils daudits Open Source La surveillance du systme Il permet daffichage des services dune machine sans avoir oprer un scan actif Evaluer les risques : Le risque peut tre dfini comme tant la probabilit de menace de lvnement. En dautres termes, cette tape tente de dfinir si la menace est relle ou pas. Limportance donner un vnement dpend principalement de trois facteurs : - La valeur du bien attaqu - La menace reprsente par lvnement - La probabilit que lvnement apparaisse Cette fonctionnalit permet doffrir des indicateurs de haut niveau permettant dorienter linspection et de mesurer la situation de la scurit du rseau tudi ,en se basant des procds de corrlation qui facilitent la dtection et la rponse aux anomalies pouvant effectuer le systme ainsi que la dfinition des politiques de scurit et la rcupration des rapports concerns. Fournir une console dorganisation Amliorer la dtection et laffichage des alarmes de scurit

33

Chapitre 3 : Spcification des besoins

I .2. Besoins non fonctionnels

Un besoin non fonctionnel est une restriction ou une contrainte qui pse sur un service du systme, telle que les contraintes lies lenvironnement et limplmentation, les exigences matires de performances. Notre solution doit rpondre plusieurs critres : La performance : le temps de rponse est rapide. Simple utiliser : avoir une interface graphique facile exploiter. La scurit : lutilisation dun login et dun mot de passe La disponibilit : OSSIM doit tre explicitement dfini pour les applications critiques

Conclusion
Dans ce chapitre, nous avons fait une tude thorique pour dcrire les besoins fonctionnels et non fonctionnels pour la mise en place de la solution open source OSSIM , ainsi que une tude de larchitecture globale de la solution. Aprs une prsentation du principe de notre projet et lanalyse des besoins quil vise les rpondre nous commenons dans le chapitre suivant la mise en place de notre solution OSSIM .

34

Chapitre 4 : La ralisation

Chapitre 4 : La ralisation

Introduction
Dans ce chapitre, aprs nous avons choisi lOSSIM comme une solution qui devrait tre la plus adquate au systme dinformation de la socit et qui rpond mieux aux besoins de lutilisateur de notre projet, nous allons aborder ltude pratique de notre projet. Alors, quels sont les composants essentiels de cette solution ? Quelle est la stratgie de la mise en place de cette solution au sein du rseau interne de la SACEM ? Enfin, quels sont les diffrents tests quon doit effectuer afin de valider cette solution et avoir ses effets sur le rseau de lentreprise tudi ?

I. Environnement de dveloppement
I.1. Environnement matriel Dans notre ralisation, nous avons utilis deux machines lies au rseau local de la socit. La premire est notre serveur-agent OSSIM install sur une plateforme Linux Debian. La deuxime, utilisant le systme dexploitation Microsoft Windows, se prsente comme un Monitor pour le serveur OSSIM travers une interface web. Linteraction entre ces deux machines prsente linterrogation du serveur travers son interface web, cest le point de dpart de ladministrateur pour dcouvrir la plateforme et ses diffrents composants. I .2. Environnement logiciel Pour installer la plateforme OSSIM, nous avons utilis : Ossim-server : constitue le noyaude larchitecture .En effet, celui-ci comporte les modules danalyse et de corrlation des donnes ainsi quun serveur Web permettant linteraction avec lutilisateur.

Ossim-agent : rcupre simplement les informations des fichiers de logs des plugins et les envoie directement au serveur OSSIM .Ainsi , il soccupe de la mise en marche et de larrt des diffrentes sondes qui lui sont connectes.

36

Chapitre 4 : La ralisation

Lagent PADS :PADS va permettre didentifier les machines (adresses IP et MAC) ainsi que leurs services uniquement en sniffant le rseau. Il permettra laffichage des services dune machine sans avoir oprer un scan actif. Il permettra laffichage des services dune machine configure sur Ossim sans oprer un scan actif. Lagent TCPTRACK :TCPTrack est un sniffer affichant des informations sur les

connexions TCP quil rencontre sur une interface. Il dtecte passivement les connexions TCP sur linterface analyser et affiche les informations. Il permet laffichage des adresses source et destination, de ltat de la connexion, du temps de connexion ainsi que de la bande passante utilise.
Lagent P0F :P0f est un logiciel de dtection de systme dexploitation passif. Il analyse les trames transitant sur le rseau (le segment analys) et les compare avec une base de donnes des caractristiques de chaque OS (prise dempreintes) afin den retrouver lOS correspondant. P0Fest capable aussi de faire la : Dtection de la prsence dun firewall Dtection dun rpartiteur de charge rseau Dtection de la distance de la machine distante Lagent SNORT :Snort est un systme de dtection d'intrusions rseau en Open Source, capable d'effectuer l'analyse du trafic en temps rel. Lagent NTOP :Ce logiciel analyse en temps rel le trafic rseau et met disposition une liste de compteurs, permettant le monitoring ainsi que le calcul de statistiques. La sonde Ntop met en place un serveur Web permettant le son monitoring ainsi que la sa configuration distance.

I.3. Choix des outils de dveloppement OSSIM (Open Source Security Management),est une plateforme Open Source de management de la scurit de linformation.

37

Chapitre 4 : La ralisation

Cette solution prsente deux avantages essentiels lui permettant dtre trs sollicite par les entreprises dans le domaine de management du rseau informatique : Le premier avantage est lintgration ,cest--dire ,avoir une srie doutils dadministration et de scurit (Snort, Nessus , Ntop,Nmap, ), rassembls pour une seule console et pouvant effectuer une srie de taches indispensables dans un rseau dentreprise savoir laudit interne, ladministration rseau ,la dtection dintrusion,,lanalyse de trafic ,la gestion danomalies, la gestion dincidents , la surveillance du systmes Le deuxime avantages est lvaluation des risques :c'est--dire offrir des indicateurs de haut niveau de mesurer la situation de la scurit du rseau tudi ,en se basant des procds de corrlation qui facilitent la dtection et la rponse aux anomalies pouvant effectuer le systme ainsi que la dfinition des politiques de scurit et la rcupration des rapports concerns. OSSIM savre donc tre la solution Open Source la plus complte et aucune solution Open Source ne propose une telle palette de procds dadministration complte du rseau et danalyse dtaille dvnement de scurit.

II. Ralisation et tests


II.1. Installation et configuration
Installation

Linstallation consiste simplement tlcharger sur le site officiel dOssim dune version de la plateforme Ossim intgre avec GNU/Linux Debian comportant en mme temps le serveur et lagent dune part, et dautre part elle intgre aussi tous les paquets ncessaires la solution avec leurs dpendances et les outils utiliser lors de limplmentation. En dautre termes, tout est intgr, il suffit dattendre environ 5 heures pour linstallation, et aprs le serveur va tre prt pour lutilisation
Configuration

Dans cette phase nous allons faire la configuration du serveur et de lagent :

a) Configuration du serveur
38

Chapitre 4 : La ralisation

Nous configurons le serveur en ditant le fichier /etc/ossim/server/config.xml/ ensuite nous modifions les paramtres du serveur selon notre rseau tudi : Le nom du serveur OSSIM :alienvault Ladresse IP du serveur OSSIM : 192.168.1.10 Le port sur lequel coute le serveur OSSIM, par dfaut cest le port 40001 Le nom du framework alienvault Ladresse IP du framework OSSIM, qui est install sur la mme machine que le serveur, est : 127.0.0.1 ou localhost. Le port sur lequel coute le framework OSSIM, par dfaut cest le port 40003 Les paramtres de la base de donnes OSSIM quutilise le serveur : SGBD : MySQL Port : 3306 User : root Mot de passe :wKcvfjIPLQ Nom : ossimDS Machine : localhost car notre base de donnes est hberge sur la mme Machine serveur Les paramtres de la base de donnes SNORT : SGBD : MySQL Port : 3306 User : root Mot de passe :wKcvfjIPLQ Nom : snortDS Machine : localhost Le fichier log du serveur : /var/log/ossim/server.log Le fichier XML contenant les directives de corrlation :

/etc/serveur/ossim/directives.xml

39

Chapitre 4 : La ralisation

b) Configuration de lagent : Concernant la configuration de lagent Ossim, nous commenons par la configuration des principaux paramtres en ditant le fichier /etc/ossim/agent/config.cfg et nous agissons sur ses paramtres tels que son adresse IP, ladresse IP du serveur, les plugins dmarrer Lagent est install sur une machine sonde qui va recueillir les logs des quipements. Pour notre cas lagent est intgr dans la mme machine que le serveur , nous commenons par dfinir les paramtres suivantes : Ladresse IP de la machine sonde sur laquelle est install lagent :192.168.1.10( celle du serveur) Linterface rseau sur laquelle lagent va recevoir les logs :eth0 Le serveur auquel se connectera lagent (dfini dans la section prcdente) Ladresse IP :192.168.10.246 Le port 40001 Les paramtres de la base de donnes OSSIM : SGBD : MySQL Machine : 192.168.10.246 Nom : alienvault Port : 3306 User : root Mot de passe :wKcvfjIPLQ Machine : localhost

Le fichier log du serveur : /var/log/ossim/agent.log Les plugins des quipements activer et le chemin du fichier de configuration correspondant chaque plugin sur la machine agent.

II.2. Fonctionnement du framework OSSIM Manipulation de linterface Web dOSSIM

Nous arrivons maintenant ltape de ladministration de notre plateforme OSSIM : Dans cette tape nous allons dcrire de manire dtaille de ce quOSSIM offre comme interface Web pour ladministrateur de cette plateforme et dcouvrir donc chacune de ses composants.
40

Chapitre 4 : La ralisation

II.2. 1. Console dadministration dOSSIM

Afin daccder la console dadministration dOSSIM (au serveur OSSIM) nous connectons un navigateur Web (internet explorer, Firefox), et nous tapons ladresse IP du serveur OSSIM : 192.168.1.10, Alors linterface dauthentification au serveur apparait. Nous utilisons donc le login Admin et le mot de passe SACEM pour sauthentifier comme administrateur (par dfaut auprs de notre serveur ossim ) Voici un imprime cran illustrant cette tape :

Figure 5:Authentification au prs du serveur

Le nom dutilisateur et le mot de passe sont admin SACEM2013 , il ne faut pas oublier de les modifier une fois la premire connexion est tablie. Pour cela il faut aller dons configuration/Users et ajouter un nouveau User, comme le montre cette figure

41

Chapitre 4 : La ralisation

Figure 6:Ajout d'un nouvel utilisateur

Aprs avoir faire la connexion, nous commenons par dcouvrir le framework dOOSIM en dtail. Linterface de configuration et monitoring offerte par OSSIM se compose de divers menu et sous-menus. Nous allons essayer de traiter les principaux modules que nous avons utiliss lors de notre stage et voir les rsultats obtenus dans cette manipulation. a) Dahboards OSSIM offre un tableau de bord intressant avec une varit de reprsentations des diffrents rsultats collects par lagent. Sous Dahboards//Excutive,nous trouvons les graphes suivants rsumant ltat globale du systme.

42

Chapitre 4 : La ralisation

Figure 7:Etat globale des alarmes et vnement rcent

Figure 8:Etat globale des agents ajouts OSSIM rcemment

43

Chapitre 4 : La ralisation

Figure 9:Etat globale de menaces rcentes dtectes

Figure 10:Etat globale de la variation du dbit du rseau

Ces graphes montrent bien ltat du rseau en globale : Pour la premire figure nous trouvons ltat des alarmes et des vnements qui se sont produits rcemment sur le rseau (Dernire alarmes, vnements dtects, attaques, scan de vulnrabilits avec nmap..) ; dans la deuxime figure, ltat des vnements produits par
44

Chapitre 4 : La ralisation

sonde ou agents (dans notre cas cest le serveur ossim qui est concern) ; la troisime figure montre le niveau rel des menaces dans le rseau partir des tats de ces alarmes ; les autres figures dcrivent le niveau des htes du rseau en risque dattaques, lhistorique du trafic des protocoles et la variation du dbit du rseau. Les illustrations Ltat : concernant les incidents sont prsentes sous longlet

Dashboards//Executive/Incidents ou ils sont dcrit selon :

Figure 11:Etat des incidents

Le type :

Figure 12:Type d'incident

45

Chapitre 4 : La ralisation

Lutilisateur :

Figure 13:Incidents par utilisateur

Ces statistiques montrent ltat des incidents ouverts( non trait) et ferms (traits) (dans notre cas 100% des incidents nont pas t trait par ladministrateur),leurs types vnements ou vulnrabilit (dans notre cas 50%des incidents survenues sont des vnements et 50% sont des vulnrabilits ,les utilisateurs concerns (dans notre cas 100%,car un seul utilisateur ADMIN est enregistr) et enfin la taux de rsolution des incidents par jours( 1 jours pour traiter un incident). b) Incidents Dans cet onglet Incidents, nous dcouvrons les diffrents types et dtails dalarmes que OSSIM dtectent et stocke dans sa base de donnes. Il offre donc un archivage des commentaires dposs par les diffrents administrateurs en charge de la scurit et permet de dposer des annotations sur les activits effectues ainsi que de fermer les alarmes/problmes ayant t rsolus. Nous pouvons voir ces figures qui montrent ces alarmes :

46

Chapitre 4 : La ralisation

Figure 14:Alarme dtectes et sauvegard par OSSIM

Figure 15:Informations gnrales d'un incident/vnement dtect

Nous remarquons par exemple la premire alarme dtecte (Nmap scan from Ossim),sa date de dtection (1/06/2013) .ainsi que les htes sources (192.168.1.10)et destinations

(192.168.1.20) correspondantes cette alarme. c) Analysis Longlet Analysic est trs important dans OSSIM puisquil indique bien les vnements effectus dans le rseau et dtects par OSSIM dautre part, et il effectue un scan de

47

Chapitre 4 : La ralisation

vulnrabilit aves loutil Nessus dautre part, sans oublier quil permet dafficher les anomalies survenues dans le rseau selon plusieurs critres.

Pour longlet Vulnrabilits, nous arrivons loutil NESSUS et son utilisation.

Utilisation de Nessus : Nessus est un outil de scurit permettant didentifier et de traiter rapidement les failles du Rseau. Il teste tous les quipements rseaux disposants dune adresse IP afin dtablir un inventaire des menaces et des vulnrabilits auxquels ils sont exposs. Il fournit gnralement pour la plupart des produits des informations dtailles sur chacune des vulnrabilits dcouvertes et un remde explicite. Les vulnrabilits dcouvertes sont classes par degr de gravit. Pour lancer un scan de vulnrabilit nous devons aller sous Analysic/vulnerabilities/, une appuyer sur New scan job comme le montre cette figure :

Figure 16:Lancer le scan de NESSUS

Ensuite, nous choisissons le ou les htes (dfinis dj) scanner, ainsi que le ou les rseaux (dfinies auparavant) scanner, comme montr ci-dessous :

48

Chapitre 4 : La ralisation

Figure 17:Choix des htes ou rseau scanner

Dans cette figure, en cliquant sur hosts nous avons choisi de scanner lhte dadresse IP 192.168.1.10. Pour valider, nous cliquons sur licne New Job (encadr en rouge). A la fin du scan le rsultat peut tre affich au-dessous dans un tableau comme le montre cette figure :

Figure 18:Rsultat de Nessus

49

Chapitre 4 : La ralisation

Maintenant, nous arrivons loutil de dtection des alertes ainsi que son interface dvaluation pour savoir lendroit de laffichage des informations dtecter sur la plateforme OSSIM. Cet outil sappelle ACID (Analysic Console for Intrusion Databases) : Cest un outil trs puissant (dvlopp en PHP) pour lexamen des informations de dtection dintrusion. Il permet de visualiser les diffrentes alertes gnres partir une base de donnes MySQL. Pour accder cette interface, il suffit dentrer sur la console dadministrationdOSSIM, et puis de consulter le module analysis/security Events(SIEM). sous ce module, nous trouvons linterface de visualisation des alertes et menaces dtectes en temps rel par les logiciels de dtections correspondantes ( nagios, snort, Nmap) Voil cette interface avant de faire nos tests

Figure 19:Affichage des derniers alertes (signature) par ACID

Dans cette figure, nous pouvons voir un affichage historique des alertes et des attaques survenues sur le rseau, avec les adresses source et destination correspondantes ainsi que le degr de risque de chaque vnement (asset) et son priorit. Dautre part, nous pouvons slectionner le choix du logiciel utiliser pour filtrer laffichage de ces alertes, et ceci travers cette interface :
50

Chapitre 4 : La ralisation

Figure 20:Choix du plugin pour l'affichage des alertes

Ce qui nous donne une possibilit trs puissante de tester les outils employs par OSSIM dans la dtection dintrusion et des alertes et des vnements survenues sur le rseau. De plus,ACID offre la possibilit ladministrateur de grer en temps rel les dtections dintrusion travers son interface REAL TIME, prsent par cette figure :

51

Chapitre 4 : La ralisation

Figure 21:Gestion en temps rel des vnements par ACID

Nous constatons travers cette interface quACID fait actualiser sa liste des vnements dtectes avec le mot Refreshing (encercl en rouge)afin quil soit en temps rel aves les vnements survenues au fur et mesure sur le rseau. Nous pouvons voir donc la date de ces vnements, ainsi que leurs risque et leurs gnrateurs (logiciel de dtection)responsable de la dtection.

d) Report Dans cet onglet, OSSIM nous permet de dlaborer des rapports dinformations concernant les quipements rseaux et systme, et peut les afficher sous forme de PDF, tout en sauvegardant dans sa base de donnes les diffrents logs des utilisateurs de ce rseau. Nous pouvons voir par exemple licne Reports/Asset report, nous tapons soit le nom de lhte, soit ladresse IP ou bien ladresse du rseau, en suite nous cliquons sur View repot,nous pouvons savoir les informations sur lhte ou les htes que nous avons dj choisies avec leurs adresse IP, leurs systmes dexploitation et le niveau de leurs priorit (ASSET).
52

Chapitre 4 : La ralisation

La figure suivante montre ses informations :

Figure 22:Inventaire de l'hte 192.168.1.10

-Sous Report/Reports, nous pouvons dtecter les alarmes et les incidents dans un fichiers PDF comme le montre cette figure :

Figure 23:Alarme Report

-Sous Report/user/log Report, nous trouvons tous les logs des utilisateurs avec les vnements subits et leurs dtails, comme le montre cette figure :

53

Chapitre 4 : La ralisation

Figure 24:Les logs des utilisateurs du rseau

Nous remarquons alors ce qui est en rouge ce sont les htes du rseau et ce qui est en bleu toutes les actions effectues par lutilisateur Admin et correspond aux machines convenables (logg in,network scan, configuration)

e) ASSET Dans cette section, nous pouvons dfinir les agents dployer sur le rseau tudi, les htes ajouter sur le rseau ainsi que le rseau personnaliser. Dfinition des agents

Pour ajouter un nouvel agent, nous allons sous Asset/hosts/, nous cloquons sur le lien new Sensor et nous compltons les informations ncessaires comme le montre cette figure :

54

Chapitre 4 : La ralisation

Figure 25:Ajout d'un nouvel agent

Ensuite nous allons sous Asset/Sensors, nous remarquons lagent par dfaut alientvault ( encadr en rouge)et lagent agent (encadr en noir) que nous avons dj ajout sont dj mise en place , comme montr par cette figure :

Figure 26:Dfinition des Agents OSSIM

Dfinition des htes

Cette tape consiste dfinir les diffrentes htes du rseau. Pour cela il faut aller sous Asset /hosts, et ajouter les machines une par une, comme lillustre cette figure :

55

Chapitre 4 : La ralisation

Figure 27:Dfinition des htes

De mme pour ajouter un nouvel hte, nous cliquons sur new et nous dfinissons les informations de lhte ajouter puis nous cliquons sur update. Voici une description illustre par cette figure :

Figure 28:Ajout d'un nouveau hte

56

Chapitre 4 : La ralisation

Dfinition des rseaux (Network)

Cette tape consiste regrouper les htes dans un ou plusieurs rseaux. Dans notre cas, nous allons dclarer un rseau englobant toutes les machines appel HOME. Allons alors sous asset /networks, et ajoutons le rseau HOME , ce qui est montr par cette figure :

Figure 29:Ajout d'un nouveau rseau "HOME" Puis, nous trouvons le rseau ajout sur la liste des rseaux existants comme le montre cette figure

Figure 30:Network home ajout

57

Chapitre 4 : La ralisation

-Sous Assets, nous avons loutil OCS Inventoy (Open Computer and Software Inventory) ou un inventaire de gestion du parc informatique. Cet outil permet de raliser un inventaire sur la configuration matrielle des machines du rseau et sur les logiciels qui y sont installs. Il permet de visualiser cet inventaire grce un interface web . Intgr la plateforme OSSIM, On peut exploiter quelques fonctionnalits de ce logiciel afin de faire un petit inventaire sur un parc informatique, et rcuprer les informations matrielle et logicielles sur la configuration des machines. Pour cela, il faut quon installe lagent dOCS sur chaque machines pour que le serveur OSSIM puisse les voir. Par exemple si nous voulons ajouter un utilisateur nous faisons comme suit :

Figure 31:Ajout d'un nouveau utilisateur "salwa"

58

Chapitre 4 : La ralisation

Aprs que nous cliquons sur register , nous constatons que le nouveau utilisateur est ajout comme le montre cette figure :

Figure 32:Russite d'ajout du nouveau utilisateur

Nous constatons de cette figure que lutilisateur nomm salwa et son type simple utilisateur (encadr en rouge) est ajout la base de donne avec laffichage du message de russite (encadr en bleu). Maintenant, nous arrivons loutil de scan de ports Nmap : Dans ce module, OSSIM permet ladministrateur dutiliser un logiciel trs reconnue dans le monde de scanner de ports cest Nmap, sous Assetasset siscovery Utilisation de Nmap :

Nmap est une sonde conu pour dtecter les ports ouverts, identifier les services hbergs et obtenir des informations sur le systme dexploitation dun ordinateur distant. Pour lacer le scan de port avec Nmap sur le serveur ossim (192.168.1.10), il faut aller sous Asset/asset discovery , et nous lanons un nouveau scan. comme le montre cette figure :

59

Chapitre 4 : La ralisation

Figure 33:Lancement du Nmap

Le rsultat peut prendre quelques instants jusqu obtenir le message suivant :

Figure 34: Fin du scan Nmap

60

Chapitre 4 : La ralisation

Les rsultats sont ensuite affichs sous Asset/hosts comme le montre cette figure :

Figure 35:Rsultat dtaill du scan Nmap

f) Intelligence En ce qui concerne le module Intelligence, OSSIM offre ladministrateur la possibilit de visualiser les rgles de corrlation dfinies par le serveur OSSIM, daugmenter la priorit dune alerte Snort lorsque lattaque aura t dcouverte par Nessus (Cross corrlation), et en fin de permettre un backlog sur les rfrences des alarmes provenant des directives dune corrlation Exemple voici une figure illustrant des alertes sauvegardes :

Figure 36:Fichier des alertes sauvegardes


61

Chapitre 4 : La ralisation

g) Situational Awareness : Concernant longlet Situational Awareness, il contient trois sous menus trs importants qui sont : Network (NTOP), Availability (NAGIOS) et IP repulation. Dans cet onglet, nous trouvons deux outils qui se prsente parmi les meilleurs outils de surveillance en rseau puisquils sont connues comme tant des solutions part et nont pas t intgr auparavant sous une plateforme complte de surveillance comme OSSIM ; Ce qui prsente une originalit pour OSSIM de faire leffort dintgrer des solutions compltes de supervision et dadministration sous une seule console. Ces outils sont Ntop(outil libre danalyse en temps rel du trafic rseau) et Nagios (outil l ibre permettant la surveillance systme et rseau, la supervision des htes et services spcifis et alertant lorsque les systmes vont mal et quand il vont mieux). Utilisation de Ntop : Ntop est un outil qui produit des informations sur le trafic dun rseau en temps rel. Pour voir les rsultats de lapplication de cette sonde sur notre rseau il faut aller sous situational/nettwork, nous allons observer ceci :

Figure 37:Les statistiques du trafic global

62

Chapitre 4 : La ralisation

La sonde Ntop prsente divers statistiques du rseau de lentreprise, avec des graphes dcrivant ltat du rseau, les connexions entrantes et sortante, les protocoles utiliss, les ports utiliss, les htes et rseaux Nous pouvons visualiser le trafic du rseau par service, ou par hte, montant et descendant pour pouvoir dtecter les services les plus utiliss et les machines suspectes ayant des taux de transfert de donnes inhabituels. Part taille de paquets :

Figure 38:Classement du trafic par taille de paquet

Dans cette figure, nous remarquons bien que le rseau de lentreprise prsente une moyenne de paquets circulant au sein du rseau denviron 347 bytes, avec la majorit des paquets sont en taille infrieure 64 bytes. Ce qui nous donne une ide sur ltat du rseau en terme du paquets . Par protocole :

63

Chapitre 4 : La ralisation

Figure 39:Classement du trafic par protocole

Nous pouvons voir travers cette figure la distribution du trafic rseau par protocole utilis, comme TCP,UDP, ICMP, DLCclass par taille de donnes, et ceci fin de mentionner quels sont les protocoles par exemple qui semblent tre les plus sollicits par les utilisateurs du rseau, ou qui consomment plus les donnes et donc qui peuvent saturer le trafic.

Par htes :

Figure 40:Classement du trafic par hte

64

Chapitre 4 : La ralisation

Dans cette figure nous remarquons que le trafic du rseau est distribu selon les postes du travail prsents sur le rseau, en effet, les htes sont class aves leurs adresse IP et Mac, en fonction de la consommation de bande passante utilise sur le rseau ; Par Exemple, ce que nous avons color en rouge et noir, ce sont les trois adresses respectives de serveur OSSIM, Monitor et le serveur de domaine ajout au rseau, et en bleu le taux doccupation de bande passante. Nous remarquons alors que le serveur OSSIM occupe une bande passante trs importante bien sr puisque tous le trafic passe par lui, de mme pour Monitor puisquil interroge tous le temps le serveur, alors que les autres htes ont un trafic qui dpond la fonction des applications utilises. Par service :

Figure 41:Classement du trafic par service

Concernant le trafic distribu par service, nous avons dans cette figure une description

65

Chapitre 4 : La ralisation

du trafic des htes selon leurs utilisations de plusieurs service comme FTI,http ,DNS , Proxy,Messenger,.. (Encadr en rouge) et ses informations sont en termes de pourcentage de donnes circules sur le rseau (en noir). Ceci peut nous aider (comme administrateurs) des interprtations concernant le service le plus utilis, ltat du service -Dautre part, nous pouvons grce NTOP, avoir une ide sur le trafic de TCP/UDP part, par distribution de ports ou services .

Figure 42:Classement du trafic TCP/UDP par distribution de ports

66

Chapitre 4 : La ralisation

Figure 43:Classement du trafic TCP/UDP par service

Ce qui nous permet de savoir quels sont les ports utiliss rcemment et les donnes transfres travers ces ports, et aussi de savoir les services utiliss par TCP/UDP grce leurs graphes de rpartition. Utilisation du NAGIOS : Nagios est un outil open source reconnu dans le monde de la supervision, il permet une supervision active et passive des serveurs, quipements rseaux, et surtout de services divers et varis. Nous allons donc de dcouvrir quelques fonctionnalits de Nagios daprs ce que nous avons rcupr comme informations sur la plateforme dOSSIM. Laccs aux diffrents lments du module Reportingseffectue en cliquant sur licne Situational Awaraness /Availability/Reporting aves ses options : Trends : graphiques de disponibilit dun hte ou dun service Availability : tableau de disponibilit des groupes dhtes, des htes ou service. Event histogram : graphiques des changements dtat dun hte ou dun service. history : historique des alertes. Event summary : tableaux des dernires alertes, par groupe dhtes, des htes ou service.
67

Chapitre 4 : La ralisation

Notification : historique des notifications Performance information : historique de tous les vnements (alerte, notification, ..) Informations sur les htes et services :

Laccs aux informations dun hote ou dun service possible par : Service dtail, puis en cliquant sur le nom dun hte ou dun service. Host detail, puis en cliquant sur le nom dun hte. Status Grid, puis en cliquant sur le nom dun hte ou dun service. Par exemple voici une figure qui montre les informations dun service :

Figure 44:Affichage des informations des services d'htes 127.0.0.1

Cette figure centralise les informations dun service dun hote donn (ici de lhote Monitor 127.0.0.1),son tat (current status),, la date de la dernire vrification(last check time),ou dernire modification (last state change). En haut gauche se trouve un cadre prsentant des liens vers les lments de rapport pour ce service. Informations sur les tats dhtes et services sous forme dhistogramme :

Llment trends (tendance), accessible sous situationnal/availability/reporting, prsente sous forme dhistogramme barres les diffrents tats dun hte et dun service sur une priode de

68

Chapitre 4 : La ralisation

temps donne. Les pourcentages relatifs chaque tat sur cette priode de temps sont inscrit droite du diagramme. Laccs cette option se fait sous licne : Trends du modle Reporting En premire tape, nous choisissons le type de rapport :

Figure 45:Choix du type de rapport

Figure 46:Section d'hte effectu

Nous choisissons si le rapport concerne dun hte ou un service. Puis nous cliquons sur continues to step 2 pour passer ltape suivante :

69

Chapitre 4 : La ralisation

Figure 47:Slection de l'hte /service dsir

Figure 48:Slection de l'hte effectu

Selon le choix de ltape prcdente, nous slectionnons lhte ou le service dsir. Nous cliquons ensuite sur Continue to Step 3 pour passer ltape suivante :

Figure 49:Paramtrage des options du rapport

70

Chapitre 4 : La ralisation

En fin, nous cliquons sur Create Report (encadr en rouge)pour gnrer le rapport, nous obtenons :

Figure 50:Rapport d'tat de 192.168.1.10

En abscisse du graphique se trouvent les dates de changement dtat (ou de redmarrage du programme Nagios)et en ordonne le nom des diffrents tats (la valeur de lordonne dfinit la hauteur de la barre de lhistogramme). A droite du graphique se trouvent les pourcentages avec la correspondance en unit de temps de ceux-ci. Dans notre cas, nous trouvons que lhote localhost marche bien (UP) partir de la date 3 May 2013 jusquau 4 May de la meme anne. Divers informations sur les services et htes sous longlet

situational/Availability/Monitoring Dans cet onglet, nous pouvons afficher ltat des htes et groupes des htes prsents sur le rseau comme le montre cette figure :

71

Chapitre 4 : La ralisation

Figure 51:Dtails du status de l'hote localhost

Nous constatons par exemple que tous les htes marchent (UP), avec les dtails de dernire consultation en temps, en dure et dautres informations. Nous pouvons avoir un rsum sur les tats de ces htes et tous les groupes dhtes travers le module analysis/availability/monitoring cette figure :

Figure 52:Sommaire des tats des groupes d'htes

De mme pour les services, nous pouvons afficher les informations de leurs tats :

72

Chapitre 4 : La ralisation

Figure 53:Dtails du statut des services des htes

Finalement, nous pouvons dire que Nagios est vraiment lun des meilleurs logiciels de supervision de rseau (htes et service), vu les informations dtailles que nous avons rencontres lors de cette tude sur la plateforme OSSIM. h) Configuration : Dans ce module, la configuration de quelques paramtres dOSSIM, le framework, les agents et leurs plugins rcupreront ces diffrentes informations et la plateforme fonctionne suivant le choix de ladministrateur travers ces paramtres. Voici les interfaces correspondantes :

Figure 54:Configuration simple des paramtres d'OSSIM

73

Chapitre 4 : La ralisation

Figure 55:Configuration avance des paramtres d'OSSIM

En cliquant sur nimporte quel paramtre, une figure saffiche pour donner les caractristiques de ce paramtre configurer (par exemple numro de port pour vulnerability scanner, chemin de destination de fichier de log,..).

Conclusion :
Dans ce chapitre, pour la ralisation de notre projet, nous avons tous dabord prsent lenvironnement de dvloppement c'est--dire lenvironnement matriel et logiciel . Puis ltude pratique de la plateforme OSSIM et la mise en place de la solution au sein de la socit dacceuil en dcrivant son installation et sa configuration ,et ceci en prsentant linterface web dOSSIM avec ses principales modules de fonctionnalits intgres au sein de la solution, tout en prsentant ce que nous avons test comme fonction avec les commentaires et les interfaces correspondants,rcupres lors de cette tude .

74

Conclusion gnrale

Conclusion gnrale
Notre projet de fin dtudes a port sur ltude et la mise en place dune plateforme Open Source de surveillance rseaux et systme, le long du dur de ce stage au sein de la socit daccueil SACEM industries. Tout au long de ce travail, nous tions amenes faire quatre grandes parties : La premire partie est une prsentation du cadre du projet : cest la prsentation de la socit daccueil SACEM industries ainsi que ltude de lexistant du systme dinformation de la socit, en prsentant ce systme avec ses divers composants (matriels/logiciels, architecture du rseau ,..) et en prsentant la stratgie de scurit informatique suivie et ses diffrents caractristiques (politique de scurit, moyens de protection, etc..) ,pour finir par llaboration dune petite synthse sur les inconvnients de ce systme informatique. Ce qui nous a permit de dgager des interprtations importantes travers les recommandations tablies, visant donc mieux encadrer notre travail par la suite : Ce que nous avons constat au sein de la socit, cest que la SACEM garde bien une politique de scurit informatique assez bonne mais le problme cest quelle contient quelques failles qui peuvent tre un peu menaantes vis--vis de son systme informatique. Ces interprtions se rsument en la ncessit primordiale dun systme de management et de scurit de linformation ayant pour but de renfoncer la scurit informatique du systme dinformation du rseau de lentreprise et de maintenir le suivi quotidien des activits rseaux avec la gestion instantane des alertes et des incendies pouvant tre survenus . Do la ncessit de la centralisation de ce systme afin quil puisse grer tous ses besoins retrouvs au sein de la socit.

En deuxime partie, nous avons ralis une tude approfondie sur la supervision et ladministration des rseaux, et sur quelques solutions libres conues essentiellement pour assurer ces fonctions.

76

Conclusion gnrale

Cette tude nous a permis de faire une description dtaille des rseaux informatiques en gnral et plus prcisment du concept de supervision et dadministration de systme dinformation et ce, dans lobjectif de spcifier les intrts quelle apporte sur la gestion efficace du systme dinformation. Puis nous avons dfini quelques terminologies principales de la scurit informatique en parlant sur les diffrents risques que peuvent rencontrer les entreprises et videmment la manire sen protger. Et en fin nous avons prsent quelques solutions libres de surveillance rseau ( Nagios ,Zabbix et OSSIM) en prsentant pour chacune delle son architecture et principe de base, ses avantages et ses inconvnients . Et partir de cette tude, nous avons effectu le choix dune solution, parmi celles que nous avons tudies, et la faire implmenter au sein de la socit. Selon les critres de besoins tablis dj au cours de notre tude de systme dinformation. Ce choix tait donc la solution OSSIM. En troisimes partie nous avons faire une spcification de besoins qui dcritles besoins auxquels doit rpondre notre solution : Les besoins fonctionnels :expriment lactionque doit effectuer le systme en rponse une demande. les besoins non fonctionnels expriment les besoins dutilisabilit,les Besoins de performance, les Besoins de disponibilit/fiabilit, lesBesoins de scurit, lesBesoins matriels, lesBesoins de dploiement

En dernire parties, nous avons dcritla ralisation de notre projet au sein de la socit daccueil SACEM : Nous avons fait tous dabord une description de lenvironnement de dveloppement de notre solution c'est--dire de prsenter lenvironnement matriel et logiciel ainsi que les outils de dveloppement utiliss. Puis nous avons enchain avec la partie pratique : cest--dire la mise en place de cette plateforme : nous avons effectu alors les tests ncessaires des diffrentes fonctionnalits rgies par OSSIM.

77

Conclusion gnrale

Tous au long de cette partie, nous avons remarqu que OSSIM ralise divers fonctionnalits importantes de gestion de systme dinformations telles que : La surveillance des quipements rseaux (htes, serveurs,) La gestion des composants du systme La gestion parfaite et instantane des activits et des vnements survenues au sein du rseau La gestion des anomalies et des incendies La gestion en temps rel des alertes .

Tout au long la priode de notre stage, nous avons eu la chance de bnficier notre formation de technicien suprieur en service et rseau informatique, puisque pendant cette priode nous avons pu apprendre plein de notions de scurit informatique. Ainsi, ce stage est une occasion pour travailler en quipe ; il permet davoir diffrents points de vue et de les discuter, et cela est un facteur primordial pour avoir une maturit de rflexion et de raisonnement, et surtout de nous permet de constater la diffrence entre la vie professionnelle et lide thorique prconu.

78

Bibliographie et ntographie

Bibliographie et Ntograhie

Nazim AGOULMINE, Omar CHERKAOUI., "Pratique de la gestion de rseau", Edition Eyrolles, 2003.

Philippe MARTINET., Rapport de stage, "Mise en uvre dun prototype darchitecture OSSIM", 2006.

Yves LESCOP., "Scurit", http://yelscop.free.fr/mrim/cours/securite.pdf,2002.

http://www.editions-eyrolles.com/Livre/9782212112597/pratique-de-la-gestion-de-reseau http://www.philippe-martinet.info/ossim-project/Rapport-OSSIM-Philippe-Martinet.pdf http://www.philippe-martinet.info/ossim-project/Rapport-OSSIM-Philippe-Martinet.pdf http://www.securinets.com/sites/default/files/tuto_pdf/ossim.pdf http://www.securinets.com/sites/default/files/tuto_pdf/ossim.pdf http://www.isima.rnu.tn/pages%20fr/telechargement/Presentation%20open%20sourcex.pdf http://communities.alienvault.com/ http://www.zabbix.com/ http://www.nagios.org/ http://www.alienvault.com/docs/wiki/docu.php?id=installation http://fr.wikipedia.org/wiki/Supervision

80

Bibliographie et ntographie

ANNEXES

ANNEXE1 :fichiers

de configuration de serveur OSSIM


/etc/ossim/server/config.xml

ANNEXE2 :fichiers

de configuration de lagent OSSIM


/etc/ossim/agent /config.gc

81

Bibliographie et ntographie

Fichier de configuration de serveur OSSIM


/etc/ossim/server/config.xml < ?xml version= 1.0 encoding= UTF-8 ?> =<config> <log filename=/var/log/ossim/server.log /> <framework name= alienvault ip=127.0.0.1 port=40003 /> =<datasource> <datasource name= ossimDS provider MySQL Dsn=PORT=3306;USER=root;PASSWORD= ;DATABASE=alienvault;HOST=localhost /> <datasource name= snortDS provider MySQL Dsn=PORT=3306;USER=root;PASSWORD= ;DATABASE=alienvault;HOST=localhost /> <datasource name= osvdbDS provider MySQL Dsn=PORT=3306;USER=root;PASSWORD= ;DATABASE=alienvault;HOST=localhost /> </datasource> <directive filename=/etc/ossim/server/directive.xml /> <scheduler interval=15 /> <server port=40001 name=ossim ip=0.0.0.0 /> </config>

82

Bibliographie et ntographie

Fichier de configuration de lagent OSSIM


/etc/ossim/agent/config.cfg

[daemon] Daemon=true Pid=/var/run/ossim-agent.pid

[event-consolidation] By_lpugin=1001-1150,1501-1510,4001-4010 Enable=false Time=10

[log] Error=/var/log/ossim/agent_error.log File=/var/log/ossim/agent.log Stats=/var/log/ossim/agent_stats.log Verbose=info

[output-csv] Enable=false File= var/log/ossim/agent-events.csv

[output-db] Base=ossim_events Enable=false Host=localhost Pass=yoursecretpassword Type=mysql


83

Bibliographie et ntographie

User=root

[output-plain] Enable=false File=/var/log/ossim/agent-plain.log

[output-server] Enable=true Ip=192.168.1.10 Port=40001

[plugin-defaults] Date_format=%Y-%m-%d%H:%M:%S ;format, not date itself Interface=eth0 Ossim=eth0 Ossim_dsn=mysql:localhost:ossim:root:RckkYUIXnfg Sensor=192.168.1.10

[plugins] Arpwatch=/etc/ossim/agent/plugins/arpwatch.cfg Iptables=/etc/ossim/agent/plugins/iptables.cfg nagios=/etc/ossim/agent/plugins/nagios.cfg nmap=/etc/ossim/agent/plugins/nmap-monitor.cfg ntop=/etc/ossim/agent/plugins/ntop-monitor.cfg osiris=/etc/ossim/agent/plugins/osiris.cfg ossim-ca=/etc/ossim/agent/plugins/ossim-monitor.cfg p0f=/etc/ossim/agent/plugins/p0f.cfg pads=/etc/ossim/agent/plugins/pads.cfg pam_unix=/etc/ossim/agent/plugins/pam_unix.cfg rrd=/etc/ossim/agent/plugins/rrd.cfg
84

Bibliographie et ntographie

snare=/etc/ossim/agent/plugins/snare.cfg snort=/etc/ossim/agent/plugins/snortunified.cfg ssh=/etc/ossim/agent/plugins/ssh.cfg sudo=/etc/ossim/agent/plugins/sudo.cfg

[watchdog] Enable=true Interval=30 Restart_interval=3600; second betweenplugin process restart

85