Vous êtes sur la page 1sur 20

Techniques de supervision

de la scurit des rseaux IP


par

et

Sarah NATAF,
Vincent BEL
Franck VEYSSET
Ingnieurs dtudes en scurit des rseaux, France Tlcom R&D

1.
1.1
1.2
1.3

Normes : protocoles et formats de donnes de la supervision ..


SNMP............................................................................................................
Fichiers de journalisation............................................................................
Protocole mergent : COPS ........................................................................

H 5 820 3

2.
2.1
2.2
2.3

Primtre....................................................................................................
Quels sont les quipements concerns ? ..................................................
Quels sont les vnements et les indicateurs superviser ? ..................
Architecture de supervision ........................................................................

6
6
8
8

3.
3.1
3.2

Supervision en temps rel.....................................................................


Objectifs........................................................................................................
Outils.............................................................................................................

8
8
8

4.
4.1
4.2
4.3

Supervision en temps diffr ...............................................................


Analyse dattaques ......................................................................................
Tableau de bord de scurit........................................................................
Inputs vers des outils daide la dcision.................................................

13
13
16
16

5.
5.1
5.2
5.3
5.4

Politique de scurit et supervision ...................................................


Politique de scurit ....................................................................................
Norme ISO 17799.........................................................................................
Veille scurit ...............................................................................................
Que faire en cas de problme de scurit ? ..............................................

17
17
18
18
18

6.

Conclusion .................................................................................................

20

Rfrences bibliographiques .........................................................................

20

es meilleurs dispositifs de scurit ne peuvent pas protger de faon optimale un rseau sils ne sont pas correctement superviss. Ainsi, la scurit
dun rseau repose dune part sur larchitecture et son adquation aux besoins
des composants qui le constituent, mais aussi sur ladministration et la supervision, au jour le jour, de ces quipements.
Cet article a pour objectif daborder le domaine de la supervision de la scurit
des rseaux. ce titre, sont prsents les aspects techniques de supervision,
protocoles et outils les plus utiliss par les administrateurs rseau, cibles de
supervision. Les aspects politique de scurit lis la supervision permettent
de conclure.
Les protocoles et les formats de donnes SNMP ou Syslog sont utiliss dans
les outils de supervision. COPS est un protocole rcent visant normaliser les
changes de flux de supervision.

Toute reproduction sans autorisation du Centre franais dexploitation du droit de copie est strictement interdite.
Techniques de lIngnieur

H 5 820 1

TECHNIQUES DE SUPERVISION DE LA SCURIT DES RSEAUX IP

_______________________________________________________________________________

Les aspects primtre de supervision , architecture, lments surveiller


sont dautant plus importants quils conditionnent normment lefficacit dun
systme de supervision, et sont difficilement modifiables a posteriori.
La supervision en temps rel et la supervision en temps diffr sont gnralement utilises par des populations diffrentes au sein dune entreprise (les
exploitants tant plus intresss par la supervision en temps rel pour la ractivit, les responsables par une supervision en temps diffr pour une vision
plus synthtique de la scurit). Dans chaque cas, plusieurs outils couramment
utiliss sont prsents, avec quelques exemples dutilisation, ainsi quune analyse succincte de leurs rsultats.
Les aspects politique de scurit, norme ISO 17799, veille scurit et plan de
reprise sur incident, notamment les interactions avec la supervision de la scurit, sont souvent ngligs dans une politique de gestion de la scurit, mais
sont primordiaux pour une ractivit optimale en cas dincident.
Un entretien avec Eric Wiatrowski, directeur adjoint la scurit de France
Tlcom Transpac, fournit quelques rponses concrtes aux problmatiques
dexternalisation de la supervision de la scurit.

(0)

Symboles (suite)

Symboles
ADSL :

Asynchronous Digital Subscriber Line

ASN.1 :

Abstract Syntax Notation 1

CERT CC : Computer Emergency Response Team Coordination


Center
CERT :

Computer Emergency Response Team

CLUSIF : Club de La Scurit des Systmes dInformation Franais

MSG :
MX :
NIDS :
NS
OSI
PAQ :

Message
Mail eXchange
Network-based Intrusion Detection System
Name Server
Open Systems Interconnexion
Plan dAssurance Qualit

CNIL :

Commission Nationale de lInformatique et des Liberts

PAS :

Plan dAssurance Scurit

COPS :

Common Open Policy Service

PCIM :

Policy Core Information Model

CPU :

Central processing Unit

PDP :

Policy Decision Point

CRC :

Cyclic Redundancy Code

PEP :

Policy Enforcement Point

DES :

Data Encryption Standard

PIB :

Policy Information Base

DNS :

Domain Name Service

PRI :

Priority Value

ESM :

Enterprise Security Management

QoS :

Quality of Service

HIDS :

Host-based Intrusion Detection System

RFC :

HMAC :

hashing message authentication codes

RMON :

ICMP :

Internet control message protocol

IDS :

Intrusion Detection System

IETF :

Internet Engineering Task Force

IPFIX :

Internet Protocol Flow Information eXport

IPS :

Intrusion Prevention System

ISC :

Internet Storm Center

ISO :
ITSEC :
LAN :
MBSA :
MD5 :
MIB :

International Organization for Standardization

Request For Comment


Remote MONitoring

RSVP :

ReSerVation Protocol

SANS :

SysAdmin, Audit, Network, Security

SMI :

Structure of Management Information

SMS :

Short Message Service

SMS :
SNMP :

Systems Management Server


Simple Network Management Protocol

TCP :

Transmission Control Protocol

TEB :

Taux derreur binaire

Microsoft Baseline Security Analyzer

TOS :

Type of service

Message Digest version 5

UDP :

User Datagram Protocol

Management Information Base

VPN :

Virtual Private Network

Information Technology Security Evaluation Criteria


Local Area Network

H 5 820 2

Toute reproduction sans autorisation du Centre franais dexploitation du droit de copie est strictement interdite.
Techniques de lIngnieur

_______________________________________________________________________________ TECHNIQUES DE SUPERVISION DE LA SCURIT DES RSEAUX IP

1. Normes : protocoles
et formats de donnes
de la supervision
Dans cette partie, nous dtaillons quelques normes primordiales
dans un environnement multiconstructeur. Nous commenons par
le protocole SNMP (Simple Network Management Protocol), un protocole trs rpandu dans la supervision et la remonte dalarme sur
les rseaux IP ainsi que la gestion de configuration. Nous dcrirons
galement deux formats de donnes qui sont utiliss dans la collecte de donnes de supervision : syslog et netflow. Enfin, nous
aborderons un protocole de gestion de rseau mergeant, COPS
(Common Open Policy Service), un nouveau standard pour la gestion de politiques sur un rseau IP.

DES (Data Encryption Standard) : mthode de chiffrement officielle du gouvernement amricain, labore par IBM dans les
annes 1970.
La version 1 de SNMP est encore trs couramment utilise, malgr les failles importantes de scurit quelle comporte. Cela est d
en grande partie au fait que de nombreux quipements ne permettent pas une supervision via les versions 2 et 3 des protocoles. De
plus, une modification de la version utilise pour le protocole de
supervision nest pas facile. Il faut en effet modifier beaucoup de
versions de systmes dexploitation et de logiciels dune grande
varit, ce qui est trs difficile faire dans un environnement de production. Les administrateurs prfrent essayer de compenser les
problmes de scurit lis au protocole en installant des
mcanismes de scurisation supplmentaires autour et au sein du
rseau superviser.
La version 2 du protocole est ainsi trs rarement utilise. Les
avantages offerts ne sont pas suffisants pour que les administrateurs rseau envisagent de modifier la totalit de leur rseau
dadministration.

1.1 SNMP
SNMP (Simple Network Management Protocol) est le protocole
standard pour grer des quipements rseau en environnement IP. Il
permet :
dchanger des lments de configuration des lments rseaux ;
de dtecter et danalyser les problmes sur un rseau par interrogation ou remonte dalarmes ;
de surveiller les performances rseaux et raliser des statistiques.
Des agents SNMP sont rpartis sur les objets superviss, les
serveurs SNMP permettent de grer ces objets. Pour identifier les
partenaires, les commandes envoyes sont accompagnes dun
identifiant de communaut (community string) ; lagent exploite
cette donne pour identifier le serveur et donne alors laccs en lecture et/ou en criture en fonction de cette information. Il y a deux
modes de fonctionnement :
le polling, dans lequel la station de supervision interroge les
agents tour de rle ;
les Trap SNMP, o lquipement lui-mme remonte une
alarme pour signaler une anomalie vers le superviseur.
Les agents peuvent tre installs sur des objets trs htrognes :
firewalls, routeurs, serveurs, mainframes, stations de travail, switches, etc. (figure 1). Pour connatre les structures de donnes propres chaque objet supervis, la MIB (Management Information
Base) est interroge. Cest une base de donnes dinformations de
management des quipements rseau (sous forme de variables et
tables) accessible via le protocole SNMP. Un fichier MIB est un document texte crit en langage ASN.1 (Abstract Syntax Notation 1) et
SMI (Structure of Management Information) qui dcrit les variables,
les tables et les alarmes gres au sein dune MIB.
Nota : pour plus dinformation, on peut se rfrer larticle TI [H 2 860] rf. [12].

Le principe dauthentification tant basique (nom de communaut circulant en clair sur le rseau dans la version 1 du protocole),
le protocole SNMP a su voluer pour garantir un minimum de scurit. SNMPv2 utilise notamment lalgorithme MD5 (Message
Digest 5) pour hacher les noms de communaut. La scurit a t
tudie plus en avant dans la norme SNMPv3, qui intgre des
mcanismes de vrification dintgrit des messages, dauthentification (avec des algorithmes de hachage tels que HMAC-MD5 ou
HMAC-SHA-1) ainsi que du chiffrement (DES 56 bits).
MD5 : fonction de hachage unidirectionnelle qui associe une
entre donne une signature de longueur fixe unique. Un message est ainsi identifi par sa signature MD5 car deux messages
diffrents ont pour hachages MD5 respectifs deux signatures
diffrentes ; il est impossible de retrouver un message partir
de sa signature MD5.

La version 3 commence se dvelopper, notamment pour les


nouvelles plates-formes. Les logiciels de supervision les plus courants (HPOpenView, IBM Tivoli, Unicenter TNG...) supportent maintenant cette version sans problme, ce qui facilite le dploiement au
sein dune entreprise.
Dans le cadre de la supervision de la scurit, le protocole SNMP
participe la dtection des attaques en temps rel. Les agents SNMP
sont rpartis sur toutes machines susceptibles denvoyer une alarme
(dysfonctionnement de lquipement, comportement anormal
signal par un lment rseau tels que trafic bloqu par une liste
daccs ou Access List, dpassement de seuil de bande passante, etc.)
ou gnre par un dispositif de scurit tel que firewall, sonde de
dtection dintrusion rseau ou rsident sur un hte, etc.
Un autre protocole appel RMON (Remote MONitoring) est
fond sur le mme principe que SNMP et le complte en sintressant aux alarmes gnres par les couches basses 1 et 2
du rseau (couche physique et couche liaison de donnes,
cf. [3]). Ce primtre tant limit, une nouvelle version sintresse la supervision des performances et aux communications
de bout en bout.

1.2 Fichiers de journalisation


Dans le cadre dune supervision centralise, les donnes contenues dans les fichiers journaux ou logs crs sur les diffrents quipements sont remontes des serveurs de logs sur lesquels elles
sont stockes et traites. Il est noter que les dlais de conservations dpendent de contraintes techniques mais galement de
contraintes lgales. On distingue en effet les donnes contenant des
informations nominatives (soumises des rgimes diffrents, en
particulier la dclaration de la Commission nationale de linformatique et des liberts CNIL) des autres.

1.2.1 Syslog
Syslog est un standard de fait pour tout ce qui concerne les messages de notification dvnements dfinissant la fois le format de
ces donnes et le mcanisme de transport de ces messages sur le
rseau. lorigine, le protocole syslog a t dvelopp pour la pile
TCP/IP de BSD (Berkeley Software Distribution) et a ensuite t
adapt sur de nombreux systmes. Le RFC 3164 de IETF (Internet
Engineering Task Force) [2] a dailleurs t rdig aprs observation
du comportement de ce protocole et nest pas une spcification
part entire.

Toute reproduction sans autorisation du Centre franais dexploitation du droit de copie est strictement interdite.
Techniques de lIngnieur

H 5 820 3

TECHNIQUES DE SUPERVISION DE LA SCURIT DES RSEAUX IP

MIB

_______________________________________________________________________________

MIB

Switch

Routeur

MIB
Serveurs

Rseau externe
Firewall

MIB

MIB

MIB

Routeur
MIB
MIB
Mainframe

flux SNMP

Superviseur

Superviseur

Figure 1 Systme dinformation supervis par SNMP

La plupart des vnements survenant sur un systme peuvent tre


loggs, comme par exemple une connexion un service, une erreur
dauthentification, un message du noyau ou dune application donne. Pour chacun de ces vnements, un message est gnr.
Deux proprits caractrisent un message : sa facilit et sa svrit,
qui peuvent tre reprsentes par des entiers. La facilit permet de
distinguer quel est le processus ou dmon tournant sur le systme
lorigine du message de notification : certains processus ont des
valeurs prdfinies (tableau 1), les autres peuvent utiliser les facilits
locales (huit facilits sont ainsi dfinies, de local0 local7).
(0)

Tableau 1 Facilits syslog et leurs valeurs


numriques
Code numrique

Facilit

Tableau 1 Facilits syslog et leurs valeurs


numriques (suite)
Code numrique
10

Facilit
security/authorization messages

11

FTP daemon

12

NTP subsystem

13

log audit

14

log alert

15

clock daemon

16

local0

17

local1

kernel messages

18

local2

user-level messages

19

local3

mail system

20

local4

system daemons

21

local5

security/authorization messages

22

local6

messages generated internally by syslogd

23

local7

line printer subsystem

network news subsystem

UUCP subsystem

clock daemon

H 5 820 4

Chaque message a galement un niveau de svrit, traduit par


une valeur numrique de 0 7 (tableau 2), 0 tant le niveau dalerte
le plus grave.
(0)

Toute reproduction sans autorisation du Centre franais dexploitation du droit de copie est strictement interdite.
Techniques de lIngnieur

_______________________________________________________________________________ TECHNIQUES DE SUPERVISION DE LA SCURIT DES RSEAUX IP

Tableau 2 Svrits syslog et leurs valeurs numriques


Code numrique

Svrit

emergency : systme inutilisable

alert : action effectuer immdiatement

critical : conditions critiques

Error : conditions derreurs

warning : message davertissement

notice : normal mais significatif

informational : informations

debug : message de dboguage

Exemple : fichier de configuration/constructeur/syslog.conf


sur un serveur UNIX
*.err; kern.debug; auth.notice; mail.crit /dev/console
*.notice; kern.debug; lpr.info; mail.crit /var/log/messages
security.*
/var/log/security
auth.info; authpriv.info
/var/log/auth.log
mail.info
/var/log/maillog
cron.*
/var/log/cron
*.emerg
/var/log/console.log
*.*
@collecteur.reseau.com
Dans cet exemple, les messages critiques sont envoys sur la
console pour avertir directement ladministrateur ; tous les messages sont de plus envoys sur la machine distante ayant pour nom
collecteur.reseau.com .
Exemple : extrait du fichier journal
Jan 12 12:38:21 serveur proftpd [24279] : serveur.domaine.com
(client.domaine-client.fr [10.10.12.12]) no such user
anonymous
Jan 12 12:39:01 serveur ntpdate [4342] : step time server
10.1.123.123 offset 0.572873 sec
Jan 12 12:39:04 serveur sshd [23081] : Accepted password for
utilisateur1 from 10.2.34.56 port 1281 ssh2
Un message ne doit pas dpasser en taille 1 024 octets. Le format
du message est scind en trois parties :
le PRI (Priority Value ou priorit) : il sagit dune chane de
caractres compose du caractre infrieur (<), suivi de 1
3 chiffres, suivi du caractre suprieur (>). Les chiffres composant
la chane sont obtenus en multipliant la facilit par huit et en ajoutant la priorit ;
lentte (header) : cest une chane de caractres imprimables
qui inclut un tampon dhorodatage fix daprs lheure locale sur le
systme (champ TIMESTAMP, sous la forme Mmm jj hh:mm:ss ),
ainsi que des indications sur la machine mettrice de ce message
(nom dhte ou adresse IP, champ appel HOSTNAME). Ces deux
champs sont spars par un espace ;
le MSG (Message) : il contient des informations supplmentaires sur le processus ayant mis le message (partie appele
TAG), ainsi que le texte du message (partie CONTENT).
Les remontes des fichiers journaux travers le rseau se font audessus du protocole UDP (port 514), et ce vers un serveur syslog ou
collecteur. Pour mmoire, ce protocole de transport fonctionne en
mode non connect, cest--dire tout paquet perdu lest
dfinitivement, il ny a pas de mode de retransmission (cf. [H 2 288]
rf. [13]). Les messages peuvent traverser un ou plusieurs relais
avant datteindre le serveur syslog.

En fonction des enttes reus, le relais transfre le message ainsi


modifi :
si PRI et TIMESTAMP sont valides : le message est transmis
sans modification au serveur syslog (ou relais suivant) adquat. Le
nom dhte nest pas valid outre mesure ; aucune vrification nest
effectue. Le tampon dhorodatage nest pas modifi mme si le
systme nest pas synchronis, ce qui montre limportance de la
synchronisation temporelle des lments dune plate-forme dans la
supervision ;
si PRI est valide mais TIMESTAMP absent ou invalide : le relais
insre son propre tampon dhorodatage fix lheure locale, voire un
HOSTNAME si celui-ci est absent (le relais insre le nom dhte quil
connat pour ce systme) ; il vrifie que la taille du paquet est toujours
infrieure la limite fixe 1 024 octets puis transmet ce paquet ;
si PRI est absent ou invalide : le relais insre le PRI <13> ainsi
quun tampon dhorodatage (et ventuellement un HOSTNAME) et
retransmet le message. Si le paquet dpasse les 1 024 octets, il est
alors tronqu (et le message sera incomplet).
Synchronisation des quipements
Cela montre entre autres limportance de la synchronisation
horaire dans la supervision entre les machines dun mme
rseau. Un vnement de scurit impacte le plus souvent plusieurs lments dune plateforme. Si les dates ne sont pas
rigoureusement identiques entre ces machines, il sera quasiimpossible de retracer un vnement de scurit travers le
temps et donc de le diagnostiquer correctement. Cest pourquoi
lensemble des quipements (lments du rseau, serveurs
applicatifs, mainframe, serveurs de stockages) dune plateforme doit communiquer avec des serveurs de temps et se synchroniser rgulirement.
Pour fiabiliser ce protocole et viter toute perte de paquet (due
la couche de transport UDP), ainsi qulever le niveau de scurit
(authentification des paquets, pour prouver lidentit de la machine
mettrice, intgrit des messages), des volutions du protocole sont
en cours.
Il existe notamment des extensions de syslog en TCP pour certains
quipements (les firewall PIX de Cisco parmi dautres). Cela permet
de sassurer que les messages circulent correctement sur le rseau.

1.2.2 Netflow
Cette technologie, invente par Cisco Systems, permet de collecter des donnes sur le trafic traversant des quipements rseau, et
ainsi deffectuer des mesures de trafic dans le cadre de la mtrologie ou encore du comptage pour la facturation. Des protocoles quivalents existent, ayant adopt les mmes mcanismes de transports
mais avec des systmes et des formats diffrents. Cela rend difficile
le dveloppement dun outil danalyse gnrique commun. Des travaux sont en cours lIETF pour normaliser un protocole dchange
dinformation sur les flux : IPFIX (Internet Protocol Flow Information
eXport). Nous dtaillerons ici Netflow car il est trs utilis et
reconnu par de nombreux outils.
Un flux IP est caractris entre autres par ses adresses IP source
et destination, le protocole utilis, les ports sources et destinations,
les interfaces dentres et de sortie et le champ TOS. Lors du premier passage du paquet, le routeur va consulter ses tables de routage pour dterminer vers quel prochain point lenvoyer (ce qui
utilise des ressources CPU et induit une latence lgre). Les paquets
suivants bnficient du cache Netflow lors de leur entre sur le routeur, ce qui permet au routeur daccder linformation de routage
plus rapidement et donc dobtenir un gain de temps non ngligeable sur la traverse du routeur.
Lorsque le routeur libre son cache Netflow dune entre, il peut
envoyer un datagramme vers un superviseur en incluant les infor-

Toute reproduction sans autorisation du Centre franais dexploitation du droit de copie est strictement interdite.
Techniques de lIngnieur

H 5 820 5

TECHNIQUES DE SUPERVISION DE LA SCURIT DES RSEAUX IP

_______________________________________________________________________________

mations de routage. Ces donnes sont rassembles par un collecteur gnrique (diffrentes offres existent) qui effectue souvent des
prtraitements basiques permettant lmission de rapports. Celles
qui nous intressent ici sont les donnes de comptage (Netflow
accounting), qui peuvent tre pertinentes pour la supervision de la
scurit. Leur analyse peut tre par exemple judicieuse dans le cas
danalyse dattaque de type dni de service, ainsi que pour la dtection dventuelles prmisses des attaques : grce une agrgation
des logs adquate (classement par adresse IP source, ou au
contraire destination, ou port destination, etc.), on peut observer
des comportements et expliquer des incidents de scurit donns.
Cisco offre ainsi le FlowCollector (disponible sous Solaris ou HPUX), produit permettant de collecter les donnes de plusieurs quipements rseau des fins de mtrologie, analyse de congestion et/
ou facturation. La console FlowAnalyzer permet alors de visualiser
les flux et produire des rapports de supervision.

1.3 Protocole mergent : COPS


Dfini par lIETF, le protocole COPS permet dchanger des informations de politique entre diffrents lments du rseau. Il est spcifi dans le RFC 2748 [1]. Ce protocole fonctionne sur le modle
client/serveur. Un serveur de distribution de politique (PDP ou Policy
Decision Point) peut ainsi grer des points dapplication de politique
(PEP ou Policy Enforcement Point) tels que routeurs, switches,
firewalls, leurs transmettre les rgles de configuration quils doivent
appliquer, afin doptimiser la transmission des donnes et amliorer
la qualit de service (figure 2).
Ce protocole est bas sur TCP et est donc fiable, au sens transport
rseau, contrairement au transport des informations SNMP ou syslog. Il gre les requtes des PEP vers les PDP. Pour authentifier, assurer lintgrit ou chiffrer les changes, il est possible dutiliser ce
protocole sur une couche IPsec ou TLS.
Les modles de politique sont galement dfinis par lIETF et se
basent sur le modle CIM (PCIM ou Policy Core Information Model).
Il existe deux modles principaux du protocole COPS :
le modle dapprovisionnement (ou provisionning) dans
lequel des informations de configuration (PIB ou Policy Information
Base) descendent vers les points dapplication ;
le modle dit doutsourcing dans lequel les PEP font remonter
des informations au serveur de politiques pour dterminer sils ont
le droit deffectuer telle ou telle modification ; les PDP vrifient la
cohrence de la situation avec la politique mise en uvre et renvoient la dcision finale aux PEP.
Grce ce protocole, il est alors possible dobtenir une gestion
des configurations centralise et de faire de la QoS (qualit de service) de bout en bout. COPS est par exemple trs utile pour le RSVP,
un protocole de rservation dynamique de bande passante trs
employ dans les applications multimdia.

2. Primtre
2.1 Quels sont les quipements
concerns ?
Il est trs important de dfinir soigneusement le primtre des
quipements superviser. Il ne faut pas se limiter aux seuls firewalls
ou plus gnralement aux quipements daccs au rseau. En effet,
il est possible quun programme malicieux atteigne le rseau
interne par un moyen autre, comme une disquette avec un virus par
exemple. Il est aussi possible quun vnement interne perturbe
gravement les performances dun rseau, comme un routeur de

H 5 820 6

Outil de gestion
de configurations

PEP

Base de
politiques

PDP

PDP

PDP

PEP

PEP

PEP

PEP

PEP

PEP

PEP

Figure 2 Cas du provisionning avec COPS

lIntranet qui ne fonctionne plus correctement. Si les quipements


concerns et les vnements anormaux concernant ces quipements ne sont pas remonts, il peut alors tre trs difficile de dceler le problme et plus encore de remettre le rseau en place.
La dfinition du primtre de scurit doit donc couvrir lensemble des quipements nvralgiques, serveurs comme quipements
de routage. Ce primtre est grandement dpendant du type de
mtier de lentreprise . Un hbergeur va surveiller de trs prs la disponibilit de son rseau, le bon droulement des sauvegardes des
donnes hberges, les ressources disponibles des machines, etc.
Un oprateur de tlphonie mobile va pour sa part veiller ce que
les multiples cellules fonctionnent correctement, la couverture de
son rseau (redondance correcte), etc.
Il faut donc dterminer les zones importantes superviser relativement son mtier, que lon surveillera en priorit. Il est gnralement conseill de navoir que quelques serveurs rassemblant les
informations de supervision de manire synthtiser aisment toutes les informations importantes. Sil y a plusieurs zones surveiller,
il faut alors avoir quelques serveurs par zone pour surveiller plus
efficacement les quipements suivis. En effet, les personnes qui
soccupent de la supervision sont le plus souvent peu nombreuses,
et pour viter de se dplacer dun poste de supervision un autre, la
centralisation permet davoir sur quelques postes une visibilit de
lensemble du rseau (figure 3). Il existe une solution intermdiaire
qui peut tre intressante. Le principe est de mettre des serveurs de
monitoring sur chacun des sites superviser, et un autre serveur (ou
plusieurs autres si besoin), au-dessus des serveurs sur les sites, ces
derniers effectuant un premier niveau de filtrage (figure 4). Cette
solution prsente tout de mme le dsavantage dtre plus complexe, et de ne pas donner un vritable aperu global de la scurit.
Nanmoins, elle prsente lavantage de pouvoir superviser des
rseaux trs tendus, sans surcharger les bandes passantes. En
effet, si les sites superviser sont gographiquement trs loigns,
les liens rseaux entre ces sites et les personnes les supervisant
cotent relativement cher, surtout sils sont de dbit important. Le
fait de trier en local les donnes de supervision permet donc dconomiser de la bande passante car les donnes envoyes au site central sont alors beaucoup moins importantes.
L encore, la spcificit des besoins permet de dterminer quelle
solution est la plus adapte lentreprise.
Une fois cette tude de zones importantes superviser effectue,
il faut alors se pencher sur les zones non prioritaires . Une supervision sommaire, par exemple savoir si les machines sont encore oprationnelles, sans entrer dans le dtail des ressources disponibles,
permet de rester vigilant sur des problmes importants.

Toute reproduction sans autorisation du Centre franais dexploitation du droit de copie est strictement interdite.
Techniques de lIngnieur

_______________________________________________________________________________ TECHNIQUES DE SUPERVISION DE LA SCURIT DES RSEAUX IP

Site de supervision

Serveur de supervision global


Remont
Remonte
emonte
ed'informations
d'information

Remonte
Remont
emonte
ed'informations
d'information
Rseau A

Rseau B

Site A

Site B
Figure 3 Architecture centralise

Site de supervision

Remonte
d'informations
tries

Remonte
d'informations
tries

Serveur de supervision global

Serveur
de supervision local

Infos

Infos

Site A

Infos

Serveur
de supervision local

Infos

Infos

Infos

Site B
Figure 4 Architecture distribue

Toute reproduction sans autorisation du Centre franais dexploitation du droit de copie est strictement interdite.
Techniques de lIngnieur

H 5 820 7

TECHNIQUES DE SUPERVISION DE LA SCURIT DES RSEAUX IP

_______________________________________________________________________________

2.2 Quels sont les vnements


et les indicateurs superviser ?
Il est possible de surveiller de nombreux vnements. L encore,
il est important de choisir les vnements correspondants aux
besoins du service ou du mtier superviser. Il existe nanmoins
quelques vnements couramment superviss :
lquipement est-il oprationnel ?
quelle est la charge CPU ?
quelle est la charge rseau ?
quel est le temps de rponse ?
les disques sont-ils proches de la saturation ?
quelle est la version du logiciel X installe ?
En parallle, il est possible de faire remonter des alarmes personnalises, typiquement de sondes de systmes de dtection dintrusion qui remontent des alarmes en cas dattaque. Ces alarmes
peuvent ensuite tre relayes des serveurs qui filtrent et alertent les
administrateurs par un moyen quelconque (e-mail, popup, SMS,
etc.).

2.3 Architecture de supervision


Le rassemblement des informations de supervision est prvoir
lors de la conception de larchitecture, en parallle du choix du protocole de supervision. Lutilisation courante de protocoles comme
SNMP, qui sont souvent la cible dattaques, en raison notamment de
vulnrabilits exploitant les faiblesses intrinsques des versions 1
et 2, oblige penser prcisment larchitecture. En effet, les protocoles de supervision sont souvent aussi utiliss pour ladministration
des serveurs, ou du moins offrent des possibilits pour ladministration. Si lors de la conception, cette possibilit est oublie, cela laisse
la porte ouverte de nombreuses attaques.
Larchitecture de la supervision doit prendre en compte ces flux
sensibles de manire les sparer de flux non administratifs (supervision out-band), lidal tant de crer un rseau indpendant (virtuel ou non) ddi la supervision. En effet, lutilisation de rseaux
partags rend la supervision plus risque, et ce pour deux raisons :
il est possible dcouter depuis un serveur non ddi la
supervision des messages trs sensibles ;
si des attaques de type dni de service consomment toute la
bande passante partage, il ny aura alors plus de bande passante
disponible pour les messages de supervision.
La supervision en utilisant les mmes canaux que ceux utiliss pour
les services (administration in-band) est quant--elle beaucoup plus
conomique en terme de cot, de bande passante et de conception.
La solution gnralement choisie dans les rseaux grand public
est une administration in-band avec une possibilit de se connecter
sur les serveurs de supervision via une autre connexion (call-back,
VPN sur ADSL, etc.).
Lorsque la scurit des donnes est trs importante (rseau bancaire,
etc.), ou quil existe de fortes contraintes conomiques sur la disponibilit du rseau, la solution choisie est alors une supervision out-band.

3. Supervision en temps rel


3.1 Objectifs
La supervision en temps rel est primordiale dans la gestion des
rseaux oprationnels. En effet, toute diminution de performances,

H 5 820 8

voire arrt du service cote extrmement cher, que ce soit directement en terme dargent pour les hbergeurs, lis contractuellement
un taux de disponibilit, en perte de productivit quand les problmes sont internes et empchent les employs de travailler ou en
terme dimage de marque quand il sagit dune vitrine de lentreprise qui nest plus disponible.
Nanmoins, mme si cette supervision en temps rel est trs
importante, elle nen est pas moins trs difficile mettre en uvre.
En effet, il nest pas seulement ncessaire de dtecter le problme,
il faut tablir de manire rigoureuse une procdure dintervention
au niveau informatique, mais aussi au niveau humain.
Les solutions vendues aux entreprises pour la supervision sont
gnralement bien conues, et permettent davoir une bonne visibilit de son rseau. Cependant, le personnel qui utilise ces outils
ntablit que rarement des procdures crites prcisant les interventions effectuer en cas de problme typique (routeur hors service,
panne de disque dur, etc.). Les quipes travaillant rgulirement sur
ces problmes connaissent les diffrentes actions pour corriger le
problme, mais ncrivent pas noir sur blanc leur dmarche. Cela
pose souvent des problmes lorsque seules une ou deux personnes
ont ce type de connaissances, car quand elles ne sont pas disponibles (vacances, dmission, etc.), les remplaants ne savent pas comment agir. Il est donc trs important davoir une trace crite des
procdures suivre , ne serait-ce que les plus courantes et les plus
dangereuses.

3.2 Outils
3.2.1 Tripwire
Tripwire est un outil de scellement de configuration . Pour faire
fonctionner Tripwire, il faut tout dabord installer de manire sre un
systme et lapplication qui doit tourner dessus. Tripwire calcule
ensuite des signatures MD5 de tous les fichiers surveiller. Ces signatures sont stockes dans une base de donnes propritaire. Il est
ensuite possible de vrifier rgulirement les fichiers du systme en
les comparant la base de donnes Tripwire originale. Si des diffrences existent entre les fichiers originaux et ceux un temps T, cela
signifie que les fichiers ont t modifis. Il faut alors remonter une
alerte au plus vite afin dinvestiguer. Un fichier de configuration de
Tripwire permet de configurer les fichiers superviser, avec la possibilit de dire les changements autoriss sur certains fichiers. Il est par
exemple normal pour un fichier log daugmenter, mais il nest pas
normal quil soit supprim ou que sa taille diminue.
Ce mcanisme est trs puissant, mais nest pas souple, dans la
mesure o il est ncessaire de renouveler la base de donnes de
signature des fichiers chaque changement de configuration (mise
jour de logiciels, patches de scurit, etc.).
Tripwire est donc idal pour les machines trs stables, mais est
difficilement envisageable dans un environnement qui volue rapidement.
Exemple : retour de Tripwire aprs modification dun fichier
(/tmp/genek/tripwire-0.92/config.h) :
2:30am (test) % tripwire
### Phase 1:
Reading configuration file
### Phase 2:
Generating file list
### Phase 3:
Creating file information database
### Phase 4:
Searching for inconsistencies
###
###
Total files scanned: 82
###Files added: 0
###Files deleted: 0
###Files changed: 80

Toute reproduction sans autorisation du Centre franais dexploitation du droit de copie est strictement interdite.
Techniques de lIngnieur

_______________________________________________________________________________ TECHNIQUES DE SUPERVISION DE LA SCURIT DES RSEAUX IP

###
### After applying rules:
###Changes discarded: 79
###Changes remaining: 1
###
changed: -rw------- genek 4433 Oct 13 02:30:34 1992 /tmp/genek/tripwire-0.92/config.h
### Phase 5: Generating observed/expected pairs for changed
files
###
### Attr Observed (what it is) Expected (what it should be)
### =========== =============================
=============================
/tmp/genek/tripwire-0.92/config.h
st_size:
4441
4433
md5
(sig1): 0aqL1O06C3Fj1YBXz3.CPdcb
0cPX1H.DYS.s1vZdKD.ELMDR
snefru (sig2): 0PcgcK/MZvEm.8plWe.Gbnn//
8VoJv1JcoUA0NvoGN.k3P6E
crc32 (sig3): .EHA6x/OuGNV
crc16 (sig4): ...9/q...6yu
md4
(sig5): /hQ0sU.UEbJo.UR4VZ/mNG/h.
UR4VZ/mNG/h/VSG/W/Z643k
md2
(sig6): .hLwjb.VRA0O.Z72y90xTYqA
1LR0Gg1l.vqB0.1g330Pi8/p
Explications lies de lexemple
Dans la phase 4, Tripwire vrifie les fichiers tels que demands
dans le fichier de configuration ( Files changed ). Si les modifications sur les fichiers sont autorises, par rapport ce qui est
dfini dans le fichier de configuration, les modifications ne sont
pas prises en compte ( Changes discarded ). Il ne reste donc
aprs cette phase que les fichiers modifis de faon suspecte.
La phase 5 prsente les diffrences entre les deux signatures
du fichier modifi (/tmp/genek/tripwire-0.92/config.h) :
celle de gauche ( Observed ) est celle qui vient dtre
calcule ;
celle de droite ( Expected ) est celle qui est dans la base
de donnes faite prcdemment, dans la configuration
stable .
Toute diffrence entre deux signatures indique une modification de fichier. Les fichiers possdent des signatures selon plusieurs algorithmes (md5, crc32, etc.). Cela permet de sassurer
que lalgorithme de signature na pas t pris en dfaut. En effet,
il est thoriquement possible dabuser un algorithme de signature ponctuellement. Il est en revanche statistiquement impossible dabuser plusieurs algorithmes simultanment. Lutilisation
de plusieurs algorithmes permet de se prmunir contre une
faille ventuelle dun algorithme de signature.

3.2.2 Chkrootkit
Les rootkits sont des programmes permettant de prendre la main
en tant quadministrateur sur le serveur (aprs avoir obtenu un
accs via des droits utilisateur), puis en masquant toute trace
dintrusion sur le systme (effacement des fichiers logs, modification de programmes pouvant servir dtecter lintrusion, etc.). Le
rootkit installe ensuite une backdoor , cest--dire une possibilit
pour un attaquant de se connecter la machine corrompue avec les
droits root.
Les rootkits sont souvent coupls des programmes scannant et
exploitant les vulnrabilits des serveurs proximit de celui qui est
corrompu. On parle alors dautorooter.

Chkrootkit est comme son nom lindique un programme permettant de vrifier quun serveur na pas t corrompu par un rootkit. Il
fonctionne pour les systmes de type Unix et Linux, en ligne de
commande. Pour tenter de dtecter un rootkit sur la machine,
chkrootkit recherche des signatures lintrieur de binaires particuliers. Par exemple, beaucoup de versions de ps (qui permet de lister
la liste de tous les processus tournant sur un systme) pirates contiennent la chane "/dev/ptyp". Pour cette raison, il est assez facile
pour les rootkits de passer travers le filtre de chkrootkit. Le mode
expert (chkrootkit x) permet aux administrateurs de vrifier par eux
mmes les chanes de caractres suspectes lintrieur des binaires
vrifis.
Exemple : retour de chkrootkit dune machine infecte par le
rootkit "t0rn" :
2:30am (test) % chkrootkit
ROOTDIR is `/
Checking `amd... not found
Checking `basename... not infected
Checking `biff... not found
Checking `chfn... not infected
Checking `chsh... not infected
Checking `cron... not infected
Checking `date... not infected
Checking `du... not infected
Checking `dirname... not infected
Checking `echo... not infected
Checking `egrep... not infected
Checking `env... not infected
Checking `find... not infected
Checking `fingerd... not found
Checking `gpm... not found
Checking `grep... not infected
Checking `hdparm... not infected
Checking `su... not infected
Checking `ifconfig... INFECTED
Checking `inetd... not infected
Checking `inetdconf... not infected
Checking `identd... not found
Checking `killall... not infected
Checking `ldsopreload... not infected
Checking `login... not infected
Checking `ls... not infected
Checking `lsof... not infected
Checking `mail... not infected
Checking `mingetty... not found
Checking `netstat... INFECTED
Checking `named... not found
Checking `passwd... not infected
Checking `pidof... not infected
Checking `pop2... not found
Checking `pop3... not found
Checking `ps... INFECTED
Checking `pstree... not infected
Checking `rpcinfo... not infected
Checking `rlogind... not found
Checking `rshd... not found
Checking `slogin... not infected
Checking `sendmail... not infected
Checking `sshd... not infected
Checking `syslogd... not infected

Toute reproduction sans autorisation du Centre franais dexploitation du droit de copie est strictement interdite.
Techniques de lIngnieur

H 5 820 9

TECHNIQUES DE SUPERVISION DE LA SCURIT DES RSEAUX IP

_______________________________________________________________________________

Checking `tar... not infected


Checking `tcpd... not infected
Checking `top... INFECTED
Checking `telnetd... not found
Checking `timed... not found
Checking `traceroute... not found
Checking `write... not infected
Checking `aliens... no suspect files
Searching for sniffers logs, it may take a while... nothing found
Searching for HiDrootkits default dir... nothing found
Searching for t0rns default files and dirs... Possible t0rn rootkit
installed
Searching for Lion Worm default files and dirs... nothing found
Searching for RSHAs default files and dir... nothing found
Searching for RH-Sharpes default files... nothing found
Searching for Ambients rootkit (ark) default files and dirs...
nothing found
Searching for suspicious files and dirs, it may take a while...
nothing found
Searching for LPD Worm files and dirs... nothing found
Searching for Ramen Worm files and dirs... nothing found
Searching for Maniac files and dirs... nothing found
Searching for RK17 files and dirs... nothing found
Searching for Ducoci rootkit... nothing found
Searching for Adore Worm... nothing found
Searching for ShitC Worm... nothing found
Searching for Omega Worm... nothing found
Searching for Sadmind/IIS Worm... nothing found
Searching for MonKit... nothing found
Searching for anomalies in shell history files... nothing found
Checking `asp... not infected
Checking `bindshell... not infected
Checking `Ikm... You have 2 process hidden for readdir command
You have 2 process hidden for ps command
Warning : Possible LKM Trojan installed
Checking `rexedcs... not found
Checking `sniffer... eth0 is not promisc ppp0 is not promisc
Checking `wted... 24 deletion(s) between Fri Jan 18 12:05:51 2002
and Thu Jan 1 02:12:54 1970
1 deletion(s) between Tue Apr 9 00:40:38 1974 and Tue Apr 9
00:40:38 1974
Checking `z2... nothing deleted

3.2.3 MBSA (Microsoft Baseline Security Analyzer)


MBSA est un outil fourni par Microsoft pour vrifier le niveau de
scurit des machines Windows distance ou en local. Cet outil est
dans la ligne de pense actuelle de Microsoft pour lunification et la
simplification de la scurit de Windows. Il rassemble en fait plusieurs outils utiliss prcdemment indpendamment les uns des
autres (HFNetChk par exemple tait un outil en ligne de commande
qui permettait de connatre le niveau de patches installs sur un serveur, distance ou en local). Il se prsente sous une interface graphique et fournit les rsultats de faon synthtique, mme si parfois
de faons trop succinctes.
Les vrifications effectues par cet outil sont nanmoins relativement compltes, allant de la version des patches installs (dont le
rsultat dpend bien entendu du niveau de la base de donnes de
MBSA), aux conseils sur le nombre de comptes administrateurs de la
machine, lindication des services non ncessaires installs sur la
machine, etc. (figure 5).

H 5 820 10

Il est gnralement intressant, dans le cas dinstallation de nombreuses machines identiques (typiquement partir dune image disque pour des postes bureautiques), de lancer cet utilitaire sur une
machine standard. Lanalyse des rsultats donns pour cette
machine typique permettra de vrifier que la politique de scurit
applique la machine na rien laiss de ct. Lancer MBSA jusqu
ce quil ne trouve plus grand chose dimportant dans la machine permet alors dobtenir une certaine scurit sur les serveurs clons
installer. Par ailleurs, lancer MBSA rgulirement (par exemple
chaque mise jour de la base de donnes de vulnrabilits de
loutil) sur toutes les machines dun rseau permet de dtecter les
ventuelles failles de scurit.

3.2.4 Sonde IDS (Intrusion Detection System)


3.2.4.1 Prsentation des IDS
Les systmes de dtection dintrusion ou IDS (Intrusion Detection
System) servent comme leur nom ne lindique pas dtecter des
attaques sur les serveurs, et non pas des intrusions. Les IDS sont
des systmes de scurit qui surveillent les systmes et/ou les
rseaux et analysent ces donnes pour des attaques potentielles,
provenant de lextrieur comme de lintrieur.
Il existe deux types dIDS, les IDS rseaux ou NIDS (Networkbased Intrusion Detection System) et les IDS systme ou HIDS
(Host-based Intrusion Detection System). Dans les deux cas, des
alertes peuvent tre leves pour signaler un vnement suspect.
3.2.4.2 NIDS
Les NIDS tudient les paquets circulant sur le rseau ou sur une
partie du rseau . Ils comparent ces paquets une base de signatures dattaque. Les sondes IDS sont places en gnral des points
stratgiques du rseau (serveurs Web, machines utilises dans une
zone non sre, etc.) (figure 6).
Exemple : sortie de sonde IDS lors dune attaque (sonde utilise pour lexemple : SNORT) :
[**] [1:483:2] ICMP PING CyberKit 2.2 Windows [**]
[Classification : Misc activity] [Priority: 3]
08/29-09:07:15.792114 xx.xx.xx.xx > yy.yy.yy.yy
ICMP TTL: 113 TOS: 0x1 ID:56403 IpLen: 20 DgmLen:92
Type:8 Code:0 ID:768 Seq:35267 ECHO
[**] [1:884:8] WEB-CGI formmail access [**]
[Classification : access to a potentially vulnerable web application]
[Priority: 2]
08/30-02:03:19.006375 xx.xx.xx.xx:1969 > yy.yy.yy.yy:80
TCP TTL:107 TOS:0x0 ID:9168 IpLen:20 DgmLen:190 DF
***AP*** Seq: 0xBB26796 Ack: 0xC6B0D250 Win: 0x4368 TcpLen: 20
[Xref => http://www.whitehats.com/info/IDS226] [Xref =>
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-1999-0172]
[Xref =>
http://www.securityfocus.com/bid/1187] [Xref =>
http://cgi.nessus.org/plugins/dump.php3?id=10076] [Xref =>
http://cgi.nessus.org/plugins/dump.php3?id=10782]
[**] [1:1610:5] WEB-CGI formmail arbitrary command execution
attempt [**]
[Classification : Web Application Attack] [Priority : 1]
08/30-02:03:19.596182 xx.xx.xx.xx:2189 yy.yy.yy.yy:80
TCP TTL:107 TOS:0x0 ID:9253 IpLen:20 DgmLen:736 DF
***AP*** Seq: 0xBC3EFBC Ack: 0xC6887F30 Win: 0x4368 TcpLen: 20
[Xref => http://www.whitehats.com/info/IDS226] [Xref =>
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-1999-0172]
[Xref =>
http://www.securityfocus.com/bid/1187] [Xref =>

Toute reproduction sans autorisation du Centre franais dexploitation du droit de copie est strictement interdite.
Techniques de lIngnieur

_______________________________________________________________________________ TECHNIQUES DE SUPERVISION DE LA SCURIT DES RSEAUX IP

Figure 5 Rsultat de loutil Microsoft Baseline Security Analyzer

http://cgi.nessus.org/plugins/dump.php3?id=10076] [Xref =>


http://cgi.nessus.org/plugins/dump.php3?id=10782]
[**] [1:2129:2] WEB-IIS nsiislog.dll access [**]
[Classification: access to a potentially vulnerable web application]
[Priority: 2]
08/30-17:47:06.581439 xx.xx.xx.xx:1336 > yy.yy.yy.yy:80
TCP TTL:107 TOS:0x0 ID:8083 IpLen:20 DgmLen:69 DF
***AP*** Seq: 0x15954127 Ack : 0xB227CD19 Win: 0x4470 TcpLen: 20
[Xref => http://www.microsoft.com/technet/security/bulletin/ms03018.asp] [Xref => http://cgi.nessus.org/plugins/dump.php3?id=11664]
[**] [1:498:4] ATTACK-RESPONSES id check returned root [**]
[Classification: Potentially Bad Traffic] [Priority: 2]
09/02-14:33:29.153248 yy.yy.yy.yy:443 > xx.xx.xx.xx:58951
TCP TTL:64 TOS:0x0 ID:27408 IpLen:20 DgmLen:140 DF
***AP*** Seq: 0x8D2D216E Ack: 0x96E28E05 Win: 0x2180 TcpLen: 32
TCP Options (3) => NOP NOP TS: 44075044 21769194
3.2.4.3 HIDS
Les HIDS servent superviser des systmes ou des parties de systme, en observant le comportement du serveur et des personnes
se connectant dessus . Les HIDS analysent ce qui entre et ce qui sort
des interfaces rseau, mais aussi les vnements lis lutilisation
du serveur (login utilis pour se connecter, heures de connexion,
comportement dun utilisateur, etc.). Ils peuvent galement analyser
les appels systmes (syscall) pour dtecter dventuelles attaques.
Les HIDS peuvent dtecter une attaque automatiquement, mais le
plus important reste tout de mme laspect humain de lanalyse des
remontes des sondes. En effet, les personnes charges de la supervision des serveurs qui connaissent bien le comportement
normal dune machine peuvent facilement dtecter des compor-

tements anormaux qui peuvent tre prcurseurs dune attaque (tentative de connexion une heure inhabituelle, essai de passage en
mode administrateur, etc.). Tous ces signes ne se prtent pas facilement une surveillance automatique, mais sont gnralement rvlateurs dune tentative dattaque srieuse.
Tripwire (cf. 3.2.1), par exemple, peut tre configur pour agir
comme un HIDS.
3.2.4.4 Conclusion
Les IDS, trs utiles pour la supervision de la scurit en temps
rel, requirent pour tre efficaces une longue phase de paramtrage pour ne remonter des alertes quen cas dattaque vritable, et
viter ce que lon appelle les false-positive ou fausses alertes. Cette
phase de paramtrage (tuning) est assez fastidieuse et demande
une grande expertise dans la scurit rseau.
De plus, le fait que les dtections stablissent partir dune base
de donnes de signatures rfrences oblige maintenir constamment jour cette base, et limite les IDS aux attaques connues. De
lgres modifications des outils classiques permettent de passer
sans trop de difficults au travers de la plupart des IDS. Il existe
nanmoins des amliorations sur les sondes IDS pour prendre en
compte des mtacomportements suspects, plutt que des signatures qui sont par essence statiques. Des exprimentations sont en
cours pour par exemple tout ce qui est li aux buffers overflows, ce
qui est un procd devenu la rfrence de quasiment toutes les attaques, indpendamment du systme dexploitation vulnrable. Il y a
donc des volutions intressantes de cette technologie qui permettent desprer un meilleur rendement des IDS dans les mois venir.
Une vritable politique de dtection dintrusion dans une entreprise doit comprendre linstallation la fois de NIDS et dHIDS. Elle
doit aussi tre utilise par des administrateurs connaissant bien
lentreprise et lutilisation des ressources informatiques pour dtecter

Toute reproduction sans autorisation du Centre franais dexploitation du droit de copie est strictement interdite.
Techniques de lIngnieur

H 5 820 11

TECHNIQUES DE SUPERVISION DE LA SCURIT DES RSEAUX IP

_______________________________________________________________________________

Serveur Web
Serveur Web

Rseau non concern


par l'IPS
Rseau non concern
par la sonde IDS

Serveur SQL

Serveur SQL
IPS

Rcupration de tout
le trafic destination
des serveurs Web,
SQL et backup
Backup
Backup

Figure 7 Schma fonctionnel dun IPS en Inline IDS

Alerte leve
en cas
d'attaque

Serveur de supervision
Rseau d'administration

Paquet rcrit :
AAAAAAAAAA
AAAAAAAAAA
AAAAAAAAAA
/bin/stopedit

Sonde IDS
Rseau de production

Figure 6 Schma fonctionnel dune sonde IDS sur une machine


ddie

facilement des anomalies. La disposition des sondes au sein dun


rseau ainsi que le type de sonde (HIDS et/ou NIDS) nest pas un problme simple, de mme que la collecte des donnes, qui conditionne
beaucoup lefficacit dun systme de dtection dintrusion.

Paquet suspect :
AAAAAAAAAA
AAAAAAAAAA
AAAAAAAAAA
/bin/sh

Serveur Web

3.2.5 IPS (Intrusion Prevention System)


Les IPS sont relativement rcents. Ils se prsentent comme une
volution des IDS (cf. 3.2.4) vers plus de ractivit automatique. La
difficult de paramtrage et de maintien des sondes IDS ne permettent pas cette technologie, pourtant trs puissante, de percer.
Lautre lacune des IDS rside dans leur passivit. Les IDS nont
toujours eu pour objectif que la dtection des attaques, laissant
ensuite la charge de ladministrateur deffectuer les actions
ncessaires pour lutter contre ces attaques. Les IPS permettent en
partie de rpondre automatiquement aux attaques quils dtectent.
Les IPS se placent gnralement en amont de tout le rseau,
directement la frontire entre lIntranet et lextrieur. Ils sont
dailleurs appels alors Inline Network Intrusion Detection
Systems ou Inline NIDS . Ils analysent les niveaux 3 7 du
modle OSI (de la couche rseau applicatif), et se placent en coupure de tout le trafic destination des serveurs protger (figure 7).
LIPS tudie alors les requtes pour ces serveurs, et ne les envoie
que si elles ne sont pas dtectes comme tant dangereuses. Si les

H 5 820 12

Rseau non concern


par l'IPS

Serveur SQL

IPS

Backup
Figure 8 Rcriture de paquets potentiellement dangereux

requtes sont dangereuses, il est alors possible de les supprimer, ou


bien de les modifier pour quelles ne soient pas dangereuses
(figure 8).

Toute reproduction sans autorisation du Centre franais dexploitation du droit de copie est strictement interdite.
Techniques de lIngnieur

_______________________________________________________________________________ TECHNIQUES DE SUPERVISION DE LA SCURIT DES RSEAUX IP

Les IPS ne sont donc pas des rvolutions, mais plutt des volutions des IDS, auxquels on aurait rajout une fonctionnalit de filtrage .

4. Supervision en temps
diffr

3.2.6 Antivirus

En parallle de la supervision en temps rel doit seffectuer une


supervision de la scurit en temps diffr. En pratique, tous les lments du rseau (des commutateurs aux routeurs en passant par
les serveurs mais galement les stations dadministration) gnrent
pour chaque vnement important, dfinir par la politique de
scurit, une ou plusieurs lignes de logs. Ces fichiers journaux sont
centraliss sur des serveurs de log. Les donnes collectes sont
analyses pour des buts diffrents :
volution long terme ;
dtection des tendances et anomalies suivre sur le rseau
(surveillance proactive des drives) ;
suivi de la qualit de service (non trait dans cet article) ;
intervention sur des incidents de scurit a posteriori.

Les antivirus sont des programmes qui, comme leur nom lindique,
sont utiliss pour lutter contre les virus . Pour que la lutte soit efficace,
il est indispensable de les installer sur tous les serveurs et de centraliser les alertes sur un serveur unique ou un nombre restreint de serveurs de supervision en cas dinfection. Ces serveurs peuvent ensuite
retransmettre aux administrateurs des messages en cas dinfection
ou de tentative dinfection sur les serveurs superviss.
De mme que pour MBSA, il est important de vrifier lhomognit des versions dantivirus et surtout des fichiers de signatures.
Les virus actuels se dploient extrmement vite (Slammer, Blaster,
Sobig, etc), et sans protection efficace, il est trs difficile dempcher
la propagation de ces programmes.
Le scan des serveurs la recherche de virus est donc primordial.
Les antivirus peuvent fonctionner en deux modes :
le premier mode se met en coupure des accs de certains
fichiers importants pour le systme dexploitation (fichiers dll pour
Windows par exemple), ou encore de fichiers couramment utiliss
pour dployer des virus (macros dans les programmes de la suite
Office, page html, etc.). Il permet dempcher linfection du serveur
par le virus, en bloquant laccs du fichier en cas de reconnaissance
dune menace. Le gros inconvnient de ce mode est quil est trs
gourmant en ressources, et il est parfois impossible dutiliser ce
mode en environnement de production ;
le second mode possible pour lutilisation des antivirus est un
scan de lensemble ou partie du systme intervalles rguliers. Ce
mode permet de limiter les impacts de lantivirus sur le systme
surveiller, en scannant la machine durant des plages horaires o le
serveur est peu sollicit.
Les remontes dalerte en cas de compromissions peuvent dans
la plupart des produits rcents tre effectues via les protocoles de
supervision classiques (SNMP, syslog, etc.). Le premier mode permet donc de superviser en temps rel les serveurs, tandis que le
second mode permet uniquement une supervision diffre.
Il est important de prciser que les antivirus ne protgent pas contre linfection de tous les virus. Blaster par exemple tait dtect aprs
son installation, et non pas au moment de lattaque. Lantivirus permettait alors de retrouver un systme non corrompu, mais nempchait pas de se faire attaquer avec succs nouveau. Il faut
auparavant appliquer le patch de Microsoft corrigeant la vulnrabilit,
et ensuite utiliser lantivirus pour se dbarrasser de lhte indsirable.

3.2.7 SMS (Systems Management Server)


SMS est un utilitaire qui permet de grer des machines Windows.
Il tourne gnralement en client sur des PC bureautiques et permet
aux administrateurs de superviser ainsi facilement un parc de
machines. Les clients SMS se connectent automatiquement au serveur contenant les scripts de dmarrage, et effectuent les actions
paramtres dans les scripts. Cela permet de faire les tches courantes dadministration (mise jour de Windows, des logiciels, changements dans la base de registre, etc.) sans que lutilisateur ait quoi
que ce soit faire. Il est aussi possible de faire remonter des informations aux administrateurs du parc en cas de problme lors du
droulement du script.

La principale problmatique de la supervision en temps diffr est


la gestion des donnes collectes . Le volume dinformation traiter
peut en effet rapidement atteindre des centaines de mgaoctets quotidiennement pour quelques (moins dune dizaine) machines, selon
leur usage : le traitement manuel est donc bien sr impossible, et,
malgr les outils, les temps de traitement sont parfois rdhibitoires.

4.1 Analyse dattaques


Les fichiers journaux sont archivs afin de permettre une analyse
a posteriori et au cas par cas, pour recueillir des complments
dinformation lors du traitement dun vnement de scurit donn
et pouvoir le diagnostiquer. Il faut alors analyser manuellement
les traces ou en utilisant des outils adapts, de manire identifier
lvnement de scurit et lancer les procdures de scurit adquates. Le terme vnement de scurit est utilis ici car il peut
sagir dune attaque ou simplement dune prmisse dune attaque
(tout ce qui participe la collecte dinformation sur une machine, tel
que le scan de ports par exemple).
vnement de scurit : cest une action non autorise, dtecte par une analyse des fichiers de logs. Ce peut tre une mauvaise manipulation, une prparation dattaque ou une vritable
attaque. Par exemple, une ligne de logs signalant une tentative
de connexion de lutilisateur dupont qui a chou pour
erreur de mot de passe (et ce durant les heures ouvrables) doit
probablement tre interprte comme une mauvaise
manipulation ; cette mme ligne de logs rptes plusieurs fois
en heures non ouvres sera toujours considre comme un vnement de scurit, mais cette fois-ci plus grave.
Lanalyse manuelle va quant--elle permettre de remonter au
cours du temps pour un ou plusieurs vnements de scurit. Il faut
pour cela matriser les techniques dattaques classiques (dtailles
sur les sites de scurit de rfrence) pour dtecter tous les lments suspects.
Quelques outils trs simples 4.1.1, 4.1.2, 4.1.3 permettent
dobtenir de nombreuses informations sur lorigine de lattaque.

4.1.1 Traceroute
Cet utilitaire permet dafficher la route suivie par les paquets IP
depuis la machine o il est lanc jusqu une machine destination
donne. Il donne ainsi la liste de tous les quipements traverss par
les paquets, permettant parfois de situer gographiquement de faon
grossire un quipement (on peut cibler le pays, voire une rgion).

Toute reproduction sans autorisation du Centre franais dexploitation du droit de copie est strictement interdite.
Techniques de lIngnieur

H 5 820 13

TECHNIQUES DE SUPERVISION DE LA SCURIT DES RSEAUX IP

_______________________________________________________________________________

La commande utilise est traceroute sous UNIX ou tracert sous


Windows.
Exemple : voici un extrait de la sortie de traceroute depuis la
machine dun internaute parisien vers le site http://www.yahoo.fr
$ traceroute -n www.yahoo.fr
traceroute to www2.vip.ukl.yahoo.com (217.12.3.11), 64 hops max,
44 byte packets
1 193.253.160.3 181.754 ms 96.490 ms 72.610 ms
2 80.10.160.196 56.503 ms 55.580 ms 56.731 ms
3 193.252.98.158 52.470 ms 55.660 ms 55.661 ms
4 193.252.161.2 56.497 ms 56.646 ms 54.589 ms
5 193.252.161.57 65.642 ms 57.946 ms 56.670 ms
6 193.251.126.58 56.547 ms 55.575 ms 57.665 ms
7 193.251.240.214 56.538 ms 54.648 ms 56.600 ms
8 212.73.240.1 54.567 ms 55.586 ms 53.645 ms
9 212.187.128.46 71.510 ms 67.629 ms 63.687 ms
10 212.187.129.197 65.504 ms 63.644 ms 121.620 ms
11 212.113.10.210 67.583 ms 65.555 ms 63.665 ms
12 217.12.6.6 63.515 ms 66.622 ms 63.741 ms
Nous obtenons les adresses IP de toutes les machines traverses
par nos paquets.
Si nous rsolvons les noms, nous pouvons essayer de situer
gographiquement le serveur de Yahoo :
$ traceroute www.yahoo.fr
traceroute to www2.vip.ukl.yahoo.com (217.12.3.11), 64 hops max,
44 byte packets
1 193.253.160.3 (193.253.160.3) 56.941 ms
2 GE2-0-0-279.ncidf204.Paris.francetelecom.net (80.10.160.196)
54.710 ms
3 P1-0.nrsta204.Paris.francetelecom.net (193.252.98.158) 53.513 ms 4
P14-0.ntsta302.Paris.francetelecom.net (193.252.161.2) 108.520 ms
5 P9-0.ntsta202.Paris.francetelecom.net (193.252.161.57) 57.547 ms 6
193.251.126.58 (193.251.126.58) 296.526 ms
7 Level.GW.opentransit.net (193.251.240.214) 53.539 ms
8 ae0-11.mp1.Paris1.Level3.net (212.73.240.1) 55.759 ms
9 so-3-0-0.mp1.London2.Level3.net (212.187.128.46) 65.518 ms
10 unknown.Level3.net (212.187.129.197) 64.539 ms
11 unknown.Level3.net (212.113.10.210) 64.513 ms
12 alteon1.34.ukl.yahoo.com (217.12.6.6) 68.471 ms
titre anecdotique, certains outils graphiques comme xtraceroute permettent mme de visualiser la route sur une carte
(figure 9).

4.1.2 Nslookup, dig, host


Ces outils permettent deffectuer des requtes DNS.
En environnement IP, chaque interface dun quipement rseau
possde une adresse IP unique. Des noms sont attribus aux machines pour des raisons de praticit (il est plus ais de se souvenir dun
nom de machine que dune adresse). Pour tablir la correspondance
entre un nom de machine et ladresse IP (et rciproquement), on utilise le systme DNS ou Domain Name Service [10]. Ce systme de
nommage DNS met en uvre une base de donnes hirarchique
rpartie sur de nombreux serveurs. Pour mettre jour les informations sur un domaine (societe.com est un exemple de domaine),
ladministrateur du domaine modifie un ou plusieurs enregistrements dans cette base de donnes. Les enregistrements sont de plusieurs types :
les enregistrements de type A
adresses IP des machines ;

H 5 820 14

sont tout simplement les

Figure 9 Xtraceroute vers un serveur au Sngal (Agence


Universitaire de la Francophonie)

un enregistrement de type MX identifie un serveur de mail utilis pour le domaine ;


un enregistrement de type NS identifie un serveur jouant le
rle de serveur DNS pour un domaine (il connat les informations de
nommage pour ce domaine).
Ainsi, pour connatre ladresse IP dun serveur, on va mettre une
requte de type A.
Exemple : Voici un exemple de requte de type A avec la
commande host :
$ host -t a www.voila.fr
www.voila.fr is an alias for janus-2-20.x-echo.com.
janus-2-20.x-echo.com has address 195.101.94.80
Nous apprenons que le nom www.voila.fr est un des alias pour le
serveur janus-2-20.x-echo.com, qui a lui-mme pour adresse
195.101.94.80.
La liste des serveurs DNS faisant autorit sur un domaine est
obtenue en mettant des requtes de type NS. La liste des serveurs
de mails utiliss sur un domaine est obtenue en mettant des
requtes de type MX.

Toute reproduction sans autorisation du Centre franais dexploitation du droit de copie est strictement interdite.
Techniques de lIngnieur

_______________________________________________________________________________ TECHNIQUES DE SUPERVISION DE LA SCURIT DES RSEAUX IP

Exemple : Lexemple suivant montre comment nous pouvons


dterminer quel est le serveur de mail utilis pour le domaine
voila.fr ; la requte, de type MX, est mise par loutil dig.
$ dig @ voila.fr mx
;; ANSWER SECTION:
voila.fr.
16m34s IN MX
10 smtp.voila.fr.
;; AUTHORITY SECTION:
voila.fr.
59m39s IN NS
ns2.bavoila.net.
voila.fr.
59m39s IN NS
ns.x-echo.com.
voila.fr.
59m39s IN NS
ns1.x-echo.com.
voila.fr.
59m39s IN NS
ns1.bavoila.net.
;; ADDITIONAL SECTION:
smtp.voila.fr.
30S IN A
193.252.22.164
ns2.bavoila.net.
15h46m27s IN A
193.252.122.34
ns.x-echo.com.
52m4s IN A
195.101.94.1
ns1.x-echo.com.
52m4s IN A
195.101.94.10
ns1.bavoila.net.
23h36m51s IN A
193.252.118.130
;; Total query time : 62 msec
La ligne "ANSWER SECTION" indique que lenregistrement MX pour
le domaine voila.fr est smtp.voila.fr ; ce serveur est donc utilis pour
tout envoi de mail vers ce domaine. De plus, la section "AUTHORITY
SECTION" donne les serveurs DNS faisant autorit sur le domaine
voila.fr (enregistrements NS). Enfin, on liste dans la dernire section les
adresses IP de tous ces serveurs (enregistrements de type A).
Loutil nslookup fonctionne quant--lui de la manire suivante : le
type de requte est prcis avec la commande set, comme lillustre
lexemple suivant.
Exemple :
> nslookup
Default Server: ns4.wanadoo.fr
Address: 193.252.19.4
> set q=mx
> voila.fr
Server: ns4.wanadoo.fr
Address: 193.252.19.4
Non-authoritative answer:
voila.fr preference = 10, mail exchanger = smtp.voila.fr
Authoritative answers can be found from:
voila.fr nameserver = ns2.bavoila.net
voila.fr nameserver = ns.x-echo.com
voila.fr nameserver = ns1.x-echo.com
voila.fr nameserver = ns1.bavoila.net
smtp.voila.fr internet address = 193.252.22.164
ns.x-echo.com internet address = 195.101.94.1
ns1.x-echo.com internet address = 195.101.94.10
ns1.bavoila.net internet address = 193.252.118.130
ns2.bavoila.net internet address = 193.252.122.34
Dans les traces se trouvent souvent des adresses IP ; les requtes
de type PTR permettent dobtenir le nom de machine correspondant.
Exemple : comment dterminer avec nslookup le nom de
machine associ ladresse IP 195.101.94.10 ? Extrait de la rponse :
> nslookup
Default Server: ns4.wanadoo.fr
Address: 193.252.19.4
> set q=ptr
> 195.101.94.10
Server: ns4.wanadoo.fr
Address: 193.252.19.4
Non-authoritative answer:
10.94.101.195.in-addr.arpa
name = ns1.x-echo.com

4.1.3 Whois
Pour une adresse IP entre, cet outil liste la plage dadresse IP
laquelle elle appartient et des informations administratives sur le
propritaire de cette plage (nom, coordonnes postales et tlphoniques, adresse ml du contact, date de mise jour de ces
informations). Cet outil est disponible sur toute machine UNIX
(souvent prsent par dfaut), ainsi quen ligne sur certains site
comme http://www.nic.fr/cgi-bin/whois. En cas dattaques rptes
ou dincident de scurit grave, et si le Responsable de la Scurit
lestime ncessaire, ces donnes permettent aux quipes de scurit de contacter, ventuellement par tlphone, les administrateurs des plates-formes incrimines.
Exemple :
whois -h whois.alldomains.com google.com
Registrant:
Google Inc. (DOM-258879)
2400 E. Bayshore Pkwy Mountain View CA 94043 US
Domain Name: google.com
Registrar Name: Alldomains.com
Registrar Whois: whois.alldomains.com
Registrar Homepage: http://www.alldomains.com/
Administrative Contact:
DNS Admin (NIC-1340142) Google Inc.
2400 E. Bayshore Pkwy Mountain View CA 94043 US
dns-admin@google.com +1.6503300100 Fax- +1.6506181499
Technical Contact, Zone Contact:
DNS Admin (NIC-1340144) Google Inc.
2400 E. Bayshore Pkwy Mountain View CA 94043 US
dns-admin@google.com +1.6503300100 Fax- +1.6506181499
Created on
: 1997-Sep-15.
Expires on
: 2011-Sep-14.
Record last updated on : 2003-Apr-07 10:42:46.
Domain servers in listed order:
NS3.GOOGLE.COM
216.239.36.10
NS4.GOOGLE.COM
216.239.38.10
NS1.GOOGLE.COM
216.239.32.10
NS2.GOOGLE.COM

216.239.34.10

4.1.4 Conclusion
Mais lanalyse manuelle nest possible que dans certains cas simples. Les principaux problmes proviennent de la difficult de raliser un traage efficace, cest--dire de pouvoir suivre
lenchanement des vnements sur une priode de temps de
lordre de quelques jours. Les experts scurit se font aider dans
cette tche par des outils de traitement de logs, en particulier lorsque le volume de donnes est important. Ces outils peuvent effectuer un premier tri sur ces donnes pour liminer les alertes
inintressantes, traduire les entres (supprimer les donnes inutiles
ou reproduire ces entres sous un format diffrent), regrouper les
enregistrements sous un angle favorable lanalyse ou produire
des statistiques.
Nanmoins, les techniques de corrlation dvnements sont
toujours ltude ; il est encore difficile deffectuer des prtraitements pertinents sur les donnes pour les attaques complexes.
Des recherches sur les langages de spcifications de signatures
dattaque sont en cours, permettant de faciliter les corrlations par
analyse des traces ; cela rejoint les travaux sur les systmes de
dtection dintrusion.

Toute reproduction sans autorisation du Centre franais dexploitation du droit de copie est strictement interdite.
Techniques de lIngnieur

H 5 820 15

TECHNIQUES DE SUPERVISION DE LA SCURIT DES RSEAUX IP

_______________________________________________________________________________

La panace nexiste pas encore dans ce domaine, il faut donc


disposer de ressources aux comptences pointues et disponibles
pour ce type de tche, ce qui nest pas toujours faisable. On sait
lheure actuelle que de nombreuses attaques ne sont pas dtectes par les entreprises, comme le montrent chaque anne les tudes du CLUSIF (Club de la Scurit des Systmes dInformation
Franais) (on peut se rfrer au rapport denqute tude et statistiques sur la sinistralit informatique en France pour lanne
2002 [11]).
Les dures de conservation des logs dpendent des besoins techniques mais galement, selon le type de donnes, de contraintes
rglementaires ( 5.1). Lorsque ces fichiers sont susceptibles de
contenir des informations nominatives, comme par exemple les
journaux de certains proxies ou caches incluant des logins, la
dclaration la CNIL est indispensable, et les rgles qui en
dcoulent doivent tre respectes.

4.2 Tableau de bord de scurit


Le tableau de bord de la scurit permet davoir une vue densemble de la scurit oprationnelle dune plateforme ou dun rseau :
dtection des tendances, des anomalies, des volutions mener sur
le primtre considr pour effectuer une prvention des pannes et
des attaques efficaces. Il est difficile dtablir un guide gnrique
pour la mise en uvre dun tableau de bord dans la mesure o chaque indicateur est dpendant du contexte au sein de lentreprise. En
fonction du primtre supervis, il faut alors ajuster la priodicit,
les niveaux de dtails des informations rapportes pour sassurer de
sa cohrence avec la ralit et de sa pertinence. De plus, il est parfois ncessaire davoir plusieurs tableaux de bord, par exemple
pour suivre les anomalies sur plusieurs priodes, ou bien encore
diffrents niveaux de dtails ou de technique (les managers nayant
pas les mmes besoins que le responsable technique dune plateforme).
Les lments figurant sur le tableau de bord de la scurit sont les
suivants :
une information sur les vnements marquants survenus dans
la priode de rfrence ;
un tat davancement des actions du domaine scurit :
documents rdigs, procdures mises jour, audits raliss,
formations ;
une synthse des vnements de scurit reus par rseau,
avec le niveau de gravit :
horodatage,
caractrisation de lvnement de scurit (virus, dni de service/dni de service distribu),
origine de lattaque (adresse IP source),
nombre de machines impactes (type dquipements et
nombre),

nature de limpact (en terme datteinte la disponibilit, la


confidentialit, lintgrit),
itration de lvnement sur la priode donne,
svrit de limpact,
ventuellement raction mise en uvre suite cet incident.
Exemple : Un exemple de tableau de bord est donn ci-aprs.
Lune des difficults suite un incident de scurit est lvaluation
de la svrit de limpact . Pour ce faire, tous les lments disponibles doivent tre analyss, que ce soient les fichiers journaux sur
la(es) machine(s) impacte(s), les alarmes remontes ou les statistiques fournies par les dispositifs de scurit. Pour tre efficace, la
svrit de limpact doit tre chiffre.
Par ailleurs, la pertinence des donnes faire figurer sur ce
tableau dpend fortement du service en production considr. Pour
des plates-formes disponibles sur Internet et donc attaques en permanence, les Top 5 ou Top 10 des attaques peuvent tre un support
suffisant pour dcider des actions mener.
Le suivi de ces tableaux est limit par le fait que seules les attaques identifies pourront tre prises en compte. Cependant, ils permettent de remonter des indicateurs pertinents aux quipes
concernes et aux dcideurs pour piloter le rseau sur le moyen
terme et prvenir les attaques par des actions judicieuses.

4.3 Inputs vers des outils daide


la dcision
Les tableaux de bord de scurit sont parfois trop synthtiques
pour mener bien des tches de plus longue haleine dpendant de
paramtres plus nombreux. De plus, la supervision centralise
rsulte souvent dun assemblage de diffrentes consoles propritaires htrognes. Pour tre analyses, les traces issues des fichiers
de journalisation sont alors places en entre doutils de type data
warehouse plus complexes de traitement des indicateurs et daide
la dcision :

pour piloter les actions sur les quipements superviss ;


pour le contrle qualit ;
pour planifier les interventions venir ;
pour mettre des diagnostics distance ;
pour faire voluer larchitecture au cours du temps.

Les produits de type ESM ou Enterprise Security Management


peuvent apporter une partie de la rponse, comme les outils e-security (http://www.esecurity.net/ utilis dans le produit HPOpenview),
Tivoli SecureWay Risk Manager ou encore Patrol de BMC Software .
Ces consoles sont coteuses et ne prennent pas toujours en compte
tous les besoins dune plateforme. Des outils libres sont
rgulirement diffuss, intgrant tel ou tel format de donnes et
dalarme.
(0)

Date alerte

JJ/MM/AA

Date fin

JJ/MM/AA

H 5 820 16

Nature/
rfrence

CERT
CA-2001-19
"Code Red"

@ IP source

@ IP
destination

Services/
ports
utiliss

Svrit

Nombre
ditrations

xx.xx.xx.xx

xx.xx.xx.xx

http (80)

Impact

Action

service XX
indisponibilit
de XX

application
des
patches X
incident
en cours
danalyse

Toute reproduction sans autorisation du Centre franais dexploitation du droit de copie est strictement interdite.
Techniques de lIngnieur

_______________________________________________________________________________ TECHNIQUES DE SUPERVISION DE LA SCURIT DES RSEAUX IP

Devant lhtrognit des lments constitutifs dune plateforme, de nombreuses entreprises essaient de dvelopper leurs
propres outils adapts leur contexte. Afin de centraliser la supervision, le principe reste toujours le mme, cest--dire rpartir des
agents envoyant des informations vers des collecteurs. Cest par
exemple le cas pour un oprateur de rseau sur certaines technologies trs particulires pour lesquelles la supervision des quipements mis en uvre nest pas prise en charge par les consoles
classiques. Il faut alors dvelopper des outils spcifiques, permettant de remonter des alarmes plus compltes et plus adaptes que
les produits disponibles, et ainsi dlargir le primtre de supervision.
De telles consoles de supervision sont particulirement intressantes dans les rseaux gographiquement tendus : en augmentant le nombre dobjets superviss raccords individuellement
lapplication dalarmes, il est alors possible de localiser plus rapidement les dfauts de manire centralise et de dterminer directement le lieu, lintervenant, et le lot de maintenance ncessaire la
rparation avant tout dplacement, afin de diminuer la dure des
perturbations perue par les clients. Il est par la suite possible de
mieux analyser les causes des dfauts par la mmorisation des vnements dalarme et contribuer des actions de maintenance prventive amliorant la qualit de service perue par le client.
Exemple du suivi de la supervision et du pilotage de relve des
dfauts sur le rseau.
Les outils de supervision de la scurit sont des supports indispensables pour le responsable oprationnel du rseau qui assure le pilotage des processus, lanalyse des indicateurs de matrise de la
performance, le traitement et le suivi des non-conformits ; il peut
alors sappuyer sur lanalyse pour proposer des actions correctives et
prventives et suivre leur mise en uvre.
partir de toutes les informations dont il dispose, loutil peut proposer un premier diagnostic du dfaut et ainsi permettre au responsable
oprationnel de dterminer quel type dintervenant peut agir. Il propose
une prlocalisation, permettant de dfinir quelle quipe dintervention
contacter. La corrlation avec dautres vnements apporte des informations de priorisation des actions (niveau durgence), ainsi et offre
des lments concrets dinformations pour dialoguer avec les clients
et/ou les partenaires.
Enfin, il fournit des lments daide la dcision sur les suites donner cet vnement : clture de lincident, raffectation de lalarme,
demande dintervention immdiate ou diffre.
Remarque : tout dploiement de nouvel outil de supervision a
un fort impact dans lorganisation de lexploitation oprationnelle du rseau et du systme dinformation. Il est ncessaire de
lintgrer dans une stratgie de formations.

5. Politique de scurit
et supervision
5.1 Politique de scurit
Disposer doutils de supervision de la scurit est une premire
tape, indispensable, pour assurer la scurit de ses infrastructures.
Mais cela nest pas suffisant, car la technique seule na jamais rsolu
tous les problmes. Ainsi, dautres lments dfinissant les procdures mettre en place, la faon de raliser la supervision, les
tches mener au jour le jour et les actions effectuer en cas dvnements imprvus ou inhabituels sont dfinir.
Dans le domaine de la scurit informatique, on parle alors de
politique de scurit.

Quest-ce quune politique de scurit


Cest un document qui spcifie lensemble des lois,
rglements et pratiques qui rgissent la faon de grer, protger
et diffuser les informations et autres ressources sensibles au
sein dun systme spcifique, dune organisation (ITSEC) [Information Technology Security Evaluation Criteria]
En pratique :
recommandations en prvention (analyse de risques, politique de scurit...), audits (analyse des configurations) ;
suivi de lefficacit (veille, analyse de correctifs, audits...) ;
dtection (contrle) ;
correction (gestion des incidents, gestion des crises...).
Mme si le primtre dune politique de scurit est bien au-del
des aspects supervision et administration , ces points seront
ncessairement abords dans ce document de rfrence. Ainsi,
lentreprise aura pris soin de dfinir ces tches de supervision de la
scurit. ce titre, lors de la rdaction de la politique de scurit, il
sera intressant de considrer ces questions :
1. comment assurer le traitement correct des donnes de faon
scurise ?
2. gestion des pannes : comment dtecter/localiser/rparer pour
un retour la normale dun environnement ?
3. comment minimiser les risques de pannes et maintenir une disponibilit et une qualit de service optimale ?
4. comment prvenir la perte de donnes, linterception de ces
donnes ou mauvais usages ?
5. comptabiliser et journaliser : comment connatre les oprations
effectues, leur cot de transport ?
6. comment protger lintgrit des donnes (tant du trafic transport que des fichiers de configurations des diffrents quipements) ?
7. grer les configurations : comment lister et pouvoir modifier les
objets utiles ? Comment organiser ces objets ?
8. comment grer les performances, savoir temps de rponse,
dbit, TEB (taux derreur binaire), taux de disponibilit ?
9. grer la scurit : comment contrler et distribuer des informations de scurit ?
La rdaction de la politique de scurit est une tche mener
conjointement avec les quipes dadministration et de supervision
de la scurit du rseau dentreprise. Il peut tre intressant de partir dun plan relativement standard lors de llaboration de cette
politique, articul autour des lments suivants :
quels sont les lments devant tre protgs ?
quelles sont les mthodes de protections mettre en uvre ?
quels sont les rles et responsabilits des divers acteurs ?
description de lusage normal des ressources et donnes ;
gestion des violations de la politique de scurit : intrusion,
accident...
Ces lments se dclineront de faons diffrentes suivant le
contexte et la nature de lentreprise, mais certains points resteront
communs. La supervision de la scurit aura une place centrale
dans le contenu de cette politique.
Exemple du contenu dune politique de scurit : accs aux
ressources
Le premier niveau de scurit prendre en compte dans un LAN
est lutilisateur. Tout accs aux ressources doit pouvoir tre trac, et
pour cela, authentifi. Pour accder aux ressources locales et rseaux,
lutilisateur doit sidentifier grce diffrentes mthodes (nom utilisateur/mot de passe, certificat, autre). Chaque utilisateur doit tre unique
dans son contexte et appartenir au moins un groupe dutilisateurs.

Toute reproduction sans autorisation du Centre franais dexploitation du droit de copie est strictement interdite.
Techniques de lIngnieur

H 5 820 17

TECHNIQUES DE SUPERVISION DE LA SCURIT DES RSEAUX IP

_______________________________________________________________________________

Certaines rgles concernant les logins et les mots de passe sont


aborder dans une politique de scurit :
le nom dutilisateur (Login) doit tre significatif pour pouvoir identifier
toutes les personnes. Plusieurs mthodes didentification sont possibles ;
le mot de passe (Password) doit tre personnel et incessible. Certaines consignes/rgles peuvent rendre difficiles voire inefficaces les
tentatives de connexion des pirates : longueur minimale, renouvellement, chiffrement, dconnexion et/ou blocage en cas derreur, cas du
compte administrateur...
etc.

5.2 Norme ISO 17799


La norme ISO 17799 [4] repose sur un ancien standard du British
Standards Institute, le BS7799 normalis courant 2000. Cette norme
est constitue dune srie de recommandations, plutt organisationnelles, traitant des bonnes pratiques en matire de scurit des
systmes dinformations. Elle rpond ainsi, indpendamment des
choix technologiques, aux questions de mise en uvre des pratiques de scurit au sein de lentreprise. Cette norme est rdige
selon les axes suivants :
politique de scurit ;
organisation de la scurit ;
classification et contrles des biens ;
scurit du personnel ;
scurit physique, scurit de lenvironnement ;
gestion des communications et des oprations ;
contrles daccs ;
dveloppement et maintenance des systmes ;
gestion de la continuit des activits de lentreprise ;
conformit.
Plus dune centaine de prconisations sont abordes dans ces
10 chapitres. Parmi le contenu de cette norme, exploitation, administration, ainsi que continuit de service font chacun lobjet de partie bien dtaille. Il peut tre trs pertinent, dans le cadre dune
dmarche de dclaration de conformit avec cette norme ISO, de
sassurer que les techniques de supervision de la scurit des
rseaux mises en uvre dans lentreprise sont conformes aux
recommandations. Le chapitre 2, Organisation de la scurit
traite par exemple des points suivants :
grer efficacement la scurit de linformation dans lentreprise ;
maintenir la scurit des ressources accdes par des tiers ou
des sous-traitants ;
recommandation de scurit dans le cadre de lexternalisation
et de la sous-traitance.
Les recommandations faites serviront de base pour llaboration
de rgles de supervision de la scurit interne lentreprise.
Le lecteur intress pourra consulter avec intrt un document
publi par le CLUSIF, prsentant de faon gnrale cette norme et
ses applications [5]. Il est noter que le standard anglais initial tait
compos de deux parties, BS7799 part1 & BS7799 part2. Seule la
partie 1 a fait lobjet dune norme ISO. La partie 2 est trs utilise en
Grande-Bretagne, car elle fait lobjet dun schma de certification
qualifiant le niveau de scurit de lentreprise.

5.3 Veille scurit


La scurit est devenue un vritable enjeu. Le CERT CC (Computer
Emergency Response Team Coordination Center) publie
rgulirement des statistiques sur le nombre dincidents reports, le
nombre davis de scurit publis. Une forte croissance est malheureusement constater au cours des dernires annes comme indiqu dans les tableaux suivants (source : http://www.cert.org/stats/
cert_stats.html).

H 5 820 18

(0)

Anne
Nombre
dincidents
reports

1988 1992 1995 1999 2000


6

2001

2002

2003
(Q1-Q3)

773 2 415 9 859 21 756 52 658 82 094 114 855

(0)

Anne
Nombre de
vulnrabilits
reportes

1995 1996 1997 1998 1999 2000 2001 2002


171

345

311

262

417

1 090 2 437 4 129

La veille technologique consiste se tenir inform des informations ayant trait la scurit, telles que les nouvelles vulnrabilits,
les attaques en cours... Elle seffectue auprs de divers organismes.
Des groupes de travail comme les CERT (Computer Emergency
Response Team) publient trs rgulirement des avis sur les trous de
scurit quils recensent http://www.cert.org
En France, lquivalent du CERT ddi aux industries est le CERTIST [6] (Computer Emergency Response Team Industrie Services et
Tertiaire). Il propose un service de base orient prvention avec diffusion davis de scurit, dun bulletin de scurit et dun accs une
base de vulnrabilits ou un service la carte plus complet. Un
CERT est ddi aux administrations, il sagit du CERT A [7]. Enfin, les
rseaux universitaires peuvent sappuyer sur le CERT Renater [8].
Les fournisseurs de services ou de matriel informatique ont souvent des listes de diffusion, forums ou sites web qui permettent de
faire circuler les informations propos des problmes rencontrs sur
leurs systmes, ainsi que les solutions qui peuvent y tre apportes.
Certains sites web mettent en accs libre des mthodes pour
prendre la main sur des serveurs dun rseau ou pour mettre mal
un systme informatique. Ils fournissent donc des armes redoutables au public, mais offrent galement souvent les contre-attaques
possibles contre ces mfaits. Leur objectif est de pousser les diteurs de systmes rendre leurs produits encore plus fiables. Malheureusement, nimporte qui peut dcouvrir ces sites et appliquer
ces mthodes. Il faut donc rester vigilant et se tenir rgulirement
au courant de lactualit de ces sites, pour, non seulement prvoir ce
qui pourrait arriver, mais aussi mettre en place les protections qui
pourraient savrer ncessaires.
Exemple : quelques sites dvoilant des mthodes dattaques :
http://www.packetstormsecurity.org
http://www.securityfocus.com/bid
http://www.securiteam.com
Dautres sites proposent une sorte de mto scuritaire de
lInternet ; ce sont les observatoires du Net. Il sagit de systme permettant de connatre un instant donn ltat des activits illicites
ou anormales dtectes sur un ensemble de systme jug reprsentatif de lInternet. Diverses offres gratuites ou commerciales proposent ces services. Citons par exemple lInternet Storm Center [9],
propos par le SANS (SysAdmin, Audit, Network, Security).
En ce qui concerne les volutions des rglementations, il est
incontournable de se maintenir au courant de leurs ventuelles modifications. Ce prcepte est particulirement valable dans le domaine
de la cryptographie, en local comme dans le reste du monde.

5.4 Que faire en cas de problme


de scurit ?
En cas dincidents sur un quipement ou un service, il est intressant davoir dfini auparavant un ensemble des procdures

Toute reproduction sans autorisation du Centre franais dexploitation du droit de copie est strictement interdite.
Techniques de lIngnieur

_______________________________________________________________________________ TECHNIQUES DE SUPERVISION DE LA SCURIT DES RSEAUX IP

appliquer afin dassurer la reprise des activits. On parle alors de


plan de reprise sur incident, de gestion de crise, ainsi que de plan de
continuit. Les objectifs suivants seront classiquement pris en
compte lors de llaboration du plan de continuit :
lvaluation des risques (impacts, cots et dlais techniques de
reprise suite un sinistre) ;
lapprciation et le choix du dlai acceptable de dysfonctionnement pour les services impacts.
Le plan de continuit correspond la formalisation, la mise en
place des moyens et de lorganisation, les tests et la maintenance du
plan de reprise technique et fonctionnelle. La formalisation du plan
de continuit doit mener un document oprationnel permettant
par son droulement exhaustif daboutir :
la prise en compte et la prparation des tches et quipements ncessaires en pralable la reprise technique ;
une reprise technique des moyens impacts par le sinistre ;
la dfinition de lorganisation ncessaire la gestion de la
crise suite au sinistre, la prparation de la reprise, la conduite de la
reprise technique et fonctionnelle, la validation et le contrle des
oprations, les tests des procdures et des solutions ;
aux procdures de fonctionnement de lactivit durant les dysfonctionnements (mode dgrad ou alternatif) ;
aux procdures de rattrapage des donnes et traitements perdus, leur mise niveau lors de la reprise des moyens techniques.
Cela a de forts impacts sur la supervision de la scurit, car cest
souvent via les tableaux de bords, alertes et vnements remonts
que la crise pourra tre gre de la faon la plus efficace.
Enfin, le plan de continuit ainsi labor devra tre maintenu, mis
jour rgulirement, et valid systmatiquement. Une liste de
contrle pourra tre labore :
Les tests doivent tre raliss rgulirement (pour les diffrents composants raisonnablement testables) jusqu la validation
complte de la solution technique et des procdures techniques et
fonctionnelles.
Les systmes, procdures et organisations oprationnelles
voluant en permanence dans lentreprise, les tests doivent tre raliss au-del de la validation initiale, a priori complte.
Chaque test doit faire lobjet dun compte rendu, de la formalisation des points ncessaires amliorer pour la progression vers
lobjectif, et de la planification de leur mise en uvre.
La maintenance du plan doit tre assure chaque volution
technique, fonctionnelle ou de lorganisation, afin que le plan soit en
permanence jour et applicable au plan oprationnel en cas du
dclenchement suite un sinistre.
Toutes les procdures doivent tre rdiges avec soin et
dtailles, et fournies tous les exploitants et quipes de support
concerns. Les documents de travail doivent tre pratiques et adapts aux besoins des exploitants.
Ces points seront raliss de faon sintgrer dans les processus de supervision de la scurit.
Externalisation de la supervision de la scurit
EntretienavecEricWiatrowski,DirecteurDlgulaScurit
Transpac
Il existe diverses solutions pour la supervision et lexploitation de la scurit des rseaux dentreprise. Est-il pertinent
dexternaliser ces tches ?
Oui ! Lexternalisation de la supervision et lexploitation de la
scurit peuvent tre un excellent choix. Plusieurs lments justifient pleinement cette solution, la synergie entre la supervision
scurit et la supervision rseau.

On saperoit dans les dernires alertes de scurit (par


exemple avec les vers nachi, aussi appels Welchia
(http://www.cert.org/current/archive/2003/08/21/
archive.html#welchia
et http://www.certa.ssi.gouv.fr/site/CERTA-2003-ALE-002/) ou
Slammer (http://www.cert.org/advisories/CA-2003-04.html) que
cest en agissant sur le rseau que lon peut souvent mettre trs
rapidement en place les premires contre-mesures aux attaques. La mise en place de filtres ICMP ou le blocage de certains
ports UDP (1434 pour Slammer) sur des quipements en coupure permet de limiter fortement la propagation de lattaque et
protger les quipements vulnrables encore sains. Cela ne dispensera pas bien sr de la mise jour du parc par lapplication
des correctifs mais peut permettre de ragir trs rapidement, de
limiter les dgts.
Le rseau est de cette manire une des composantes intrinsques de scurit. Ainsi, associer la supervision rseau et la scurit permet de crer une synergie. En surveillant le rseau, par
exemple en dtectant les flux atypiques ou exotiques, on sera
en mesure didentifier trs rapidement des incidents scurit en
cours. Cest de cette faon que nos quipes ont pu dtecter et
mettre en place trs rapidement des protections contre le ver
SQL Slammer. la limite, pour la scurit dun applicatif Oracle,
cest un peu diffrent, mais un mauvais temps de rponse sur
un applicatif Oracle peut permettre de dtecter des encombrements au niveau rseau, et dcouvrir un dbut dattaque DDOS.
Dissocier supervision rseau et supervision scurit nest probablement pas une bonne ide.
La synergie est aussi conomique. En effet, le rseau est surveill 24 heures sur 24, sept jours sur sept. Il y a dj des gens
comptents, travaillant en continu sur la supervision des vnements rseaux. Ces mmes quipes peuvent avoir une charge
complmentaire de surveillance de la scurit. Ensuite, en cas
de problme, ils peuvent escalader et faire appel des experts
plus pointus, qui seront mme danalyser les lments collects. La mutualisation des ressources offre donc aussi une excellente synergie dun point de vue conomique.
En rsum, lexternalisation des tches de supervision de la
scurit permet donc de mutualiser efficacement beaucoup
daspects qui font gagner en temps de raction, en efficacit de
surveillance, dalerte, et permettent de rduire considrablement les cots.
Quand une entreprise dcide dexternaliser sa scurit , il
faut bien voir que cest la gestion technique de la scurit qui est
externalise. Lentreprise reste compltement responsable de
sa politique de scurit et se doit de lavoir dfinie convenablement avant toute externalisation !
Si lentreprise demande louverture du port 135 sur lInternet,
cette demande sera exauce. Le client sera simplement prvenu
des risques encourus. En cas de problme scurit important, il
sera peut tre ncessaire de fermer ce port, mais cela ne se fera
quaprs accord du client. Il aura eu tous les lments en main,
une analyse dtaille du problme et des diverses solutions de
protection lui sera prsente. Le client sera le seul prendre la
dcision finale. Lentreprise externalisera donc les tches de
gestion, pas sa politique de scurit.
La pertinence du choix rside dans la synergie technique, oprationnelle et conomique.
Dans le cadre dune externalisation de la supervision, quels
sont les engagements que le client est en droit dattendre ?
Qui dit externalisation dit suivi, pilotage. Sur de grands
rseaux, on met en place, en parallle du PAQ (Plan dAssurance
Qualit), un PAS (Plan dAssurance Scurit) o sont dcrits les
rles et les engagements que lon garantit au client, les processus descalades mis en place, les tableaux de bord qui seront
fournis...

Toute reproduction sans autorisation du Centre franais dexploitation du droit de copie est strictement interdite.
Techniques de lIngnieur

H 5 820 19

TECHNIQUES DE SUPERVISION DE LA SCURIT DES RSEAUX IP

_______________________________________________________________________________

De plus en plus de clients demandent des tableaux de bord


scurit dans lesquels sont indiques les dernires failles de
scurit qui concernent directement ou indirectement leurs
rseaux et ce que lon met en uvre pour les protger.
Ainsi, en cas dalerte de scurit, il est possible dassurer un
reporting rgulier au client et de linformer sur lavancement de
la mise en uvre des correctifs scurit (patches).
Le PAS comporte galement des indications sur les pnalits encourues en cas dindisponibilit, de non remise de
tableau de bord...
De plus en plus, les responsables services client rseau et
services client scurit travaillent ensemble. De cette faon, le
client obtient une vision globale de son rseau et de sa scurit. On notera que certains clients sont contents dexternaliser la supervision de leur scurit, car grce aux garanties
fournies dans le PAS, ils ont dsormais la certitude de disposer dun tableau de bord scurit rgulirement mis jour, ce
qui ntait pas forcment le cas avant lexternalisation, quand
la partie scurit ne disposait pas dun budget adapt au
besoin...
Comment
une
entreprise
prend-elle
la
dcision
dexternaliser ? Est-ce que vous laccompagnez pour dfinir le
primtre, la dmarche ? Sous quelle forme ?
Il existe diffrent cas de figures... Bien sr, les facteurs conomiques entrent grandement en considration dans un choix
dexternalisation. Certaines entreprises pensent, juste titre,
quil est trs facile de mettre en place un rseau, souvent pour
un prix intressant. Mais lorsque lon parle de maintenance
dun rseau dans le temps, et de supervision scurit, les donnes du problme changent.
La scurit est encore un domaine qui passe souvent en
deuxime priorit. Il nest pas rare de constater que chez certains clients, de gros diffrends entre les acteurs rseau et scurit existent : les uns dploient au plus vite, avec des contraintes
conomiques fortes, par opposition aux seconds qui prnent
avant tout une dmarche globale de prise en compte de la scurit. Lexternalisation peut permettre dadresser ces deux
visions de faon lgante, afin dobtenir une matrise conomique et de bonnes garanties scuritaires via le PAS.

Les entreprises qui envisagent dexternaliser se font souvent


accompagner dans cette dmarche par un cabinet de conseil.
Cette solution est intressante car ces socits de conseil matrisent la problmatique et aident le client structurer ses demandes, exprimer ses besoins, et ce avec des exigences souvent
raisonnables (toutes les entreprises nont pas besoin de garantie
de service 24/24 et 7/7...). Nanmoins, ces socits de services ont
aussi besoin de justifier leurs missions et ont parfois tendance
gonfler un peu les exigences, avec des demandes qui, bien que
ralisables, vont fortement impacter le cot de la solution et ne
sont pas toujours en adquation avec les besoins de lentreprise.
Le travail est alors de re-inscrire le client vers une dmarche plus
pragmatique, avec les contraintes conomiques associes. Il faut
traduire les besoins business en rponses techniques.
Sites scurit de rfrence
http://www.cert.org/
http://www.securityfocus.com/
http://xforce.iss.net/
http://www.securiteam.com/

6. Conclusion
La supervision de la scurit nest pas facile implmenter dans un
rseau. Elle est nanmoins primordiale pour avoir une vision claire de
ltat de sant de son rseau. La dfinition dune bonne politique de
supervision doit faire intervenir tous les acteurs concerns afin de
bien rflchir en amont sur ce que lon attend de cette politique de
supervision. Il peut tre alors important de se faire aider par des
consultants familiers avec le sujet, cela afin davoir un aperu des
diffrentes possibilits dans le domaine de la supervision.
Limpact auprs du grand public des dernires attaques (Blaster,
Slammer, etc.) a eu pour avantage de sensibiliser de nombreuses personnes sur limportance de la supervision, afin de ragir le plus rapidement possible aux attaques. De nombreuses socits, surtout les
entreprises de taille moyenne, choisissent maintenant dexternaliser la
supervision de la scurit, cela permettant davoir de trs bons rsultats, parfaitement adapts leurs besoins pour un cot abordable.

Rfrences bibliographiques
[1]

DURHAM (D.), BOYLE (J.), COHEN (R.),


HERZOG (S.), RAJAN (R.) et SASTRY (A.).
The COPS (Common Open Policy Service)
Protocol, Janvier 2000 RFC 2748.

[2]

LONVICK (C.). The BSD syslog Protocol.


Aot 2001 RFC 3164.

[3]

PUJOLLE (G.). Les Rseaux. 3e dition,


Eyrolles, 2000, ISBN : 2-212-09119-2.

[5]

[6]
[7]
[8]
[9]
[10]

[4]

Information technology Code of practice for


information security management. ISO/IEC
17799:2000.

H 5 820 20

[11]

Une prsentation gnrale Dossier Technique du Clusif. Avril 2003


http://www.clusif.asso.fr/ ISO 17799:2000.
CERT-IST, http://www.cert-ist.com/
CERT A, http://www.certa.ssi.gouv.fr/
CERT Renater, http://www.renater.fr/Securite/
CERT_Renater.htm
ISC (Internet Storm Center)
http://isc.incidents.org
MOCKAPETRIS (P.). Domain Names concepts and facilities. Novembre 1987 RFC 1034.
CLUSIF. tude et statistiques sur la sinistralit informatique en France Anne 2002.

publication Mai 2003


http://www.clusif.asso.fr/fr/production/
sinistralite/docs/etude2002.pdf

Dans les Techniques de lIngnieur


[12]

CHEVASSUS (M.). Administration des systmes dinformation. [H 2 860] Trait Informatique 05-2003.

[13]

PUJOLLE (G.). Architecture TCP/IP. [H 2 288]


Trait Informatique 08-1997.

Toute reproduction sans autorisation du Centre franais dexploitation du droit de copie est strictement interdite.
Techniques de lIngnieur