SECURINETS

Club de la Scurit Informatique lINSAT

Dans le cadre de la 3me dition

de la journe nationale de la scurit informatique

SECURIDAY 2013
Cyber War
SECURINETS

Prsente
Atelier : Analyse des fichiers logs

Formateurs: 1. Trabelsi NAJET

2. Souid SAWSSEN
3. Nasr AFEF
4. Ben Zineb HENDA
5.Oumaima SALHI

Copyright 2013 - SECURINETS - Club de la Scurit Informatique lINSAT

www.securinets.com

SECURIDAY 2013 - Cyber War

SECURINETS

Atelier : Analyse des fichiers logs

Date de cration
:27/04/2013

Table des matires

1. Prsentation de latelier : ...................................................................................................1

2. Prsentation des outils utiliss : .......................................................................................1
3. Topologie du rseau : ..........................................................................................................1
4. Configuration des outils : ...................................................................................................4
5. Un scnario de test ..............................................................................................................4
6. Conclusion: ......................................................................................................................... 14

Copyright 2013 - SECURINETS - Club de la Scurit Informatique lINSAT

www.securinets.com

Page1

SECURIDAY 2013 - Cyber War

Atelier : Analyse des fichiers logs

SECURINETS

Date de cration
:27/04/2013

1. Prsentation de latelier :
Les logs sont bien souvent les premiers tmoins d'un vnement sur un quipement
du Systme dInformation. Ils proviennent d'applications, de systmes d'exploitation, d'quipements
rseau ou de scurit et sont utiliss pour dtecter les failles de scurit, les traces d'activit
inhabituelle ainsi que les dfaillances matrielles ou logicielles. Ce sont des sources dinformation qui
aident les administrateurs comprendre les origines d'un vnement et optimiser les systmes

i.

Objectif :

Lobjectif est dobtenir un outil dans lequel sont paramtres des rgles de bonne pratique
qui dclencheront une alerte lorsque lanalyse dtectera une action ou une rgle non conforme.

ii.

Prsentation gnrale de la solution adopte :

OSSIM est un projet open source de management de la scurit de linformation . Cette

solution sappuie sur une gestion des logs bass sur la corrlation de ceux-ci ainsi quune notion
dvaluation des risques.
Cette solution est ne du constat selon lequel il est difficile encore ce jour dobtenir un instantan
de son rseau et des informations qui y transitent avec un niveau dabstraction suffisant pour
permettre une surveillance claire et efficace.
Le but dOSSIM est donc de combler se vide constat quotidiennement par les professionnels de la
scurit.

2. Prsentation des outils utiliss :

iii.

Ossim :

OSSIM est une solution fdrant dautres produits open-source au sein dune infrastructure
complte de supervision de la scurit (framework)
Le framework au sens dOSSIM pour objectif de centraliser, dorganiser et damliorer la dtection
et laffichage pour la surveillance des vnements lis la scurit du systme dinformation dune
entreprise.
Le framewok est ainsi constitu des lments de supervision suivants

Un panneau de contrle

Des moniteurs de supervision de lactivit et des risques.

Des moniteurs de supervision rseau et des consoles dinvestigation

Les fonctionnalits dOSSIM peuvent tre reprsente de manire simple et graphique en un
dcoupage sur 9 niveaux tel que le montre le schma suivant :

Copyright 2013 - SECURINETS - Club de la Scurit Informatique lINSAT

www.securinets.com

Page1

SECURIDAY 2013 - Cyber War

SECURINETS

Atelier : Analyse des fichiers logs

Date de cration
:27/04/2013

ii-Ossec :
Ossec est une application de dtection dintrusion, et plus prcisment un HIDS (Host
Intrusion Detection System). Il permet de surveiller lintgrit des fichiers systmes, aussi bien sur
des postes Linux que Windows.
De plus, Ossec dtecte galement des attaques de pirates comme les rootkits, les scans de ports, et
analyse les logs du systme, des applications et des services. Le logiciel propose galement un
systme de rponses actives, cest--dire dactions raliser en cas dattaque.

iii-Snort :
Snort est un NIDS (Network Intrusion Detection System). Il a pour rle dcouter sur le rseau
la recherche dattaques de pirates, quil dtecte grce de nombreuses rgles disponibles sur le
site officiel, galement auprs de certaines communauts comme Emerging.
Lapplication analyse le rseau, le trafic en temps rel, et peut logger des paquets. Les alertes sont
ensuite stockes dans une base donnes, elles peuvent tre galement sous forme de logs. Snort
peut aussi transmettre, notifier les vnements. Il est bas sur un systme de signatures et combine
donc lanalyse du trafic par signature, protocole et anomalie.

iV-Backtrack :
Cest une distribution Linux, base sur Slackware jusqu' la version 3 et Ubuntu depuis la
version 4, apparue en janvier 2010. Elle est ne de la fusion de Whax et Auditor. Son objectif est de
fournir une distribution regroupant l'ensemble des outils ncessaires aux tests de scurit d'un
rseau.
Backtrack fournit de plus des outils de scurit tel que le scanner de port jusquaux crackers
de mot de passe. Il inclut plusieurs logiciels commenant par Metasploit, Nmap, Wireshark

Copyright 2013 - SECURINETS - Club de la Scurit Informatique lINSAT

www.securinets.com

Page2

SECURIDAY 2013 - Cyber War

SECURINETS

Atelier : Analyse des fichiers logs

Date de cration
:27/04/2013

V-Tableau comparatif outils utilises et autres outils :

Outils
Snort

Ntop

P0F

Tcptrack

Fonctionnement
-Open source
-Detection dintrusion / NIDS
-Effectuer en temps rel des analyses de trafic et lanalyses de protocole
-il analyse le trafic du rseau, compare ce trafic des rgles dj dfinies par
lutilisateur et tabli des actions excuter.
-Open Source
-Supervision du rseau
-capturer et analyser les trames d'une interface donne et observer une majeure
partie des caractristiques du trafic entrant et sortant
-La sonde Ntop met en place un serveur Web permettant le son monitoring
ainsi que la sa configuration distance.
-permet de faire de la dtection de systmes dexploitation de manire passive,
par coute du rseau.
-Il analyse les trames transitant sur le rseau (le segment analyse) et les
compare avec une base de donnes des caractristiques de chaque OS
-TCPTrack est un sniffer
-dtection passive de connexions TCP
-Il permet laffichage des adresses source et destination, de ltat de la
connexion, du temps de connexion
ainsi que de la bande passante utilise.

3. Topologie du rseau :
i.

Architecture :

Notre architecture est base sur un NIDS Snort et un HIDS Ossec.

Copyright 2013 - SECURINETS - Club de la Scurit Informatique lINSAT

www.securinets.com

Page3

SECURIDAY 2013 - Cyber War

SECURINETS

Atelier : Analyse des fichiers logs

ii.

Date de cration
:27/04/2013

Environnement technique :

Au niveau de lenvironnement de test, notre architecture est compose de trois machines :

Serveur OSSIM
Machine Windows sur laquelle on a install un agent Ossec
Machine Ubuntu sur laquelle on a install un agent Snort

4. Configuration des outils :

i.

Installation dOSSIM :

1) Tlcharger le support d'installation : Vous pouvez tlcharger la dernire version

dAlienVault OSSIM dehttp://communities.alienvault.com
2) Dmarrez le systme d'installation et slectionnez le mode "Installation automatique"

3) A ce stade, vous devrez configurer votre carte rseau. Vous devez utiliser une adresse IP
avec accs Internet pendant le processus d'installation. Cette adresse IP sera utilise par l'interface
de gestion. Entrez l'adresse IP et cliquez sur "Continuer".
Copyright 2013 - SECURINETS - Club de la Scurit Informatique lINSAT
www.securinets.com

Page4

SECURIDAY 2013 - Cyber War

SECURINETS

Atelier : Analyse des fichiers logs

Date de cration
:27/04/2013

5) Entrez le masque de rseau et cliquez sur "Continuer". En cas de doute laissez la valeur par
dfaut de 255.255.255.0.
6) Entrez l'adresse IP de la passerelle par dfaut et cliquez sur "Continuer".

7) Partitionnement de disque : Slectionnez Guided: Use entiredisk et cliquez sur

"Continuer".

8) Entrez le mot de passe du root et cliquez sur "Continuer".

9) une fois que linstallation est termine, vous entrez votre login et votre mot de passe pour
accder OSSIM :

Copyright 2013 - SECURINETS - Club de la Scurit Informatique lINSAT

www.securinets.com

Page5

SECURIDAY 2013 - Cyber War

SECURINETS

Atelier : Analyse des fichiers logs

Date de cration
:27/04/2013

10) Maintenant, on active les plugins OSSIM en utilisant la commande :

Slectionner les plugins dont vous voulez les activs :

Copyright 2013 - SECURINETS - Club de la Scurit Informatique lINSAT

www.securinets.com

Page6

SECURIDAY 2013 - Cyber War

SECURINETS

Atelier : Analyse des fichiers logs

Date de cration
:27/04/2013

Pour activer ces plugins il faut choisir loption Save & Exit

10) Pour ouvrir linterface graphique, tapez ladresse IP (192.168.1.3) dans le navigateur :

11) Entrez User=admin et Paswword=admin et voici linterface graphique dOSSIM :

Copyright 2013 - SECURINETS - Club de la Scurit Informatique lINSAT

www.securinets.com

Page7

SECURIDAY 2013 - Cyber War

SECURINETS

Atelier : Analyse des fichiers logs

ii.

Date de cration
:27/04/2013

Installation dun agent OSSEC :

Dans linterface graphique dOSSIM, vous cliquez sur AnalysisDetectionHIDS Agents

Vous allez ajouter un nouvel agent :

On configure lagent ossim en effectuant des modifications sur son fichier

/etc/ossim/agent/config.cfg

Vous allez installer sur votre machine Windows, un agent en utilisant le logiciel Manage OSSEC.

Copyright 2013 - SECURINETS - Club de la Scurit Informatique lINSAT

www.securinets.com

Page8

SECURIDAY 2013 - Cyber War

SECURINETS

Atelier : Analyse des fichiers logs

Date de cration
:27/04/2013

Ensuite, vous allez taper ladresse IP du serveur et la cl dauthentification :

La cl se trouve dans lACTIONS du Client2, comme la montre la figure ci-dessous :

iii.

Installation dun agent Snort :

Sur la machine ubuntu on installe lagent Snort laide de la commande suivante :

Apt-get install snort

5. Un scenario de test:
Pour le scnario dattaque on va utiliser BackTrack : metasploit

i.

Architecture :

Copyright 2013 - SECURINETS - Club de la Scurit Informatique lINSAT

www.securinets.com

Page9

SECURIDAY 2013 - Cyber War

SECURINETS

Atelier : Analyse des fichiers logs

Date de cration
:27/04/2013

On ajoute les machines sur Ossim :

ii.

BackTrack :

1) Tout dabord, on fait un scan sur la machine cible : Windows : afin de savoir les ports
ouverts

Copyright 2013 - SECURINETS - Club de la Scurit Informatique lINSAT

www.securinets.com

Page10

SECURIDAY 2013 - Cyber War

SECURINETS

Atelier : Analyse des fichiers logs

Date de cration
:27/04/2013

2) Ensuite, on utilise la commande search exploits windows: qui permet de trouver les
exploits de la machine cible

3) On choisit l'exploit windows/smb/ms04_07_killbill

4) Il est possible d'avoir des informations sur cet exploit avec la commande info.

Copyright 2013 - SECURINETS - Club de la Scurit Informatique lINSAT

www.securinets.com

Page11

SECURIDAY 2013 - Cyber War

SECURINETS

Atelier : Analyse des fichiers logs

Date de cration
:27/04/2013

5) Maintenant il faut choisir le payload que l'on va utiliser. Les payloads disponibles pour cet
exploit se trouvent avec la commande show payloads. Une multitude de payloads existent pour cet
exploit, je n'en ai donc affich que quelques uns. La slection du payload se fait via la commande set
PAYLOAD payload_a_utiliser. Enfin comme pour les exploits, les payloads ncessitent parfois une
configuration que l'on peut toujours voir avec la commande show options.

6) Le payload windows/vcinject/reverse_tcp ne va pas ouvrir un port sur la machine victime

mais va faire une connexion TCP sur l'adresse IP de la machine qui sera pointe par la
variable LHOST (la machine qui utilise metasploit). Donc plutt que la machine metasploit initie la
connexion vers la machine victime, c'est la machine victime qui va initier la connexion vers la
machine metasploit. Beaucoup plus pratique pour exploiter une machine qui se trouverait derrire
un NAT ou un firewall

7) Chaque exploit peut ncessiter une configuration, qu'il est possible de voir avec la
commande show options. Ici la variable RHOST doit tre prcise. Elle reprsente l'adresse IP de la
machine victime. Les autres variables ont des valeurs par dfaut et peuvent tre modifies si besoin.
Copyright 2013 - SECURINETS - Club de la Scurit Informatique lINSAT
www.securinets.com

Page12

SECURIDAY 2013 - Cyber War

SECURINETS

Atelier : Analyse des fichiers logs

Date de cration
:27/04/2013

8) la machine victime a une adresse IP : 192.168.1.5

Avec :

Rhost :adresse de la machine victime

Lhost :adresse de la machine attaquante

9) Comme on peut le remarquer, l'exploit a fonctionn .Le

payload windows/vcinject/bind_tcp a ouvert le port 4444 sur la machine victime, et metasploit c'est
automatiquement connect dessus.

Copyright 2013 - SECURINETS - Club de la Scurit Informatique lINSAT

www.securinets.com

Page13

SECURIDAY 2013 - Cyber War

SECURINETS

Atelier : Analyse des fichiers logs

Date de cration
:27/04/2013

On visualise dans le serveur ossim les dtails de lvnement :

6. Conclusion:
Ossim est outil trs fiable au niveau de ladministration du systme dinformation. Il permet
de dtecter et analyser les attaques et les menaces son rseau et hosts.

Copyright 2013 - SECURINETS - Club de la Scurit Informatique lINSAT

www.securinets.com

Page14

SECURIDAY 2013 - Cyber War

SECURINETS

Atelier : Analyse des fichiers logs

Date de cration
:27/04/2013

Bibliographie :
Source : http://wiki.monitoring-fr.org
http://www.philippe-martinet.info/ossim

Copyright 2013 - SECURINETS - Club de la Scurit Informatique lINSAT

www.securinets.com

Page15