Vous êtes sur la page 1sur 18

Projet Supervision et sécurité

Sommaire

Rappel de la demande Étude de l’existant Architecture réseau Choix du logiciel de supervision Qu’est ce que la supervision ? Le marché de la supervision aujourd’hui Le choix de l’outil, Nagios Choix du logiciel permettant l’utilisation de Nagios à distance Choix de l’IDS Définition Spécificités Choix de l’IDS Choix NIDS Mise en place de SNORT PRA/PCA Analyse des risques Analyse d’impact Développement du plan Sauvegarde des données Priorité, technique Exercice et Maintenance Matrice de risques Conclusion Annexes Diagramme de GANTT

Présentation du projet, rappel de la demande

Les besoins concret de votre entreprise se synthétisent en quelques points que voici :

Mise en place d’une solution de supervision redondée sous LINUX

Mise en place d’une solution d’IDS

Envois de notifications diverses en cas d’alertes

Création d’un PCA/PRA

Au-delà de la demande concrète, nous pouvons voir a travers ce projet, cette démarche est la base d’une refonte totale du système d’information. En effet, la supervision permettra de voir précisément quels sont les outils/systèmes/services en place, où, et comment ils fonctionnent. La mise en place d’un IDS permettra quand à elle de combler les lacunes sécuritaires du réseau.

Notre projet se pose donc comme un premier pas vers la pérennisation de votre système d’information.

Étude de l’existant

Une étude du SI de votre groupe ***** nous a permis de réunir les informations suivantes :

Le réseau est constitué de :

- Un siège social à Paris, et 6 antennes réparties en France

- Chaque centre possède au maximum 100 postes client, et des commutateurs de différentes marques au nombre de 10 tout au plus

- Chaque centre possède son serveur DHCP et son relais DNS

- Le parc serveur est composé d’OS

très variés

Les points sensibles de votre réseau actuel sont :

- Fuites d’informations

- Inaccessibilité de certains services

- Baisse de performances réseau

- Panne de serveurs

- Ralentissement des connexions

Architecture réseau

Ci dessous, l’architecture future d’un centre type :

Ci dessous, l’architecture future d’un centre type : Dans un premier temps vous pouvez noter la

Dans un premier temps vous pouvez noter la présence d’un pare feu, doublé d’un IDS dans chaque entité, en effet, la sécurisation nous a semblé être un axe de travail très important. Cependant pour avoir une protection de votre système d’information complète, des antivirus devront être installés sur les postes clients.

De cette manière vous aurez des protections efficaces à chaque niveau :

- Antivirus : Protéger les postes client d’attaque type : virus (via mail, clef usb…)

- IDS : Détecter les intrusions réseau

- Firewall : protège les postes des attaques en provenance de l’extérieur

Dans un second temps pour optimiser la supervision, nous vous conseillons de mettre en place des serveurs de supervision redondant (voir PCA/PRA).

Choix du logiciel de supervision

Qu’est ce que la supervision ?

La supervision c’est :

- La surveillance du bon fonctionnement d’un système ou d’une activité

- Surveiller, rapporter et alerter les fonctionnements normaux et anormaux.

- La fonction qui consiste à indiquer et à commander l'état d'un appel, d'un système ou d'un réseau.

Le marché de la supervision aujourd’hui

Le marché est aujourd’hui divisé en plusieurs secteurs, en effet, les outils de supervision ont un périmètre fonctionnel plus ou moins étendu, mais aussi des prix d’acquisition allant du néant, à plusieurs milliers d’euro, c’est ce dernier point qui va nous permettre de scinder notre sélection en deux parties.

En effet, le marché de la supervision est divisé en 2 grandes familles, les outils libres, et les outils sous licence commerciale.

Quels sont les avantages et inconvénients de ces deux solutions ?

 

Outil de supervision libre

Sous licence commerciale

Avantages

-Faible coût

- Solutions globales et éprouvées

d’acquisition

- Périmètres techniques et fonctionnels

-

Développements

étendus

additionnels peu coûteux et riches

- Support

- Respect des standards

Inconvénients

- Développement

 

additionnel restreint et coûteux

- Support difficile

- Périmètres techniques et fonctionnels

Coût d’acquisition et de support

-

encore limités

-

Incompatibilités entre

fournisseur à choix d’un

fournisseur unique

Lors du choix de l’outil que l’on va mettre en place, deux cas de figures s’offrent à nous :

1-

L’entreprise n'a pas encore d'outil de supervision, l'open source est alors la solution adaptée pour s'habituer à cette discipline et déterminer les indicateurs à surveiller, le tout, à moindre coûts.

2-

L’entreprise possède déjà un outil de supervision, et compte en changer car celui dont elle dispose ne correspond plus à ses besoins (prix, efficacité) l’adoption de l’une des deux grandes catégories de produit est envisageable.

Certes, sur le plan fonctionnel, les grands outils de supervision propriétaire BMC, HP, ou encore IBM conservent une légère avance sur les solutions open source les plus performantes. Cependant, les produits propriétaires sont relativement complexes à paramétrer, ce qui induit inévitablement, un nouveau surcoût.

Le profil de votre entreprise, jeune, jusqu'à présent dépourvue de supervision, et n’exploitant pas plus de 1000 ordinateurs sur le réseau est donc en parfaite adéquation avec les outils open source et gratuits proposée sur le marché actuellement.

Le choix de l’outil, Nagios

De nombreux outils libres existent sur le marché :

- JFFNMS

- Nagios

- CACTI

Cependant l’un d’entre eux à particulièrement retenu notre attention.

Nagios, en effet, bien qu’il ne dispose pas de cartographie, l’auto discovery et de déploiement de configuration, mais pour le reste, l’outil Nagios supervise aussi bien les plates-formes matérielles (espace disque, mémoire, taux d'occupation du processeur, matériel réseau, etc) que certaines applications ou services (DNS, DHCP, LDAP, etc).

Voici en trois points la justification de notre choix :

1 - Un bon rapport qualité/prix

Nagios est simple à installer. Sa mise en œuvre ne nécessite que deux à trois jours. Il n'est pas indispensable de recourir aux services d'un prestataire pour le faire, pour peu que l'on prenne le temps de lire attentivement la documentation, très détaillée. Il est également facile à utiliser. Il est généralement déployé pour le suivi de quelques centaines de serveurs, mais est capable d'en suivre des milliers (et des dizaines de milliers de services). De plus la solution est 100% open source, elle existe depuis plus de 10ans, et fédère une communauté de plus de 250 000 utilisateurs, et comprend un support professionnel, ce qui garantit des réponses rapides et claires à chaque problème que l’on pourrait rencontrer.

2 - Peu gourmand en ressources

Loin de nécessiter un serveur puissant, Nagios se contente de ressources matérielles modestes. Cela permet de tirer parti de vieux serveurs, au lieu de devoir investir dans une nouvelle machine. Les seuls prés requis sur le serveur sont Linux (ou un autre Unix) et un compilateur C. De plus il est interopérable

3 - Seulement trois états possibles

Pour assurer le suivi en temps réel du fonctionnement des services et matériels surveillés, Nagios utilise trois états : normal, avertissement et critique. Il n'est ainsi pas possible d'affiner la supervision par des états plus granulaires. Des vues de l'état des services, hôtes ou matériels réseau sont présentées au travers d'une interface Web, avec un accès aux informations.

Choix

du

logiciel

distance

permettant

l’utilisation

de

Nagios

à

L’installation de serveur de supervision redondé dans votre siège social à Paris permettra de superviser l’ensemble de votre réseau dans vos différents centres. Le principal avantage de nconf sur Centreon, c’est l’interface web. Grâce à cette interface web, vos différents sites auront accès en temps réel au serveur de supervision à l’aide de votre navigateur permettant ainsi un meilleur monitoring et une meilleure réactivité. Contrairement à Centreon ou il faudrait installer un serveur de supervision dans chaque centre.

De plus d’un point de vue mise en place, Nconf dispose d’une interface plus légère et plus ergonomique, permettant ainsi une configuration plus aisée.

En terme de fonctionnalité brute, ces deux plug-in utilisent celles de Nagios donc il y a peu de différences technique.

Choix de l’IDS

Définition

Un système de détection d'intrusion (ou IDS : Intrusion Detection System) est un mécanisme destiné à repérer des activités anormales ou suspectes sur la cible analysée (un réseau ou un hôte). Il permet ainsi d'avoir une connaissance sur les tentatives réussies comme échouées des intrusions.

Il existe trois grandes familles distinctes d’IDS :

Les NIDS (Network Based Intrusion Detection System), qui surveillent l'état

de la sécurité au niveau du réseau.

Les HIDS (HostBased Intrusion Detection System), qui surveillent l'état de

la sécurité au niveau des hôtes.

Les IDS hybrides, qui utilisent les NIDS et HIDS pour avoir des alertes plus

pertinentes.

Spécificités

Le HIDS récupère les informations qui lui sont données par le matériel ou le système d'exploitation. Il y a pour cela plusieurs approches : signatures, comportement (statistiques) ou délimitation du périmètre avec un système de liste de contrôle d’accès (ACL). Un HIDS se comporte comme un « daemon » ou un service standard sur un système hôte qui détecte une activité suspecte en s’appuyant sur une norme. Si les activités s’éloignent de la norme, une alerte est générée

L’objectif d’un NIDS est d’analyser de manière passive les flux en transit sur le réseau et détecter les intrusions en temps réel.

Un NIDS écoute donc tout le trafic réseau, puis l’analyse et génère des alertes si des paquets semblent dangereux.

Les IDS hybrides quand à eux, récupèrent les alertes d’HIDS et de NIDS et permet de faire une corrélation de ces alertes afin de détecter des anomalies qui n'auraient jamais eu lieu sur un analyseur seul.

Choix de l’IDS

Dans un premier temps nous avons exclu de mettre en place un HIDS, en effet, un simple antivirus le remplacera avantageusement.

Dans un second temps, nous aurions pu opter pour un IDS hybride, cependant, les seuls IDS hybrides nécessitent, d’une part un HIDS et un NIDS. En effet un IDS hybride se contente de réunir en un seul et même endroit l’ensemble des informations. Cependant, cette option nécessite une installation et une configuration très lourde. Celle-ci ne serait pas justifiée pour un réseau comme le votre.

Les problèmes informatiques au sein de votre société touchent principalement vos différents serveurs, les services associés, et votre bande passante, c’est pourquoi nous avons opté pour un NIDS, logiciel qui s’installe et se configure que sur un poste permettant de filtrer le réseau tout en vous avertissant d’une quelconque anomalie en temps réels.

Choix NIDS

Actuellement, il y a peu de logiciel NIDS permettant un scan complet du réseau, et ce en consommant peu de bande passante. Dans notre recherche, 2 NIDS Open source se sont démarqué :

Bro

- se base sur un ensemble de règles décrivant des signatures d'attaques ou des activités inhabituelles.

- Un langage de script propre à Bro permettant d'écrire les règles de détection et d'action

- n'est pas destiné aux personnes recherchant une solution prête à l'emploi, mais plutôt à des administrateurs

Snort

- le système de détection d'intrusions le plus utilisé

- version commerciale, plus complète en fonctions de monitoring

- analyse du trafic réseau en temps réel

- Snort peut détecter de nombreux types d'attaques

- doté d'un langage de règles permettant de décrire le trafic qui doit être accepté ou collecté

En résumé, Snort est IDS performant, évolutif et facile à utiliser, alors que le logiciel Bro, de part sa conception, favorise l’innovation (nouvelles méthodes d’analyse) au détriment de la de la facilité de configuration/administration. C’est pourquoi nous avons opté pour le NIDS SNORT.

Mise en place de SNORT

SNORT a besoin de différents packages pour fonctionner mais aussi pour améliorer son utilisation. Plusieurs possibilités s’offrent à vous mais nous vous faisons une liste et un descriptif seulement de ceux que nous avons utilisés. De nombreux logiciels permettent d’optimiser les performances de SNORT, voici la liste des logiciels que nous avons sélectionnés pour la surveillance de votre réseau :

- Libpcap : offre des fonctions de sniffer

- Mysql : Base de données qui permet de stocker/archiver les alertes

- Phpmyadmin : Permet de gérer par navigateur une base de données

- BASE : application Web écrite en PHP qui interface la base de données dans laquelle Snort stocke ses alerte

- Apache : serveur web supportant PHP permettant de ce servir de BASE

PRA/PCA

Analyse des risques

- Humains : attaque délibérée ou maladresse de la part d’un employé, ou d’une personne extérieure à l’entreprise.

- Naturels : En cas de catastrophe naturelle, incendie des locaux,

- Matériels : En cas de défaillance des serveurs ou matériel réseau

Analyse d’impact

L’impact est la durée maximale admissible d’une

interruption de chaque processus de l’entreprise. En d’autres termes, le temps

maximal après lequel une ressource informatique doit avoir été remise en fonction.

Financiers,

Développement du plan

Choix des personnes qui vont s’occuper du plan de reprise d’activité. Ce ne sera pas forcément le PDG ou le Directeur du SI mais des employées sélectionnés qui permettra de gagner du temps pour la reprise d’activité de l’entreprise.

Sauvegarde des données

C’est une donnée importante du PRA/PCA, ne pas oublié de faire un tri dans les données à sauvegarder en priorités. On ne peut pas tout sauvegarder.

Priorité, technique

Pour votre entreprise, il faut que l’activité puisse être reprise assez rapidement sans perdre d’argent.

La mise en place d’un bâtiment de secours en cas de sinistre est d’une haute importance. Je peux vous donner un exemple de site de secours : Site chaud

Site de secours ou l’ensemble des serveurs et autres systèmes sont allumés, à jour, interconnectés, paramétrés, alimentés à partir des données sauvegardées et prêt à fonctionner. Le site doit aussi fournir l’ensemble des infrastructures pour accueillir l’ensemble du personnel à tout moment et permet une reprise d’activité dans des délais relativement courts (quelques heures).

Ce site sera équipé du même matériel réseau (switch/routeur 3com, hp, cisco) ainsi que des serveurs (Windows 2003, 2008 ou sous linux).

Il est possible aussi de pouvoir utilisé d’autre site de secours, qui ne sont eux par contre pas du tout à jour au niveau des serveurs ou même de l’architecture.

Possibilité de recourir à un site secondaire distant relier entre eux pour synchroniser les données des deux sites en quasi temps réel.

La mise en place de redondance est tout aussi importante car en cas de défaillance du matériel, la mise en pace de cette redondance permet de continuer à travailler. Voici un exemple pouvant être mise en place dans votre entreprise.

Doublement d’alimentation des baies des serveurs Redondance des disques en faisant du RAID Redondance de serveur avec des systèmes de load balancing (répartition des requêtes) ou de hearbeat (un serveur demande régulièrement sur le réseau si son homologue est en fonctionnement, lorsque, l’autre serveur ne répond pas, le serveur de secours prend le relai).

Exercice et Maintenance

Faire des tests de manière régulière afin d’évaluer la fiabilité du PRA, former les employés en cas de sinistres ou accidents.

Après avoir mis en place le PRA/PCA, il faut continuer à le développer, car votre entreprise va continuer à évoluer. Il faut continuer a faire des analyse de risques afin de faire des modifications du PRA/PCA, et à nouveau tester celui la pour voir s’il est efficace.

Il faut savoir que la mise en place d’un PRA/PCA est un gage de sécurité pour vos assurance qui sera la pour vous en cas de sinistre.

Matrice de risques

Ce tableau est un exemple de matrice de risque :

de risques Ce tableau est un exemple de matrice de risque : On fait une évaluation

On fait une évaluation des risques par rapport à deux critères :

- L’impact

- La probabilité de la menace, la probabilité que le risque survienne.

Plus la probabilité est faible ainsi que l’impact alors le risque sera faible, par contre plus la probabilité augmente plus le risque sera élevé.

Conclusion

Pour la réalisation de la maquette, nous n’avons pris en compte que les grandes lignes de votre projet, supervision, et sécurité.

La solution de supervision que nous vous proposons aujourd’hui, répond avec précision à vos besoins. Vous pourrez désormais consulter en temps réel l’évolution de vos services (DNS, DHCP…) mais aussi de vos matériels (serveurs, routeurs…) et de votre réseau, grâce à un système linux couplé à l’outil Nagios et Nconf.

Cependant dans un avenir proche, nous vous conseillons vivement une harmonisation de vos matériels et systèmes d’exploitation. Cette démarche vous permettra en effet de simplifier considérablement d’une part la supervision, mais aussi plus simplement, l’administration de votre SI.

La solution de sécurité mise en place et quand à elle parfaitement en phase avec vos attentes. En effet la protection du réseau via 3 couches distinctes (Firewall, NIDS, antivirus) permet de protéger hermétiquement votre réseau de l’ensemble des attaques possible actuellement (attaques en provenance d’internet, des attaques par virus, mais aussi des attaques par intrusion dans le réseau).

Toujours dans l’idée d’optimiser la sécurité de votre réseau, il serait souhaitable que vous mettiez en place des serveurs redondants, les dénis de service ayant de grave conséquences sur le bon fonctionnement d’une société (voir PCA).

La solution mise en place par notre équipe vous permettra donc sur le long terme d’économiser du temps et de l’argent car le projet, une fois en route sera capable prévenir des pannes matérielles et logicielles et d’empêcher toute intrusion sur votre réseau, et ainsi protéger vos donnée, et plus largement votre SI de A à Z.

Annexes

Diagramme de GANTT

Planning Prévisionnel

Mercredi Vendredi Tache/jour Lundi 21 Mardi 22 23 Jeudi 24 25 Réunion début projet Comparatif
Mercredi
Vendredi
Tache/jour
Lundi 21
Mardi 22
23
Jeudi 24
25
Réunion début projet
Comparatif
supervision
Comparatif IDS
Reunion choix outils
Installation Nagios
Installation Snort
Installation machine
Virtuelle
Installation des
serveurs et services
Analyse des risques
Configuration Nagios
Configuration Snort
Configuration utilitaire
Snort
Installation et
Configuration Nconf
PCA
PRA
Test de configuration
Test d'attaque
Rapport
Power Point
Maquette

Planning réel

 

Mercredi

Vendredi

Tache/jour

Lundi 21

Mardi 22

23

Jeudi 24

25

Réunion début projet

   

Comparatif supervision

   

Comparatif IDS

   

Reunion choix outils

   

Installation Nagios

   

Installation Snort

   

Installation machine Virtuelle

     

Installation des serveurs et services

   

Analyse des risques

     

Configuration Nagios

     

Configuration Snort

       

Configuration utilitaire Snort

       

Installation et Configuration Nconf

   

PCA

     

PRA

   

Test de configuration

   

Test d'attaque

Rapport

 

Power Point

 

Maquette