Académique Documents
Professionnel Documents
Culture Documents
Supervision et
sécurité
Page 1 sur 18
Sommaire
Rappel de la demande....................................................................................................
Étude de l’existant..........................................................................................................
Architecture réseau........................................................................................................
Choix du logiciel de supervision.....................................................................................
Qu’est ce que la supervision ?.................................................................................
Le marché de la supervision aujourd’hui.................................................................
Le choix de l’outil, Nagios........................................................................................
Choix du logiciel permettant l’utilisation de Nagios à distance...............................
Choix de l’IDS.................................................................................................................
Définition.................................................................................................................
Spécificités..............................................................................................................
Choix de l’IDS........................................................................................................
Choix NIDS............................................................................................................
Mise en place de SNORT........................................................................................
PRA/PCA........................................................................................................................
Analyse des risques...............................................................................................
Analyse d’impact...................................................................................................
Développement du plan........................................................................................
Sauvegarde des données......................................................................................
Priorité, technique.................................................................................................
Exercice et Maintenance.......................................................................................
Matrice de risques........................................................................................................
Conclusion....................................................................................................................
Annexes........................................................................................................................
Diagramme de GANTT...........................................................................................
Page 2 sur 18
Présentation du projet, rappel de la demande
Page 3 sur 18
Étude de l’existant
Une étude du SI de votre groupe ***** nous a permis de réunir les informations
suivantes :
- Fuites d’informations
- Panne de serveurs
Page 4 sur 18
Architecture réseau
Ci dessous, l’architecture future d’un centre type :
Dans un premier temps vous pouvez noter la présence d’un pare feu, doublé d’un
IDS dans chaque entité, en effet, la sécurisation nous a semblé être un axe de
travail très important. Cependant pour avoir une protection de votre système
d’information complète, des antivirus devront être installés sur les postes clients.
- Antivirus : Protéger les postes client d’attaque type : virus (via mail, clef
usb…)
Page 5 sur 18
Choix du logiciel de supervision
- Incompatibilités entre
fournisseur à choix d’un
fournisseur unique
Page 6 sur 18
Lors du choix de l’outil que l’on va mettre en place, deux cas de figures s’offrent
à nous :
1- L’entreprise n'a pas encore d'outil de supervision, l'open source est alors la
solution adaptée pour s'habituer à cette discipline et déterminer les
indicateurs à surveiller, le tout, à moindre coûts.
2- L’entreprise possède déjà un outil de supervision, et compte en changer
car celui dont elle dispose ne correspond plus à ses besoins (prix,
efficacité) l’adoption de l’une des deux grandes catégories de produit est
envisageable.
Certes, sur le plan fonctionnel, les grands outils de supervision propriétaire BMC,
HP, ou encore IBM conservent une légère avance sur les solutions open
source les plus performantes. Cependant, les produits propriétaires sont
relativement complexes à paramétrer, ce qui induit inévitablement, un nouveau
surcoût.
- JFFNMS
- Nagios
- CACTI
Page 7 sur 18
Voici en trois points la justification de notre choix :
Nagios est simple à installer. Sa mise en œuvre ne nécessite que deux à trois
jours. Il n'est pas indispensable de recourir aux services d'un prestataire pour le
faire, pour peu que l'on prenne le temps de lire attentivement la documentation,
très détaillée. Il est également facile à utiliser. Il est généralement déployé pour
le suivi de quelques centaines de serveurs, mais est capable d'en suivre des
milliers (et des dizaines de milliers de services). De plus la solution est 100%
open source, elle existe depuis plus de 10ans, et fédère une communauté de plus
de 250 000 utilisateurs, et comprend un support professionnel, ce qui garantit
des réponses rapides et claires à chaque problème que l’on pourrait rencontrer.
De plus d’un point de vue mise en place, Nconf dispose d’une interface plus
légère et plus ergonomique, permettant ainsi une configuration plus aisée.
Page 8 sur 18
En terme de fonctionnalité brute, ces deux plug-in utilisent celles de Nagios donc
il y a peu de différences technique.
Page 9 sur 18
Choix de l’IDS
Définition
Un système de détection d'intrusion (ou IDS : Intrusion Detection System) est un
mécanisme destiné à repérer des activités anormales ou suspectes sur la cible
analysée (un réseau ou un hôte). Il permet ainsi d'avoir une connaissance sur les
tentatives réussies comme échouées des intrusions.
Les NIDS (Network Based Intrusion Detection System), qui surveillent l'état
de la sécurité au niveau du réseau.
Les HIDS (HostBased Intrusion Detection System), qui surveillent l'état de
la sécurité au niveau des hôtes.
Les IDS hybrides, qui utilisent les NIDS et HIDS pour avoir des alertes plus
pertinentes.
Spécificités
Le HIDS récupère les informations qui lui sont données par le matériel ou le
système d'exploitation. Il y a pour cela plusieurs approches : signatures,
comportement (statistiques) ou délimitation du périmètre avec un système de
liste de contrôle d’accès (ACL). Un HIDS se comporte comme un « daemon » ou
un service standard sur un système hôte qui détecte une activité suspecte en
s’appuyant sur une norme. Si les activités s’éloignent de la norme, une alerte est
générée
L’objectif d’un NIDS est d’analyser de manière passive les flux en transit sur le
réseau et détecter les intrusions en temps réel.
Un NIDS écoute donc tout le trafic réseau, puis l’analyse et génère des alertes si
des paquets semblent dangereux.
Les IDS hybrides quand à eux, récupèrent les alertes d’HIDS et de NIDS et permet
de faire une corrélation de ces alertes afin de détecter des anomalies qui
n'auraient jamais eu lieu sur un analyseur seul.
Page 10 sur 18
Choix de l’IDS
Dans un premier temps nous avons exclu de mettre en place un HIDS, en effet,
un simple antivirus le remplacera avantageusement.
Dans un second temps, nous aurions pu opter pour un IDS hybride, cependant,
les seuls IDS hybrides nécessitent, d’une part un HIDS et un NIDS. En effet un IDS
hybride se contente de réunir en un seul et même endroit l’ensemble des
informations. Cependant, cette option nécessite une installation et une
configuration très lourde. Celle-ci ne serait pas justifiée pour un réseau comme le
votre.
Choix NIDS
Actuellement, il y a peu de logiciel NIDS permettant un scan complet du réseau,
et ce en consommant peu de bande passante.
Dans notre recherche, 2 NIDS Open source se sont démarqué :
Bro
Snort
En résumé, Snort est IDS performant, évolutif et facile à utiliser, alors que le
logiciel Bro, de part sa conception, favorise l’innovation (nouvelles méthodes
d’analyse) au détriment de la de la facilité de configuration/administration.
C’est pourquoi nous avons opté pour le NIDS SNORT.
Page 11 sur 18
Mise en place de SNORT
SNORT a besoin de différents packages pour fonctionner mais aussi pour
améliorer son utilisation. Plusieurs possibilités s’offrent à vous mais nous vous
faisons une liste et un descriptif seulement de ceux que nous avons utilisés.
De nombreux logiciels permettent d’optimiser les performances de SNORT, voici
la liste des logiciels que nous avons sélectionnés pour la surveillance de votre
réseau :
Page 12 sur 18
PRA/PCA
Analyse d’impact
Financiers, humains. .. L’impact est la durée maximale admissible d’une
interruption de chaque processus de l’entreprise. En d’autres termes, le temps
maximal après lequel une ressource informatique doit avoir été remise en
fonction.
Développement du plan
Choix des personnes qui vont s’occuper du plan de reprise d’activité. Ce ne sera
pas forcément le PDG ou le Directeur du SI mais des employées sélectionnés qui
permettra de gagner du temps pour la reprise d’activité de l’entreprise.
Page 13 sur 18
Priorité, technique
Pour votre entreprise, il faut que l’activité puisse être reprise assez rapidement
sans perdre d’argent.
La mise en place d’un bâtiment de secours en cas de sinistre est d’une haute
importance. Je peux vous donner un exemple de site de secours : Site chaud
Ce site sera équipé du même matériel réseau (switch/routeur 3com, hp, cisco)
ainsi que des serveurs (Windows 2003, 2008 ou sous linux).
Il est possible aussi de pouvoir utilisé d’autre site de secours, qui ne sont eux par
contre pas du tout à jour au niveau des serveurs ou même de l’architecture.
Exercice et Maintenance
Faire des tests de manière régulière afin d’évaluer la fiabilité du PRA, former les
employés en cas de sinistres ou accidents.
Après avoir mis en place le PRA/PCA, il faut continuer à le développer, car votre
entreprise va continuer à évoluer. Il faut continuer a faire des analyse de risques
afin de faire des modifications du PRA/PCA, et à nouveau tester celui la pour voir
s’il est efficace.
Il faut savoir que la mise en place d’un PRA/PCA est un gage de sécurité pour vos
assurance qui sera la pour vous en cas de sinistre.
Page 14 sur 18
Matrice de risques
Plus la probabilité est faible ainsi que l’impact alors le risque sera faible, par
contre plus la probabilité augmente plus le risque sera élevé.
Page 15 sur 18
Conclusion
Pour la réalisation de la maquette, nous n’avons pris en compte que les grandes
lignes de votre projet, supervision, et sécurité.
La solution mise en place par notre équipe vous permettra donc sur le long terme
d’économiser du temps et de l’argent car le projet, une fois en route sera capable
prévenir des pannes matérielles et logicielles et d’empêcher toute intrusion sur
votre réseau, et ainsi protéger vos donnée, et plus largement votre SI de A à Z.
Page 16 sur 18
Annexes
Diagramme de GANTT
Planning Prévisionnel
Mercredi Vendredi
Tache/jour Lundi 21 Mardi 22 23 Jeudi 24 25
Comparatif IDS
Installation Nagios
Installation Snort
Installation machine
Virtuelle
Installation des
serveurs et services
Configuration Nagios
Configuration Snort
Configuration utilitaire
Snort
Installation et
Configuration Nconf
PCA
PRA
Test de configuration
Test d'attaque
Rapport
Power Point
Maquette
Page 17 sur 18
Planning réel
Mercredi Vendredi
Tache/jour Lundi 21 Mardi 22 23 Jeudi 24 25
Réunion début projet
Comparatif supervision
Comparatif IDS
Reunion choix outils
Installation Nagios
Installation Snort
Installation machine
Virtuelle
Installation des
serveurs et services
Analyse des risques
Configuration Nagios
Configuration Snort
Configuration utilitaire
Snort
Installation et
Configuration Nconf
PCA
PRA
Test de configuration
Test d'attaque
Rapport
Power Point
Maquette
Page 18 sur 18