Vous êtes sur la page 1sur 111

Ministère de l’enseignement supérieur

et de la Recherche Scientifique

Département Informatique

Mémoire de P ojet de Fi d’Etudes


présenté pour l’obtention du

Diplôme National d’I g ieu e


Génie des Télécommunications
et réalisé par
HLIMI Ghada

Sujet : Etude et ise e place d’u s st e de gestio de pe fo a ce de


ressource Data Center

M. HDIJI Tarek Ingénieur Expert Encadreur Universitaire


M. BEN AMOR Nidhal Chef Unit IT Encadreur Industriel

Année Universitaire : 2018/2019


Remerciements

Nous e pouvo s pas laisse passe l’o asio de la p ése tatio de e appo t sa s
exprimer nos meilleurs remerciements à tous ceux qui ont bien voulu apporter l'assistance
nécessaire au bon déroulement de ce projet.

À mon encadrant pédagogique Monsieur HDIJI Tarek,

Ingénieur Expert réseaux à la Tunisie Télécom et enseignant à la Polytechnique centrale,


nous avons eu le grand honneur de travailler sous votre direction. Votre compétence
professionnelle incontestable ainsi que vos qualités humaines vous vale t l’ad i atio et le
espe t de tous. Veuillez, he o sieu , t ouve da s e odeste t avail l’e p essio de
notre haute considération, de notre sincère reconnaissance et de notre profond respect.

À mon encadrant professionnel Monsieur BEN AMOR Nidhal,

Expert réseaux, chef unit IT à la SOTETEL pour avoir dirigé ce travail, ses efforts pour
’i tég e da s l’e vi o e e t, ses e a ues pe ti e tes, et ses o seils judi ieu , pou
sa patience, sa disponibilité, son soutien moral et pour la confiance u’il ’a a o dé. Qu’il
t ouve i i l’e p essio de a plus p ofo de g atitude et ue e t avail soit à la hauteu du
g a d effo t et du te ps u’il ’a o sa é.

Mes remerciements les plus distingués sont adressés aux membres de jury,

Qui ’o t fait l’ho eu de ie vouloi a epte d’évalue e t avail, je leu s suis


e o aissa t du te ps u’ils o t o sa é.

Aux cadres pédagogiques de la polytechnique Centrale, pour la qualité de formation qui


’a été dépe sée.
Dédicaces

Tous les ots e sau aie t e p i e la g atitude, l’a ou , le espe t, la e o aissa e…

Aussi, ’est Tout si ple e t ue Je dédie e p ojet de fi d’études...

À ma chère mère,

Tu as su ’i ul ue le se s de la espo sa ilité, de l’opti is e et de la confiance en soi


face aux difficultés de la vie. Tes conseils ont toujours guidé mes pas vers la réussite. Je tu
dois e ue je suis aujou d’hui et e ue je se ai de ai et je fe ai toujou s de o ieu
pour rester ta fidélité et ne jamais tu décevoir.

Que Dieu tu procure bonne santé et longue vie.

À es ch es sœu s, À o che f e,

Pour votre soutient et encouragements, vous occupez une place particulière dans mon
œu .

À es a is p oches, À tous ceu ue j’ai e et tous ui e so t che s…

HLIMI Ghada
Table des matières

Remerciements

Dédicaces

Tables des matières

Table des figures

Liste des tableaux

Liste des Acronymes et des Abréviations

Introduction Générale ................................................................................................................. 1

Chapitre1: Présentation de cadre du projet .................................................................................. 4

Introduction ................................................................................................................................ 5

1.Présentation générale de SOTETEL......................................................................................... 5

1.1. Activités de SOTETEL ......................................................................................................... 5

1.2. Réseau d'Accès ..................................................................................................................... 5

1.3. Réseau « Core » et « Backbone » .......................................................................................... 6

1.4. Réseau Wireless .................................................................................................................... 6

1.5. Services Convergents ............................................................................................................ 6

2.Organigramme de l’entreprise ................................................................................................. 6

3.L’architecture réseau de la SOTETEL ..................................................................................... 7

4. Etude de l’e ista t .................................................................................................................... 8

4.1. Description de l’existant ....................................................................................................... 8

4.2. Critique de l’existant ............................................................................................................ 8

5. Solution proposée .................................................................................................................... 9

Conclusion ................................................................................................................................ 10

Chapitre2: Etat de l’art ............................................................................................................. 11

Introduction .............................................................................................................................. 12

Partie 1 : Étude d’un Datacenter .............................................................................................. 12

1. Définitions ............................................................................................................................. 12

2. Les composantes d’un datacenter .......................................................................................... 12


3. Les caractéristiques d’un Datacenter .................................................................................... 13

3.1. L'accès et sécurité ............................................................................................................... 13

3.2. Température ambiante ....................................................................................................... 13

3.3. Alimentation électrique ...................................................................................................... 14

3.4. Sécurité incendie................................................................................................................. 14

4. Les avantages d’un datacenter .............................................................................................. 14

Partie 2 : Étude conceptuelle de la centralisation des journaux ................................................. 15

1. Security Operation Center (SOC).......................................................................................... 15

2.Centralisation des journaux ................................................................................................... 16

2.1. Logs .................................................................................................................................... 16

2.2. Journalisation locale ........................................................................................................... 16

2.3. Centralisation des journaux................................................................................................ 17

3. Système de gestion des évènements ........................................................................................ 18

3.1. Présentation de SIEM ......................................................................................................... 19

3.2. Mode de fonctionnement de SIEM...................................................................................... 19

3.3. Comparaison des SIEM ...................................................................................................... 22

3.3.1. Solution propriétaire........................................................................................................ 23

3.3.2. Tableau comparatif des solutions propriétaire ................................................................. 24

3.3.3. Solution Open Source...................................................................................................... 25

3.3.4. Tableau comparatif des SIEM Open Source .................................................................... 27

Conclusion ................................................................................................................................ 28

Chapitre 3 : Étude de l’outil OSSIM ......................................................................................... 29

Introduction .............................................................................................................................. 30

1. Présentation générale de la solution OSSIM .......................................................................... 30

2.Principe technique de la solution OSSIM ............................................................................... 31

2.1. Architecture d’OSSIM ....................................................................................................... 31

2.2. Flux de fonctionnement d’OSSIM ..................................................................................... 34

3.Fonctionnalités d’OSSIM ....................................................................................................... 35

3.1. Niveau 1 : Détection par modèles (Pattern Detector) .......................................................... 36


3.2. Niveau 2 : Détection d’anomalies (Anomaly Detector) ........................................................ 36

3.3. Niveau 3 : Centralisation et Normalisation ......................................................................... 37

3.4. Niveau 4 : Gestion des priorités (Priorization) .................................................................... 38

3.5. Niveau 5 : Evaluation des risques ...................................................................................... 40

3.6. Niveau 6 : Corrélation ........................................................................................................ 41

3.7. Niveau 7 : Console / Moniteurs ........................................................................................... 44

3.8. Niveau 8 : Console d’investigation (Forensic Console) ........................................................ 44

3.9. Niveau 9 : Panneau de contrôle (Control Panel) ................................................................. 44

4. Avantages et les Inconvénients d’OSSIM .............................................................................. 45

4.1. Les Avantages ..................................................................................................................... 45

4.2. Les Inconvénients ............................................................................................................... 45

Conclusion ................................................................................................................................ 46

Chapitre4 : Réalisation du projet .............................................................................................. 47

Introduction .............................................................................................................................. 48

1.Architecture cible de la solution ............................................................................................. 48

1.1.Intégration........................................................................................................................... 49

2.Environnement du travail ...................................................................................................... 49

2.1.Environnement matériel ...................................................................................................... 49

2.2.Environnement logiciel ......................................................................................................... 50

3.Mise en place de la solution .................................................................................................... 51

3.1.Installation ossim et connexion ............................................................................................ 51

3.1.1.Configuration de l’agent OSSIM ...................................................................................... 54

3.1.2.Gestion de l’interface web ................................................................................................. 54

3.1.3.Définition des hôtes ........................................................................................................... 55

3.1.4.Affichage des alertes ......................................................................................................... 57

3.1.6. Génération des rapports .................................................................................................. 59

3.1.7. La base documentaire ...................................................................................................... 61

3.1.8. Installation d’OSSEC....................................................................................................... 62

3.1.8.1. Ajout d’un agent OSSEC .............................................................................................. 62


Installation d’un agent OSSEC sous Windows .......................................................................... 63

3.2. Installation, Configuration et Intégration du SNORT avec OSSIM ..................................... 65

3.2.1. Installation de SNORT ..................................................................................................... 65

3.2.1.1. Configuration de la carte réseau ................................................................................... 65

3.2.1.2. Installation des prérequis Snort ................................................................................... 66

3.2.1.3. Installation de Snort ..................................................................................................... 67

4 . Tests de la solution ............................................................................................................... 68

4.1.Test 1 : Attaque par brute force .......................................................................................... 68

4.2. Test 2 : Balayage de port (Nmap) ....................................................................................... 69

5.Scans et supervisions implémentés par OSSIM ...................................................................... 70

5.1.Scan de vulnérabilité : OpenVas .......................................................................................... 70

5.2.Scan de Service et des ports libre : Nmap ............................................................................ 72

5.2 Supervision par Nagios ........................................................................................................ 74

Conclusion ................................................................................................................................ 76

Conclusion générale .................................................................................................................. 77

Références bibliographiques ..................................................................................................... 78

Annexe ...................................................................................................................................... 80
Table des figures

Figure 1: Planification du déroulement du projet .......................................................................................... 2


Figure 2: Organigramme de la SOTETEL..................................................................................................... 7
Figure 3: Architecture de réseau informatique de la SOTETEL ................................................................... 8
Figure 4: Architecture d’un SOC [7] ............................................................................................................ 15
Figure 5: Architecture log local .................................................................................................................... 17
Figure 6: Mode de fonctionnement d’un SIEM [12] .................................................................................... 22
Figure 7: Architecture simple d’ossim ......................................................................................................... 32
Figure 8: Fonctionnement d’ossim ............................................................................................................... 33
Figure 9: Le fonctionnement interne d’OSSIM ........................................................................................... 34
Figure 10: niveau de fonctionnalité .............................................................................................................. 36
Figure 11: Le modèle de donnée IDMEF ..................................................................................................... 39
Figure 12: Évaluation des risques................................................................................................................. 40
Figure 13: La mesure de risque .................................................................................................................... 41
Figure 14: Technique de la corrélation sous OSSIM ................................................................................... 42
Figure 15:Architecture DATA Center ......................................................................................................... 48
Figure 16:Architecture cible de la solution .................................................................................................. 49
Figure 17: Caractéristique de la machine .................................................................................................... 50
Figure 18: Mode d’installation d’OSSIM ..................................................................................................... 52
Figure 19: L’interface réseau d’OSSIM ....................................................................................................... 52
Figure 20: Adresse IP de la passerelle .......................................................................................................... 53
Figure 21: connexion au serveur ossim....................................................................................................... 53
Figure 22: Connexion page web du serveur ossim ....................................................................................... 54
Figure 23: Tableau de bord d’OSSIM .......................................................................................................... 55
Figure 24: Définition des hôtes ..................................................................................................................... 56
Figure 25: Ajout d’un nouvel hôte ................................................................................................................ 57
Figure 26: Affichage des évènements et alertes ............................................................................................ 57
Figure 27 : Choix du plugin pour l’affichage des alertes .............................................................................. 58
Figure 28:Affichage des évènements en temps réel pour le plugin syslog .................................................... 59
Figure 29: Génération des rapports sous OSSIM ........................................................................................ 60
Figure 30 : Les logs des utilisateurs du réseau ............................................................................................ 61
Figure 31 : La base documentaire ................................................................................................................ 61
Figure 32 : Ajout d’un Agent OSSEC .......................................................................................................... 63
Figure 33 : extraction de l’authentication key .............................................................................................. 63
Figure 34 : lancement Manager Agent ......................................................................................................... 64
Figure 35 : Communication entre la Machine et le Serveur OSSIM ........................................................... 64
Figure 36:configuration des interfaces réseaux ............................................................................................ 66
Figure 37 : Vérification de l’installation de Snor ......................................................................................... 67
Figure 38 : Attaque de brute force ............................................................................................................... 68
Figure 39 : Alarme OSSIM ........................................................................................................................... 69
Figure 40: Le scan nmap ............................................................................................................................... 69
Figure 41:Alerte détecté par Snort ............................................................................................................... 70
Figure 42: Détection d’alerte par l’OSSEC .................................................................................................. 70
Figure 43: Lancement du scan d’OpenVas .................................................................................................. 71
Figure 44 : Définir les hôtes ou le réseau à scanner ..................................................................................... 71
Figure 45 : Les résultats du scan .................................................................................................................. 72
Figure 46: Les hosts sélectionnés pour le scan Nmap ................................................................................... 73
Figure 47 : Résultat détaillé du scan Nmap .................................................................................................. 73
Figure 48 : Affichage des informations des services d’hôtes 192.168.43.104 ................................................ 74
Figure 49 : Rapport d’état de 127.0.0.1 ........................................................................................................ 75
Figure 50: Contrôle de la disponibilité des hôtes ......................................................................................... 76
Liste des tableaux

Tableau 1: Avantage et Inconvénients d’IBM QRadar ............................................................................... 23


Tableau 2: Avantage et Inconvénients de HP ArcSight ............................................................................... 24
Tableau 3: Avantage et Inconvénients de Splunk SIEM .............................................................................. 24
Tableau 4: Tableau comparatif des SIEM propriétaire ............................................................................... 25
Tableau 5 : Avantage et Inconvénients d’OSSIM ........................................................................................ 26
Tableau 6 : Avantage et Inconvénients de Prelude ...................................................................................... 26
Tableau 7 : Avantage et Inconvénients de GrayLog2 .................................................................................. 27
Tableau 8 : Tableau comparatif des SIEM Open Source ............................................................................. 27
Tableau 9: Tableau des logiciels utilisés ....................................................................................................... 51
Liste des Acronymes et des Abréviations

AD = Active directory
DHCP = Dynamic Host Configuration Protocol
DNS = Domain name server
FW = Firewall
HIDS = Host intrusion detection system
IDS = Intrusion detection system
IPS = Intrusion prevention system
IT = Information technology
OSSIM = Open source security information management
SI = System information
SIEM = System information event management
SIM = System information management
SEC = Security event correlation
SOC = Security Operation Center
Vlan = Virtual local area network
Introduction Générale
Face à l’augmentation des volumes et à la complexité des données sur lesquelles se base
l’activité d’une société, les entreprises recherchent des méthodes pour gérer leur infrastructure
TIC. Nécessitant d’être à la fois flexibles et évolutives, ces solutions ne doivent pas pour
autant compromettre la sécurité et la fiabilité des données. Pour répondre à cette demande, de
plus en plus d’entreprises se tournent vers une externalisation du stockage de données grâce
aux prestataires extérieurs fournisseurs de data center.

La solution de stockage extérieur des données en data center présente de nombreux


avantages pour les entreprises. En faisant appel à ce processus, ces entreprises s’assurent
de garder le contrôle de leur infrastructure. Elles profitent également d’une grande expertise
dans le domaine du stockage : technologie de pointe (serveurs performants) offerte par les
prestataires, évolutivité, mises à jour et sécurité maximale des installations ainsi que
disponibilité totale des données stockées (grâce à une connexion internet haut débit).

Enfin, l’externalisation du stockage de données permet à l’entreprise de rester concentrée sur


ses objectifs et ses activités sans avoir à gérer le contrôle des données, des systèmes, des
processus ou des compétences. Cette solution favorise ainsi la compétitivité, la rentabilité et
l’efficacité de l’entreprise.

C’est de ce contexte apparaitre les objectifs de développement des systèmes SIEM « system
information évents management » système de management des évènements des ressources
Data center.

Le système de sécurité et de gestion des événements (SIEM) est relativement nouveau dans le
domaine de la technologie de l'information (IT). Les premiers composants des systèmes
SIEM ont commencé à se manifester sous diverses formes entre 10 et 20 ans, mais ont
commencé tout juste à devenir bien intégrés, en trouvant leur pied au sein des organisations.
Le système SIEM est une collection complexe de technologies conçu pour fournir une vision
et une clarté sur le Data center de l'entreprise dans son ensemble, bénéficiant également aux
analystes de sécurité et aux administrateurs informatiques. Comme vous le verrez dans le les
chapitres suivants, vous pouvez tout faire avec un système SIEM, et plus encore. C'est un

1
ajout puissant à l'infrastructure informatique de pratiquement tous les petits, moyens ou
grande entreprise, département ou entité gouvernementale.

Dans ce cadre La Société Tunisienne d’Entreprises de Télécommunications (SOTETEL) a


proposé mon projet de fin d’étude qui vise à étudier et mettre en place une solution SIEM au
sein de Data center dans le cadre d’une politique globale de sécurité et de surveillance plus
efficace et plus rigoureuse vis-à-vis a des menaces internes et externes.

L’objectif de la planification du projet est de déterminer les étapes du projet et le timing. Ce


planning joue un rôle primordial pour la réalisation et le suivi du projet. En vue de modéliser
cette planification, nous avons eu recours à l’outil de gestion de projet « Office-Time-Line »
afin de dresser le diagramme de Gant montrant les différentes étapes de notre projet.

Figure 1: Planification du déroulement du projet

Le plan envisagé dans le reste de ce document adopte une démarche répartie en quatre

chapitre :

Dans un premier chapitre, je présenterai La Société Tunisienne d’Entreprises de


Télécommunications, l'entreprise dans laquelle j'ai effectué mon stage, ses différentes
activités, ainsi que les objectifs de mon stage.

Dans un deuxième temps, je détaillerai les principes de fonctionnement de Systèmes de


management des évènements (ou SIEM). Je ferai également une comparaison entre les
principaux outils existant dans la marche, en récurent évidement sur les solutions open source.

Ensuite, je présenterai les différentes fonctionnalités de la solution qu’on a choisi, avec un


retour à ces avantages est ces inconvénients

2
Après, nous présenterons la solution en cours de fonction est les tests effectuer en cours de
stage, mettant en œuvre une phase d'approche de méthodologies de travail.

Et en finir avec une conclusion générale qui résume le travail réalisé dans ce stage.

3
Chapitre 1 :
Présentation de cadre du projet

4
Introduction
Dans ce chapitre introductif, nous commençons par présenter l’établissement d’accueil au
sein duquel notre stage a été accompli, par une description générale, leurs domaines d’activité
et leurs objectifs. Enfin, nous présentons une étude de l’existant qui nous mène à proposer une
solution pour remédier aux problématiques.

1. Présentation générale de SOTETEL

La Société Tunisienne d’Entreprises de Télécommunications (SOTETEL) est l’entreprise de


référence en Tunisie dans la mise en œuvre et la maintenance des réseaux privés et des
réseaux publics de télécommunications. Ses activités couvrant cinq domaines principaux : la
communication d’entreprises, les réseaux de lignes d’abonnés, les transmissions, la
commutation et les réseaux mobiles.

Depuis sa création, la SOTETEL a constamment joué un rôle prépondérant dans le


déploiement de l’infrastructure de télécommunication en Tunisie, elle demeure à l’avant-
garde des entreprises du secteur et assure ainsi le rôle d’entraînant et de témoin. Sa maîtrise
des coûts et ses délais ainsi que le respect des normes et des conditions de qualité lui ont
permis de s’imposer en numéro un dans le secteur en Tunisie. [1]

Les principaux actionnaires de SOTETEL sont « Tunisie-Télécom » avec un pourcentage de


35%, « Al-Atheer-Funds » avec un pourcentage de 7.47% et des divers porteurs avec un
pourcentage de 57.53%, parmi les partenaires on cite :

 CISCO
 HUAWEI
 NEC
 SAGEM
 VMware

1.1. Activités de SOTETEL


Les activités de la SOTETEL couvrent plusieurs domaines des réseaux de télécommunication
dont on cite :

1.2. Réseau d'Accès

 Ingénierie des réseaux de Télécommunications.


 Réseau d'accès par FTTX.
 Réseaux d'accès par câbles Cuivre.

5
1.3. Réseau « Core » et « Backbone »

 Aménagement des locaux techniques.


 Intégration des systèmes IP-MSAN.
 Maintenance des réseaux des opérateurs.
 Réseaux PSTN et PLMN.
 Réseaux Metro Fibre et Backbone.

1.4. Réseau Wireless

 Couverture Wireless Indoor.


 Mise en place des sites 3G.
 Optimisation des réseaux radios.

1.5. Services Convergents

 Autorisation et authentification.
 Communications unifiées et travail collaboratif.
 Distribution et mobilité.

2. Organigramme de l’entreprise
SOTETEL comporte cinq départements principaux, chaque département est responsable de
tâches bien précises et relatives à celles réalisées par les autres départements. [1]

 D.C.F (Direction Centrale Financière) responsable à la gestion financière, comptabilité et


administration.
 D.C.C (Direction Centrale Commerciale) responsable de la gestion des ventes, du chiffre
d'affaires et du marketing.
 D.C.R.H (Direction Centrale Ressources Humaines) responsable du recrutement,
intégration et formation du personnel, gestion administrative et paie et communication
interne.
 D.C.S.E (Direction Centrale Solution d'Entreprise) responsable de l'étude, installation et
maintenance des réseaux privés.
 D.C.RX (Direction Centrale des Réseaux) responsable de la mise en œuvre de
l'infrastructure des réseaux de transmissions et des réseaux d'accès (Réseaux publics).

6
Figure 2: Organigramme de la SOTETEL

3.L’architecture réseau de la SOTETEL

Dans cette section, nous décrivons le réseau informatique de la SOTETEL (voir figure 3).
Le réseau est constitué d’un site principale héberge les principaux serveurs au sein de
département de data center. La communication entre les différentes agences de SOTETEL
est assurée par l’infrastructure MPLS offerte par la Tunisie Telecom. En utilisons des VPN
pour la sécurisation du trafic.

7
Figure 3: Architecture de réseau informatique de la SOTETEL

4. Etude de l’existant
Dans les dernières années, on a assisté à plusieurs incidents liés à la mal gestion des
équipements réseaux à cause d’une mauvaise vérification des configurations ou tout
simplement à cause de la charge importante du travail des administrateurs.

4.1. Description de l’existant

L’évolution fulgurante des réseaux informatiques et Internet a fait accroitre la charge de


travail des administrateurs réseaux, occasionnant ainsi un accroissement des ressources
humaines consacrées à leur gestion. Les capacités de gestion de réseau ont été poussées à
leurs limites et sont donc devenues plus complexes et source d’erreurs. [2]

4.2. Critique de l’existant


Les solutions de sécurité informatiques utilisées au sein de Data center de SOTETEL ont une
grande utilité et ce pour minimiser les accidents ainsi que les tentatives d’attaques, mais elles
présentent parallèlement plusieurs limites dont :

8
 Gestion décentralisée : chaque solution de sécurité est gérée à part.
 En cas d’incident, pas d’alertes en temps réel.
 Pas de moyens pour mesurer leur niveau de sécurité.
 Difficulté d’exploitation des logs : Les logs collectés sont de différents formats.
 Aucun rapport direct entre les différents logs : Absence de relation logique entre
les logs provenant des différents équipements.
 Les responsables de la sécurité informatique ne peuvent pas exploiter
efficacement les données et logs des différentes solutions de sécurité et de
supervision dont ils disposent.
 Absence d’outils qui permettent l’inventaire, l’analyse et le suivi des différentes
vulnérabilités des systèmes d’informations de l’entreprise.

Un Data center doit donc maintenir les normes élevées pour assurer l’intégrité et la
fonctionnalité de ses environnements hébergés.

5. Solution proposée

Après avoir étudié et énumérer les problèmes existants, nous constatons qu’il est nécessaire
de recourir à un outil de gestion centralisée qui permet de faciliter la gestion et la sécurité de
notre réseau ainsi que d’améliorer la gestion des ressources, se fait au niveau du Data Center.
Ce gestionnaire est connu sous le nom de SIEM (Security Information and Event
Management). Par conséquent, il est très important d’implémenter un SIEM et ceci non pas
seulement pour assurer la sécurité d’un tel centre mais aussi pour gagner la confiance des
entités avec lesquelles le système interagit.

La solution SIEM permet d’assurer :

 Collecte les loges à partir des équipements de sécurité (FW, IPS, les serveurs).
 Normalisation et l’agrégation des fichiers logs des divers équipements.
 Corrélation et le monitoring (temps réel ou différé) des évènements.
 Amélioration de la détection des attaques simples et complexes.
 Gestion des alertes, des incidents.

Notre solution qui s’intitule SIEM (Security Information and Event Management) grâce à
l’outil OSSIM (Open Source Security Information Management) présente un fort système de
détection d’intrusion et aussi une bonne gestion des logs basée sur la corrélation et
l’évaluation des risques. C’est une solution qui fédère d’autres produits open source au sein
d’une infrastructure complète de supervision de la sécurité.

9
Conclusion
Dans ce chapitre, nous avons commencé par introduire l’organisme d’accueil de ce projet en
présentant les principales architectures constituant le réseau informatique de l’entreprise tout
en insistant sur leurs domaines d’activité et leurs objectifs. Ensuite nous avons énumérée les
principales problématiques ainsi que la solution proposée.

L’objectif du deuxième chapitre sera consacré pour détailler la sécurité des systèmes
d’informations et présenter une étude de la technologie Datacenter.

10
Chapitre 2 :
Etat de l’art

11
Introduction
Dans ce chapitre, nous nous intéresserons dans une première étape à l’étude de la technologie
Data center tout en présentant sa définition, ses composantes, ses avantages...

Dans une deuxième étape, nous allons présenter la définition la notion des SOC et des SIEM
ainsi leurs étapes de fonctionnement. Ensuite, nous ferons une étude comparative entre les
meilleures solutions de management et d’administration des logs. En s’appuyant sur cette
comparaison, nous allons présenter notre choix qu’nous allons adopter pour terminer par
l’étude théorique de ce choix.

Partie 1 : Étude d’un Datacenter


1. Définitions

L’expression Datacenter ou centre de données crée beaucoup de polémiques dans le domaine


de la technologie et de l’information.

Pour certaines personnes, un Datacenter est un endroit (salle, bâtiment…) où l’on entrepose
les serveurs d’une entreprise sous surveillance. D’autres par contre le définissent comme étant
l’environnement qui part du local aux matériels permettant d’assurer la sécurité, la garantie, la
disponibilité 24h/24h des données de particuliers et/ou d’entreprises.

La définition retenue dans le cade de notre étude est celle qui présente le Datacenter comme
étant un centre de traitement de données (data center en anglais). C’est un site physique sur
lequel se trouvent regroupés des équipements constituants du système d’information de
l’entreprise (mainframes, serveurs, baies de stockage, équipements réseaux et de
télécommunications, etc.). Il peut être interne et/ou externe à l’entreprise, exploité ou non
avec le soutien de prestataires. [3]

2. Les composantes d’un datacenter


Il existe quatre composantes principales d’un Datacenter :
L’espace blanc : il s’agit généralement de l’environnement planché utilisable, mesurée en
pieds carrés (allant de quelques centaines à quelques cent mille pieds carrés). Le terme
« espace blanc » peut encore être utilisé pour la superficie utilisable des centres de
données qui utilise un environnement à étage.

12
La soutenance de l’infrastructure : il s’agit de l’espace et des équipements
supplémentaires nécessaires pour appuyer les opérations du centre de données y compris
les transformateurs de puissance, à savoir : sources d’alimentation sans coupure (UPS), les
générateurs, les climatiseurs d’air des salles informatiques (CRAC), des unités de
transmission à distance (RTU), les refroidisseurs, système de distribution d’air, etc. Dans
une haute densité d’un centre de données de niveau (c’est-à-dire un maintenable en même
temps en installation), ces infrastructures d’appui peuvent consommer de l’espace 5 à 6
fois plus que l’espace blanc et doivent être prise en compte dans la planification du centre
de données.
Le matériel informatique : cela comprend les racks, câblage, serveurs de stockage,
système de gestion des équipements nécessaire pour offrir des services d’organisations
informatiques et réseau.
Le fonctionnement : dans ce dernier composant, le personnel des opérations s’assure que
le matériel informatiques et infrastructure sont correctement utilisé, amélioré, et si
nécessaire réparé. Dans la plupart des sociétés il y a une répartition des responsabilités
entre les groupes techniques des opérations informatiques et le personnel responsable de
l’installation de soutiens aux systèmes.

3. Les caractéristiques d’un Datacenter

Un Datacenter est caractérisé par :

3.1. L'accès et sécurité


L'accès au data center est lui aussi réglementé et doit être autorisé. Toute personne pénétrant
dans le local sera identifiée et devra utiliser un badge personnel. Des zones d'accès sont le
plus souvent définies, le tout sous la surveillance de caméra vidéo.

3.2. Température ambiante


La température d'un data center doit être constante et de plus ou moins 20 °C. Elle est assurée
par une climatisation classique ainsi que des systèmes de refroidissement par eau dans les
villes plus chaudes. Lorsque le local est situé dans une ville où la température moyenne est
proche ou en dessous des 20 °C souhaités, un système de récupération d'air froid extérieur
pourra être utilisé. Cela permet des économies d'énergie, devenu un nouvel objectif
d'évolution (Green Computing). [4]

13
La disposition des serveurs en allées a également été pensée de manière à répartir la chaleur
qu'ils dégagent.

3.3. Alimentation électrique


L'alimentation électrique peut être assurée par plusieurs circuits différents et complétée par
des systèmes de batteries de secours (UPS) ou de générateurs. L'objectif est d'alimenter les
systèmes selon le principe du No-Break (zéro coupure). Une défaillance du système électrique
aurait pour effet immédiat de rendre impossible l'accès aux données et pourrait même
endommager le matériel.

3.4. Sécurité incendie


Dans la plupart des data centers, il est nécessaire de prévenir, empêcher et contrôler toute
formation d'incendie. Un foyer, aussi minime soit-il, endommagerait également les serveurs
environnants par la projection de fumée et poussières. La sécurité est donc assurée par un
système de détection ultra-perfectionné afin de le canaliser au maximum. Si malgré tout un
début d'incendie devait se déclarer, il serait immédiatement neutralisé à l'aide de gaz inerte ou
de micros particules d'eau azotée. La technique du gaz inerte est également utilisée dans les
musées, car elle n'endommage pas les alentours et peut être utilisée tout en maintenant le
circuit électrique actif.

4. Les avantages d’un datacenter


L'avantage principal d'un datacenter est bien évidemment la qualité des infrastructures et le
niveau de sécurité. Sans parler des ressources nécessaires afin d’administrer et de sécuriser le
matériel et l’infrastructure.

 Serveur performant
 Connexion internet haut débit
 Investissement nul
 Pas de frais d'installation
 Pas de frais de maintenance
 Utilisation sur mesure
 Gain de place
 Sécurité maximale

14
Partie 2 : Étude conceptuelle de la centralisation des
journaux
1. Security Operation Center (SOC)
Le Security Operating Center, ou le centre de supervision et d’administration de la sécurité,
désigne une plate-forme dont la fonction est de fournir des services de détection des incidents
de sécurité. [5] Les SOC ont pour rôle de gérer les évènements et incidents de sécurité qui
surviennent sur le SI surveillé. Il doit être capable de les détecter, de procéder à des
investigations afin d’obtenir le plus d’informations possible à leur sujet, puis de les résoudre.
Le SOC peut également donner des préconisations et règles de bonnes pratiques afin d’éviter
que ces incidents se reproduisent. Il permet également de maintenir un haut niveau de sécurité
sur le système d’information qu’il monitore. Les centres de supervision de la sécurité (SOC)
doivent disposer d’outils d’analyse avancés en mesure de collecter et de parcourir rapidement
les données de sécurité pour présenter les problèmes les plus urgents en contexte. Le système
SIEM devient plus per-formant pour aider les analystes de sécurité à travailler plus
efficacement. [6] La figure suivante présente l’architecture d’un SOC.

Figure 4: Architecture d’un SOC [7]

15
La première activité d’un SOC est la gestion des IDS, et en particulier leur mise en place et
leur intégration au sein d’un SI. Cette intégration consiste à analyser le périmètre que le client
cherche à monitorer, à designer l’infrastructure du SIEM et des IDS qui seront mis en place,
puis à les installer et les configurer afin d’apporter une configuration de base pour les
premières détections. Afin d’apporter un meilleur niveau de détection, le SOC doit également
maintenir les règles des systèmes de détection d’intrusions à jour, tout comme les directives
de corrélation du SIEM mis en place.

2. Centralisation des journaux

2.1. Logs
Un log, aussi appelé journal d’événement, est la notification d’un événement envoyé par une
application, un système, un service ou une machine sur le réseau. La résolution des pannes
nécessite en général d’étudier les logs des applications, équipements réseaux ou autres, ils
permettent donc de comprendre ce qu’il s’est passé et de pouvoir retracer les actions d’un
système. Ils sont donc très importants en informatique, car ils peuvent donner des explications
sur une ou plusieurs erreurs, sur un crash ou une anomalie. Ils nous permettent de comprendre
certains fonctionnements d’un système par exemple, ils retracent la vie d’un utilisateur, d’un
paquet ou d’une application sur le réseau et peuvent aussi notifier une action quelconque. Les
logs sont donc indispensables pour bien comprendre d’où proviennent certains
dysfonctionnements. [8]

2.2. Journalisation locale


De nombreux serveurs et systèmes d'exploitation des clients, des commutateurs de réseau,
routeurs, pare-feu, et d'autres équipements de réseau ont la capacité de produire des journaux
en les envoyant à travers le réseau. En fonction de la taille et de la complexité de
l'infrastructure informatique comme on peut le voir dans la figure ci- dessous

16
Figure 5: Architecture log local

Ces événements journaux varient en importance, mais sont tous nécessaires pour obtenir une
image complète de ce qui se passe dans le réseau et à l'intérieur des systèmes d'exploitation
des nœuds. Par défaut, les journaux sont stockés localement, ce qui entraîne de nombreux
inconvénients. Tout d'abord, il est très complexe de gérer chaque équipement de
l’infrastructure séparément. Deuxièmement, les journaux stockés peuvent être supprimés ou
modifiés localement. Si une attaque s’infiltre dans un périphérique réseau ou un serveur, les
journaux, y compris les dossiers sur la violation de la sécurité pourraient être modifiés ou
supprimés. Dans ce cas, l'attaque ne serait même pas remarquée. En troisième lieu, si une
mémoire de l'appareil est endommagée, les journaux locaux pourraient ne pas être accessibles.
Dans ce cas, il devient impossible de trouver la raison de ce dysfonctionnement. Donc La
gestion du journal central et le système d'alerte d'événement peut aider à résoudre ces
problèmes.

2.3. Centralisation des journaux


Le fait de centraliser les logs permet de sécuriser le réseau, d’avoir la meilleure gestion du
système d’information possible et d’avoir une vue d’ensemble de tous les éléments importants
sur le réseau. Certains messages sont anodins, tandis que d’autres peuvent être très
importants, c’est pour cela que la centralisation va faciliter la recherche et l’analyse, qui
pourront ainsi être à la fois très précises et concises sur les activités de plusieurs systèmes, car
tout se trouvera au même endroit. De plus, la centralisation sera utile pour détecter les
événements anormaux sur le réseau ou sur les systèmes de tout type en utilisant les logs. Ils
pourront retracer le parcours d’une attaque plus facilement car ils seront d’une part tous
regroupés et d’autre part exportée de la zone d’effet de l’attaquant, il sera donc difficile pour

17
le pirate de supprimer les logs pour effacer ses traces. La centralisation permet également de
garantir la pérennité des logs, il est nécessaire de ne pas les stocker sur un système en
production qui peut tomber à tout instant car s’il devient injoignable, la récupération des logs
devient plus compliquée alors que, s’ils sont exportés sur une machine disponible, la vitesse
de récupération de ces derniers sera beaucoup plus rapide et le problème sera traité plus
facilement. Donc, il est d'une importance cruciale pour un service informatique d'une
organisation pour être en mesure de suivre efficacement tout état de cause dans le réseau dans
un délai nécessaire par la mise en œuvre d’un système de gestion des évènements « SIEM »
qui permet d'envoyer tous les journaux dans un serveur central

3. Système de gestion des évènements


Les SIEM sont des outils de supervision de la sécurité, ils utilisent les informations en
provenance de divers équipements et logiciels de sécurité. Les SIEM combinent plusieurs
éléments [9] :

 LMS « Log Management System » : un système qui collecte et stocke des fichiers journaux
(des systèmes d'exploitation, des applications, etc.) de plusieurs hôtes et systèmes dans un
seul emplacement, permettant un accès centralisé aux journaux au lieu d'y accéder
individuellement.
 SLM / SEM « Security Log / Event Management » : un LMS, mais commercialisé vers les
analystes de sécurité au lieu des administrateurs système. SEM consiste à mettre en évidence
les entrées de journal comme étant plus importantes pour la sécurité que d'autres.
 SIM « Gestion de l'information de sécurité » : un système de gestion d'actifs, mais avec des
fonctionnalités pour rejoindre également les informations de sécurité. Les hôtes peuvent avoir
des rapports de vulnérabilité répertoriés dans leurs résumés, les alertes de détection d'intrusion
et d'antivirus peuvent être montrées mappées aux systèmes concernés [10].
 SEC « Corrélations des événements de sécurité » : Pour un logiciel particulier, trois tentatives
de connexion échouées au même compte d'utilisateur provenant de trois clients différents, ne
sont que trois lignes dans leur fichier journal. Pour un analyste, il s'agit d'une séquence
particulière d'événements dignes d'investigation, et Log corrélations (recherche de motifs dans
les fichiers journaux) est un moyen d'augmenter les alertes lorsque ces choses se produisent.

SIEM est l'option "Tout au-dessus", et comme les technologies ci-dessus fusionnent en
produits uniques, est devenu le terme généralisé pour la gestion des informations générées par
les contrôles de sécurité et l'infrastructure.
18
3.1. Présentation de SIEM

Les professionnels de la sécurité et les analystes utilisent le système SIEM pour surveiller,
identifier, documenter, et parfois répondre aux affrontements de sécurité. Certaines de ces
sécurités des événements sont évidents, comme les attaques volontaires et malveillantes de
déni de service (DoS) et les éclosions de virus. Le système SIEM peut également identifier
des événements de sécurité plus insaisissables.
De nombreux événements sont si subtils ou obscurcis par des milliers d'événements par
seconde qu'avec l'aide d'un système SIEM puissant et finement réglé, ils iront totalement
inaperçu. Ces événements de sécurité plus insaisissables comportent des violations de la
politique, les tentatives d'accès non autorisées et celles des personnes hautement qualifiées et
ciblées attaquant, mutuellement et furtivement dans son environnement informatique.
Un objectif majeur pour l'analyste de la sécurité utilisant un système SIEM est de réduire le
nombre d'alertes faussement positives, ce qui représente la palette de foin dans le proverbiale
concept de « l'aiguille dans la maquille ». Des systèmes de sécurité moins sophistiqués, tels
que le système de détection d'intrusion (IDS), sont célèbres (ou plus appropriés, infâme) pour
alerter sur de nombreux événements faussement positifs. Ces nombreux faux positifs alertes
gaspillent le temps et l'énergie de l'analyste de sécurité, et souvent l'attention concentrée de
l'analyste, ce qui rend beaucoup plus facile de ne pas tenir compte et de négliger une alerte
positive vraisemblablement plus rare et plus importante.

3.2. Mode de fonctionnement de SIEM

Fondamentalement, un outil SIEM recueille des journaux à partir de périphériques présents


dans l'infrastructure de l'Organisation. Certaines solutions collectent aussi Net-Flow et même
des paquets bruts. Avec les données collectées (principalement les journaux, les paquets),
l'outil donne un aperçu des événements du réseau.

Il fournit des données pour chaque événement se produisant dans le réseau et agit ainsi
comme un système complet de surveillance de sécurité centralisée.

En plus de cela, l'outil SIEM peut être configuré pour détecter un incident spécifique. Par
exemple, un utilisateur tente de se connecter à un serveur AD. Pour les 3 premières fois,

19
l'authentification a échoué et la 4ème fois qu'elle a réussi. Maintenant, il s'agit d'un incident à
rechercher.
Il existe de nombreuses possibilités. Peut-être qu'une personne essaie de deviner le mot de
passe d'un autre utilisateur et l'a bien compris, ce qui constitue une violation. Ou peut-être si
l'utilisateur a oublié son mot de passe mais l'a bien compris à la fin, etc. C'est là qu’intervient
la Co-relation.
Pour un tel cas, une règle de Co-relation peut être faite de telle sorte que, si un événement
d'échec d'authentification se produit 3 fois consécutivement, suivi d'un succès dans une
période de temps spécifique, l'alerte apparaît.
Cela peut être davantage étudié en analysant les journaux des machines respectives. Donc, la
définition de Co-relation est : "C'est la règle qui agrège les événements en un incident qui est
défini par une application ou un scénario spécifique".
Les SIEM utilisent des étapes de récupération, analyse et gestion de l’information, ce sont la
collecte, la normalisation, l’agrégation, la corrélation, le rapport et la réponse. [11]
La collecte :
Le principe de l’étape de collecte est de fournir au SIEM des données à traiter. Ces données
peuvent être de nature diverse en fonction de l’équipement ou du logiciel, mais aussi être
envoyées de manières tout à fait différentes. On distingue deux modes de fonctionnement :
Mode Actif : Le SIEM possède un ou plusieurs agents déployés sur les équipements à
superviser. Ces agents ont pour fonction de récupérer les informations des équipements et
logiciels de sécurité et de les envoyer au SIEM. Un élément de sécurité qui a été conçu
nativement pour être un agent du SIEM est appelé une sonde.
Mode Passif : Le SIEM est en écoute directe sur les équipements à superviser. Pour cette
méthode, c’est l’équipement ou le logiciel qui envoie des informations sans intermédiaire au
SIEM. [12]
La normalisation :
Les informations collectées viennent d’équipements et logiciels hétérogènes ayant pour la
plupart leurs propres moyens de formater les données. Cette étape permet d’uniformiser les
informations selon un format unique pour faciliter le traitement par le SIEM. Des formats sont
mis au point par IETF pour structurer les informations de sécurité et pouvoir les échanger et
les traiter plus facilement. C’est pourquoi il est plus judicieux de les énuméré. [12]
IDMEF (Intrusion Détection Message Exchange Format) : C’est un standard, défini dans la
RFC 4765, permettant l’interopérabilité entre les systèmes commerciaux, open-source et de
20
recherche. Il est basé sur le format XML et est un format conçu pour définir les évènements et
des alertes de sécurité. Il est également adapté pour le stockage en base de données,
l’affichage et la gestion des informations. [13]
IODEF (Incident Object Description and Exchange Format) : C’est un standard, défini dans
la RFC 5070, représentant les informations de sécurité échangées entre les équipes CSIRTs
(Computer Security Incident Response Teams). Il est basé sur le format XML et est un format
conçu pour transmettre des incidents de sécurité entre les domaines administratifs et les
parties qui ont une responsabilité opérationnelle. Ce modèle de données encode l’information
des hôtes, des réseaux, des services. [14]
L’agrégation :
L’agrégation est le premier traitement des évènements de sécurité. Il consiste en un
regroupement d’évènements de sécurité selon certains critères. Ces critères sont généralement
définis via des règles appelées règles d’agrégation et s’appliquent à des évènements ayant des
similarités. [9]
La corrélation :
La corrélation correspond à l’analyse d’évènements selon certains critères. Ces critères sont
généralement définis via des règles appelées règles de corrélation. Le but de cette étape est
d’établir des relations entre évènements, pour ensuite pouvoir créer des alertes de corrélations,
des incidents de sécurités, des rapports d’activité. La corrélation se différencie sur plusieurs
points. [14]
Auto-apprentissage et connaissances rapportées : Pour pouvoir fonctionner, les moteurs de
corrélation ont besoin d’informations sur les systèmes et réseaux de l’infrastructure. Ces
informations peuvent être collectées automatiquement et/ou saisies manuellement par un
opérateur. [14]
Temps réel et données retardées : Dans certains cas, les évènements bruts sont forgés et
envoyés directement pour être corrélés en temps réel. Dans d’autres cas, les évènements sont
d’abord stockés, et envoyés après un premier traitement (ex : agrégation), leur envoi peut être
alors conditionné. [14]
Corrélation active et passive : La corrélation active a la possibilité de compléter les
évènements reçus en recueillant des informations supplémentaires pour prendre des décisions.
La corrélation passive est une corrélation qui ne peut pas interagir avec son environnement,
elle reçoit des évènements et prend des décisions. [14]

21
 Gestion des alertes :
Il y a plusieurs façons pour un SIEM de gérer des alertes, plusieurs d’entre elles peuvent être
utilisés simultanément :
Le « reporting » : Les rapports générés contiennent à la fois une synthèse des alertes et une
vue d’ensemble de la sécurité du système à un instant T (statistiques, intrusions, vulnérabilités
exploitées, classification des attaques).
Le stockage : Les alertes, incidents et rapports peuvent être stockés dans des bases de données
pour pouvoir être analysés ultérieurement par des moteurs de corrélation.
La réponse : Les mécanismes de réponse aux alertes doivent permettre de stopper une attaque
ou de limiter ses effets de façon automatique. La réponse à une intrusion dépend de la
politique de sécurité. La figure 6 présente le mode de fonctionnement des SIEM.

Figure 6: Mode de fonctionnement d’un SIEM [12]

3.3. Comparaison des SIEM

Afin de s’assurer de la bonne implémentation de notre système, il est impératif de passer par
une étape de choix. Dans ce cas, nous avons mené une étude comparative entre les logiciels

22
les plus connus dans la catégorie des SIEM. Dans ce qui suit, nous présentons les
performances de ces derniers.

3.3.1. Solution propriétaire

S’assurant que le marché des SIEM est un marché porteur, les sociétés se pressent de plus en
plus à investir dans des produits permettant la gestion des événements et des informations de
sécurité en temps réel ainsi qu’une meilleure gestion des réseaux.

Des différentes solutions apparaissent, nous citons les trois leaders du secteur qui sont IBM
QRadar, HP ArcSight et Splunk SIEM. Toutes ces solutions n’ont qu’un seul point commun :
un prix élevé. [16]

IBM QRadar

IBM Security QRadar est un système permettant de recueillir, d’analyser, d’archiver et de


stocker de grands volumes de journaux d’événements réseau et de sécurité. Il analyse les
données des dispositifs réseau et de sécurité, des serveurs et des systèmes d’exploitation, des
applications et des nœuds finaux, afin d’offrir une visibilité sur les menaces en temps réel.
[17]

Tableau 1: Avantage et Inconvénients d’IBM QRadar

Avantages Inconvénients
• Adaptable pour petite, moyenne ou grande • Capacités de personnalisation limitées
entreprise • Capacité limité d’effectuer le
• Configuration et déploiement simple développement et l’analyse avancé des cas
• Architecture disponible et hautement d’utilisations
évolutives

HP ArcSight

HP ArcSight est un système qui analyse et met en corrélation tous les événements survenant
sur l’infrastructure de l’entreprise chaque ouverture ou fermeture de session, accès à un
fichier, requête vers une base de données. Il permet de hiérarchiser les risques liés à la
sécurité ou aux violations des exigences des règles de conformité. [18]

23
Tableau 2: Avantage et Inconvénients de HP ArcSight

Avantages Inconvénients
• Support étendu pour collecter les logs • Configuration et déploiement complexe des
différents produits et applications
• Support avancé pour la gestion des
menaces, la gestion des fraudes et l’analyse • Courbe d’apprentissage élevée pour les
du comportement analystes et les opérateurs

Splunk SIEM

Splunk SIEM est un système qui fournit la gestion des journaux, la recherche, l’alerte, la
corrélation en temps réel. Il est déployé par les opérations informatiques et les équipes de
soutien d’application pour l’analyse de gestion des journaux, la surveillance et la recherche
avancée. [19]

Tableau 3: Avantage et Inconvénients de Splunk SIEM

Avantages Inconvénients
• Dépannage plus rapide • Limitation à 500 MB d’évènements par jour
• Interface unique pour extraire les jours • Surveillance et alerte des évènements
diverses données machine limitées

3.3.2. Tableau comparatif des solutions propriétaire

Le tableau 4 suivant représente une étude comparative sur les principales fonctionnalités des
différentes solutions SIEM propriétaires :

24
Tableau 4: Tableau comparatif des SIEM propriétaire

IBM Qradar HPArcSight Splunk SIEM

Configuration et déploiement
rapide
la gestion des informations et des
évènements de sécurité
La gestion et la découverte
d’actifs
La gestion des journaux

La gestion du réseau

l’évaluation des vulnérabilités

la détection des menaces

Personnalisation des tableaux de


bord
Reporting

Recherche Intelligente en temps


réel

3.3.3. Solution Open Source

Il existe de plusieurs SIEM libres et professionnels. Parmi les plus répandues, reconnues du
moment nous pouvons citer AlienVault OSSIM, PRELUDE et GrayLog.

L’avantage de ces logiciels libres est la gratuité, la disponibilité du code source et la liberté
d’étudier et de modifier le code selon nos besoins et de le diffuser. De plus, il existe une
communauté importante d’utilisateurs et de développeurs qui participent à l’amélioration des
logiciels et apportent une assistance par la mise en ligne des documentations et les
participations aux forums.

AlienVault OSSIM

25
OSSIM est la version Open-Source du SIEM Alienvault Unified Security Management. Cet
outil est fourni sous la forme d’un système d’exploitation complet, basé sur un OS
GNU/Linux Debian Squeeze. Il intègre les applications qui forment le cœur du SIEM, et des
systèmes de détection d’intrusions avec des configurations complètes pour assurer leur
fonctionnement au sein du SIEM. [20]

Tableau 5 : Avantage et Inconvénients d’OSSIM

Avantages Inconvénients
 Concepts d’analyse évolués (comparé à  Difficulté de mise en œuvre (trop de
certaines solutions commerciales) modules externes : Snort, Nessus,
 Adaptations commerciales possibles Ntop, P0f, etc.)
(licence BSD)  Manque de documentation
 Robustesse des procédés de collecte
des informations

Prelude

Prelude est une solution de supervision de sécurité qui collecte, filtre, normalise, corrèle,
stocke, indexe et archive les informations issues de sources disparates sur un système
d’information. Il peut fournir une vision globale du niveau de sécurité du système et ainsi
prévenir les attaques et les intrusions. [21]

Tableau 6 : Avantage et Inconvénients de Prelude

Avantages Inconvénients
 Robustesse  Peu de fonctionnalités d’analyse
 Sécurité  Manque de documentation
 Extensibilité
 Format des alertes unifié (IDMEF,
RFC 4765)

GrayLog2

Graylog2 est une plateforme open source de gestion de journal entièrement intégré pour la
collecte, l’indexation et l’analyse des données. Il permet d’avoir une gestion centralisée des
logs qui seront stockés dans une base de données et gérés via une interface web. Graylog2

26
affiche les logs des équipements dans son interface web, il permet aussi d’effectuer des
recherches sur des messages spécifiques et de générer des histogrammes et des Dashboard.
[22]

Tableau 7 : Avantage et Inconvénients de GrayLog2

Avantages Inconvénients
 Robustesse  Il n’accepte que le format Sys log
 Sécurité  Manque de documentation
 Intégration simple avec les applications
Java

3.3.4. Tableau comparatif des SIEM Open Source

Le tableau suivant représente une étude comparative sur les principales fonctionnalités des
différentes solutions SIEM Open Source :

Tableau 8 : Tableau comparatif des SIEM Open Source

AlienVault OSSIM Prelude Graylog2

Configuration et déploiement rapide

la gestion des informations et des


évènements de sécurité
La gestio et la dé ouve te d’a tifs

La gestion des journaux

La gestion du réseau

L’évaluatio des vulnérabilités

La détection des menaces

Personnalisation des tableaux de bord

Reporting

Recherche Intelligente en temps réel

27
On prendre en compte que notre projet est une première expérience pour le Data center et ces
personnels nous choisissons de prendre part à une solution open source. Permit les open
sources mentionnée OSSIM, elle permet ainsi de gérer de manière centralisée les remontées
d’information de différents outils, de les stocker et les traiter afin de faciliter l’administration
et la gestion de la sécurité pour les administrateurs. Cette solution est un outil très fiable au
niveau de l’administration du système d’information qui combine des outils et des solutions
complètes de surveillance réseau, de sécurité et d’audit sur une seule console
d’administration. De plus, c’est une Plateforme complète basé sur plusieurs outils Open
source très reconnues dans le marché du réseau. OSSIM possède une interface intuitive, riche
en informations et intègre les détails de chaque solution.

Conclusion
Dans ce chapitre, nous avons présenté une étude de la technologie Datacenter dans la
première partie et la deuxième partie de ce chapitre, a été consacrée pour la définition du SOC
et des systèmes SIEM et de la notion de centralisation des journaux, ainsi que la réalisation
d’une étude comparative entre les produits SIEM les plus utilisés, finissant par le choix de la
solution Appropriée à l’accomplissement du notre projet

L’objectif du chapitre suivant sera dédié pour présenter une étude détaillée de l’outil OSSIM
afin de bien justifier notre choix pour la partie implémentation de notre solution.

28
Chapitre 3 :
Étude de l’outil OSSIM

29
Introduction
Dans ce chapitre, nous présentons une étude sur le logiciel OSSIM (Open Source Security
Information Management) afin de justifier notre choix et énumérer ses fonctionnalités, ses
avantages, son architecture et son efficacité.

1. Présentation générale de la solution OSSIM

OSSIM (open source Security information management) est une solution open source
complète, ou plutôt plateforme complète d’administration des réseaux et du management du
système informatique, développée par la société AlienVault et soutenue par une large
communauté de développeurs open source. OSSIM utilise plusieurs produits issus de la même
stratégie (open source) afin d’y intégrer une infrastructure de monitoring en temps réel de la
sécurité du réseau.

C’est une plateforme parfaite d’administration et supervision réseau, de management de la


sécurité de l’information (SIM) et de la gestion parfaite et instantanée des activités et des
événements survenues (et pouvant se produire) sur le réseau informatique étudié. OSSIM
assure les fonctionnalités d’un SIM (Security Information Management) :

La collecte des Logs


L'agrégation
La normalisation
La corrélation
Le reporting
L'archivage
Le rejoue des évènements.

De même, il assure les fonctionnalités d’un SEM (Security Event Management) qui consistent
essentiellement à stocker de grandes quantités de fichiers Logs brutes tout en assurant leurs
intégrités et leurs confidentialités à travers des procédés de chiffrements et de signatures
numériques. De plus, il intègre plusieurs outils open source tels que :

Des détecteurs d’intrusions : Snort (NIDS), Ossec, Osiris (HIDS), Suricata.


30
Un détecteur de vulnérabilités : Nessus, open Vass.
Des détecteurs d’anomalies : Arp Watch, p0f, pads.
Un gestionnaire de disponibilité : Nagios.
Un outil de découverte du réseau : Nmap.
Un inventaire de parc informatique : OCS-Inventory
Un analyseur de trafic en temps réel : Ntop, TCPTrack. [23]

2. Principe technique de la solution OSSIM

OSSIM est une solution fédérant d’autres produits open-source au sein d’une infrastructure
complète de supervision de la sécurité (Framework). Le Framework au sens d’OSSIM a pour
objectif de centraliser, d’organiser et d’améliorer la détection et l’affichage pour la
surveillance des événements liés à la sécurité du système d’information d’une entreprise.

La solution OSSIM fournit donc par le biais de son Framework un outil administratif qui
permet de configurer et d’organiser les différents modules natifs ou externes qui vont
composer la solution. Le Framework est ainsi constitué des éléments de supervision suivants :

Un panneau de contrôle.
Des moniteurs de supervision de l’activité et des risques.
Des moniteurs de supervision réseau et des consoles d’investigation.

Ces éléments s’appuient sur des mécanismes de corrélation, de gestion des priorités et
d’évaluation des risques afin d’améliorer la fiabilité et la sensibilité des détections au sein de
la solution. [24]

2.1. Architecture d’OSSIM

L’architecture de l’OSSIM est composée de trois briques primordiaux comme montre la


Figure 7 [12] :

31
Figure 7: Architecture simple d’ossim

Le serveur : contenant les différents moteurs d’analyse, de corrélation et les bases de


données.
L’agent : prenant en charge la collecte et la mise en forme des événements.
Le Framework : regroupant les consoles d’administrations et les outils de configuration et
de pilotage et permettant également d’assurer la gestion des droits d’accès.

Le principe de fonctionnement de la solution OSSIM s’effectue selon deux étapes :

 Le prétraitement de l’information : assuré au niveau d’équipements spécifiques tels que


les sondes de collecte d’informations (Sensor) ou de détection d’intrusion (IDS), consiste
la collecte des informations de logs ainsi que la normalisation des celles-ci afin de les
stocker de manière uniforme et de pouvoir les traiter efficacement durant l’étape de poste
traitement.

32
 Le poste traitement : de l’information assuré par l’ensemble des processus interne à la
solution et qui vont prendre en charge l’information brute telle qu’elle est a été collecté
pour ensuite l’analyser, la traiter et en fin la stocker dans une base de données.

Ces informations collectées par les détecteurs et les moniteurs sont spécifiques et encore
partiels et ne représentent qu’une petite partie de la quantité d’information existante sur le
réseau de l’entreprise étudié. OSSIM a donc la solution : c’est la Corrélation.

En effet, le mécanisme de corrélation peut donc être vu comme la possibilité d’utiliser les
informations remontées par les détecteurs en utilisant un nouveau niveau de traitement, de
compléter et d’améliorer le niveau d’information. Son but est de rendre cette remontée
d’information le plus efficace possible par rapport à la quantité d’information disponible
sur le réseau de l’entreprise. La figure 8 illustre les deux étapes de fonctionnement. [24]

Figure 8: Fonctionnement d’ossim

Nous remarquons qu’il existe différentes bases de données permettant la sauvegarde des
informations corrélées (intermédiaire).

33
EDB : La base de données des événements (la plus grande), stockant toutes les alarmes
individuelles.
KDB : La base de données des connaissances, sauvegardant les configurations établies
par l’administrateur en charge de la sécurité.
UDB : La base de données des profils, stockant toutes les informations du moniteur de
Profile.

2.2. Flux de fonctionnement d’OSSIM


Pour bien comprendre le fonctionnement interne d’OSSIM, la figure 9 présente les flux de
fonctionnement la solution.

Figure 9: Le fonctionnement interne d’OSSIM

1. Les détecteurs (quels qu’ils soient) traitent les événements jusqu’à ce qu’une alerte
soit identifiée soit par signature, soit par la détection d’une anomalie.
2. Le collecteur reçoit les alertes au travers des différents protocoles disponibles (SNMP,
etc.)
3. Le parseur normalise ces alertes et les stocke dans la base de données des événements
(EDB)

34
4. Le parseur se charge également de l’affecter des priorités aux alertes en fonction des
politiques définie dans le panneau de contrôle ainsi que de toutes les informations
systèmes dans les inventaires des équipements attaqués.
5. Le parseur évalue aussi les risques immédiats inhérents à l’alerte et remonte si besoin
une alarme au niveau de panneau de contrôle.
6. Les alertes une fois priorisées sont envoyées à chaque processus de corrélation, qui
met à jour leurs variables d'état et renvoie éventuellement de nouvelles alertes aux
informations plus complète ou plus fiable. Ces nouvelles alertes sont renvoyées au
parseur pour être à nouveau stockées, priorisées et évaluées par rapport aux politiques
de risques et ainsi de suite, …
7. Le parseur de risque affiche périodiquement l'état de chaque index de risque selon la
méthode de calcul CALM (Compromise and Attack Level Monitor).
8. Le panneau contrôle quant à lui remonte les alarmes les plus récentes, met à jour l'état
de toutes les métriques qu'il compare à leurs seuils, et envoie alors de nouvelles
alarmes ou effectue les actions appropriées selon les besoins.
9. Depuis le panneau de contrôle, l'administrateur peut également voir et/ou établir un
lien entre tous les événements qui se sont produit à l'heure de l'alerte à l'aide de la
console d’investigation.
10. L'administrateur peut enfin vérifier l'état de la machine impliquée en utilisant les
consoles d’utilisation, de profil ou de session. [24]

3. Fonctionnalités d’OSSIM

Dans cette partie, nous présentons au mieux les différentes possibilités offertes par la solution
OSSIM. Les fonctionnalités d’OSSIM peuvent être représentées de manière simple et
graphique en un découpage sur 9 niveaux tel que le montre la figure 10.

35
Figure 10: niveau de fonctionnalité

3.1. Niveau 1 : Détection par modèles (Pattern Detector)


La plupart des détecteurs traditionnels fonctionnent en utilisant des modèles, le meilleur
exemple étant les systèmes de détection d’intrusion (IDS), qui sont capables de détecter un
modèle d’attaque défini en utilisant des signatures ou des règles. Le pattern matching est une
technique « ancienne » qui identifie une intrusion par le seul examen d’un paquet et la
reconnaissance dans une suite d’octets du paquet d’une séquence caractéristique d’une
signature précise. Très simpliste elle entraine de nombreux « faux positifs » et « faux négatifs
». De plus elle est très facilement éludable via la fragmentation de paquet. La plupart des
dispositifs comme les routeurs et les firewalls incluent également des mécanismes de
détection par modèle. Ils sont ainsi capables de détecter, par exemple, les scans de port, les
tentatives de spoofing, et les attaques par fragmentation. Il y a également des détecteurs pour
les événements de sécurité dans les systèmes d'exploitation. Ils sont capables d'envoyer des
alertes pour d’éventuels problèmes de sécurité, et presque tous incluent leur propre
enregistreur, comme le Sys log. [22]

3.2. Niveau 2 : Détection d’anomalies (Anomaly Detector)


La capacité à détecter des anomalies est plus récente que la détection par modèles. Le principe
n’est pas d’indiquer au système de détection ce qui est bon et ce qui ne l’est pas. En fait, le

36
système doit apprendre un modèle de référence qu’il considère comme une situation normale
et remonter une alerte quand le comportement dévie de ce modèle de référence.

Cette nouvelle fonctionnalité opposée au principe de détection par modèles fournit un point
de vue différent mais complémentaire de la détection par modèles. Par exemple, dans le cas
d’une nouvelle attaque pour laquelle il n'y a toujours aucune signature qui produirait une
anomalie évidente pourtant ignorée par les systèmes de détection de modèle. De même, dans
le cas d’un ver qui aurait été introduit sur le réseau de l’entreprise, une attaque de Spamming,
et même l'utilisation des programmes de P2P qui produiraient un certain nombre de
connections anormales qu’il est facile de détecter.

La détection d’anomalies permettrait également de détecter :

Une utilisation des services dont la source ou la destination ne serait pas normale.
Une utilisation à des heures anormales.
Une utilisation excessive du trafic ou des connections
Une copie anormale de fichiers sur le réseau interne
Un changement de système d'exploitation sur une machine
Etc …

La remontée de ces informations est prise en tant qu'information additionnelle qui complète
les alertes traditionnelles par modèles, cela permet de mieux évaluer les alertes et donc de
différencier celles qui pourraient avoir des conséquences plus importantes (plus risquées).
[22]

3.3. Niveau 3 : Centralisation et Normalisation


La normalisation et la centralisation (ou l'agrégation) ont pour objectif d’unifier les
événements de sécurité de tous les systèmes critiques de l'entreprise dans un format simple et
sur une seule console. Cela permet notamment d’obtenir une vue considérablement complète
de ce qui se passe partout sur le réseau. Ainsi, grâce à l’ensemble des fonctionnalités
d’OSSIM disponibles par le panneau de contrôle, il est possible d’établir des procédures pour
détecter des scénarios d’attaques plus complexes et fragmentées. Tous les produits de sécurité
ont normalement une capacité de gestion centralisée en utilisant des protocoles standards.
C’est pour cela qu’OSSIM, en se basant sur ces protocoles, met en œuvre un processus
d’agrégation. La normalisation exige quant à elle un parseur (analyseur) ou un traducteur au
courant des types et des formats d'alertes venant de différents détecteurs.
37
La base de données est organisée et la console d’investigation adaptée afin d'homogénéiser le
traitement et l'affichage de tous ces événements.

De cette façon, il est donc possible d’observer tous les événements de sécurité pendant une
période donnée (qu’ils viennent d'un routeur, d’un firewall, d’un IDS, ou d’un serveur) sur le
même écran et dans le même format. La normalisation est donc une composante essentielle et
pour cela OSSIM s’appuie sur le standard IDMEF. L’utilisation de ce standard est également
vivement encouragée par la communauté de développeur d’OSSIM et bon nombre d’acteurs
de la sécurité en général.

L’IDMEF est un standard établit par l’IETF. Le modèle de données de l’IDMEF est une
représentation orientée objet au format XML des alertes envoyées par les équipements de
détection vers OSSIM. Les équipements qui vont émettre les alertes sont divers et variés.

Ils n’ont malheureusement pas toujours accès aux mêmes informations systèmes et n’ont pas
non plus le même niveau de détails. C’est pour cela que le standard a été mis au point en se
basant sur un modèle de données flexible, à savoir un modèle objet. Le modèle objet, en effet,
permet facilement l’extension des détails des informations via l’agrégation et l’héritage. En
fait, si l’on considère une alerte remontée à OSSIM par un équipement.

Si cet équipement étend par agrégation ou héritage le modèle de base de l’alerte, et


qu’OSSIM ne sait pas interpréter toutes les informations, OSSIM pourra malgré tout traiter la
partie d’information qu’il est capable d’interpréter. [22]

3.4. Niveau 4 : Gestion des priorités (Priorization)

Soit une machine qui tourne sous le système UNIX avec un serveur web Apache. Lorsque,
OSSIM reçoit une alerte pour cette machine au sujet d'une attaque sur Microsoft IIS, L’alerte
devrait se voir attribuer une priorité basse. Autre exemple, si un utilisateur établit une
connexion suspecte à un serveur, le système devrait :

Lui accorder une priorité maximum si l'utilisateur est externe au réseau et attaque la
base de données de client.
Lui accorder une priorité basse si l'utilisateur est interne au réseau et attaque une
imprimante réseau.
Ignorer si l'utilisateur est quelqu'un qui test normalement des serveurs de
développement. [22]

38
Nous nous apercevons que dans la figure 11 que la priorité d'une alerte dépend donc de la
topologie et de l'inventaire des systèmes de l’entreprise.

Figure 11: Le modèle de donnée IDMEF

La gestion de priorités est pour ainsi dire un processus de contextualisation, en d'autres


termes, l'évaluation de l'importance d'une alerte par rapport à l'environnement de l’entreprise,
qui est décrit dans une base de connaissance (KDB) pour le réseau comportant :

Un inventaire des machines et réseaux (marques, systèmes d'exploitation, services,


etc.)
Une politique d'accès (si l'accès est autorisé ou interdit, et d'où à où)

Les processus de gestion des priorités dans OSSIM sont définis au niveau du Framework dans
lequel il est possible de configurer les éléments suivants :

La politique de sécurité, ou l'évaluation des équipements selon la topologie et les


flux de données.
Inventaire.
Évaluation des équipements.
Évaluation des risques (Gestion de la priorité des alertes).

39
Évaluation de la fiabilité de chacun alerte.
Définition d'alarme.

3.5. Niveau 5 : Evaluation des risques


Communément admise, la définition traditionnelle du risque est la suivante :

Le risque est caractérisé par son impact et son degré d’occurrence. La figure 12 présente
l’évaluation des risques.

Figure 12: Évaluation des risques

Traditionnellement, l'évaluation des risques est concernée par des risques intrinsèques, ou des
risques latents en d'autres termes, des risques qu'une entreprise ass ume en vertu à la fois des
équipements qu'elle possède afin de développer ses affaires mais également des menaces
circonstancielles liées à ces équipements. Le poids d’un risque peut être corrigé par un
dispositif de maîtrise des risques (DMR). OSSIM tient lieu ici de DMR. La figure 13 suivante
présente la mesure de risque. [22]

40
Figure 13: La mesure de risque

Grâce aux possibilités de contrôle en temps réel qu’offre OSSIM, il est possible de mesurer le
risque lié à la situation actuelle en temps réel. Dans ce cas, la mesure du risque est pondérée
par les dommages qu'il produirait et la probabilité que la menace se produise au moment
présent. Cette probabilité est en fait un dérivé de l'imperfection des sondes et s'avère n'être
rien de plus que le degré de fiabilité des sondes qui détectent une potentielle intrusion en
cours.

Le risque immédiat peut donc être définit par l'état de risque produit quand une alerte est
reçue et évaluée instantanément comme une mesure des dommages qu'une attaque pourrait
produire, pondérée par la fiabilité du détecteur qui a remonté l’information. OSSIM calcule le
risque immédiat de chaque événement reçu, et utilise cette mesure objective pour évaluer
l'importance de l'événement en termes de sécurité. OSSIM utilise cette mesure seulement pour
évaluer la nécessité d’agir. [22]

3.6. Niveau 6 : Corrélation

La corrélation est au cœur de la solution OSSIM. Les informations collectées par les
détecteurs et les moniteurs sont spécifiques et encore partiels. Elles ne représentent qu’une
petite partie de la quantité d’information que nous souhaiterions obtenir au final.
Le mécanisme de corrélation peut donc être vu comme la possibilité d’utiliser les
informations remontées par les détecteurs et, en utilisant un nouveau niveau de traitement, de
compléter et d’améliorer le niveau d’information. Le but étant de rendre cette remontée
d’information le plus efficace possible par rapport à l’étendue de la quantité d’information
disponible sur le réseau d’entreprise.
41
Le mécanisme de corrélation est en quelque sorte un moyen de gommer un certain manque de
fiabilité ou une sensibilité insuffisante au niveau des détecteurs. En fait, si l’on voulait obtenir
un maximum d’efficacité au niveau des détecteurs, il faudrait imaginer un détecteur capable
de capter tous les événements disponibles sur le réseau. Il lui faudrait ensuite les stocker et les
afficher. Etant donné le volume des informations qui transitent sur un réseau d’entreprise,
cette solution n’est tout simplement pas envisageable. [22]

 Les principales techniques de corrélation sous OSSIM


o EN ENTRÉE (INPUT) :
Deux éléments bien définis fournissent des informations aux fonctions de corrélation :

 Les moniteurs, qui fournissent normalement des indicateurs


 Les détecteurs, qui fournissent normalement des alertes
o EN SORTIE (OUTPUT ) :

Nous retrouvons également l'un de ces deux éléments : alertes ou indicateurs. Les fonctions
de corrélation deviennent en fait de nouveaux détecteurs et moniteurs (voir figure 14).

Figure 14: Technique de la corrélation sous OSSIM

Le modèle de corrélation d'OSSIM a pour objectif de :

Développer des modèles spécifiques pour détecter le connu et le détectable.


Développer des modèles non spécifiques pour détecter l'inconnu et l'indétectable.
Fournir une machine d'inférence qui peut être configurée en utilisant des règles en
corrélation et qui a la capacité de décrire des modèles plus complexes.

42
Fournir la capacité de lier des détecteurs et des moniteurs de manière récursive pour
créer des objets plus détaillés et plus utiles.
Développer les algorithmes pour montrer une vue générale de la situation de la sécurité.

Pour atteindre ces objectifs, OSSIM utilise plusieurs méthodes de corrélation très différentes,
basées sur les deux principes suivants :

 La Corrélation en utilisant des séquences d’événements :

Concentrées sur des attaques connues et détectables qui relie les modèles et les
comportements connus qui définissent une attaque en utilisant des règles mises en application
par un état de référence. L'idée de base pour la détection d’une séquence par modèle est
simple. Il suffit juste de créer une liste de règles. OSSIM utilise évidemment des séquences
plus complexes dans lesquelles sont corrélées les alertes produites par des signatures avec le
comportement caractéristique d'une attaque spécifique.

La Corrélation en utilisant des algorithmes heuristiques :

Cette méthode utilise une approche opposée, mettant en application des algorithmes qui
essayent de détecter des situations risquées en utilisant l'analyse heuristique. Cette méthode
permet de compenser les imperfections de la corrélation par séquences d’événements en
détectant des situations sans connaître ou montrer les détails. Ceci est utile pour détecter des
attaques inconnues et montrer une vue générale de l'état de la sécurité pour un grand nombre
de systèmes. Pour cette méthode, OSSIM met en application un algorithme heuristique simple
en utilisant l'accumulation d'événements (CALM) afin d'obtenir un indicateur ou un
instantané de l'état général de la sécurité du réseau.

Dans ce processus l’objectif premier est d'obtenir le risque immédiat tout d’abord puis une
valeur que l’on pourrait définir comme le risque accumulé. En fait cette méthode de
corrélation permet d’obtenir une sorte de « thermomètre » des situations à risque, et ce, sans
jamais connaître aucun détail au sujet des caractéristiques du problème. Cette méthode fournit
donc une vue globale de la situation. Elle permet également de détecter les modèles possibles
que d'autres systèmes de corrélation pourraient ne pas voir, soit parce que les attaques sont
inconnues, soit à cause d’une certaine imperfection.

o Algorithme CALM

43
CALM (Compromise and Attack Level Monitor) est un algorithme d'évaluation qui emploie
l'accumulation d'événements et leur rétablissement dans le temps. En entrée, il récupère un
volume élevé d'événements, et en sortie il fournit un indicateur unique de l'état général de la
sécurité. Cette accumulation est valable pour n'importe quel objet sur le réseau (n'importe
quelle machine, groupe de machines, segment de réseau, etc.) que l’on souhaite surveiller.
CALM est donc prévu pour la surveillance en temps réel, de ce fait l’algorithme doit accorder
de l’importance aux événements les plus récents et jeter les plus vieux.

La Corrélation Croisée :

Ce procédé permettra d’augmenter la priorité d’une alerte Snort lorsque l’attaque définie
par celle-ci aura été découverte comme possible par Nessus. Les associations entre les
alertes de Snort et les règles de Nessus sont affichées dans la console d’administration
d’OSSIM. [24]

3.7. Niveau 7 : Console / Moniteurs


Ces consoles ne sont pas à proprement parlé des fonctionnalités puisque ce sont en fait de
simples représentations des processus, mais il me semble important de les présenter pour bien
comprendre leur intérêt au sein de la solution OSSIM.

Moniteur de risque : OSSIM possède un moniteur qui montre les valeurs


produites par l'algorithme CALM.
Moniteurs d’utilisation, de session et de profils.
Moniteur de chemin (Path monitor) : Ce moniteur peut tracer en temps réel
les chemins utilisés par les différentes machines sur le réseau au niveau des
communications ou des liens. [22]

3.8. Niveau 8 : Console d’investigation (Forensic Console)


La console d’investigation permet d'accéder à toutes informations recueillies et stockées par
les collecteurs. Cette console est un moteur de recherche qui opère sur la base de données
d'événement (EDB). Elle permet à l'administrateur d'analyser des événements de sécurité par
rapport à tous les éléments critiques du réseau a posteriori et d'une façon centralisée. [22]

3.9. Niveau 9 : Panneau de contrôle (Control Panel)


44
Le panneau de contrôle permet de regarder l’état de la sécurité du réseau au niveau le plus
haut. Il surveille une série d'indicateurs qui mesurent l'état de l'entreprise par rapport à la
politique de sécurité qu’elle a décidé de mettre en œuvre. Le panneau de contrôle permet de
définir une série de seuils ou d'objectifs que l’entreprise devrait rencontrer. Ces seuils sont
définis en tant que valeurs absolues ou relatives comme par exemple le degré d'anomalie. [22]

4. Avantages et les Inconvénients d’OSSIM


OSSIM (Open Source Security Information Management) est outil très fiable au niveau de
l’administration du système d’information. Il permet de détecter et analyser les attaques et les
menaces à son réseau et hosts. Alors qu’il présente quelques inconvénients. Dans ce qui suit
nous citons quelques avantages ainsi que quelques inconvénients. [25]

4.1. Les Avantages

Solution originale : pas de solution vraiment concurrente à ce jour combinant des


outils et des solutions complètes de surveillance réseau, de sécurité et d’audit sur une
seule console d’administration seule à gérer.
Plate-forme complète de surveillance, d’administration et de sécurité réseaux basé sur
plusieurs outils Open source très reconnues dans le marché du réseau.
Interface intuitive : riche en informations et intègre les détails de chaque solution.
Fonction d’apprentissage qui permet à la solution d’accroitre la fiabilité de ses
Remontées d’information.

4.2. Les Inconvénients

Configuration difficile du le grand nombre de paramètres pouvant rentrer en jeu.


Nécessite une démarche d’audit et d’évaluation des risques pour être pertinent dans les
configurations de la politique de la sécurité souhaitée.
Complexité relative d’amélioration vue son potentiel élevé de manipulation et son
utilisation assez lourde d’outils puissants en documentation.
Nécessite d’une base de concept d’administration réseau et de sécurité d’information
afin de mieux s’adapter à la manipulation de ses fonctionnalités. [26]

45
Conclusion
Dans ce chapitre, nous avons effectué une étude une sur le logiciel OSSIM tout en présentant
ses principes de fonctionnement, son architecture, ses avantages et ses inconvénients. Nous
commencerons le chapitre suivant par la mise en place de notre solution OSSIM. Ensuite,
nous détaillerons l’étude pratique et la stratégie de mise en place de notre solution.

46
Chapitre 4 :
Réalisation du projet

47
Introduction
Dans ce chapitre, nous présentons la réalisation et la validation de l’OSSIM comme la
solution la plus adéquate au Data center de SOTETEL. Pour s’y faire, nous allons aborder
l’étude pratique notre projet. Nous allons présenter tout d’abord l’environnement matériel et
logiciel de travail de notre projet. Ensuit nous allons présenter la stratégie de mise en place de
l’OSSIM. Nous clôturons ce chapitre par la présentation des différents tests afin de valider
notre solution et voir ses effets sur le Data center de l’entreprise.

1.Architecture cible de la solution


Reprenons notre architecture réseau, et essayons de sécuriser l’infrastructure par la mise en
place du serveur OSSIM dans le module Data center. Nous implémentons en plus un Agent
OSSIM qui héberge la sonde, les détecteurs et tous les autres mécanismes de collecte des
logs. La figure 15 résume la configuration du serveur OSSIM.

Figure 15:Architecture DATA Center

Ensuite, nous installons des systèmes de détection d’intrusion HIDS dites « OSSEC » qui
contrôle les activités des diff érentes machines. La figure 16 résume l’installation des OSSEC
dans les diff érentes machines.

48
Figure 16:Architecture cible de la solution

1.1. Intégration
L’intégration du serveur, qui permet de faciliter la gestion et la sécurité de notre réseau ainsi
que d’améliorer la gestion des ressources, se fait au niveau du Data Center.

Il est implémenté au niveau du vlan « Monitoring » selon l’adressage suivant :

- Serveur OSSIM : 192.168.43.110 /24


- Passerelle par défaut : 192.168.43.1

2. Environnement du travail
Nous présentons dans cette partie l’environnement matériel et logiciel qui nous a permis de
réaliser notre projet.

2.1. Environnement matériel


Pour la réalisation de notre projet, nous avons utilisé une machine avec les caractéristiques
suivantes

49
Marque Hp
Processeur Intel Core I5
Mémoire ram 8gb
Disque dur 500 go
S st e d’e ploitatio Windows 10

Figure 17: Caractéristique de la machine

 Serveur OSSIM : héberge le serveur, le Framework ainsi que la base de données.


 Agent OSSIM : héberge la sonde, les détecteurs et tous les autres mécanismes de la
collecte.
 kali linux OS : pour les tests de pénétration.

2.2. Environnement logiciel


Pour mettre en place la plateforme OSSIM, nous utilisons les logiciels suivants présents au
tableau 9 :

50
Tableau 9: Tableau des logiciels utilisés

Nom du logiciel Définition

OSSIM AlienVault Une plateforme Open Source de management de la


sécurité de l’information.

OSSEC Une application de détection d’intrusion, et plus


précisément un HIDS

Open VAS Un scanner de vulnérabilité Open Source

SNORT Un système de détection d’intrusions réseau Open


Source
Ntop Ce logiciel analyse en temps réel le trafic réseau et
met à disposition une liste de graphes et de
compteurs.
Nagios Une application open source permettant la
surveillance du système et du réseau.

Kali Fournit une distribution regroupant l’ensemble des


outils nécessaires aux tests de sécurité d’un système
d’information, notamment les tests d’intrusion.

3. Mise en place de la solution


3.1. Installation ossim et connexion

L’installation d’OSSIM consiste en première étape à télécharger la dernière version de la


plateforme OSSIM qui est fourni sur le site officiel d’OSSIM sous la forme d’un système
d’exploitation complet, basée sur un OS GNU/Linux Debian Squeeze. Puis, nous démarrons
le système et nous sélectionnons le mode "Installation" (voir figure 18).

La figure suivante présente l’interface d’installation.

51
Figure 18: Mode d’installation d’OSSIM

A ce stade, nous pouvons configurer la carte réseau. Il faut utiliser une adresse IP avec accès à
Internet pendant le processus d’installation. Cette adresse IP sera utilisée par l’interface de
gestion d’OSSIM dans notre cas l’adresse est 192.168.43.110 et le masque de réseau est
255.255.255.0. Comme le montre la figure 19 suivante :

Figure 19: L’interface réseau d’OSSIM

Ensuite, il faut mettre l’adresse IP de la passerelle par défaut dans notre cas est 192.168.43.1
(voir figure 20).

52
Figure 20: Adresse IP de la passerelle

Une fois que l’installation est terminée, il faut entrer le login et le mot de passe définie lors de
l’installation pour accéder à OSSIM (voir figure 21).

Figure 21: connexion au serveur ossim

Nous configurons par la suite le serveur OSSIM en éditant le fichier de format XML
/etc/ossim/server/config.xml/ pour modifier certains paramètres comme se suit :

 Le nom du serveur OSSIM : AlienVault.


 L’adresse IP du serveur OSSIM : 192.168.43.110
 Le port sur lequel écoute le serveur OSSIM, par défaut c’est le port 40001.

53
 Le nom du Framework : AlienVault
 L’adresse IP du Framework OSSIM, qui est installé sur la même machine que le
serveur, est : 127.0.0.1 ou local host.
 Le port sur lequel écoute le Framework OSSIM, par défaut c’est le port 40003

3.1.1. Configuration de l’agent OSSIM

Nous commençons par la configuration des principaux paramètres en éditant le fichier


/etc/ossim/agent/config.cfg

 L’adresse IP de la machine sonde sur laquelle est installé l’agent : 192.168.43.110


(celle du serveur)
 L’interface réseau sur laquelle l’agent va recevoir les logs : eth0

3.1.2. Gestion de l’interface web

Figure 22: Connexion page web du serveur ossim

OSSIM offre un tableau de bord intéressant avec une variété de représentations des différents
résultats collectés par l’agent. Dans le tableau de bord, nous trouvons des graphes résumant
l’état global du système comme indique la figure 23.

54
Figure 23: Tableau de bord d’OSSIM

Ces graphes présentent l’état global du réseau. Nous trouvons donc la courbe qui indique le
nombre d’évènements collecté par intervalle du temps ainsi que l’état des alarmes et des
évènements qui se sont produits récemment sur le réseau. Et, nous trouvons l’état des
évènements produits par sonde. Finalement, nous remarquons des statistiques sur le top 10
évènements selon leurs types et leurs catégories.

3.1.3. Définition des hôtes


Cette étape consiste à définir un inventaire des différents hôtes du réseau. Notre infrastructure
est constituée de plusieurs équipements comme le montre la figure 24.

55
,
.

Figure 24: Définition des hôtes

Ajout d’un nouvel hôte

Pour ajouter un nouvel hôte, nous cliquons sur new et nous définissons les informations de
l’hôte à ajouter (nom, IP adresse, asset value, os, modèle, …) puis nous cliquons sur OK
comme le montre la figure 25 suivante :

56
Figure 25: Ajout d’un nouvel hôte

3.1.4. Affichage des alertes

Figure 26: Affichage des évènements et alertes

57
Pour la détection des alertes, nous utilisons des logiciels de détection des alertes pour savoir
l’endroit de l’affichage des informations à détecter sur la plateforme OSSIM (Figure 26).
Donc, nous trouvons l’interface de visualisation des alertes et menaces détectées en temps réel
par les logiciels de détections correspondantes (OSSEC, Snort,. . .).

Dans la figure 26, nous pouvons avoir une idée sur l’affichage des historiques des alertes et
des attaques survenues sur le réseau, avec les adresses source et destination correspondantes
ainsi que le degré de risque de chaque évènement et sa priorité. De plus, OSSIM offre la
possibilité à l’administrateur de gérer en temps réel les détections d’intrusion à travers son
interface real time. D’autre part, nous pouvons sélectionner le choix du plugin (Figure 27) à
utiliser pour filtrer l’affichage de ces alertes, présenté par la figure 28.

Figure 27 : Choix du plugin pour l’affichage des alertes

58
Figure 28:Affichage des évènements en temps réel pour le plugin syslog

3.1.6. Génération des rapports

La plateforme OSSIM nous permet d’élaborer des rapports d’informations concernant les
équipements réseaux et système, tout en sauvegardant dans sa base de données les différents
logs des utilisateurs de ce réseau. Les rapports peuvent être affichés sous format PDF ou
HTML.

En effet, nous avons la possibilité d’avoir un rapport sur un hôte bien définit ce qui nous
permet de savoir les informations sur l’hôte déjà choisi avec leurs adresses IP, leurs systèmes
d’exploitation et le niveau de leurs priorités et les vulnérabilités si existe. D’autre part nous
avons aussi la possibilité d’avoir une vision claire sur les alarmes et les incidents présentés
dans un fichier sous format PDF qu’on peut le visualiser, télécharger ou l’envoyer par mail
comme le montre la figure 29 suivante :

59
Figure 29: Génération des rapports sous OSSIM

Ces rapports concernent essentiellement :

- Les événements détectés par OSSIM : Top 10 des machines attaquées, Top 10 des
machines attaquantes, Top 10 des ports utilisés.
- Les alarmes générées.
- La base des vulnérabilités et des menaces qui touchent diff érents services (Apache,
IIS, SMTP, FTP.. ), diff érents équipements de marques diff érentes (Cisco, Juniper,
Fortinet. . . ), les bases de données, les systèmes d’exploitation, . . . .

Ainsi dans un rapport, nous trouvons tous les logs des utilisateurs avec les évènements subits
et leurs détails, comme le présente la figure 30.

60
Figure 30 : Les logs des utilisateurs du réseau

3.1.7. La base documentaire

Figure 31 : La base documentaire

61
Comme son nom l’indique, la base documentaire fournit un accès pour les utilisateurs aux
documents rédigés ou fournis comme solutions aux différents incidents. Un document peut
être lié à un actif, groupe d’actifs, ou à un événement. Il peut aussi être affecté par utilisateur
ou groupe d’utilisateurs. Les documents peuvent être :

 Des documents techniques.


 Des procédures.
 Des informations sur une menace

3.1.8. Installation d’OSSEC

OSSEC est une application de détection d’intrusion et plus précisément un HIDS (Host
Intrusion Detection System). De plus, OSSEC est utilisé pour détecter également des attaques
comme les rootkits, les scans de ports et analyse les logs du système, des applications et des
services. Donc, il faut installer et configurer OSSEC dans les différentes machines de notre
architecture réseau pour détecter de différentes attaques qui visent notre réseau.

Avantages : Gratuit et libre Installation facile.

Inconvénients : Agrégation de mails pas toujours respectée, Peut générer beaucoup de mails.

3.1.8.1. Ajout d’un agent OSSEC

Pour ajouter un agent OSSEC, dans l’interface graphique d’OSSIM, nous cliquons sur
Environnent ->Detection->HIDS->Agents ->add agent. La figure 32 montre l’ajout d’un
agent OSSEC.

62
Figure 32 : Ajout d’un Agent OSSEC

Installation d’un agent OSSEC sous Windows


Dans cette étape, nous installons sur la machine Windows un agent en utilisant le logiciel
Manage OSSEC (voir figure 34 et 35). Cet agent permet OSSEC d’envoyer les logs au
serveur OSSIM. Il faut donc générer le code de l’authentification d’OSSEC server qui se
trouve dans l’ACTIONS de l’OSSEC (voir figure 33).

Figure 33 : extraction de l’authentication key

63
Figure 34 : lancement Manager Agent

Figure 35 : Communication entre la Machine et le Serveur OSSIM

64
3.2. Installation, Configuration et Intégration du SNORT avec OSSIM

Snort est un système de détection d’intrusion réseau, capable d’eff ectuer l’analyse du trafic en
temps réel et de la journalisation de paquets sur des réseaux IP.Il utilise un langage de règles
flexible pour décrire le trafic qu’il devrait collecter ou laisser passer, ainsi qu’un moteur de
détection qui utilise une architecture modulaire de plugins.Les règles Snort étant basées sur la
signature des paquets illégitimes, le moteur de Snort doit être capable d’analyser le contenu
des flux réseaux. Afin de réaliser cette opération, Snort dispose donc d’un ensemble de
décodeurs lui permettant d’analyser intrinsèquement le contenu des flux.Les décodeurs
accessibles sont :

 TCP
 UDP
 ICMP
 IP

Snort est assez complet en terme de détection d’intrusion réseau et largement reconnu par les
professionnels de la sécurité informatique. Son architecture axée autour de sa propre base de
données nous a semblé intéressante à mettre en œuvre au sein de la solution OSSIM.

3.2.1. Installation de SNORT

3.2.1.1. Configuration de la carte réseau


Certaines cartes réseau ont des fonctionnalités appelées "Large Receive Offload" (lro) et
"Generic Receive Offload "(gro). Lorsque ces fonctionnalités sont activées, la carte réseau
eff ectue le réassemblage les paquets avant qu’ils sont traités par le noyau. Pour désactiver
LRO et GRO pour toute interface, nous utiliserons la commande ethtool dans la Fichier de
configuration d’interface réseau /etc/network/interfaces. Nous utilisons vi pour modifier les
interfaces réseau.

65
Figure 36:configuration des interfaces réseaux

Ensuite on redémarre l’interface réseau en vérifiant que LRO et GRO sont désactivés.

3.2.1.2. Installation des prérequis Snort


Snort possède quatre prérequis principale :

Pcap (libpcap-dev) disponible dans le dépôt Ubuntu

PCRE (libpcre3-dev) disponible dans le dépôt Ubuntu

Libdnet (libdumbnet-dev) disponible dans le dépôt Ubuntu

DAQ (http ://www.snort.org/downloads/) compilé à partir de la source

Puis il faut télécharger et installer la dernière version de DAQ (Data AcQuisition li-brary) à
partir du site Web Snort. Les étapes ci-dessous utilisent wget pour télécharger la version 2.2.2
de DAQ, qui est la dernière version au moment de la rédaction de ce rapport.

66
3.2.1.3. Installation de Snort
Une fois toutes prérequis sont installées, nous sommes prêts à télécharger la base de données
Snort, à compiler, puis à installer. L’option --enable-sourcefire donne Packet Performance
Monitoring (PPM) , qui nous permet de surveiller les performances des règles et des pré-
processeurs, et construit Snort de la même manière que l’équipe Snort :

Après l’installation nous allons tester Snort en exécutant la commande sudo Snort, en la
passant de l’indicateur -V (qui indique à Snort de vérifier tous ces fichiers de configuration).

Figure 37 : Vérification de l’installation de Snor

67
4 . Tests de la solution
Après le déploiement d'OSSIM, il est très important de tester la capacité de la solution à
détecter les attaques pour s’assurer de son bon fonctionnement, par conséquent, nous avons
défini un environnement de test. Nous avons donc lancé une attaque en utilisant la machine
kali Linux « 192.168.43.239» contre une machine cible Windows 10 « 192.168.43.104 ».

4.1.Test 1 : Attaque par brute force


Une attaque Brute-force est le fait qu’un attaquant essaye des différents mots de passe pour
accéder à un système. La figure décrit une attaque par force brute contre la machine Windows
10.

Figure 38 : Attaque de brute force

68
OSSIM a généré de son côté une alarme, après que l'attaque consistant en tentatives de
connexion a échoué au système.

Figure 39 : Alarme OSSIM

4.2. Test 2 : Balayage de port (Nmap)


Scan Nmap permet d’identifier une liste d’hôtes ainsi que les états de leurs ports. Nmap est
également capable d’identifier la présence d’un firewall ou pas. Donc, nous lançons un scan
Nmap par la machine kali vers le serveur OSSIM pour savoir les ports ouverts et les services
utilisés. La figure 38, présente les informations récupérées après le lancement de scan Nmap.
Depuis le résultat du scan, nous constatons que les ports (22, 80, 443) sont ouverts, ainsi que
les services (ssh, http, https,. . . )

Figure 40: Le scan nmap

69
Après le lancement d’une attaque scan Nmap, nous remarquons l’affichage d’une alerte
détectée par la sonde Snort au niveau d’OSSIM. La figure suivante illustre les caractéristiques
cette alerte.

Figure 41:Alerte détecté par Snort

De même, OSSEC détecte cette attaque et affiche une alerte. La figure 42 présente les
caractéristiques de cette alerte OSSEC.

Figure 42: Détection d’alerte par l’OSSEC

5.Scans et supervisions implémentés par OSSIM


5.1.Scan de vulnérabilité : OpenVas
Pour détecter les vulnérabilités, nous utilisons OpenVas qui est un outil de sécurité permettant
d’identifier et de traiter rapidement les failles du réseau. Il teste tous les équipements réseaux
disposants d’une adresse IP afin d’établir un inventaire des menaces et des vulnérabilités
auxquels ils sont exposés. Les vulnérabilités découvertes sont classées par degré de gravité.

70
Pour lancer un scan de vulnérabilité nous devons aller sous vulnérabilités, puis appuyer sur
«New scan job ». La figure 43 décrit le lancement d’un scan.

Figure 43: Lancement du scan d’OpenVas

Le scan peut être programmé de façon périodique. Ensuite, nous choisissons le ou les hôtes à
scanner, ou les réseaux à scanner, comme indique la figure ci-dessous.

Figure 44 : Définir les hôtes ou le réseau à scanner

Dans notre cas, nous choisissons de scanner les hôtes suivants :

— Serveur d’application sous adresse IP : 192.168.43.110

— Agent-OSSEC sous l’adresse IP : 192.168.43.104

71
Pour valider notre scan, nous cliquons sur l’icône New Job. Les résultats de scan seront
affichés une fois que ce dernier est terminé comme le décrit la figure 45.

Figure 45 : Les résultats du scan

5.2.Scan de Service et des ports libre : Nmap


Nmap est un scanner de ports libre. Il est conçu pour détecter les ports ouverts, identifier les
services hébergés et obtenir des informations sur le système d’exploitation d’un ordinateur
distant. Ce logiciel est devenu une référence pour les administrateurs réseaux car l’audit des
résultats de Nmap fournit des indications sur la sécurité d’un réseau. Donc dans notre cas,
nous lançons le scan des ports avec Nmap (Figure 46) sur les hôtes suivants :

• Le serveur OSSIM (192.168.43.110)


• Agent-OSSEC (192.168.43.104)
Pour valider le scan, nous cliquons sur l’icône Start Scan. Nous remarquons les options du
scan (sélectionne le Sensor et le type de scan).

72
Figure 46: Les hosts sélectionnés pour le scan Nmap

Les résultats du scan (Figure 47) sont ensuite affichés présentant les détails suivants :

• Adresse IP de l’host.
• Hostname.
• Le type de système d’exploitation.
• Les services héberges.
• Les ports ouverts.

Figure 47 : Résultat détaillé du scan Nmap

73
5.2 Supervision par Nagios
Nagios est un outil open source reconnu dans le monde de la supervision, il permet une
supervision active et passive des serveurs, des équipements réseaux et surtout des services
divers et variés. Nous allons donc présenter quelques fonctionnalités de Nagios d’après ce
que nous avons récupéré comme informations concernant l’hôte 192.168.43.104 (Figure 48)
sur la plateforme d’OSSIM. L’accès aux informations d’un hôte ou d’un service possible par :

• Service détail, puis en cliquant sur le nom d’un hôte ou d’un service.
• Host détail, puis en cliquant sur le nom d’un hôte.
• Status Grid, puis en cliquant sur le nom d’un hôte ou d’un service.

Figure 48 : Affichage des informations des services d’hôtes 192.168.43.104

La figure 48 présente les informations d’un service d’un hôte donné (l’hôte Monitor
192.168.43.104), son état (curent status), la date de la dernière vérification (last check time),
ou dernière modification (last state change). En haut à gauche se trouve un cadre présentant
des liens vers les éléments de rapport pour ce service.

Dans cette étape, les informations sur les états d’hôtes et services sont présentées sous forme
d’histogramme. L’élément trends (tendance), présente sous forme d’histogramme à barres les
diff érents états d’un hôte et d’un service sur une période de temps donnée. Les pourcentages
relatifs à chaque état sur cette période de temps sont inscrits à droite du diagramme. En

74
première étape, nous choisissons le type de rapport. En deuxième étape, selon le choix de
l’étape précédente, nous sélectionnons l’hôte ou le service désiré. Et nous validons les
diff érents paramètres de rapport et nous cliquons sur Create Report pour crée un rapport des
informations. Enfin, nous obtenons le rapport suivant présenté par la figure 49.

Figure 49 : Rapport d’état de 127.0.0.1

Après avoir un rapport détaillé, nous l’interprétons comme suit : les dates de changement
d’état (ou de redémarrage du programme Nagios) sont représentées par l’abscisse du graphe.
Les noms des diff érents états (la valeur de l’ordonnée définit la hauteur de la barre de
l’histogramme) défini par l’ordonné du graphique. À droite du graphique, se trouvent les
pourcentages avec la correspondance en unité de temps. Aussi, Nagios nous donne la
possibilité d’avoir un résumé sur les états des hôtes et tous les groupes des hôtes (Figure 50).

75
Figure 50: Contrôle de la disponibilité des hôtes

Conclusion
Dans ce dernier chapitre, nous avons détaillé l’étude pratique et la stratégie de mise en place
de l’OSSIM. Et nous clôturons ce chapitre par la présentation des différents tests afin de
s’assurer du bon fonctionnement de la solution.

76
Conclusion générale
La sécurité du réseau informatique est considérée comme une activité stratégique et
primordiale pour le développement d’une entreprise quel que soit son domaine
d’activité. Cependant, vu la taille importante du réseau, La SOTETEL a opté pour
une approche centralisée qui consiste à mettre en place un gestionnaire de sécurité
central plus connu sous le nom de SIEM. Cette solution permet de collecter et
d’analyser les logs des diff érents équipements du réseau et sécurité afin d’identifier
les menaces et les alertes pour les traiter dans les plus brefs délais.

Au cours de ce projet, nous avons essayé de concevoir et de mettre en place une solu-
tion SIEM open source qui permet de sécuriser le réseau de Datacenter. Cette solution
se base sur OSSIM développé par la communauté AlientVault. Nous avons essayé de
l’adapter aux spécificités et aux contraintes du réseau de l’entreprise en intégrant un
certain nombre d’outils open source. En eff et, nous avons mis en place une solution
OSSIM basique à laquelle nous avons intégré un ensemble de plugins pour améliorer
son fonctionnement. Ces plugins comportent un outil de découverte du réseau, des
détecteurs de vulnérabilités, d’anomalies et de disponibilités, des analyseurs de trafic
temps réel, un NIDS Snort, des HIDS et des sondes Syslog .

La solution SIEM développée a montré un potentiel intéressant et des perspectives


d’évolution énormes. Sur le plan personnel, ce projet de fin d’études au sein de la
SOTETEL nous a permis de nous intégrer à la culture d’entreprise. De même, il nous
a off ert la possibilité d’étudier et intégrer des outils professionnels de sécurité.

77
Références bibliographiques

[1] : Site web de SOTETEL URL: https://www.tunisietelecom.tn. Consulté le [10-fevrier-


2018]

[2] : THÈSE réalisé par [ÉRIC LUNAUD NGOUPÉ] le [05-juin 2015] URL :

[https://constellation.uqac.ca/3337/1/Ngoupe_uqac_0862D_10137.pdf] Consulté le [12

fevrier-2018]

[3] : https://www.lebigdata.fr/definition-data-center-centre-donnee

[4] : http://datacenter.fr/caracteristiques-data-center.php

[5] : http ://www.journaldunet.com/solutions/securite/decryptages/0829-qr-soc -


supervision-securite.shtml
[6] : https ://www.clusif.asso.fr/fr/production/ouvrages/pdf/CLUSIF-2011-Gestion-
des-Incidents.pdf
[7] : https ://www.securityondemand.com/SecurityOperations/cloud-event-corre
lation.htm
[8] : Article LOG URL : https://support.ankama.com/hc/fr/articles/203790076-Qu-est-ce-qu
un-log publié [15 Janvier 2014] Consulté le [30-Mars-2018]

[9] : Security Information and Event Management (SIEM) Implementation: Auteurs: DAV I
DR. MILLER, SHON HARRIS, ALLEN A. HARPER, STEPHEN VANDYKE, CHRIS
BLASK, 2011, Edition McGraw-Hill, ISBN: 978-0-07-170108-2

[10] : Gabriel, R. et al. Analysing Malware Log Data to Support Security Information and
Event Management: Some Research Results. First International Conference on Advances in
Databases.

[11] : Les SIEM (Security Information and Event Management) : Gestion de la sécurité
centralisée N. Cherriere, G. Montassier, R. Picard et E. Thuiller, Sujet R1

[12] : http : //www.ietf.org/rfc/rfc4765.txt : Consulté le 18/05/2017

78
[13] : http ://www.ietf.org/rfc/rfc4765.txt

[14] : http ://www.ietf.org/rfc/rfc5070.txt


[15] : Mullet, A. Master’s Thesis Event Correlation Engine Computer, Engineering and
Networks Laboratory. 0x7.ch/text/eventcorrelation-engine-slides.pdf
[16] : ]http : //www.gartner.com/technology/home.jsp : Consulté le 10/03/2017

[17] : http ://www-03.ibm.com/software/products/fr/qradar-log-manager


[18] : http ://www.itpro.fr/n/securite-hp-lance-tippingpoint-7100nx-arcsight-esm-6-
19486/
[19] : http ://connect.ed-diamond.com/MISC/MISC-070/Mise-en-place-du-SIEM -
Prelude-en-entreprise-Retour-d-experience
[20] : https ://quack1.me/upload/memoire_stage.pdf
[21] : http ://www.montassier.fr/Site/Publication/Entrees/2010/10/2_SIEM_Centrali zed-
security_system_files
[22] : http ://www.monitoring-fr.org/2011/06/nouveautes-gestion-logs/
[23] : Rapport de projet de fin d’étude Philippe Martinet « Mise en oeuvre d’un prototype
d’architecture OSSIM »
[24] : : http ://www.securinets.com/sites/default/files/fichiers_pdf/Analyse%20des%
20logs.pdf
[25] :OSSIM:User_manual :introduction.(s.d.),https://www.alienvault.com/wiki/doku.php?id
=user_manual:introduction: Consulté le 01/05/2017

[26] : http : //fr.scribd.com/doc/199035093/22/III-3-OSSIM : Consulté le 20/04/2017

79
Annexe
Zimbra
Configuration reseau
1. vim /etc/network/interfaces

1. allow-hotplug eth0
2. iface eth0 inet dhcp

1. allow-hotplug eth0
2. iface eth0 inet static
3. address 192.168.1.X
4. netmask 255.255.255.0
5. gateway 192.168.1.1
6. dns-nameservers 127.0.0.1
7. dns-nameservers 8.8.8.8

1. # Dynamic resolv.conf(5) file for glibc resolver(3) generated by resolvconf(8)


2. # DO NOT EDIT THIS FILE BY HAND -- YOUR CHANGES WILL BE OVERWRITTEN
3. nameserver 127.0.0.1
4. nameserver 8.8.8.8

1. vim /etc/hosts
2. 127.0.0.1 localhost
3. 188.166.153.117 zcs-886.zimbra.io zcs-886

1. reboot

Configuration DNS Server (dnsmasq)

1. apt-get install dnsmasq

80
2. Reading package lists... Done
3. Building dependency tree
4. Reading state information... Done
5. The following NEW packages will be installed:
6. dnsmasq
7. 0 upgraded, 1 newly installed, 0 to remove and 4 not upgraded.
8. Need to get 15.9 kB of archives.
9. After this operation, 71.7 kB of additional disk space will be used.
10. Do you want to continue? [Y/n] y

1. vim /etc/dnsmasq.conf
2. server=8.8.8.8
3. listen-address=127.0.0.1
4. domain=zimbra.io
5. mx-host=zimbra.io,zcs-886.zimbra.io,0
6. address=/zcs-886.zimbra.io/188.166.153.117

Redemarage service dnsmasq


1. service dnsmasq restart
2. * Restarting DNS forwarder and DHCP server dnsmasq
3. ...done.

Test et validation service DNS.io


1. ; <<>> DiG 9.10.3-P4-Ubuntu <<>> mx zimbra.io
2. ;; global options: +cmd
3. ;; Got answer:
4. ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 11345
5. ;; flags: qr aa rd ra ad; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 2
6. ;; OPT PSEUDOSECTION:
7. ; EDNS: version: 0, flags:; udp: 1280
8. ;; QUESTION SECTION:
9. ;zimbra.io. IN MX
10.
11. ;; ANSWER SECTION:
12. zimbra.io. 0 IN MX 0 zcs-886.zimbra.io.
13.
14. ;; ADDITIONAL SECTION:
15. zcs-886.zimbra.io. 0 IN A 188.166.153.117
16.
17. ;; Query time: 0 msec
18. ;; SERVER: 127.0.0.1#53(127.0.0.1)
19. ;; WHEN: Thu May 11 13:06:43 UTC 2019
20. ;; MSG SIZE rcvd: 87
1. root@zcs-886:~# dig zcs-886.zimbra.io
2.

81
3. ; <<>> DiG 9.10.3-P4-Ubuntu <<>> zcs-886.zimbra.io
4. ;; global options: +cmd
5. ;; Got answer:
6. ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 56775
7. ;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1
8.
9. ;; OPT PSEUDOSECTION:
10. ; EDNS: version: 0, flags:; udp: 1280
11. ;; QUESTION SECTION:
12. ;zcs-886.zimbra.io. IN A
13.
14. ;; ANSWER SECTION:
15. zcs-886.zimbra.io. 0 IN A 188.166.153.117
16.
17. ;; Query time: 0 msec
18. ;; SERVER: 127.0.0.1#53(127.0.0.1)
19. ;; WHEN: Thu Jan 11 13:09:32 UTC 2018
20. ;; MSG SIZE rcvd: 62

Installion Zimbra Collaboration

1. tar xzvf zcs-NETWORK-8.8.6_GA_1906.UBUNTU16_64.20171130041047.tgz

1. cd zcs-NETWORK-8.8.6_GA_1906.UBUNTU16_64.20171130041047

1. ## ./install.sh -l
2. /tmp/license.xml
3. Operations logged to /tmp/install.log.luSct9Pm
4. Checking for existing installation...
5. zimbra-chat...NOT FOUND
6. zimbra-drive...NOT FOUND
7. zimbra-imapd...NOT FOUND
8. zimbra-network-modules-ng...NOT FOUND
9. zimbra-rpost...NOT FOUND
10. zimbra-ldap...NOT FOUND
11. zimbra-logger...NOT FOUND
12. zimbra-mta...NOT FOUND
13. zimbra-dnscache...NOT FOUND
14. zimbra-snmp...NOT FOUND
15. zimbra-store...NOT FOUND
16. zimbra-apache...NOT FOUND
17. zimbra-spell...NOT FOUND
18. zimbra-convertd...NOT FOUND
19. zimbra-memcached...NOT FOUND
20. zimbra-proxy...NOT FOUND

82
21. zimbra-archiving...NOT FOUND
22. zimbra-core...NOT FOUND
23.
24. IMPORTANT-READ CAREFULLY: THE TERMS OF THIS END USER LICENSE AGREEMENT ("EULA")
WILL GOVERN YOUR USE OF THE SOFTWARE. BY DOWNLOADING, INSTALLING, OR USING THE
SOFTWARE, YOU (THE INDIVIDUAL OR LEGAL ENTITY) ARE (1) REPRESENTING THAT YOU ARE
OVER THE AGE OF 18 AND HAVE THE CAPACITY AND AUTHORITY TO BIND YOURSELF OR THE
LEGAL ENTITY, AS APPLICABLE, TO THE TERMS OF THIS EULA AND (2) AGREEING ON BEHALF
OF YOURSELF AND/OR AS AN AUTHORIZED REPRESENTATIVE OF THE LEGAL ENTITY, AS
APPLICABLE, TO BE BOUND BY THIS EULA. IF YOU DO NOT AGREE TO THE TERMS OF THIS EULA,
YOU MUST NOT DOWNLOAD, INSTALL, OR USE THE SOFTWARE.
25.
26. EVALUATION LICENSE. If You are licensing the Software for evaluation purposes, Your use of the Software is
only permitted in a non-production environment and for the period limited by the License Key. Notwithstanding any
other provision in this EULA, an Evaluation License of the Software is provided "AS-IS" without indemnification,
support, or warranty of any kind, expressed or implied.
27.
28. 1. DEFINITIONS
29.
30. 12.14 Contact Information. Please direct legal notices or other correspondence to Synacor, Inc., 40 La Riviere Drive,
Suite 300, Buffalo, New York, United States, Attn: Legal Department, email address: legaldept@synacor.com. Any
questions concerning this EULA should be sent to the foregoing email address: legaldept@synacor.com.
31.
32. 12.15 Trademarks. "Synacor" and "Zimbra" are registered trademarks of Synacor, Inc. and, along with other Synacor
trademarks, services marks and product names, may not be used without the prior permission of Synacor, Inc. Any
third party trademarks, service marks, and product names included in the Software or Documentation or otherwise
provided hereunder may not be used without the prior permission of the owner thereof.
Select ionnez “y” Do you agree with the terms of the software license agreement? [N]y
1.
2. The parties acknowledge and agree that a material breach of this
3. Agreement adversely affecting Autonomy's proprietary rights would cause
4. irreparable harm to Autonomy for which a remedy at law would be inadequate and
5. that Autonomy shall be entitled to injunctive relief in addition to any
6. remedies it may have hereunder or at law.
7.
8. Do you agree with the terms of the software license agreement? [N]y

1. Use Zimbra's package repository [Y]


2.
3. Importing Zimbra GPG key
4. Configuring package repository
5. Checking for installable packages
6.
7. Found zimbra-core (local)
8. Found zimbra-ldap (local)
9. Found zimbra-logger (local)
10. Found zimbra-mta (local)

83
11. Found zimbra-dnscache (local)
12. Found zimbra-snmp (local)
13. Found zimbra-store (local)
14. Found zimbra-apache (local)
15. Found zimbra-spell (local)
16. Found zimbra-convertd (local)
17. Found zimbra-memcached (repo)
18. Found zimbra-proxy (local)
19. Found zimbra-archiving (local)
20. Found zimbra-chat (repo)
21. Found zimbra-drive (repo)
22. Found zimbra-imapd (local)
23. Found zimbra-network-modules-ng (local)

1. Select the packages to install


2.
3. Install zimbra-ldap [Y]
4. Install zimbra-logger [Y]
5. Install zimbra-mta [Y]
6. Install zimbra-dnscache [Y] n
7. Install zimbra-snmp [Y]
8. Install zimbra-store [Y]
9. Install zimbra-apache [Y]
10. Install zimbra-spell [Y]
11. Install zimbra-convertd [Y]
12. Install zimbra-memcached [Y]
13. Install zimbra-proxy [Y]
14. Install zimbra-archiving [N]
15. Install zimbra-chat [Y]
16. Install zimbra-drive [Y]
17. Install zimbra-imapd (BETA - for evaluation only) [N]
18. Install zimbra-network-modules-ng [Y]
19. ###WARNING###
20.
21. Network Modules NG needs to bind on TCP ports 8735 and 8736 in order
22. to operate, for inter-instance communication.
23. Please verify no other service listens on these ports and that
24. ports 8735 and 8736 are properly filtered from public access
25. by your firewall.
26.
27. Please remember that the Backup NG module needs to be initialized in order
28. to be functional. This is a one-time operation only that can be performed
29. by clicking the 'Initialize' button within the Backup section of the
30. Network NG Modules in the Administration Console or by running
31. `zxsuite backup doSmartScan` as the zimbra user.
32.
33. Checking required space for zimbra-core

84
34. Checking space for zimbra-store
35.
36. Installing:
37. zimbra-core
38. zimbra-ldap
39. zimbra-logger
40. zimbra-mta
41. zimbra-snmp
42. zimbra-store
43. zimbra-apache
44. zimbra-spell
45. zimbra-convertd
46. zimbra-memcached
47. zimbra-proxy
48. zimbra-chat
49. zimbra-drive
50. zimbra-network-modules-ng
Selecionner “y”

1. The system will be modified. Continue? [N] Y


2. Beginning Installation - see /tmp/install.log.luSct9Pm for details...
3.
4. zimbra-core-components will be downloaded and installed.
5. zimbra-timezone-data will be installed.
6. zimbra-common-mbox-conf-msgs will be installed.
7. zimbra-common-mbox-db will be installed.
8. zimbra-common-mbox-conf will be installed.
9. zimbra-common-mbox-native-lib will be installed.
10. zimbra-common-mbox-docs will be installed.
11. zimbra-common-mbox-conf-attrs will be installed.
12. zimbra-common-mbox-conf-rights will be installed.
13. zimbra-core will be installed.
14. zimbra-ldap-components will be downloaded and installed.
15. zimbra-ldap will be installed.
16. zimbra-logger will be installed.
17. zimbra-mta-components will be downloaded and installed.
18. zimbra-mta will be installed.
19. zimbra-snmp-components will be downloaded and installed.
20. zimbra-snmp will be installed.
21. zimbra-store-components will be downloaded and installed.
22. zimbra-jetty-distribution will be downloaded and installed.
23. zimbra-mbox-war will be installed.
24. zimbra-mbox-conf will be installed.
25. zimbra-mbox-service will be installed.
26. zimbra-store will be installed.
27. zimbra-apache-components will be downloaded and installed.
28. zimbra-apache will be installed.
29. zimbra-spell-components will be downloaded and installed.

85
30. zimbra-spell will be installed.
31. zimbra-convertd will be installed.
32. zimbra-memcached will be downloaded and installed.
33. zimbra-proxy-components will be downloaded and installed.
34. zimbra-proxy will be installed.
35. zimbra-chat will be downloaded and installed (later).
36. zimbra-drive will be downloaded and installed (later).
37. zimbra-network-modules-ng will be installed.
38.
39. Downloading packages (10):
40. zimbra-core-components
41. zimbra-ldap-components
42. zimbra-mta-components
43. zimbra-snmp-components
44. zimbra-store-components
45. zimbra-jetty-distribution
46. zimbra-apache-components
47. zimbra-spell-components
48. zimbra-memcached
49. zimbra-proxy-components
50. …
51.
52. Installing local packages (22):
53. zimbra-timezone-data
54. zimbra-common-mbox-conf-msgs
55. zimbra-common-mbox-db
56. zimbra-common-mbox-conf
57. zimbra-common-mbox-native-lib
58. zimbra-common-mbox-docs
59. zimbra-common-mbox-conf-attrs
60. zimbra-common-mbox-conf-rights
61. zimbra-core
62. zimbra-ldap
63. zimbra-logger
64. zimbra-mta
65. zimbra-snmp
66. zimbra-mbox-war
67. zimbra-mbox-conf
68. zimbra-mbox-service
69. zimbra-store
70. zimbra-apache
71. zimbra-spell
72. zimbra-convertd
73. zimbra-proxy
74. zimbra-network-modules-ng
75. ...done
76.
77. Installing extra packages (2):
78. zimbra-chat

86
79. zimbra-drive
80. ...done
81.
82. Running Post Installation Configuration:
83. Installing /opt/zimbra/conf/ZCSLicense.xml
84. Operations logged to /tmp/zmsetup.20180111-132052.log
85. Installing LDAP configuration database...done.
86. Setting defaults...

Modifier hostname.domain.com paf domain.com

1. DNS ERROR resolving MX for zcs-886.zimbra.io


2. It is suggested that the domain name have an MX record configured in DNS
3. Change domain name? [Yes] Y
4.
5. Create domain: [zcs-886.zimbra.io] zimbra.io
6. MX: zcs-886.zimbra.io (188.166.153.117)
7.
8. Interface: 188.166.153.117
9. Interface: 127.0.0.1
10. Interface: ::1
11. Interface: 10.16.0.5
12. done.
13. Checking for port conflicts

1. Select from menu or 'r' for previous menu [r] 4

1. Password for admin@zimbra.io (min 6 characters): [_DSYzh6s] ZimbraROCKS


2. Main menu
3.
4. 1) Common Configuration:
5. 2) zimbra-ldap: Enabled
6. 3) zimbra-logger: Enabled
7. 4) zimbra-mta: Enabled
8. 5) zimbra-snmp: Enabled
9. 6) zimbra-store: Enabled
10. 7) zimbra-spell: Enabled
11. 8) zimbra-convertd: Enabled
12. 9) zimbra-proxy: Enabled
13. 10) Default Class of Service Configuration:
14. 11) Enable default backup schedule: yes
15. s) Save config to file
16. x) Expand menu
17. q) Quit
18.

87
19. *** CONFIGURATION COMPLETE - press 'a' to apply

Appuiyer “a” pour modifier

1. Select from menu, or press 'a' to apply config (? - help) a

1. Save configuration data to a file? [Yes]

1. Save config in file: [/opt/zimbra/config.10904]


2. Saving config in /opt/zimbra/config.10904...done.

1. Operations logged to /tmp/zmsetup.20180111-132052.log


2. Setting local config values...done.
3. Initializing core config...Setting up CA...done.
4. Deploying CA to /opt/zimbra/conf/ca ...done.
5. Creating SSL zimbra-store certificate...done.
6. Creating new zimbra-ldap SSL certificate...done.
7. Creating new zimbra-mta SSL certificate...done.
8. Creating new zimbra-proxy SSL certificate...done.
9. Installing mailboxd SSL certificates...done.
10. Installing MTA SSL certificates...done.
11. Installing LDAP SSL certificate...done.
12. Installing Proxy SSL certificate...done.
13. Initializing ldap...done.
14. Setting replication password...done.
15. Setting Postfix password...done.
16. Setting amavis password...done.
17. Setting nginx password...done.
18. Setting BES searcher password...done.
19. Creating server entry for zcs-886.zimbra.io...done.
20. Setting Zimbra IP Mode...done.
21. Saving CA in ldap...done.
22. Saving SSL Certificate in ldap...done.
23. Setting spell check URL...done.
24. Setting service ports on zcs-886.zimbra.io...done.
25. Setting zimbraFeatureTasksEnabled=TRUE...done.
26. Setting zimbraFeatureBriefcasesEnabled=TRUE...done.
27. Checking current setting of zimbraReverseProxyAvailableLookupTargets
28. Querying LDAP for other mailstores
29. Searching LDAP for reverseProxyLookupTargets...done.
30. Adding zcs-886.zimbra.io to zimbraReverseProxyAvailableLookupTargets
31. Setting convertd URL...done.
32. Setting TimeZone Preference...done.
33. Disabling strict server name enforcement on zcs-886.zimbra.io...done.

88
34. Initializing mta config...done.
35. Setting services on zcs-886.zimbra.io...done.
36. Adding zcs-886.zimbra.io to zimbraMailHostPool in default COS...done.
37. Creating domain zimbra.io...done.
38. Setting default domain name...done.
39. Setting up default domain admin UI components...done.
40. Granting group zimbraDomainAdmins@zimbra.io domain right +domainAdminConsoleRights on zimbra.io...done.
41. Granting group zimbraDomainAdmins@zimbra.io global right +domainAdminZimletRights...done.
42. Setting up global distribution list admin UI components..done.
43. Granting group zimbraDLAdmins@zimbra.io global right +adminConsoleDLRights...done.
44. Granting group zimbraDLAdmins@zimbra.io global right +listAccount...done.
45. Creating domain zimbra.io...already exists.
46. Creating admin account admin@zimbra.io...done.
47. Creating root alias...done.
48. Creating postmaster alias...done.
49. Creating user spam.m3ivhcla@zimbra.io...done.
50. Creating user ham.7os2yeuvc9@zimbra.io...done.
51. Creating user virus-quarantine.hgtpbxbzg@zimbra.io...done.
52. Setting spam training and Anti-virus quarantine accounts...done.
53. Initializing store sql database...done.
54. Setting zimbraSmtpHostname for zcs-886.zimbra.io...done.
55. Configuring SNMP...done.
56. Setting up syslog.conf...done.
57. Looking for valid license to install...license installed.
58. Enabling zimbra network NG modules features.
59. Starting servers…
60.
61. Starting servers...done.
62. Installing common zimlets...
63. com_zextras_drive_open...done.
64. com_zimbra_bulkprovision...done.
65. com_zimbra_email...done.
66. com_zimbra_ymemoticons...done.
67. com_zimbra_attachcontacts...done.
68. com_zimbra_adminversioncheck...done.
69. com_zimbra_clientuploader...done.
70. com_zimbra_phone...done.
71. com_zimbra_mailarchive...done.
72. com_zextras_chat_open...done.
73. com_zimbra_webex...done.
74. com_zimbra_date...done.
75. com_zimbra_url...done.
76. com_zimbra_attachmail...done.
77. com_zimbra_viewmail...done.
78. com_zimbra_proxy_config...done.
79. com_zextras_client...done.
80. com_zimbra_cert_manager...done.
81. com_zimbra_srchhighlighter...done.
82. com_zimbra_tooltip...done.

89
83. com_zextras_zextras...done.
84. Finished installing common zimlets.
85. Installing network zimlets...
86. com_zimbra_mobilesync...done.
87. com_zimbra_backuprestore...done.
88. com_zimbra_hsm...done.
89. com_zimbra_smime_cert_admin...done.
90. com_zimbra_securemail...done.
91. com_zimbra_click2call_mitel...done.
92. com_zimbra_smime...done.
93. com_zimbra_ucconfig...done.
94. com_zimbra_click2call_cisco...done.
95. com_zimbra_two_factor_auth...done.
96. com_zimbra_delegatedadmin...done.
97. com_zimbra_license...done.
98. com_zimbra_convertd...done.
99. com_zimbra_voiceprefs...done.
100. Finished installing network zimlets.
101. Restarting mailboxd...done.
102. Creating galsync account for default domain...done.
103. Setting up zimbra crontab...done.

Appuiyer “enter” pour finir

1. Moving /tmp/zmsetup.20180111-132052.log to /opt/zimbra/log


2. Configuration complete - press return to exit

Connexion et test
Ajout adresse reseau Du zimbra au carte wifi

90
connexion page Web du serveur zimbra

zimbra administration

91
Envoi les alerte au serveur mail

windows 2012 Server

Installation de Windows 2012 serveur


Installation de Windows 2012 serveur

92
Partition des disques durs

 Installation d’Active Directory

Tableau de bord de gestionnaire de serveur

Installation d’Active Directory

Le premier serveur à installer est le serveur AD (active directory), vue son importance au
niveau des services centralisés d’identification et d’authentification à un réseau d’ordinateurs

93
utilisant le système Windows. On va poursuivre les étapes d’installation de la fonctionnalité
AD DS selon la figure 38

Implémentation et administration d’un environnement virtualisé

Choix du service Active Directory

Lorsqu’on termine l’installation on remarque que le service est bien installé mais le domaine
n’est pas encore créé. Pour cela on va créer notre domaine. On choisit le nom de domaine et
on active le service DNS et un mot de passe sécurisé soit pour l’administration soit pour la
restauration des services AD.

Configuration post-déploiement

94
Configuration de déploiement

Vérification de l’adresse IP

95
Connexion Zimbra

Connexion au Snort

96
Connexion au Windows7

97
Résumé : (en Français)
Ce travail s’inscrit dans le cadre du projet de fin d’études en vue de l’obtention du diplôme
National d’Ingénieur en génie des télécommunications. L’objectif de ce projet était de choisir
une solution complète qui répondait aux besoins de SOTETEL en place un centre
d’opérations de sécurité (SOC). En effet, elle a adopté pour une approche centralisée qui
consiste à mettre en place un gestionnaire de sécurité central connu sous le nom de Security
Information and Event Management (SIEM) permettant ainsi de collecter, d’analyser les logs
des diverses équipements réseau afin d’identifier les menaces et les alertes et de les traiter
dans les plus brefs délais.
Mots-clés : OSSIM, SIEM, SOC, nagios, Supervision, centralisation des Log

Abstract : (en Anglais)


This work is part of the graduation project for the National Diploma of Engineering in
Telecommunications Engineering. The objective of this project was to choose a complete
solution that met the needs of SOTETEL in place a Security Operations Center (SOC).
Indeed, it has adopted a centralized approach that consists of setting up a central security
manager known as Security Information and Event Management (SIEM) to collect and
analyze the logs of various network equipment in order to identify threats and alerts and
process them as soon as possible

Keywords : OSSIM, SIEM, SOC, nagios, Supervision, log centralization

Nom et Adresse de l’établissement où a été réalisé le Projet de Fin d’Etude :

Nom : Société Tunisienne d'Entreprises de Télécommunications

98
Adresse : Rue des Entrepreneurs ZI Charguia II Ariana Tunis BP-640 1080.
Téléphone : +216 71 941 100
Email : contact@sotetel.tn

99

Vous aimerez peut-être aussi