Université Cadi Ayyad

Ecole Nationale des Sciences Appliquées de Safi

Département Informatique,
Réseaux & Télécommunications

Rapport de mini projet

Mettre en place d’une
solution de supervision
OSSIM

Réalisé par : Encadré par :

Aouina Hafid M.Chahbouni Othman

Houbabi Walid
Elaoufi Nouhaila

Soutenu le 1/06/2022 Devant le jury composé de :

Dr. CHABOUNI OTHMAN
Dr. DALLI

4 ème Année Génie Réseaux et Télécoms

Année Universitaire : 2021- 2022
 Remerciements

En premier lieu, nous adressons nos plus vifs remerciements au corps professoral et
administratif de l’école nationale des sciences appliquées de Safi, qui nous a garanti tout au long
de ces années une formation distinguée et un enseignement de haute qualité.

Nous tenons à remercier très chaleureusement Mr. Chahbouni Othman, notre encadrant
pédagogique et professeur à l’ENSA de Safi pour tous les efforts qu’il a fourni pour nous aider
sans la moindre hésitation, pour ses recommandations et surtout ses remarques pertinentes et
critiques constructives.

1
 Résumé

Ce document résume le travail effectué durant notre mini projet dont le but est de mettre en place
d’une solution de supervision OSSIM.

Vu l’importance et l’obligation de l’élaboration des systèmes de sécurité, chaque organisme doit

établir un système de sécurité informatique pour le protéger contre les attaques d’une manière
continuent et évolutive.

Nous avons choisi OSSIM comme solution sécurisée parce que cette technologie offre la
confidentialité nécessaire, la protection des différents éléments transmis, et aussi la simplicité
d’administration. Ce rapport met le point sur les différentes phases qui ont conduit au succès pour
traduire le besoin de supervision en ce qui concerne la sécurité réseau.

Mots clés : OSSIM, SIEM.

2
 Table des matières
Remerciements................................................................................................................................ 1
Résumé............................................................................................................................................ 2
Introduction Générale ..................................................................................................................... 7
Chapitre 1 : L’état de L’art ............................................................................................................................. 8
1. Introduction : .................................................................................................................... 8
2. Problématique................................................................................................................... 8
3. Cahier de charge ............................................................................................................... 9
4. La sécurité informatique : ................................................................................................ 9
4.1 Principe de la sécurité informatique : ..................................................................... 10
5. Les attaques informatiques : ........................................................................................... 10
6. Les attaques réseaux : ..................................................................................................... 10
6.1 Exemples de types d’attaques : ............................................................................... 11
7. Les préventions contre les attaques : .............................................................................. 12
8. Conclusion...................................................................................................................... 14
Chapitre 2 : Etude conceptuelle et fonctionnelle d’OSSIM ........................................................... 15
Introduction : ......................................................................................................................... 15
1. Proposition de topologie : .............................................................................................. 15
2. Composants Technologiques.......................................................................................... 15
2.1 Supervision du réseau informatique............................................................................ 15
2.2 Réseau local ................................................................................................................ 16
2.3 Translation d'adresses (NAT) ..................................................................................... 16
3. SIEM : ............................................................................................................................ 16
4. Fonctionnement des SIEM : ........................................................................................... 17
4.1 Mode de fonctionnement : .......................................................................................... 17
4.2 Comparaison entre les solutions SIEM ....................................................................... 19
5. OSSIM (Open-Source Security Information Management): ......................................... 20
5.1 Les composants d’ OSSIM ......................................................................................... 20
5.2 Les HIDS .................................................................................................................... 21
5.3 Les NIDS : .................................................................................................................. 22
6. Conclusion...................................................................................................................... 23
Chapitre 3 : Implémentation et Test ...................................................................................................... 24

3
 1. Introduction .................................................................................................................... 24
2. Installation et configuration ........................................................................................... 24
2.1 Environnement de travail : .......................................................................................... 24
3. Installation et configuration du serveur OSSIM: ........................................................... 25
3.1 Installation................................................................................................................... 25
3.2 Etapes de configuration d’Ossim : .............................................................................. 25
4. Installation et configuration des agents OSSEC : .......................................................... 26
4.1 Configuration sur Linux :............................................................................................ 26
4.2 Configuration sur Windows : ...................................................................................... 27
5. Installation et configuration des agents NAGIOS .......................................................... 28
5.1 Configuration sur Linux :............................................................................................ 28
5.2 Configuration sur Windows nsclient setup: ................................................................ 28
5.3 Test de connectivité de NAGIOS : ............................................................................. 29
6. Tests ............................................................................................................................... 29
6.1 Création de directives Brute Force attack SSH : ........................................................ 29
6.2 Réaliser une attaque ssh .............................................................................................. 30
Conclusion ............................................................................................................................. 33
Conclusion générale ...................................................................................................................... 34
Bibliographie ....................................................................................................................................................... 35

4
Liste des figures

Figure 1: Fonctionnement du firewall........................................................................................... 13

Figure 2:Architecture proposée..................................................................................................... 15
Figure 3 : Mode de fonctionnement .............................................................................................. 17
Figure 4 : Architecture de SIEM ................................................................................................... 19
Figure 5 : Fonctionnement de HIDS ............................................................................................. 22
Figure 6 : Fonctionnement de HIDS ............................................................................................. 22
Figure 7 : Architecture sur VMware ............................................................................................. 24
Figure 8 : Affectation d'adresse IP d'OSSIM ................................................................................ 25
Figure 9 : Ajout d’adresse de la passerelle ................................................................................... 25
Figure 10: Création d’un mot de passe ......................................................................................... 26
Figure 11 : Installation du paquet OSSEC .................................................................................... 26
Figure 12 : configuration de l’agent OSSEC ................................................................................ 26
Figure 13 : OSSEC........................................................................................................................ 27
Figure 14 : Désactivation de firewall ............................................................................................ 27
Figure 15 : Installation d’agent Nagios sur ubuntu ....................................................................... 28
Figure 16 : Installation d’agent Nagios sur Windows .................................................................. 28
Figure 17: Test de connectivité ..................................................................................................... 29
Figure 18 : les étapes de création une directive ............................................................................ 29
Figure 19 : tester de mot passe incorrect ...................................................................................... 30
Figure 20 : Affichage des alertes .................................................................................................. 30
Figure 21 : Vérification de service SSH ....................................................................................... 31
Figure 22 : Installation de service SSH......................................................................................... 31
Figure 23 : Le statut de service SSH ............................................................................................. 31
Figure 24 : L'outil Hydra .............................................................................................................. 32
Figure 25:Netflow ......................................................................................................................... 32
Figure 26:les alertes ...................................................................................................................... 33

5
Liste des tableaux

Tableau 1:Tableau comparative de SIEM 20

6
 Introduction Générale

La sécurité des systèmes d’information représente aujourd’hui une tâche de fond à prendre
en compte par toute organisme qui désire disposer d’un ensemble d’outils et de méthodes
permettant et assurant la gouvernance de son système d’information. Les principales solutions de
sécurité s’intègrent dans l’activité quotidienne informatique et permettent de surveiller, analyser,
piloter en agissant directement après avoir reçu des alertes informant de potentielles anomalies.
Ces alertes peuvent être remontées via des scripts, des mails, des fax, ou bien par l’envoi de simple
SMS d’alerte.

OSSIM est un outil de supervision de la sécurité réseau également très populaire. C’est une
solution pleinement fonctionnelle. Il a été créé en 2003 par AlienVault. Il est Open Source et
continue à être maintenu par AlienVault. AlienVault développe une version payante de ce
superviseur, c’est AlienVault USM (Unified Security Management) et elle coûte très chère.
OSSIM est basé sur la distribution Debian (une distribution Linux). Elle comporte beaucoup
d’outils : OSSEC, OpenVAS, OCS Inventory, Évaluation de risque (Risk Assessment), Nagios
Availability Monitor, Nmap, etc.

En détectant toutes les anomalies, on peut alerter par tout moyen à disposition et prévenir
ainsi les défaillances. Une automatisation des tâches permettra de relancer les serveurs et
d’intervenir à distance si nécessaire en toute sécurité, en relançant le service concerné. Dans ce
document, on va mettre le point sur l’analyse des problèmes réseaux informatique, puis sa
résolution, en expliquant l’installation et le fonctionnement de la solution Ossim, qui va nous
simplifier et nous assurer la sécurité d’interconnexion de réseaux d’une manière constante et
évolutive.

7
 Chapitre 1 : L’état de L’art

1. Introduction :
Dans ce chapitre nous allons présenter dans un premier temps la problématique, ensuite le
cahier de charge du projet, les objectifs ciblés pour la réalisation de ce projet, nous allons
s’intéresser aussi à définir le principe de la sécurité des systèmes d’informations, ainsi que les
types d’ attaques et menaces réseaux et web, et à représenter Les différentes préventions contre les
attaques.

2. Problématique
De nos jours, le système d’information (S.I.) est devenu vital pour la majorité des
entreprises. Garant de l’activité de l’entreprise pour certaines ou simple garant des données
confidentielles pour d’autres, une interruption de service du S.I. induirait des risques majeurs pour
l’entreprise

o Risque de perte financière

o Risque de perte d’image
o Risque d’impact juridique

Face à ces risques, les entreprises n’ont pas d’autre choix que d’investir dans une politique
de sécurité. Cependant le coût de ces investissements est loin d’être négligeable et les entreprises
sont souvent confrontées aux problèmes suivants :

o La multiplicité et la complexité croissante des technologies.

o L’émergence de nouvelles attaques (phishing, virus, etc…) sans cesses plus pertinentes
qui imposent aux entreprises une veille permanente
o La spécificité.

Aujourd’hui les sociétés souhaitent renforcer sa position en articulant bien ses offres autour
des problématiques de sensibilisation et de sécurisation des systèmes d’information de ses
clients. La sensibilisation. Il existe de multiples solutions pour agir à différents niveaux de la
sécurité du S.I.

✔ Solutions antivirales

8
 ✔ Solutions de type Firewall
✔ Solutions de détection d’intrusion

Ces solutions peuvent être soit matérielles, soit logicielles et peuvent intervenir sur un poste
de travail, sur un serveur de production, sur une architecture de production etc…

3. Cahier de charge
Après l’étude réalisée sur la solution OSSIM. Cette dernière semblant répondre aux
problématiques précédemment citées, permettant ainsi de gérer de manière centralisée les
remontées d’information de différents outils, de les stocker et les traiter afin de faciliter
l’administration et la gestion de la sécurité pour les administrateurs. Nous avons établi une liste
des tâches à réaliser.

Etude de la solution OSSIM

● Architecture de la solution
● Analyse des fonctionnalités
Réalisation d’un prototype

● Installation et configuration d’ossim

● Création des zones réseaux, LAN
● Configuration d’interconnexion
● Tests des fonctionnalités
4. La sécurité informatique :
Désormais l'utilisation d'internet est de plus en plus répandue au sein des entreprises qui
mettent leur système d'information à disposition de leurs partenaires, leurs fournisseurs ou leurs
clients ; ce qu’il les rend susceptible d’être menacé par des virus, des vers des spams etc. C’est
donc essentiel de protéger ces entreprises par la connaissance de leurs ressources afin de maîtriser
le contrôle d'accès et les droits des utilisateurs du système d'information. De plus, ce système
d’information, consiste à permettre aux personnels de se connecter à partir de n'importe quel
endroit, ces derniers sont configurés à transmettre une partie du système d'information hors de
l'infrastructure sécurisé de l'entreprise.

9
 4.1 Principe de la sécurité informatique :
Le système d'information est généralement défini par l'ensemble des données et des
ressources matérielles et logicielles de l'entreprise permettant de les stocker ou de les faire circuler.
La sécurité informatique, consiste à assurer les ressources matérielles ou logicielles d'une
organisation qui sont uniquement utilisées dans le cadre prévu. Assurant la sécurité informatique
pour garantir ces contraintes :

● Authentification : est la procédure pour un système informatique qui consiste, à vérifier

l'identité d'une entité (personne, ordinateur), afin d'autoriser l'accès de cette entité à 9 des
ressources (systèmes, réseaux, applications). Elle permet donc de valider l'authenticité
de l'entité en question.
● Confidentialité : les données (transmises ou stockées) ne sont accessibles en lecture que
par les parties autorisées.
● Intégrité : les données de communication ne sont modifiées que par les parties autorisées
(protection de l’information contre les modifications accidentelles, intentionnelles et non
autorisées.
● Disponibilité : La disponibilité est le fait de s’assurer que l’information soit toujours
disponible.
● Non-répudiation : Une entité ne peut nier son implication dans une action à laquelle il
a participé pour contrôler chaque action faites sur un réseau afin de savoir quelle entité
est à l’origine d’une action et/ou une défaillance sur le système d’information.
5. Les attaques informatiques :
Les attaques informatiques se basent essentiellement sur l'ingénierie sociale et
l'irresponsabilité qui se caractérise dans ces principes par : le contexte, l'audace, la chance et la
patience calculée. Cette recherche se concentre sur les types d’attaques réseaux et web qui causent
des impacts très servers sur la sécurité informatique.
6. Les attaques réseaux :
Il ne faut pas sous-estimer les attaques provenant de l'intérieur du réseau. Cela représente
un réel risque, qu'il soit appliqué par un utilisateur de l'entreprise ou un pirate. Le fait de se brancher
sur le réseau Ethernet de l'entreprise nous ouvre déjà beaucoup de possibilités d’incursions.
Aujourd'hui, le problème des entreprises, c'est qu'elles sont souvent inconscientes du danger

10
interne et n'appliquent pas ou peu de protection LAN. De ce fait, les attaques DOS et l'écoute sont
facilement réalisables sans aucune authentification.
6.1 Exemples de types d’attaques :
➢ Man-in-the-Middle attaque

Un type d’attaque dont le principe est de s’insérer dans les communications entre un
serveur et un client. Il en existe plusieurs :

✔ Le détournement de session : un attaquant détourne une session entre un client de

confiance et un serveur réseau. L’attaquant substitue l’adresse IP du client pendant que
le serveur continue la session, croyant que c’est toujours le client.
✔ L’usurpation d’IP : le pirate peut utiliser une adresse IP volée pour convaincre un
système qu’il est un client fiable et connu.
✔ Attaque par déni de service : est une attaque qui peut bloquer un serveur de fichiers,
rendre impossible l’accès à un serveur web ou empêcher la distribution de courriel dans
une entreprise.
✔ Le replay : une attaque replay se produit lorsqu’un attaquant intercepte et enregistre
d’anciens messages et tente plus tard de les envoyer, se faisant passer pour quelqu’un de
confiance.

➢ Attaque par mot de passe

Trouver un mot de passe est souvent bien plus facile qu’il n’y paraît, et les pirates s’en
donnent à cœur joie. Pour trouver un mot de passe, il suffit parfois simplement de fouiller un
bureau, en surveillant la connexion pour obtenir un mot de passe non chiffrer, en ayant recours
à l’ingénierie sociale ou en devinant :

▪ Par force brute : deviner un mot de passe en entrant ce que les gens entrent le plus
souvent : nom, prénom, passe-temps favori, dates de naissance des enfants, etc.
▪ Par dictionnaire : cela consiste à copier un fichier chiffré contenant des mots de passe
courants et à comparer les résultats.

➢ Attaque de site web :

11
 • Injection SQL : C’est un problème affectant les sites web exploitant des bases de
données le pirate exécute une requête SQL sur la base de données via les données
entrantes du client au serveur. Des commandes SQL sont insérées dans la saisie du
plan de données. Ensuite, le pirate peut insérer, mettre à jour ou supprimer les
données comme bon lui semble, et même envoyer des commandes au système
d’exploitation.
• Les cross-site scripting (XSS) : Les pirates s’adonnant à cette pratique injectent du
contenu dans une page qui corrompt le navigateur de la cible. Il peut ainsi modifier la
page web selon ses envies, voler des informations sur les cookies, récupérer des
données sensibles ou y injecter un code malveillant dans le but, par exemple, de
contrôler l’ordinateur de sa victime à distance.
➢ Attaque de phishing

C’est cette fameuse fenêtre qui surgit en vous disant que vous avez gagné un million
d’euros, ou cet étrange email que vous recevez de votre banque, vous demandant de saisir votre
identifiant… cette technique combine ingénierie sociale et stratagème technique vous incitant à
télécharger par vous-même des malwares qui voleront vos informations personnelles et
confidentielles comme vos numéros de carte de crédit.

7. Les préventions contre les attaques :

Dans les systèmes d’information on trouve toujours des vulnérabilités et des failles fatales,
pour assurer un maximum de sécurité et prévenir contre la totalité des attaques nous devons
implémenter dans un l’architecture réseaux des équipements et des logiciels de sécurité
informatique fiables et efficaces. Par conséquent le reste de notre recherche se focalise sur les
méthodes et les équipements de préventions contre les attaques.

➢ Les Antivirus:
Un antivirus est un logiciel informatique destiné à identifier et à effacer des logiciels
malveillants (malwares en anglais), également appelés virus, Chevaux de Troie ou vers selon les
formes.

• Fonctionnement des Antivirus :

12
 L'antivirus analyse les fichiers entrants (fichiers téléchargés ou courriers électroniques) et,
périodiquement, la mémoire vive de l'ordinateur et les périphériques de stockage comme les
disques durs, internes ou externes, les clés USB et les cartes à mémoire Flash. La détection d'un
logiciel malveillant peut reposer sur trois méthodes :

• Reconnaissance d'un code déjà connu (appelé signature) et mémorisé dans une base de données.

• Analyse du comportement d'un logiciel (méthode heuristique).

• Reconnaissance d'un code typique d'un virus.

➢ Firewalls (pare-feu) :
Chaque ordinateur connecté à n'importe quel réseau informatique est susceptible d'être
victime d'une attaque d'un pirate informatique. La méthodologie généralement employée par le
pirate informatique consiste à inspecter le réseau (en envoyant des paquets de données de manière
aléatoire) à la recherche d'une machine connectée, puis à chercher une faille de sécurité afin de
l'exploiter et d'accéder aux données s'y trouvant. Cependant, il est nécessaire, pour les réseaux
d'entreprises possédant une connexion de type câble ou ADSL, de se protéger des intrusions
réseaux en installant un dispositif de protection comme le pare-feu.

Un pare-feu ou « firewall » est un système permettant de protéger un ordinateur ou un

réseau d'ordinateurs des intrusions provenant d'un réseau tiers. Le pare-feu est un système
permettant de filtrer les paquets de données échangés avec le réseau, il s'agit ainsi d'une passerelle.
Filtrante comportant au minimum deux interfaces réseau respectivement une interface pour le
réseau à protéger (réseau interne) et une interface pour le réseau externe.

Figure 1: Fonctionnement du firewall

• Fonctionnement des systèmes pare-feu :

13
Un système pare-feu contient un ensemble de règles prédéfinies permettant :

• D'autoriser la connexion (allow) ;

• De bloquer la connexion (deny) ;

• De rejeter la demande de connexion sans avertir l'émetteur (drop).

• L'ensemble de ces règles permet de mettre en œuvre une méthode de filtrage dépendant de la
politique de sécurité adoptée par l'entité. On distingue habituellement deux types de politiques de
sécurité permettant :

• Soit d'autoriser uniquement les communications ayant été explicitement autorisées

• Soit d'empêcher les échanges qui ont été explicitement interdits.

• La première méthode est sans nul doute la plus sûre, mais elle impose toutefois une définition
précise et contraignante des besoins en communication.

8. Conclusion

Dans ce chapitre, nous avons défini en premier lieu la sécurité informatique et ses principes,
ensuite on a cité quelques types d’attaques réseaux ainsi que certaines préventions contre ces
derniers. Dans le chapitre suivant on va différencier entre les solutions SIEM et choisir celle la
plus pertinente et efficace pour notre mini projet.

14
 Chapitre 2 : Etude conceptuelle et fonctionnelle d’OSSIM

Introduction :
Durant ce chapitre, nous donnerons quelques généralités sur les différentes notions liées
aux réseaux informatiques dont la supervision après il sera question de mettre en œuvre la solution
proposée qui répond aux problèmes posés par les limites de l’infrastructure actuelle. Pour y arriver
une architecture répondant aux problématiques sera proposée ainsi que les technologies et outils à
utiliser pour son implémentation
1. Proposition de topologie :
Nous allons créer un réseau qui contient une machine windows 7, un serveur ubuntu, kali
pour effectuer l’attaque sur le réseau, et finalement un serveur ossim qui va nous permettre de
superviser le réseau par la collection des agents.

Figure 2:Architecture proposée

2. Composants Technologiques
2.1 Supervision du réseau informatique
En informatique, la supervision est une technique de suivi, qui permet de surveiller,
analyser, rapporter et d'alerter les fonctionnements anormaux des systèmes informatiques. En
outre, la supervision informatique consiste à indiquer et/ou commander l'état d'un serveur, d'un
équipement réseau ou d'un service software pour anticiper les plantages ou diagnostiquer
rapidement une panne.

15
 2.2 Réseau local
Un réseau local, souvent désigné par l’acronyme anglais LAN (Local Area Network), est
l’interconnexion d’équipements informatiques situés dans une zone géographique restreinte
(appartement, maison, boutique, locaux d’entreprise, etc.), afin qu’ils puissent communiquer entre
eux et éventuellement partager une connexion internet par le biais d’un routeur.
✓ Caractéristiques d'un réseau local
Un réseau local est caractérisé par :
• La courte distance entre les nœuds (< 10 km)
• Haut Débit (Une vitesse de transmission élevée : 10 Mbit/s à 10 Gbit/s)
• Un faible taux d’erreur
• La nature privée du réseau
• Des équipements diversifiés : connectiques, média, ordinateurs
• La Topologie logique de connexion : bus, étoile, …etc.
2.3 Translation d'adresses (NAT)
Network Adresse Translation permet de correspondre des adresses IP à d'autres adresses
IP. Les correspondances entre les adresses privées internes et publiques externes sont stockées
dans une table sous forme de paires. Lorsqu'une trame est émise depuis une adresse interne vers
l'extérieur, elle traverse le routeur NAT qui remplace, dans l'en-tête du paquet TCP/IP, l'adresse
de l'émetteur par l'adresse IP externe. NAT Réflexion est possible si les services sont accessibles
par IP publique à partir des réseaux internes.
3. SIEM :
Les SIEM sont des outils de supervision de la sécurité, ils utilisent les informations en
provenance de divers équipements et logiciels de sécurité. Les SIEM combinent deux éléments :

• Les SIM (Security Information Management) : Outils de supervision de la sécurité qui se

concentrent principalement sur l’analyse d’informations de sécurité passées, en vue
d’améliorer l’efficacité pour la gestion à long terme du système d’information.
• Les SEM (Security Event Management) : Outils de supervision de la sécurité s’orientant
sur la collecte de données dans le but de fournir une grande quantité d’informations
pouvant être traitées immédiatement.

16
La fusion des SIM et des SEM dans un processus intégré de contrôle de la sécurité avec des
informations pertinentes recueillies dans l’infrastructure du système d’information est résumée
sous le terme de SIEM.

4. Fonctionnement des SIEM :

Le SIEM est pratiquement le logiciel le plus important dans notre projet il nous faut d’abord
une étude comparative pour choisir un bon logiciel et l’implémenter ensuite dans notre
architecture.

4.1 Mode de fonctionnement :

Figure 3 : Mode de fonctionnement

Les SIEM utilisent des étapes de récupération, analyse et gestion de l’information, ce sont
la collecte, la normalisation, l’agrégation, la corrélation, le reporting et la réponse.

La collecte : Le principe de l’étape de collecte est de fournir au SIEM des données à traiter.
Ces données peuvent être de nature diverse en fonction de l’équipement ou du logiciel, mais
aussi être envoyées de manières tout à fait différentes. On distingue deux modes de
fonctionnement :
• Mode actif : Le SIEM possède un ou plusieurs agents déployés sur les équipements à
superviser. Ces agents ont pour fonction de récupérer les informations des équipements
et logiciels de sécurité et de les envoyer au SIEM. Un élément de sécurité qui a été conçu
nativement pour être un agent du SIEM est appelé une sonde.
• Mode passif : Le SIEM est en écoute directe sur les équipements à superviser. Pour cette
méthode, c’est l’équipement ou le logiciel qui envoie des informations sans intermédiaire
au SIEM.
La normalisation : Les informations collectées viennent d’équipements et logiciels
hétérogènes ayant pour la plupart leurs propres moyens de formater les données. Cette

17
 étape permet d’uniformiser les informations selon un format unique pour faciliter le
traitement par le SIEM. Des formats sont mis au point par IETF pour structurer les
informations de sécurité et pouvoir les échanger et les traiter plus facilement.
L’agrégation : L’agrégation est le premier traitement des événements de sécurité. Il
consiste en un regroupement d’évènements de sécurité selon certains critères. Ces critères
sont généralement définis via des règles appelées règles d’agrégation et s’appliquent à des
évènements ayant des similarités.
La corrélation : La corrélation correspond à l’analyse d’évènements selon certains
critères. Ces critère s sont généralement définis via des règles appelées règles de
corrélation. Le but de cette étape est d’établir des relations entre événements, pour ensuite
pouvoir créer des alertes de corrélations, des incidents de sécurité, des rapports d’activité.
La corrélation se différencie sur plusieurs points :

→ Auto-apprentissage et connaissances rapportées : Pour pouvoir fonctionner, les moteurs de

corrélation ont besoin d’informations sur les systèmes et réseaux de l’infrastructure. Ces
informations peuvent être collectées automatiquement et/ou saisies manuellement par un
opérateur.

→ Temps réel et données retardées : Dans certains cas, les événements bruts sont forgés et envoyés
directement pour être corrélés en temps réel. Dans d’autres cas, les événements sont d’abord
stockés, et envoyés après un premier traitement (ex : agrégation), leur envoi peut être alors
conditionné.

→ Corrélation active et passive : La Corrélation active a la possibilité de compléter les évènements

reçus en recueillant des informations supplémentaires pour prendre des décisions. La corrélation
passive est une corrélation qui ne peut pas interagir avec son environnement, elle reçoit des
évènements et prend des décisions.

Gestion des alertes : Il y a plusieurs façons pour un SIEM de gérer des alertes, plusieurs
d’entre elles peuvent être utilisés simultanément :

→ Le « reporting » : Les rapports générés contiennent à la fois une synthèse des alertes et une vue
d’ensemble de la sécurité du système à un instant T (statistiques, intrusions, vulnérabilités
exploitées, classification des attaques).

18
→ Le stockage : Les alertes, incidents et rapports peuvent être stockés dans des bases de données
pour pouvoir être analysés ultérieurement par des moteurs de corrélation.

→ La réponse : Les mécanismes de réponse aux alertes doivent permettre de stopper une attaque
ou de limiter ses effets de façon automatique. La réponse à une intrusion dépend de la politique de
sécurité. Voici un schéma explicatif du mode de fonctionnement des SIEM.

Figure 4 : Architecture de SIEM

4.2 Comparaison entre les solutions SIEM

✓ Cas de Cyberoam iView : est une solution de log‐reporting open source qui fournit aux
organisations de la visibilité sur leurs réseaux à travers de nombreux dispositifs pour des
niveaux élevés de sécurité, de confidentialité des données tout en satisfaisant les
obligations de conformité règlementaire.
✓ Cas de Splunk : Splunk est une solution logicielle pouvant s’installer sur n’importe quel
OS et propose une approche originale à la collecte, l’analyse et la corrélation de logs. En
effet Splunk permet l’indexation universelle des logs qu’ils soient issus des applications,
des logiciels de sécurité, et des serveurs.
✓ Cas d’Alienvault OSSIM : OSSIM est un projet open source de « management de la
sécurité de l’information ». Cette solution s’appuie sur une gestion des logs basées sur la
corrélation de ceux-ci ainsi qu’une notion d’évaluation des risques. Cette solution est née

19
 du constat selon lequel il est difficile encore à ce jour d’obtenir un instantané de son réseau
et des informations qui y transitent avec un niveau d’abstraction suffisant pour permettre
une surveillance claire et efficace. Le but d’OSSIM est donc de combler ce vide.

Tableau 1:Tableau comparative de SIEM

Remarque :
On constate après avoir vu le tableau ci-dessus qu’OSSIM est le meilleur logiciel libre,
encore plus, il est aussi un conçurent des logiciels propriétaires par excellence. Il est donc le
meilleur choix pour pouvoir gérer les différentes parties du réseau et faire une bonne gestion des
logiciels mentionné auparavant.

5. OSSIM (Open-Source Security Information Management):

OSSIM (Open Source Security Information Management) est un
système open source de gestion des informations et des événements de
sécurité , intégrant une sélection d'outils conçus pour aider les
administrateurs réseau dans la sécurité informatique , la détection et la
prévention des intrusions .
5.1 Les composants d’ OSSIM
Il comprend les composants logiciels suivants :

• PRADS : utilisé pour identifier les hôtes et les services en surveillant passivement le trafic
réseau.

• Snort : utilisé comme système de détection d'intrusion (IDS), et également utilisé pour la
corrélation croisée avec OpenVAS.

• Risk Assessment : La fonctionnalité Risk Assessment ou évaluation du risque en français,

permet d’évaluer le risque lié à un événement. Cette évaluation se base la priorité affecter
à l’hôte concerné, la menace détectée, et la probabilité d’occurrence de l’événement.

20
 • Nagios : utilisé pour surveiller les hôtes et les ports spécifiés pour la disponibilité des actifs
ainsi que la surveillance complète du système local.

• OpenVas : est utilisé pour l'évaluation de la vulnérabilité et associé aux actifs.

• OSSEC : Nous avons décrit OSSEC dans une section précédente. Comme Security Onion,
OSSIM déploie OSSEC comme HIDS à cause de ses qualités et son architecture
agent/serveur.

⚫ Remarque

OSSIM comprend également des outils auto-développés, le plus important étant un moteur
de corrélation générique avec prise en charge des directives logiques et intégration des journaux
avec les plugins.

5.2 Les HIDS

Il inclut dans l’Appliance USM offre les fonctionnalités suivantes :

• Surveillance et collecte des journaux.

• Détection des rootkits.

• Surveillance de l'intégrité des fichiers.

• Surveillance de l'intégrité du registre Windows.

• Réponse active pouvant exécuter des applications sur un serveur en réponse à certains
déclencheurs, tels que des alertes ou des niveaux d'alerte spécifiques

Il utilise une architecture serveur/agent, où l'agent HIDS réside sur les hôtes que vous
souhaitez surveiller ; et le serveur HIDS réside sur le USM Appliance Sensor. Le capteur
d’Appliance USM reçoit les événements des agents HIDS, les normalise et les envoie au serveur
d’Appliance USM pour analyse, corrélation et stockage. AlienVault HIDS offre également une
prise en charge limitée du fonctionnement sans agent sous Linux pour la récupération des journaux
uniquement.

21
Vous devez déployer les agents HIDS sur les systèmes clients. L'agent HIDS s'exécute en tant que
service continu en mémoire, interagissant avec le capteur d’appareil USM via le port UDP 1514.
Le capteur d’appareil USM génère et distribue une clé pré-partagée aux agents HIDS, qui utilisent
ensuite la clé pour authentifier la communication entre les agents HIDS et l’USM
Appliance Sensor.

Figure
Figure 56 :: Fonctionnement
Fonctionnement de
de HIDS
HIDS

5.3 Les NIDS :

Détection des intrusions est le processus de surveillance des événements se trouvant dans
un système des ordinateurs ou du réseau et les analysant pour détecter les signes des intrusions,
défini comme des tentatives pour compromettre la confidentialité, intégrité, disponibilité ou éviter
des mécanismes de sécurité de l’ordinateur ou du réseau. L’intrusion est causée par les attaques
accédant au système via l’Internet, autorisée l’utilisateur du système qui essayer à gagner les
privilèges supplémentaires pour lesquels ils n’ont pas autorisés, et autorisé les utilisateurs qui
abusent les privilèges donnés. Le système de détection des intrusions est un logiciel ou un matériel
qui automatise des surveillances et les processus analysés Nous avons plusieurs types de l’IDS
disponibles de nos jours qui sont caractérisés par des surveillances différentes et des approches
d’analyse. Le rôle essentiel d'un IDS réseau est l'analyse et l'interprétation des paquets circulant
sur ce réseau.

L’implantation d’un NIDS sur un réseau se fait de la façon suivante : des capteurs sont
placés aux endroits stratégiques du réseau et génèrent des alertes s’ils détectent une attaque. Ces
alertes sont envoyées à une console sécurisée, qui les analyse et les traite éventuellement. Cette

22
console est généralement située sur un réseau isolé, qui relie uniquement les capteurs et la console.
On mentionne comme suit les avantages et les limites des NIDS :

• Les avantages : Le NIDS peut surveiller un grand réseau. Le déploiement de NIDS a peu
d'impact sur un réseau existant. Les NIDS sont habituellement des dispositifs passifs qui
écoutent sur un fil de réseau sans interférer l'opération normale d'un réseau. Ainsi, il est
facile de monter en rattrapage un réseau pour inclure un IDS avec l'effort minimal.
• Les limites : Il est difficile à traiter tous les paquets circulant sur un grand réseau. De plus
il ne peut pas reconnaître des attaques pendant le temps de haut trafic. Quelques
fournisseurs essayent à implémenter le IDS dur le matériel pour qu’il marche plus
rapidement.

6. Conclusion
Dans ce chapitre, nous avons présenté la solution OSSIM, nous avons proposé une
architecture qui répond aux faiblesses constatées dans l’infrastructure actuelle réseau, c’est une
étape qui nous permet de mieux connaître OSSIM aussi de bien étudier l’environnement de travail,
les outils de traitement et les exigences d’organisme. Le chapitre suivant a pour objectif
d’implémenter la solution proposée ultérieurement et la tester pour enfin présenter les résultats
nécessaires.

23
 Chapitre 3 : Implémentation et Test

1. Introduction
Ce chapitre est consacré à l’implémentation et au test de la solution choisie lors du
précédent chapitre. Pour cela, une architecture répondant aux exigences prédéfinies sera mise en
place. Pour évaluer cette architecture, l’installation doit être faite dans un environnement virtuel
afin d’assurer la portabilité et l’indépendance de la plate-forme physique.

2. Installation et configuration
2.1 Environnement de travail :
VMware Workstation Pro est un hyperviseur hébergé qui s'exécute sur les versions x64 des
systèmes d'exploitation Windows et Linux, il permet aux utilisateurs de configurer des machines
virtuelles (VM) sur une seule machine physique et de les utiliser simultanément avec la machine
hôte. Chaque machine virtuelle peut exécuter son propre système d’exploitation, y compris les
versions de Microsoft Windows, Linux, BSD et MS-DOS.

2.2 Architecture sous VMware

Pour réaliser l’architecture d’interconnexion de réseaux distants virtuellement, on a créé 5

machines virtuelles sous VMware : OSSIM server, un système d’exploitation Ubuntu, un système
d’exploitation Kali et un système d’exploitation Windows.

Figure 7 : Architecture sur VMware

24
 3. Installation et configuration du serveur OSSIM:
3.1 Installation

Afin d’installer AlienVault OSSIM, il faut respecter la configuration minimale requise pour
chaque machine.

• 2 cœurs de processeur

• 4-8 Go de RAM

• Disque dur de 50 Go

• Cartes réseau compatibles E1000

3.2 Etapes de configuration d’Ossim :

Etape 1 : Affecter l’adresse IP 10.10.1.10/24 à notre serveur OSSIM.

Figure 8 : Affectation d'adresse IP d'OSSIM

Etape 2 : Affecter l’adresse IP 10.10.1.1/24 à notre passerelle qui permet de relier deux réseaux
informatiques de types différents.

Figure 9 : Ajout d’adresse de la passerelle

Etape 3 : Créer un mot de passe « root » pour se connecter à notre serveur OSSIM.

25
 Figure 10: Création d’un mot de passe

4. Installation et configuration des agents OSSEC :

Afin de connecter une machine à notre serveur OSSIM il faut tout d’abord installer des
agents sur cette machine, pour rendre en compte à un serveur OSSEC central via le protocole de
message crypté OSSEC.

4.1 Configuration sur Linux :

• Etape 1 : Installation de l’agent OSSEC à l’aide de la commande :
$ sudo apt-get install ossec-hids-agent.

Figure 11 : Installation du paquet OSSEC

Figure 12 : configuration de l’agent OSSEC

• Etape 2 : L’ajout d’adresse IP du serveur OSSIM à l’agent OSSEC pour garantir l’envoie des
logs.

26
• Etape 3 : Une fois l’agent est installé, on importe sa clé à partir du serveur et l’integrer dans
la configuration d’OSSEC à l’aide de la commande : # /var/ossec/bin/manage_agents
• Etape 4 : Démarrage et activation de l'agent OSSEC pour qu'il démarre au redémarrage du
système.
• # systemctl start ossec
• Etape 5 : Vérification de la communication de l'agent avec le serveur à l’aide de la commande
• # tail /var/ossec/logs/ossec.log

4.2 Configuration sur Windows :

✓ Pour activer les agents OSSEC sur Windows, nous devons activer en premier lieu OSSEC
Agent Manager.

Figure 13 : OSSEC

✓ En deuxième lieu on désactive le pare-feu comme le montre la figure au-dessous.

Figure 14 : Désactivation de firewall

27
5. Installation et configuration des agents NAGIOS
5.1 Configuration sur Linux :
• Etape 1 : Installation de l’agent NAGIOS client (NRPE) a l’aide de la commande $
sudo apt install nagios-nrpe-server nagios-plugins.

Figure 15 : Installation d’agent Nagios sur ubuntu

• Etape 2 : L’ajout d’adresse IP du serveur

OSSIM à l’agent NAGIOS pour garantir
l’envoie des logs

5.2 Configuration sur Windows nsclient setup:

Figure 16 : Installation d’agent Nagios sur Windows

28
 5.3 Test de connectivité de NAGIOS :
Une fois les agents installés et configurés, il faut tester la connectivité entre NAGIOS et le
serveur OSSIM, en vérifiant les adresses IP des machines Windows et Linux.

Figure 17: Test de connectivité

6. Tests
6.1 Création de directives Brute Force attack SSH :
À ce niveau on va mettre en place des règles(directives), qui permettent d’afficher une
alerte lorsqu’un utilisateur tente de se connecter via ssh.

• Chemin suivi :

Configuration ---> threat intelligence ---> directive → new directive

Figure 18 : les étapes de création une directive

29
 Afin de s’assurer des directives qu’on vient de configurer, nous allons effectuer un test en
se connectant à SSH en utilisant un mot de passe incorrecte.

Figure 19 : tester de mot passe incorrect

Résultats : Affichage d’alerte.

Figure 20 : Affichage des alertes

6.2 Réaliser une attaque SSH

Maintenant on va essayer une attaque SSH à partir d’une machine kali vers une machine Ubuntu.

➢ On vérifie que le service SSH ne se trouve pas sur Ubunto.

30
 Figure 21 : Vérification de service SSH

➢ On installe le service ssh sur ubunto à l’aide de la commande :

$sudo apt install openssh-server

Figure 22 : Installation de service SSH

➢ On s’assure que SSH est activé

Figure 23 : Le statut de service SSH

31
 ➢ On essaie d’attaquer le machine Ubunto à partir de la machine kali à l’aide de l’outil Hydra.

Figure 24 : L'outil Hydra

Résultats :

OSSIM nous annonce d’une part une alarme sous forme d’un cercle bleu accompagné par la date
d’action ou d’alerte, et d’une autre part le NetFlow qui permet de capturer le trafic réseau en direct.

Figure 25:Netflow

32
 Figure 26:les alertes

Remarque :

Tant que le taux de risque est devenu élevé, la couleur de la rubrique des alertes est devenue rouge.

Conclusion
Dans ce chapitre nous avons détaillé toutes les étapes de la partie installation et configuration de
la solution choisie, on a aussi défini une architecture test qui nous a permis d’évaluer l’efficacité
de la solution proposée par rapport aux problématiques posées, et par la même occasion atteindre
les objectifs qui nous nous étions fixés au tout début de notre projet.

33
 Conclusion générale

Cette période de recherche nous a permis d’abord de faire une étude détaillée du réseau
informatique et de relever les différentes insuffisances présentées en termes de sécurité. Ensuite,
nous avons abordé différentes solutions permettant de faire face à ces insuffisances, pour cela,
nous avons procédé à une étude d’efficacité de chacune de ces différentes solutions en vue de
choisir la plus adéquate permettant de rendre le réseau plus sécurisé.

OSSIM est bonne solution pour la sécurisation des systèmes d’information d’une entreprise
car : L’analyse des données des logs de l’entreprise peut aider à détecter les cybermenaces
avancées. Ces logs fournissent des données sur tout ce qui se passe dans un réseau, les postes de
travail, les serveurs et les applications, sur site dans le cloud. En corrélant des données de logs
internes avec les sources des applications fournissant des renseignements sur les menaces.

Pour finir on retiendra que la sécurité doit être dynamique et remise en question de manière
permanente afin de suivre l'évolution des systèmes, de l'environnement et des risques.

34
 Bibliographie

Protection - Introduction à la sécurité des réseaux - Comment Ça Marche (commentcamarche.net)

https://www.philippe-martinet.info/ossim-project/Rapport-OSSIM-Philippe-Martinet.pdf

https://blog.netwrix.fr/2018/07/04/les-10-types-de-cyberattaques-les-plus-courants/

https://cybersecurity.att.com/documentation/usm-appliance/initial-setup/configuring-usm-
logger.htm

https://cloudinfrastructureservices.co.uk/radius-server-linux

Les sources pour les figures

Figure1 :https://img19.ccm2.net/QbnVN3NgemxcZmOXToKkTs3OJog=/305x/c7b1ec1b77d541
b59ef86d46824bd100/ccm-encyclopedia/protect-images-parefeu.gif

Figure3 : https://pdfcoffee.com/siem-180906233759-pdf-free.html

Figure 4 : https://pdfcoffee.com/siem-180906233759-pdf-free.html

35
36