Académique Documents
Professionnel Documents
Culture Documents
Houbabi Walid
Elaoufi Nouhaila
En premier lieu, nous adressons nos plus vifs remerciements au corps professoral et
administratif de l’école nationale des sciences appliquées de Safi, qui nous a garanti tout au long
de ces années une formation distinguée et un enseignement de haute qualité.
Nous tenons à remercier très chaleureusement Mr. Chahbouni Othman, notre encadrant
pédagogique et professeur à l’ENSA de Safi pour tous les efforts qu’il a fourni pour nous aider
sans la moindre hésitation, pour ses recommandations et surtout ses remarques pertinentes et
critiques constructives.
1
Résumé
Ce document résume le travail effectué durant notre mini projet dont le but est de mettre en place
d’une solution de supervision OSSIM.
Nous avons choisi OSSIM comme solution sécurisée parce que cette technologie offre la
confidentialité nécessaire, la protection des différents éléments transmis, et aussi la simplicité
d’administration. Ce rapport met le point sur les différentes phases qui ont conduit au succès pour
traduire le besoin de supervision en ce qui concerne la sécurité réseau.
2
Table des matières
Remerciements................................................................................................................................ 1
Résumé............................................................................................................................................ 2
Introduction Générale ..................................................................................................................... 7
Chapitre 1 : L’état de L’art ............................................................................................................................. 8
1. Introduction : .................................................................................................................... 8
2. Problématique................................................................................................................... 8
3. Cahier de charge ............................................................................................................... 9
4. La sécurité informatique : ................................................................................................ 9
4.1 Principe de la sécurité informatique : ..................................................................... 10
5. Les attaques informatiques : ........................................................................................... 10
6. Les attaques réseaux : ..................................................................................................... 10
6.1 Exemples de types d’attaques : ............................................................................... 11
7. Les préventions contre les attaques : .............................................................................. 12
8. Conclusion...................................................................................................................... 14
Chapitre 2 : Etude conceptuelle et fonctionnelle d’OSSIM ........................................................... 15
Introduction : ......................................................................................................................... 15
1. Proposition de topologie : .............................................................................................. 15
2. Composants Technologiques.......................................................................................... 15
2.1 Supervision du réseau informatique............................................................................ 15
2.2 Réseau local ................................................................................................................ 16
2.3 Translation d'adresses (NAT) ..................................................................................... 16
3. SIEM : ............................................................................................................................ 16
4. Fonctionnement des SIEM : ........................................................................................... 17
4.1 Mode de fonctionnement : .......................................................................................... 17
4.2 Comparaison entre les solutions SIEM ....................................................................... 19
5. OSSIM (Open-Source Security Information Management): ......................................... 20
5.1 Les composants d’ OSSIM ......................................................................................... 20
5.2 Les HIDS .................................................................................................................... 21
5.3 Les NIDS : .................................................................................................................. 22
6. Conclusion...................................................................................................................... 23
Chapitre 3 : Implémentation et Test ...................................................................................................... 24
3
1. Introduction .................................................................................................................... 24
2. Installation et configuration ........................................................................................... 24
2.1 Environnement de travail : .......................................................................................... 24
3. Installation et configuration du serveur OSSIM: ........................................................... 25
3.1 Installation................................................................................................................... 25
3.2 Etapes de configuration d’Ossim : .............................................................................. 25
4. Installation et configuration des agents OSSEC : .......................................................... 26
4.1 Configuration sur Linux :............................................................................................ 26
4.2 Configuration sur Windows : ...................................................................................... 27
5. Installation et configuration des agents NAGIOS .......................................................... 28
5.1 Configuration sur Linux :............................................................................................ 28
5.2 Configuration sur Windows nsclient setup: ................................................................ 28
5.3 Test de connectivité de NAGIOS : ............................................................................. 29
6. Tests ............................................................................................................................... 29
6.1 Création de directives Brute Force attack SSH : ........................................................ 29
6.2 Réaliser une attaque ssh .............................................................................................. 30
Conclusion ............................................................................................................................. 33
Conclusion générale ...................................................................................................................... 34
Bibliographie ....................................................................................................................................................... 35
4
Liste des figures
5
Liste des tableaux
6
Introduction Générale
La sécurité des systèmes d’information représente aujourd’hui une tâche de fond à prendre
en compte par toute organisme qui désire disposer d’un ensemble d’outils et de méthodes
permettant et assurant la gouvernance de son système d’information. Les principales solutions de
sécurité s’intègrent dans l’activité quotidienne informatique et permettent de surveiller, analyser,
piloter en agissant directement après avoir reçu des alertes informant de potentielles anomalies.
Ces alertes peuvent être remontées via des scripts, des mails, des fax, ou bien par l’envoi de simple
SMS d’alerte.
OSSIM est un outil de supervision de la sécurité réseau également très populaire. C’est une
solution pleinement fonctionnelle. Il a été créé en 2003 par AlienVault. Il est Open Source et
continue à être maintenu par AlienVault. AlienVault développe une version payante de ce
superviseur, c’est AlienVault USM (Unified Security Management) et elle coûte très chère.
OSSIM est basé sur la distribution Debian (une distribution Linux). Elle comporte beaucoup
d’outils : OSSEC, OpenVAS, OCS Inventory, Évaluation de risque (Risk Assessment), Nagios
Availability Monitor, Nmap, etc.
En détectant toutes les anomalies, on peut alerter par tout moyen à disposition et prévenir
ainsi les défaillances. Une automatisation des tâches permettra de relancer les serveurs et
d’intervenir à distance si nécessaire en toute sécurité, en relançant le service concerné. Dans ce
document, on va mettre le point sur l’analyse des problèmes réseaux informatique, puis sa
résolution, en expliquant l’installation et le fonctionnement de la solution Ossim, qui va nous
simplifier et nous assurer la sécurité d’interconnexion de réseaux d’une manière constante et
évolutive.
7
Chapitre 1 : L’état de L’art
1. Introduction :
Dans ce chapitre nous allons présenter dans un premier temps la problématique, ensuite le
cahier de charge du projet, les objectifs ciblés pour la réalisation de ce projet, nous allons
s’intéresser aussi à définir le principe de la sécurité des systèmes d’informations, ainsi que les
types d’ attaques et menaces réseaux et web, et à représenter Les différentes préventions contre les
attaques.
2. Problématique
De nos jours, le système d’information (S.I.) est devenu vital pour la majorité des
entreprises. Garant de l’activité de l’entreprise pour certaines ou simple garant des données
confidentielles pour d’autres, une interruption de service du S.I. induirait des risques majeurs pour
l’entreprise
Face à ces risques, les entreprises n’ont pas d’autre choix que d’investir dans une politique
de sécurité. Cependant le coût de ces investissements est loin d’être négligeable et les entreprises
sont souvent confrontées aux problèmes suivants :
Aujourd’hui les sociétés souhaitent renforcer sa position en articulant bien ses offres autour
des problématiques de sensibilisation et de sécurisation des systèmes d’information de ses
clients. La sensibilisation. Il existe de multiples solutions pour agir à différents niveaux de la
sécurité du S.I.
✔ Solutions antivirales
8
✔ Solutions de type Firewall
✔ Solutions de détection d’intrusion
Ces solutions peuvent être soit matérielles, soit logicielles et peuvent intervenir sur un poste
de travail, sur un serveur de production, sur une architecture de production etc…
3. Cahier de charge
Après l’étude réalisée sur la solution OSSIM. Cette dernière semblant répondre aux
problématiques précédemment citées, permettant ainsi de gérer de manière centralisée les
remontées d’information de différents outils, de les stocker et les traiter afin de faciliter
l’administration et la gestion de la sécurité pour les administrateurs. Nous avons établi une liste
des tâches à réaliser.
● Architecture de la solution
● Analyse des fonctionnalités
Réalisation d’un prototype
9
4.1 Principe de la sécurité informatique :
Le système d'information est généralement défini par l'ensemble des données et des
ressources matérielles et logicielles de l'entreprise permettant de les stocker ou de les faire circuler.
La sécurité informatique, consiste à assurer les ressources matérielles ou logicielles d'une
organisation qui sont uniquement utilisées dans le cadre prévu. Assurant la sécurité informatique
pour garantir ces contraintes :
10
interne et n'appliquent pas ou peu de protection LAN. De ce fait, les attaques DOS et l'écoute sont
facilement réalisables sans aucune authentification.
6.1 Exemples de types d’attaques :
➢ Man-in-the-Middle attaque
Un type d’attaque dont le principe est de s’insérer dans les communications entre un
serveur et un client. Il en existe plusieurs :
Trouver un mot de passe est souvent bien plus facile qu’il n’y paraît, et les pirates s’en
donnent à cœur joie. Pour trouver un mot de passe, il suffit parfois simplement de fouiller un
bureau, en surveillant la connexion pour obtenir un mot de passe non chiffrer, en ayant recours
à l’ingénierie sociale ou en devinant :
▪ Par force brute : deviner un mot de passe en entrant ce que les gens entrent le plus
souvent : nom, prénom, passe-temps favori, dates de naissance des enfants, etc.
▪ Par dictionnaire : cela consiste à copier un fichier chiffré contenant des mots de passe
courants et à comparer les résultats.
11
• Injection SQL : C’est un problème affectant les sites web exploitant des bases de
données le pirate exécute une requête SQL sur la base de données via les données
entrantes du client au serveur. Des commandes SQL sont insérées dans la saisie du
plan de données. Ensuite, le pirate peut insérer, mettre à jour ou supprimer les
données comme bon lui semble, et même envoyer des commandes au système
d’exploitation.
• Les cross-site scripting (XSS) : Les pirates s’adonnant à cette pratique injectent du
contenu dans une page qui corrompt le navigateur de la cible. Il peut ainsi modifier la
page web selon ses envies, voler des informations sur les cookies, récupérer des
données sensibles ou y injecter un code malveillant dans le but, par exemple, de
contrôler l’ordinateur de sa victime à distance.
➢ Attaque de phishing
C’est cette fameuse fenêtre qui surgit en vous disant que vous avez gagné un million
d’euros, ou cet étrange email que vous recevez de votre banque, vous demandant de saisir votre
identifiant… cette technique combine ingénierie sociale et stratagème technique vous incitant à
télécharger par vous-même des malwares qui voleront vos informations personnelles et
confidentielles comme vos numéros de carte de crédit.
➢ Les Antivirus:
Un antivirus est un logiciel informatique destiné à identifier et à effacer des logiciels
malveillants (malwares en anglais), également appelés virus, Chevaux de Troie ou vers selon les
formes.
12
L'antivirus analyse les fichiers entrants (fichiers téléchargés ou courriers électroniques) et,
périodiquement, la mémoire vive de l'ordinateur et les périphériques de stockage comme les
disques durs, internes ou externes, les clés USB et les cartes à mémoire Flash. La détection d'un
logiciel malveillant peut reposer sur trois méthodes :
• Reconnaissance d'un code déjà connu (appelé signature) et mémorisé dans une base de données.
➢ Firewalls (pare-feu) :
Chaque ordinateur connecté à n'importe quel réseau informatique est susceptible d'être
victime d'une attaque d'un pirate informatique. La méthodologie généralement employée par le
pirate informatique consiste à inspecter le réseau (en envoyant des paquets de données de manière
aléatoire) à la recherche d'une machine connectée, puis à chercher une faille de sécurité afin de
l'exploiter et d'accéder aux données s'y trouvant. Cependant, il est nécessaire, pour les réseaux
d'entreprises possédant une connexion de type câble ou ADSL, de se protéger des intrusions
réseaux en installant un dispositif de protection comme le pare-feu.
13
Un système pare-feu contient un ensemble de règles prédéfinies permettant :
• L'ensemble de ces règles permet de mettre en œuvre une méthode de filtrage dépendant de la
politique de sécurité adoptée par l'entité. On distingue habituellement deux types de politiques de
sécurité permettant :
• La première méthode est sans nul doute la plus sûre, mais elle impose toutefois une définition
précise et contraignante des besoins en communication.
8. Conclusion
Dans ce chapitre, nous avons défini en premier lieu la sécurité informatique et ses principes,
ensuite on a cité quelques types d’attaques réseaux ainsi que certaines préventions contre ces
derniers. Dans le chapitre suivant on va différencier entre les solutions SIEM et choisir celle la
plus pertinente et efficace pour notre mini projet.
14
Chapitre 2 : Etude conceptuelle et fonctionnelle d’OSSIM
Introduction :
Durant ce chapitre, nous donnerons quelques généralités sur les différentes notions liées
aux réseaux informatiques dont la supervision après il sera question de mettre en œuvre la solution
proposée qui répond aux problèmes posés par les limites de l’infrastructure actuelle. Pour y arriver
une architecture répondant aux problématiques sera proposée ainsi que les technologies et outils à
utiliser pour son implémentation
1. Proposition de topologie :
Nous allons créer un réseau qui contient une machine windows 7, un serveur ubuntu, kali
pour effectuer l’attaque sur le réseau, et finalement un serveur ossim qui va nous permettre de
superviser le réseau par la collection des agents.
2. Composants Technologiques
2.1 Supervision du réseau informatique
En informatique, la supervision est une technique de suivi, qui permet de surveiller,
analyser, rapporter et d'alerter les fonctionnements anormaux des systèmes informatiques. En
outre, la supervision informatique consiste à indiquer et/ou commander l'état d'un serveur, d'un
équipement réseau ou d'un service software pour anticiper les plantages ou diagnostiquer
rapidement une panne.
15
2.2 Réseau local
Un réseau local, souvent désigné par l’acronyme anglais LAN (Local Area Network), est
l’interconnexion d’équipements informatiques situés dans une zone géographique restreinte
(appartement, maison, boutique, locaux d’entreprise, etc.), afin qu’ils puissent communiquer entre
eux et éventuellement partager une connexion internet par le biais d’un routeur.
✓ Caractéristiques d'un réseau local
Un réseau local est caractérisé par :
• La courte distance entre les nœuds (< 10 km)
• Haut Débit (Une vitesse de transmission élevée : 10 Mbit/s à 10 Gbit/s)
• Un faible taux d’erreur
• La nature privée du réseau
• Des équipements diversifiés : connectiques, média, ordinateurs
• La Topologie logique de connexion : bus, étoile, …etc.
2.3 Translation d'adresses (NAT)
Network Adresse Translation permet de correspondre des adresses IP à d'autres adresses
IP. Les correspondances entre les adresses privées internes et publiques externes sont stockées
dans une table sous forme de paires. Lorsqu'une trame est émise depuis une adresse interne vers
l'extérieur, elle traverse le routeur NAT qui remplace, dans l'en-tête du paquet TCP/IP, l'adresse
de l'émetteur par l'adresse IP externe. NAT Réflexion est possible si les services sont accessibles
par IP publique à partir des réseaux internes.
3. SIEM :
Les SIEM sont des outils de supervision de la sécurité, ils utilisent les informations en
provenance de divers équipements et logiciels de sécurité. Les SIEM combinent deux éléments :
16
La fusion des SIM et des SEM dans un processus intégré de contrôle de la sécurité avec des
informations pertinentes recueillies dans l’infrastructure du système d’information est résumée
sous le terme de SIEM.
La collecte : Le principe de l’étape de collecte est de fournir au SIEM des données à traiter.
Ces données peuvent être de nature diverse en fonction de l’équipement ou du logiciel, mais
aussi être envoyées de manières tout à fait différentes. On distingue deux modes de
fonctionnement :
• Mode actif : Le SIEM possède un ou plusieurs agents déployés sur les équipements à
superviser. Ces agents ont pour fonction de récupérer les informations des équipements
et logiciels de sécurité et de les envoyer au SIEM. Un élément de sécurité qui a été conçu
nativement pour être un agent du SIEM est appelé une sonde.
• Mode passif : Le SIEM est en écoute directe sur les équipements à superviser. Pour cette
méthode, c’est l’équipement ou le logiciel qui envoie des informations sans intermédiaire
au SIEM.
La normalisation : Les informations collectées viennent d’équipements et logiciels
hétérogènes ayant pour la plupart leurs propres moyens de formater les données. Cette
17
étape permet d’uniformiser les informations selon un format unique pour faciliter le
traitement par le SIEM. Des formats sont mis au point par IETF pour structurer les
informations de sécurité et pouvoir les échanger et les traiter plus facilement.
L’agrégation : L’agrégation est le premier traitement des événements de sécurité. Il
consiste en un regroupement d’évènements de sécurité selon certains critères. Ces critères
sont généralement définis via des règles appelées règles d’agrégation et s’appliquent à des
évènements ayant des similarités.
La corrélation : La corrélation correspond à l’analyse d’évènements selon certains
critères. Ces critère s sont généralement définis via des règles appelées règles de
corrélation. Le but de cette étape est d’établir des relations entre événements, pour ensuite
pouvoir créer des alertes de corrélations, des incidents de sécurité, des rapports d’activité.
La corrélation se différencie sur plusieurs points :
→ Temps réel et données retardées : Dans certains cas, les événements bruts sont forgés et envoyés
directement pour être corrélés en temps réel. Dans d’autres cas, les événements sont d’abord
stockés, et envoyés après un premier traitement (ex : agrégation), leur envoi peut être alors
conditionné.
Gestion des alertes : Il y a plusieurs façons pour un SIEM de gérer des alertes, plusieurs
d’entre elles peuvent être utilisés simultanément :
→ Le « reporting » : Les rapports générés contiennent à la fois une synthèse des alertes et une vue
d’ensemble de la sécurité du système à un instant T (statistiques, intrusions, vulnérabilités
exploitées, classification des attaques).
18
→ Le stockage : Les alertes, incidents et rapports peuvent être stockés dans des bases de données
pour pouvoir être analysés ultérieurement par des moteurs de corrélation.
→ La réponse : Les mécanismes de réponse aux alertes doivent permettre de stopper une attaque
ou de limiter ses effets de façon automatique. La réponse à une intrusion dépend de la politique de
sécurité. Voici un schéma explicatif du mode de fonctionnement des SIEM.
19
du constat selon lequel il est difficile encore à ce jour d’obtenir un instantané de son réseau
et des informations qui y transitent avec un niveau d’abstraction suffisant pour permettre
une surveillance claire et efficace. Le but d’OSSIM est donc de combler ce vide.
Remarque :
On constate après avoir vu le tableau ci-dessus qu’OSSIM est le meilleur logiciel libre,
encore plus, il est aussi un conçurent des logiciels propriétaires par excellence. Il est donc le
meilleur choix pour pouvoir gérer les différentes parties du réseau et faire une bonne gestion des
logiciels mentionné auparavant.
• PRADS : utilisé pour identifier les hôtes et les services en surveillant passivement le trafic
réseau.
• Snort : utilisé comme système de détection d'intrusion (IDS), et également utilisé pour la
corrélation croisée avec OpenVAS.
20
• Nagios : utilisé pour surveiller les hôtes et les ports spécifiés pour la disponibilité des actifs
ainsi que la surveillance complète du système local.
• OSSEC : Nous avons décrit OSSEC dans une section précédente. Comme Security Onion,
OSSIM déploie OSSEC comme HIDS à cause de ses qualités et son architecture
agent/serveur.
⚫ Remarque
OSSIM comprend également des outils auto-développés, le plus important étant un moteur
de corrélation générique avec prise en charge des directives logiques et intégration des journaux
avec les plugins.
• Réponse active pouvant exécuter des applications sur un serveur en réponse à certains
déclencheurs, tels que des alertes ou des niveaux d'alerte spécifiques
Il utilise une architecture serveur/agent, où l'agent HIDS réside sur les hôtes que vous
souhaitez surveiller ; et le serveur HIDS réside sur le USM Appliance Sensor. Le capteur
d’Appliance USM reçoit les événements des agents HIDS, les normalise et les envoie au serveur
d’Appliance USM pour analyse, corrélation et stockage. AlienVault HIDS offre également une
prise en charge limitée du fonctionnement sans agent sous Linux pour la récupération des journaux
uniquement.
21
Vous devez déployer les agents HIDS sur les systèmes clients. L'agent HIDS s'exécute en tant que
service continu en mémoire, interagissant avec le capteur d’appareil USM via le port UDP 1514.
Le capteur d’appareil USM génère et distribue une clé pré-partagée aux agents HIDS, qui utilisent
ensuite la clé pour authentifier la communication entre les agents HIDS et l’USM
Appliance Sensor.
Figure
Figure 56 :: Fonctionnement
Fonctionnement de
de HIDS
HIDS
L’implantation d’un NIDS sur un réseau se fait de la façon suivante : des capteurs sont
placés aux endroits stratégiques du réseau et génèrent des alertes s’ils détectent une attaque. Ces
alertes sont envoyées à une console sécurisée, qui les analyse et les traite éventuellement. Cette
22
console est généralement située sur un réseau isolé, qui relie uniquement les capteurs et la console.
On mentionne comme suit les avantages et les limites des NIDS :
• Les avantages : Le NIDS peut surveiller un grand réseau. Le déploiement de NIDS a peu
d'impact sur un réseau existant. Les NIDS sont habituellement des dispositifs passifs qui
écoutent sur un fil de réseau sans interférer l'opération normale d'un réseau. Ainsi, il est
facile de monter en rattrapage un réseau pour inclure un IDS avec l'effort minimal.
• Les limites : Il est difficile à traiter tous les paquets circulant sur un grand réseau. De plus
il ne peut pas reconnaître des attaques pendant le temps de haut trafic. Quelques
fournisseurs essayent à implémenter le IDS dur le matériel pour qu’il marche plus
rapidement.
6. Conclusion
Dans ce chapitre, nous avons présenté la solution OSSIM, nous avons proposé une
architecture qui répond aux faiblesses constatées dans l’infrastructure actuelle réseau, c’est une
étape qui nous permet de mieux connaître OSSIM aussi de bien étudier l’environnement de travail,
les outils de traitement et les exigences d’organisme. Le chapitre suivant a pour objectif
d’implémenter la solution proposée ultérieurement et la tester pour enfin présenter les résultats
nécessaires.
23
Chapitre 3 : Implémentation et Test
1. Introduction
Ce chapitre est consacré à l’implémentation et au test de la solution choisie lors du
précédent chapitre. Pour cela, une architecture répondant aux exigences prédéfinies sera mise en
place. Pour évaluer cette architecture, l’installation doit être faite dans un environnement virtuel
afin d’assurer la portabilité et l’indépendance de la plate-forme physique.
2. Installation et configuration
2.1 Environnement de travail :
VMware Workstation Pro est un hyperviseur hébergé qui s'exécute sur les versions x64 des
systèmes d'exploitation Windows et Linux, il permet aux utilisateurs de configurer des machines
virtuelles (VM) sur une seule machine physique et de les utiliser simultanément avec la machine
hôte. Chaque machine virtuelle peut exécuter son propre système d’exploitation, y compris les
versions de Microsoft Windows, Linux, BSD et MS-DOS.
24
3. Installation et configuration du serveur OSSIM:
3.1 Installation
Afin d’installer AlienVault OSSIM, il faut respecter la configuration minimale requise pour
chaque machine.
• 2 cœurs de processeur
• 4-8 Go de RAM
• Disque dur de 50 Go
Etape 2 : Affecter l’adresse IP 10.10.1.1/24 à notre passerelle qui permet de relier deux réseaux
informatiques de types différents.
Etape 3 : Créer un mot de passe « root » pour se connecter à notre serveur OSSIM.
25
Figure 10: Création d’un mot de passe
• Etape 2 : L’ajout d’adresse IP du serveur OSSIM à l’agent OSSEC pour garantir l’envoie des
logs.
26
• Etape 3 : Une fois l’agent est installé, on importe sa clé à partir du serveur et l’integrer dans
la configuration d’OSSEC à l’aide de la commande : # /var/ossec/bin/manage_agents
• Etape 4 : Démarrage et activation de l'agent OSSEC pour qu'il démarre au redémarrage du
système.
• # systemctl start ossec
• Etape 5 : Vérification de la communication de l'agent avec le serveur à l’aide de la commande
• # tail /var/ossec/logs/ossec.log
Figure 13 : OSSEC
27
5. Installation et configuration des agents NAGIOS
5.1 Configuration sur Linux :
• Etape 1 : Installation de l’agent NAGIOS client (NRPE) a l’aide de la commande $
sudo apt install nagios-nrpe-server nagios-plugins.
28
5.3 Test de connectivité de NAGIOS :
Une fois les agents installés et configurés, il faut tester la connectivité entre NAGIOS et le
serveur OSSIM, en vérifiant les adresses IP des machines Windows et Linux.
6. Tests
6.1 Création de directives Brute Force attack SSH :
À ce niveau on va mettre en place des règles(directives), qui permettent d’afficher une
alerte lorsqu’un utilisateur tente de se connecter via ssh.
• Chemin suivi :
29
Afin de s’assurer des directives qu’on vient de configurer, nous allons effectuer un test en
se connectant à SSH en utilisant un mot de passe incorrecte.
30
Figure 21 : Vérification de service SSH
31
➢ On essaie d’attaquer le machine Ubunto à partir de la machine kali à l’aide de l’outil Hydra.
Résultats :
OSSIM nous annonce d’une part une alarme sous forme d’un cercle bleu accompagné par la date
d’action ou d’alerte, et d’une autre part le NetFlow qui permet de capturer le trafic réseau en direct.
Figure 25:Netflow
32
Figure 26:les alertes
Remarque :
Tant que le taux de risque est devenu élevé, la couleur de la rubrique des alertes est devenue rouge.
Conclusion
Dans ce chapitre nous avons détaillé toutes les étapes de la partie installation et configuration de
la solution choisie, on a aussi défini une architecture test qui nous a permis d’évaluer l’efficacité
de la solution proposée par rapport aux problématiques posées, et par la même occasion atteindre
les objectifs qui nous nous étions fixés au tout début de notre projet.
33
Conclusion générale
Cette période de recherche nous a permis d’abord de faire une étude détaillée du réseau
informatique et de relever les différentes insuffisances présentées en termes de sécurité. Ensuite,
nous avons abordé différentes solutions permettant de faire face à ces insuffisances, pour cela,
nous avons procédé à une étude d’efficacité de chacune de ces différentes solutions en vue de
choisir la plus adéquate permettant de rendre le réseau plus sécurisé.
OSSIM est bonne solution pour la sécurisation des systèmes d’information d’une entreprise
car : L’analyse des données des logs de l’entreprise peut aider à détecter les cybermenaces
avancées. Ces logs fournissent des données sur tout ce qui se passe dans un réseau, les postes de
travail, les serveurs et les applications, sur site dans le cloud. En corrélant des données de logs
internes avec les sources des applications fournissant des renseignements sur les menaces.
Pour finir on retiendra que la sécurité doit être dynamique et remise en question de manière
permanente afin de suivre l'évolution des systèmes, de l'environnement et des risques.
34
Bibliographie
https://www.philippe-martinet.info/ossim-project/Rapport-OSSIM-Philippe-Martinet.pdf
https://blog.netwrix.fr/2018/07/04/les-10-types-de-cyberattaques-les-plus-courants/
https://cybersecurity.att.com/documentation/usm-appliance/initial-setup/configuring-usm-
logger.htm
https://cloudinfrastructureservices.co.uk/radius-server-linux
Figure1 :https://img19.ccm2.net/QbnVN3NgemxcZmOXToKkTs3OJog=/305x/c7b1ec1b77d541
b59ef86d46824bd100/ccm-encyclopedia/protect-images-parefeu.gif
Figure3 : https://pdfcoffee.com/siem-180906233759-pdf-free.html
Figure 4 : https://pdfcoffee.com/siem-180906233759-pdf-free.html
35
36