Supervision Reseaux 21-22

BIENVENU
AU COURS DE
SUPERVISION ET SÉCURITÉ
DES RÉSEAUX
Cours réalisé par: Ngodji Fulbert ANNEE UNIVERSITAIRE 2021-2022
CONTENUS
A. SUPERVISION DES RESEAUX
I. Méthodologie de la supervision
II. Architecture d'un système de supervision
III. Services et protocoles, outils de supervision
IV. Gestion de trace pour la supervision.
B. LA SECURITE DES RESEAUX

I. LA SECURITE DES RESEAUX
II. LES ATTAQUES SUR LES RESEAUX
III. LES SERVICES DE SECURITE
IV. LES ELEMENTS D’UNE ARCHITECTURE SECURISEE
A. LA
SUPERVISION DES
RESEAUX
I. MÉTHODOLOGIE
DE LA
SUPERVISION
INTRODUCTION
Les réseaux sont de partout à l’heure actuelle. Ils sont devenus indispensables au
bon fonctionnement général de nombreuses entreprises et administrations. Tout
problème ou panne peut avoir de lourdes conséquences aussi bien financières
qu’organisationnelles. La supervision des réseaux est alors nécessaire et
indispensable. Elle permet entre autre d’avoir une vue globale du fonctionnement
et problèmes pouvant survenir sur un réseau mais aussi d’avoir des indicateurs
sur la performance de son architecture.
De nombreux logiciels qu’ils soient libres ou propriétaires existent sur le marché.
La plupart s’appuie sur le protocole SNMP.
INTRODUCTION
Dans la première partie nous allons faire une présentation de la
supervision et tout ce qui touche au monitoring de réseau. Dans la
seconde partie, nous verrons le fonctionnement du protocole le plus
utilisé actuellement : le protocole SNMP. Ensuite nous ferons une
présentation des différents logiciels existants à l’heure actuelle. Enfin
nous essaierons d’avoir une vision sur l’avenir de la supervision et de la
sécurité des réseaux.
QU’EST-CE QUE LA SUPERVISION?
La supervision informatique est la surveillance permanente de l’état du Système
d’Information (SI) dans l’objectif de détecter les anomalies et d’alerter en
conséquence.
Les outils de supervision actuels intègrent également des fonctionnalités comme la
recherche de cause d’incident ou encore la production de rapports permettant par
exemple de détecter des tendances.
L’enjeu de la supervision pour les directions des systèmes d’information est multiple :
Être capable de réagir rapidement lors de la survenance d’une anomalie.
C’est l’enjeu essentiel de la supervision : être alerté rapidement et surtout avant les
utilisateurs des systèmes supervisés est un gage de bon ressenti qualité de la part de ceux-
ci.
QUE PEUT-ON SUPERVISER?
A priori, tout peut être supervisé à partir du moment ou l’on peut
déterminer:
 Les diodes;
 La température;
 Les Activités.
Dans un système d’information, cela signifie qu’on peut superviser:
 Le matériel (serveur, équipements, réseaux,…);
 Le réseau (trafic);
 Les services (web, mail, partages des fichiers,…);
 Les workflows (processus métier).
L’OBJECTIFS DE LA SUPERVISION
Il est aujourd’hui de plus en plus difficile d’administrer un réseau. En effet le
nombre d’équipements à gérer est souvent de plus en plus important : stations,
serveurs, imprimantes… Le plus grand souci d’un administrateur est la panne. En
effet, il doit pouvoir réagir le plus rapidement possible pour effectuer les
réparations nécessaires. Il faut pouvoir surveiller de manière continu l’état des
systèmes d’information afin d’éviter un arrêt de production de trop longue
durée. C’est là ou la supervision intervient. Elle doit permettre d’anticiper les
problèmes et de faire remonter des informations sur l’état des équipements.
Plus le système est important et complexe, plus la supervision devient
compliquée sans les outils indispensables.
L’OBJECTIFS DE LA SUPERVISION
 Je supervise dans le but d’être informé sur l’état de mon réseau ou de mes
applications
 Je supervise pour ne pas tomber des nues !
 Si je ne supervise pas :
 Je peux être piraté sans le savoir
 Mes serveurs peuvent être fatigués
 Mes performances peuvent tomber
 Les utilisateurs préviennent en cas de panne
 je perds toute crédibilité
 Ma Direction se lasse : “l’informatique est toujours en panne” …
PRINCIPE DE LA SUPERVISION
Une grande majorité des logiciels de supervision sont basés sur le protocole SNMP qui
existe depuis de nombreuses années. La plupart de ces outils permettent de nombreuses
fonctions dont voici les principales :
 Surveiller le système d’information ;
 Visualiser l’architecture du système;
 Analyser les problèmes;
 Déclencher des alertes en cas de problèmes;
 Effectuer des actions en fonction des alertes;
 La tache de l’administrateur est alors simplifiée.
L’administrateur n’a plus qu’à faire une vérification ou réaliser une action en fonction d’une
alerte déclenchée. Chaque outil doit aussi lui donner une vision globale du système
d’information pour localiser les problèmes le plus rapidement possible.
Que veut dire “Superviser” ?
Super = au dessus
Viser = regarder
! IMPORTANT
Il faut vérifier que la frontière entre superviser et espionner n’ a pas été franchie.
Regarder l’information = espionner
Regarder au dessus de l’information = superviser
Dans un Réseau informatique, que veut dire “superviser” ?
Il s’agit de regarder TOUT sauf l’information.
EXEMPLE:
Espionner = on a imprimé “Test”
Superviser = on a imprimé 1 feuille
Différence entre superviser et surveiller
Surveiller = Veiller Sur
Superviser = Regarder au-dessus
La surveillance = Regarder quelque chose de précis.
Par exemple : surveiller la porte d’entrée (rien d’autre).
Superviser c’est, en réalité, surveiller plusieurs organes.
Différence entre superviser et surveiller
Superviser c’est veiller sur les organes en remontant les informations
quantitatives
Avant de superviser, il faut que je sache ce que j’ai besoin de surveiller.
Qu’est-ce qu’une défaillance ?
Défaillance = passer d’un état normal à un état dégradé.
Niveaux de défaillance :
Légère : il s’agit d’un critère qui présente un état instable.
Passagère : un élément défaille d’une manière prévisible et prévue (action de
maintenance qui provoque une interruption de service).
Localisée : la défaillance ne provoque pas de problème de qualité de service.
Grave : La défaillance affecte la qualité de service.
Une défaillance peut être normale lorsqu’elle est prévue.

A quoi sert le protocole SNMP ?
Effectivement, il existe plein de moyens pour superviser automatiquement
les organes d’un réseau.
L’un des moyens actuels est le standard = SNMP (ne pas confondre avec
SMTP = messagerie)
SNMP me permet de surveiller des organes réseaux (imprimantes, routeurs,
hub, serveurs, station … )
Les appareils à superviser n’ont pas forcément l’option SNMP / dans ce cas
il faut choisir autre chose.
On utilise l’outil fourni avec l’appareil.
METHODOLOGIE
Pour mettre en place une politique de supervision nous disposons de plusieurs
méthodes:
L'analyse des fichiers logs ou journaux : dans ces fichiers sont enregistrés
l'historique du fonctionnement du système et des applications et analyser ces
fichiers nous permet de savoir à quel moment une application à cesser de
fonctionner.
 L'exécution et la récupération des résultats des commandes réseaux et
des scripts locaux ou distantes:
 L'utilisation du protocole de gestion SNMP (Simple Network Management
Protocol) : ce protocole permet la gestion des équipements et le diagnostique
des problèmes du réseau.
À quelles fins ?
Déterminer le moment où une mise à niveau est nécessaire
L’utilisation de la bande passante est-elle trop élevée ?
Où va le trafic ?
Faut-il une ligne plus rapide ou plus de fournisseurs ?
L’équipement est-il trop ancien ?
Garder trace des changements
Consignez tous les changements
Vous pourrez identifier plus facilement les problèmes liés aux mises à niveau et
modifications de configuration.
SUPERVISER À QUELLES FINS ?
Conserver l'historique des opérations réseau
 Un système de tickets vous permet de garder l'historique des événements;
 L'historique vous permet de vous défendre et de vérifier ce qu’il s'est passé.
Pourquoi une gestion de réseau ?
Comptabilisation
Suivi de l’utilisation des ressources;
Facturation des clients en fonction de l’utilisation
Être informé des problèmes
Avoir une longueur d’avance sur les utilisateurs est bon pour votre image;
Des logiciels de surveillance peuvent générer des tickets et informent automatiquement le
personnel des problèmes.
Tendances
Toutes ces informations permettent de visualiser les tendances au sein du réseau;
Elles font partie intégrante de la création du référentiel, de la planification des capacités
et de la détection des attaques.
Pourquoi une gestion de réseau ?
Sécurité
 Difficile de savoir si un problème est une panne ou attaque en cours
 Différence entre un déni de services (DoS) et une panne de réseau ?
 Tendances et automatisation vous permettrons de savoir si vous êtes en cours d’attaque;
 Les outils utilisés peuvent aider à mitiger le succès d’une attaque:
Les flux sur un interface;
Une charge anormale sur des serveurs spécifiques;
Des pannes de service.
Les "Trois Grands outils"
 Disponibilité
 Nagios: Services, serveurs, routeurs, commutateurs
 Fiabilité
 Smokeping : État de la connexion, temps de réponse des services, latence…
 Performances
 Cacti :Trafic total, utilisation des ports, UC, RAM, Disque, processus Les fonctions de
ces programmes se chevauchent en partie !
Consolidation des données
Le Centre d’exploitation du réseau (NOC) "Coeur du réseau"
Coordination des tâches;
État du réseau et des services;
Remontée des incidents réseau et des réclamations;
Centralisation des outils ("serveur NOC");
Documentation comprenant :
Les schémas du réseau
La base de données/le fichier plat de chaque port de chaque commutateur
La description du réseau et bien d’autres ressources, comme vous allez le
voir.
Consolidation des données
Systèmes et outils de surveillance réseau
Trois types d’outils
1. Outils de diagnostic
 permettent de tester la connectivité, de vérifier l’accessibilité d'un site ou le
fonctionnement d'un dispositif
 il s’agit généralement d’outils actifs.
2. Outils de surveillance
 outils fonctionnant en arrière-plan ("démons" ou services), chargés de collecter des
événements mais également de procéder à leurs propres sondages (au moyen d'outils de
diagnostic), et d’enregistrer les résultats de manière planifiée.
3. Outils de performances
 indiquent comment le réseau gère les flux de trafic.
Supervision, métrologie et monitoring
Les termes supervision et métrologie sont encore parfois distingués même si les
frontières tendent à se dissiper : la supervision s’attache aux alertes alors que la
métrologie se rapporte davantage aux mesures. L’anglicisme monitoring est alors
parfois utilisé pour englober les deux concepts.
Dans la suite du cours, le terme supervision sera utilisé au sens large et désignera
à la fois la supervision et les principes de métrologie qui lui sont liés.
Quoi et comment superviser ?
a. La supervision ne se limite plus à l’infrastructure
Si l’infrastructure informatique reste le domaine privilégié de la supervision, il
n’est plus le seul à pouvoir être supervisé : applications, respect des SLA ou
encore processus informatisés sont les cibles des outils de supervision actuels.
Quel que soit le domaine, les catégories de points de contrôle sont les mêmes :
 Contrôle de disponibilité;
Il s’agit de vérifier la présence d’un serveur, d’un switch ou encore d’une
application sur le réseau. Une requête ping sera généralement utilisée.
Un contrôle de disponibilité est souvent combiné avec un contrôle de performance
permettant par exemple de remonter une information sur la latence réseau.
Contrôle de performance
Il s’agit d’effectuer une mesure et de la comparer à des seuils de criticité. Par
exemple : performance d’un CPU, taux d’occupation d’un disque dur mais aussi
nombre de commandes sur un site de e-commerce, durée moyenne d’un
processus, etc.
Contrôle d’intégrité
Les contrôles de cette catégorie servent à vérifier l’intégrité de l’élément
supervisé. Par exemple : présence d’alertes dans un fichier journal, format
incorrect d’un fichier d’échange, commandes passées hors horaire de bureau,
incohérence de données entre deux applications, etc.
Cette liste est loin d’être exhaustive, chaque société possède ses propres
spécificités et ses indicateurs de performance.
Il est possible d’agréger plusieurs indicateurs par exemple pour
superviser la disponibilité globale des applications du service Comptabilité.
Les méta services de Centreon ainsi que le module Centreon BAM
proposent ce type de fonctionnalités.
Supervision de l’infrastructure
 La supervision de l’infrastructure est de loin la plus implémentée dans les
entreprises. Elle couvre toutes les couches matérielles et logicielles du réseau
au système d’exploitation en passant par les serveurs et les middlewares.
Ci-dessous quelques exemples non exhaustifs de ce qu’il est possible de
superviser :
 Supervision du réseau;
 Disponibilité des switches et routeurs;
 Mesure de la latence et du taux d’erreurs d’une liaison;
 Mesure de la bande passante;
 Contrôle de cohérence des routes et VLAN.
Supervision matérielle et environnementale
Mesure de température et d’humidité (à l’aide des sondes
adéquates);
Mesure des disques ou réseaux;
Mesure du taux de charge d’un onduleur;
Surveillance d’une panne de lecteur de cassette de sauvegarde;
Surveillance de l’état du RAID, des alimentations redondantes, des
ventilateurs, etc.
Supervision système
Mesure de la fréquence processeur et de l’utilisation de la mémoire vive;
Mesure du taux de remplissage des disques;
Surveillance du journal d’évènements système;
Supervision des middlewares;
Vérification du démarrage des services;
Mesure du temps de traitement d’une requête SQL ;
Mesure et suivi du nombre de machines virtuelles sur un hyperviseur ;
Supervision applicative
La majorité des implémentations de supervision applicative dans les
entreprises se limitent à superviser la disponibilité des ports applicatifs et des
processus. C’est bien sûr nécessaire mais pas suffisant pour une supervision
efficace des applications. Il est conseillé de vérifier le fonctionnel de
l’application grâce à des tests spécifiques.
En général, le test consiste à jouer un scénario fonctionnel sur l’application, en
vérifiant un résultat prédictif : recherche d’un fournisseur, création d’une
commande et annulation, etc.
Supervision applicative
Sur des applications développées par l’entreprise, il est aussi possible
d’implémenter un autotest qui sera simplement appelé par la solution de
supervision via une requête HTTP ou un appel de Web Service par exemple.
La connaissance fonctionnelle est ainsi conservée par l’application elle-même.
Bien entendu, une attention particulière doit être apportée à la sécurité. Les
comptes utilisés pour la supervision doivent être bien identifiés et avec des
droits très limités.
Supervision des SLA
Un SLA est défini entre autres par plusieurs points de contrôle mesurables
avec des seuils à ne pas dépasser pour une période donnée. Par exemple, le
SLA Disponibilité du site Internet sur le mois peut être défini par les points
de contrôle suivants :
 Le temps moyen de téléchargement d’une page ne dépasse pas 2 secondes ;
 La page d’accueil s’affiche correctement ;
 La page contact fonctionne ;
 Le processus de commande fonctionne,
Ces indicateurs sont agrégés dans une métrique commune représentant le SLA.
Supervision des processus informatisés
Superviser un processus informatisé signifie superviser tous les éléments de la
chaîne composant ce processus. Tout comme la supervision des SLA, les points
de contrôle sont ensuite agrégés pour construire un indicateur global sur l’état
du processus.
Une bonne représentation graphique du processus est primordiale pour une
implémentation efficace.
Par exemple, un processus de commande sur Internet peut être supervisé grâce
aux points de contrôle suivants :
Disponibilité du site et de la page de commande;
Nombre de commandes sur le site;
Cohérence entre le nombre de commandes enregistrées sur le site et
dans l’ERP (Enterprise Resource Planning);
Nombre de commandes "en préparation’’ ;
Ancienneté moyenne des commandes.
Il existe des logiciels spécialisés en supervision des processus. Cependant,
les outils de supervision classiques tendent à s’approprier ce domaine.
Même si Centreon est encore un peu en retrait par rapport aux pure-
players du domaine, la stratégie de l’éditeur est résolument engagée vers
les couches hautes de la supervision et présage d’évolutions à venir dans
ce domaine.
Grands principes
Les deux règles d’or de la supervision sont d’être le moins intrusif possible et le
plus indépendant possible des éléments supervisés afin de garantir un regard
extérieur non biaisé.
Il n’est pas pertinent par exemple de superviser une infrastructure virtualisée si
le serveur de supervision se situe lui-même dessus. De même il est préférable
d’éviter au maximum d’installer des logiciels ou des scripts sur les éléments
supervisés.
Quels moyens pour la supervision ?
Centreon respecte ce principe en ne requérant pas d’agent spécifique sur les
ressources supervisées. Il s’appuie de préférence uniquement sur le protocole
SNMP (Simple Network Management Protocol), largement disponible aujourd’hui
en standard sur les ressources.
Deux grandes méthodes de supervision sont utilisées avec plusieurs variantes :
les méthodes active et passive, détaillées dans les paragraphes suivants.
Supervision active
La supervision active est la plus classique. Elle consiste en l’envoi de
requêtes d’interrogation et de mesure par la plateforme de supervision.
Cette méthode est composée de trois étapes :
Le serveur envoie une requête vers la ressource supervisée;
La ressource répond à la requête du serveur;
Le serveur analyse l’information et détermine un état pour la
ressource.
Supervision active
Cette méthode est la plus utilisée. Elle a l’avantage d’être fiable : les vérifications
se font de manière régulière et en mode question-réponse. Les deux principaux
protocoles de supervision active sont :
Le protocole SNMP (Simple Network Management Protocol) est le standard en
matière de supervision active. Il est largement adopté et utilisé.
Le protocole WMI (Windows Management Instrumentation) est un standard de
supervision pour les systèmes Microsoft Windows.
Supervision active
Ces deux protocoles sont à privilégier car non intrusifs : les agents sont natifs aux
systèmes supervisés.
Pour les systèmes fermés ou très isolés, la communauté Nagios propose le protocole
NRPE (Nagios Remote Plugin Executor) qui demande l’installation d’un agent spécifique
sur les systèmes supervisés. Il est compatible avec Centreon.
Certains protocoles d’administration peuvent également être utilisés pour la supervision
: IPMI (Intelligent Platform Management Interface) pour la supervision de composants
matériels, JMX (Java Management Extensions) pour les applications Java, etc.
Les protocoles systèmes SSH (Secure Shell) et Telnet sont également très utilisés. Ils
permettent d’exécuter des commandes après connexion sur les systèmes supervisés.
Enfin, certains systèmes proposent des API propriétaires permettant de récupérer des
états ou mesures.
Supervision passive
La supervision passive l’est du point de vue du serveur de supervision : ce sont
les ressources supervisées qui transmettent des alertes au serveur de
supervision :
La ressource supervisée vérifie son état et transmet de manière autonome le
résultat au serveur de supervision;
Le serveur de supervision reçoit l’alerte et la traite;
L’échange est unidirectionnel.
Supervision passive
La méthode passive présente plusieurs intérêts. D’abord elle est moins

consommatrice de ressources du point de vue serveur de supervision et
réseau. Ensuite, elle est utile dans le cas où l’accès aux ressources est difficile
(DMZ (Demilitarized Zone), matériel propriétaire, etc.). Ce mode de supervision
ne souffre pas de la latence due aux vérifications périodiques, l’alerte arrive en
véritable temps réel sur l’interface de Centreon.
Supervision passive
Le principal point noir de la supervision passive concerne la fraîcheur des
informations : rien ne permet de garantir que la ressource supervisée est dans
un état correct si aucune alerte n’est reçue. Les ressources n’envoient que très
rarement des messages pour signaler un état correct.
À cause de sa non-fiabilité, la supervision passive, en pratique, est surtout
utilisée en complément de la supervision active pour la réception des trappes
SNMP.
Le protocole standardisé et privilégié pour la supervision passive est SNMP avec
le mécanisme de trappes. La communauté Nagios propose également un module
passif dédié appelé NSCA (Nagios Service Check Acceptor) qui est compatible
avec Centreon.
Poser la première brique d’une démarche ITIL
L’Information Technology Infrastructure Library, plus connue sous le nom d’ITIL,
est un référentiel de bonnes pratiques organisationnelles et opérationnelles pour
les directions informatiques. ITIL est à l’origine de la norme internationale ISO
20000.
L’objectif d’ITIL est de permettre à la DSI de proposer des services informatiques
de qualité à ses clients, souvent les directions métiers. Cette qualité est définie et
garantie par des contrats de service (SLA). Elle est ensuite mesurée et améliorée
de manière itérative.
Exemple de SLA : "Le site intranet est disponible à 99,9% dans le mois." À ce SLA,
les indicateurs de performances (KPI, Key Performance Indicator) suivants
peuvent être associés :
Poser la première brique d’une démarche ITIL
Le temps moyen d’affichage d’une page ne dépasse pas 2 secondes;
Le site supporte 100 connexions simultanées;
L’authentification avec un compte de test fonctionne.
Garantir un SLA implique de garantir ses KPI. La supervision est donc
indispensable et doit intervenir au début de toute démarche ITIL. Selon l’adage : «
on ne peut améliorer que ce que l’on mesure ».
Définir un SLA nécessite de définir des KPI mesurables et des seuils réalistes. Ceci
implique presque toujours de mesurer les KPI concernés sur une période
significative avant de valider le SLA, au risque pour la DSI de ne pas pouvoir
respecter ses engagements.
La supervision : un véritable outil décisionnel pour la DSI
La supervision peut être un véritable outil d’aide à la prise de décision
pour les DSI. En effet, les données recueillies par la supervision
permettent de mesurer les niveaux d’exploitation du Système
d’Informations. Quelques exemples : utilisation et évolution du stockage
sur une période donnée, consommation électrique d’un data center, niveau
de disponibilité d’une application sur une période donnée….
Ces données peuvent être agrégées dans des rapports et être exploitées
pour :
La supervision : un véritable outil décisionnel pour la DSI
Justifier la disponibilité d’une application sur une période donnée;
Être en mesure de connaître les causes récurrentes de pannes ;
Faire de la gestion de capacité et justifier l’achat de stockage supplémentaire;
Être en capacité de mesurer les niveaux de performances de mes équipes
techniques;
Etc.
II. ARCHITECTURE
D'UN SYSTÈME
DE SUPERVISION
Architecture d’un système de super vision
Un système de super vision efficace sera basé sur une console centrale qui aura
les fonctions suivantes :
 interroger un agent installé sur chaque équipement ( =⇒ vue de l’intérieur),
 interroger chaque service ou équipement directement ( =⇒ vue de l’extérieur),
 recevoir les alertes émises par les équipements,
 notifier les administrateurs,
 agir pour remettre en service ou protéger un équipement,
 archiver les données récoltées,
 produire des rapports statistiques ou graphiques,
 permettre de visualiser l’état du système d’information.
Supervision bas niveau
Il est possible d’accéder à de nombreuses informations localement sur une
machine en utilisant des outils "bas niveau".
En quelques lignes de Shell script, on peut construire un rapport d’état de la
machine. Une entrée dans la crontab et la supervision locale peut être assurée.
Cette méthode est à éviter autant que possible :
on réinvente la roue ;
difficulté de maintenance de scripts maison à long ter me ;
de nombreux outils "clés en main" sont disponibles !
On va mentionner cependant quelques outils "bas niveau" qui peuvent être
utiles pour effectuer des tests rapides, mais aussi pour configurer des outils
plus conséquents.
Supervision bas niveau
Ces commandes s’éxécutent sous linux.
Superviser "à la main" : netstat
Supervision bas niveau : ping, nmap
Supervision bas niveau : test d’un service réseau
Super vision bas niveau : iptables

iperf
iperf sert à mesurer la bande passante réseau entre deux machines.
Pour cela, on lance iperf en mode serveur sur l’une des machines.
Contrôle d’intégrité
On peut vérifier l’intégrité d’un fichier en combinant les sorties des commandes
ls -li, md5sum et sha1sum :
Contrôle d’intégrité
Plusieurs outils permettent d’automatiser le contrôle d’intégrité : Tripwire et
aide qui fonctionnent serveur par serveur et osiris qui fournit une protection
centralisée.
Un certain nombre des logiciels de supervision cités dans la suite permettent de
faire du contrôle d’intégrité.
Syslog
Syslog est un protocole de transmission d’événements systèmes. On peut en trouver une
spécification exhaustive
dans la RFC 3164, améliorée par la RFC 5424.
Il permet de centraliser les événements systèmes de chaque serveur ou équipement réseau sur
une seule machine pour des fins d’analyse statistique, d’archivage ou production d’alertes.
Attention ! Pour centraliser efficacement des journaux systèmes, il faut une source de temps
(NTP) commune.
Le protocole syslog utilise des datagrammes UDP à destination du port 514.
Chaque événement système est accompagné :
 son type de ser vice (facility),
 sa gravité (severity),
 la date et l’heure (timestamp),
 la machine sur laquelle l’événement s’est produit (host).
Serveurs syslog
BSD syslogd est l’implémentation histoire du protocole. Deux projets
concurrents apportent des améliorations substancielles au protocole initial :
syslog-ng (support de TCP, TLS, IPv6, filtrage par contenu, stockage dans une
base de données,. . . )
rsyslog (idem plus support de RELP et BEEP, SNMP traps,. . . )
Pour une comparaison partiale entre les deux projets, on pourra se référer ici.
Architecture de supervision
MODELES DE L’ADMINISTRATION DES RESEAUX
INFORMATIQUES SELON OSI
L’ISO ne spécifie aucun système d’administration des réseaux informatiques mais
définit plutôt un cadre général avec le document ISO 7498-4 dénommé « OSI
Framework » ou « Cadre Architectural OSI » et un aperçu général des opérations
d’administration des systèmes avec le document ISO 1004 dénommé « OSI System
Management » ou « Système d’administration OSI ». Ces documents de base
décrivent trois modèles :
 Le Modèle organisationnel ;
 Le Modèle informationnel ;
 Le Modèle fonctionnel.
LE MODELE ORGANISATIONNEL
Le modèle organisationnel, aussi appelé modèle architectural (Managed
System and Agents (MSA) ou Système Administré et Agent) : c’est un modèle
qui organise l’administration OSI, définit la notion de systèmes administrés
(Agents) et définit la notion du système Administrant (DMAP : Distributed
Management Application
Processus).Le modèle architectural définit trois types d’activité :
 La gestion du système (System Management) ;
 La gestion de couche (Layer Management) ;
 Les opérations de couche (Layer Operations).
LE MODELE INFORMATIONNEL
Un modèle informationnel aussi appelé «Management Information Base (MIB)»
ou « Base de l’Information d’Administration» est un modèle qui constitue la
base de données des informations d’administration en énumérant les objets
administrés et les informations s’y rapportant (attributs). L’ensemble des
objets gérés constitue la MIB (ISO 10165). La MIB contient toutes les
informations administratives sur les objets gérés (ponts, routeurs, cartes,…).
La norme ne spécifie aucune organisation particulière des données ; Seul, le
processus agent a accès à la MIB et le processus manager accède aux
données via le processus agent.
LE MODELE FONCTIONNEL
L’OSI a regroupé les activités d’administration en cinq groupes fonctionnels «
Specific Management Function Area (SMFA) » ou « Aire de Fonction
d’Administration Spécifique »:
 Gestion de configuration ;
 Gestion de performance ;
 Gestion de panne ;
 Gestion de comptabilité ;
 Gestion de sécurité.
Objectifs de la supervision SNMP :
Objectifs de la supervision SNMP :
○ récupérer les valeurs de métriques sur une machine distante (=agent)
○ monitorer (=suivre l’évolution) de certaines métriques
○ éventuellement modifier les valeurs de certaines variables sur l’agent
distant
○ être informé en temps réel d’événements importants ayant lieu sur
l’agent (=trap).
MODELE AGENT - MANAGER
 Manager
○ entité qui supervise le réseau
 Agent
○ programme installé sur un matériel réseau / serveur
○ répond aux sollicitation du manager pour lui donner son état
○ informe le manager d’événements exceptionnels
MODELE AGENT - MANAGER
● Que demande le manager à l’agent ?
○ récupération des valeurs de
variables
■ texte, valeurs numériques, dates, ...
○ variables contenues dans une base
de données
■ MIB : Management Information Base
III. SERVICES ET
PROTOCOLES,
OUTILS
DE SUPERVISION
LE PROTOCOLE SNMP/ Présentation
○ Simple Network Management Protocol
○ Protocole de communication permettant à deux
entités réseaux d’échanger des infos sur leur état
La supervision informatique est la surveillance permanente de l’état du Système
d’Information (SI) dans l’objectif de détecter les anomalies et d’alerter en
conséquence.
Les outils de supervision actuels intègrent également des fonctionnalités comme la
recherche de cause d’incident ou encore la production de rapports permettant par
exemple de détecter des tendances.
L’enjeu de la supervision pour les directions des systèmes d’information est multiple :
Être capable de réagir rapidement lors de la survenance d’une anomalie.
C’est l’enjeu essentiel de la supervision : être alerté rapidement et surtout avant les
utilisateurs des systèmes supervisés est un gage de bon ressenti qualité de la part de
ceux-ci.
LE PROTOCOLE SNMP/ Présentation
Chaque machine, que ce soit sous Windows ou sous Linux possède de
nombreuses informations capitales pour l'administrateur réseaux. On
retrouve des informations comme la quantité de RAM utilisé, l'utilisation
du CPU, l'espace disque et encore bien d'autre indicateurs. SNMP va
permettre de remonter ces informations à l'administrateur de façon
centralisé pour pouvoir réagir au plus vite aux pannes éventuelles.
FONCTIONNEMENT DU PROTOCOLE SNMP/
1. LES AGENTS
Sur une machine à superviser, pour que SNMP envoie les informations que l'on
souhaite il faut qu'un agent soit installé sur celle-ci. Cet agent écoute sur le port
161 et attend que le serveur lui envoie des requêtes pour lui répondre. L'agent
pourra aussi envoyer des alertes lui même si l'administrateur l'a configuré. Par
exemple pour surveiller l'occupation CPU l'administrateur définira une valeur
critique pour laquelle une alerte doit lui être émise. Pour finir l'agent pourra
aussi agir sur l'environnement local. C'est pourquoi ce protocole est critique car
il peut servir a d'autres personnes mal intentionnées pour prendre le contrôle a
distance de certains équipements sur le réseau.
2. Les systèmes de management de réseaux
Généralement, l'administrateur possède un outil permettant de centraliser ce que
lui retournent ses agents. Et c'est donc cet outil qui va interroger les
équipements du réseau. Il va donc pouvoir gérer un réseau entier grâce à cela.
3. LA MIB/Présentation
Pour que SNMP fonctionne, il est nécessaire qu'un protocole d'échange soit définit. Il
y a aussi une standardisation des informations que ce protocole peut transporter.
C'est un protocole Internet, il doit être utilisable sur des plates-formes hétérogènes
(matériel comme système d'exploitation). C'est pour cette raison que l'on parlera de
MIB (Management Information Base).En effet, la MIB est une base de données des
informations de gestion maintenue par l'agent. C’est cette base à laquelle on va
demander les informations.
3. LA MIB/Structure de la MIB
La structure de la MIB est hiérarchique : les informations sont regroupées en
arbre. Chaque information a un OID (Object identifier), une suite de chiffres
séparés par des points, qui l'identifie de façon unique et un nom, indiqué dans le
document qui décrit la MIB.
Par exemple, 1.3.6.1.2.1.2.2.1.2 est l'OID ifDescr qui est la chaîne de caractères
décrivant une interface réseau (comme eth0 sur Linux ou Ethernet0 sur un
routeur Cisco).
Les MIB sont décrites en utilisant ASN.1. Par exemple, ifDescr est décrite par :
3. LA MIB/Structure de la MIB
Une des MIB les plus connues
est MIB-II, décrite dans le RFC
1213, et qui est mise en œuvre
dans quasiment tous les
équipements TCP/IP. Elle
compte dix groupes : « système
», « interfaces », « at », « IP
», « ICMP », « TCP », « UDP »,
« EGP », « transmission » et «
SNMP ».
4. Les commandes SNMP
Il existe 4 types de requêtes SNMP :
• get-request : Le Manager SNMP demande une information à un agent SNMP
• get-next-request : Le Manager SNMP demande l'information suivante à l'agent
SNMP
• set-request : Le Manager SNMP met à jour une information sur un agent SNMP
• trap : L'agent SNMP envoie une alerte au Manager.
Les alertes sont transmises lorsqu’un événement non attendu se produit sur
l’agent. Ce dernier informe le manager via une « trap ». Plusieurs types d’alertes
sont alors possibles : ColdStart, WarmStart, LinkDown, LinkUp,
AuthentificationFailure.
Pour chaque envoi de message, une réponse est retournée à l’exception de la
commande « trap ». Les réponses sont du type suivant :
4. Les commandes SNMP
• get-response : L’information a bien été transmise.
• NoSuchObject : Aucune variable n’a été trouvée.
• NoAccess : Les droits d’accès ne sont pas bons.
• NoWritable : La variable ne peut être écrite.
5. Echange de message
Voici un schéma récapitulant les échanges pouvant être effectués entre un agent et le
manager :
5. Echange de message
Le protocole SNMP est principalement utilisé avec UDP/IP. (Il peut aussi utiliser
TCP). L’utilisation d’UDP permet un échange de message plus rapide que
l’utilisation de TCP. L’inconvénient est qu’il est possible de perdre des trames
lors de l’échange de messages (mode non connecté). Les ports UDP sont donc le
162 pour le manager et le 161 pour les agents.
Différentes versions de SNMP
SNMP v1
C'est la première version de SNMP qui a été très utilisée et qui l'est encore mais
qui a un défaut majeur : une sécurisation très faible. La sécurité se base sur la
communauté « public » par défaut, il suffit donc de définir la même communauté
pour interroger les agents. Format des messages SNMP :
 Le champ version contient la version de SNMP utilisée
 Communauté : le type de communauté
 Type PDU : il s’agit du type de requête
 ID request : permet d’associer les réponses aux requêtes
 Statut erreur : Type d’erreur (0 si aucune)
La principale faiblesse de cette version est qu’elle n’était absolument pas
sécurisée. En effet, il n’y a pas de cryptage des données et aucune
authentification. C’est pour cela qu’une version sécurisée de SNMPv1 appelée
SNMPSec a existée mais elle n’a quasiment pas été utilisée.
SNMP v2
Cette seconde version est une évolution de la version SNMPv1. SNMPv2 qui
a été publiée sous l’ensemble de propositions de standards Internet. Il
s’agit d’un avant projet de standard. Il rajoute de la sécurité avec SNMPsec
mais aussi de nouvelles opérations. Cette version est toujours restée
expérimentale et a laissé place à la version 3. De nombreuses évolutions
ont existés sans jamais être adoptés : SNMPv2p, SNMPv2c, SNMPv2u…
SNMP v3
La version 3 de SNMP a donc permis essentiellement d’introduire la sécurité des
transactions. Elle comprend l’identification des deux parties qui communiquent mais
aussi s’assure que les messages échangées ne puissent pas être lu par n’importe
qui. La sécurité est basée sur différents concepts différents :
 USM (User-based Security Model) USM permet d’assurer plusieurs fonctions :
 Authentification
L’authentification permet de s’assurer que le paquet n’est pas modifié pendant la
transmission et que le mot de passe est valide. Elle se fait grâce à HMAC-MD5-96 ou
de HMAC-SHA- 96 qui sont des fonctions de hachage. Grâce a ceci tout les paquets
vont être authentifiés, cette authentification ne nous garantie pas encore la
confidentialité des données.
 Le cryptage
Le cryptage permet de s’assurer que personne ne puisse décrypter un message
SNMP échangé sur le réseau. La version 3 de SNMP utilise pour cela le cryptage
symétrique DES avec des clés de 64 bits.
 L’estampillage du temps
Lors de l’envoi d’une requête SNMP, le cryptage et l’authentification ne
permettent pas d’éviter qu’une personne récupère cette requête et la
retransmette plus tard sur le réseau (Replay Attack).
On a donc un timestamp de 150s sur les messages qui nous assure qu’il sera
automatiquement refusé après ce délai fini.
 VACM (View Access Control Model)
Le VACM permet de contrôler les différents accès au MIB. Il est alors possible de
restreindre l’accès en lecture et en écriture pour un utilisateur ou un groupe
d’utilisateur. Le format d’une trame SNMP v3 est très différent de celle de la version 1
:
Les informations contenues dans cette trame sont relativement différentes :
• msgVersion : pour snmpv3, on place 3 dans ce champ. On place 0 pour SNMPv1
• msgID : l’identifiant du message
• msgMaxSize : la taille maximale d’une réponse à une requête
• msgFlags : il s’agit de différents types de drapeaux (sur 3 bits):
 précise si une réponse est attendue
 précise si on a utilisé du cryptage
 précise si on a utilisé l’authentification
msgSecurityModel : type de sécurité utilisé pour encrypter le reste du paquet
msgSecurityParameters : paramètres de sécurité. Ce bloc n’est pas défini dans
SNMPv3 et a été standardiser par le module de sécurité DES.
scopedPDU : message SNMP.
Les informations contenues dans cette trame sont relativement différentes :
msgVersion : pour snmpv3, on place 3 dans ce champ. On place 0 pour SNMPv1;
msgID : l’identifiant du message;
msgMaxSize : la taille maximale d’une réponse à une requête;
 msgFlags : il s’agit de différents types de drapeaux (sur 3 bits):
 précise si une réponse est attendue
 précise si on a utilisé du cryptage
 précise si on a utilisé l’authentification
 msgSecurityModel : type de sécurité utilisé pour encrypter le reste du paquet
 msgSecurityParameters : paramètres de sécurité. Ce bloc n’est pas défini dans
SNMPv3 et a été standardiser par le module de sécurité DES.
 scopedPDU : message SNMP.
Afin d’exploiter au mieux SNMP, de nombreux logiciels de supervision existent.
Nous allons maintenant faire une rapide présentation de ceux les plus utilisés à
l’heure actuelle.
Les logiciels de supervision/Les logiciels libres
1. MRTG
MRTG est un outil pour surveiller la charge de la circulation des données qui
transitent sur un réseau, un sous-réseau ou sur certaines machines via SNMP. Il
produit des pages HTML contenant des images qui fournissent une représentation
visuelle du trafic désiré. MRTG est basé sur les langages Perl et C, il fonctionne
sous UNIX et Windows NT. Son succès a été très important et son successeur
RRDTool qui est écrit par le même auteur est maintenant utilisé dans de
nombreux logiciel de monitoring.
L-INTERFACE DE MRTG
MRTG : Bilan
 Avantages :
 mise en œuvre très simple, graphiques un peu configurables,
 Inconvénients :
 pas plus de deux données sur un même graphe,
 pas de centralisation des données et graphes,
 pas de système de notification.
94
2. CACTI
Cacti est un logiciel de supervision qui est un front-end (interface
graphique) de RRDTool. Il est basé sur un serveur web avec une base de
données MySQL et PHP. RRDTool permet de stocker toutes les
informations de supervision réseau et de générer des graphiques. MRTG
est utilisé pour récupérer ces informations avec SNMP. CACTI permet
donc de représenter graphiquement divers statuts de périphériques
réseau utilisant SNMP ou encore grâce à des scripts (Bash, PHP, Perl,
VBs...) pour avoir par exemple l'espace disque restant ou encore la
mémoire utilisée, la charge processeur ou le ping d'un élément actif.
INTERFACE DE CACTI
3. Nagios
Nagios est un logiciel qui permet de superviser un système d'information
complet. C'est un logiciel libre, il est sous licence GPL. Les fonctionnalités
de Nagios sont nombreuses. La première particularité de Nagios est la
modularité. En effet des plugins peuvent être ajoutés pour effectuer des
taches spécifiques. De nombreux plugins sont déjà écrits par la
communauté Nagios mais nous pouvons en écrire nous même pour des
taches spécifiques. Nagios va être couplé avec Oreon qui va permettre
de faciliter l’administration mais aussi remonter les graphes et effectuer
du reporting. Nagios intègre bien sur une notification par mail ou sms
selon le jour et l’heure. Voici les avantages/inconvénients de Nagios :
AVANTAGES DE NAGIOS:
• Surveillance des services réseaux (SMTP, POP3, HTTP, NNTP, PING, etc.).
• Surveillance des ressources des hôtes (charge processeur, utilisation des
disques, etc.).
• Système simple de plugins permettant aux utilisateurs de développer facilement
leurs propres vérifications de services.
• Notifications des contacts quand un hôte ou un service a un problème et est
résolu (via email, pager, ou par méthode définie par l’utilisateur).
• Possibilité de définir des gestionnaires d’évènements qui s’exécutent pour des
évènements sur des hôtes ou des services, pour une résolution des problèmes
• Interface web, pour voir l’état actuel du réseau, notification et historique des
problèmes, fichiers log, etc.
• Plugins existant pour utiliser MRTG ou RRDTool.
Inconvénients DE NAGIOS:
• Configuration compliquée qui oblige une très bonne connaissance de Nagios.
• Graphes pas assez clairs.
• Administration compliquée.
Configuration de NAGIOS:
La configuration est assez complexe et nous allons donc détailler les principaux points à
connaître pour la compréhension du bon fonctionnement de Nagios.
• Définition des Hôtes : Un hôte pour Nagios représente un serveur "physique", une
station de travail, un périphérique, un équipement, qui se trouve sur le réseau.
• Définition des Services : La définition d'un service identifie un service tournant sur un
hôte. Le terme "service" est très générique. Il peut s'appliquer à un service (tel que POP,
SMTP, HTTP, etc.) ou bien tout autre type de mesures associées à l'hôte (temps de
réponse à un ping, nombre d'utilisateurs connectés, usage des disques).
INTERFACE DE NAGIOS
4. Oreon
Oreon consiste à inclure dans une solution complète l’ensemble des services de
Nagios existants, ainsi que des modules d’installation et de configuration du
serveur Nagios. Oreon est en perpétuelle évolution grâce au monde open source
très actif autour de ce projet, ce qui permet une aide en cas de problème à travers
les différents forums et des évolutions logicielles permettant une efficacité accrue
et la correction de bug logicielle rapide.
Avantages :
Avantages :
• Une installation complète et automatique des packages nécessaires à
l’utilisation de NAGIOS.
• Facilite la configuration de Nagios.
• Une découverte automatique du réseau et une configuration des ressources
découvertes (serveurs, équipements réseaux...) au niveau du serveur de
supervision. L’utilisateur n’aurait plus qu’à sélectionner la ressource à superviser
et lui indiquer quel type d’alerte qu’il souhaite remonter.
• Graphe le résultat des alertes, système de reporting.
Inconvénients :
• Requiert plus de ressources matérielles
Architecture logique de l’application :
Sur le schéma suivant on peut voir qu’il y a deux façons pour superviser notre
réseau. En effet Nagios permet de faire une supervision passive et active grâce
aux plugins NRPE et NSCA.
INTERFACE D’ OREON
Cette page est une des plus importantes car avec un simple coup d’œil on repère
très rapidement les problèmes. Cette page s’actualise toutes les 60s ce qui permet
de la laisser toujours ouverte pour pouvoir détecter rapidement un problème.
ZABBIX
Zabbix est un outil complet de surveillance du réseau et du système, qui combine
plusieurs fonctions dans une console Web. Il peut être configuré pour surveiller une
grande variété de serveurs et d’équipements réseau et y collecter des données. Il assure
la surveillance des services et des performances de chaque objet. Zabbix permet de
surveiller les serveurs et les réseaux à l’aide d’une vaste gamme d’outils, y compris des
hyperviseurs de virtualisation dédiés à la surveillance et des piles d’applications Web :
En gros, Zabbix fonctionne avec des agents logiciels exécutés sur des systèmes
contrôlés. Mais cette solution peut aussi fonctionner sans agents, en utilisant le
protocole SNMP. Zabbix prend en charge VMware, Hyper-V et d’autres hyperviseurs de
virtualisation, il fournit des informations détaillées sur les performances, la disponibilité
et l’activité de l’hyperviseur. Il peut notamment surveiller les serveurs d’applications
Java, les services Web et les bases de données.
ZABBIX
De nouveaux hôtes de surveillance peuvent être ajoutés manuellement ou via un
processus automatique de découverte. Une grande variété de modèles sont appliqués
par défaut, par exemple ceux pour les systèmes d’exploitation Linux, FreeBSD et
Windows Server, ainsi que pour les protocoles SMTP, HTTP, ICMP et IPMI. Zabbix vous
permet de personnaliser le tableau de bord et l’interface Web, afin de pouvoir se
concentrer sur les composants du réseau les plus importants. Les notifications
peuvent être basées sur des actions personnalisées s’appliquant à un hôte ou des
groupes d’hôtes. Vous pouvez configurer des actions qui exécuteront des commandes
à distance si certains critères relatifs à des événements sont remplis. Le programme
affiche des graphiques d’utilisation du processeur et de la bande passante du réseau.
ZABBIX
De plus, Zabbix prend en charge des cartes, des écrans et même des diaporamas
personnalisés qui illustrent l’état courant des équipements surveillés. Zabbix peut être
difficile à implémenter initialement, mais l’utilisation de la détection automatique et
des différents modèles peut vous faciliter la tâche. En plus du package d’installation,
Zabbix est disponible sous forme d’appareil virtuel pour plusieurs hyperviseurs
populaires.
Icinga
Icinga est un autre excellent outil open source de surveillance du réseau. Icinga était à l’origine
une branche du système de surveillance Nagios, avant d’être réécrit récemment pour devenir une
solution autonome appelée Icinga 2. À l’heure actuelle, les deux versions du programme sont
activement développées et disponibles. Alors qu’Icinga 1.x est compatible avec un grand nombre de
plug-ins et de configurations Nagios, Icinga 2 a été conçu pour être moins fastidieux, plus
performant et plus convivial. Il est doté d’une architecture modulaire et d’une conception multi-
thread, ce qui n’est pas le cas de Nagios ni d’Icinga 1. Plusieurs variantes de l’interface Web pour
Icinga sont proposées.
Icinga est une plateforme logicielle de surveillance et d’alerte aussi ouverte et extensible que
Nagios. La principale différence réside dans le processus de configuration : Icinga peut être
configuré via l’interface Web, alors que Nagios utilise des fichiers de configuration et la ligne de
commande. Cette fonctionnalité est une aubaine pour ceux qui préfèrent gérer leur logiciel de
surveillance sans la ligne de commande. Icinga s’intègre avec de nombreux packages logiciels de
surveillance, tels que PNP4Nagios, inGraph et Graphite, pour une visualisation fiable de votre réseau.
NeDi
S’il vous a déjà fallu rechercher des périphériques dans votre réseau pour vous connecter à vos commutateurs via le
protocole Telnet, si vous avez déjà dû effectuer une recherche d’adresse MAC ou déterminer l’emplacement physique de
certains périphériques, vous serez intéressé par NeDi. NeDi scrute en permanence l’infrastructure réseau, catalogue les
périphériques et assure le suivi de tout ce qu’il détecte. Tout comme Cacti, NeDi est un outil entièrement gratuit . Il balaye
régulièrement les adresses MAC et les tables ARP des commutateurs de votre réseau et catalogue chaque périphérique
détecté dans une base de données locale. Cet outil n’est pas très connu, mais il peut s’avérer très pratique dans les réseaux
d’entreprise où les périphériques changent et sont constamment déplacés.
Vous pouvez utiliser l’interface Web de NeDi pour rechercher un commutateur, un port de commutateur, un point d’accès ou
tout autre périphérique par son adresse MAC, son adresse IP ou son nom DNS. NeDi collecte toutes les informations
possibles dans chaque périphérique réseau qu’il rencontre et extrait les numéros de série, les versions de firmware et de
logiciel, les paramètres courants de date et d’heure, les configurations des modules, etc. Vous pouvez même utiliser NeDi
pour repérer les adresses MAC des périphériques perdus ou volés ; si ceux-ci réapparaissent dans le réseau, NeDi vous en
informe.
La gestion de la configuration est simple, un fichier de configuration unique vous permet d’augmenter de manière
significative le nombre de paramètres et de sauter des périphériques en fonction d’expressions régulières ou de limites
réseau spécifiées. NeDi utilise généralement le Cisco Discovery Protocol ou le Link Layer Discovery Protocol pour découvrir
de nouveaux commutateurs et routeurs, puis il s’y connecte pour collecter leurs informations.
Netwrix Auditor for Windows Server Free Community Edition
Nous avons passé en revue de nombreux excellents outils de surveillance de l’infrastructure. Néanmoins,
si les administrateurs système détectent des problèmes de performance au niveau du serveur Windows,
ils doivent inspecter les modifications de configuration pour déterminer la cause du problème et y
remédier rapidement. Pour cette raison, un outil de surveillance des modifications du système se révèle
très précieux. Netwrix Auditor for Windows Server Free Community Edition envoie des rapports
quotidiens par e-mail détaillant ce qui a été modifié sur chaque serveur Windows et quand cela est arrivé,
avec les valeurs « avant » et « après ». Il signale, par exemple, les installations de logiciels et de matériel
ainsi que les modifications apportées aux tâches planifiées, aux services et au registre. L’installation du
produit est simple et l’interface utilisateur est conviviale et rapide. Les rapports sont très clairs et bien
structurés, ce qui fait de cet outil un excellent complément aux autres outils de surveillance des
performances des applications Windows. En plus des rapports sur les modifications apportées à Windows
Server, les rapports récapitulatifs sur les activités quotidiennes de Netwrix Auditor Free Community
Edition fournissent les détails cruciaux quoi, quand et où, ainsi que les valeurs avant et après pour chaque
modification apportée à plusieurs autres systèmes critiques comme Active Directory, la stratégie de
groupe, Azure AD, Exchange, Office 365, les serveurs de fichier, SharePoint, Microsoft SQL Server et
Netwrix Auditor for Windows Server Free Community Edition
En installant le produit, vous bénéficiez de toutes les fonctionnalités de Netwrix
Auditor pendant une période d’essai gratuite de 20 jours, puis vous devez choisir si
vous achetez une licence ou bien optez pour la version communautaire
gratuite. Netwrix Auditor offre de nombreux avantages par rapport à l’édition
communautaire gratuite, notamment des détails relatifs au « Qui » pour chaque
événement signalé et des fonctions d’analyse des fichiers, d’analyse du comportement
des utilisateurs et des angles morts, d’évaluation des risques, de recherche intégrée
des données d’audit, d’alertes relatives aux profils de menaces et d’enregistrement
vidéo des activités des utilisateurs. Vous pouvez consulter le tableau comparatif
complet ici. En bref, Netwrix Auditor n’est pas seulement un outil d’administration et
de surveillance des serveurs très utile, c’est aussi une plateforme logicielle
d’entreprise qui vous offre une visibilité complète sur les modifications, les
configurations et les accès dans votre environnement informatique Cloud et local.
Les logiciels de supervision/Les logiciels libres
NB: LA LISTE DES LOGICIELS DE SUPERVISION LIBRES EST NON EXAUSTIVE….
Il n’y a pas d’outil à tout faire. À chaque administrateur de trouver la combinaison de

tableaux de bord, de suivis des journaux et de statistiques graphiques qui lui
convient.
112
Les logiciels propriétaires/IBM Tivoli Netview
1. IBM Tivoli Netview
Ce logiciel est né du rachat de l’entreprise Tivoli par IBM. C’est un des logiciels
commercial le plus utilisée. Il s’agit d’une suite de logiciels comprenant
notamment Tivoli Monitoring essentiellement dédié à la supervision de machines
ou d’applications.
L’architecture repose sur le protocole SNMP. Des agents sont en places sur
chaque matériel et une application centrale permet d’effectuer divers
opérations :
Définir les différentes règles de supervision.
Stocker les informations et les présenter sous la forme de pages web.
Générer différents graphiques sur l’état du réseau.
Chaque machine qui est supervisée doit posséder un environnement d’exécution
JAVA.
Tivoli Monitoring s’occupe de récupérer les informations sur les machines :
occupation processeur, système de fichier.
Afin de compléter les fonctions de cet outil, il est possible de le compléter avec une
suite logicielle : Tivoli Business Systems Manager qui permet alors de disposer
d’un ensemble de gestion de système d’information relativement complet :
Découverte des réseaux TCP/IP;
Affichage des topologies réseaux;
Gestion des différents événements;
Affichage de la santé et de l’état du réseau;
Détection et prévention de problèmes.
Il est également possible d’analyser des différents flux échangés dans un
réseau.
Les principaux avantages de cette solution est que c’est sans aucun doute une
des plus répandue sur le marché. Elle est s’adapte facilement à notre besoin
et est relativement complètes.
Un des inconvénients est qu’il faut posséder une grande partie de la gamme
afin de pouvoir superviser le mieux possible un réseau.
Les logiciels propriétaires/HP OpenView
2. HP OpenView
HP OpenView est aussi un des logiciels majeur de la supervision à l’heure actuelle. Il
permet le management d’équipements réseau. Une interface graphique permet un
affichage de l’état courant des équipements. Un système d’alarme permet de
synchroniser le tout.
Il est basé sur SNMP pour dialoguer avec les différentes machines.
 Système de MAP
Tous les équipements sont affichés à l’aide d’une interface appelé MAP :
Les couleurs permettent de préciser l’état des différents périphériques.
Système d’alarme
OpenView intègre un système d’alarme. En effet des requêtes SNMP sont
régulièrement effectuées vers les agents. Si un état change ou une machine
devient injoignable, une alarme est directement déclenchée et une action peut-être
déclenchée. (Lancement d’un programme, envoie d’un mail…) Ses principaux atouts
sont les suivants :
Une vue globale du système d’information;
Une vision des différents incidents;
Un contrôle homogène des différents matériels.
Les logiciels propriétaires
Autres standards
Plusieurs autres solutions de supervision semblent se tourner vers Internet. En
effet, plusieurs standards existent déjà :
WEBMEN qui spécifie un modèle de données pour l’administration. De
nombreuses organisations supportent à l’heure actuelle ce standard tel que HP,
Microsoft…
Le protocole d’administration HMMP. (Hypermedia Management Protocol), une
sorte de SNMP sur Internet. Il s'agit d'un protocole de communication au dessus
de HTTP qui achemine les requêtes HMOM (commandes associées au protocole)
jusqu'à un serveur Web. Il supporte également les requêtes fondées sur des
objets comme les contrôles Active, Com/Dcom, Corba, des plugins...
JMAPI (Java Management Application Programming Interface), une
interface de programmation qui permet d’écrire des agents Java et
des applications d’administration. Il s'agit d'un ensemble d’objets
permettant de créer très facilement des applications d’administration
de réseaux et de services. Il contient une interface homme machine
d’administration des ressources, des interfaces de notification
d’événements, de demande d’actions sur une ou plusieurs ressources,
des interfaces de gestion des données en base de données, des
interfaces SNMP.
WS-Management (Web Services Management) est une spécification qui
permet de simplifier l’administration des services web. Elle décrit
notamment la façon de programmer un firmware ou un logiciel afin de
permettre à un administrateur système d'éteindre ou d'allumer à distance
un matériel ou un logiciel et de diagnostiquer un dysfonctionnement, quel
que soit l'endroit où il se trouve. Ce protocole pourrait aussi être utilisé
pour administrer des modems ADSL, des télévisions, des lecteurs de DVD...
Ce protocole devrait être intégré dans les prochaines versions de
Microsoft Windows Server.
Les logiciels de supervision/Les logiciels PROPRIETAIRES
NB: LA LISTE DES LOGICIELS DE SUPERVISION PROPRIETAIRES EST NON EXAUSTIVE….
Il n’y a pas d’outil à tout faire. À chaque administrateur de trouver la combinaison

de tableaux de bord, de suivis des journaux et de statistiques graphiques qui lui
convient.
IV. GESTION DE
TRACE POUR LA
SUPERVISION
INTRODUCTION A LA GESTION DES TRACES
L’enregistrement systématique et temporaire d'un certain nombre d'informations
caractérisant chaque transaction, appelées traces, est une contribution importante pour la
sécurité et le contrôle des systèmes d'information et des moyens de communication.
Dans un système d’information, toute action d’un utilisateur ou d’un composant est susceptible
de laisser des traces. Celles-ci se présentent sous la forme d’enregistrements stockés au fil de
l’eau dans des fichiers.
On peut citer comme exemples d’actions traçables :
les connexions réussies à un système,
les requêtes applicatives,
les accès aux serveurs de bases de données, aux services Intranet ou Internet,
les actions de télémaintenance,
les tentatives de prise de contrôle d’un équipement informatique,
les tentatives d’intrusion dans le système d’information de l’entreprise,
etc.
INTRODUCTION A LA GESTION DES TRACES
Ces traces peuvent être utilisées soit :
immédiatement, par exemple par un système de détection d’intrusions,
de manière différée, par des équipes d’analyse et de recherche.
On appellera dans ce cours, gestion des traces l’ensemble des actions de collecte,
d’analyse, de conservation, d’archivage et de purge (destruction) des traces.
Distinction entre traces« Applicatives» et traces «Techniques»
Pour la plupart d’entre elles, il s’agit d’événements enregistrés, notamment par :
les systèmes d’exploitation (ex : Windows, Unix, IBM/MVS),
les sous-systèmes techniques : moniteurs de transactions (ex : Tuxedo, IBM/CICS),
systèmes de gestion de bases données (ex : Oracle, Informix, IBM/IMS), composants
réseaux (ex : routeurs, switchs, frontaux de communication IBM, équipements de
partage de charge),
les infrastructures des opérateurs de réseaux privés, des fournisseurs de services
Internet.
Les caractéristiques et la granularité des évènements enregistrés sont paramétrables en
fonction des besoins.
Les équipements et les logiciels disposent d’un paramétrage par défaut, fourni par le
fabricant.
Origine des traces
Par défaut, tout composant du système d’information génère des traces dès qu’il
sa mise en service : les logiciels, les systèmes d’exploitation, les équipements
système, les équipements réseaux, les équipements de sécurité, etc.
En revanche, l’exploitation des fichiers de traces nécessite une décision ou un
acte volontaire de la part de l’entreprise ou du personnel.
Finalités des traces
La notion de finalité est essentielle. Il s’agit de l’usage que l’entreprise compte faire de
ses traces. Or, dans le cas de traces contenant des informations à caractère
personnel, la Loi fait obligation à l’entreprise de déclarer toutes ces traces ainsi que
les finalités.
A titre d’exemples, voici quelques finalités de l’usage des traces dans une entreprise :
surveiller le bon fonctionnement des composants du système d’information,
élucider des incidents,
surveiller le respect des règles, le comportement des usagers,
détecter des situations anormales,
rassembler des éléments à valeur probantes,
imputer des actions frauduleuses,
contrôler les coûts,
Les traces sont donc utiles à toutes sortes de services de l’entreprise, notamment :
les exploitants, les informaticiens, les services utilisateurs, les responsables d’unité,
les services d’inspection ou d’enquête internes, etc.
Les traces sont également utilisées par la Police et la Justice.
Les finalités des traces peuvent être regroupées en trois grandes rubriques :
1. la recherche de la qualité de service dont s’occupent principalement les exploitants
informatiques et les responsables d’unités,
2. la protection du système d’information de l’entreprise, dont s’occupent
principalement les hommes sécurité,
3. le domaine des enquêtes internes, administratives ou judiciaires menées par
l’inspection interne de l’entreprise, les services de Police ou de Justice.
INTERET DES TRACES
La recherche permanente d’une meilleure efficacité conduit les entreprises à recourir
massivement à des systèmes d'information de plus en plus complexes et en évolution
permanente.
Classiquement, les mesures de sécurité sont classées en 4 grandes catégories :
1. Les mesures préventives qui visent à réduire la survenance des sinistres, par la
formation, la dissuasion (sanctions pénales), par la promotion de comportements
adaptés
(ex : ne pas ouvrir les pièces jointes associées à des messages manifestement
fantaisistes) ;
2. Les mesures protectrices qui empêchent matériellement les menaces de se
concrétiser (ex : la présence, sur un ordinateur, d’un logiciel anti-virus mis à jour
régulièrement) ;
INTERET DES TRACES
3. Les mesures détectives, qui fournissent de l’information sur des éléments sous
surveillance (ex : comptage du nombre de tentatives de connexions en échec pour
cause de mots de passe erronés, détection de la présence de logiciels indésirables,
détection d’actions irrégulières par rapport aux champs d’une habilitation régulière) ;
4. Les mesures correctives, soit de confinement (ex : fermer un site WEB, isoler une
partie d’un réseau, etc.), soit réparatrices (ex : effacement de fichiers porteurs de
virus, resynchronisation d’une base de données incohérente, rechargement de la
politique de sécurité d’un firewall, etc.).
La gestion des traces appartient très clairement à la 3ème catégorie, puisqu’elle

fournit de l’information. A charge pour ceux qui reçoivent cette information de
l’interpréter et de décider des mesures appropriées, lesquelles peuvent appartenir
INTERET DES TRACES
aux trois autres catégories :
lancer une alerte à la vigilance,
 déclencher l’application d’un plan de confinement,
 éradiquer des logiciels malicieux,
 bloquer les droits d’un utilisateur malveillant,
 lancer des enquêtes disciplinaires ou des poursuites pénales,
 etc.
La gestion des traces est un élément du dispositif de sécurisation des systèmes
d’information.
Elle n’est ni facultative, ni autonome, ni isolée.
Les traces sont donc utiles à toutes sortes de services de l’entreprise, notamment :
les exploitants, les informaticiens, les services utilisateurs, les responsables
d’unité, les services d’inspection ou d’enquête internes, etc.
Les traces sont également utilisées par la Police et la Justice.
Les finalités des traces peuvent être regroupées en trois grandes rubriques :
1. la recherche de la qualité de service dont s’occupent principalement les
exploitants informatiques et les responsables d’unités,
2. la protection du système d’information de l’entreprise, dont s’occupent
principalement les hommes sécurité,
3. le domaine des enquêtes internes, administratives ou judiciaires menées par
l’inspection interne de l’entreprise, les services de Police ou de Justice.
Le rôle de l’administateur Réseau
Le rôle de l’administrateur est de définir les organes à surveiller / ce qu’il

faut surveiller et trouver ce qu’il faut faire à chaque alerte.
Le rôle de l’administateur Réseau
Après la remise en service, il faut trouver le motif de la panne pour
qu’elle ne se reproduise pas (si possible) - pour certains routeurs
le reboot régulier est nécessaire (le sachant, nous prévoyons alors
de la maintenance préventive régulière.
Avenir de la supervision
Avenir de SNMP
La version 3 de SNMP existe maintenant depuis 2002. Cependant, beaucoup
en sont resté à la version 1. Dans les années à venir, la dernière version
devrait de plus en plus être adoptée surtout qu’elle apporte des avantages
non négligeables tels que la sécurité qui devient un des éléments critiques
des systèmes d’information à l’heure actuelle.
A noter que cette version de SNMP est entièrement compatible avec IPV6.
B. LA SECURITE
DES RESEAUX
Gestion des risques
 Vulnérabilité + menace = risque
 Menace : cible + agent + conséquence
• Fichier source + employé + "bug«
Vulnérabilité : cible + agent + procédé
• Fichier source + employé + altération (in)volontaire
 Contre-mesures
• Exemple : Authentification + contrôle des droits de modification
– Compromis efficacité/coût des contremesures
• coût de l'incident versus coût des contre-mesures
Les objets de la sécurité
• Les informations
• Le système
• Le réseau
• Etc.
I. LES ATTAQUES
SUR LES RESEAUX
140
Attaques, Services et Mécanismes
• Une Attaque : n’importe quelle action qui compromet la sécurité des
informations.
• Mécanismes de Sécurité : un mécanisme qui est conçu pour
détecter, prévenir et lutter contre une attaque de sécurité.
• Service de Sécurité : un service qui augmente la sécurité des
traitements et des échanges de données d’un système. Un service de
sécurité utilise un ou plusieurs mécanismes de sécurité.
Attaques
Buts des attaques
• Interruption: vise la disponibilité des informations
• Interception: vise la confidentialité des informations
• Modification: vise l’intégrité des informations
• Fabrication: vise l’authenticité des informations
Attaques passives ou actives
Description des attaques : capture
Description des attaques : analyse de trafic
Description des attaques : masquarade
Description des attaques : rejeu
Description des attaques :
modification ("man in the middle")
Description des attaques : Déni de service ("DoS")
II. LES SERVICES
DE SECURITE
151
Services de Sécurité
• Confidentialité : les données (et l'objet et les acteurs) de la
communication ne peuvent pas être connues d’un tiers non-autorisé.
• Authenticité : l’identité des acteurs de la communication est vérifiée.
• Intégrité : les données de la communication n’ont pas été altérées.
• Non-répudiation : les acteurs impliqués dans la communication ne
peuvent nier y avoir participer.
• Disponibilité : les acteurs de la communication accèdent aux données
dans de bonnes conditions.
Mécanismes de défense
• Chiffrement : algorithme généralement basé sur des clefs et transformant les
données. Sa sécurité est dépendante du niveau de sécurité des clefs.
• Signature numérique: données ajoutées pour vérifier l'intégrité ou l'origine des
données.
• Bourrage de trafic : données ajoutées pour assurer la confidentialité, notamment au
niveau du volume du trafic.
• Notarisation : utilisation d’un tiers de confiance pour assurer certains services de
sécurité.
• Contrôle d’accès : vérifie les droits d’accès d'un acteur aux données. N'empêche pas
l'exploitation d'une vulnérabilité.
• Antivirus : logiciel censé protéger ordinateur contre les logiciels (ou
fichiers potentiellement exécutables) néfastes. Ne protège pas contre un
intrus qui emploie un logiciel légitime, ou contre un utilisateur légitime
qui accède à une ressource alors qu'il n'est pas autorisé à le faire.
• Le pare-feu : un élément (logiciel ou matériel) du réseau informatique
contrôlant les communications qui le traversent. Il a pour fonction de
faire respecter la politique de sécurité du réseau, celle-ci définissant
quels sont les communications autorisés ou interdits. N'empêche pas un
attaquant d'utiliser une connexion autorisée pour attaquer le système.
Ne protège pas contre une attaque venant du réseau intérieur (qui ne le
traverse pas).
• Détection d'intrusion : repère les activités anormales ou suspectes sur le
réseau surveillé. Ne détecte pas les accès incorrects mais autorisés par
un utilisateur
légitime. Mauvaise détection : taux de faux positifs, faux négatifs.
• Journalisation ("logs") : Enregistrement des activités de chaque acteurs.
Permet de constater que des attaques ont eu lieu, de les analyser et
potentiellement de faire en sorte qu'elles ne se reproduisent pas.
• Analyse des vulnérabilité ("security audit") : identification des points de
vulnérabilité du système. Ne détecte pas les attaques ayant déjà eu lieu, ou
lorsqu'elles auront lieu.
• Contrôle du routage : sécurisation des chemins (liens et équipements
d'interconnexion).
• Contrôle d'accès aux communications : le moyen de communication n'est
utilisé que par des acteurs autorisés. Par VPN ou tunnels.
• Horodatage : marquage sécurisé des instants significatifs .
• Certification : preuve d'un fait, d'un droit accordé.
• Distribution de clefs : distribution sécurisée des clefs entre les entités
concernées.
• Authentification : Authentifier un acteur peut se faire en
une ou plusieurs de ses éléments.
• Ce qu'il sait. Par ex. : votre mot de passe, la date anniversaire de votre
grand-mère
• Ce qu'il a. Par ex. : une carte à puce
• Ce qu'il est. Par ex. : la biométrie (empreinte digitale, oculaire ou vocale)
– Dans le domaine des communications, on authentifie l'émetteur du
message. Si l'on considère les (deux) extrémités d'une communication il
faut effectuer un double authentification
• Par ex. pour lutter contre le "phishing"
– L'authentification est nécessaire au bon fonctionnement des autres
mécanismes.
• La protection physique : peut fournir une protection totale, mais qui
peut être excessive. Par ex. isoler complètement son système est une
solution qui peut être trop radicale.
Remarques sur la confiance
Confiance dans la sécurité d'un système:
– Système réparti = {système de communication, les sous-systèmes locaux}
– Niveau de confiance d'un système = min (niveau de confiance de ses sous-
systèmes)
Dans un système sûre de confiance
– Les mécanismes de sécurité peuvent formellement établir la confiance
– Création d'un chaîne de confiance
Les amis surs de mes amis sont des amis surs
– Problème du point de départ de la chaîne de confiance
L'authentification des centres de certification
– Renforcement de la confiance, au cours des échanges
Remarques sur la confiance
 Graphe de confiance
– Révocation de la confiance accordée
Remarques sur les mécanismes de sécurité

Aucun des mécanismes de sécurité ne suffit par lui-même. Il les faut
tous !
Politique de sécurité
Une politique de sécurité ce n'est pas seulement :
Les paramètres de sécurité
 longueur des clefs,
 choix des algorithmes,
 fréquence de changement des "passwords",
 etc.
fois une politique de sécurité définie, sa mise en oeuvre (utilisation
d'outils appropriés) et sa bonne gestion (maintien de la cohérence) sont
des points critiques
Le processus de sécurité
• Evaluation/audit
• Politique
• Implémentation/(In)Formation
• Evaluation …
Quelques procédures de sécurité
Définition du domaine à protéger
Définition de l'architecture et de la politique de sécurité
Equipements/Points de sécurité
Paramètres de sécurité
C-à-d mécanismes de prévention, détection et enregistrement des
incidents
Plan de réponse après incident
Procédure de reprise
Procédure pour empêcher que cela se renouvelle
Suppression de la vulnérabilité, ou suppression de l'attaquant
Charte du bon comportement de l'employé
Quelques procédures de sécurité
• Procédures d'intégration et de départ des employés
• Politique de mise à jour des logiciels
• Méthodologie de développement des logiciels
• Définition des responsabilités (organigramme)
• Etc.
III. LES ELEMENTS
D’UNE ARCHITECTURE
SECURISEE
165
Le facteur humain
Le facteur humain est souvent
prépondérant:
Respect des règles de sécurité
Compréhension de l'utilité des règles,
Surcharge induit par les moyens de sécurité
L'ingénierie sociale
Eléments d'architecture
• Pare-feu
• DMZ
• IDS
• Log
Eléments d'architecture
Virtual Private Network
• Seuls les agents autorisés peuvent avoir accès aux réseaux
virtuels
– Authentification des agents
– Chiffrement des communications
• Remarques:
– Le réseau virtuel est un moyen d'accéder à des services
(extension au réseau de la notion de contrôle d'accès aux fichiers)
– On limite délibérément la capacité
d'interconnexion totale proposée par l'Internet
Virtual Private Network
– Le nombre des réseaux virtuels dépend du nombre des
types d'agents (et donc des services accessibles à chaque
type d'agent)
Réseau virtuel Réseau virtuel
 Il existe de nombreuses implémentations du concept de réseau
virtuel :
– Au niveau 2 : VLAN
 Les trames Ethernet sont complétées par un VID
– Au niveau 3 : IPsec+
 Accompagné d'une phase d'authentification (serveur
d'authentification)
 Les paquets sont chiffrés (serveurs de sécurité)
Réseaux virtuels
172
IP TABLES
1-PRÉSENTATION DU PARE-FEU
C’est un système (Matériel ou Logiciel) permettant de protéger un serveur ou un réseau
d'ordinateurs des intrusions provenant d'un réseau tiers (Internet).
Passerelle filtrante comportant au minimum les interfaces réseau suivantes :
Une interface pour le réseau interne à protéger inside
Une interface pour le réseau externe outside.
173
2-CATÉGORIES DE PARE-FEU
Pare-feu sans état (stateless firewall) : C'est le plus vieux dispositif de filtrage réseau, introduit sur les
routeurs. Il regarde chaque paquet indépendamment des autres et le compare à une liste de règles pré
configurées (ACL Cisco par exemple).
Pare-feu à états (stateful firewall) : Les pare-feu à états vérifient la conformité des paquets à une
connexion en cours. C’est-à-dire qu'ils vérifient que chaque paquet d'une connexion est bien la suite du
précédent paquet et la réponse à un paquet dans l'autre sens. Ils savent aussi filtrer intelligemment les
paquets ICMP qui servent à la signalisation des flux IP.
Pare-feu applicatif : Dernière mouture de pare-feu, ils vérifient la complète conformité du paquet à un
protocole attendu. Par exemple, ce type de pare-feu permet de vérifier que seul du protocole HTTP passe
par le port TCP 80. Ce traitement est très gourmand en temps de calcul dès que le débit devient très
important. Il est justifié par le fait que de plus en plus de protocoles réseaux utilisent un tunnel TCP afin de
contourner le filtrage par ports. (CBAC Cisco ou Fixup par exemple) 174
2-CATÉGORIES DE PARE-FEU
Pare-feu identifiant Un pare-feu réalise l’identification des connexions passant à travers le
filtre IP. L'administrateur peut ainsi définir les règles de filtrage par utilisateur et non plus
par adresse IP ou adresse MAC, et ainsi suivre l'activité réseau par utilisateur.
Pare-feu personnel : les pare-feu personnels, généralement installés sur une machine de
travail, agissent comme un pare-feu à états. Bien souvent, ils vérifient aussi quel programme
est à l'origine des données. Le but est de lutter contre les virus informatiques et les logiciels
espions.
Les portails captifs sont des pare-feux dont le but est d'intercepter les usagers d'un réseau
de consultation afin de leur présenter une page web spéciale (par exemple : avertissement,
charte d'utilisation, demande d'authentification, etc.) avant de les laisser accéder à Internet.
175
3-PRÉSENTATION D’IPTABLES :
Iptables est une solution complète de firewall (stateful) de l'espace utilisateur Linux grâce
auquel l'administrateur système peut configurer les chaînes et règles dans le pare-feu en
espace noyau (et qui est composé par des modules Netfilter).
Iptables est l'interface "ligne de commande" permettant de configurer Netfilter.
Différents programmes sont utilisés selon le protocole employé : iptables est utilisé pour le
protocole IPv4, Ip6tables pour IPv6, Arptables pour ARP (Address Resolution Protocol) ou
encore Ebtables, spécifique aux trames Ethernet.
Iptables fonctionne selon un système de tables, ces tables sont composées de chaînes
176
3-PRÉSENTATION D’IPTABLES :
177
4-STRUCTURE DES OPTIONS D'IPTABLES
Beaucoup de commandes iptables ont la structure suivante :
iptables [-t <table-name>] <command> <chain-name> <parameter-1> \ <option-1>

<parameter-n> <option-n>
L'option <table-name> : permet à l'utilisateur de sélectionner une autre table que la table
filter qui utilisé par défaut.
L'option <command> : stipule une action spécifique à accomplir, telle que l'ajout ou
l'élimination d'une règle spécifiée par <chain-name>.
<chain-name> : figurent des paires de paramètres et d'options qui définissent comment

traiter un paquet répondant aux critères de la règle. 178
LES
IDS/IPS SNORT
179
LES IDS/IPS SNORT
A-LES IDS
Afin de détecter les attaques que peut subir un système, il est nécessaire d’avoir un logiciel spécialisé
dont le rôle serait de surveiller les données qui transitent sur ce système, et qui serait capable de réagir
si des données semblent suspectes. Plus communément appelé IDS (Intrusion Detection Systems), les
systèmes de détection d’intrusions conviennent parfaitement pour réaliser cette tâche.
Un système de détection d’intrusion (ou IDS) est un mécanisme destiné à repérer des activités anormales
ou suspectes sur la cible analysée (un réseau ou un hôte) .Il permet ainsi d’avoir une connaissance sur les
tentatives réussies comme échouées des intrusions.
En générale un IDS est un sniffer couplé avec un moteur qui analyse le trafic selon des règles, qui
décrivent un trafic à signaler.
Les IDS sont capables de détecter les logiciels malveillants (virus, ver…), le scan ou le sniff sur un réseau
et les attaques DOS ou DDOS 180
A-LES IDS
 L’IDS peut analyser :
 la couche réseau (IP, ICMP)
 La Couche transport (TCP, UDP)
 La couche application (HTTP, Telnet, …)
 Les Actions d’un IDS sont :
 Journaliser l’événement Source d’information et vision des menaces courantes
 Avertir un système avec un message (Exemple: appel SNMP)
 Avertir un humain avec un message (Courrier électronique, SMS, interface web,…)
 Amorcer certaines actions sur un réseau ou hôte (Exemple: mettre fin à une
connexion réseau, ralentir le débit des connexions,…).
181
2-LES DIFFÉRENTS TYPES DES IDS
Il existe trois grandes familles distinctes d’IDS :
 Les NIDS (Network based Intrusion Detection System), qui surveillent l'état de la
sécurité au niveau du réseau.
 Les HIDS (Host based Intrusion Detection System), qui surveillent l'état de la sécurité
au niveau des hôtes.
 Les IDS hybrides, qui utilisent les NIDS et HIDS pour avoir des alertes plus
pertinentes.
182
LES NIDS
Un NIDS est un type d’IDS qui surveille l’ensemble du réseau, et se découpe en trois grandes parties
: La capture, les signatures et les alertes.
 La capture :
La capture sert à la récupération de trafic réseau. En général cela se fait en temps réel, bien
que certains NIDS permettent l'analyse de trafic capturé précédemment, la plupart des NIDS
utilisent l’interface de programmation pcap « packet capture » pour capturer un trafic réseau,
cette interface estimplémentée sous les systèmes GNU/Linux, Mac OS X par la bibliothèque
libpcap. « WinPcap est le portage sous Windows de libpcap »
Le fonctionnement de la capture d'un NIDS est donc en général fortement lié à cette libpcap.
Son mode de fonctionnement est de copier (sous Linux) tout paquet arrivant au niveau de la
couche liaison de données du système d'exploitation. Une fois ce paquet copié, il lui est appliqué
un filtre BPF (Berkley Packet Filter, un langage permettant de filtrer les paquets échangés sur
un réseau), correspondant à l'affinage de ce que l'IDS cherche à récupérer comme information.
183
LES NIDS
Les Signatures :
Les bibliothèques de signatures rendent la démarche d'analyse similaire à celle des antivirus
quand ceux-ci s'appuient sur des signatures d'attaques. Ainsi, le NIDS est efficace s'il connaît
l'attaque, mais inefficace dans le cas contraire.
Les outils commerciaux ou libres ont évolué pour proposer une personnalisation de la
signature afin de faire face à des attaques dont on ne connaît qu'une partie des éléments.
Les outils à base de signatures requièrent des mises à jour très régulières.
184
LES NIDS
Les Alertes
Lorsqu’un IDS détecte une intrusion, il doit signaler à l’administrateur, et ce à travers les
alertes. Ces alertes peuvent être enregistrées dans des fichiers logs ou dans une base de
données où il est possible de les consulter plus tard par un expert de sécurité.
185
LES HIDS
Les HIDS (Host based IDS), signifiant "Système de détection d'intrusion machine" sont des IDS dédiés à un
matériel ou système d'exploitation. Généralement, contrairement à un NIDS, le HIDS récupère les
informations qui lui sont données par le matériel ou le système d'exploitation. Il y a pour cela plusieurs
approches : signatures, comportement (statistiques) ou délimitation du périmètre avec un système d'ACL.
Un HIDS se comporte comme un daemon ou un service standard sur un système hôte qui détecte une
activité suspecte en s’appuyant sur une norme. Si les activités s’éloignent de la norme, une alerte est
générée.
La machine peut être surveillée sur plusieurs points :
 Activité de la machine : nombre et listes de processus ainsi que d'utilisateurs, ressources
consommées, ...
 Activité de l'utilisateur : horaires et durée des connexions, commandes utilisées, messages envoyés,
programmes activés, dépassement du périmètre défini...
 Activité malicieuse d'un ver, virus ou cheval de Troie
Un autre type d’HIDS cherche les intrusions dans le noyau (kernel) du système, et les modifications qui
y sont apportées. Certains appellent cette technique «analyse protocolaire».
186
IDS HYBRIDE
Les IDS hybrides rassemblent les caractéristiques de NIDS et HIDS. Généralement utilisés
dans un environnement décentralisé, ils permettent, en un seul outil, de surveiller les
réseaux et les terminaux. Les sondes sont placées en des points stratégiques, et agissent
comme NIDS et/ou HIDS suivant leurs emplacements. Toutes ces sondes remontent alors les
alertes à une machine qui va centraliser le tout, et agréger ou lier les informations d'origines
multiples.
187
3-LES MÉTHODES DE DÉTECTION
Les principales méthodes :
 Vérification de la pile protocolaire et des protocoles applicatifs
 Détection des violations de protocole
 mise en évidence des paquets invalides
 Reconnaissance des attaques par pattern matching
 La signature
 Comportementale
 Basée sur le comportement « normal » du système
 Une déviation par rapport à ce comportement est considérée suspecte
 Le comportement doit être modélisé : on définit alors un profil (Exemple de profil : Volumes des
échanges réseau - Appels systèmes d’une application Commandes usuelles d’un utilisateur)
 Une attaque peut être détectée sans être préalablement connue
 Complexité de l’implémentation et du déploiement
 Les faux positifs sont nombreux
188
4-LES AVANTAGES ET LES INCONVÉNIENTS DES IDS
Les NIDS ont pour avantage d'être des systèmes temps réel et ont la possibilité de découvrir des attaques
ciblant plusieurs machines à la fois.
Leurs inconvénients sont le taux élevé de faux positifs qu'ils génèrent, le fait que les signatures aient
toujours du retard sur les attaques de type 0day et qu'ils peuvent être la cible d'une attaque.
Le HIDS a pour avantage de n'avoir que peu de faux positifs, permettant d'avoir des alertes pertinentes.
Quant à ses inconvénients il faut configurer un HIDS par poste et demande une configuration de chaque
système.
Les avantages des IDS hybrides sont la meilleure corrélation et la Possibilité de réaction sur les
analyseurs Et leurs inconvénients sont le taux élevé de faux positifs qu'ils génèrent. 189
4-LES AVANTAGES ET LES INCONVÉNIENTS DES IDS
190
B-LES IPS
1- Présentation générale des IPS
Un système de prévention d'intrusion (ou IPS, Intrusion Prevention System) est un outil des
spécialistes en sécurité des systèmes d'information, similaire aux IDS, permettant de
prendre des mesures afin de diminuer les impacts d'une attaque, il peut détecter un balayage
automatisé et bloquer les ports automatiquement. Les IPS peuvent donc parer les attaques
connues et inconnues, Comme les IDS, ils ne sont pas fiables à 100 % et risquent même en
cas de faux positif de bloquer du trafic légitime.
191
2-LES DIFFÉRENTS TYPES DES IPS
 Les HIPS
(Host-based Intrusion Prevention System) qui sont des IPS permettant de surveiller le poste de
travail à travers différentes techniques, ils surveillent les processus, les drivers, les .dll etc. En
cas de détection de processus suspect le HIPS peut le tuer pour mettre fin à ses agissements.
Les HIPS peuvent donc protéger des attaques de buffer overflow.
 Les NIPS
(Network Intrusion Prevention System) sont des IPS permettant de surveiller le trafic réseau,
ils peuvent prendre des mesures telles que terminer une session TCP. Une déclinaison en WIPS
(Wireless Intrusion Prevention System) est parfois utilisée pour évoquer la protection des
réseaux sans-fil.
 les KIPS
(Kernel Intrusion Prevention System) sont des IPS permettant de détecter toutes tentatives
d'intrusion au niveau du noyau, mais ils sont moins utilisés. 192
3-LES AVANTAGES ET LES INCONVÉNIENTS DES IPS
Les Avantages d’un IPS : les attaques sont bloquée immédiatement.
L'IPS peut comporter plusieurs outils et méthodes pour empêcher les attaquant d'accéder au
réseau, tels qu'un coupe-feu et un antivirus.
Les inconvénients sont :
Les IPS bloquent tout ce qui parait infectieux à leurs yeux, mais n'étant pas fiable à 100 % ils
peuvent donc bloquer malencontreusement des applications ou des trafics légitimes.
Ils laissent parfois passer certaines attaques sans les repérer, et permettent donc aux
pirates d'attaquer un PC.
Ils sont peu discrets et peuvent être découverts lors de l'attaque d'un pirate qui une fois qu'il
aura découvert l'IPS s'empressera de trouver une faille dans ce dernier pour le détourner et
arriver à son but.
193
4-L’emplacement des IDS/IPS
Devant et derrière le firewall:
Devant : beaucoup d’alertes
Derrière : voir ce que le firewall a laissé passer
Dans la DMZ :
 Protection minimale, cibles en première ligne
 Spécification du trafic autorisé assez simple (HTTP, DNS, mail)
194
4-L’emplacement des IDS/IPS
 Dans le système d’information, près des utilisateurs:
 HIDS : problème de l’impact sur les hôtes
 NIDS : problème des réseaux switchés
 problème : données personnelles/privées/confidentielles
 Intégration à l’OS
195
SNORT
SNORT est un Système de Détection d’Intrusion de réseau (NIDS) Open Source, capable d’analyser en
temps réel le trafic sur les réseaux IP. C’est une application développée en langage C par Martin ROESH en
1998 .
Snort est capable d’effectuer une analyse du trafic réseau en temps réel et est doté de différentes
technologies de détection d’intrusions telles que l’analyse protocolaire et le pattern matching, il peut
détecter de nombreuses types d’attaques comme : les logiciels malveillants, le buffer overflows
(débordements de tampons), scans de ports et le sniffing.
Il est léger, ne dispose pas d’interface graphique, peu coûteux en ressources et peut être déployé dans les
environnements Linux et Windows.
Snort est doté d’un langage de règles permettant de décrire le trafic. De plus, son moteur de détection
utilise une architecture modulaire de plugins.
Snort est principalement dédié aux acteurs de la sécurité réseaux. En effet, sa fonction IDS permet une
surveillance des réseaux permettant de détecter et d’alerter en cas de tentative d’intrusion sur le réseau.
196
SNORT: Mode de fonctionnement
SNORT peut fonctionner sous trois modes :
Le mode sniffer « hors ligne » qui se contente de lire les paquets qui circulent sur le réseau
et de les afficher de manière continue à l’écran.
Il s’agit d’écouter le réseau, en tapant une ou plusieurs lignes de commandes qui indiqueront
à SNORT le type de résultat à afficher.
Le mode « packet logger » qui enregistre les paquets sur le disque. Ce mode est en tout
point similaire au précédent, à ceci près que les logs ne s’affiche plus à l’écran, mais
s’inscrivent directement dans un fichier de log. Le répertoire naturel de log de snort étant
/var/log/snort/.
Le mode NIDS Plus configurable, qui permet d’analyser le trafic sur le réseau en suivant des
règles définies par l’utilisateur et d’établir des actions à exécuter suivants les cas.
197
SNORT: Mode de fonctionnement
SNORT utilise pour cela des règles pour détecter les intrusions. Il existe aujourd’hui environ
1500 règles différentes, chacune s’adaptant à un cas particulier. On peut créer des règles
pour observer une activité particulière sur le réseau : pings, scans, faille dans un script,
tentative de prise de contrôle à distance, les alertes peuvent être enregistrées dans un
fichier particulier ou directement dans le syslog ou encore dans une base de données.
198
3-ARCHITECTURE SNORT
L’architecture de SNORT est organisée en modules qui sont :
Décodeur de paquet (Packet Decoder): il capture les paquets de données des

interfaces réseaux, les prépare afin d’être prétraitées ou envoyées au moteur de
détection.
Pré processeur (Pre processor) : ce sont des composants utilisés avec SNORT
afin d’améliorer les possibilités d’analyse, et de recomposition du trafic capturé. Ils
reçoivent les paquets, les retraitent et les envoient au moteur de détection.
199
3-ARCHITECTURE SNORT
Moteur de détection (Detection Engine) : c’est le composant le plus important de SNORT. Son
rôle consiste à détecter les éventuelles intrusions qui existent dans un paquet. Pour se faire,
le moteur de recherche se base sur les règles de SNORT. En effet, ce moteur consulte ces
règles et les compare une à une avec le paquet de données. S’il y a conformité, le détecteur
l’enregistre dans le fichier log et/ou génère une alerte. Sinon le paquet est laissé tomber.
Système d’alerte et d’enregistrement des logs (Logging and Alerting System): il permet de
générer les alertes et les messages log suivant ce que le moteur de détection a trouvé dans
le paquet analysé.
Output modules (ou plugins) : permet de traiter l’intrusion générée par le système d’alertes
et de notation de plusieurs manières : envoie vers un fichier log, génère un message d’alerte
vers un serveur syslog, ou stocke cette intrusion dans une base de données comme MySQL
ou Oracle. 200

Supervision Reseaux 21-22

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Supervision Reseaux 21-22

Transféré par

Droits d'auteur :

Formats disponibles

BIENVENU

B. LA SECURITE DES RESEAUX

Une défaillance peut être normale lorsqu’elle est prévue.

La méthode passive présente plusieurs intérêts. D’abord elle est moins

Super vision bas niveau : iptables

Il n’y a pas d’outil à tout faire. À chaque administrateur de trouver la combinaison de

Il n’y a pas d’outil à tout faire. À chaque administrateur de trouver la combinaison

La gestion des traces appartient très clairement à la 3ème catégorie, puisqu’elle

Le rôle de l’administrateur est de définir les organes à surveiller / ce qu’il

Remarques sur les mécanismes de sécurité

iptables [-t <table-name>] <command> <chain-name> <parameter-1> \ <option-1>

<chain-name> : figurent des paires de paramètres et d'options qui définissent comment

Décodeur de paquet (Packet Decoder): il capture les paquets de données des

Vous aimerez peut-être aussi