Académique Documents
Professionnel Documents
Culture Documents
Préparé par
Mathlouthi Zied, Chehit Hamza,
Encadré par
Mr Hamdi Wahid et Mrs Gharbi Hanene
1
A mes chers parents Kamel et Fayza
Qui m’ont fourni les meilleures conditions pour terminer mes études,
Vous avez guidé mes premiers pas, vous m’avez toujours servi de
Je vous dédie ce modeste travail qui n’est d’autre que le fruit de vos
Nobles sacrifices.
Qui n’ont cessé d’être pour moi des exemples de persévérance, de courage et de générosité, et à qui je
souhaite plus de succès
Hamza
Dédicaces
2
A mes parents Habib et Zaara
De l’amour et de l’affection
A toute ma famille
Encadreurs.
Je leur dédie ce modeste travail que dieu leur procure bonne santé
Et longue vie.
Zied
Remerciements
3
Nous tenons tout d’abord à remercier Dieu le tout puissant et miséricordieux, qui nous
a donné la force et la patience d’accomplir ce travail.
Nous consacrons ces mots en signe de gratitude et de reconnaissance à tous ceux qui
ont contribué, de près ou de loin, à la réalisation de ce projet. Qu’ils veuillent trouver ici nos
termes les plus sincères remerciements.
Toute notre gratitude et nos vifs remerciements s’adressent à nos chères encadrant
Mr Hamdi Wahid et Mrs Gharbi Hanene pour la qualité de leur encadrement, pour leurs
conseils et leurs aides ainsi que leurs critiques et orientations tout au long de notre réalisation
de ce projet.
Nous désirons en autre remercier tous les enseignements qui ont assuré les meilleurs
de leurs connaissances et de leurs patiences durant nos études à ISET Tozeur.
Nous adressons nos honorables respects au président de jury, aux membres de jury et à
tous ceux qui ont bien voulu accepter d'examiner et d'évaluer ce travail.
Sommaire
Introduction Générale..............................................................................................................................................12
Chapitre 1 : Présentation et Analyse du Problème..................................................................................................13
Introduction :...........................................................................................................................................................14
I. Présentation de l’organisation d’accueil TOPNET :.......................................................................................14
II. Problématique :..........................................................................................................................................16
4
III. Présentation du Projet :..............................................................................................................................16
IV. Planning :...................................................................................................................................................17
Conclusion :............................................................................................................................................................17
Chapitre 2 : Etude Conceptuelle.............................................................................................................................18
Introduction :...........................................................................................................................................................19
I. Les Norme ISO :.............................................................................................................................................19
II. Norme ISO 27001 :....................................................................................................................................20
1. Définition :.................................................................................................................................................20
2. Objectif de la Norme ISO 27001 :.............................................................................................................20
3. Structure de la Norme ISO 27001 :............................................................................................................21
3.1. Phase Planifier :.................................................................................................................................21
3.2. Phase Développer :............................................................................................................................22
3.3. Phase Contrôler :...............................................................................................................................22
3.4. Phase Ajuster :...................................................................................................................................22
4. Apports de la norme ISO 27001 :..............................................................................................................23
III. Analyses Des Risques :..............................................................................................................................24
1. Ebios :........................................................................................................................................................24
2. Mehari :......................................................................................................................................................25
3. Fair :...........................................................................................................................................................26
4. CRAMM :..................................................................................................................................................26
5. Comparaison des méthodes d’analyses des risques :.................................................................................27
6. Choix de la méthode d’analyse des risques :.............................................................................................28
IV. Etude des Solutions centre opérationnelle de sécurité :.............................................................................28
1. Les Solutions Payante :..............................................................................................................................29
1.1. Security Event Manager :..................................................................................................................29
1.2. Qradar :..............................................................................................................................................29
1.3. Etude Comparatif :............................................................................................................................30
2. Les Solutions Open Source Gratuite :........................................................................................................30
2.1. RockNSM :........................................................................................................................................31
2.1.1. Définition :....................................................................................................................................31
2.1.2. Fonctionnalités :............................................................................................................................32
2.2. Security Onion :................................................................................................................................33
2.2.1. Définition :....................................................................................................................................33
2.2.2. Fonctionnalités :............................................................................................................................33
2.3. Eyes Of Network :.............................................................................................................................34
2.3.1. Définition :....................................................................................................................................34
2.3.2. Fonctionnalités :............................................................................................................................34
2.4. Etude Comparatif :............................................................................................................................35
5
V. Choix de Solution :......................................................................................................................................36
1. Définition Security Onion :..........................................................................................................................36
2. Architecture interne de Security Onion :......................................................................................................37
3. Aspects techniques de Security Onion :.....................................................................................................38
3.1. Suricata :............................................................................................................................................38
3.2. OSSEC/HIDS (wazuh) :....................................................................................................................39
3.3. Moniteur de sécurité Bro (zeek) :......................................................................................................40
3.4. Stenographer :...................................................................................................................................40
3.5. Elasticsearch :....................................................................................................................................41
3.6. Logstash :..........................................................................................................................................41
3.7. Kibana :.............................................................................................................................................42
3.8. Grafana :............................................................................................................................................42
4. Architecture de solution :.............................................................................................................................43
Conclusion :............................................................................................................................................................44
Chapitre 3 : Réalisation de la solution....................................................................................................................45
Introduction :...........................................................................................................................................................46
I. Installation de Security Onion :.......................................................................................................................46
II. Définition des composants de Security Onion :.........................................................................................53
III. Configuration Security Onion:...................................................................................................................55
1. Configuration filebeat :..............................................................................................................................56
2. Configuration Kibana :..............................................................................................................................56
3. Configuration wazuh :................................................................................................................................57
4. Configuration du port mirroring :..............................................................................................................58
IV. Les Dashboard du solution SO :................................................................................................................58
1. Dashboard Grafana:...................................................................................................................................59
2. Dashboard Kibana :....................................................................................................................................61
3. Dashboard Alert:........................................................................................................................................62
4. Dashboard wazuh :.....................................................................................................................................63
V. Les scenarios d’attaque et validation de test :............................................................................................65
1. Scenario 1 : Brute Force (Attaque par force Brute) :.................................................................................65
2. Scenario : DDOS (déni de service distribué).............................................................................................67
Conclusion :............................................................................................................................................................68
Conclusion Générale...............................................................................................................................................69
Références...............................................................................................................................................................70
6
Liste Des Tableaux
7
Liste des figures
8
Figure 12 : Logo Ossec--------------------------------------------------------------------------------------------------------39
Figure 13 : Architecture Ossec-----------------------------------------------------------------------------------------------39
Figure 14 : Logo Bro----------------------------------------------------------------------------------------------------------40
Figure 15 : Logo Elasticsearch-----------------------------------------------------------------------------------------------41
Figure 16 : Logo Logstash----------------------------------------------------------------------------------------------------41
Figure 17 : Logo Kibana------------------------------------------------------------------------------------------------------42
Figure 18 : Logo Grafana-----------------------------------------------------------------------------------------------------42
Figure 19 : Architecture de solution-----------------------------------------------------------------------------------------43
Figure 20 : importation l'image Iso------------------------------------------------------------------------------------------46
Figure 21 : installation Security Onion--------------------------------------------------------------------------------------47
Figure 22 : Début d'installation-----------------------------------------------------------------------------------------------47
Figure 23 : type d'installation-------------------------------------------------------------------------------------------------48
Figure 24 : Nom de serveur---------------------------------------------------------------------------------------------------48
Figure 25 : adresse IP----------------------------------------------------------------------------------------------------------48
Figure 26 : Connection internet----------------------------------------------------------------------------------------------49
Figure 27 : Réseau domestique-----------------------------------------------------------------------------------------------49
Figure 28 : Le chouia de type de gestionnaire------------------------------------------------------------------------------49
Figure 29 : Outil Zeek, Suricata----------------------------------------------------------------------------------------------50
Figure 30 : Installation des Composant Security Onion-------------------------------------------------------------------50
Figure 31 : E-mail de Connexion--------------------------------------------------------------------------------------------50
Figure 32 : Mot de Passe de Connexion------------------------------------------------------------------------------------51
Figure 33 : L’utilisation de type de configuration-------------------------------------------------------------------------51
Figure 34 : Nombre de Zeek--------------------------------------------------------------------------------------------------51
Figure 35 : Nombre de Suricata----------------------------------------------------------------------------------------------51
Figure 36 : Le type de configuration-----------------------------------------------------------------------------------------52
Figure 37 : Adresse IP---------------------------------------------------------------------------------------------------------52
Figure 38 : Confirmation des Options---------------------------------------------------------------------------------------52
Figure 39 : Status Security Onion--------------------------------------------------------------------------------------------53
Figure 40 : Configuration filebeat-------------------------------------------------------------------------------------------56
Figure 41 : Wazuh manager--------------------------------------------------------------------------------------------------57
Figure 42 : Création d'un agent wazuh--------------------------------------------------------------------------------------57
Figure 43 : Dashboard Grafana-----------------------------------------------------------------------------------------------59
Figure 44 : Graphe Grafana---------------------------------------------------------------------------------------------------60
Figure 45 : Dashboard Kibana------------------------------------------------------------------------------------------------61
Figure 46 : Dashboard des Alertes-------------------------------------------------------------------------------------------62
Figure 47 : Dashboard Wazuh------------------------------------------------------------------------------------------------63
Figure 48 : détail d'une alerte-------------------------------------------------------------------------------------------------64
Figure 49 : Tentative d'accès-------------------------------------------------------------------------------------------------65
Figure 50 : Authentification échouée----------------------------------------------------------------------------------------66
Figure 51 : Le détail de l’alerte-----------------------------------------------------------------------------------------------66
Figure 52 : avancement d'une attaque DDOS------------------------------------------------------------------------------67
Figure 53 : Détail alerte DDOS----------------------------------------------------------------------------------------------68
9
Liste d’acronyme
IP Internet Protocol
10
SSH Secure Shell
TI Technologies de l’information
INTRODUCTION GÉNÉRALE
La sécurité de l’information est une problématique majeure pour toute entreprise quelle que
soit sa grandeur dans le marché et quelques soit son domaine d’activité.
Les attaques d’entreprises sont de plus en plus diversifiées en utilisant des vulnérabilités dans
leurs systèmes d’exploitation, des architectures logicielles ou bien des mauvaises
manipulations d’individue.
Dans ce cadre, plusieurs organismes essaient d’adopter des processus de gestion de risque
pour identifier les risques et y remédier.
11
système d’information concerné. Afin d’avoir une vision globale et cohérente sur l’état de
sécurité de sa plateforme, le département service internet de TOPNET a décidé d’élaborer un
tableau de bord de sécurité à l’aide d’une solution SOC. Ce qui fera l’objet de ce projet de fin
d’études.
Ce rapport est composé de 3 chapitres qui sont organisés comme suit : dans le premier
chapitre nous présenterons la société TOPNET, Problématique pour notre projet, Présentation
du projet et on termine par un plan pour notre travail.
Dans le deuxième chapitre, nous nous intéresserons au premier lieu d’identifier les norme
ISO, méthode d’analyse des risques avec une comparaison, au deuxième lieu nous allons faire
une étude des solutions opérationnelle de sécurité (payante, gratuite) avec une comparaison et
enfin nous nous intéresserons à la conception de la solution que nous avons choisie, et son
architecture.
Dans le troisième chapitre, nous allons expliquer les étapes de la mise en place de la solution,
la réalisation et validation de tests par des exemples d’attaques de la plateforme de TOPNET.
12
Chapitre 1
INTRODUCTION :
Ce chapitre sera consacré à une représentation du cadre générale de notre projet.
Cette partie portera la présentation d’accueil TOPNET et présentation du projet
TOPNET est un FSI, leader sur le marché d’Internet en Tunisie, qui a enregistré un
taux de croissance soutenue depuis sa création. Il offre ses services à la fois au grand
public et au marché professionnel. Il opère directement via son réseau d’agences
commerciales, mais également à travers un réseau comprenant plusieurs centaines de
distributeurs, ainsi qu’à travers les moyens de vente en ligne. Ses produits couvrent tous
13
les modes d’accès à Internet (ADSL, téléphone,) et il propose différentes formules
commerciales (post-payé, prépayé, forfaits, gratuités,).
Agences 15 Agences
14
TOPNET en point de vue hiérarchique :
TOPNET comme d’autres organisations nécessitent une hiérarchie plus ou moins forte
pour pouvoir fonctionner. Une meilleure organisation de l’entreprise suppose une
hiérarchie plus poussée, c’est la base de l’organisation du travail.
15
Figure 1 : Organigramme de TOPNET
II. PROBLÉMATIQUE :
Le système d’information du TOPNET est de grande taille et distribue sur plusieurs sites
« data center », d’où la difficulté de faire un suivi en temps réel des menaces probable
La détection d’une attaque n’est pas facile et demande plusieurs analyses pour connaitre la
source, le type et la cause.
En fait, une entreprise qui cherche à se protéger doit déployer plusieurs dispositifs de
défense et d’outils d’observations performants pour détecter les éventuelles failles.
Un centre opérationnel de sécurité (SOC) est une installation abritant une unité de
sécurité chargée de surveiller et d’analyser en permanence le dispositif de sécurité d’une
entreprise. L’objectif du SOC est de détecter, analyser et intervenir en cas d’incidents lié à la
cybersécurité.
16
Le présent projet consiste à étudier les différentes solutions permettant de mettre en
place une plateforme SOC (Security Opération center) présentes sur le marché et à mettre en
place une solution adaptée aux spécificités et aux contraintes de TOPNET.
IV. PLANNING :
Plan de Travail
Figure 2 : Plan de travail
CONCLUSION :
Réalisation de la Solution
Conception de Solution
Rapport
Documenttion/Recherche
0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15
Début Durée
Comme le montre ce chapitre, Nous avons présente la société TOPNET avec notre
problématique et une description du projet et nous avons terminé par un plan de travail
17
Chapitre 2
ETUDE CONCEPTUELLE
18
INTRODUCTION :
Dans ce chapitre, au premier lieu nous allons voire la norme iso et son objectif, et en va voire
quelque méthode d’analyses des risques avec leurs comparaison et le choix de solution et On
termine par l’architecture et les composent a utilisé.
Il Ya plusieurs norme, chaque norme et spécifie pour quelque tâche par exemple :
19
II. NORME ISO 27001 :
1. Définition :
La certification ISO/IEC 27001 démontre aux clients, existants et potentiels, qu’une
organisation a défini et mis en œuvre des processus de sécurité de l’information selon les
bonnes pratiques à suivre. La norme ISO 27001 est la seule norme auditable
internationalement qui définisse les exigences pour un système de management de la sécurité
de l’information (ISMS – Information Security Management System).
20
3. Structure de la Norme ISO 27001 :
La norme ISO 27001 se compose de onze chapitres qui sont divisés en quatre phases comme
la montre la figure suivante : [2]
Attentes et
Sécurité
Exigences en
effective fournie
termes de
sécurité
Partenaires Partenaires
Fournisseurs Fournisseurs
Clients Clients
Pouvoirs Pouvoirs
Publics Publics
Services Services
Cette phase consiste à définir les objectifs du SMSI. Elle est constituée de quatre étapes :
21
3.2. Phase Développer :
Cette phase consiste à mettre en place les objectifs initialement définis. Elle est composée
de quatre étapes :
22
4. Apports de la norme ISO 27001 :
23
III. ANALYSES DES RISQUES :
Le choix de la méthode ou des méthodes nécessaires pour réaliser l’analyse des risques est
primordial. Il n’existe pas une méthode unique miraculeuse qui permettrait à toutes les
entreprises de toutes tailles et de tous secteurs d’analyser leurs risques afin de déterminer les
mesures de prévention. Il existe donc des méthodes avec des objectifs différents, selon le
besoin de l’entreprise dans la mise en place de son système dynamique de gestion des risques.
1. Ebios :
Etude du Contexte
Identification des
objectifs de Sécurité
Détermination des
exigences de Sécurité
La phase d’analyse des risques : Cette phase permet de détecter les scénarios de risques qui
peuvent remettre en cause un des objectifs de sécurité de l’organisation. Il s’agit d’élaborer
des scénarios de risque et d’effectuer un diagnostic des services de sécurité.
La phase de planification du traitement des risques : Cette phase consiste à analyser les
scénarios de risque afin d’identifier et décider du traitement à adopter.
25
3. Fair :
Fair est l’acronyme de « Factor Analysis of Information Risk » est une méthode d'analyse des
risques Elle permet aux entreprises de parler le même langage sur le risque, appliquer
l’évaluation des risques à un actif de l'organisation, voir les risques organisationnels dans leur
totalité et comprendre combien de temps et d’argent seront affectés au profil de sécurité de
l'organisation. Elle est conforme à la norme ISO/CEI 27001. [4]
4. CRAMM :
CRAMM est l’acronyme de « CCTA Risk Analysis and Management Method » est une
méthode exhaustive assez lourde, réservée aux grandes entreprises. Elle est composée de trois
phases : Identification de l’existant, évaluation des menaces et des vulnérabilités et choix des
remèdes. [3]
26
5. Comparaison des méthodes d’analyses des risques :
Le tableau suivant résume les caractéristiques de ces quatre méthodes d’analyse des risques :
Les méthodes présentées permettent d’étudier les systèmes et les installations à différents
instants de leurs cycles de vie.
D’après cette étude, nous pouvons conclure qu’il n’y a pas une grande différence entre
chaque méthode, mais chacune se caractérise par ses propres propriétés.
La méthode de gestion des risques parfaite n’existe pas : il faut faire un choix entre les
différentes méthodes afin de savoir laquelle s’adapte le mieux aux objectifs à atteindre et aux
caractéristiques de l’entreprise.
27
6. Choix de la méthode d’analyse des risques :
Après l’étude comparative des principales méthodes d’analyse des risques, nous avons décidé
d’opter pour la méthode MEHARI. En effet, cette méthode est compatible avec la norme ISO
27001. Elle contient une documentation riche pour chacune de ses phases.
Un SIEM agrège les données provenant des périphériques de sécurité. Alors, un événement
apparaissant plusieurs fois dans plusieurs sources différentes peut être corrélé. En plus des
points cités plus haut, un SIEM fournit la capacité d’investigation (Forensic) à l’équipe CIRT.
Cette dernière pourra entreprendre des mesures, escaladée l’incident ou simplement de le
documenter. Quelques avantages d’un SIEM :
La supervision de la sécurité réseau réactive est la forme la plus utilisée. Elle consiste à la
recherche d’incidents, à apporter une réponse aux incidents et à l’investigation de réseau.
28
Il existe des solutions de supervision payante et d’autre qui sont open source gratuite.
Qradar
1.1. Security Event Manager :
Utilisent des outils d'inspection des données pour centraliser le stockage et l'interprétation des
journaux ou des événements générés par d'autres logiciels s'exécutant sur un réseau.[5]
1.2. Qradar :
Security Information and Event Management (SIEM) aide les équipes de sécurité à
détecter et hiérarchiser avec précision les menaces dans toute l'entreprise et fournit des
éclairages intelligents qui permettent de réagir rapidement afin de réduire l'impact des
incidents. [6]
Centre d’opérations de sécurité « SOC » et tableaux de bord de gestion configurables
Détection de menaces avancées
Moniteur de santé 24 heures sur 24, 7 jours sur 7
Partage de services pour les fournisseurs de services
29
Critère Fonctionnels Security Event Manager Qradar
Comme tous types de logicielle, il existe un grand nombre de solutions open source
gratuite de supervision de sécurité
RockNSM
Security Onion
EYES-OF NETWORK
2.1. RockNSM :
30
Figure 6 : Logo RockNSM
2.1.1. Définition :
ROCK est une plateforme de collecte, dans l'esprit du Network Security Monitoring par des
contributeurs de toute l'industrie et du secteur public. Son objectif principal est de fournir une
plate-forme de capteurs robuste et évolutive pour les missions de surveillance de la sécurité et
de réponse aux incidents. La plate-forme se compose de 3 fonctionnalités principales : [7]
• Acquisition passive de données via AF_PACKET, systèmes d'alimentation pour les
métadonnées « Zeek », détection de signature « Suricata » et capture de paquets complets
« Stenographer ».
• Une couche de messagerie « Kafka et Logstash » qui offre une flexibilité dans la mise à
l'échelle de la plate-forme pour répondre aux besoins opérationnels, ainsi qu'une certaine
fiabilité des données en transit.
• Stockage et indexation fiables des données « Elasticsearch » pour prendre en charge la
récupération et l'analyse rapides « Kibana » des données.
2.1.2. Fonctionnalités :
• Capture complète de paquets via Google Stenographer
• Analyse de protocole et métadonnées via Bro
• Alerte basée sur les signatures via Suricata
• Analyse récursive des fichiers via FSF.
• La sortie de Suricata et FSF est déplacée vers la file d'attente de messages via Filebeat
• Message Queuing et distribution via Apache Kafka
31
• Transport de messages via Logstash
• Stockage, indexation et recherche de données via Elasticsearch
32
2.2.1. Définition :
Security Onion est une distribution Linux gratuite et ouverte pour la recherche de menaces, la
surveillance de la sécurité d'entreprise et la gestion des journaux.
Security Onion est utilisé par les équipes de sécurité du monde entier pour surveiller et
défendre leurs entreprises [8]
2.2.2. Fonctionnalités :
Analyse de la sécurité
Détection d’intrusion
Analyse des données des journaux
Surveillance de l’intégrité de fichier
Détection de vulnérabilité
Evaluation de configuration
Réponses aux incidents
Conformité règlementaire
Sécurité Cloud
33
2.3.1. Définition :
Eyes Of Network « EON » est une solution complète de supervision, basée sur la distribution
GNU/Linux CentOS, gérée et administrée via une interface web, qui est accessible par tous
les acteurs d’un système d’informations avec une vue correspondant à chacun de leur métier.
EON est open source et sous licence GPL2, qui englobe plusieurs outils de supervision
monitoring et de gestion, chacun d’eux est spécialisé pour effectuer une tache spécifique de
supervision : [9]
2.3.2. Fonctionnalités :
Notre étude comparative, nous donnons le tableau comparatif ci-dessous qui résume les
différentes caractéristiques des outils de supervision open source précédemment cités, qui
présentent les points faibles et les points forts de ces derniers. Ce qui nous aide bien
évidemment à prévoir le meilleur choix de la solution adoptée pour la phase de supervision.
34
Critère Fonctionnels RockNSM Security Onion Eyes of network
Création des graphes simple à partir des mesures Oui Oui Oui
L’avantage de ces logiciels libres est la gratuité, la disponibilité du code source et la liberté
d’étudier et de modifier le code selon nos besoins et de le diffuser De plus, il existe une
communauté importante d’utilisateurs et de développeurs qui participent à l’amélioration des
logiciels et apportent une assistance par la mise en ligne des documentations et des
participations aux forums.
V. CHOIX DE SOLUTION :
En se basant, sur l’étude des solutions précédemment citées nous a estimé Security Onion a
été la solution la plus adaptée aux besoins de notre projet pour plusieurs raisons, En effet
Security Onion combine deux outils très efficaces et connus dans le domaine de monitoring, il
35
inclut d’autres applications intégrées de supervision répondant aux différents besoins de
supervision, qu’on va les détailler plus tard.
Security Onion est une distribution Linux gratuite et open source pour la détection des
intrusions, la surveillance de la sécurité d'entreprise et la gestion des journaux. Il comprend
plusieurs composants :
Snort
Suricata
Bro
Wazuh
CyberChef
36
Cette partie sera consacrée à l’architecture et au déploiement de la solution open source que nous
avons choisie. [10]
37
3. Aspects techniques de Security Onion :
En tant que distribution Linux basée sur Ubuntu, Security Onion contient plusieurs outils de
sécurité comme Suricata, Bro, ELK (qui sont maintenant Elasticsearch + Logstash + Kibana)
et quelques autres, tous ces outils sont intégrés dans le système, l'utilisation de ces
fonctionnalités est assez facile à mettre en place car la complémentarité configurée pour elles
est relativement facile à faire pivoter entre chacune d'elles.
L'objectif principal de ces outils est la détection des intrusions et la surveillance du processus
du réseau en gardant une attention particulière sur les événements de sécurité au sein du
réseau. Maintenant, pour comprendre un peu mieux les fonctions de chaque outil, nous
devons en décrire quelques-uns qui sont les outils les plus utilisés ou les plus pertinents inclus
dans Security Onion :
3.1. Suricata :
Suricata est un moteur de détection des menaces réseau gratuit et open source, mature, rapide
et robuste.
Le moteur Suricata est capable de détecter les intrusions en temps réel (IDS), de prévenir les
intrusions en ligne (IPS), de surveiller la sécurité du réseau (NSM) et de traiter les PCAP hors
ligne.
Suricata inspecte le trafic réseau à l'aide d'un langage de signature et de règles puissant et
complet, et dispose d'un puissant support de script Lua pour la détection de menaces
complexes. [11]
38
3.2. OSSEC/HIDS (wazuh) :
OSSEC est un système de détection d'intrusion hôte, les caractéristiques techniques de cet
outil sont les suivantes : [12]
Détection des rootkits
Réponse active et notification en temps réel
Architecture système basée sur un service centralisé hébergé par un serveur et
plusieurs agents installés dans les équipements à surveiller.
Système de vérification des fichiers
Le moniteur Bro comprend des fonctionnalités qui peuvent être utilisées pour analyser
les protocoles réseau les plus courants.
Les informations peuvent être rassemblées dans une base de données et peuvent être
consultées via ELK qui complète les informations au moment où les alertes doivent
être analysées.
3.4. Stenographer :
Stenographer est un utilitaire de capture de paquets complets pour la mise en mémoire tampon
des paquets sur le disque à des fins de détection d'intrusion et de réponse aux incidents. [14]
3.5. Elasticsearch :
40
Elasticsearch est un moteur de recherche et d'analyse distribué et capable de résoudre un
nombre croissant de cas d'utilisation. En tant que cœur de l'Elastic Stack, il stocke vos
données de manière centralisée afin que vous puissiez découvrir ce qui est attendu et
découvrir l'inattendu. [15]
Indexation : permet de créer des index, d’y placer des documents, de les analyser et de les
indexer.
3.6. Logstash :
Logstash est un pipeline de traitement de données open source côté serveur qui ingère des
données à partir d'une multitude de sources. Il le transforme simultanément, puis l'envoie à
votre « cachette » préférée. [16]
3.7. Kibana :
Kibana est une plate-forme open source d’analyse et de visualisation conçu pour fonctionner
avec Elasticsearch. Kibana permet de rechercher, d’afficher et d’interagir avec les données
41
stockées dans les index Elasticsearch. Cet outil permet d’effectuer une analyse de données
avancée et visualiser les données dans une variété de graphiques, de tableaux et de cartes.
Kibana facilite la compréhension de gros volumes de données. Son interface simple, basée sur
un navigateur permet de créer et de partager rapidement des tableaux de bord dynamiques
affichant les modifications apportées aux requêtes Elasticsearch en temps réel.
Une image vaut mieux que dizaine de lignes de log c’est le principe de Kibana. [17]
3.8. Grafana :
Grafana est un logiciel de visualisation et d'analyse open source. Il vous permet d'interroger,
de visualiser, d'alerter et d'explorer vos métriques, peu importe où elles sont stockées. En
clair, il vous fournit des outils pour transformer vos données de base de données de séries
chronologiques (TSDB) en de superbes graphiques et visualisations. [18]
4. Architecture de solution :
42
Nous avons décrit les principaux composants de Security Onion précédement.et maintenant
nous allons faire la conception du projet avec l’architecture qu’vont expliquer les détaille de
notre projet
43
Un serveur physique fourni par topnet avec un OS CentOS et une couche virtualisation
en se basant sur KVM
Sur cette plateforme Topnet a déjà hébergé des VM de production
Une VM dédiée pour Security Onion
Une interface vers le réseau externe à travers un switch
Pour pouvoir monitorer les hosts, il faut installer des agents sur chacun selon le type de logs à
collecter (Agent Wazuh dans notre cas). Puis pour pouvoir traiter les logs collectés on a utilisé
un port mirroring : Action miroir du traffic br0 vers une interface virtuelle dummy0 pour
simuler en mode virtuelle le port mirorring.
On a un serveur Security onion où on installe Beats pour la gestion des logs, et wazuh
manager pour la gestion des paquet et intrusion réseau, Puis dans chaque host (VM Topnet)
on installe les agents Filebeat et wazuh.
Les agents vont lire les logs et superviser le réseau et les accès sur les hosts et envoient en
temps réels les logs et paquets vers le serveur Security onion.
Dans Notre Serveur Security onion les logs vont subir un traitement et indexation par
elasticserach avec vérification des règles déjà défini.
Si une des rules est valide, une alerte sera déclenchée sur le Dashboard de Kibana, les logs
traités vont être affichés sur Kibana selon les définitions et les tableaux déjà défini.
CONCLUSION :
Dans le deuxième chapitre, nous nous intéresserons au premier lieu d’identifier les norme
ISO, méthode d’analyse des risques avec une comparaison, au deuxième lieu nous allons faire
une étude des solutions opérationnelle de sécurité (payante, gratuite) avec une comparaison et
enfin nous nous intéresserons à la conception de la solution que nous avons choisie, et son
architecture.
44
Chapitre 3
RÉALISATION DE LA SOLUTION
INTRODUCTION :
45
Dans ce chapitre, au premier lieu nous allons installer la solution open source que nous
avons choisie « Security Onion », Puis nous allons configurer les agents et On termine par
la vérification de la solution avec la détection d’attaque.
46
Figure 21 : installation Security Onion
Options de configuration :
47
Figure 23 : type d'installation
Figure 25 : adresse IP
48
Figure 26 : Connection internet
49
Choisir de l’outil zeek pour générer des métadonnées et suricata pour filtrer les alertes
50
Figure 32 : Mot de Passe de Connexion
51
Figure 36 : Le type de configuration
Entrer une adresse « IP TOPNET »
Figure 37 : Adresse IP
52
#so-status
Docker :
Docker est un logiciel libre permettant de lancer des applications dans des conteneurs
logiciels.
« Docker est un outil qui peut empaqueter une application et ses dépendances dans un
conteneur isolé, qui pourra être exécuté sur n'importe quel serveur ». [20]
Cortex :
Cortex, un logiciel open source et gratuit, Les observables, tels que les adresses IP et e-
mail, les URL, les noms de domaine, les fichiers ou les hachages, peuvent être analysés un
par un ou en mode groupé à l'aide d'une interface Web. [21]
Curator :
Gérez les utilisateurs stockés dans le serveur de gestion des identités Kratos.
Prend actuellement en charge la liste et la suppression des utilisateurs. [22]
Dockerregistry :
53
Docker Registry est une application côté serveur utilisée pour versionner, stocker et
distribuer des images Docker. [23]
ElastAlert :
ElastAlert est un cadre simple pour alerter sur les anomalies, [24]
Filebeat :
Filebeat est un agent de transfert léger, il nous permet de centraliser nos logs et fichiers.
Filebeat lit et transfère les lignes de logs et, en cas d'interruption, reprend là où il en était
dès que la connexion est rétablie.
Fleet :
Il étend osquery pour répondre aux questions sur plusieurs appareils en même temps et
fournit des flux de journaux qui permettent une détection automatisée des menaces. [26]
Idstools :
Idstools est une bibliothèque Python pour travailler avec les journaux et règles SNORT(R)
et Suricata. [27]
Nginx :
NGINX, est un serveur web open-source qui, depuis son succès initial en tant que serveur
web, est maintenant aussi utilisé comme reverse proxy, cache HTTP, et load balancer. [28]
Playbook :
L’installation sur les nœuds Manager. Playbook vous permet de créer un-Playbook de
détection, qui se compose lui-même de lectures individuelles. [29]
Tous les résultats d'une lecture (faible, moyenne, élevée, gravité critique) peuvent être
visualisés dans Hunt ou Kibana.
54
Sensoroni :
Exécute les travaux qui ont été mis en file d'attente sur le serveur. [30]
TheHive :
TheHive est une plate-forme de réponse aux incidents de sécurité gratuite et open source
conçue pour faciliter la vie des SOC et de tout professionnel de la sécurité [31]
Nous allons faire Les configurations principale pour notre solution Security onion, Parmi
les configurations on cite :
Configuration filebeat
Configuration Kibana
Configuration wazuh
Configuration du port mirroring
1. Configuration filebeat :
55
La configuration se fait dans le fichier « filebeat.yml » dans le répertoire de configuration
« /etc/filebeat/ ».
#vim filebeat.yml
Pour pouvoir exploiter l’output de logstach, on a modifier la configuration pour autoriser
l’envoi des journaux sur un port dédié.
Nous avons décommenter « logstach output » et ajouter le Nom de serveur avec le port
« hosts [‘’SOC10 : 5644‘’] ».
# so-filebeat-stop
# so-filebeat-start
2. Configuration Kibana :
Server.host : ”0”
Elasticsearch.hosts: [https://41.226.22.107 :9200]
#so-kibana-stop
#so-kibana-start
3. Configuration wazuh :
56
Après l’installation de la solution que nous avons choisie Security onion on a créé une
VM test et nous avons installé l’agent wazuh pour envoyer des journaux vers wazuh manager.
Et maintenant nous allons autoriser l’agent wazuh du VM test pour communiquer avec le
Security onion et voir les journaux avec une permission admin
# so-wazuh-agent-manage
57
Pour pouvoir monitorer les hosts, il faut installer des agents sur chacun selon le type de logs à
collecter. Puis pour pouvoir traiter les logs collectés on a utilisé un port mirroring : Action
miroir du traffic br0 vers une interface virtuelle dummy0 pour simuler en mode virtuelle le
port mirorring.
#tc filter add dev br0 parent ffff: protocol ip u32 match ip
protocol 1 0xff action mirred egress mirror dev dummy0
Notre solution Security Onion permettre de visualisiez notre information à travers des
Dashboard, parmi les Dashboard on a :
Dashboard Grafana
Dashboard Kibana
1. Dashboard Grafana:
58
Grafana est un Dashboard qui permet d’afficher la santé du serveur : allocation et
consommation des ressources tel que le CPU et la RAM.
59
Ci-dessous l’un des graphes présentés par le Dashboard de grafana. Ceci montre l’utilisation
de processeur et les composants de l’utilisation
System : L'état du processeur indique la quantité de temps processeur utilisé par le noyau.
Nice : L'utilitaire nice est utilisé pour démarrer un programme avec une priorité particulière.
Interrupt : est une suspension temporaire de l'exécution d'un programme informatique par le
microprocesseur afin d'exécuter un programme prioritaire (appelé service d'interruption).
Wait : est une sous-catégorie de l'état « inactif ». Il marque le temps passé à attendre les
opérations d'entrée ou de sortie, comme la lecture ou l'écriture sur le disque.
SoftIRQ : les softirqs sont des interruptions logicielles, souvent utilisées par les pilotes de
périphériques pour effectuer un traitement ultérieur de quelque chose en dehors du
gestionnaire d'interruptions matérielles.
60
2. Dashboard Kibana :
Les tableaux de bord Kibana fournissent des fonctionnalités de recherche faciles à utiliser, conçues pour nous
aider à approfondir les analyses.
61
3. Dashboard Alert:
Dans notre serveur Security onion on peut voir les Alertes avec leurs nombres, le nom de la règle le niveau
d’attaque, et on peut utiliser des filtres pour regroupe où afficher la dernière heure des Alertes.
62
4. Dashboard wazuh :
Wazuh est utilisé pour collecter, agréger, indexer et analyser les données de sécurité, pour
nous aider à détecter les intrusions, les menaces et les anomalies comportementales.
Cette figure montre les noms des règles détecter avec leurs catégories, leurs ID et leurs
source IP.
63
Cette figure montre le détail d’une alerte, on cite parmi eux :
Type d’attaque
La date
La source
Le niveau
64
V. LES SCENARIOS D’ATTAQUE ET VALIDATION DE TEST :
Security onion utilise la notion des Rules (règles) pour détecter les attaques.
Ces règles sont un ensemble de formule et comportement qui caractérise un type d’attaque
défini.
Dans Security onion il y a plusieurs règles qui sont prédéfini (Brute force, DDOS, …)
Dans ce qui suit, nous allons simuler deux types d’attaque et voir le comportement de
Security onion.
Dans ce scenario nous allons simuler une tentative d’accès sur une ressource interne
« VMtest » depuis l’extérieur en utilisant des données d’authentification erroné
Nous avons fait trois tentatives d’accès avec un mot de passe invalide
65
L’accès et non autorisé mais cela génère une alerte dans notre Dashboard de Security Onion
Le type d’attaque
IP source
Géo localisation de la source
66
Date & heure
Dans ce scenario nous allons simuler une attaque DDOS en utilisant une machine kali
linux.
Sur la machine kali linux nous allons exécuter la commande suivante.
67
Figure 52 : avancement d'une attaque DDOS
Cette commande essai de faire 50000 connexions http vers la machine cible VM TEST
avec une moyenne de 100 connexions par seconde jusqu’à arriver à une indisponibilité
du service.
68
CONCLUSION :
Dans le troisième chapitre, nous avons expliqué les étapes de la mise en place de la
solution, la réalisation et validation de tests par des exemples d’attaques de la
plateforme de TOPNET.
CONCLUSION GÉNÉRALE
69
RÉFÉRENCES
70
[1] https://fr.wikipedia.org/wiki/Liste_de_normes_ISO
[2] https://fr.wikipedia.org/wiki/ISO/CEI_27001
[3] https://cyberzoide.developpez.com/securite/methodes-analyse-risques/?
fbclid=IwAR2KCdydtUonrlXydSs3 0cfp8wLlayR0kU4sx4toPJPk_uU0G8MrKByk9Q#LIII-
A
[4] https://www.prosica.fr/blog/57-comment-mesurer-le-cout-du-risque-cyber-avec-la-
methode-fair.html
[5] https://www.solarwinds.com/fr/security-event-manager
[6] https://www.ibm.com/fr-fr/products/hosted-security-intelligence/pricing
[7] https://rocknsm.io/
[8] https://docs.securityonion.net/en/2.3/
[9] https://www.eyesofnetwork.com/fr/docs/5_3
[10] https://docs.securityonion.net/en/16.04/architecture.html
[11] https://www.ansi.tn/fr/assistance/outils-de-securite/suricata-601
[12] https://fr.vvikipedla.com/wiki/OSSEC
[13] https://zeek.org/
[14] https://docs.securityonion.net/en/2.3/stenographer.html
[15] https://docs.securityonion.net/en/2.3/elasticsearch.html#elasticsearch
[16] https://docs.securityonion.net/en/2.3/logstash.html?highlight=Logstash%20
[17] https://fr.wikipedia.org/wiki/Kibana
[18] https://grafana.com/docs/grafana/latest/getting-started/
[19] https://docs.securityonion.net/en/2.3/installation.html
[20] https://fr.wikipedia.org/wiki/Docker_(logiciel)#:~:text=Docker%20est%20un%20logiciel
%20libre,applications%20dans%20des%20conteneurs%20logiciels.&text=Contrairement
71
%20aux%20machines%20virtuelles%20traditionnelles,fournies%20par%20la%20machine
%20h%C3%B4te.
[21] https://docs.securityonion.net/en/2.3/cortex.html?highlight=Cortex
[22] https://docs.securityonion.net/en/2.3/curator.html?highlight=Curator%20
[23] https://www.osaxis.fr/etat-de-lart-des-solutions-de-registry-docker/#:~:text=Docker
%20Registry%20est%20une%20application,h%C3%A9berg%C3%A9%20qu'en%20mode
%20SaaS.
[24] https://progsoft.net/fr/software/elastalert
[25] https://docs.securityonion.net/en/2.3/filebeat.html?highlight=Filebeat%20
[26] https://fleetdm.com/
[27] https://idstools.readthedocs.io/en/latest/
[28] https://www.nginx.com/resources/glossary/nginx/
[29] https://docs.ansible.com/ansible/latest/user_guide/playbooks.html
[30] https://github.com/sensoroni/sensoroni
[31] https://thehive-project.org/
72