Audit des Systèmes

d’Information
Outils d’Analyse et de Corrélation des Logs Systèmes et Réseaux
Sommaire
 Problématique
L’activité d’un processus, d’une application ou d’un réseau informatique
c’est:
• Une série d’événements
Tracer l’activité d’une application :enregistrer chronologiquement ses
événements dans un fichier ou dans une base de données:
• On parle de fichier de traces ou fichier de logs, ou encore journal
d’événements
 Définition et description
• Définition :Fichier regroupant l'ensemble des événements survenus sur un
logiciel, une application, un serveur ou tout autre système informatique
• Description : Un log (ou fichier log) se présente sous la forme d'un fichier texte
classique, reprenant de façon chronologique, l'ensemble des événements qui ont
affecté un système informatique et l'ensemble des actions qui ont résulté de ces
événements.
Exemple : serveur de type Web, le fichier log regroupe à la fois les demandes
d'accès à chacun des fichiers du serveur :
• date et heure précise de la tentative d'accès
• adresse IP du client ayant réalisé cet accès
• fichier cible accédé
• le système d'exploitation et le navigateur utilisé pour cet accès
• La réponse fournie par le serveur à cette demande d'accès : si le fichier est
trouvé, le poids de celui-ci... sinon, le type d'erreur rencontré.
Exemple : Journal d’événements Windows
Exemple : Journal d’événements Windows
 Applications
• Les événements enregistrés sont les accès au système, les déconnexions, les
modifications de fichiers, les envoies et réceptions de messages, etc.
• On consacre typiquement une ligne par événement, en commençant par le
moment exact (date, heure, minute, seconde) où il a eu lieu.
• L’analyse des logs
• La corrélation de logs
• L’analyse des logs & La corrélation de logs
• Les enregistrements d'événements dans des fichiers Logs peuvent également
avoir une importance légale
Principe
 Rapports statistiques
• Nombre de messages reçus par heure, jour, semaine, mois, année
• Pourcentage de virus dans les messages reçus
• Pourcentage de virus dans les messages émis
• Pourcentage de spams dans les messages reçus
• Pourcentage de messages contenant des pièces jointes interdites
• Pourcentage de messages dont le nom de domaine de l'émetteur est usurpé
(spoofing)
• Pourcentage de messages rejetés pour cause de taille trop importante
• Statistiques envoi de mails par domaine destination
• Evolution volumétrique d’envoi des mails
• Statistiques envoi de mails par utilisateur
 Rapports statistiques
Exemple d’Indicateurs relatifs au surf Internet :
• Nombre de tentatives de connexions rejetées suite à échec d'authentification
par heure, jour, semaine, mois, année
• Pourcentage global de tentatives d'accès à des sites Web interdits
• Pourcentage de tentatives d'accès par catégorie interdite (jeux, mp3,
violence...)
• Nombre de pages bloquées contenant des codes malveillants (ActiveX,
JavaScript)
• Pourcentage de virus détectés dans les téléchargements FTP
• Statistiques de consultation des sites web http et https
• Statistiques des téléchargements et des flux applicatifs.
Exemples de Rapports statistiques
Exemples de Rapports statistiques
 Intérêt

La production des rapports statistiques couvre cinq domaines majeurs :

• Analyse de la Sécurité du Réseau
• Analyse des Evénements Systèmes
• Productivité des employés
• Performance du réseau
• Respect des lois et réglements
 Intérêt : Retour sur investissement (ROI)
• Résolution d’incidents et Audits des systèmes informatiques
• Diminution du nombre des incidents.
• Amélioration du délai de traitement des incidents.
• Sécurisation, Fiabilisation, et meilleure disponibilité du SI
• Respect du cadre législatif en vigueur :
• Obligation de rétention des traces d’utilisation des services internet.
Obligation de communiquer les traces sur réquisition judiciaire
• Responsabilité pénale de la personne morale et des dirigeants de l’entreprise :
La mise en œuvre d’un traitement sans précautions utiles est passible de cinq
ans d'emprisonnement et de 300 000 euros d'amende (amende quintuplée
pour les sociétés)
Outils
 Outils
HIDS : Hosts based Intrusion Detection System
• Tripwire, AIDE, Samhain, Chkrootkit, Rkhunter OSSEC
NIDS : Network based Intrusion Detection System
• Bro, Checkpoint, Tipping point, IBM ISS Proventia
• SNORT
SEM, SIM SIEM :
• SEMSecurity Event Manager
• SIM  Security Information Manager
• SIEM  Security Information and Event Manager
• ArcSight
• Cisco Security MARS
• Net Report
• LOG One de NS One
• LogLogic
• AccelOps, AraKnos,BLUESOC, ImmuneSecurity, LogICA, SenSage
 OSSEC

OSSEC :
• Développé par Daniel Cid en 2006
• Ecrit en C sous licence GPL3
• Trend Micro a assurer qu’OSSEC allait rester un produit sous licence libre
Fonctionnalités d’OSSEC :
• Vérification de l’intégrité des fichiers et du système de fichiers
• Analyse des logs et de la base de registre
• Détection de rootkits
• Mécanisme de prévention active
Fonctionnalité qui consiste à réaliser une action pour contrer activement
certaines attaques. L’action pourrait être, par exemple, l’injection d’une règle
temporaire dans le pare-feu.
 Architecture d’OSSEC
OSSEC est multiplates forme
OSSEC dispose de deux modes de fonctionnement :
• Mode Serveur/Agent
• Mode Standalone
OSSEC en Mode Serveur/Agent
 Installation et Configuration d’OSSEC
Installation simple et propre
• Se rendre sur le site : http://www.ossec.net/main/downloads/
• Télécharger l’archive : ossec-hids-2.5.1.tar.gz
• Extraire l’archive, et lancer le script « install.sh »
• # sudo tar -zxvf ossec-hids-*.tar.gz (ou gunzip -d; tar -xvf)
• # cd ossec-hids-*
• # sudo ./install.sh
• Installer les agents Windows : ossec-agent-win32-2.5.1.exe
• Démarrer OSSEC :
• # /var/ossec/bin/ossec-control start
 Installation et Configuration d’OSSEC
• Si l’archive ossec-hids-2.5.1.tar.gz se trouve sur votre clé USB, il
faudra d’abord monter la Clé USB sur le serveur OSSEC, puis
copier l’archive vers un répertoire donné. Par exemple :
• # sudo mkdir /media/USB
# sudo mount /dev/sdb1 /media/USB
• # cd /media/USB
# sudo cp ossec* /home/lpasr
# cd /home/lpasr
 Ajout d’un agent OSSEC

• OSSEC est capable de monitorer des serveurs distants appelés agents.

• # /var/ossec/bin/manage_agents
Puis choisir option (A) pour (A)dd an agent (A).
• Pour sécuriser les transferts il faut créer un clé de confiance entre les deux entités. Toujours
du coté serveur on tape :
• # /var/ossec/bin/manage_agents
• Puis choisir l’option (E) pour (E)xtract Key for an agent (E)
• Il faut copier la clé et la coller dans l'agent. Donc côté agent, il faut entrer la commande :
• # /var/ossec/bin/manage_agents
Puis choisir l’option (I) pour (I)mport key for the server (I)
• Pour afficher la liste des agents actifs :
• # /var/ossec/bin/agent_control -lc
• Pour interroger le statut d'un agent :
• # /var/ossec/bin/agent_control -i <ID> où <ID> est l’ID de l’agent
 Ajout d’un agent OSSEC
• Pour copier la clé et la coller dans l'agent, il peut être nécessaire de l’enregistrer
dans un fichier. Donc côté serveur OSSEC, il faut entrer la série de commandes :
• # sudo touch key.txt
• # sudo chmod 777 key.txt
• # sudo /var/ossec/bin/manage_agents > key.txt
•E
• 001 (indiquer ici, l’ID de l’agent sur lequel la clé va être copiée)
•Q
•Q
• # sudo cp key.txt /media/USB (pour copier le fichier key.txt vers la clé USB, si
cette dernière est montée)
Visionner les alertes OSSEC
 Installation de la GUI Web d’OSSEC
• Se rendre sur le site : http://www.ossec.net/main/downloads/
• Télécharger l’archive : ossec-wui-0.3.tar.gz
• Extraire l’archive, et lancer le script « setup.sh »
• # sudo tar –zxvf ossec-wui-0.3.tar.gz
• # cd ossec-wui
• # sudo ./setup.sh
• Ajouter le « web server user » au groupe OSSEC :
• # vi /etc/group
Changer la ligne : ossec:x:1001: en (si web server user c’est www) : ossec:x:1001:www
• Changer les permissions du répertoire tmp d’OSSEC (i.e. /var/ossec/tmp) et redémarrer Apache
(pour prendre en compte les nouvelles permissions) :
• # chmod 770 tmp/
• # chgrp www tmp/
• # apachectl restart
• Accéder à la GUI Web : http ://anyhost/ossec-wui/
 Configuration d’OSSEC
Arborescence : Lors de l’install, OSSEC crée les répertoires suivants à la racine
• Le dossier bin
• Le dossier etc
• Le dossier logs
• Le dossier queue
• Le dossier stats
La configuration globale d’OSSEC se trouve dans le fichier etc/ossec.conf C’est un fichier de
configuration au format XML,
Sa racine est <ossec_config> et possède les éléments suivants :
• <global>
• <alerts>
• <email_alerts>
• <syscheck>
• <rootcheck>
Exemple de Configuration d’OSSEC
 TP : Installation et Configuration d’OSSEC
• Chaque étudiant dispose d’un serveur Linux Ubuntu et d’un poste windows
• Installer OSSEC en Mode Serveur/Agent sur le serveur Linux
• Installer la GUI Web d’OSSEC sur le serveur Linux
• Installer l’agent Windows
• Configurer le tout afin que l’agent Windows envoie ses alertes sur le serveur OSSEC
• Activer la vérification de la base de registre, ainsi que la détection des rootkits
• Installer l’outil « RegCleaner » de nettoyage de la base de registre et lancer une
opération de nettoyage du registre
• Vérifier les alertes reçues sur le serveur OSSEC, concernant les modifications de la
base de registre
• Arrêter, puis relancer des processus (au choix) sur le serveur OSSEC.
• Examiner les alertes remontées à OSSEC
Travail demandé : Dossier projet à rendre
• 1ère PartieAdministration et Supervision des Systèmes : Le travail effectué dans cette
partie est individuel
• Un système d’exploitation (OS) est affecté à chaque étudiant
• Pour son système, l’étudiant décrit le système de journalisation, ainsi que les fichiers de
journalisation du système
• Décrire les fichiers de journalisation des sous-systèmes (ex cron, messagerie, impression,
apache, utilitaires etc.)
• Décrire les logs d’authentification, du noyau, du système de boot, des login
(enregistrement des connexions et déconnexions)
• Décrire les emplacements des fichiers de logs,
• Décrire la configuration de syslog (démon « syslogd » pour linux)
• Décrire comment accéder aux logs
• Décrire comment gérer la rotation des logs (logrotate par exemple)
• Décrire comment monitorer les fichiers de logs (logwatch par exemple)