Rapport PFE Final [PDF]

  • 0 0 0
  • Gefällt Ihnen dieses papier und der download? Sie können Ihre eigene PDF-Datei in wenigen Minuten kostenlos online veröffentlichen! Anmelden
Datei wird geladen, bitte warten...
Zitiervorschau

Remerciements

J‟exprime ma gratitude à toutes les personnes qui m‟ont aidé à accomplir ma tache dans les bonnes conditions et qui ont su m‟accorder toute l‟attention nécessaire pour élaborer lé présent travail.

Je tiens d‟abord à remercier mon encadreur Madame Jihen Bakkey pour ses aides, ses conseils précieux, ses critiques constructives et ses suggestions piétinements qui ont été remarquables tout au long de ce stage.

J‟adresse également mes remercîments à toute l‟équipe de la société SACEM de m‟avoir accueilli et incité à mener bien ce travail, en particulier M.Mohamed Drira et M.Saber Mhadhbi.

Je voudrais témoigner par la suite ma reconnaissance à toutes les personnes qui m‟ont également fait bénéficier de leurs conseils et de leurs expériences.

Mes remerciements les plus distingués sont adressés ensuite aux membres du jury qui m‟ont fait l‟honneur de bien vouloir accepter d‟évaluer ce travail.

Finalement, j‟exprime mes sincères reconnaissances à l‟égard de tous ceux qui ont contribué à ma formation, particulièrement les enseignants de l‟Institut Supérieure des Etudes Technologique de Bizerte.

Table de matière

Introduction générale .............................................................................................................................. 1 Chapitre 1 : Présentation du cadre du projet ........................................................................................... 1 I. Présentation de la SACEM .............................................................................................................. 1 II. Etude de l‟existant .......................................................................................................................... 4 II.1 Description de l‟existant ........................................................................................................... 4 II.2. Critique de l‟existant ............................................................................................................... 9 II.3. Solution proposée .................................................................................................................. 10 III. Planification du projet ................................................................................................................. 10 Chapitre 2 : Etat de l‟art ........................................................................................................................ 13 I. Gestion des réseaux informatiques ................................................................................................ 13 I.1. Généralité sur les réseaux ....................................................................................................... 13 I.2. Les éléments principaux du réseau ......................................................................................... 13 I.3. Les principaux acteurs : les utilisateurs ................................................................................. 15 II. Notion de gestion des réseaux ..................................................................................................... 15 II .1 Domaines de gestion des réseaux .......................................................................................... 15 II.2 Concept de supervision et administration ............................................................................... 18 II.3. Sécurité informatique des systèmes d‟information ............................................................... 19 II.4. Terminologie de la sécurité informatique .............................................................................. 19 II.5. Principales attaques et menaces ............................................................................................ 20 III. Etude de différentes solutions Open Source de surveillance réseau .......................................... 21 III.1. Nagios .................................................................................................................................. 22 III.2. Zabbix ................................................................................................................................. 23 III.3. OSSIM................................................................................................................................. 24 IV. Choix de la solution à adopter: OSSIM ..................................................................................... 25 IV.1. Architecture et principe de base .......................................................................................... 26 Chapitre3 : Spécifications des besoins .................................................................................................. 32 I .Etude des besoins ........................................................................................................................... 32 I.1. Besoins fonctionnels ............................................................................................................... 32 I .2. Besoins non fonctionnels ...................................................................................................... 34 Chapitre 4 : La réalisation ..................................................................................................................... 36 I. Environnement de développement ................................................................................................. 36

I.1. Environnement matériel .......................................................................................................... 36 I .2. Environnement logiciel .......................................................................................................... 36 I.3. Choix des outils de développement ....................................................................................... 37 II. Réalisation et tests ....................................................................................................................... 38 II.1. Installation et configuration .................................................................................................. 38 II.2. Fonctionnement du framework OSSIM Manipulation de l‟interface Web d‟OSSIM .......... 40 Conclusion générale .............................................................................................................................. 76 Apports du stage ........................................................................................ Error! Bookmark not defined. Bibliographie et Nétograhie ................................................................................................................. 80 ANNEXES ............................................................................................................................................ 81 ANNEXE1 : ...................................................................................................................................... 81 ANNEXE2 : ...................................................................................................................................... 81

Liste de figures Figure 1: Les différents produits en vente .............................................................................................. 2 Figure 2:L'organigramme de la société ..................................................... Error! Bookmark not defined. Figure 3: Architecture du réseau ............................................................................................................. 5 Figure 4:Architecture d'OSSIM ............................................................................................................ 28 Figure 5:Cheminement du flux d'informations ..................................................................................... 29 Figure 6:Authentification au prés du serveur ........................................................................................ 41 Figure 7:Ajout d'un nouvel utilisateur................................................................................................... 42 Figure 8:Etat globale des alarmes et évènement récent ........................................................................ 43 Figure 9:Etat globale des agents ajoutés à OSSIM récemment ............................................................. 43 Figure 10:Etat globale de menaces récentes détectées .......................................................................... 44 Figure 11:Etat globale de la variation du débit du réseau ..................................................................... 44 Figure 12:Etat des incidents .................................................................................................................. 45 Figure 13:Type d'incident ..................................................................................................................... 45 Figure 14:Incidents par utilisateur......................................................................................................... 46 Figure 15:Alarme détectées et sauvegardé par OSSIM ......................................................................... 47 Figure 16:Informations générales d'un incident/événement détecté ..................................................... 47 Figure 17:Lancer le scan de NESSUS................................................................................................... 48 Figure 18:Choix des hôtes ou réseau à scanner..................................................................................... 49 Figure 19:Résultat de Nessus ................................................................................................................ 49 Figure 20:Affichage des derniers alertes (signature) par ACID ............................................................ 50 Figure 21:Choix du plugin pour l'affichage des alertes ......................................................................... 51 Figure 22:Gestion en temps réel des évènements par ACID ................................................................. 52 Figure 23:Inventaire de l'hote 192.168.1.10 .......................................................................................... 53 Figure 24:Alarme Report ...................................................................................................................... 53 Figure 25:Les logs des utilisateurs du réseau ........................................................................................ 54 Figure 26:Ajout d'un nouvel agent ........................................................................................................ 55 Figure 27:Définition des Agents OSSIM .............................................................................................. 55 Figure 28:Définition des hôtes .............................................................................................................. 56 Figure 29:Ajout d'un nouveau hôte ....................................................................................................... 56 Figure 30:Ajout d'un nouveau réseau "HOME" .................................................................................... 57 Figure 32:Ajout d'un nouveau utilisateur "salwa" ................................................................................. 58 Figure 31:Network home ajouté ............................................................................................................ 57 Figure 33:Réussite d'ajout du nouveau utilisateur................................................................................. 59 Figure 34:Lancement du Nmap ............................................................................................................. 60 Figure 35:Fin du scan Nmap ................................................................................................................. 60 Figure 36:Résultat détaillé du svan Nmap ............................................................................................ 61 Figure 37:Fichier des alertes sauvegardées ........................................................................................... 61 Figure 38:Les statistiques du trafic global ............................................................................................ 62 Figure 39:Classement du trafic par taille de paquet .............................................................................. 63 Figure 40:Classement du trafic par protocole ....................................................................................... 64 Figure 41:Classement du trafic par hôte ............................................................................................... 64 Figure 42:Classement du trafic par service ........................................................................................... 65 Figure 43:Classement du trafic TCP/UDP par distribution de ports ..................................................... 66

Figure 44:Classement du trafic TCP/UDP par service .......................................................................... 67 Figure 45:Affichage des informations des services d'hôtes 127.0.0.1 .................................................. 68 Figure 46:Choix du type de rapport ...................................................................................................... 69 Figure 47:Section d'hôte effectué .......................................................................................................... 69 Figure 48:Sélection de l'hôte /service désiré ......................................................................................... 70 Figure 49:Sélection de l'hôte effectué ................................................................................................... 70 Figure 50:Paramétrage des options du rapport ...................................................................................... 70 Figure 51:Rapport d'état de 192.168.1.10 ............................................................................................. 71 Figure 52:Détails du status de l'hote localhost ...................................................................................... 72 Figure 53:Sommaire des états des groupes d'hôtes ............................................................................. 72 Figure 54:Détails du statut des services des hôtes ................................................................................ 73 Figure 55:Configuration simple des paramètres d'OSSIM.................................................................... 73 Figure 56:Configuration avancée des paramètres d'OSSIM ................................................................. 74

Liste des tableaux

Introduction générale

Introduction générale De nos jours,le monde évolue de façons exponentielle dans la technologie des informations .Cette évolution rend la question de sécurité informatique de plus en plus importante puisque la protection des systèmes informatique, vis-à-vis des menaces que présente l‟ouverture sur le monde numérique, est loin d‟être parfaite .Par conséquent le nombre d‟‟incidents et de vulnérabilités ne cesse de croitre. Dans ce contexte, et vue la diversité des équipements réseaux ainsi que le volume important des données à analyser au sein d‟une entreprise,la tache de responsable est la gestion de sécurité et du système. A partir de ce point, et pour des raisons aussi bien de compétitive la nécessité de mettre en place une stratégie de management de la sécurité des informations se basant sur des plateformes et des outils d‟administration et de surveillance réseaux et le management des informations pour les sociétés. Mettre en place une telle politique va aider les entreprises et plus précisément les administrateurs réseaux à mieux gérer et surveiller le système d‟information au sein du réseau informatique, puisque les responsables informatiques sont amenés à non seulement de garantir l‟intégrité et la disponibilité des systèmes d‟informations, mais aussi à se prévenir des incidents que peuvent rencontrer le parc informatique à tous moment. Ainsi , la centralisation de la surveillance réseau est devenue une préoccupation majeure des sociétés actuelles, d‟où la nécessité d‟une plateforme de supervision facilitant le contrôle et la gestion du système d‟information, aidant de se prévenir des incidents systèmes et gérant les événements et les alertes survenues sur le réseau en se basant sur la méthode de corrélation . Ce qui améliore bien l‟efficacité en administration et rend facile le suivi et le monitoring des équipements et services réseaux. Les travaux de ce projet de fin d‟études s‟inscrit dans le cadre d‟une politique globale de surveillance réseau plus efficace et plus rigoureuse vis-à-vis des menaces internes (réseau local de l‟entreprise) et externes (internet) ,au sein de la société d‟accueil (SACEM).

1

Introduction générale Dans ce contexte se place notre projet de fin d‟étude quivise à mettre en place une solution open Source (solution libre) de surveillance des équipements réseaux de la SACEM, afin d‟assurer le monitoring d‟une architecture réseau comportant plusieurs ordinateurs, serveurs, équipements et services réseau, sachant bien que chacun possède ses propres ressources locales (CPU, taux mémoire, espace disque, etc …) . La plateforme qui va être mise en place devrait constituer un système de surveillance en temps réel, d‟alerte, de monitoring puissant, de contrôle continu, de corrélation d‟événements, de réaction omniprésente, de détection d‟intrusion et d‟administration conviviale pour les utilisateurs de ce système. Ce rapport est structuré en quatre chapitres : Le premier chapitre « présentation du cadre du projet » commence par présenter l‟entreprise d‟accueil de notre stage, en décrivant son système d‟information et en exposant une vue globale du service informatique de la société en matière de ressource existantes. Le deuxième chapitre « l‟état de l‟art » présente tout d‟abord des notions de base et quelques termes primordiaux, ensuite décrit une étude de l‟existant des différentes solutions Open Source dans le domaine de surveillance réseau. Le troisième chapitre « la spécification des besoins » qui présente les différents besoins fonctionnels et non fonctionnels auxquels devrait répondre notre solution. Le quatrième chapitre « la réalisation » s‟intéresse à la mise en place de la plateforme OSSIM (open source security information management) et l‟implémentation au sein du réseau interne de la société.

2

Chapitre 1 : Présentation du cadre du projet

Chapitre 1 : Présentation du cadre du projet Introduction Dans ce premier chapitre, nous allons présenter l‟entreprise d‟accueil SACEM et faire une description détaillée de l‟architecture de son système d‟information endécrivant les ressources matérielles et logicielles qui le composent. Enfin, notre solution va être présentée après une critique de l‟existant.

I. Présentation de la SACEM SACEM industries est une société spécialisée depuis sa création en 1966 dans la fabrication et la vente de différentes gammes de transformateurs de distribution électriques avec divers puissances et des chauffe-eau électriques et solaires, elle assure aussi le service après-vente et la réparation de ses produits. Depuis sa création, la SACEM Industries demeure le leader sur le marché tunisien grâce à l‟amélioration continue de la qualité de ses produits et ses services et au respect de ses engagements vis-à-vis de ses clients notamment la satisfaction de leur besoins et de leur exigences. Actuellement ,SACEM Industries est leader sur le marché local des transformateurs de distribution électriques dont la fabrication comprend des transformateurs monophasés de 10 à 200 KVA et des transformateurs triphasés de 25 KVA à 63 Mva . SACEM Industries fabrique aussi des chauffe-eau électriques de capacité 1000 et 150 litres et des chauffe-eau électro-solaires de capacité 200 et 300 litres en concordance avec le programme « PROSOL » lancé par l‟agence National de maitrise de l‟énergie , dont l‟objectif est l‟économie d‟énergie et l‟exploitation optimale des énergies renouvelables.

1

Chapitre 1 : Présentation du cadre du projet

Transformateur

Chauffe-eau électrique

Chauffe-eau électrique

Figure 1: Les différents produits en vente

 Les différents départements : Les différents départements de SACEM industries sont :  Département qualité  Département informatique  Département Production  Département financière et administrative  Département commerciale  Département achat logistique  Département optimisation du cout L‟organigramme de la société est présenté suivant une description de différents départements :

2

Chapitre 1 : Présentation du cadre du projet

Directeur Général

Résponsable de Qualité

Directeur des usines

Directeur d'etude et développement

Directeur de Production

Directeur Financier et Administratif

Comptabilité

Chef de Service & Achats Logistiques

Directeur Commerciale

Ressouces Humanes

Financier

Méthodes Service "GPAO"

Résponsable Réparation

R. Bobinage et ........... magnitique

Résponsable

Chaudonnerie

Service des calcules des besoins

Service de Planification

Résponsable montage et finition

Résponsable essais et livraisons

Figure2 :L’organigramme de la société 3

Directeur Optimisation des cout

Service Gestion des Stock

Résponsable lancement

Résponsabl e maintenanc e

Chapitre 1 : Présentation du cadre du projet

II. Etude de l’existant II.1 Description de l’existant  Le système d’information de la SACEM

Avec le développement de l‟utilisation d‟internet ,de plus en plus les entreprises ouvrent leur système d‟information à leurs partenaires ou leurs fournisseurs ,il est donc essentiel de connaitre les ressources de l‟entreprise à protéger et de maitriser le contrôle d‟accès et les droit d‟utilisateurs du système d‟information . -

Structure de la direction informatique :

La direction de l‟informatique au sein de la société, estchargée de définir et exécuter les besoin en informatisation. Elle essaye d‟assurer donc, le traitement de l‟ensemble de l‟opération suivante : 

La conception, la programmation, les tests, l‟intégration et la maintenance des développements informatiques.



L‟exploitation des systèmes d‟information, la supervision des traitements, systèmes et réseaux, l‟administration des flux des données des systèmes d‟informations.



La gestion et les traitements des demandes d‟assistance, des incidents informatiques, de demandes des maintenances ou d‟évolution des applications, des demandes de fourniture des matériels informatique ou de fourniture de services associés.



La mise en place d‟une politique de sécurité physique et logique du système d‟information.

-

Organisation du système d’information :

La société SACEM dispose d‟un système d‟information qui peut assurer la collaboration et la communication en intranet (au sein de la SACEM) qu‟en extranet (clients externes). Les principales applications du système d‟information de la SACEM sont hébergées au sein de septe serveurs installés au niveau de la salle serveur du département administratif de la SACEM. Le parc informatique de la société est composé de 70 PC‟s .

4

Chapitre 1 : Présentation du cadre du projet

Le réseau LAN de la SACEM sont basées sur une infrastructure moderne de type Ethernet commuté et les protocoles de communications TCP /IP. L‟ensemble des machines des siège sont reliés au réseau Internet via une ligneFHd‟un débit 2 Mb/s

-

Matériel informatique :

Le parc informatique actuel de la société est composé de 70 postes de travail, dont une majorité interconnectées en réseau. Les différents postes de travail sont connectés aux serveurs d‟application et de communication via un Réseau Ethernet 10/100Mb/s.

-

L’architecture réseau de la SACEM :

Figure 2: Architecture du réseau

5

Chapitre 1 : Présentation du cadre du projet

Le réseau informatique de la SACEM est composé principalement des éléments suivants : -

70 postes de travail

-

1 serveur SAGE X 3

-

1serveur contrôleur de domaine

-

1 serveur antivirus SOPHOS

-

1serveur de Management firewall

-

1serveur de sauvegarde Symentec Backup Exec 2010

-

1serveur proxy

-

1serveur AVAYA

-

1serveur mail Exchange 2010

-

1serveur GLPI

-

Un réseau Ethernet de 100 Mb/s

-

Des imprimantes et des scanners.

Le réseau d la SACEM est basé sur l‟architecture client/serveur ou les utilisateurs se connectent aux applications partagées installées sur les différents serveurs. L‟interconnexion du répartiteur général installé dans la salle informatique avec les différents sous répartiteurs existants dans le différent département à l‟intérieur de la société par des liaisons fibres optique (F.O). L‟accès à internet pour les utilisateurs est assuré via une ligne FH de 2Mb/s. Tous les utilisateurs se connectent via le serveur Management Firewall qui permet de filtrer le trafic internet et sécuriser le réseau local contre les interventions et les attaques externes. Les serveurs contrôleurs de domaines assurent l‟authentification et l‟octroi des droits d‟accès au système d‟information pour les différents utilisateurs. -

Topologie du réseau

L‟interconnexion entre les départements de la SACEM est assurée par une topologie en étoile de la fibre optique.

6

Chapitre 1 : Présentation du cadre du projet

 Plan d’adressage du réseau de la SACEM :

Le plan d‟adressage utilisé au niveau des réseaux de la SACEM suit une plage d‟adresse de la classe C. Les adresses IP sont paramétrées manuellement sur chaque poste de travail. Le plan d‟adresse est bien organisé par chaque département. La plage d‟adresse pour la société est donnée comme suit : -192.168.1.x : avec masque du sous réseau 255.255.255.0 Avec

X : identifiant de la machine appartenant à la direction appropriée. Les directions sont définies de la manière suivante : 192.168.1 .2192.168.1.30 : plage d‟adresse pour la direction générale 192.168.1.34192.168.1.37 : plage d‟adresse pour la direction administrative et financière 192.168.1 .66 : plage d‟adresse pour la direction commerciale 192.168.1.130

192.168.1.135 : plage d‟adresse pour la direction qualité

192.168.1 .162192.168.1.167 : plage d‟adresse pour la direction production 192.168.1 .194192.168.1.202 : plage d‟adresse pour la direction études 192.168.1 .230

192.168.1.240 : plage d‟adresse pour la direction système

d‟information

 Politique de sécurité informatique au sein de SACEM :

Nous allons donc décrire la politique de sécurité mise en place au sein de la SACEM qui permet de garantir la sécurité logique et physique de son système d‟information. -

Sécurité de l’environnement :

Lasécurité physique de l‟environnement englobeles dispositifs suivants : Installation d‟un système d‟alimentation électrique ondulée. Mettre en place des contrôleurs d‟accès à la salle. Le système de climatisation au niveau de la salle serveur est bien opérationnel. 7

Chapitre 1 : Présentation du cadre du projet

Les armoires sont bien protégées par un système de fermeture à clé.  Gestion des comptes et des mots de passes :

Une procédure formelle d‟ouverture et de fermeture des comptes d‟accès au réseau, aux systèmes et aux applications informatiques est définie conformément aux instructions de notre politique de sécurité informatique : Changement périodique de mots de passe d‟ouverture de session (chaque 6 Mois) Les mots de passe doivent être complexes de 8 chiffres et lettres. Vérification périodique du compte utilisateurs L‟accès aux applications est définit par des clés d‟accès (compte utilisateur et mot de passe).  Politique de sauvegarde des données :

La sécurité des données est assurée au sein de la SACEM par l‟application d‟une procédure de sauvegarde automatique des données informatiques. Les données informatiques sont classées en deux catégories comme suit : Données structurées : comprend les bases de données et les programmes des différentes applications développées sous l‟environnement WINDOWS Données non structurées : représentéespar les données bureautiques des utilisateurs.  Protection des données :

Au sein de la SACEM INDUSTRIES, il est installé un système antiviral basé sur le produit Symantec représenté par la version entreprise SOPHOS Antivirus 10.0. Le système antiviral est installé au niveau du serveur contrôleur de domaines principal. La mise à jour du fichier de définition de virus à partir de l‟internet se fait automatique à chaque apparition d‟une nouvelle version du fichier de définition de virus.  Plan de continuité de service :

L‟étude des risques informatiques est une nécessité croissante pour les entreprises, quelle que soient leur taille et leur secteur d‟activité, compte tenu de la dépendance croissante de cellesci-vis-à-vis des systèmes informatiques.

8

Chapitre 1 : Présentation du cadre du projet

En effet,l‟expérience prouve que le manque de sensibilisation des entreprises dans la prise de mesures pour la protection des systèmes d‟informations en terme d‟authentification, d‟autorisation , de confidentialité , d‟intégrité ,de disponibilité et de traçabilité devient un critère majeur pour la bonne gestion de l‟entreprise .

 Mise à jour automatique des systèmes d’exploitation :

L‟installation du nouveau patch de sécurité se fait manuellement à travers l‟outil de Microsoft WSUS. Windows Server Update Service (WSUS) est la seconde génération de logiciel serveur pour le dépoilement de la mise à jour proposée par Microsoft pour remplacer Software Update Services (SUS) WSUS a toujours pour but de limiter l‟utilisation de la bande passante vers internet et de s‟assurer que les systèmes Windows possèdent les dernières mises à jour installées sur le parc informatique.

II.2. Critique de l’existant

Au cours de notre étude du système d‟information, réalisée au sein de la société d‟accueil SACEM, nous avons pu dégager certaines défaillancesqui peuvent être résumées en ces différents points :  Audit de supervision :

La SACEM n‟est pas doté d‟outils et de surveillance réseau, comme prouve les constations suivantes : 

Pas de surveillance systématique et continue des activités des utilisateurs



Pas de mécanisme de notification d‟alertes



Difficulté de suivre de manière continue les accès des utilisateurs, en raison d‟absence d‟une solution centralisée d‟authentification et de contrôle d‟accès.

 Administration des équipements réseau et système :

Les équipements réseau sont en grand nombre, avec 70 PC et plusieurs serveurs comme nous avons déjà expliqué auparavant.

9

Chapitre 1 : Présentation du cadre du projet

Donc, il y a manque d‟un outil centralisé permettant d‟assurer une administration à distance des postes de travail et des serveurs  Sécurité réseau :

Le Proxy-firewall installé au sein du réseau de la SACEM est incapable de détecter et de bloquer plusieurs types d‟intrusions qui ne sont pas autorisés. II.3. Solution proposée

On a proposé alors de mettre en place une solution centralisée permettant d‟assurer :  La supervision et l‟administration réseau incluant un système d‟audit et de suivi des activités réseau.  L‟administration des équipements réseaux et système ainsi que des postes de travail. Notre solution qui s‟intitule OSSIM (Open Source Security Information Management) présente un fort système de détection d‟intrusion.

III. Planification du projet Planification du déroulement du projet :

Le déroulement du projet est comme suit : Définition des objectifs du projet et étudié son contexte. Elaboration d‟une étude comparative des différentes solutions open source de surveillance réseaux afin de sélectionner celle qui répond mieux aux objectifs fixés. Le choix de la solution OSSIM (open source security management) pour être la plateforme adapté tout au long de notre projet. Présentation de l‟architecture et le fonctionnement de la solution OSSIM en détail aussi que le dépoilement de ses différents outils qui la composent au cours d‟une étude théorique. Etude pratique : l‟installation et la configuration de la plateforme au sein du réseau de l‟entreprise.

Conclusion : Au cours de notre étude réalisée au sein de la SACEM ,nous avons pu ,au début, définir le système d‟information concerné et ses différents composants, ensuite, nous avons détaillé 10

Chapitre 1 : Présentation du cadre du projet

notre étude avec une vue sur la stratégie de sécurité informatique suivie par la SACEM et ses différentes caractéristiques ,et en fin nous avons élaboré une petite synthèse sur les inconvénients de ce système informatique ,ce qui nous a permis de dégager quelques mots clés de notre projet à travers les recommandations citées. Nous avons pu constater que la politique de sécurité informatique mise en place dans la société présente quelques failles qui peuvent être résumées en un manque très primordiales d‟un système ou plutôt d‟une solution centralisé de management et de sécurité du système d‟information afin de renforcer la sécurité informatique du système d‟information et de communication en premier lieu ,l‟administration ,la supervision et la surveillance du réseau de l‟entreprise. C‟est pour cette raison que nous avons pensé à la centralisation de notre solution de surveillance ayant comme objectif de répondre aux besoins qui vont être présentés dans le chapitre « spécification des besoins ».

11

Ici le titre du chapitre

Chapitre 2 : Etat de l’art

Chapitre 2 : Etat de l’art

Introduction : Dans ce chapitre ,nous allons présenter des concepts de base et quelques termes primordiaux de la supervision des systèmes d‟information et de l‟administration des réseaux, puis une description générale de la sécurité informatique ,ensuite nous enchainerons avec les différentes plateformes Open Source existantes dans le domaine de la surveillance réseau ,en décrivant leurs avantages et leurs inconvénients pour arriver enfin à la sélection de la plateforme adoptée dans notre projet suite à des critères de besoins escompté par l‟utilisateur de notre système d‟information étudié auparavant.

I. Gestion des réseaux informatiques I.1. Généralité sur les réseaux Un réseau peut être vu comme un ensemble des stations reliées entre elles par des nœuds et des liens de communications .la principale fonction de ces nœuds est de relayer les paquets d‟informations vers les autres nœuds (routeur, commutateur…) I.2. Les éléments principaux du réseau I.2.1. Les éléments physiques du réseau

Dans les réseaux, nous retrouvons différents types d‟équipements classés selon leur appartenance :les équipements réseaux, les postes de travails, et les serveurs. a) les équipements réseaux Nous retrouvons principalement : 

Des hubs (concentrateurs)



Des Switch (commutateurs) /VLAN



Des modems téléphoniques …



Routeurs

b) les postes de travail Nous trouvons principalement deux types de postes de travail : 13

Chapitre 2 : Etat de l’art



stations WINDOWS



stations UNIX

Au sein de la société d‟accueil SACEM industries il n‟ya que les stations WINDOWS c) les serveurs Au niveau des serveurs, deux aspect à prendre en compte : en premiers lieu, le système d‟exploitation et en deuxièmes lieu les services. -les systèmes d‟exploitation : 

serveurs Unix



serveurs Windows



serveurs Linux



serveurs d‟application



serveurs de base des données



serveurs mail



pare-feu (firewall)

-les services :

I.2.2.Les éléments logiques du réseau Les services offerts aux utilisateurs sont de plus en plus sophistiqués et ont largement évolué ces dernières années. Parmi ces services, nous retrouvons : -les services d‟accès aux bases de données. -les services de transfert des fichiers. -les services de messageries. -les services de téléphonies … Ces services sont mis à la disposition des utilisateurs de manière sélective. Les utilisateurs peuvent accéder à des services différenciés, avec différents droits d‟accès.

14

Chapitre 2 : Etat de l’art

I.3. Les principaux acteurs : les utilisateurs Les organisations des entreprises sont de plus en plus structurées. Leurs activités deviennent davantage centrées sur un système d‟information qui doit être disponible à tout moment et qui constitue la clé du fonctionnement global de l‟entreprise. L‟accès à ce système s‟effectue via les différentes composantes du réseau identifiées auparavant. Le personnel de l‟entreprise qui tient un rôle différencié dans la structure globale ne peut pas être concerné par certains aspects techniques du fonctionnement global du réseau. Nous pouvons dès lors répertorier un ensemble des profils d‟utilisateurs identifiées par leurs rôles dans l‟entreprise : -

les administrateurs des réseaux qui bénéficient de privilèges important

-

les ingénieurs qui ont des droits étendus sur certaines parties techniques du réseau

-

les dirigeants qui ont des droits étendus sur le système d‟information

-

le personnel administratif avec des droits très limités.

II. Notion de gestion des réseaux La gestion du réseau se présente comme l‟ensemble des activités permettant d‟assurer le bon fonctionnement du réseau. Par ailleurs, nous distinguons deux types de niveau de gestion considérés comme essentiels et primordiales dans ce domaine : -

La gestion de l‟infrastructure réseau : elle concerne la gestion de tous les éléments du réseau et des logiciels embarqués qui constituent les différents réseaux de l‟entreprise. Nous désignons par « élément du réseau »chacun des équipements qui sont branchés u réseau, ainsi que les logiciels y résidant comme par exemple les routeurs, les passerelles, les modems …

-

La gestion du desktops : elle concerne tous les aspects relatifs à la gestion du point d‟accès au réseau .ce niveau englobe la gestions des stations terminales, ainsi que tous les logiciels supportés par ces stations : système d‟exploitation réseau, les applications et les services de communication mis à la disposition des utilisateurs.. II .1 Domaines de gestion des réseaux

Les activités assurant la gestion des

réseaux de l‟entreprise sont classées selon les

fonctionnalités établies par le gestionnaire et sont réalisées à distance sur les éléments de son

15

Chapitre 2 : Etat de l’art

réseau .ce dernier va donc réaliser la collecte des données de gestion, leur interprétation et le contrôle des éléments de réseau. La décomposition fonctionnelle établie par l‟OSI a bien définie cinq domaines de gestion : la gestion de configuration, la gestion des fautes,la gestion de performances, la gestion des couts (comptabilité) et la gestion de la sécurité. II.1.1. Gestion de la configuration

La gestion de la configuration permet de paramétrer les différents éléments présents sur le réseau et d‟effectuer un suivi de leurs états. Elle stocke dans une base de données les informations de chaque machine présente au sein du parc informatique de la société, telles que la version des systèmes d‟exploitation, les logiciels installés, les protocoles utilisés … La gestion de configuration couvre l‟ensemble des fonctionnalités suivantes : - Démarrage, initiation de l‟équipement -Positionnement des paramètres -Modification de la configuration du système -Changement de l‟adresse IP d‟une machine -Changement de l‟adresse IP d‟un routeur… II.1.2.Gestion d’anomalies /fautes

La gestion des anomalies ou des fautes détecte les problèmes et le fonctionnement anormal survenu sur le parc informatique et permet aussi la localisation et réparation des pannes. En plus, elle essaye automatiquement de régler ces problèmes en les faisant isoler de l‟ensemble des éléments sur le réseau et effectuer quelques tests de réparation, si non elle fait appel aux personnes concernées par le type de problème afin de solliciter leur intervention. Elle assure alors l‟ensemble des fonctionnalités suivantes : -

La détection des fautes : elle comprend la préparation de rapports d‟incidents de fonctionnement, la gestion de compteurs ou des seuils d‟alarme, le filtrage des informations et l‟affichage de disfonctionnement.

-

La localisation : procédé au moyen de rapports d‟alarme, de mesures et de tests.

-

La réparation : elle consiste à prendre les mesures correctives (réaffections des ressources « reroutage », limitation du trafic par filtrage, maintenance),ou encore à rétablir du service (tests de fonctionnement, gestion des systèmes de secours..) 16

Chapitre 2 : Etat de l’art

-

L‟enregistrement des historiques d‟incidents et statistiques :permet d‟une part l‟enregistrement d‟historique d‟incidents et la compilation des statistiques qui peuvent porter sur la probabilité des pannes , leurs durée, les détails de réparation ,et en d‟autre part , un rôle d‟interface avec leurs utilisateurs qui consiste à les informer des problèmes réseau et à leur donner la possibilité de signaler eux-mêmes des incidents tels qu‟une mauvaise configuration d‟un équipement ,une interface défectueuse d‟un routeur ,une réinitialisation accidentelle .

II.1.3.Gestion de la performance

La gestion de la performance comprend les procédures de collecte des données et d‟analyse statistique. Elle fournit donc des fonctions qui assurent la planification des ressources du réseau : recueillir des données statistiques (taux d‟erreurs, temps de transit, débit…) et maintenir et analyser des journaux sur l‟historique de l‟état du système.

II.1.4. Gestion du cout

La gestion du cout permet de connaitre les charges des éléments gérés et les couts de communication. Les fonctionnalités qu‟elle peut assurer sont présentées comme suit : -

Les mesures sur l‟utilisation des ressources et leur historique.

-

Le contrôle des quotas par utilisateur en faisant la mise à jour des consommations courantes et en vérifiant les autorisations de consommation

-

La gestion financière : dans la gestion du comptable ,il ya une partie financière qui consiste à ventiler les couts (par service, par utilisateur, par application )… II.1.5. Gestion de la sécurité

La gestion de la sécurité contrôle l‟accès aux ressources selon des politiques des droits d‟utilisation établies, permettant ainsi de gérer le contrôle et la distribution des informations utilisées pour la sécurité. Il existe beaucoup de fonction de gestion de sécurité par les quelles on peut citer : - Contrôle des autorisations - Contrôle et maintenance des commandes d‟accès 17

Chapitre 2 : Etat de l’art

- Maintenance et examen des fichiers de sécurité - l‟authentification II.2 Concept de supervision et administration La supervision d‟un système d‟information a pour vocation de collecter des informations sur l‟état d‟une infrastructure et des entités qui y sont liées, de les analyser, et de les organiser Elle peut ainsi se définir comme étant l‟utilisation de ressources réseaux adaptées afin d‟obtenir des informations sur l‟utilisation et sur l‟état des réseaux et de leurs composants. Ces informations peuvent servir d‟outils pour gérer de manière optimale le traitement des pannes et les problèmes de surcharge du réseau. II.2.1 Supervision des systèmes d’information

Le système d‟information est devenu l‟épine dorsale de l‟entreprise puisqu‟il joue le rôle important de la surveillance e la sécurité des informations et des activités internes de l‟entreprise, La supervision est une activité de surveillance et de suivi de l‟état d‟un service ou d‟un processus informatique vise à faire remonter les informations cachées de ce système d‟information telles que le taux de transfert des fichiers, le niveau de la disponibilité des services etc.. 

niveau de supervision dans un système d’information :

Afin d‟améliorer le fonctionnement de notre système d‟information, il est commandé de diviser la gestion de ce système en des niveaux de surveillance appropriés, compte tenu de leurs domaine d‟utilisation, nous distinguons alors : -

La supervision réseau : elle s‟occupe essentiellement des équipements constituant le réseau tels que : les serveurs : par la mesure de disponibilité, la vérification de l‟interconnexion au réseau, l‟analyse des flux d‟entrée et de sortie, le contrôle de débit..

-

La supervision système : il s‟agit des évaluations et des mesures faites sur les ressources système du parc informatique tels que :Les processus : par la mesure du taux d‟utilisation instantanée , de la charge moyenne pendant une telle période ,la connaissance du nombre de processus en cours de fonctionnement , mesure du temps de réponse … 18

Chapitre 2 : Etat de l’art

-

La supervision des applications et services :



Vérification de la taille de processus



Suivi de la liste des utilisateurs présents dans le réseau



Statistique sur le taux d‟utilisation des protocoles et services par les utilisateurs du système

II.3. Sécurité informatique des systèmes d’information L‟augmentation du nombre d‟outils malveillants qui circulent sur le réseau tels virus, cheval de trois et d‟autre failles de sécurité informatique ,combinée à l‟ignorance des mesures de sécurité de la part des entreprises exposées à Internet et le manque de sensibilisation des internautes au sujet de la sécurité informatique laissent les organisations et les internautes de plus en plus vulnérables et les exposent à des risques comme la perte d‟informations . Face à ces menaces, les solutions de sécurité informatique assurent la protection des systèmes et du réseau informatique afin de garantir l‟intégrité, la confidentialité et la disponibilité des données. II.4. Terminologie de la sécurité informatique 

Menace : une menace désigne un élément, généralement externe,capable de montrer une attaque exploitant une vulnérabilité ou une faille de sécurité au niveau des services , applications et des systèmes informatiques



Vulnérabilité : toute faiblesse des ressources informatiques qui peut être exploitée par des menaces, dans le but de les compromettre.



Exploit : un exploit est un programme permettant d‟exploiter une faille de sécurité informatique dans un système informatique que se soit à distance (remote exploit) ou sur la machine sur laquelle cet exploit est exécuté (local exploit).



Impact : l‟impact ou enjeu est le résultat de l‟exploitation d‟une vulnérabilité par une menace.



Risque : le risque de sécurité des systèmes d‟information peut être défini comme étant une combinaison d‟une menace avec les pertes qu‟elle peut engendrer.

19

Chapitre 2 : Etat de l’art



Incident : un incident constitue l‟ensemble des problèmes (virus, faille…) qui sont signalés par n‟importe qu‟elle membre de la communauté informatique, aux équipes de réponses aux urgences informatiques.



Contre-mesure :c‟est la technique permettant de résoudre une vulnérabilité ou de contrer une attaque spécifique, tels que les politiques de sécurité, les outils de détection d‟intrusion IDS.

II.5. Principales attaques et menaces 

virus

Les virus est un exécutable qui va exécuter des opérations plus ou moins destructrices sur la machines Sur internet, les virus peuvent contaminer une machine de plusieurs manières : -

Téléchargement des logiciels puis exécution de celui-ci sans précautions.

-

Ouverture sans précaution de documents contenant des macros

-

Ouverture d‟un courrier au format HTML contenant du JavaScript exploitant une faille de sécurité du logiciel de courrier … 

Déni de Service (DOS)

Le but d‟une telle attaque n‟est pas de dérober des informations sur une machine distante, mais de paralyser un service ou un réseau complet .les utilisateurs ne peuvent plus alors accéder aux ressources .l‟ exemple principal, est le « ping flood » ou l‟envoi massif des courriers électroniques pour saturer la boite aux lettres. La meilleure parade est le firewall ou la réparation des serveurs sur un réseau sécurisé. 

Ecoute de réseau (Sniffer)

Il existe des logiciels qui, à l‟image des analyseurs du réseau, permettent d‟intercepter certaines informations qui transitent sur un réseau local, en retranscrivant les trames dans un format plus lisible (Network packet sniffing) .de plus l‟utilisateur n‟a aucun moyen de savoir qu‟un pirate a mis son réseau en écoute. L‟utilisation de switchers (commutateurs) réduits les possibilités d‟écoute, mais la meilleure parade reste l‟utilisation de mot de passe, de carte à puce ou de calculette à mot de passe.

20

Chapitre 2 : Etat de l’art



Intrusion

L‟intrusion dans un système informatique a généralement

pour but la réalisation d‟une

menace et est donc une attaque .le principal moyen pour prévenir les intrusions et les coupefeu (firewall) . Une politique de gestion efficace des accès, des mots de passe et l‟étude des fichiers « log » 

Cheval de trois (Trojan)

Le pirate, après avoir accéder au système, installe un logiciel qui va lui transmettre par internet les informations des disques durs. La meilleure mesure de protection face à ces attaques, et de sécuriser au maximum l‟accès à la machine et de mettre en service un antivirus régulièrement mis à jours. II.6. Détection d’intrusion Malgré la mise en place de solution d‟authentification chargées de filtrer et contrôler les accès au réseau, il arrive que des intrus y pénètrent. Alors les systèmes de détection d‟intrusion, qui protègent l‟entreprise contre les attaques externes, sont capables généralement de détecter les pirates. 

outils d’analyse du comportement

L‟analyse de comportement scrute les fichiers d‟événement et non pas le trafic et se base essentiellement sur les agents de supervision. Ces agents sont placés sur le système ou l‟application supervisée .leur mission consiste à repérer toute personne qui cherche à outrepasser ses droits et à atteindre des applications auxquelles elle n‟a pas accès ou tout comportement suspect.

III. Etude de différentes solutions Open Source de surveillance réseau Dans cette partie, nous allons décrire quelques solutions libres de surveillance et d‟administration des réseaux sur le marché en présentant leurs principes de base ainsi que leurs avantages et inconvénients.

21

Chapitre 2 : Etat de l’art

III.1. Nagios III.1.1 Présentation de la solution

c‟est une solution libre de supervisions réseau très puissante , reconnue dans le monde de supervision et utilisée par les plus grandes entreprises ,puisqu‟elle permet une supervision active et passive des serveurs, équipement réseau, et surtout des services divers et variés. En fait son mode de fonctionnement est simple ; les services de surveillances lancent par intermittence des contrôles de services et des stations définit auparavant grâces à des greffons externes (ou « Plugins ») .Par la suite il récupère les informations fournit par les services de surveillances et les analyses. Si le résultat de cette analyse fait remonter un problème les services de surveillances peuvent envoyer des avertissements à l‟administrateur du réseau de différentes manières : courriers électroniques, messages instantanés, SMS… III.1.2 Avantages et inconvénients 

Avantage

-Reconnus au prés de grande communautés d‟entreprises. -Une solution complète qui permette le reporting, la gestion de la panne et des alarmes, gestions des utilisateurs, ainsi que la cartographie du réseau. -Surveillances du services réseau (SMTP, POP3, http,NMTP , PING…) -Possibilité d‟administration à tous moment du comportement de la surveillances et du retour d‟informations à travers l‟utilisation de la gestionnaire d‟événements, d‟une interface web et d‟applications tierces. 

Inconvénients

-Interface non ergonomique et peu intuitive -Configuration fastidieuse via beaucoup de fichiers. -Pas de coordination et synchronisation entre les serveurs -Grandes dépendances des greffons externes.

22

Chapitre 2 : Etat de l’art

III.2.Zabbix III.2.1.Présentation de la solution

Zabbix est une solution libre de surveillance réseau configurable par interface web, elle permet de surveiller le statut de divers services réseaux, de serveurs et des équipements réseaux d‟un parc informatique d‟une société. C‟est un outil utilisé et sollicité beaucoup par les entreprises concernées étant donnée qu‟il intègre plusieurs fonctionnalités lui permettant de détecter les pannes au plus tôt (être réactif) , analyser les performances (être proactif ) ,anticiper les évolutions de son architecture par la définitions des futurs besoins en équipements et consolider les informations en établissant des modèles de rapports ou Reporting (journal d‟événement ) stockés dans une base de données pou être accessible à tous moment .

III.2.2.Avantages

-Une solution complète de surveillance réseau :cartographie de réseau, gestion poussée d‟alarmes, gestion des utilisateurs, gestion de panne.. -Une interface web d‟administration et de consultation claire pour les administrateurs de réseau, avec une ergonomie bien étudiée. -Compatible avec plusieurs base de données reconnus comme MySQL,poste gre SQL,Oracle , SQlite -Bonne analyse de performance avec synthése détaillée des équipements, des alertes, des services … III.2.3.Inconvénients

-Pas très reconnu auprès des entreprise vis-à-vis ses concurrents avec le manque d‟interfaçage avec les autres solutions libre -Interface un peu trop vaste concernant les options de surveillance -Communication par défaut en clair des informations, ce qui est nécessite une sécurisation des données. -Manque des tests préventifs de l‟état de services avant las défaillances et la génération des alertes. 23

Chapitre 2 : Etat de l’art

III.3. OSSIM III.3.1. Présentation de la solution

OSSIM (open source security information management) Est une solution open source complète, ou plutôt plateforme complète, d‟administration réseaux et du management du système informatique : C‟est une plateforme parfaite d‟administration et supervision réseau, de management de la société de l‟informatique (SIM) et de la gestion parfaite et instantanée des activités et des événements survenues (et pouvant se produire) sur le réseau informatique étudié .  OSSIM est considéré comme étant le chef d‟orchestre des différentes solutions déjà existantes vu qu‟elle permet de détecter, de collecter ,de fédérer ,d‟agréger ,d‟analyser ,d‟évaluer , d‟interpréter

, de synthétiser ,d‟afficher et de rapporter toute sorte

d‟informations repérées dans le réseau de manière centralisée et normalisée . Composant d‟OSSIM : -P0F, détection et analyse du changement des OS -Arpwatch, détection des anomalies (adresse MAC) -Ntop , base de données de comportement -Pads, détection des anomalies de service -Nessus, évaluation de la vulnérabilité -Snort, détection d‟intrusion (IDS) -Osiris, détection d‟intrusion (HIDS) -tcptrack, corrélation des données de session -Spade , statistique des détection des anomalies  OSSIM est une solution centralisée qui s‟appuie sur d‟autres solutions de sécurités et permet à travers son framework de piloter ces produits afin de collecter tous les événements liés à la sécurité de manière centralisée et de la sauvegarde dans une base de données des événements.  OSSIM est une plateforme globale de surveillance et de sécurité combinant les meilleurs solutions libres de surveillance et d‟administration réseaux , les meilleurs 24

Chapitre 2 : Etat de l’art

outils de gestions d‟alertes et de détections d‟intrusion, et les meilleurs moyens de l‟audit interne du système d‟information. III.3.2. Avantages



Solution originale : pas de solution vraiment concurrente à ce jours combinant des outils et des solutions complètes de surveillance réseau ,de sécurité et d‟audit sur une seule console d‟administration seule à gérer .



Plate-forme complète de surveillance, d‟administration et de sécurité réseaux basé sur plusieurs outils Open source très reconnues dans le marché du réseau.

-Interface intuitive : riche en informations et intègre les détails de chaque solution -Fonction d‟apprentissage : qui permet à la solution d‟accroitre la fiabilité des ses Remontées d‟information. III.3.3. Inconvénients

-Configuration difficile de part le grand nombre de paramètres pouvant rentrer en jeu. -Nécessite une démarche d‟audit et d‟évaluation des risques pour être pertinent dans les configurations de la politique de la sécurité souhaitée… -Complexité relative d‟amélioration vue son potentiel élevé de manipulation et son utilisation assez lourde d‟outils puissants en documentation. -Nécessite d‟une base de concept d‟administration réseau et de sécurité d‟information afin de mieux s‟adapter à la manipulation de ses fonctionnalités.

IV. Choix de la solution à adopter: OSSIM Après avoir vu les différentes solutions open source de surveillance réseau en détail nous allons maintenant faire notre sélection sur la solution a adapter tout au long de notre projet d‟étude, et ce en fonctions des besoins de la société SACEM établies déjà dans le premier chapitre.

25

Chapitre 2 : Etat de l’art

Nagios/Zabbix

OSSIM

surveillance des équipements réseaux et -très efficace dans de système

ce contexte vu le

potentiel effectif des informations détaillées qu‟il offre

à l‟administrateur concernant

l‟état en temps réel des services présent , les événements instantanés produit sur le réseau avec ses détails temporelles -sécurité en temps réel avec le scanner de vulnérabilité Nessus et le scanner de port Nmap pas de fonctionnalité très importante en leader matière de sécurité :

en

matière

de

corrélation

d‟événements et d‟alertes

Tableau 1: Tableau comparative entre les différentes solutions Open sources

IV.1. Architecture et principe de base OSSIM est composé de trois briques primordiaux : -Le serveur : contenant les différents moteurs d‟analyse, de corrélation et les bases de données. -L’agent : prenant en charge la collecte et la mise en forme des événements -Le Framework : regroupant les consoles d‟administrations et les outils de configuration et de pilotage et permettant également d‟assurer la gestion des droits d‟accès. Le framework a pour objectif de centraliser, d‟organiser et d‟améliorer la détection et l‟affichage des événements liés à la sécurité du système d‟information d‟une entreprise.

26

Chapitre 2 : Etat de l’art

Le principe de fonctionnement de la solution OSSIM s‟effectue selon deux étapes : -Leprétraitement de l’information : assuré au niveau d‟équipements spécifiques tels que les sondes de collecte d‟informations (Sensor) ou de détection d‟intrusion (IDS), consiste la collecte des informations de logs ainsi que la normalisation des celles-ci afin de les stocker de manière uniforme et de pouvoir les traiter efficacement durant l‟étape de poste traitement. -Le poste traitement : de l‟information assuré par l‟ensemble des processus interne à la solution et qui vont prendre en charge l‟information brute telle qu‟elle est a été collecté pour ensuite l‟analyser, la traiter et en fin la stocker dans une base de données. Ces informations collectées par les détecteurs et les moniteurs sont spécifiques et encore Partielles et ne représentent qu‟une petite partie de la quantité d‟information existante sur le réseau de l‟entreprise étudié .OSSIM a donc la solution : c‟est la Corrélation. En effet, le mécanisme de corrélation peut donc être vu comme la possibilité d‟utiliser les informations remontées par les détecteurs en utilisant un nouveau niveau de traitement ,de compléter et d‟améliorer le niveau d‟information . Son but est de rendre cette remontée d‟information le plus efficace possible par rapport à la quantité d‟information disponible sur le réseau de l‟entreprise. Afin de comprendre ces deux étapes ,voici une figure qui illustre ce fonctionnement :

27

Chapitre 2 : Etat de l’art

Figure 3:Architecture d'OSSIM

Nous remarquons bien qu‟il existe différentes bases de données permettant la sauvegarde des informations corrélées (intermédiaire). -

EDB : La base de données des événements (la plus grande), stockant toutes les alarmes individuelles.

-

KDB : La base de données des connaissances, sauvegardant les configurations établiespar l‟administrateur en charge de la sécurité.

-

UDB : La base de données des profils, stockant toutes les informations du moniteur de profile.

Afin d‟aider à la compréhension, nous allons détailler le cheminement d‟une alarme dans l‟architecture définie par cette figure : 28

Chapitre 2 : Etat de l’art

Figure 4:Cheminement du flux d'informations

1. Détection d‟un événement suspect par un détecteur (par signatures ou par l‟heuristique). 2. Si nécessaire, des alarmes seront regroupées (par le détecteur) afin de diminuer le trafic réseau. 3. Le collecteur reçoit la/les alarme(s) via différents protocoles de communications ouverts. 4. Le parser normalise et sauve les alarmes dans la base de données d‟événements (EDB). 5. Le parser assigne une priorité aux alarmes reçues en fonction de la configuration des polices de sécurités définies par l‟administrateur sécurité. 6. Le parser évalue le risque immédiat représenté par l‟alarme et envoie si nécessaire une alarme interne au Control panel 7. L‟alerte est maintenant envoyée à tous les processus de corrélation qui mettent à jour leurs états et envoient éventuellement une alerte interne plus précise (groupe d‟alerte provenant de la corrélation) au module de centralisation. 8. Le moniteur de risque affiche périodiquement l‟état de chaque risque calculé par CALM. 29

Chapitre 2 : Etat de l’art

9. Le panneau de contrôle affiche les alarmes les plus récentes et met à jour les indices des états qui sont comparés aux seuils définis par l‟administrateur. Si les indices sont supérieurs aux seuils configurés, une alarme interne est émise. 10. Depuis le panneau de contrôle, l‟administrateur a la possibilité de visualiser et rechercher des liens entre les différentes alarmes à l‟aide de la console forensic.

Conclusion Dans ce chapitre, nous avons commencé par une étude assez détaillée sur la gestion des réseau informatiques à partir de laquelle nous avons spécifié quelques termes et notions de bases nécessaires à la bonne compréhension de la réalisation de notre projet; puis nous avons décrit le concept de supervision et d‟administration de système d‟information ainsi que leurs intérêts sur les entreprises concernées; ensuite nous avons présenté des généralités sur la sécurité informatique en définissant les menaces existantes et les différents risques et la manières à s‟en protéger . Enfin, nous avons terminé notre chapitre par une étude comparative des différentes solutions libres de surveillance réseau existantes à savoir Nagios, Zabix et OSSIM tout en présentant pour chacune d‟elle son principe de fonctionnement, ses avantages et ses inconvénients vis-àvis du système d‟information étudié. Cette étude nous a amené à bien choisir notre solution de surveillance qui s‟intitule : OSSIM.

30

Chapitre 3 : Spécification des besoins

Chapitre3 : Spécifications des besoins Introduction : Après avoir faire une étude approfondie de l‟existant, nous allons recueillir et analyser les différentes besoins auxquels devrait répondre notre projet de fin d‟étude. Dans ce chapitre, nous allons détailler la spécification des besoins de notre solution « OSSIM ». Ce chapitre est composé de deux parties. Dans la première partie, nous allons spécifier les besoins fonctionnels définissant les fonctionnalités de notre plateforme de surveillance. Les besoins non fonctionnels caractérisant notre solution vont être définis dans la deuxième partie de ce chapitre.

I .Etude des besoins I.1. Besoins fonctionnels

OSSIM offre une infrastructure pour le monitoring de la sécurité réseau permettant de : 

Intégrer une série d‟outil d‟administration et de sécurité , rassemblé pour une seule console.



Effectuer une série de taches indispensables dans un réseau d‟entreprise à savoir l‟audit interne.



L‟administration réseau :affiche des informations sur les connexions TCP qu‟il rencontre sur une interface ; Il détecte passivement les connexions TCP sur l‟interface à analyser et affiche les informations par un sniffer (TCPTRACK)



La détection d‟intrusion : capable d'effectuer l'analyse du trafic en temps réel par un outil nommé SNORT. La détection réalise on trois faces IDS, Détection d‟anomalie, Firewalls



L‟analyse du trafic



La gestion d‟anomalies : cette action est réalisée en temps réel permettant le monitoring ainsi que le calcul de statistiques. Le monitoring consiste l‟affichage des informations fournies. Les consoles de monitoring utilisent les différentes données produites par les procédés de corrélation pour la construction d‟un affichage efficace et/ou résumé,L‟analyse et le monitoring : 32

Chapitre 3 : Spécification des besoins

–La Corrélation – L‟Evaluation de la dangerosité des alarmes – L‟Evaluation du risque sur l‟architecture à protéger 

La gestion d‟incidents :



Les managements (configuration) :

– Inventaire des ressources informatiques – Définition de la topologie – Définition des polices de sécurité – Définition des règles de corrélation ´ – Liens avec différents outils d‟audits Open Source 

La surveillance du système…



Il permet d‟affichage des services d‟une machine sans avoir à opérer un scan actif



Evaluer les risques : Le risque peut être défini comme étant la probabilité de menace de l‟événement. En d‟autres termes, cette étape tente de définir si la menace est réelle ou pas. L‟importance à donner à un événement dépend principalement de trois facteurs : - La valeur du bien attaqué - La menace représentée par l‟événement ´ - La probabilité que l‟événement apparaisse

Cette fonctionnalité permet d‟offrir des indicateurs de haut niveau permettant d‟orienter l‟inspection et de mesurer la situation de la sécurité du réseau étudié ,en se basant des procédés de corrélation qui facilitent la détection et la réponse aux anomalies pouvant effectuer le système ainsi que la définition des politiques de sécurité et la récupération des rapports concernés. 

Fournir une console d‟organisation



Améliorer la détection et l‟affichage des alarmes de sécurité

33

Chapitre 3 : Spécification des besoins

I .2. Besoins non fonctionnels

Un besoin non fonctionnel est une restriction ou une contrainte qui pèse sur un service du système, telle que les contraintes liées à l‟environnement et à l‟implémentation, les exigences matières de performances. Notre solution doit répondre à plusieurs critères : 

La performance : le temps de réponse est rapide.



Simple à utiliser : avoir une interface graphique facile à exploiter.



La sécurité : l‟utilisation d‟un login et d‟un mot de passe



La disponibilité : OSSIM doit être explicitement défini pour les applications critiques

Conclusion Dans ce chapitre, nous avons fait une étude théorique pour décrire les besoins fonctionnels et non fonctionnels pour la mise en place de la solution open source « OSSIM », ainsi que une étude de l‟architecture globale de la solution. Après une présentation du principe de notre projet et l‟analyse des besoins qu‟il vise à les répondre nous commençons dans le chapitre suivant la mise en place de notre solution OSSIM

.

34

Chapitre 4 : La réalisation

Chapitre 4 : La réalisation

Introduction Dans ce chapitre, après nous avons choisi l‟OSSIM comme une solution qui devrait être la plus adéquate au système d‟information de la société et qui répond mieux aux besoins de l‟utilisateur de notre projet, nous allons aborder l‟étude pratique de notre projet. Alors, quels sont les composants essentiels de cette solution ? Quelle est la stratégie de la mise en place de cette solution au sein du réseau interne de la SACEM ? Enfin, quels sont les différents tests qu‟on doit effectuer afin de valider cette solution et avoir ses effets sur le réseau de l‟entreprise étudié ?

I. Environnement de développement I.1. Environnement matériel Dans notre réalisation, nous avons utilisé deux machines liées au réseau local de la société. 

La première est notre serveur-agent OSSIM installé sur une plateforme Linux Debian.



La deuxième, utilisant le système d‟exploitation Microsoft Windows, se présente comme un Monitor pour le serveur OSSIM à travers une interface web.

L‟interaction entre ces deux machines présente l‟interrogation du serveur à travers son interface web, c‟est le point de départ de l‟administrateur pour découvrir la plateforme et ses différents composants. I .2. Environnement logiciel Pour installer la plateforme OSSIM, nous avons utilisé : -

Ossim-server : constitue le noyaude l‟architecture .En effet, celui-ci comporte les modules d‟analyse et de corrélation des données ainsi qu‟un serveur Web permettant l‟interaction avec l‟utilisateur.

-

Ossim-agent : récupère simplement les informations des fichiers de logs des plugins et les envoie directement au serveur OSSIM .Ainsi , il s‟occupe de la mise en marche et de l‟arrêt des différentes sondes qui lui sont connectées.

36

Chapitre 4 : La réalisation

-

L‟agent PADS :PADS va permettre d‟identifier les machines (adresses IP et MAC) ainsi que leurs services uniquement en sniffant le réseau. Il permettra l‟affichage des services d‟une machine sans avoir à opérer un scan actif. Il permettra l‟affichage des services d‟une machine configurée sur Ossim sans opérer un scan actif.

-

L‟agent TCPTRACK :TCPTrack est un sniffer affichant des informations sur les

connexions TCP qu‟il rencontre sur une interface. Il détecte passivement les connexions TCP sur l‟interface à analyser et affiche les informations. Il permet l‟affichage des adresses source et destination, de l‟état de la connexion, du temps de connexion ainsi que de la bande passante utilisée. -

L‟agent P0F :P0f est un logiciel de détection de système d‟exploitation passif. Il analyse les trames transitant sur le réseau (le segment analysé) et les compare avec une base de données des caractéristiques de chaque OS (prise d‟empreintes) afin d‟en retrouver l‟OS correspondant. P0Fest capable aussi de faire la :  Détection de la présence d‟un firewall  Détection d‟un répartiteur de charge réseau  Détection de la distance de la machine distante

-

L‟agent SNORT :Snort est un système de détection d'intrusions réseau en Open Source, capable d'effectuer l'analyse du trafic en temps réel.

-

L‟agent NTOP :Ce logiciel analyse en temps réel le trafic réseau et met à disposition une liste de compteurs, permettant le monitoring ainsi que le calcul de statistiques. La sonde Ntop met en place un serveur Web permettant le son monitoring ainsi que la sa configuration à distance.

I.3. Choix des outils de développement OSSIM

(Open Source Security Management),est une plateforme Open Source de

management de la sécurité de l‟information.

37

Chapitre 4 : La réalisation

Cette solution présente deux avantages essentiels lui permettant d‟être très sollicitée par les entreprises dans le domaine de management du réseau informatique : -

Le premier avantage est l’intégration ,c‟est-à-dire ,avoir une série d‟outils d‟administration et de sécurité (Snort, Nessus , Ntop,Nmap, …), rassemblés pour une seule console et pouvant effectuer une série de taches indispensables dans un réseau d‟entreprise à savoir l‟audit interne, l‟administration réseau ,la détection d‟intrusion,,l‟analyse de trafic ,la gestion d‟anomalies, la gestion d‟incidents , la surveillance du systèmes…

-

Le deuxième avantages est l’évaluation des risques :c'est-à-dire offrir des indicateurs de haut niveau de mesurer la situation de la sécurité du réseau étudié ,en se basant des procédés de corrélation qui facilitent la détection et la réponse aux anomalies pouvant effectuer le système ainsi que la définition des politiques de sécurité et la récupération des rapports concernés.

 OSSIM s‟avère donc être la solution Open Source la plus complète et aucune solution Open Source ne propose une telle palette de procédés d‟administration complète du réseau et d‟analyse détaillée d‟événement de sécurité.

II. Réalisation et tests II.1. Installation et configuration 

Installation

L‟installation consiste simplement à télécharger sur le site officiel d‟Ossim d‟une version de la plateforme Ossim intégrée avec GNU/Linux Debian comportant en même temps le serveur et l‟agent d‟une part, et d‟autre part elle intègre aussi tous les paquets nécessaires à la solution avec leurs dépendances et les outils à utiliser lors de l‟implémentation. En d‟autre termes, tout est intégré, il suffit d‟attendre environ 5 heures pour l‟installation, et après le serveur va être prêt pour l‟utilisation 

Configuration

Dans cette phase nous allons faire la configuration du serveur et de l‟agent :

a) Configuration du serveur 38

Chapitre 4 : La réalisation

Nous configurons le serveur en éditant le fichier /etc/ossim/server/config.xml/ ensuite nous modifions les paramètres du serveur selon notre réseau étudié : -

Le nom du serveur OSSIM :alienvault

-

L‟adresse IP du serveur OSSIM : 192.168.1.10

-

Le port sur lequel écoute le serveur OSSIM, par défaut c‟est le port 40001

-

Le nom du framework alienvault

-

L‟adresse IP du framework OSSIM, qui est installé sur la même machine que le serveur, est : 127.0.0.1 ou localhost.

-

Le port sur lequel écoute le framework OSSIM, par défaut c‟est le port 40003

-

Les paramètres de la base de données OSSIM qu‟utilise le serveur :  SGBD : MySQL  Port : 3306  User : root  Mot de passe :wKcvfjIPLQ  Nom : ossimDS  Machine : localhost car notre base de données est hébergée sur la même Machine serveur

-

Les paramètres de la base de données SNORT :  SGBD : MySQL  Port : 3306  User : root  Mot de passe :wKcvfjIPLQ  Nom : snortDS  Machine : localhost  Le fichier log du serveur : /var/log/ossim/server.log  Le

fichier

XML

contenant

/etc/serveur/ossim/directives.xml

39

les

directives

de

corrélation :

Chapitre 4 : La réalisation

b) Configuration de l’agent : Concernant la configuration de l‟agent Ossim, nous commençons par la configuration des principaux paramètres en éditant le fichier /etc/ossim/agent/config.cfg et nous agissons sur ses paramètres tels que son adresse IP, l‟adresse IP du serveur, les plugins à démarrer… L‟agent est installé sur une machine sonde qui va recueillir les logs des équipements. Pour notre cas l‟agent est intégré dans la même machine que le serveur , nous commençons par définir les paramètres suivantes : -

L‟adresse IP de la machine sonde sur laquelle est installé l‟agent :192.168.1.10( celle du serveur)

-

L‟interface réseau sur laquelle l‟agent va recevoir les logs :eth0

-

Le serveur auquel se connectera l‟agent (défini dans la section précédente)  L‟adresse IP :192.168.10.246  Le port 40001

-

Les paramètres de la base de données OSSIM :  SGBD : MySQL  Machine : 192.168.10.246  Nom : alienvault  Port : 3306  User : root  Mot de passe :wKcvfjIPLQ  Machine : localhost

-

Le fichier log du serveur : /var/log/ossim/agent.log

-

Les plugins des équipements à activer et le chemin du fichier de configuration correspondant à chaque plugin sur la machine agent.

II.2. Fonctionnement du framework OSSIM Manipulation de l’interface Web d’OSSIM

Nous arrivons maintenant à l‟étape de l‟administration de notre plateforme OSSIM : Dans cette étape nous allons décrire de manière détaillée de ce qu‟OSSIM offre comme interface Web pour l‟administrateur de cette plateforme et découvrir donc chacune de ses composants. 40

Chapitre 4 : La réalisation

II.2. 1. Console d’administration d’OSSIM

Afin d‟accéder à la console d‟administration d‟OSSIM (au serveur OSSIM) nous connectons à un navigateur Web (internet explorer, Firefox…), et nous tapons l‟adresse IP du serveur OSSIM : 192.168.1.10, Alors l‟interface d‟authentification au serveur apparait. Nous utilisons donc le login « Admin » et le mot de passe « SACEM » pour s‟authentifier comme administrateur (par défaut auprès de notre serveur ossim ) Voici un imprime écran illustrant cette étape :

Figure 5:Authentification au prés du serveur

Le nom d‟utilisateur et le mot de passe sont « admin » « SACEM2013 », il ne faut pas oublier de les modifier une fois la première connexion est établie. Pour cela il faut aller dons „configuration/Users‟ et ajouter un nouveau User, comme le montre cette figure

41

Chapitre 4 : La réalisation

Figure 6:Ajout d'un nouvel utilisateur

Après avoir faire la connexion, nous commençons par découvrir le framework d‟OOSIM en détail. L‟interface de configuration et monitoring offerte par OSSIM se compose de divers menu et sous-menus. Nous allons essayer de traiter les principaux modules que nous avons utilisés lors de notre stage et voir les résultats obtenus dans cette manipulation. a) Dahboards OSSIM offre un tableau de bord intéressant avec une variété de représentations des différents résultats collectés par l‟agent. -

Sous „Dahboards//Exécutive‟,nous trouvons les graphes suivants résumant l‟état globale du système.

42

Chapitre 4 : La réalisation

Figure 7:Etat globale des alarmes et évènement récent

Figure 8:Etat globale des agents ajoutés à OSSIM récemment

43

Chapitre 4 : La réalisation

Figure 9:Etat globale de menaces récentes détectées

Figure 10:Etat globale de la variation du débit du réseau

Ces graphes montrent bien l‟état du réseau en globale : Pour la première figure nous trouvons l‟état des alarmes et des événements qui se sont produits récemment sur le réseau (Dernière alarmes, événements détectés, attaques, scan de vulnérabilités avec nmap..) ; dans la deuxième figure, l‟état des événements produits par 44

Chapitre 4 : La réalisation

sonde ou agents (dans notre cas c‟est le serveur ossim qui est concerné) ; la troisième figure montre le niveau réel des menaces dans le réseau à partir des états de ces alarmes ; les autres figures décrivent le niveau des hôtes du réseau en risque d‟attaques, l‟historique du trafic des protocoles et la variation du débit du réseau. -

Les

illustrations

concernant

les

incidents

sont

présentées

Dashboards//Executive/Incidents‟ ou ils sont décrit selon :  L‟état :

Figure 11:Etat des incidents

 Le type :

Figure 12:Type d'incident

45

sous

l‟onglet



Chapitre 4 : La réalisation

 L‟utilisateur :

Figure 13:Incidents par utilisateur

Ces statistiques montrent l‟état des incidents ouverts( non traité) et fermés (traités) (dans notre cas 100% des incidents n‟ont pas été traité par l‟administrateur),leurs types événements ou vulnérabilité (dans notre cas 50%des incidents survenues sont des événements et 50% sont des vulnérabilités ,les utilisateurs concernés (dans notre cas 100%,car un seul utilisateur ADMIN est enregistré) et enfin la taux de résolution des incidents par jours( 1 jours pour traiter un incident). b) Incidents Dans cet onglet Incidents, nous découvrons les différents types et détails d‟alarmes que OSSIM détectent et stocke dans sa base de données. Il offre donc un archivage des commentaires déposés par les différents administrateurs en charge de la sécurité et permet de déposer des annotations sur les activités effectuées ainsi que de fermer les alarmes/problèmes ayant été résolus. -

Nous pouvons voir ces figures qui montrent ces alarmes :

46

Chapitre 4 : La réalisation

Figure 14:Alarme détectées et sauvegardé par OSSIM

Figure 15:Informations générales d'un incident/événement détecté

Nous remarquons par exemple la première alarme détectée (Nmap scan from Ossim),sa date de détection (1/06/2013)

.ainsi que les hôtes sources (192.168.1.10)et destinations

(192.168.1.20) correspondantes à cette alarme. c) Analysis L‟onglet Analysic est très important dans OSSIM puisqu‟il indique bien les événements effectués dans le réseau et détectés par OSSIM d‟autre part, et il effectue un scan de

47

Chapitre 4 : La réalisation

vulnérabilité aves l‟outil Nessus d‟autre part, sans oublier qu‟il permet d‟afficher les anomalies survenues dans le réseau selon plusieurs critères.

-

Pour l‟onglet Vulnérabilités, nous arrivons à l‟outil NESSUS et son utilisation.

Utilisation de Nessus : Nessus est un outil de sécurité permettant d‟identifier et de traiter rapidement les failles du Réseau. Il teste tous les équipements réseaux disposants d‟une adresse IP afin d‟établir un inventaire des menaces et des vulnérabilités auxquels ils sont exposés. Il fournit généralement pour la plupart des produits des informations détaillées sur chacune des vulnérabilités découvertes et un remède explicite. Les vulnérabilités découvertes sont classées par degré de gravité. Pour lancer un scan de vulnérabilité nous devons aller sous „Analysic/vulnerabilities/‟, une appuyer sur « New scan job» comme le montre cette figure :

Figure 16:Lancer le scan de NESSUS

Ensuite, nous choisissons le ou les hôtes (définis déjà) à scanner, ainsi que le ou les réseaux (définies auparavant) à scanner, comme montré ci-dessous :

48

Chapitre 4 : La réalisation

Figure 17:Choix des hôtes ou réseau à scanner

Dans cette figure, en cliquant sur hosts nous avons choisi de scanner l‟hôte d‟adresse IP 192.168.1.10. Pour valider, nous cliquons sur l‟icône New Job (encadré en rouge). A la fin du scan le résultat peut être affiché au-dessous dans un tableau comme le montre cette figure :

Figure 18:Résultat de Nessus

49

Chapitre 4 : La réalisation

Maintenant, nous arrivons à l‟outil de détection des alertes ainsi que son interface d‟évaluation pour savoir l‟endroit de l‟affichage des informations à détecter sur la plateforme OSSIM. Cet outil s‟appelle ACID (Analysic Console for Intrusion Databases) : C‟est un outil très puissant (dévéloppé en PHP) pour l‟examen des informations de détection d‟intrusion. Il permet de visualiser les différentes alertes générées à partir une base de données MySQL. Pour accéder à cette interface, il suffit d‟entrer sur la console d‟administrationd‟OSSIM, et puis de consulter le module analysis/security Events(SIEM). sous ce module, nous trouvons l‟interface de visualisation des alertes et menaces détectées en temps réel par les logiciels de détections correspondantes ( nagios, snort, Nmap…) Voilà cette interface avant de faire nos tests

Figure 19:Affichage des derniers alertes (signature) par ACID

Dans cette figure, nous pouvons voir un affichage historique des alertes et des attaques survenues sur le réseau, avec les adresses source et destination correspondantes ainsi que le degré de risque de chaque événement (asset) et son priorité. D‟autre part, nous pouvons sélectionner le choix du logiciel à utiliser pour filtrer l‟affichage de ces alertes, et ceci à travers cette interface : 50

Chapitre 4 : La réalisation

Figure 20:Choix du plugin pour l'affichage des alertes

Ce qui nous donne une possibilité très puissante de tester les outils employés par OSSIM dans la détection d‟intrusion et des alertes et des événements survenues sur le réseau. De plus,ACID offre la possibilité à l‟administrateur de gérer en temps réel les détections d‟intrusion à travers son interface REAL TIME, présenté par cette figure :

51

Chapitre 4 : La réalisation

Figure 21:Gestion en temps réel des évènements par ACID

Nous constatons à travers cette interface qu‟ACID fait actualiser sa liste des événements détectées avec le mot Refreshing (encerclé en rouge)afin qu‟il soit en temps réel aves les événements survenues au fur et à mesure sur le réseau. Nous pouvons voir donc la date de ces événements, ainsi que leurs risque et leurs générateurs (logiciel de détection)responsable de la détection.

d) Report Dans cet onglet, OSSIM nous permet de d‟élaborer des rapports d‟informations concernant les équipements réseaux et système, et peut les afficher sous forme de PDF, tout en sauvegardant dans sa base de données les différents logs des utilisateurs de ce réseau. Nous pouvons voir par exemple l‟icône Reports/Asset report, nous tapons soit le nom de l‟hôte, soit l‟adresse IP ou bien l‟adresse du réseau, en suite

nous cliquons sur View

repot,nous pouvons savoir les informations sur l‟hôte ou les hôtes que nous avons déjà choisies avec leurs adresse IP, leurs systèmes d‟exploitation et le niveau de leurs priorité (ASSET). 52

Chapitre 4 : La réalisation

La figure suivante montre ses informations :

Figure 22:Inventaire de l'hôte 192.168.1.10

-Sous Report/Reports, nous pouvons détecter les alarmes et les incidents dans un fichiers PDF comme le montre cette figure :

Figure 23:Alarme Report

-Sous Report/user/log Report, nous trouvons tous les logs des utilisateurs avec les événements subits et leurs détails, comme le montre cette figure :

53

Chapitre 4 : La réalisation

Figure 24:Les logs des utilisateurs du réseau

Nous remarquons alors ce qui est en rouge ce sont les hôtes du réseau et ce qui est en bleu toutes les actions effectuées par l‟utilisateur Admin et correspond aux machines convenables (logg in,network scan, configuration…)

e) ASSET Dans cette section, nous pouvons définir les agents à déployer sur le réseau étudié, les hôtes à ajouter sur le réseau ainsi que le réseau à personnaliser. -

Définition des agents

Pour ajouter un nouvel agent, nous allons sous « Asset/hosts/», nous cloquons sur le lien new Sensor et nous complétons les informations nécessaires comme le montre cette figure :

54

Chapitre 4 : La réalisation

Figure 25:Ajout d'un nouvel agent

Ensuite nous allons sous „Asset/Sensors‟, nous remarquons l‟agent par défaut « alientvault » ( encadré en rouge)et l‟agent « agent » (encadré en noir) que nous avons déjà ajouté sont déjà mise en place , comme montré par cette figure :

Figure 26:Définition des Agents OSSIM

-

Définition des hôtes

Cette étape consiste à définir les différentes hôtes du réseau. Pour cela il faut aller sous „Asset /hosts‟, et ajouter les machines une par une, comme l‟illustre cette figure :

55

Chapitre 4 : La réalisation

Figure 27:Définition des hôtes

De même pour ajouter un nouvel hôte, nous cliquons sur new et nous définissons les informations de l‟hôte à ajouter puis nous cliquons sur update. Voici une description illustrée par cette figure :

Figure 28:Ajout d'un nouveau hôte

56

Chapitre 4 : La réalisation

-

Définition des réseaux (Network)

Cette étape consiste à regrouper les hôtes dans un ou plusieurs réseaux. Dans notre cas, nous allons déclarer un réseau englobant toutes les machines appelé HOME. Allons alors sous „asset /networks‟, et ajoutons le réseau HOME , ce qui est montré par cette figure :

Figure 29:Ajout d'un nouveau réseau "HOME" Puis, nous trouvons le réseau ajouté sur la liste des réseaux existants comme le montre cette figure

Figure 30:Network home ajouté

57

Chapitre 4 : La réalisation

-Sous Assets, nous avons l‟outil OCS Inventoy (Open Computer and Software Inventory) ou un inventaire de gestion du parc informatique. Cet outil permet de réaliser un inventaire sur la configuration matérielle des machines du réseau et sur les logiciels qui y sont installés. Il permet de visualiser cet inventaire grâce à un interface web . Intégré à la plateforme OSSIM, On peut exploiter quelques fonctionnalités de ce logiciel afin de faire un petit inventaire sur un parc informatique, et récupérer les informations matérielle et logicielles sur la configuration des machines. Pour cela, il faut qu‟on installe l‟agent d‟OCS sur chaque machines pour que le serveur OSSIM puisse les voir. Par exemple si nous voulons ajouter un utilisateur nous faisons comme suit :

Figure 31:Ajout d'un nouveau utilisateur "salwa"

58

Chapitre 4 : La réalisation

Après que nous cliquons sur « register » , nous constatons que le nouveau utilisateur est ajouté comme le montre cette figure :

Figure 32:Réussite d'ajout du nouveau utilisateur

Nous constatons de cette figure que l‟utilisateur nommé « salwa » et son type « simple utilisateur » (encadré en rouge) est ajouté à la base de donnée avec l‟affichage du message de réussite (encadré en bleu). Maintenant, nous arrivons à l‟outil de scan de ports Nmap : Dans ce module, OSSIM permet à l‟administrateur d‟utiliser un logiciel très reconnue dans le monde de scanner de ports c‟est Nmap, sous Assetasset siscovery -

Utilisation de Nmap :

Nmap est une sonde conçu pour détecter les ports ouverts, identifier les services hébergés et obtenir des informations sur le système d‟exploitation d‟un ordinateur distant. Pour lacer le scan de port avec Nmap sur le serveur ossim (192.168.1.10), il faut aller sous « Asset/asset discovery », et nous lançons un nouveau scan. comme le montre cette figure :

59

Chapitre 4 : La réalisation

Figure 33:Lancement du Nmap

Le résultat peut prendre quelques instants jusqu‟à obtenir le message suivant :

Figure 34: Fin du scan Nmap

60

Chapitre 4 : La réalisation

Les résultats sont ensuite affichés sous Asset/hosts comme le montre cette figure :

Figure 35:Résultat détaillé du scan Nmap

f) Intelligence En ce qui concerne le module Intelligence, OSSIM offre à l‟administrateur la possibilité de visualiser les règles de corrélation définies par le serveur OSSIM, d‟augmenter la priorité d‟une alerte Snort lorsque l‟attaque aura été découverte par Nessus (Cross corrélation), et en fin de permettre un backlog sur les références des alarmes provenant des directives d‟une corrélation Exemple voici une figure illustrant des alertes sauvegardées :

Figure 36:Fichier des alertes sauvegardées 61

Chapitre 4 : La réalisation

g) Situational Awareness : Concernant l‟onglet Situational Awareness, il contient trois sous menus très importants qui sont : Network (NTOP), Availability (NAGIOS) et IP repulation. Dans cet onglet, nous trouvons deux outils qui se présente parmi les meilleurs outils de surveillance en réseau puisqu‟ils sont connues comme étant des solutions à part et n‟ont pas été intégré auparavant sous une plateforme complète de surveillance comme OSSIM ; Ce qui présente une originalité pour OSSIM de faire l’effort d’intégrer des solutions complètes de supervision et d’administration sous une seule console. Ces outils sont Ntop(outil libre d‟analyse en temps réel du trafic réseau) et Nagios (outil libre permettant la surveillance système et réseau, la supervision des hôtes et services spécifiés et alertant lorsque les systèmes vont mal et quand il vont mieux). Utilisation de Ntop : Ntop est un outil qui produit des informations sur le trafic d‟un réseau en temps réel. Pour voir les résultats de l‟application de cette sonde sur notre réseau il faut aller sous „situational/nettwork, nous allons observer ceci :

Figure 37:Les statistiques du trafic global

62

Chapitre 4 : La réalisation

La sonde Ntop présente divers statistiques du réseau de l‟entreprise, avec des graphes décrivant l‟état du réseau, les connexions entrantes et sortante, les protocoles utilisés, les ports utilisés, les hôtes et réseaux … Nous pouvons visualiser le trafic du réseau par service, ou par hôte, montant et descendant pour pouvoir détecter les services les plus utilisés et les machines suspectes ayant des taux de transfert de données inhabituels. -

Part taille de paquets :

Figure 38:Classement du trafic par taille de paquet

Dans cette figure, nous remarquons bien que le réseau de l‟entreprise présente une moyenne de paquets circulant au sein du réseau d‟environ 347 bytes, avec la majorité des paquets sont en taille inférieure 64 bytes. Ce qui nous donne une idée sur l‟état du réseau en terme du paquets . -

Par protocole :

63

Chapitre 4 : La réalisation

Figure 39:Classement du trafic par protocole

Nous pouvons voir à travers cette figure la distribution du trafic réseau par protocole utilisé, comme TCP,UDP, ICMP, DLC…classé par taille de données, et ceci à fin de mentionner quels sont les protocoles par exemple qui semblent être les plus sollicités par les utilisateurs du réseau, ou qui consomment plus les données et donc qui peuvent saturer le trafic.

-

Par hôtes :

Figure 40:Classement du trafic par hôte

64

Chapitre 4 : La réalisation

Dans cette figure nous remarquons que le trafic du réseau est distribué selon les postes du travail présents sur le réseau, en effet, les hôtes sont classé aves leurs adresse IP et Mac, en fonction de la consommation de bande passante utilisée sur le réseau ; Par Exemple, ce que nous avons coloré en rouge et noir, ce sont les trois adresses respectives de serveur OSSIM, Monitor et le serveur de domaine ajouté au réseau, et en bleu le taux d‟occupation de bande passante. Nous remarquons alors que le serveur OSSIM occupe une bande passante très importante bien sûr puisque tous le trafic passe par lui, de même pour Monitor puisqu‟il interroge tous le temps le serveur, alors que les autres hôtes ont un trafic qui dépond à la fonction des applications utilisées. -

Par service :

Figure 41:Classement du trafic par service

Concernant le trafic distribué par service, nous avons dans cette figure une description

65

Chapitre 4 : La réalisation

du trafic des hôtes selon leurs utilisations de plusieurs service comme FTI,http ,DNS , Proxy,Messenger,.. (Encadré en rouge) et ses informations sont en termes de pourcentage de données circulées sur le réseau (en noir). Ceci peut nous aider (comme administrateurs) à des interprétations concernant le service le plus utilisé, l‟état du service… -D‟autre part, nous pouvons grâce à NTOP, avoir une idée sur le trafic de TCP/UDP à part, par distribution de ports ou services .

Figure 42:Classement du trafic TCP/UDP par distribution de ports

66

Chapitre 4 : La réalisation

Figure 43:Classement du trafic TCP/UDP par service

Ce qui nous permet de savoir quels sont les ports utilisés récemment et les données transférées à travers ces ports, et aussi de savoir les services utilisés par TCP/UDP grâce à leurs graphes de répartition. Utilisation du NAGIOS : Nagios est un outil open source reconnu dans le monde de la supervision, il permet une supervision active et passive des serveurs, équipements réseaux, et surtout de services divers et variés. Nous allons donc de découvrir quelques fonctionnalités de Nagios d‟après ce que nous avons récupéré comme informations sur la plateforme d‟OSSIM. L‟accès aux différents éléments du module Reportings‟effectue en cliquant sur l‟icône Situational Awaraness /Availability/Reporting aves ses options :  Trends : graphiques de disponibilité d‟un hôte ou d‟un service  Availability : tableau de disponibilité des groupes d‟hôtes, des hôtes ou service.  Event histogram : graphiques des changements d‟état d‟un hôte ou d‟un service.  history : historique des alertes.  Event summary : tableaux des dernières alertes, par groupe d‟hôtes, des hôtes ou service. 67

Chapitre 4 : La réalisation

 Notification : historique des notifications  Performance information : historique de tous les événements (alerte, notification, ..) -

Informations sur les hôtes et services :

L‟accès aux informations d‟un hote ou d‟un service possible par :  Service détail, puis en cliquant sur le nom d‟un hôte ou d‟un service.  Host detail, puis en cliquant sur le nom d‟un hôte.  Status Grid, puis en cliquant sur le nom d‟un hôte ou d‟un service. Par exemple voici une figure qui montre les informations d‟un service :

Figure 44:Affichage des informations des services d'hôtes 127.0.0.1

Cette figure centralise les informations d‟un service d‟un hote donné (ici de l‟hote Monitor 127.0.0.1),son état (current status),, la date de la dernière vérification(last check time),ou dernière modification (last state change). En haut à gauche se trouve un cadre présentant des liens vers les éléments de rapport pour ce service. -

Informations sur les états d’hôtes et services sous forme d’histogramme :

L‟élément trends (tendance), accessible sous situationnal/availability/reporting, présente sous forme d‟histogramme à barres les différents états d‟un hôte et d‟un service sur une période de

68

Chapitre 4 : La réalisation

temps donnée. Les pourcentages relatifs à chaque état sur cette période de temps sont inscrit à droite du diagramme. L‟accès à cette option se fait sous l‟icône : Trends du modèle Reporting En première étape, nous choisissons le type de rapport :

Figure 45:Choix du type de rapport

Figure 46:Section d'hôte effectué

Nous choisissons si le rapport concerne d‟un hôte ou un service. Puis nous cliquons sur continues to step 2 pour passer à l‟étape suivante :

69

Chapitre 4 : La réalisation

Figure 47:Sélection de l'hôte /service désiré

Figure 48:Sélection de l'hôte effectué

Selon le choix de l‟étape précédente, nous sélectionnons l‟hôte ou le service désiré. Nous cliquons ensuite sur Continue to Step 3 pour passer à l‟étape suivante :

Figure 49:Paramétrage des options du rapport

70

Chapitre 4 : La réalisation

En fin, nous cliquons sur Create Report (encadré en rouge)pour générer le rapport, nous obtenons :

Figure 50:Rapport d'état de 192.168.1.10

En abscisse du graphique se trouvent les dates de changement d‟état (ou de redémarrage du programme Nagios)et en ordonnée le nom des différents états (la valeur de l‟ordonnée définit la hauteur de la barre de l‟histogramme). A droite du graphique se trouvent les pourcentages avec la correspondance en unité de temps de ceux-ci. Dans notre cas, nous trouvons que l‟hote localhost marche bien (UP)à partir de la date 3 May 2013 jusqu‟au 4 May de la meme année. -

Divers

informations

sur

services

les

et

hôtes

sous

l’onglet

situational/Availability/Monitoring Dans cet onglet, nous pouvons afficher l‟état des hôtes et groupes des hôtes présents sur le réseau comme le montre cette figure :

71

Chapitre 4 : La réalisation

Figure 51:Détails du status de l'hote localhost

Nous constatons par exemple que tous les hôtes marchent (UP), avec les détails de dernière consultation en temps, en durée et d‟autres informations. Nous pouvons avoir un résumé sur les états de ces hôtes et tous les groupes d‟hôtes à travers le module « analysis/availability/monitoring »cette figure :

Figure 52:Sommaire des états des groupes d'hôtes

De même pour les services, nous pouvons afficher les informations de leurs états :

72

Chapitre 4 : La réalisation

Figure 53:Détails du statut des services des hôtes

 Finalement, nous pouvons dire que Nagios est vraiment l‟un des meilleurs logiciels de supervision de réseau (hôtes et service), vu les informations détaillées que nous avons rencontrées lors de cette étude sur la plateforme OSSIM. h) Configuration : Dans ce module, la configuration de quelques paramètres d‟OSSIM, le framework, les agents et leurs plugins récupèreront ces différentes informations et la plateforme fonctionne suivant le choix de l‟administrateur à travers ces paramètres. Voici les interfaces correspondantes :

Figure 54:Configuration simple des paramètres d'OSSIM

73

Chapitre 4 : La réalisation

Figure 55:Configuration avancée des paramètres d'OSSIM

En cliquant sur n‟importe quel paramètre, une figure s‟affiche pour donner les caractéristiques de ce paramètre à configurer (par exemple numéro de port pour vulnerability scanner, chemin de destination de fichier de log,..).

Conclusion : Dans ce chapitre, pour la réalisation de notre projet, nous avons tous d‟abord présenté l‟environnement de dévéloppement c'est-à-dire l‟environnement matériel et logiciel . Puis l‟étude pratique de la plateforme OSSIM et la mise en place de la solution au sein de la société d‟acceuil en décrivant son installation et sa configuration ,et ceci en présentant l‟interface web d‟OSSIM avec ses principales modules de fonctionnalités intégrées au sein de la solution, tout en présentant ce que nous avons testé comme fonction avec les commentaires et les interfaces correspondants,récupérées lors de cette étude .

74

Conclusion générale

Conclusion générale Notre projet de fin d‟études a porté sur l‟étude et la mise en place d‟une plateforme Open Source de surveillance réseaux et système, le long du duré de ce stage au sein de la société d‟accueil SACEM industries. Tout au long de ce travail, nous étions amenées à faire quatre grandes parties : La première partie est une présentation du cadre du projet : c‟est la présentation de la société d‟accueil SACEM industries ainsi que l‟étude de l‟existant du système d‟information de la société, en présentant ce système avec ses divers composants (matériels/logiciels, architecture du réseau ,..) et en présentant la stratégie de sécurité informatique suivie et ses différents caractéristiques (politique de sécurité, moyens de protection, etc..) ,pour finir par l‟élaboration d‟une petite synthèse sur les inconvénients de ce système informatique. Ce qui nous a permit de dégager des interprétations importantes à travers les recommandations établies, visant donc à mieux encadrer notre travail par la suite : Ce que nous avons constaté au sein de la société, c‟est que la SACEM garde bien une politique de sécurité informatique assez bonne mais le problème c‟est qu‟elle contient quelques failles qui peuvent être un peu menaçantes vis-à-vis de son système informatique. Ces interprétions se résument en la nécessité primordiale d‟un système de management et de sécurité de l‟information ayant pour but de renfoncer la sécurité informatique du système d‟information du réseau de l‟entreprise et de maintenir le suivi quotidien des activités réseaux avec la gestion instantanée des alertes et des incendies pouvant être survenus . D‟où la nécessité de la centralisation de ce système afin qu‟il puisse gérer tous ses besoins retrouvés au sein de la société.

En deuxième partie, nous avons réalisé une étude approfondie sur la supervision et l‟administration des réseaux, et sur quelques solutions libres conçues essentiellement pour assurer ces fonctions.

76

Conclusion générale

Cette étude nous a permis de faire une description détaillée des réseaux informatiques en général et plus précisément du concept de supervision et d‟administration

de système

d‟information et ce, dans l‟objectif de spécifier les intérêts qu‟elle apporte sur la gestion efficace du système d‟information. Puis nous avons défini quelques terminologies principales de la sécurité informatique en parlant sur les différents risques que peuvent rencontrer les entreprises et évidemment la manière à s‟en protéger. Et en fin nous avons présenté quelques solutions libres de surveillance réseau ( Nagios ,Zabbix et OSSIM) en présentant pour chacune d‟elle son architecture et principe de base, ses avantages et ses inconvénients . Et à partir de cette étude, nous avons effectué le choix d‟une solution, parmi celles que nous avons étudiées, et la faire implémenter au sein de la société. Selon les critères de besoins établis déjà au cours de notre étude de système d‟information. Ce choix était donc la solution OSSIM. En troisièmes partie nous avons faire une spécification de besoins qui décritles besoins auxquels doit répondre notre solution : -

Les besoins fonctionnels :expriment l‟actionque doit effectuer le système en réponse à une demande.

-

les besoins non fonctionnels expriment les besoins d‟utilisabilité,les Besoins de performance, les Besoins de disponibilité/fiabilité, lesBesoins de sécurité, lesBesoins matériels, lesBesoins de déploiement …

En dernière parties, nous avons décritla réalisation de notre projet au sein de la société d‟accueil SACEM : Nous avons fait tous d‟abord une description de l‟environnement de développement de notre solution c'est-à-dire de présenter l‟environnement matériel et logiciel ainsi que les outils de développement utilisés. Puis nous avons enchainé avec la partie pratique : c‟est-à-dire la mise en place de cette plateforme : nous avons effectué alors les tests nécessaires des différentes fonctionnalités régies par OSSIM.

77

Conclusion générale

Tous au long de cette partie, nous avons remarqué que OSSIM réalise divers fonctionnalités importantes de gestion de système d‟informations telles que : -

La surveillance des équipements réseaux (hôtes, serveurs,…)

-

La gestion des composants du système

-

La gestion parfaite et instantanée des activités et des événements survenues au sein du réseau

-

La gestion des anomalies et des incendies

-

La gestion en temps réel des alertes ….

Tout au long la période de notre stage, nous avons eu la chance de bénéficier notre formation de technicien supérieur en service et réseau informatique, puisque pendant cette période nous avons pu apprendre plein de notions de sécurité informatique. Ainsi, ce stage est une occasion pour travailler en équipe ; il permet d‟avoir différents points de vue et de les discuter, et cela est un facteur primordial pour avoir une maturité de réflexion et de raisonnement, et surtout

de nous permet de constater la différence entre la vie

professionnelle et l‟idée théorique préconçu.

78

Bibliographie et nétographie

Bibliographie et Nétograhie

Nazim AGOULMINE, Omar CHERKAOUI., "Pratique de la gestion de réseau", Edition Eyrolles, 2003.

Philippe MARTINET., Rapport de stage, "Mise en œuvre d‟un prototype d‟architecture OSSIM", 2006.

Yves LESCOP., "Sécurité", http://yelscop.free.fr/mrim/cours/securite.pdf,2002.

http://www.editions-eyrolles.com/Livre/9782212112597/pratique-de-la-gestion-de-reseau http://www.philippe-martinet.info/ossim-project/Rapport-OSSIM-Philippe-Martinet.pdf http://www.philippe-martinet.info/ossim-project/Rapport-OSSIM-Philippe-Martinet.pdf http://www.securinets.com/sites/default/files/tuto_pdf/ossim.pdf http://www.securinets.com/sites/default/files/tuto_pdf/ossim.pdf http://www.isima.rnu.tn/pages%20fr/telechargement/Presentation%20open%20sourcex.pdf http://communities.alienvault.com/ http://www.zabbix.com/ http://www.nagios.org/ http://www.alienvault.com/docs/wiki/docu.php?id=installation http://fr.wikipedia.org/wiki/Supervision

80

Bibliographie et nétographie

ANNEXES

ANNEXE1 :fichiers

de configuration de serveur OSSIM /etc/ossim/server/config.xml

ANNEXE2 :fichiers

de configuration de l‟agent OSSIM /etc/ossim/agent /config.gc

81

Bibliographie et nétographie

Fichier de configuration de serveur OSSIM /etc/ossim/server/config.xml < ?xml version= 1.0 encoding= UTF-8 ?> =

=





82

Bibliographie et nétographie

Fichier de configuration de l’agent OSSIM /etc/ossim/agent/config.cfg

[daemon] Daemon=true Pid=/var/run/ossim-agent.pid

[event-consolidation] By_lpugin=1001-1150,1501-1510,4001-4010 Enable=false Time=10

[log] Error=/var/log/ossim/agent_error.log File=/var/log/ossim/agent.log Stats=/var/log/ossim/agent_stats.log Verbose=info

[output-csv] Enable=false File= var/log/ossim/agent-events.csv

[output-db] Base=ossim_events Enable=false Host=localhost Pass=yoursecretpassword Type=mysql 83

Bibliographie et nétographie

User=root

[output-plain] Enable=false File=/var/log/ossim/agent-plain.log

[output-server] Enable=true Ip=192.168.1.10 Port=40001

[plugin-defaults] Date_format=%Y-%m-%d%H:%M:%S ;format, not date itself Interface=eth0 Ossim=eth0 Ossim_dsn=mysql:localhost:ossim:root:RckkYUIXnfg Sensor=192.168.1.10

[plugins] Arpwatch=/etc/ossim/agent/plugins/arpwatch.cfg Iptables=/etc/ossim/agent/plugins/iptables.cfg nagios=/etc/ossim/agent/plugins/nagios.cfg nmap=/etc/ossim/agent/plugins/nmap-monitor.cfg ntop=/etc/ossim/agent/plugins/ntop-monitor.cfg osiris=/etc/ossim/agent/plugins/osiris.cfg ossim-ca=/etc/ossim/agent/plugins/ossim-monitor.cfg p0f=/etc/ossim/agent/plugins/p0f.cfg pads=/etc/ossim/agent/plugins/pads.cfg pam_unix=/etc/ossim/agent/plugins/pam_unix.cfg rrd=/etc/ossim/agent/plugins/rrd.cfg 84

Bibliographie et nétographie

snare=/etc/ossim/agent/plugins/snare.cfg snort=/etc/ossim/agent/plugins/snortunified.cfg ssh=/etc/ossim/agent/plugins/ssh.cfg sudo=/etc/ossim/agent/plugins/sudo.cfg

[watchdog] Enable=true Interval=30 Restart_interval=3600; second betweenplugin process restart

85