Rapport PFE Final

Remerciements

J’exprime ma gratitude à toutes les personnes qui m’ont aidé à accomplir ma tache dans

les bonnes conditions et qui ont su m’accorder toute l’attention nécessaire pour élaborer lé

présent travail.

Je tiens d’abord à remercier mon encadreur Madame Jihen Bakkey pour ses aides, ses

conseils précieux, ses critiques constructives et ses suggestions piétinements qui ont été

remarquables tout au long de ce stage.

J’adresse également mes remercîments à toute l’équipe de la société SACEM de m’avoir

accueilli et incité à mener bien ce travail, en particulier M.Mohamed Drira et M.Saber

Mhadhbi.

Je voudrais témoigner par la suite ma reconnaissance à toutes les personnes qui m’ont

également fait bénéficier de leurs conseils et de leurs expériences.

Mes remerciements les plus distingués sont adressés ensuite aux membres du jury qui

m’ont fait l’honneur de bien vouloir accepter d’évaluer ce travail.

Finalement, j’exprime mes sincères reconnaissances à l’égard de tous ceux qui ont

contribué à ma formation, particulièrement les enseignants de l’Institut Supérieure des Etudes

Technologique de Bizerte.

Table de matière

Introduction générale..............................................................................................................................1

Chapitre 1 : Présentation du cadre du projet...........................................................................................3

I. Présentation de la SACEM..............................................................................................................3

II. Etude de l’existant.........................................................................................................................6

II.1 Description de l’existant..........................................................................................................6

II.2. Critique de l’existant.............................................................................................................11

II.3. Solution proposée.................................................................................................................12

III. Planification du projet................................................................................................................12

Chapitre 2 : Etat de l’art.......................................................................................................................14

I. Gestion des réseaux informatiques................................................................................................14

I.1. Généralité sur les réseaux.......................................................................................................14

I.2. Les éléments principaux du réseau.........................................................................................14

I.3. Les principaux acteurs : les utilisateurs.................................................................................16

II. Notion de gestion des réseaux.....................................................................................................16

II .1 Domaines de gestion des réseaux..........................................................................................17

II.2 Concept de supervision et administration...............................................................................19

II.3. Sécurité informatique des systèmes d’information...............................................................20

II.4. Terminologie de la sécurité informatique..............................................................................20

II.5. Principales attaques et menaces...........................................................................................21

III. Etude de différentes solutions Open Source de surveillance réseau...........................................23

III.1. Nagios..................................................................................................................................23

III.2. Zabbix.................................................................................................................................24

III.3. OSSIM................................................................................................................................25

IV. Choix de la solution à adopter: OSSIM.....................................................................................26

IV.1. Architecture et principe de base.........................................................................................27

Chapitre3 : Spécifications des besoins..................................................................................................32

I .Etude des besoins..........................................................................................................................32

I.1. Besoins fonctionnels..............................................................................................................32

I .2. Besoins non fonctionnels......................................................................................................34

Chapitre 4 : La réalisation....................................................................................................................35

I. Environnement de développement................................................................................................35

I.1. Environnement matériel.........................................................................................................35

I .2. Environnement logiciel.........................................................................................................35

I.3. Choix des outils de développement.......................................................................................37

II. Réalisation et tests......................................................................................................................37

II.1. Installation et configuration.................................................................................................37

II.2. Fonctionnement du framework OSSIM Manipulation de l’interface Web d’OSSIM...........40

Conclusion générale.............................................................................................................................75

Apports du stage...................................................................................................................................77

Bibliographie et Nétograhie................................................................................................................78

ANNEXES...........................................................................................................................................79

ANNEXE1 :.....................................................................................................................................79

ANNEXE2 :.....................................................................................................................................79

Liste de figures

Figure 1: Les différents produits en vente..............................................................................................4Figure 2:L'organigramme de la société...................................................................................................5Figure 3: Architecture du réseau............................................................................................................8Figure 4:Architecture d'OSSIM............................................................................................................31Figure 5:Cheminement du flux d'informations.....................................................................................32Figure 6:Authentification au prés du serveur........................................................................................40Figure 7:Ajout d'un nouvel utilisateur..................................................................................................40Figure 8:Etat globale des alarmes et évènement récent........................................................................41Figure 9:Etat globale des agents ajoutés à OSSIM récemment.............................................................42Figure 10:Etat globale de menaces récentes détectées..........................................................................42Figure 11:Etat globale de la variation du débit du réseau.....................................................................43Figure 12:Etat des incidents.................................................................................................................44Figure 13:Type d'incident.....................................................................................................................44Figure 14:Incidents par utilisateur........................................................................................................45Figure 15:Alarme détectées et sauvegardé par OSSIM........................................................................46Figure 16:Informations générales d'un incident/événement détecté......................................................46Figure 17:Lancer le scan de NESSUS..................................................................................................47Figure 18:Choix des hôtes ou réseau à scanner....................................................................................48Figure 19:Résultat de Nessus...............................................................................................................48Figure 20:Affichage des derniers alertes (signature) par ACID............................................................49Figure 21:Choix du plugin pour l'affichage des alertes........................................................................50Figure 22:Gestion en temps réel des évènements par ACID.................................................................51Figure 23:Inventaire de l'hote 192.168.1.10.........................................................................................52Figure 24:Alarme Report......................................................................................................................52Figure 25:Les logs des utilisateurs du réseau.......................................................................................53Figure 26:Ajout d'un nouvel agent.......................................................................................................54Figure 27:Définition des Agents OSSIM..............................................................................................54Figure 28:Définition des hôtes.............................................................................................................55Figure 29:Ajout d'un nouveau hôte......................................................................................................55Figure 30:Ajout d'un nouveau réseau "HOME"...................................................................................56Figure 32:Ajout d'un nouveau utilisateur "salwa"................................................................................57Figure 31:Network home ajouté...........................................................................................................57Figure 33:Réussite d'ajout du nouveau utilisateur................................................................................58Figure 34:Lancement du Nmap............................................................................................................59Figure 35:Fin du scan Nmap................................................................................................................59Figure 36:Résultat détaillé du svan Nmap............................................................................................60Figure 37:Fichier des alertes sauvegardées...........................................................................................61Figure 38:Les statistiques du trafic global............................................................................................62Figure 39:Classement du trafic par taille de paquet..............................................................................62Figure 40:Classement du trafic par protocole.......................................................................................63Figure 41:Classement du trafic par hôte...............................................................................................64Figure 42:Classement du trafic par service...........................................................................................65Figure 43:Classement du trafic TCP/UDP par distribution de ports.....................................................66

Figure 44:Classement du trafic TCP/UDP par service..........................................................................66Figure 45:Affichage des informations des services d'hôtes 127.0.0.1...................................................68Figure 46:Choix du type de rapport......................................................................................................69Figure 47:Section d'hôte effectué.........................................................................................................69Figure 48:Sélection de l'hôte /service désiré.........................................................................................69Figure 49:Sélection de l'hôte effectué...................................................................................................70Figure 50:Paramétrage des options du rapport.....................................................................................70Figure 51:Rapport d'état de 192.168.1.10.............................................................................................71Figure 52:Détails du status de l'hote localhost......................................................................................72Figure 53:Sommaire des états des groupes d'hôtes.............................................................................72Figure 54:Détails du statut des services des hôtes................................................................................73Figure 55:Configuration simple des paramètres d'OSSIM...................................................................73Figure 56:Configuration avancée des paramètres d'OSSIM.................................................................74

Liste des tableaux

Introduction générale


De nos jours,le monde évolue de façons exponentielle dans la technologie des

informations .Cette évolution rend la question de sécurité informatique de plus en plus

importante puisque la protection des systèmes informatique, vis-à-vis des menaces que

présente l’ouverture sur le monde numérique, est loin d’être parfaite .Par conséquent le

nombre d’’incidents et de vulnérabilités ne cesse de croitre.

Dans ce contexte, et vue la diversité des équipements réseaux ainsi que le volume important

des données à analyser au sein d’une entreprise,la tache de responsable est la gestion de

sécurité et du système.

A partir de ce point, et pour des raisons aussi bien de compétitive la nécessité de mettre en

place une stratégie de management de la sécurité des informations se basant sur des

plateformes et des outils d’administration et de surveillance réseaux et le management des

informations pour les sociétés.

Mettre en place une telle politique va aider les entreprises et plus précisément les

administrateurs réseaux à mieux gérer et surveiller le système d’information au sein du réseau

informatique, puisque les responsables informatiques sont amenés à non seulement de garantir

l’intégrité et la disponibilité des systèmes d’informations, mais aussi à se prévenir des

incidents que peuvent rencontrer le parc informatique à tous moment.

Ainsi , la centralisation de la surveillance réseau est devenue une préoccupation majeure des

sociétés actuelles, d’où la nécessité d’une plateforme de supervision facilitant le contrôle et la

gestion du système d’information, aidant de se prévenir des incidents systèmes et gérant les

événements et les alertes survenues sur le réseau en se basant sur la méthode de corrélation .

Ce qui améliore bien l’efficacité en administration et rend facile le suivi et le monitoring des

équipements et services réseaux.

Les travaux de ce projet de fin d’études s’inscrit dans le cadre d’une politique globale de

surveillance réseau plus efficace et plus rigoureuse vis-à-vis des menaces internes (réseau

local de l’entreprise) et externes (internet) ,au sein de la société d’accueil (SACEM).

1


Dans ce contexte se place notre projet de fin d’étude quivise à mettre en place une solution

open Source (solution libre) de surveillance des équipements réseaux de la SACEM, afin

d’assurer le monitoring d’une architecture réseau comportant plusieurs ordinateurs, serveurs,

équipements et services réseau, sachant bien que chacun possède ses propres ressources

locales (CPU, taux mémoire, espace disque, etc …) .

La plateforme qui va être mise en place devrait constituer un système de surveillance en

temps réel, d’alerte, de monitoring puissant, de contrôle continu, de corrélation d’événements,

de réaction omniprésente, de détection d’intrusion et d’administration conviviale pour les

utilisateurs de ce système.

Ce rapport est structuré en quatre chapitres :

Le premier chapitre « présentation du cadre du projet » commence par présenter l’entreprise

d’accueil de notre stage, en décrivant son système d’information et en exposant une vue

globale du service informatique de la société en matière de ressource existantes.

Le deuxième chapitre « l’état de l’art » présente tout d’abord des notions de base et quelques

termes primordiaux, ensuite décrit une étude de l’existant des différentes solutions Open

Source dans le domaine de surveillance réseau.

Le troisième chapitre « la spécification des besoins » qui présente les différents besoins

fonctionnels et non fonctionnels auxquels devrait répondre notre solution.

Le quatrième chapitre « la réalisation » s’intéresse à la mise en place de la plateforme OSSIM

(open source security information management) et l’implémentation au sein du réseau interne

de la société.

2


Chapitre 1 : Présentation du cadre du projet

Introduction

Dans ce premier chapitre, nous allons présenter l’entreprise d’accueil SACEM et faire une

description détaillée de l’architecture de son système d’information endécrivant les ressources

matérielles et logicielles qui le composent. Enfin, notre solution va être présentée après une

critique de l’existant.

I. Présentation de la SACEM

SACEM industries est une société spécialisée depuis sa création en 1966 dans la fabrication et

la vente de différentes gammes de transformateurs de distribution électriques avec divers

puissances et des chauffe-eau électriques et solaires, elle assure aussi le service après-vente et

la réparation de ses produits.

Depuis sa création, la SACEM Industries demeure le leader sur le marché tunisien grâce à

l’amélioration continue de la qualité de ses produits et ses services et au respect de ses

engagements vis-à-vis de ses clients notamment la satisfaction de leur besoins et de leur

exigences.

Actuellement ,SACEM Industries est leader sur le marché local des transformateurs de

distribution électriques dont la fabrication comprend des transformateurs monophasés de 10 à

200 KVA et des transformateurs triphasés de 25 KVA à 63 Mva .

SACEM Industries fabrique aussi des chauffe-eau électriques de capacité 1000 et 150 litres et

des chauffe-eau électro-solaires de capacité 200 et 300 litres en concordance avec le

programme « PROSOL » lancé par l’agence National de maitrise de l’énergie , dont l’objectif

est l’économie d’énergie et l’exploitation optimale des énergies renouvelables.

Transformateur Chauffe-eau électrique Chauffe-eau électrique

3


Figure 1: Les différents produits en vente

Les différents départements :

Les différents départements de SACEM industries sont :

Département qualité

Département informatique

Département Production

Département financière et administrative

Département commerciale

Département achat logistique

Département optimisation du cout

L’organigramme de la société est présenté suivant une description de

différents départements :

4


Figure2 :L’organigramme de la société

5

Directeur GénéralRésponsable

de QualitéDirecteur des

usines

Méthodes

Directeur d'etude et

développement

Directeur de ProductionRésponsabl

e maintenanc

e

Résponsable lancement

Résponsable Chaudonner

ie

Résponsable

Réparation

R. Bobinage et ...........

magnitique

Résponsable montage et finition

Résponsable essais et livraisons

Directeur Financier et AdministratifRessouces

Humanes

Comptabilité

Financier

Directeur Commerciale

Chef de Service & Achats

Logistiques

Directeur Optimisation

des cout Service "GPAO"

Service Gestion des

Stock

Service des calcules des

besoins

Service de Planification


II. Etude de l’existant

II.1 Description de l’existant Le système d’information de la SACEM

Avec le développement de l’utilisation d’internet ,de plus en plus les entreprises ouvrent leur

système d’information à leurs partenaires ou leurs fournisseurs ,il est donc essentiel de

connaitre les ressources de l’entreprise à protéger et de maitriser le contrôle d’accès et les

droit d’utilisateurs du système d’information .

- Structure de la direction informatique :

La direction de l’informatique au sein de la société, estchargée de définir et exécuter les

besoin en informatisation.

Elle essaye d’assurer donc, le traitement de l’ensemble de l’opération suivante :

La conception, la programmation, les tests, l’intégration et la maintenance des

développements informatiques.

L’exploitation des systèmes d’information, la supervision des traitements, systèmes et

réseaux, l’administration des flux des données des systèmes d’informations.

La gestion et les traitements des demandes d’assistance, des incidents informatiques,

de demandes des maintenances ou d’évolution des applications, des demandes de

fourniture des matériels informatique ou de fourniture de services associés.

La mise en place d’une politique de sécurité physique et logique du système

d’information.

- Organisation du système d’information :

La société SACEM dispose d’un système d’information qui peut assurer la collaboration et la

communication en intranet (au sein de la SACEM) qu’en extranet (clients externes).

Les principales applications du système d’information de la SACEM sont hébergées au sein

de septe serveurs installés au niveau de la salle serveur du département administratif de la

SACEM.

Le parc informatique de la société est composé de 70 PC’s .

6


Le réseau LAN de la SACEM sont basées sur une infrastructure moderne de type Ethernet

commuté et les protocoles de communications TCP /IP.

L’ensemble des machines des siège sont reliés au réseau Internet via une ligneFHd’un débit 2

Mb/s

- Matériel informatique :

Le parc informatique actuel de la société est composé de 70 postes de travail, dont une

majorité interconnectées en réseau.

Les différents postes de travail sont connectés aux serveurs d’application et de

communication via un Réseau Ethernet 10/100Mb/s.

- L’architecture réseau de la SACEM :

Figure 2: Architecture du réseau

7


Le réseau informatique de la SACEM est composé principalement des éléments suivants :

- 70 postes de travail

- 1 serveur SAGE X 3

- 1serveur contrôleur de domaine

- 1 serveur antivirus SOPHOS

- 1serveur de Management firewall

- 1serveur de sauvegarde Symentec Backup Exec 2010

- 1serveur proxy

- 1serveur AVAYA

- 1serveur mail Exchange 2010

- 1serveur GLPI

- Un réseau Ethernet de 100 Mb/s

- Des imprimantes et des scanners.

Le réseau d la SACEM est basé sur l’architecture client/serveur ou les utilisateurs se

connectent aux applications partagées installées sur les différents serveurs.

L’interconnexion du répartiteur général installé dans la salle informatique avec les différents

sous répartiteurs existants dans le différent département à l’intérieur de la société par des

liaisons fibres optique (F.O).

L’accès à internet pour les utilisateurs est assuré via une ligne FH de 2Mb/s.

Tous les utilisateurs se connectent via le serveur Management Firewall qui permet de filtrer le

trafic internet et sécuriser le réseau local contre les interventions et les attaques externes.

Les serveurs contrôleurs de domaines assurent l’authentification et l’octroi des droits d’accès

au système d’information pour les différents utilisateurs.

- Topologie du réseau

L’interconnexion entre les départements de la SACEM est assurée par une topologie en étoile

de la fibre optique.

8


Plan d’adressage du réseau de la SACEM :

Le plan d’adressage utilisé au niveau des réseaux de la SACEM suit une plage d’adresse de la

classe C.

Les adresses IP sont paramétrées manuellement sur chaque poste de travail.

Le plan d’adresse est bien organisé par chaque département.

La plage d’adresse pour la société est donnée comme suit :

-192.168.1.x : avec masque du sous réseau 255.255.255.0

Avec

X : identifiant de la machine appartenant à la direction appropriée.

Les directions sont définies de la manière suivante :

192.168.1 .2192.168.1.30 : plage d’adresse pour la direction générale

192.168.1.34192.168.1.37 : plage d’adresse pour la direction administrative et

financière

192.168.1 .66 : plage d’adresse pour la direction commerciale

192.168.1.130 192.168.1.135 : plage d’adresse pour la direction qualité

192.168.1 .162192.168.1.167 : plage d’adresse pour la direction production

192.168.1 .194192.168.1.202 : plage d’adresse pour la direction études

192.168.1 .230 192.168.1.240 : plage d’adresse pour la direction système

d’information

Politique de sécurité informatique au sein de SACEM :

Nous allons donc décrire la politique de sécurité mise en place au sein de la SACEM qui

permet de garantir la sécurité logique et physique de son système d’information.

- Sécurité de l’environnement :

Lasécurité physique de l’environnement englobeles dispositifs suivants :

Installation d’un système d’alimentation électrique ondulée.

Mettre en place des contrôleurs d’accès à la salle.

Le système de climatisation au niveau de la salle serveur est bien opérationnel.

9


Les armoires sont bien protégées par un système de fermeture à clé.

Gestion des comptes et des mots de passes :

Une procédure formelle d’ouverture et de fermeture des comptes d’accès au réseau, aux

systèmes et aux applications informatiques est définie conformément aux instructions de notre

politique de sécurité informatique :

Changement périodique de mots de passe d’ouverture de session (chaque 6 Mois)

Les mots de passe doivent être complexes de 8 chiffres et lettres.

Vérification périodique du compte utilisateurs

L’accès aux applications est définit par des clés d’accès (compte utilisateur et mot de passe).

Politique de sauvegarde des données :

La sécurité des données est assurée au sein de la SACEM par l’application d’une procédure de

sauvegarde automatique des données informatiques.

Les données informatiques sont classées en deux catégories comme suit :

Données structurées : comprend les bases de données et les programmes des

différentes applications développées sous l’environnement WINDOWS

Données non structurées : représentéespar les données bureautiques des utilisateurs.

Protection des données :

Au sein de la SACEM INDUSTRIES, il est installé un système antiviral basé sur le produit

Symantec représenté par la version entreprise SOPHOS Antivirus 10.0.

Le système antiviral est installé au niveau du serveur contrôleur de domaines principal. La

mise à jour du fichier de définition de virus à partir de l’internet se fait automatique à chaque

apparition d’une nouvelle version du fichier de définition de virus.

Plan de continuité de service :

L’étude des risques informatiques est une nécessité croissante pour les entreprises, quelle que

soient leur taille et leur secteur d’activité, compte tenu de la dépendance croissante de celles-

ci-vis-à-vis des systèmes informatiques.

10


En effet,l’expérience prouve que le manque de sensibilisation des entreprises dans la prise de

mesures pour la protection des systèmes d’informations en terme d’authentification,

d’autorisation , de confidentialité , d’intégrité ,de disponibilité et de traçabilité devient un

critère majeur pour la bonne gestion de l’entreprise .

Mise à jour automatique des systèmes d’exploitation :

L’installation du nouveau patch de sécurité se fait manuellement à travers l’outil de Microsoft

WSUS.

Windows Server Update Service (WSUS) est la seconde génération de logiciel serveur pour

le dépoilement de la mise à jour proposée par Microsoft pour remplacer Software Update

Services (SUS)

WSUS a toujours pour but de limiter l’utilisation de la bande passante vers internet et de

s’assurer que les systèmes Windows possèdent les dernières mises à jour installées sur le parc

informatique.

II.2. Critique de l’existant

Au cours de notre étude du système d’information, réalisée au sein de la société d’accueil

SACEM, nous avons pu dégager certaines défaillancesqui peuvent être résumées en ces

différents points :

Audit de supervision :

La SACEM n’est pas doté d’outils et de surveillance réseau, comme prouve les constations

suivantes :

Pas de surveillance systématique et continue des activités des utilisateurs

Pas de mécanisme de notification d’alertes

Difficulté de suivre de manière continue les accès des utilisateurs, en raison

d’absence d’une solution centralisée d’authentification et de contrôle d’accès.

Administration des équipements réseau et système :

Les équipements réseau sont en grand nombre, avec 70 PC et plusieurs serveurs comme nous

avons déjà expliqué auparavant.

11


Donc, il y a manque d’un outil centralisé permettant d’assurer une administration à distance

des postes de travail et des serveurs

Sécurité réseau :

Le Proxy-firewall installé au sein du réseau de la SACEM est incapable de détecter et de

bloquer plusieurs types d’intrusions qui ne sont pas autorisés.

II.3. Solution proposée

On a proposé alors de mettre en place une solution centralisée permettant d’assurer :

La supervision et l’administration réseau incluant un système d’audit et de suivi des

activités réseau.

L’administration des équipements réseaux et système ainsi que des postes de travail.

Notre solution qui s’intitule OSSIM (Open Source Security Information Management)

présente un fort système de détection d’intrusion.

III. Planification du projet

Planification du déroulement du projet :

Le déroulement du projet est comme suit :

Définition des objectifs du projet et étudié son contexte.

Elaboration d’une étude comparative des différentes solutions open source de

surveillance réseaux afin de sélectionner celle qui répond mieux aux objectifs fixés.

Le choix de la solution OSSIM (open source security management) pour être la

plateforme adapté tout au long de notre projet.

Présentation de l’architecture et le fonctionnement de la solution OSSIM en détail

aussi que le dépoilement de ses différents outils qui la composent au cours d’une étude

théorique.

Etude pratique : l’installation et la configuration de la plateforme au sein du réseau de

l’entreprise.

Conclusion :

Au cours de notre étude réalisée au sein de la SACEM ,nous avons pu ,au début, définir le

système d’information concerné et ses différents composants, ensuite, nous avons détaillé

12


notre étude avec une vue sur la stratégie de sécurité informatique suivie par la SACEM et ses

différentes caractéristiques ,et en fin nous avons élaboré une petite synthèse sur les

inconvénients de ce système informatique ,ce qui nous a permis de dégager quelques mots

clés de notre projet à travers les recommandations citées.

Nous avons pu constater que la politique de sécurité informatique mise en place dans la

société présente quelques failles qui peuvent être résumées en un manque très primordiales

d’un système ou plutôt d’une solution centralisé de management et de sécurité du système

d’information afin de renforcer la sécurité informatique du système d’information et de

communication en premier lieu ,l’administration ,la supervision et la surveillance du réseau de

l’entreprise. C’est pour cette raison que nous avons pensé à la centralisation de notre solution

de surveillance ayant comme objectif de répondre aux besoins qui vont être présentés dans le

chapitre « spécification des besoins ».

13

Ici le titre du chapitre

Chapitre 2 : Etat de l’art


Introduction :

Dans ce chapitre ,nous allons présenter des concepts de base et quelques

termes primordiaux de la supervision des systèmes d’information et de

l’administration des réseaux, puis une description générale de la sécurité

informatique ,ensuite nous enchainerons avec les différentes plateformes

Open Source existantes dans le domaine de la surveillance réseau ,en

décrivant leurs avantages et leurs inconvénients pour arriver enfin à la

sélection de la plateforme adoptée dans notre projet suite à des critères

de besoins escompté par l’utilisateur de notre système d’information

étudié auparavant.

I. Gestion des réseaux informatiques

I.1. Généralité sur les réseaux

Un réseau peut être vu comme un ensemble des stations reliées entre

elles par des nœuds et des liens de communications .la principale fonction

de ces nœuds est de relayer les paquets d’informations vers les autres

nœuds (routeur, commutateur…)

I.2. Les éléments principaux du réseau

I.2.1. Les éléments physiques du réseau

Dans les réseaux, nous retrouvons différents types d’équipements classés

selon leur appartenance :les équipements réseaux, les postes de travails,

et les serveurs.

a) les équipements réseaux

15


Nous retrouvons principalement :

Des hubs (concentrateurs)

Des Switch (commutateurs) /VLAN

Des modems téléphoniques …

Routeurs

b) les postes de travail

Nous trouvons principalement deux types de postes de travail :

stations WINDOWS

stations UNIX

Au sein de la société d’accueil SACEM industries il n’ya que les

stations WINDOWS

c) les serveurs

Au niveau des serveurs, deux aspect à prendre en compte : en premiers

lieu, le système d’exploitation et en deuxièmes lieu les services.

-les systèmes d’exploitation :

serveurs Unix

serveurs Windows

serveurs Linux

-les services :

serveurs d’application

serveurs de base des données

serveurs mail

pare-feu (firewall)

I.2.2.Les éléments logiques du réseau

Les services offerts aux utilisateurs sont de plus en plus sophistiqués et

ont largement évolué ces dernières années. Parmi ces services, nous

retrouvons :

16


-les services d’accès aux bases de données.

-les services de transfert des fichiers.

-les services de messageries.

-les services de téléphonies …

Ces services sont mis à la disposition des utilisateurs de manière sélective.

Les utilisateurs peuvent accéder à des services différenciés, avec

différents droits d’accès.

I.3. Les principaux acteurs : les utilisateurs

Les organisations des entreprises sont de plus en plus structurées. Leurs

activités deviennent davantage centrées sur un système d’information qui

doit être disponible à tout moment et qui constitue la clé du

fonctionnement global de l’entreprise.

L’accès à ce système s’effectue via les différentes composantes du réseau

identifiées auparavant. Le personnel de l’entreprise qui tient un rôle

différencié dans la structure globale ne peut pas être concerné par

certains aspects techniques du fonctionnement global du réseau.

Nous pouvons dès lors répertorier un ensemble des profils d’utilisateurs

identifiées par leurs rôles dans l’entreprise :

- les administrateurs des réseaux qui bénéficient de privilèges

important

- les ingénieurs qui ont des droits étendus sur certaines parties

techniques du réseau

- les dirigeants qui ont des droits étendus sur le système

d’information

- le personnel administratif avec des droits très limités.

17


II. Notion de gestion des réseaux

La gestion du réseau se présente comme l’ensemble des activités

permettant d’assurer le bon fonctionnement du réseau. Par ailleurs, nous

distinguons deux types de niveau de gestion considérés comme essentiels

et primordiales dans ce domaine :

- La gestion de l’infrastructure réseau : elle concerne la gestion de

tous les éléments du réseau et des logiciels embarqués qui

constituent les différents réseaux de l’entreprise.

Nous désignons par « élément du réseau »chacun des équipements

qui sont branchés u réseau, ainsi que les logiciels y résidant comme

par exemple les routeurs, les passerelles, les modems …

- La gestion du desktops : elle concerne tous les aspects relatifs à la

gestion du point d’accès au réseau .ce niveau englobe la gestions

des stations terminales, ainsi que tous les logiciels supportés par ces

stations : système d’exploitation réseau, les applications et les

services de communication mis à la disposition des utilisateurs..

II .1 Domaines de gestion des réseaux

Les activités assurant la gestion des réseaux de l’entreprise sont classées

selon les fonctionnalités établies par le gestionnaire et sont réalisées à

distance sur les éléments de son réseau .ce dernier va donc réaliser la

collecte des données de gestion, leur interprétation et le contrôle des

éléments de réseau.

La décomposition fonctionnelle établie par l’OSI a bien définie cinq

domaines de gestion : la gestion de configuration, la gestion des fautes,la

gestion de performances, la gestion des couts (comptabilité) et la gestion

de la sécurité.

II.1.1. Gestion de la configuration

La gestion de la configuration permet de paramétrer les différents

éléments présents sur le réseau et d’effectuer un suivi de leurs états. Elle

stocke dans une base de données les informations de chaque machine

18


présente au sein du parc informatique de la société, telles que la version

des systèmes d’exploitation, les logiciels installés, les protocoles utilisés …

La gestion de configuration couvre l’ensemble des fonctionnalités

suivantes :

- Démarrage, initiation de l’équipement

-Positionnement des paramètres

-Modification de la configuration du système

-Changement de l’adresse IP d’une machine

-Changement de l’adresse IP d’un routeur…

II.1.2.Gestion d’anomalies /fautes

La gestion des anomalies ou des fautes détecte les problèmes et le

fonctionnement anormal survenu sur le parc informatique et permet aussi

la localisation et réparation des pannes.

En plus, elle essaye automatiquement de régler ces problèmes en les

faisant isoler de l’ensemble des éléments sur le réseau et effectuer

quelques tests de réparation, si non elle fait appel aux personnes

concernées par le type de problème afin de solliciter leur intervention.

Elle assure alors l’ensemble des fonctionnalités suivantes :

- La détection des fautes : elle comprend la préparation de rapports

d’incidents de fonctionnement, la gestion de compteurs ou des

seuils d’alarme, le filtrage des informations et l’affichage de

disfonctionnement.

- La localisation : procédé au moyen de rapports d’alarme, de

mesures et de tests.

- La réparation : elle consiste à prendre les mesures correctives

(réaffections des ressources « reroutage », limitation du trafic par

filtrage, maintenance),ou encore à rétablir du service (tests de

fonctionnement, gestion des systèmes de secours..)

- L’enregistrement des historiques d’incidents et statistiques : permet

d’une part l’enregistrement d’historique d’incidents et la compilation

19


des statistiques qui peuvent porter sur la probabilité des pannes ,

leurs durée, les détails de réparation ,et en d’autre part , un rôle

d’interface avec leurs utilisateurs qui consiste à les informer des

problèmes réseau et à leur donner la possibilité de signaler eux-

mêmes des incidents tels qu’une mauvaise configuration d’un

équipement ,une interface défectueuse d’un routeur ,une

réinitialisation accidentelle .

II.1.3.Gestion de la performance

La gestion de la performance comprend les procédures de collecte des

données et d’analyse statistique. Elle fournit donc des fonctions qui

assurent la planification des ressources du réseau : recueillir des données

statistiques (taux d’erreurs, temps de transit, débit…) et maintenir et

analyser des journaux sur l’historique de l’état du système.

II.1.4. Gestion du cout

La gestion du cout permet de connaitre les charges des éléments gérés et

les couts de communication.

Les fonctionnalités qu’elle peut assurer sont présentées comme suit :

- Les mesures sur l’utilisation des ressources et leur historique.

- Le contrôle des quotas par utilisateur en faisant la mise à jour des

consommations courantes et en vérifiant les autorisations de

consommation

- La gestion financière : dans la gestion du comptable ,il ya une partie

financière qui consiste à ventiler les couts (par service, par

utilisateur, par application )…

II.1.5. Gestion de la sécurité

La gestion de la sécurité contrôle l’accès aux ressources selon des

politiques des droits d’utilisation établies, permettant ainsi de gérer le

contrôle et la distribution des informations utilisées pour la sécurité.

20


Il existe beaucoup de fonction de gestion de sécurité par les quelles on

peut citer :

- Contrôle des autorisations

- Contrôle et maintenance des commandes d’accès

- Maintenance et examen des fichiers de sécurité

- l’authentification

II.2 Concept de supervision et administration

La supervision d’un système d’information a pour vocation de collecter des

informations sur l’état d’une infrastructure et des entités qui y sont liées,

de les analyser, et de les organiser Elle peut ainsi se définir comme étant

l’utilisation de ressources réseaux adaptées afin d’obtenir des

informations sur l’utilisation et sur l’état des réseaux et de leurs

composants.

Ces informations peuvent servir d’outils pour gérer de manière optimale le

traitement des pannes et les problèmes de surcharge du réseau.

II.2.1 Supervision des systèmes d’information

Le système d’information est devenu l’épine dorsale de l’entreprise

puisqu’il joue le rôle important de la surveillance e la sécurité des

informations et des activités internes de l’entreprise,

La supervision est une activité de surveillance et de suivi de l’état d’un

service ou d’un processus informatique vise à faire remonter les

informations cachées de ce système d’information telles que le taux de

transfert des fichiers, le niveau de la disponibilité des services etc..

niveau de supervision dans un système d’information :

Afin d’améliorer le fonctionnement de notre système d’information, il est

commandé de diviser la gestion de ce système en des niveaux de

surveillance appropriés, compte tenu de leurs domaine d’utilisation, nous

distinguons alors :

21


- La supervision réseau : elle s’occupe essentiellement des

équipements constituant le réseau tels que : les serveurs : par la

mesure de disponibilité, la vérification de l’interconnexion au réseau,

l’analyse des flux d’entrée et de sortie, le contrôle de débit..

- La supervision système : il s’agit des évaluations et des mesures

faites sur les ressources système du parc informatique tels que :Les

processus : par la mesure du taux d’utilisation instantanée , de la

charge moyenne pendant une telle période ,la connaissance du

nombre de processus en cours de fonctionnement , mesure du

temps de réponse …

- La supervision des applications et services :

Vérification de la taille de processus

Suivi de la liste des utilisateurs présents dans le réseau

Statistique sur le taux d’utilisation des protocoles et services par les

utilisateurs du système

II.3. Sécurité informatique des systèmes d’information

L’augmentation du nombre d’outils malveillants qui circulent sur le réseau

tels virus, cheval de trois et d’autre failles de sécurité

informatique ,combinée à l’ignorance des mesures de sécurité de la part

des entreprises exposées à Internet et le manque de sensibilisation des

internautes au sujet de la sécurité informatique laissent les organisations

et les internautes de plus en plus vulnérables et les exposent à des risques

comme la perte d’informations .

Face à ces menaces, les solutions de sécurité informatique assurent la

protection des systèmes et du réseau informatique afin de garantir

l’intégrité, la confidentialité et la disponibilité des données.

II.4. Terminologie de la sécurité informatique

Menace : une menace désigne un élément, généralement

externe,capable de montrer une attaque exploitant une vulnérabilité

22


ou une faille de sécurité au niveau des services , applications et des

systèmes informatiques

Vulnérabilité : toute faiblesse des ressources informatiques qui peut

être exploitée par des menaces, dans le but de les compromettre.

Exploit : un exploit est un programme permettant d’exploiter une

faille de sécurité informatique dans un système informatique que se

soit à distance (remote exploit) ou sur la machine sur laquelle cet

exploit est exécuté (local exploit).

Impact : l’impact ou enjeu est le résultat de l’exploitation d’une

vulnérabilité par une menace.

Risque : le risque de sécurité des systèmes d’information peut être

défini comme étant une combinaison d’une menace avec les pertes

qu’elle peut engendrer.

Incident : un incident constitue l’ensemble des problèmes (virus,

faille…) qui sont signalés par n’importe qu’elle membre de la

communauté informatique, aux équipes de réponses aux urgences

informatiques.

Contre-mesure :c’est la technique permettant de résoudre une

vulnérabilité ou de contrer une attaque spécifique, tels que les

politiques de sécurité, les outils de détection d’intrusion IDS.

II.5. Principales attaques et menaces

virus

Les virus est un exécutable qui va exécuter des opérations plus ou moins

destructrices sur la machines

Sur internet, les virus peuvent contaminer une machine de plusieurs

manières :

- Téléchargement des logiciels puis exécution de celui-ci sans

précautions.

- Ouverture sans précaution de documents contenant des macros

23


- Ouverture d’un courrier au format HTML contenant du JavaScript

exploitant une faille de sécurité du logiciel de courrier …

Déni de Service (DOS)

Le but d’une telle attaque n’est pas de dérober des informations sur une

machine distante, mais de paralyser un service ou un réseau complet .les

utilisateurs ne peuvent plus alors accéder aux ressources .l’ exemple

principal, est le « ping flood » ou l’envoi massif des courriers

électroniques pour saturer la boite aux lettres.

La meilleure parade est le firewall ou la réparation des serveurs sur un

réseau sécurisé.

Ecoute de réseau (Sniffer)

Il existe des logiciels qui, à l’image des analyseurs du réseau, permettent

d’intercepter certaines informations qui transitent sur un réseau local, en

retranscrivant les trames dans un format plus lisible (Network packet

sniffing) .de plus l’utilisateur n’a aucun moyen de savoir qu’un pirate a mis

son réseau en écoute.

L’utilisation de switchers (commutateurs) réduits les possibilités d’écoute,

mais la meilleure parade reste l’utilisation de mot de passe, de carte à

puce ou de calculette à mot de passe.

Intrusion

L’intrusion dans un système informatique a généralement pour but la

réalisation d’une menace et est donc une attaque .le principal moyen pour

prévenir les intrusions et les coupe-feu (firewall) .

Une politique de gestion efficace des accès, des mots de passe et l’étude

des fichiers « log »

Cheval de trois (Trojan)

Le pirate, après avoir accéder au système, installe un logiciel qui va lui

transmettre par internet les informations des disques durs.

24


La meilleure mesure de protection face à ces attaques, et de sécuriser au

maximum l’accès à la machine et de mettre en service un antivirus

régulièrement mis à jours.

II.6. Détection d’intrusion

Malgré la mise en place de solution d’authentification chargées de filtrer et

contrôler les accès au réseau, il arrive que des intrus y pénètrent.

Alors les systèmes de détection d’intrusion, qui protègent l’entreprise

contre les attaques externes, sont capables généralement de détecter les

pirates.

outils d’analyse du comportement

L’analyse de comportement scrute les fichiers d’événement et non pas le

trafic et se base essentiellement sur les agents de supervision.

Ces agents sont placés sur le système ou l’application supervisée .leur

mission consiste à repérer toute personne qui cherche à outrepasser ses

droits et à atteindre des applications auxquelles elle n’a pas accès ou tout

comportement suspect.

III. Etude de différentes solutions Open Source de surveillance réseau

Dans cette partie, nous allons décrire quelques solutions libres de

surveillance et d’administration des réseaux sur le marché en présentant

leurs principes de base ainsi que leurs avantages et inconvénients.

III.1. Nagios

III.1.1 Présentation de la solution

c’est une solution libre de supervisions réseau très puissante , reconnue

dans le monde de supervision et utilisée par les plus grandes

entreprises ,puisqu’elle permet une supervision active et passive des

serveurs, équipement réseau, et surtout des services divers et variés.

25


En fait son mode de fonctionnement est simple ; les services de

surveillances lancent par intermittence des contrôles de services et des

stations définit auparavant grâces à des greffons externes (ou

« Plugins ») .Par la suite il récupère les informations fournit par les

services de surveillances et les analyses.

Si le résultat de cette analyse fait remonter un problème les services de

surveillances peuvent envoyer des avertissements à l’administrateur du

réseau de différentes manières : courriers électroniques, messages

instantanés, SMS…

III.1.2 Avantages et inconvénients

Avantage

-Reconnus au prés de grande communautés d’entreprises.

-Une solution complète qui permette le reporting, la gestion de la panne et

des alarmes, gestions des utilisateurs, ainsi que la cartographie du réseau.

-Surveillances du services réseau (SMTP, POP3, http,NMTP , PING…)

-Possibilité d’administration à tous moment du comportement de la

surveillances et du retour d’informations à travers l’utilisation de la

gestionnaire d’événements, d’une interface web et d’applications tierces.

Inconvénients

-Interface non ergonomique et peu intuitive

-Configuration fastidieuse via beaucoup de fichiers.

-Pas de coordination et synchronisation entre les serveurs

-Grandes dépendances des greffons externes.

III.2.Zabbix

III.2.1.Présentation de la solution

Zabbix est une solution libre de surveillance réseau configurable par

interface web, elle permet de surveiller le statut de divers services

26


réseaux, de serveurs et des équipements réseaux d’un parc informatique

d’une société.

C’est un outil utilisé et sollicité beaucoup par les entreprises concernées

étant donnée qu’il intègre plusieurs fonctionnalités lui permettant de

détecter les pannes au plus tôt (être réactif) , analyser les performances

(être proactif ) ,anticiper les évolutions de son architecture par la

définitions des futurs besoins en équipements et consolider les

informations en établissant des modèles de rapports ou Reporting (journal

d’événement ) stockés dans une base de données pou être accessible à

tous moment .

III.2.2.Avantages

-Une solution complète de surveillance réseau :cartographie de réseau,

gestion poussée d’alarmes, gestion des utilisateurs, gestion de panne..

-Une interface web d’administration et de consultation claire pour les

administrateurs de réseau, avec une ergonomie bien étudiée.

-Compatible avec plusieurs base de données reconnus comme

MySQL,poste gre SQL,Oracle , SQlite

-Bonne analyse de performance avec synthése détaillée des équipements,

des alertes, des services …

III.2.3.Inconvénients

-Pas très reconnu auprès des entreprise vis-à-vis ses concurrents avec le

manque d’interfaçage avec les autres solutions libre

-Interface un peu trop vaste concernant les options de surveillance

-Communication par défaut en clair des informations, ce qui est nécessite

une sécurisation des données.

-Manque des tests préventifs de l’état de services avant las défaillances

et la génération des alertes.

27


III.3. OSSIM

III.3.1. Présentation de la solution

OSSIM (open source security information management) Est une solution

open source complète, ou plutôt plateforme complète, d’administration

réseaux et du management du système informatique :

C’est une plateforme parfaite d’administration et supervision réseau, de

management de la société de l’informatique (SIM) et de la gestion parfaite

et instantanée des activités et des événements survenues (et pouvant se

produire) sur le réseau informatique étudié .

OSSIM est considéré comme étant le chef d’orchestre des différentes

solutions déjà existantes vu qu’elle permet de détecter, de

collecter ,de fédérer ,d’agréger ,d’analyser ,d’évaluer , d’interpréter

, de synthétiser ,d’afficher et de rapporter toute sorte d’informations

repérées dans le réseau de manière centralisée et normalisée .

Composant d’OSSIM :

-P0F, détection et analyse du changement des OS

-Arpwatch, détection des anomalies (adresse MAC)

-Ntop , base de données de comportement

-Pads, détection des anomalies de service

-Nessus, évaluation de la vulnérabilité

-Snort, détection d’intrusion (IDS)

-Osiris, détection d’intrusion (HIDS)

-tcptrack, corrélation des données de session

-Spade , statistique des détection des anomalies

OSSIM est une solution centralisée qui s’appuie sur d’autres

solutions de sécurités et permet à travers son framework de piloter

ces produits afin de collecter tous les événements liés à la sécurité

28


de manière centralisée et de la sauvegarde dans une base de

données des événements.

OSSIM est une plateforme globale de surveillance et de sécurité

combinant les meilleurs solutions libres de surveillance et

d’administration réseaux , les meilleurs outils de gestions d’alertes

et de détections d’intrusion, et les meilleurs moyens de l’audit

interne du système d’information.

III.3.2. Avantages

Solution originale : pas de solution vraiment concurrente à ce jours

combinant des outils et des solutions complètes de surveillance

réseau ,de sécurité et d’audit sur une seule console d’administration

seule à gérer .

Plate-forme complète de surveillance, d’administration et de

sécurité réseaux basé sur plusieurs outils Open source très

reconnues dans le marché du réseau.

-Interface intuitive : riche en informations et intègre les détails de

chaque solution

-Fonction d’apprentissage : qui permet à la solution d’accroitre la

fiabilité des ses Remontées d’information.

III.3.3. Inconvénients

-Configuration difficile de part le grand nombre de paramètres pouvant

rentrer en jeu.

-Nécessite une démarche d’audit et d’évaluation des risques pour être

pertinent dans les configurations de la politique de la sécurité

souhaitée…

-Complexité relative d’amélioration vue son potentiel élevé de

manipulation et son utilisation assez lourde d’outils puissants en

documentation.

29


-Nécessite d’une base de concept d’administration réseau et de

sécurité d’information afin de mieux s’adapter à la manipulation de ses

fonctionnalités.

IV. Choix de la solution à adopter: OSSIM

Après avoir vu les différentes solutions open source de surveillance réseau

en détail nous allons maintenant faire notre sélection sur la solution a

adapter tout au long de notre projet d’étude, et ce en fonctions des

besoins de la société SACEM établies déjà dans le premier chapitre.

Nagios/Zabbix OSSIM

surveillance des équipements

réseaux et de système

-très efficace dans ce contexte vu

le potentiel effectif des

informations détaillées qu’il offre

à l’administrateur concernant

l’état en temps réel des services

présent , les événements

instantanés produit sur le réseau

avec ses détails temporelles

-sécurité en temps réel avec le

scanner de vulnérabilité Nessus et

le scanner de port Nmap

pas de fonctionnalité très

importante en matière de

sécurité :

leader en matière de corrélation

d’événements et d’alertes

30


Tableau 1: Tableau comparative entre les différentes solutions

Open sources

IV.1. Architecture et principe de base

OSSIM est composé de trois briques primordiaux :

-Le serveur : contenant les différents moteurs d’analyse, de

corrélation et les bases de données.

-L’agent : prenant en charge la collecte et la mise en forme des

événements

-Le Framework : regroupant les consoles d’administrations et les

outils de configuration et de pilotage et permettant également

d’assurer la gestion des droits d’accès.

Le framework a pour objectif de centraliser, d’organiser et d’améliorer la

détection et l’affichage des événements liés à la sécurité du système

d’information d’une entreprise.

Le principe de fonctionnement de la solution OSSIM s’effectue selon deux

étapes :

-Le prétraitement de l’information : assuré au niveau

d’équipements spécifiques tels que les sondes de collecte

d’informations (Sensor) ou de détection d’intrusion (IDS), consiste la

collecte des informations de logs ainsi que la normalisation des celles-

ci afin de les stocker de manière uniforme et de pouvoir les traiter

efficacement durant l’étape de poste traitement.

-Le poste traitement : de l’information assuré par l’ensemble des

processus interne à la solution et qui vont prendre en charge

31


l’information brute telle qu’elle est a été collecté pour ensuite

l’analyser, la traiter et en fin la stocker dans une base de données.

Ces informations collectées par les détecteurs et les moniteurs sont

spécifiques et encore Partielles et ne représentent qu’une petite partie

de la quantité d’information existante sur le réseau de l’entreprise

étudié .OSSIM a donc la solution : c’est la Corrélation.

En effet, le mécanisme de corrélation peut donc être vu comme la

possibilité d’utiliser les informations remontées par les détecteurs en

utilisant un nouveau niveau de traitement ,de compléter et d’améliorer

le niveau d’information .

Son but est de rendre cette remontée d’information le plus efficace

possible par rapport à la quantité d’information disponible sur le réseau

de l’entreprise.

Afin de comprendre ces deux étapes ,voici une figure qui illustre ce fonctionnement :

32


Figure 3:Architecture d'OSSIM

Nous remarquons bien qu’il existe différentes bases de données

permettant la sauvegarde des informations corrélées (intermédiaire).

- EDB : La base de données des événements (la plus grande), stockant toutes les

alarmes individuelles.

- KDB : La base de données des connaissances, sauvegardant les configurations

établiespar l’administrateur en charge de la sécurité.

- UDB : La base de données des profils, stockant toutes les informations du moniteur de

profile.

Afin d’aider à la compréhension, nous allons détailler le cheminement

d’une alarme dans l’architecture définie par cette figure :

33


Figure 4:Cheminement du flux d'informations

1. Détection d’un événement suspect par un détecteur (par signatures ou par l’heuristique).

2. Si nécessaire, des alarmes seront regroupées (par le détecteur) afin de diminuer le trafic

réseau.

3. Le collecteur reçoit la/les alarme(s) via différents protocoles de communications ouverts.

4. Le parser normalise et sauve les alarmes dans la base de données d’événements (EDB).

5. Le parser assigne une priorité aux alarmes reçues en fonction de la configuration des

polices de sécurités définies par l’administrateur sécurité.

6. Le parser évalue le risque immédiat représenté par l’alarme et envoie si nécessaire une

alarme interne au Control panel

7. L’alerte est maintenant envoyée à tous les processus de corrélation qui mettent à jour leurs

états et envoient éventuellement une alerte interne plus précise (groupe d’alerte provenant de

la corrélation) au module de centralisation.

8. Le moniteur de risque affiche périodiquement l’état de chaque risque calculé par CALM.

34


9. Le panneau de contrôle affiche les alarmes les plus récentes et met à jour les indices des

états qui sont comparés aux seuils définis par l’administrateur. Si les indices sont supérieurs

aux seuils configurés, une alarme interne est émise.

10. Depuis le panneau de contrôle, l’administrateur a la possibilité de visualiser et rechercher

des liens entre les différentes alarmes à l’aide de la console forensic.

Conclusion

Dans ce chapitre, nous avons commencé par une étude assez détaillée sur

la gestion des réseau informatiques à partir de laquelle nous avons

spécifié quelques termes et notions de bases nécessaires à la bonne

compréhension de la réalisation de notre projet; puis nous avons décrit le

concept de supervision et d’administration de système d’information ainsi

que leurs intérêts sur les entreprises concernées; ensuite nous avons

présenté des généralités sur la sécurité informatique en définissant les

menaces existantes et les différents risques et la manières à s’en protéger

.

Enfin, nous avons terminé notre chapitre par une étude comparative des

différentes solutions libres de surveillance réseau existantes à savoir

Nagios, Zabix et OSSIM tout en présentant pour chacune d’elle son

principe de fonctionnement, ses avantages et ses inconvénients vis-à-vis

du système d’information étudié.

Cette étude nous a amené à bien choisir notre solution de surveillance qui

s’intitule : OSSIM.

35

Chapitre 3 : Spécification des besoins

Chapitre3 : Spécifications des besoins

Introduction :

Après avoir faire une étude approfondie de l’existant, nous allons recueillir

et analyser les différentes besoins auxquels devrait répondre notre projet

de fin d’étude. Dans ce chapitre, nous allons détailler la spécification des

besoins de notre solution « OSSIM ».

Ce chapitre est composé de deux parties. Dans la première partie, nous

allons spécifier les besoins fonctionnels définissant les fonctionnalités de

notre plateforme de surveillance. Les besoins non fonctionnels

caractérisant notre solution vont être définis dans la deuxième partie de

ce chapitre.

I .Etude des besoins

I.1. Besoins fonctionnels

OSSIM offre une infrastructure pour le monitoring de la sécurité réseau

permettant de :

Intégrer une série d’outil d’administration et de sécurité , rassemblé

pour une seule console.

Effectuer une série de taches indispensables dans un réseau

d’entreprise à savoir

l’audit interne.

L’administration réseau :affiche des informations sur les connexions TCP qu’il

rencontre sur une interface ; Il détecte passivement les connexions TCP sur l’interface

à analyser et affiche les informations par un sniffer (TCPTRACK)

37


La détection d’intrusion : capable d'effectuer l'analyse du trafic en temps réel

par un outil nommé SNORT. La détection réalise on trois faces IDS, Détection

d’anomalie, Firewalls

L’analyse du trafic

La gestion d’anomalies : cette action est réalisée en temps réel permettant le

monitoring ainsi que le calcul de statistiques. Le monitoring consiste

l’affichage des informations fournies. Les consoles de monitoring

utilisent les différentes données produites par les procédés de

corrélation pour la construction d’un affichage efficace et/ou

résumé,L’analyse et le monitoring :

–La Corrélation

– L’Evaluation de la dangerosité des alarmes

– L’Evaluation du risque sur l’architecture à protéger

La gestion d’incidents :

Les managements (configuration) :

– Inventaire des ressources informatiques

– Définition de la topologie

– Définition des polices de sécurité

– Définition des règles de corrélation ´

– Liens avec différents outils d’audits Open Source

La surveillance du système…

Il permet d’affichage des services d’une machine sans avoir à opérer un scan actif

Evaluer les risques : Le risque peut être défini comme étant la

probabilité de menace de l’événement. En d’autres termes, cette

étape tente de définir si la menace est réelle ou pas. L’importance à

donner à un événement dépend principalement de trois facteurs :

- La valeur du bien attaqué

- La menace représentée par l’événement ´

- La probabilité que l’événement apparaisse

38


Cette fonctionnalité permet d’offrir des indicateurs de haut niveau

permettant d’orienter l’inspection et de mesurer la situation de la sécurité

du réseau étudié ,en se basant des procédés de corrélation qui facilitent la

détection et la réponse aux anomalies pouvant effectuer le système ainsi

que la définition des politiques de sécurité et la récupération des rapports

concernés.

Fournir une console d’organisation

Améliorer la détection et l’affichage des alarmes de sécurité

I .2. Besoins non fonctionnels

Un besoin non fonctionnel est une restriction ou une contrainte qui pèse sur un service du

système, telle que les contraintes liées à l’environnement et à l’implémentation, les exigences

matières de performances.

Notre solution doit répondre à plusieurs critères :

La performance : le temps de réponse est rapide.

Simple à utiliser : avoir une interface graphique facile à exploiter.

La sécurité : l’utilisation d’un login et d’un mot de passe

La disponibilité : OSSIM doit être explicitement défini pour les applications critiques

Conclusion

Dans ce chapitre, nous avons fait une étude théorique pour décrire les

besoins fonctionnels et non fonctionnels pour la mise en place de la

solution open source « OSSIM », ainsi que une étude de l’architecture

globale de la solution.

39


Après une présentation du principe de notre projet et l’analyse des

besoins qu’il vise à les répondre nous commençons dans le chapitre

suivant la mise en place de notre solution OSSIM .

40

Chapitre 4 : La réalisation


Introduction

Dans ce chapitre, après nous avons choisi l’OSSIM comme une solution qui

devrait être la plus adéquate au système d’information de la société et qui

répond mieux aux besoins de l’utilisateur de notre projet, nous allons

aborder l’étude pratique de notre projet.

Alors, quels sont les composants essentiels de cette solution ? Quelle est

la stratégie de la mise en place de cette solution au sein du réseau interne

de la SACEM ? Enfin, quels sont les différents tests qu’on doit effectuer

afin de valider cette solution et avoir ses effets sur le réseau de

l’entreprise étudié ?

I. Environnement de développement

I.1. Environnement matériel

Dans notre réalisation, nous avons utilisé deux machines liées au réseau

local de la société.

La première est notre serveur-agent OSSIM installé sur une

plateforme Linux Debian.

La deuxième, utilisant le système d’exploitation Microsoft Windows,

se présente comme un Monitor pour le serveur OSSIM à travers une

interface web.

L’interaction entre ces deux machines présente l’interrogation du serveur

à travers son interface web, c’est le point de départ de l’administrateur

pour découvrir la plateforme et ses différents composants.

I .2. Environnement logiciel

Pour installer la plateforme OSSIM, nous avons utilisé :

42


- Ossim-server : constitue le noyaude l’architecture .En effet, celui-ci

comporte les modules d’analyse et de corrélation des données ainsi

qu’un serveur Web permettant l’interaction avec l’utilisateur.

- Ossim-agent : récupère simplement les informations des fichiers de

logs des plugins et les envoie directement au serveur OSSIM .Ainsi ,

il s’occupe de la mise en marche et de l’arrêt des différentes sondes

qui lui sont connectées.

- L’agent PADS :PADS va permettre d’identifier les machines (adresses IP et MAC)

ainsi que leurs services uniquement en sniffant le réseau. Il permettra l’affichage des

services d’une machine sans avoir à opérer un scan actif. Il permettra l’affichage des

services d’une machine configurée sur Ossim sans opérer un scan actif.

- L’agent TCPTRACK :TCPTrack est un sniffer affichant des informations sur les

connexions TCP qu’il rencontre sur une interface. Il détecte passivement les

connexions TCP sur l’interface à analyser et affiche les informations. Il permet

l’affichage des adresses source et destination, de l’état de la connexion, du

temps de connexion ainsi que de la bande passante utilisée.

- L’agent P0F :P0f est un logiciel de détection de système d’exploitation passif. Il

analyse les trames transitant sur le réseau (le segment analysé) et les compare avec

une base de données des caractéristiques de chaque OS (prise d’empreintes) afin d’en

retrouver l’OS correspondant.

P0Fest capable aussi de faire la :

Détection de la présence d’un firewall

Détection d’un répartiteur de charge réseau

Détection de la distance de la machine distante

- L’agent SNORT :Snort est un système de détection d'intrusions réseau en Open

Source, capable d'effectuer l'analyse du trafic en temps réel.

43


- L’agent NTOP :Ce logiciel analyse en temps réel le trafic réseau et met à disposition

une liste de compteurs, permettant le monitoring ainsi que le calcul de statistiques. La

sonde Ntop met en place un serveur Web permettant le son monitoring ainsi que la sa

configuration à distance.

I.3. Choix des outils de développement

OSSIM (Open Source Security Management),est une plateforme Open

Source de management de la sécurité de l’information.

Cette solution présente deux avantages essentiels lui permettant d’être

très sollicitée par les entreprises dans le domaine de management du

réseau informatique :

- Le premier avantage est l’intégration ,c’est-à-dire ,avoir une série

d’outils d’administration et de sécurité (Snort, Nessus , Ntop,Nmap,

…), rassemblés pour une seule console et pouvant effectuer une

série de taches indispensables dans un réseau d’entreprise à savoir

l’audit interne, l’administration réseau ,la détection

d’intrusion,,l’analyse de trafic ,la gestion d’anomalies, la gestion

d’incidents , la surveillance du systèmes…

- Le deuxième avantages est l’évaluation des risques :c'est-à-dire

offrir des indicateurs de haut niveau de mesurer la situation de la

sécurité du réseau étudié ,en se basant des procédés de corrélation

qui facilitent la détection et la réponse aux anomalies pouvant

effectuer le système ainsi que la définition des politiques de sécurité

et la récupération des rapports concernés.

OSSIM s’avère donc être la solution Open Source la plus complète et

aucune solution Open Source ne propose une telle palette de

procédés d’administration complète du réseau et d’analyse détaillée

d’événement de sécurité.

44


II. Réalisation et tests

II.1. Installation et configuration

Installation

L’installation consiste simplement à télécharger sur le site officiel d’Ossim

d’une version de la plateforme Ossim intégrée avec GNU/Linux Debian

comportant en même temps le serveur et l’agent d’une part, et d’autre

part elle intègre aussi tous les paquets nécessaires à la solution avec leurs

dépendances et les outils à utiliser lors de l’implémentation.

En d’autre termes, tout est intégré, il suffit d’attendre environ 5 heures

pour l’installation, et après le serveur va être prêt pour l’utilisation

Configuration

Dans cette phase nous allons faire la configuration du serveur et de l’agent :

a) Configuration du serveur

Nous configurons le serveur en éditant le fichier /etc/ossim/server/config.xml/ ensuite nous

modifions les paramètres du serveur selon notre réseau étudié :

- Le nom du serveur OSSIM :alienvault

- L’adresse IP du serveur OSSIM : 192.168.1.10

- Le port sur lequel écoute le serveur OSSIM, par défaut c’est le port 40001

- Le nom du framework alienvault

- L’adresse IP du framework OSSIM, qui est installé sur la même machine que le serveur,

est : 127.0.0.1 ou localhost.

- Le port sur lequel écoute le framework OSSIM, par défaut c’est le port 40003

- Les paramètres de la base de données OSSIM qu’utilise le serveur :

SGBD : MySQL

Port : 3306

User : root

Mot de passe :wKcvfjIPLQ

Nom : ossimDS

Machine : localhost car notre base de données est hébergée sur la même

45


Machine serveur

- Les paramètres de la base de données SNORT :

SGBD : MySQL

Port : 3306

User : root


Nom : snortDS

Machine : localhost

Le fichier log du serveur : /var/log/ossim/server.log

Le fichier XML contenant les directives de corrélation :

/etc/serveur/ossim/directives.xml

b) Configuration de l’agent :

Concernant la configuration de l’agent Ossim, nous commençons par la configuration des

principaux paramètres en éditant le fichier /etc/ossim/agent/config.cfg et nous agissons sur ses

paramètres tels que son adresse IP, l’adresse IP du serveur, les plugins à démarrer…

L’agent est installé sur une machine sonde qui va recueillir les logs des équipements.

Pour notre cas l’agent est intégré dans la même machine que le serveur , nous commençons

par définir les paramètres suivantes :

- L’adresse IP de la machine sonde sur laquelle est installé l’agent :192.168.1.10( celle du

serveur)

- L’interface réseau sur laquelle l’agent va recevoir les logs :eth0

- Le serveur auquel se connectera l’agent (défini dans la section précédente)

L’adresse IP :192.168.10.246

Le port 40001

- Les paramètres de la base de données OSSIM :

SGBD : MySQL

46


Machine : 192.168.10.246

Nom : alienvault

Port : 3306

User : root


Machine : localhost

- Le fichier log du serveur : /var/log/ossim/agent.log

- Les plugins des équipements à activer et le chemin du fichier de configuration

correspondant à chaque plugin sur la machine agent.

II.2. Fonctionnement du framework OSSIM Manipulation de l’interface Web d’OSSIM

Nous arrivons maintenant à l’étape de l’administration de notre plateforme OSSIM :

Dans cette étape nous allons décrire de manière détaillée de ce qu’OSSIM offre comme

interface Web pour l’administrateur de cette plateforme et découvrir donc chacune de ses

composants.

II.2. 1. Console d’administration d’OSSIM

Afin d’accéder à la console d’administration d’OSSIM (au serveur OSSIM) nous

connectons à un navigateur Web (internet explorer, Firefox…), et nous tapons l’adresse IP

du serveur OSSIM : 192.168.1.10, Alors l’interface d’authentification au serveur apparait.

Nous utilisons donc le login « Admin » et le mot de passe « SACEM » pour s’authentifier

comme administrateur (par défaut auprès de notre serveur ossim )

Voici un imprime écran illustrant cette étape :

47


Figure 5:Authentification au prés du serveur

Le nom d’utilisateur et le mot de passe sont « admin » « SACEM2013 », il ne faut pas

oublier de les modifier une fois la première connexion est établie. Pour cela il faut aller dons

‘configuration/Users’ et ajouter un nouveau User, comme le montre cette figure

Figure 6:Ajout d'un nouvel utilisateur

Après avoir faire la connexion, nous commençons par découvrir le framework d’OOSIM en

détail.

48


L’interface de configuration et monitoring offerte par OSSIM se compose de divers menu et

sous-menus. Nous allons essayer de traiter les principaux modules que nous avons utilisés lors

de notre stage et voir les résultats obtenus dans cette manipulation.

a) Dahboards

OSSIM offre un tableau de bord intéressant avec une variété de représentations des différents

résultats collectés par l’agent.

- Sous ‘Dahboards//Exécutive’,nous trouvons les graphes suivants résumant l’état globale

du système.

Figure 7:Etat globale des alarmes et évènement récent

49


Figure 8:Etat globale des agents ajoutés à OSSIM récemment

Figure 9:Etat globale de menaces récentes détectées

50


Figure 10:Etat globale de la variation du débit du réseau

Ces graphes montrent bien l’état du réseau en globale :

Pour la première figure nous trouvons l’état des alarmes et des événements qui se sont

produits récemment sur le réseau (Dernière alarmes, événements détectés, attaques, scan de

vulnérabilités avec nmap..) ; dans la deuxième figure, l’état des événements produits par

sonde ou agents (dans notre cas c’est le serveur ossim qui est concerné) ; la troisième figure

montre le niveau réel des menaces dans le réseau à partir des états de ces alarmes ; les autres

figures décrivent le niveau des hôtes du réseau en risque d’attaques, l’historique du trafic des

protocoles et la variation du débit du réseau.

- Les illustrations concernant les incidents sont présentées sous l’onglet ‘

Dashboards//Executive/Incidents’ ou ils sont décrit selon :

L’état :

51


Figure 11:Etat des incidents

Le type :

Figure 12:Type d'incident

52


L’utilisateur :

Figure 13:Incidents par utilisateur

Ces statistiques montrent l’état des incidents ouverts( non traité) et fermés (traités) (dans notre

cas 100% des incidents n’ont pas été traité par l’administrateur),leurs types événements ou

vulnérabilité (dans notre cas 50%des incidents survenues sont des événements et 50% sont

des vulnérabilités ,les utilisateurs concernés (dans notre cas 100%,car un seul utilisateur

ADMIN est enregistré) et enfin la taux de résolution des incidents par jours( 1 jours pour

traiter un incident).

b) Incidents

Dans cet onglet Incidents, nous découvrons les différents types et détails d’alarmes que

OSSIM détectent et stocke dans sa base de données.

Il offre donc un archivage des commentaires déposés par les différents administrateurs en

charge de la sécurité et permet de déposer des annotations sur les activités effectuées ainsi que

de fermer les alarmes/problèmes ayant été résolus.

- Nous pouvons voir ces figures qui montrent ces alarmes :

53


Figure 14:Alarme détectées et sauvegardé par OSSIM

Figure 15:Informations générales d'un incident/événement détecté

Nous remarquons par exemple la première alarme détectée (Nmap scan from Ossim),sa date

de détection (1/06/2013) .ainsi que les hôtes sources (192.168.1.10)et destinations

(192.168.1.20) correspondantes à cette alarme.

c) Analysis

L’onglet Analysic est très important dans OSSIM puisqu’il indique bien les événements

effectués dans le réseau et détectés par OSSIM d’autre part, et il effectue un scan de

54


vulnérabilité aves l’outil Nessus d’autre part, sans oublier qu’il permet d’afficher les

anomalies survenues dans le réseau selon plusieurs critères.

- Pour l’onglet Vulnérabilités, nous arrivons à l’outil NESSUS et son utilisation.

Utilisation de Nessus :

Nessus est un outil de sécurité permettant d’identifier et de traiter rapidement les failles du

Réseau. Il teste tous les équipements réseaux disposants d’une adresse IP afin d’établir un

inventaire des menaces et des vulnérabilités auxquels ils sont exposés. Il fournit

généralement pour la plupart des produits des informations détaillées sur chacune des

vulnérabilités découvertes et un remède explicite. Les vulnérabilités découvertes sont

classées par degré de gravité.

Pour lancer un scan de vulnérabilité nous devons aller sous ‘Analysic/vulnerabilities/’, une

appuyer sur « New scan job» comme le montre cette figure :

Figure 16:Lancer le scan de NESSUS

Ensuite, nous choisissons le ou les hôtes (définis déjà) à scanner, ainsi que le ou les réseaux

(définies auparavant) à scanner, comme montré ci-dessous :

55


Figure 17:Choix des hôtes ou réseau à scanner

Dans cette figure, en cliquant sur hosts nous avons choisi de scanner l’hôte d’adresse IP

192.168.1.10.

Pour valider, nous cliquons sur l’icône New Job (encadré en rouge).

A la fin du scan le résultat peut être affiché au-dessous dans un tableau comme le montre cette

figure :

Figure 18:Résultat de Nessus

56


Maintenant, nous arrivons à l’outil de détection des alertes ainsi que son interface

d’évaluation pour savoir l’endroit de l’affichage des informations à détecter sur la plateforme

OSSIM.

Cet outil s’appelle ACID (Analysic Console for Intrusion Databases) :

C’est un outil très puissant (dévéloppé en PHP) pour l’examen des informations de détection

d’intrusion. Il permet de visualiser les différentes alertes générées à partir une base de

données MySQL.

Pour accéder à cette interface, il suffit d’entrer sur la console d’administrationd’OSSIM, et

puis de consulter le module analysis/security Events(SIEM). sous ce module, nous trouvons

l’interface de visualisation des alertes et menaces détectées en temps réel par les logiciels de

détections correspondantes ( nagios, snort, Nmap…)

Voilà cette interface avant de faire nos tests

Figure 19:Affichage des derniers alertes (signature) par ACID

Dans cette figure, nous pouvons voir un affichage historique des alertes et des attaques

survenues sur le réseau, avec les adresses source et destination correspondantes ainsi que le

degré de risque de chaque événement (asset) et son priorité.

D’autre part, nous pouvons sélectionner le choix du logiciel à utiliser pour filtrer l’affichage

de ces alertes, et ceci à travers cette interface :

57


Figure 20:Choix du plugin pour l'affichage des alertes

Ce qui nous donne une possibilité très puissante de tester les outils employés par OSSIM dans

la détection d’intrusion et des alertes et des événements survenues sur le réseau.

De plus,ACID offre la possibilité à l’administrateur de gérer en temps réel les détections

d’intrusion à travers son interface REAL TIME, présenté par cette figure :

58


Figure 21:Gestion en temps réel des évènements par ACID

Nous constatons à travers cette interface qu’ACID fait actualiser sa liste des événements

détectées avec le mot Refreshing (encerclé en rouge)afin qu’il soit en temps réel aves les

événements survenues au fur et à mesure sur le réseau.

Nous pouvons voir donc la date de ces événements, ainsi que leurs risque et leurs générateurs

(logiciel de détection)responsable de la détection.

d) Report

Dans cet onglet, OSSIM nous permet de d’élaborer des rapports d’informations concernant les

équipements réseaux et système, et peut les afficher sous forme de PDF, tout en sauvegardant

dans sa base de données les différents logs des utilisateurs de ce réseau.

Nous pouvons voir par exemple l’icône Reports/Asset report, nous tapons soit le nom de

l’hôte, soit l’adresse IP ou bien l’adresse du réseau, en suite nous cliquons sur View

repot,nous pouvons savoir les informations sur l’hôte ou les hôtes que nous avons déjà

choisies avec leurs adresse IP, leurs systèmes d’exploitation et le niveau de leurs priorité

(ASSET).

59


La figure suivante montre ses informations :

Figure 22:Inventaire de l'hôte 192.168.1.10

-Sous Report/Reports, nous pouvons détecter les alarmes et les incidents dans un fichiers PDF

comme le montre cette figure :

Figure 23:Alarme Report

-Sous Report/user/log Report, nous trouvons tous les logs des utilisateurs avec les événements

subits et leurs détails, comme le montre cette figure :

60


Figure 24:Les logs des utilisateurs du réseau

Nous remarquons alors ce qui est en rouge ce sont les hôtes du réseau et ce qui est en bleu

toutes les actions effectuées par l’utilisateur Admin et correspond aux machines convenables

(logg in,network scan, configuration…)

e) ASSET

Dans cette section, nous pouvons définir les agents à déployer sur le réseau étudié, les hôtes à

ajouter sur le réseau ainsi que le réseau à personnaliser.

- Définition des agents

Pour ajouter un nouvel agent, nous allons sous « Asset/hosts/», nous cloquons sur le lien

new Sensor et nous complétons les informations nécessaires comme le montre cette figure :

61


Figure 25:Ajout d'un nouvel agent

Ensuite nous allons sous ‘Asset/Sensors’, nous remarquons l’agent par défaut « alientvault » (

encadré en rouge)et l’agent « agent » (encadré en noir) que nous avons déjà ajouté sont déjà

mise en place , comme montré par cette figure :

Figure 26:Définition des Agents OSSIM

- Définition des hôtes

Cette étape consiste à définir les différentes hôtes du réseau. Pour cela il faut aller sous ‘Asset

/hosts’, et ajouter les machines une par une, comme l’illustre cette figure :

62


Figure 27:Définition des hôtes

De même pour ajouter un nouvel hôte, nous cliquons sur new et nous définissons les

informations de l’hôte à ajouter puis nous cliquons sur update.

Voici une description illustrée par cette figure :

Figure 28:Ajout d'un nouveau hôte

63


- Définition des réseaux (Network)

Cette étape consiste à regrouper les hôtes dans un ou plusieurs réseaux. Dans notre cas, nous

allons déclarer un réseau englobant toutes les machines appelé HOME.

Allons alors sous ‘asset /networks’, et ajoutons le réseau HOME , ce qui est montré par cette

figure :

Figure 29:Ajout d'un nouveau réseau "HOME"

Puis, nous trouvons le réseau ajouté sur la liste des réseaux existants comme le montre cette

figure

Figure 30:Network home ajouté

64


-Sous Assets, nous avons l’outil OCS Inventoy (Open Computer and Software Inventory) ou

un inventaire de gestion du parc informatique.

Cet outil permet de réaliser un inventaire sur la configuration matérielle des machines du

réseau et sur les logiciels qui y sont installés. Il permet de visualiser cet inventaire grâce à un

interface web .

Intégré à la plateforme OSSIM, On peut exploiter quelques fonctionnalités de ce logiciel afin

de faire un petit inventaire sur un parc informatique, et récupérer les informations matérielle

et logicielles sur la configuration des machines.

Pour cela, il faut qu’on installe l’agent d’OCS sur chaque machines pour que le serveur

OSSIM puisse les voir.

Par exemple si nous voulons ajouter un utilisateur nous faisons comme suit :

Figure 31:Ajout d'un nouveau utilisateur "salwa"

65


Après que nous cliquons sur « register » , nous constatons que le nouveau utilisateur est

ajouté comme le montre cette figure :

Figure 32:Réussite d'ajout du nouveau utilisateur

Nous constatons de cette figure que l’utilisateur nommé « salwa » et son type « simple

utilisateur » (encadré en rouge) est ajouté à la base de donnée avec l’affichage du message de

réussite (encadré en bleu).

Maintenant, nous arrivons à l’outil de scan de ports Nmap :

Dans ce module, OSSIM permet à l’administrateur d’utiliser un logiciel très reconnue dans le

monde de scanner de ports c’est Nmap, sous Assetasset siscovery

- Utilisation de Nmap :

Nmap est une sonde conçu pour détecter les ports ouverts, identifier les services hébergés et

obtenir des informations sur le système d’exploitation d’un ordinateur distant.

Pour lacer le scan de port avec Nmap sur le serveur ossim (192.168.1.10), il faut aller sous

« Asset/asset discovery », et nous lançons un nouveau scan.

comme le montre cette figure :

66


Figure 33:Lancement du Nmap

Le résultat peut prendre quelques instants jusqu’à obtenir le message suivant :

Figure 34: Fin du scan Nmap

67


Les résultats sont ensuite affichés sous Asset/hosts comme le montre cette figure :

Figure 35:Résultat détaillé du scan Nmap

f) Intelligence

En ce qui concerne le module Intelligence, OSSIM offre à l’administrateur la possibilité de

visualiser les règles de corrélation définies par le serveur OSSIM, d’augmenter la priorité

d’une alerte Snort lorsque l’attaque aura été découverte par Nessus (Cross corrélation), et en

fin de permettre un backlog sur les références des alarmes provenant des directives d’une

corrélation

Exemple voici une figure illustrant des alertes sauvegardées :

Figure 36:Fichier des alertes sauvegardées

68


g) Situational Awareness :

Concernant l’onglet Situational Awareness, il contient trois sous menus très importants qui

sont :

Network (NTOP), Availability (NAGIOS) et IP repulation.

Dans cet onglet, nous trouvons deux outils qui se présente parmi les meilleurs outils de

surveillance en réseau puisqu’ils sont connues comme étant des solutions à part et n’ont pas

été intégré auparavant sous une plateforme complète de surveillance comme OSSIM ; Ce qui

présente une originalité pour OSSIM de faire l’effort d’intégrer des solutions complètes de

supervision et d’administration sous une seule console.

Ces outils sont Ntop(outil libre d’analyse en temps réel du trafic réseau) et Nagios (outil libre

permettant la surveillance système et réseau, la supervision des hôtes et services spécifiés et

alertant lorsque les systèmes vont mal et quand il vont mieux).

Utilisation de Ntop :

Ntop est un outil qui produit des informations sur le trafic d’un réseau en temps réel.

Pour voir les résultats de l’application de cette sonde sur notre réseau il faut aller sous

‘situational/nettwork, nous allons observer ceci :

Figure 37:Les statistiques du trafic global

69


La sonde Ntop présente divers statistiques du réseau de l’entreprise, avec des graphes

décrivant l’état du réseau, les connexions entrantes et sortante, les protocoles utilisés, les ports

utilisés, les hôtes et réseaux …

Nous pouvons visualiser le trafic du réseau par service, ou par hôte, montant et descendant

pour pouvoir détecter les services les plus utilisés et les machines suspectes ayant des taux de

transfert de données inhabituels.

- Part taille de paquets :

Figure 38:Classement du trafic par taille de paquet

Dans cette figure, nous remarquons bien que le réseau de l’entreprise présente une moyenne

de paquets circulant au sein du réseau d’environ 347 bytes, avec la majorité des paquets sont

en taille inférieure 64 bytes.

Ce qui nous donne une idée sur l’état du réseau en terme du paquets .

- Par protocole :

70


Figure 39:Classement du trafic par protocole

Nous pouvons voir à travers cette figure la distribution du trafic réseau par protocole utilisé,

comme TCP,UDP, ICMP, DLC…classé par taille de données, et ceci à fin de mentionner

quels sont les protocoles par exemple qui semblent être les plus sollicités par les utilisateurs

du réseau, ou qui consomment plus les données et donc qui peuvent saturer le trafic.

- Par hôtes :

Figure 40:Classement du trafic par hôte

71


Dans cette figure nous remarquons que le trafic du réseau est distribué selon les postes du

travail présents sur le réseau, en effet, les hôtes sont classé aves leurs adresse IP et Mac, en

fonction de la consommation de bande passante utilisée sur le réseau ; Par

Exemple, ce que nous avons coloré en rouge et noir, ce sont les trois adresses respectives de

serveur OSSIM, Monitor et le serveur de domaine ajouté au réseau, et en bleu le taux

d’occupation de bande passante.

Nous remarquons alors que le serveur OSSIM occupe une bande passante très importante bien

sûr puisque tous le trafic passe par lui, de même pour Monitor puisqu’il interroge tous le

temps le serveur, alors que les autres hôtes ont un trafic qui dépond à la fonction des

applications utilisées.

- Par service :

Figure 41:Classement du trafic par service

Concernant le trafic distribué par service, nous avons dans cette figure une description

72


du trafic des hôtes selon leurs utilisations de plusieurs service comme FTI,http ,DNS ,

Proxy,Messenger,.. (Encadré en rouge) et ses informations sont en termes de pourcentage de

données circulées sur le réseau (en noir).

Ceci peut nous aider (comme administrateurs) à des interprétations concernant le service le

plus utilisé, l’état du service…

-D’autre part, nous pouvons grâce à NTOP, avoir une idée sur le trafic de TCP/UDP à

part, par distribution de ports ou services .

Figure 42:Classement du trafic TCP/UDP par distribution de ports

73


Figure 43:Classement du trafic TCP/UDP par service

Ce qui nous permet de savoir quels sont les ports utilisés récemment et les données transférées

à travers ces ports, et aussi de savoir les services utilisés par TCP/UDP grâce à leurs graphes

de répartition.

Utilisation du NAGIOS :

Nagios est un outil open source reconnu dans le monde de la supervision, il permet une

supervision active et passive des serveurs, équipements réseaux, et surtout de services divers

et variés.

Nous allons donc de découvrir quelques fonctionnalités de Nagios d’après ce que nous avons

récupéré comme informations sur la plateforme d’OSSIM.

L’accès aux différents éléments du module Reportings’effectue en cliquant sur l’icône

Situational Awaraness /Availability/Reporting aves ses options :

Trends : graphiques de disponibilité d’un hôte ou d’un service

Availability : tableau de disponibilité des groupes d’hôtes, des hôtes ou service.

Event histogram : graphiques des changements d’état d’un hôte ou d’un service.

history : historique des alertes.

Event summary : tableaux des dernières alertes, par groupe d’hôtes, des hôtes ou

service.

74


Notification : historique des notifications

Performance information : historique de tous les événements (alerte, notification, ..)

- Informations sur les hôtes et services :

L’accès aux informations d’un hote ou d’un service possible par :

Service détail, puis en cliquant sur le nom d’un hôte ou d’un service.

Host detail, puis en cliquant sur le nom d’un hôte.

Status Grid, puis en cliquant sur le nom d’un hôte ou d’un service.

Par exemple voici une figure qui montre les informations d’un service :

Figure 44:Affichage des informations des services d'hôtes 127.0.0.1

Cette figure centralise les informations d’un service d’un hote donné (ici de l’hote Monitor

127.0.0.1),son état (current status),, la date de la dernière vérification(last check time),ou

dernière modification (last state change). En haut à gauche se trouve un cadre présentant des

liens vers les éléments de rapport pour ce service.

- Informations sur les états d’hôtes et services sous forme d’histogramme :

L’élément trends (tendance), accessible sous situationnal/availability/reporting, présente sous

forme d’histogramme à barres les différents états d’un hôte et d’un service sur une période de

75


temps donnée. Les pourcentages relatifs à chaque état sur cette période de temps sont inscrit à

droite du diagramme.

L’accès à cette option se fait sous l’icône : Trends du modèle Reporting

En première étape, nous choisissons le type de rapport :

Figure 45:Choix du type de rapport

Figure 46:Section d'hôte effectué

Nous choisissons si le rapport concerne d’un hôte ou un service. Puis nous cliquons sur

continues to step 2 pour passer à l’étape suivante :

76


Figure 47:Sélection de l'hôte /service désiré

Figure 48:Sélection de l'hôte effectué

Selon le choix de l’étape précédente, nous sélectionnons l’hôte ou le service désiré.

Nous cliquons ensuite sur Continue to Step 3 pour passer à l’étape suivante :

Figure 49:Paramétrage des options du rapport

77


En fin, nous cliquons sur Create Report (encadré en rouge)pour générer le rapport, nous

obtenons :

Figure 50:Rapport d'état de 192.168.1.10

En abscisse du graphique se trouvent les dates de changement d’état (ou de redémarrage du

programme Nagios)et en ordonnée le nom des différents états (la valeur de l’ordonnée définit

la hauteur de la barre de l’histogramme). A droite du graphique se trouvent les pourcentages

avec la correspondance en unité de temps de ceux-ci. Dans notre cas, nous trouvons que l’hote

localhost marche bien (UP)à partir de la date 3 May 2013 jusqu’au 4 May de la meme année.

- Divers informations sur les services et hôtes sous l’onglet

situational/Availability/Monitoring

Dans cet onglet, nous pouvons afficher l’état des hôtes et groupes des hôtes présents sur le

réseau comme le montre cette figure :

78


Figure 51:Détails du status de l'hote localhost

Nous constatons par exemple que tous les hôtes marchent (UP), avec les détails de dernière

consultation en temps, en durée et d’autres informations.

Nous pouvons avoir un résumé sur les états de ces hôtes et tous les groupes d’hôtes à travers

le module « analysis/availability/monitoring »cette figure :

Figure 52:Sommaire des états des groupes d'hôtes

De même pour les services, nous pouvons afficher les informations de leurs états :

79


Figure 53:Détails du statut des services des hôtes

Finalement, nous pouvons dire que Nagios est vraiment l’un des meilleurs logiciels de

supervision de réseau (hôtes et service), vu les informations détaillées que nous avons

rencontrées lors de cette étude sur la plateforme OSSIM.

h) Configuration :

Dans ce module, la configuration de quelques paramètres d’OSSIM, le framework, les agents

et leurs plugins récupèreront ces différentes informations et la plateforme fonctionne suivant

le choix de l’administrateur à travers ces paramètres.

Voici les interfaces correspondantes :

Figure 54:Configuration simple des paramètres d'OSSIM

80


Figure 55:Configuration avancée des paramètres d'OSSIM

En cliquant sur n’importe quel paramètre, une figure s’affiche pour donner les caractéristiques

de ce paramètre à configurer (par exemple numéro de port pour vulnerability scanner, chemin

de destination de fichier de log,..).

Conclusion :

Dans ce chapitre, pour la réalisation de notre projet, nous avons tous d’abord présenté

l’environnement de dévéloppement c'est-à-dire l’environnement matériel et logiciel .

Puis l’étude pratique de la plateforme OSSIM et la mise en place de la solution au sein de la

société d’acceuil en décrivant son installation et sa configuration ,et ceci en présentant

l’interface web d’OSSIM avec ses principales modules de fonctionnalités intégrées au sein de

la solution, tout en présentant ce que nous avons testé comme fonction avec les commentaires

et les interfaces correspondants,récupérées lors de cette étude .

81

Conclusion générale


Notre projet de fin d’études a porté sur l’étude et la mise en place d’une plateforme Open

Source de surveillance réseaux et système, le long du duré de ce stage au sein de la société

d’accueil SACEM industries.

Tout au long de ce travail, nous étions amenées à faire quatre grandes parties :

La première partie est une présentation du cadre du projet : c’est la présentation de la société

d’accueil SACEM industries ainsi que l’étude de l’existant du système d’information de la

société, en présentant ce système avec ses divers composants (matériels/logiciels, architecture

du réseau ,..) et en présentant la stratégie de sécurité informatique suivie et ses différents

caractéristiques (politique de sécurité, moyens de protection, etc..) ,pour finir par l’élaboration

d’une petite synthèse sur les inconvénients de ce système informatique. Ce qui nous a permit

de dégager des interprétations importantes à travers les recommandations établies, visant donc

à mieux encadrer notre travail par la suite :

Ce que nous avons constaté au sein de la société, c’est que la SACEM garde bien une

politique de sécurité informatique assez bonne mais le problème c’est qu’elle contient

quelques failles qui peuvent être un peu menaçantes vis-à-vis de son système informatique.

Ces interprétions se résument en la nécessité primordiale d’un système de management et de

sécurité de l’information ayant pour but de renfoncer la sécurité informatique du système

d’information du réseau de l’entreprise et de maintenir le suivi quotidien des activités réseaux

avec la gestion instantanée des alertes et des incendies pouvant être survenus .

D’où la nécessité de la centralisation de ce système afin qu’il puisse gérer tous ses besoins

retrouvés au sein de la société.

En deuxième partie, nous avons réalisé une étude approfondie sur la supervision et

l’administration des réseaux, et sur quelques solutions libres conçues essentiellement pour

assurer ces fonctions.

83


Cette étude nous a permis de faire une description détaillée des réseaux informatiques en

général et plus précisément du concept de supervision et d’administration de système

d’information et ce, dans l’objectif de spécifier les intérêts qu’elle apporte sur la gestion

efficace du système d’information. Puis nous avons défini quelques terminologies principales

de la sécurité informatique en parlant sur les différents risques que peuvent rencontrer les

entreprises et évidemment la manière à s’en protéger.

Et en fin nous avons présenté quelques solutions libres de surveillance réseau

( Nagios ,Zabbix et OSSIM) en présentant pour chacune d’elle son architecture et principe de

base, ses avantages et ses inconvénients .

Et à partir de cette étude, nous avons effectué le choix d’une solution, parmi celles que nous

avons étudiées, et la faire implémenter au sein de la société. Selon les critères de besoins

établis déjà au cours de notre étude de système d’information. Ce choix était donc la solution

OSSIM.

En troisièmes partie nous avons faire une spécification de besoins qui décritles besoins

auxquels doit répondre notre solution :

- Les besoins fonctionnels :expriment l’actionque doit effectuer le système en réponse à

une demande.

- les besoins non fonctionnels expriment les besoins d’utilisabilité,les Besoins de

performance, les Besoins de disponibilité/fiabilité, lesBesoins de sécurité, lesBesoins

matériels, lesBesoins de déploiement …

En dernière parties, nous avons décritla réalisation de notre projet au sein de la société

d’accueil SACEM :

Nous avons fait tous d’abord une description de l’environnement de développement de notre

solution c'est-à-dire de présenter l’environnement matériel et logiciel ainsi que les outils de

développement utilisés.

Puis nous avons enchainé avec la partie pratique : c’est-à-dire la mise en place de cette

plateforme : nous avons effectué alors les tests nécessaires des différentes fonctionnalités

régies par OSSIM.

84


Tous au long de cette partie, nous avons remarqué que OSSIM réalise divers fonctionnalités

importantes de gestion de système d’informations telles que :

- La surveillance des équipements réseaux (hôtes, serveurs,…)

- La gestion des composants du système

- La gestion parfaite et instantanée des activités et des événements survenues au sein du

réseau

- La gestion des anomalies et des incendies

- La gestion en temps réel des alertes ….

Tout au long la période de notre stage, nous avons eu la chance de bénéficier notre formation

de technicien supérieur en service et réseau informatique, puisque pendant cette période nous

avons pu apprendre plein de notions de sécurité informatique.

Ainsi, ce stage est une occasion pour travailler en équipe ; il permet d’avoir différents points

de vue et de les discuter, et cela est un facteur primordial pour avoir une maturité de réflexion

et de raisonnement, et surtout de nous permet de constater la différence entre la vie

professionnelle et l’idée théorique préconçu.

85

Bibliographie et nétographie

Bibliographie et Nétograhie

Nazim AGOULMINE, Omar CHERKAOUI., "Pratique de la gestion de réseau", Edition Eyrolles, 2003.

Philippe MARTINET., Rapport de stage, "Mise en œuvre d’un prototype d’architecture OSSIM", 2006.

Yves LESCOP., "Sécurité", http://yelscop.free.fr/mrim/cours/securite.pdf,2002.

http://www.editions-eyrolles.com/Livre/9782212112597/pratique-de-la-gestion-de-reseau

http://www.philippe-martinet.info/ossim-project/Rapport-OSSIM-Philippe-Martinet.pdf


http://www.securinets.com/sites/default/files/tuto_pdf/ossim.pdf


http://www.isima.rnu.tn/pages%20fr/telechargement/Presentation%20open%20sourcex.pdf

http://communities.alienvault.com/

http://www.zabbix.com/

http://www.nagios.org/

http://www.alienvault.com/docs/wiki/docu.php?id=installation

http://fr.wikipedia.org/wiki/Supervision

87

http://fr.wikipedia.org/wiki/Supervision

http://www.alienvault.com/docs/wiki/docu.php?id=installation

http://www.nagios.org/

http://www.zabbix.com/

http://communities.alienvault.com/

http://www.isima.rnu.tn/pages%20fr/telechargement/Presentation%20open%20sourcex.pdf





http://www.editions-eyrolles.com/Livre/9782212112597/pratique-de-la-gestion-de-reseau

http://yelscop.free.fr/mrim/cours/securite.pdf,2002


ANNEXES

ANNEXE1 :fichiers de configuration de serveur OSSIM

/etc/ossim/server/config.xml

ANNEXE2 :fichiers de configuration de l’agent OSSIM

/etc/ossim/agent /config.gc

88


Fichier de configuration de serveur OSSIM

/etc/ossim/server/config.xml

< ?xml version= 1.0 encoding= UTF-8 ?>

=<config>

<log filename=”/var/log/ossim/server.log” />

<framework name= “alienvault” ip=”127.0.0.1” port=”40003” />

=<datasource>

<datasource name= “ossimDS” provider “MySQL”

Dsn=”PORT”=3306;USER=root;PASSWORD= ;DATABASE=alienvault;HOST=localhost” />

<datasource name= “snortDS” provider “MySQL”


<datasource name= “osvdbDS” provider “MySQL”


</datasource>

<directive filename=”/etc/ossim/server/directive.xml” />

<scheduler interval=”15” />

<server port=”40001” name=”ossim” ip=”0.0.0.0” />

</config>

89


Fichier de configuration de l’agent OSSIM

/etc/ossim/agent/config.cfg

[daemon]

Daemon=true

Pid=/var/run/ossim-agent.pid

[event-consolidation]

By_lpugin=1001-1150,1501-1510,4001-4010

Enable=false

Time=10

[log]

Error=/var/log/ossim/agent_error.log

File=/var/log/ossim/agent.log

Stats=/var/log/ossim/agent_stats.log

Verbose=info

[output-csv]

Enable=false

File= var/log/ossim/agent-events.csv

[output-db]

Base=ossim_events

Enable=false

Host=localhost

90


Pass=yoursecretpassword

Type=mysql

User=root

[output-plain]

Enable=false

File=/var/log/ossim/agent-plain.log

[output-server]

Enable=true

Ip=192.168.1.10

Port=40001

[plugin-defaults]

Date_format=%Y-%m-%d%H:%M:%S ;format, not date itself

Interface=eth0

Ossim=eth0

Ossim_dsn=mysql:localhost:ossim:root:RckkYUIXnfg

Sensor=192.168.1.10

[plugins]

Arpwatch=/etc/ossim/agent/plugins/arpwatch.cfg

Iptables=/etc/ossim/agent/plugins/iptables.cfg

nagios=/etc/ossim/agent/plugins/nagios.cfg

nmap=/etc/ossim/agent/plugins/nmap-monitor.cfg

ntop=/etc/ossim/agent/plugins/ntop-monitor.cfg

osiris=/etc/ossim/agent/plugins/osiris.cfg

ossim-ca=/etc/ossim/agent/plugins/ossim-monitor.cfg

p0f=/etc/ossim/agent/plugins/p0f.cfg

pads=/etc/ossim/agent/plugins/pads.cfg

91


pam_unix=/etc/ossim/agent/plugins/pam_unix.cfg

rrd=/etc/ossim/agent/plugins/rrd.cfg

snare=/etc/ossim/agent/plugins/snare.cfg

snort=/etc/ossim/agent/plugins/snortunified.cfg

ssh=/etc/ossim/agent/plugins/ssh.cfg

sudo=/etc/ossim/agent/plugins/sudo.cfg

[watchdog]

Enable=true

Interval=30

Restart_interval=3600; second betweenplugin process restart

92

Documents

Rapport PFE Final