Dpartement : STIC

RAPPORT DE STAGE TECHNICIEN

Stage ralis par : Melek Aissa

Classe : L3-SR C
Entreprise dAccueil : ATI
Priode :

03/08/2016 02/09/2016

Anne Universitaire : 2016-2017

Remerciement
Avant de procder la prsentation de ce rapport, je tiens remercier la direction
de mon institut LISETCOM qui ma offert la chance deffectuer ce stage afin
dappliquer mes connaissances thoriques par une exprience pratique et de dcouvrir
lenvironnement professionnel.

Je voudrais galement exprimer ma reconnaissance envers Mr. Ramzi MEFTEH

qui ma encadr pendant ce projet avec beaucoup de disponibilit.

Je voudrais tmoigner par la suite ma reconnaissance tous les personnels

spcialement Mr. Ramzi JHIMI qui mont galement fait bnficier de leurs conseils et
de leurs expriences.

Table des matires

Introduction Gnrale ..................................................................................... 1
Chapitre 1 : Prsentation gnrale de lATI ...................................................... 2
1.

Introduction ............................................................................................. 2
1.1

Organisme daccueil .................................................................................... 2

1.1.1
1.1.2

1.2

2.

Le systme des tlcommunications en Tunisie .........................................................2

Prsentation de lATI ...................................................................................................3

Travail faire .............................................................................................. 5

Conclusion ................................................................................................ 5

Chapitre2 : tude thorique ............................................................................. 6

1.

Introduction ............................................................................................. 6

2.

La virtualisation ........................................................................................ 6
2.1

Introduction ............................................................................................... 6

2.2

Proxmox VE (Virtual Environment) .............................................................. 7

2.2.1
2.2.2

2.3

VMware vSphere ESXi 6 .............................................................................. 8

2.3.1
2.3.2

2.4

3.

Introduction .................................................................................................................7
Caractristiques ...........................................................................................................7
Introduction .................................................................................................................8
Fonctionnalits ............................................................................................................8

Solution choisie .......................................................................................... 9

Supervision rseau .................................................................................. 10

3.1

Introduction la supervision rseau .......................................................... 10

3.1.1
3.1.2
3.1.3
3.1.4

3.2

tude comparative des solutions Open-Source .......................................... 12

3.2.1

4.

Principe ......................................................................................................................10
Superviser quoi ? .......................................................................................................11
Objectifs .....................................................................................................................11
Mthodes de supervision ..........................................................................................11
Outils de supervision .................................................................................................12

Dtection dintrusion .............................................................................. 15

4.1

Introduction ............................................................................................. 15

4.2

Systmes de dtection dintrusion............................................................. 15

4.2.1
4.2.2

4.3

tude comparative des solutions Open Source........................................... 17

4.3.1
4.3.2
4.3.3
4.3.4

5.

Mode de fonctionnement .........................................................................................15

Types des IDS .............................................................................................................15
Outil de dtection dintrusion ...................................................................................17
Prsentation des solutions ........................................................................................17
Rcapitulatif des IDS ..................................................................................................19
Choix de la solution adopte .....................................................................................20

Conclusion.................................................................................................... 20

Chapitre 3 : Tches Effectues (Installation et configuration) ......................... 21

1.

Introduction ........................................................................................... 21

2.

Installation et configuration de Zabbix .................................................... 21

2.1
2.1.1
2.1.2
2.1.3

3.

Configuration du serveur Zabbix ...............................................................................22

Configuration de la base de donnes Zabbix .............................................................23
Configuration du serveur apache2 ............................................................................24

2.2

Ajout dune station ................................................................................... 25

2.3

Screens et Graphes ................................................................................... 27

2.4

Maps ........................................................................................................ 28

Installation dOSSEC................................................................................ 29
3.1

Tlchargement et vrification dOSSEC .................................................... 29

3.2

Installation dOSSEC .................................................................................. 31

3.2.1

4.

Installation de serveur Zabbix ................................................................... 21

Installation de linterface web ...................................................................................33

Conclusion .............................................................................................. 34

Conclusion Gnrale ...................................................................................... 35

Bibliographie ................................................................................................. 36

Liste des Figure

Figure 1 : Interface Web Proxmox --------------------------------------------------------- 9
Figure 2 : Hosts -------------------------------------------------------------------------------- 27
Figure 3 : CPU Load pour zabbix server agent--------------------------------------- 27
Figure 4 : Usage de mmoire pour Agent1 -------------------------------------------- 28
Figure 5 : Exemple dune Map ------------------------------------------------------------- 29

Liste des tables

Tableau 1: Tableau comparatif des outils de supervision ............................ 14
Tableau 2: Tableau comparatif des solutions de dtection dintrusion ....... 19

Introduction Gnrale

Introduction Gnrale
A lheure actuelle, les systmes dinformation ne cessent dvoluer et leur
utilisation devient de plus en plus importante. Cependant, la complexit de la
maintenance et de la gestion de ces systmes augmente de jour en jour et la surveillance
de son bon fonctionnement et de sa scurit doivent tre garanti. Ces systmes ont
bien mrit leur place au sein des entreprises dans lesquels ils sont devenus
indispensables.
Dans ce cadre sinscrit notre projet qui consiste raliser une tude sur les
solutions libres des supervisions rseaux et des systmes de dtection dintrusions et
de les installer au sein dun rseau local sur un serveur.
Le prsent rapport sera compos de quatre chapitres :
Dans le premier chapitre, lorganisme daccueil, qui nous a accueillis durant notre
priode de stage, sera prsent en rappelant les produits et les services quil offre.
Le second chapitre sera ddi lenvironnement virtuel que nous avons utilis,
la supervision et la dtection tout en rappelant le concept de supervision et
dadministration des rseaux, les mthodes de dtection des intrusions et les types des
IDS, une tude comparative sera ralise sur les systmes de supervision, et sur les
systmes de dtection dintrusion.
Le troisime chapitre sera consacr linstallation et la configuration de loutil
choisi pour la supervision et du systme de dtection dintrusion choisi.

Prsentation gnrale de lATI

Chapitre 1 : Prsentation gnrale de lATI

1. Introduction
Dans ce chapitre nous prsenterons en premier lieu notre organisme daccueil ATI
(Agence Tunisienne dInternet) et les diffrents composants de son rseau.

1.1

Organisme daccueil

1.1.1

Le systme des tlcommunications en Tunisie

Le systme des tlcommunications en Tunisie est compos essentiellement de

Ministre des technologies des communications

Les fournisseurs daccs Internet

Les fournisseurs pour rseau communautaires : ATI, CNTE, CCK,
CIMSP, IRESA, Ministre de la jeunesse et du sport et le Ministre de
la Dfense.
Les fournisseurs privs : 3S Global net, Orange Tunisie, Topnet,
Ooredoo, Hexabyte et Tunisie Tlcom

Les autres organismes des tlcommunications : CERT et ANF

En plus des organismes officiels et privs, le systme des tlcommunications en

Tunisie comporte des institutions denseignement tel que linstitut suprieur des tudes
technologiques en communication et lcole suprieure des tlcommunications.
La rpartition des abonnes Internet par secteur est comme suit :

FSI privs : 52%

Education : 21%
2

Prsentation gnrale de lATI

Les universits et la recherche scientifique : 16%

Les administrations publiques : 8%

La sant publique : 2%

Agriculture : 1%

1.1.2 Prsentation de lATI

L'Agence Tunisienne d'Internet (ATI) a t cre en mars 1996 pour jouer le rle
d'Oprateur National pour les services Internet et promouvoir les services Internet en
Tunisie et opre sous la tutelle du Ministre des Technologies de linformation et de la
communication.
Elle est compose, comme toute autre institution, de trois directions : une
direction gnrale, une direction administrative et financire et une direction technique.
La direction technique et divise en quatre sous directions :
La sous-direction dexploitation des rseaux :
Cest la sous-direction cl de lagence, elle reprsente le corps ATI IXP . En
effet, elle a pour mission:

Gestion, suivi, supervision et optimisation du cur du rseau tunisien

Interconnecter les fournisseurs de services Internet privs et les fournisseurs

de services Internet pour les rseaux communautaires entre eux dune part et
entre ces intervenants et ltranger dautre part

Coordination, suivie et rsolutions des pannes avec les diffrents intervenants

Le dveloppement de la stratgie et des nouvelles applications et services

d'Internet en Tunisie

Prsentation gnrale de lATI

La contribution la mise en place des rseaux nationaux (rseau de l'ducation,

rseau de la sant, rseau de l'agriculture...)

La sous-direction de gestion des ressources Internet :

Elle a pour mission :

Maintenir le DNS national

La gestion et l'enregistrement des noms de domaines sous le domaine TN,

La gestion des ressources IP

La sous-direction des services :

Elle reprsente le corps ATI FSI, elle traite uniquement avec les organismes
caractre gouvernemental (ministre, agence sous tutelle, office, ). En effet, elle a
pour mission:

Fourniture des accs Internet

L'hbergement dapplications web

La gestion du courrier lectronique

La sous-direction scurit et veille technologique :

Cest la sous-direction qui mit au jour lactuelle ANSI. Il a pour mission :

Assurer la scurit des diffrentes composantes de lATI

Suivi et mise en place des maquettes des technologies innovantes

L'organisation de sminaires et formations sur les technologies d'Internet.

Prsentation gnrale de lATI

1.2 Travail faire

Notre projet consiste mettre en place une plateforme de monitoring base sur
des outils open source pour superviser un rseau local sur un serveur. Un tel projet a
pour but de faciliter le diagnostic et la maintenance des machines et danticiper leurs
disfonctionnement. Cette solution doit tre capable de dterminer ltat de toutes les
machines de notre serveur. Si une anomalie est dtecte, la cause du problme doit tre
aussitt identifie et une alerte est gnre grce un IDS.

2. Conclusion
Au cours de ce chapitre, nous avons prsent lorganisme daccueil qui a adopt
ce projet. Puis une petite description de notre projet a t introduite.
Dans le chapitre qui suit nous allons prsenter lhyperviseur quon a utilis comme
environnement de travail. Par la suite nous allons entamer la partie supervision rseaux
et dtection dintrusions.

tude Thorique

Chapitre2 : tude thorique

1. Introduction
Dans ce chapitre, une explication de la virtualisation et des hyperviseurs aura lieu
et Une tude dans laquelle les caractristiques des systmes de supervision et de
dtection dintrusion seront traites.

2. La virtualisation
2.1 Introduction
Depuis quelques annes, la virtualisation a pris une place importante dans les
services informatiques. De plus en plus dentreprises privilgient cette mthode qui
consiste excuter un ou plusieurs systmes dexploitation sur la mme machine.
Mme si un hyperviseur est assez couteux, ce dernier se rvle tre un trs bon
investissement puisquil permet d'augmenter les performances de votre infrastructure
tout en ralisant des conomies :

Electricit (Seul le serveur physique utilisera le courant lectrique)

Cot de maintenance (Plus quun seul serveur physique grer)

Gain de place

Meilleure flexibilit

Moins de gaspillage de ressources inutilises [1] ([1][4], 2015) ([1][4],

2015)
6

tude Thorique

2.2 Proxmox VE (Virtual Environment)

Qu'elle est donc le logiciel qui se cache derrire un nom qui ne veut pas dire grandchose ? Un environnement de virtualisation !

2.2.1 Introduction
Proxmox Virtual Environment est une solution de virtualisation Open Source
base

sur

l'hyperviseur Linux KVM,

un hyperviseur est

une

plate-forme

de virtualisation qui permet plusieurs systmes d'exploitation de travailler sur une

mme machine physique en mme temps. [2]

2.2.2 Caractristiques

Proxmox Propose 2 types de virtualisation :

virtualisation matrielle (ou complte) : KVM : permet la virtualisation de
tout systme d'exploitation sur des processeurs d'architectures x86_64
disposant des technologies Intel VT ou AMD-V.
virtualisation par container : LXC : permet la cration d'instances de
systme d'exploitation isoles, Linux uniquement, appeles Serveurs
Privs Virtuels (VPS), environnements virtuels (VE) ou Containers. Cette
solution est plus performante (consomme moins de ressources) qu'une
virtualisation matrielle du fait du peu d'overhead.

Il s'administre via une interface web, et peut trs facilement ce scripter via les
outils intgrs.

gratuit

tude Thorique

2.3 VMware vSphere ESXi 6

2.3.1 Introduction
VMware ESXi est le premier hyperviseur bare-metal ddi du march. ESXi
sinstalle directement sur votre serveur physique, ce qui permet de partitionner ce
dernier en plusieurs serveurs logiques appels machines virtuelles. Les clients peuvent
utiliser VMware ESXi avec ldition gratuite de vSphere Hypervisor ou dans le cadre
dune dition payante de vSphere. [3]

2.3.2 Fonctionnalits
Un serveur vSphere ESXi 6 peut prendre en charge jusqu' 1024 machines
virtuelles et peut supporter jusqu' 480 CPU, 6 TB de RAM et jusqu' 2048 disques
durs virtuels par hte.
Une Machine Virtuelle peut supporter jusqu' 128 CPU virtuels, 4 TB de
mmoire vive et des disques virtuels jusqu' 62 TB.
Outre la cration de machine virtuelle, vSphere ESXi dispose de nombreuses
fonctionnalits qui permettent de grer au mieux les diffrentes VMs. Parmi ces
fonctionnalits, on trouve le :
vMotion : vMotion est une fonctionnalit permettant la migration chaud (sans
avoir teindre la VM) entre 2 htes ESXi. Ainsi lors d'une opration de maintenance,
il n'y a plus d'interruption de service. Il existe le mme principe pour la partie stockage
des VM (Storage vMotion)
vSphere HA : High Avaibaility est une fonctionnalit permettant un redmarrage
automatique des VM aprs une panne sur l'hte.

tude Thorique

vShield Endpoint : c'est un systme d'antivirus/antimalware permettant de

scuriser les VM sur l'hte.[4]

2.4 Solution choisie

Proxmox et Esxi6 ont de nombreux points communs tels que le type (bare
metal), disponibilit, max (RAM et CPU) par utilisateur, etc... Mais proxmox est non
seulement plus rcent quEsxi6, mais aussi il est open source qui le rend attractif pour
les entreprises le dcouvrir.
Alors nous avons mis en place proxmox comme hyperviseur, pour accder
linterface proxmox il faut taper ladresse IP de serveur suivit du port, dans ce cas on
a 41.231.22.180 :8006 . Aprs jai cr deux machines virtuelles ubuntu et Agent1
les deux avec lOS Linux ubuntu.

Figure 1: Interface Web Proxmox

tude Thorique

3. Supervision rseau
3.1 Introduction la supervision rseau
3.1.1 Principe
Dans un systme informatique, la supervision rseau [5] ([5], 2013)est devenue
une opration indispensable qui peut conomiser beaucoup dargent en amliorant les
performances du rseau, le cout de linfrastructure et la productivit des employs.
Un systme de supervision rseau a comme tche principale de trouver les
problmes dans un rseau local tel que : station non connecte, serveurs hors service,
modification dun fichier important, etc.
La supervision rseau ne peut tre ralise quen utilisant une varit de logiciels
ou une combinaison de solutions software et hardware. Nimporte quel rseau
peut tre supervis, que a soit filaire, sans fil, VPN ou mme WAN. Il est possible de
raliser la supervision des machines sous nimporte quel systme dexploitation
(Windows, Linux, Cisco IOS. . .)
Les systmes de supervision rseau diffrent des systmes de dtection dintrusion
(IDS) ou des systmes de prvention dintrusions (IPS). Ces derniers dtectent et
bloquent les activits des utilisateurs non autoriss dans le rseau.

Par ailleurs, il sagit dune opration complexe et compose de plusieurs activits

Complmentaires :
Surveiller (ltat des machines, les statuts des services. . .),
Analyser (des logs),
Visualiser (des graphes),
10

tude Thorique

Agir (actions, scripts . . .),

Alerter (par SMS / mail), etc.

3.1.2 Superviser quoi ?

Un systme de supervision rseau permet de superviser un ensemble de
composants physique et logique dun systme dinformation :
Le rseau et ses quipements : Commutateurs, routeurs, serveurs, onduleurs,
imprimantes...
Systmes : Utilisations des ressources (CPU, mmoires . . .).
Applications : Disponibilit des services, performances . . .

3.1.3 Objectifs
Lobjectif de la supervision se rsume principalement en :
tre ractif en envoyant une notification ladministrateur du rseau en cas de
problme technique dans une partie du rseau.
tre proactif en anticipant les pannes et les scnarios possibles
Viser les vnements ds leurs apparitions afin dagir avec pertinence.

3.1.4 Mthodes de supervision

Pour effectuer une supervision sur un systme dinformation, on utilise plusieurs
mthodes :
Analyse des fichiers logs : Il sagit de collecter des informations sur un systme,
un service ou une application partir de son fichier log.
Commandes : Il sagit de rcuprer le rsultat dune commande (Ping,
traceroute..) ou dun script. a peut tre des scripts locaux ou distants.
11

tude Thorique

A laide dun agent (Zabbix-agent, shinken-agent . . .).

Via SNMP.

3.2 tude comparative des solutions Open-Source

3.2.1 Outils de supervision
Dans cette partie du chapitre, nous allons tudier deux solutions libres (Open
source) de supervision, en prsentant chaque solution et en mentionnant leurs
avantages et leurs inconvnients. [6]

3.2.1.1 Prsentation des solutions

Nagios
Langage : C/PHP
URL : https ://www.nagios.org/downloads
Nagios est un systme de supervision rseau, dvelopp par Ethan Galstad ds
1999 et est actuellement en sa version 4.1.1. Ce logiciel fonctionne sous linux et la
plupart des systmes UNIX.
Il se dcompose en trois parties :
Le moteur de lapplication qui soccupe de lordonnancement des tches de
supervision.
Linterface Web, qui permet la visualisation des informations.
Les plugins, un ensemble des minis programmes qui compltent Nagios
Il possde plusieurs fonctionnalits, nous en citons quelques-unes :
Envoi des avertissements et des alarmes par courrier lectroniques ou par sms.
Rcupration des informations du rseau et des quipements.
Surveillance des services rseaux (HTTP/ ICMP/SMTP...).
12

tude Thorique

Surveillance des ressources matrielles (stations / quipements rseaux . . .).

Gnration des rapports de fonctionnement des services, etc.

Zabbix
Langage : C/C++/PHP
URL : http://www.zabbix.com/download.php
Zabbix [AND_13] est un logiciel open source de supervision des rseaux
dveloppe en C en 2002. Son interface web est dveloppe en php et en javascript. Il
se compose de quatre parties :
Zabbix Server, cest le composant principal. Il soccupe de la supervision
distance ou local.
Zabbix Frontend, cest linterface web de Zabbix. Il permet de visualiser les
vnements.
Zabbix Proxy, cest le collecteur des informations.
Zabbix Agent, offre une supervision active des ressources locales de la machine
ou il est install.
Ces principales fonctionnalits :
Rcolte des informations Via SNMP, tests services et agents Zabbix.
Supervision rpartie du rseau et surveillance des stations et des serveurs web,
mail
Rcolte des informations depuis les agents installs sur les machines superviser.
Visualisation de ltat du rseau et de ces quipements laide dune interface
graphique web.
Cration et visualisation de la cartographie du rseau.
13

tude Thorique

Dcouverte des serveurs et des quipements rseau dune manire automatique,

etc.

3.2.1.2 Rcapitulatif des outils de supervision

Tableau 1: Tableau comparatif des outils de supervision

Avantages

Inconvnients

Nagios

+Trs bien document.

+Extensible.
+Fiable et robuste.
+Une large
communaut.
+Un trs grand nombre
de plugins
disposition.

-Complexit de
paramtrage : il
faut passer par la
configuration
textuelle.
-Interface web non
ergonomique et manque
de visualisation
graphique.

Zabbix

+Une application
complte.
+Trs bien document.
+Linterface de
supervision et de
configuration sont plus
claires et
plus intuitive que celui
de Nagios.
+Lagent peut lancer des
scripts
afin de collecter de
linformation.

-Lagent zabbix envoie

par dfaut en claire les
informations.
-Pas facile utiliser pour
un simple utilisateur.
-Interface web
compliqu et plein
de fonctionnalits.

3.2.1.3 Choix de la solution adopte

Aprs avoir tabli une tude comparative sur les deux solutions libres de
supervision proposes ci-dessus, nous avons dcid de mettre en place la solution
Zabbix. Cest la solution la plus convenable parce quelle rpond fidlement aux
besoins de lentreprise est plus simple utiliser.
14

tude Thorique

4. Dtection dintrusion
4.1 Introduction
Les systmes de dtection dintrusion, ou souvent appels IDSs, sont devenus des
composants essentiels dans les offices de scurit et de ladministration rseau.
Cependant beaucoup dexperts en scurit rseaux ignorent les avantages quoffrent
ces systmes.

4.2 Systmes de dtection dintrusion

4.2.1 Mode de fonctionnement
Comme son nom lindique un systme de dtection dintrusion est fait pour
dtecter les intrusions, cest dire quil a pour but de dtecter les attaques ciblant les
quipements du rseau et alerter les personnes concernes. Un IDS install dans un
rseau peut tre compar un systme dalarme install dans une maison. travers les
diffrentes mthodes, ces deux systmes dtectent les intrusions et envoient une sorte
de signal dalarme spcifique.
Un IDS peut tre configur afin de pouvoir travailler en coopration avec un
firewall qui vise contrler le trafic. Il ne faut pas confondre ces deux outils de scurit.
Un firewall essaye de stopper les attaques et les accs interdits, il est souvent plac dans
la premire ligne de dfense. Alors que lIDS dtecte si oui ou non le rseau est
attaqu.[7]

4.2.2 Types des IDS

4.2.2.1

Les HIDS (Host-Based IDS)

Les HIDS [7] sont les tous premier IDS avoir t dvelopps et implments.
Ce systme collecte et analyse les donnes dun hte qui offre un service tel que service
15

tude Thorique

web ou base de donnes. Une fois que les donnes sont collectes, elles seront
analyses par un agent localement ou elles seront envoyes vers une autre machine
ddie cette tche.
Le HIDS peut tre sous la forme dun programme qui est install sur un systme
dexploitation afin danalyser les fichiers logs ou les fichiers des rsultats daudit. Ce
programme est trs efficace contre les diffrentes attaques connues sur les machines,
il est capable de dtecter les backdoors et les rootkits . Aussi, il est capable de
dtecter les modifications interdites des fichiers importants.
Cependant, il ne sagit pas dun systme idal. Le HIDS a un grand inconvnient,
il peut tre dtect facilement par le hacker et il peut lui bloquer la collection des
donnes, il deviendra alors inutile.
Exemple :
OSSEC-HIDS : Il sagit un HIDS open-source, il est capable danalyser les logs,
vrifier lintgrit des fichiers, dtecter les rootkits et envoyer des alertes en temps
rels. Cest le HIDS open-source le plus utilis.
4.2.2.2 Les NIDS (Network-Based IDS)
Cest un type dIDS qui est capable dcouter sur le rseau, sniffer le trafic et
analyser les paquets. Ces paquets seront examins par le NIDS [7] et compars avec
des donne suspectes pour vrifier sils sont malicieux ou bien non. Les NIDS sont
responsables de la scurit de tout un rseau et non pas dune seule machine comme
le cas dun HIDS. Ils sont plus distribus.
Au lieu de collecter les donnes depuis les machines, les NIDS les collectent
depuis les paquets sniffs sur le rseau. Cette surveillance des connexions entre les
16

tude Thorique

terminaux rend le NIDS efficace en dtection des tentatives des intrusions et des accs
interdits. Il est capable de dtecter les accs non autoriss dans le rseau.
Comme tout systme, le NIDS a ses propres dfauts : il ne peut pas sniffer tous
les paquets si le dbit du rseau est trop lev. Aussi, il ne peut pas dtecter les
intrusions si les paquets contenant les payloads sont trs bien chiffrs.
Exemples :
Snort : Cest un NIDS Open-Source, il a t dvelopp par sourcefire . Cest
le pre des NIDS. Il peut aussi jouer le rle dun IPS (Intrusion Prevention system). Il
est le plus utilis.

4.3 tude comparative des solutions Open Source

4.3.1 Outil de dtection dintrusion
Dans cette partie du chapitre nous allons raliser une tude de deux systmes de
dtection dintrusion libres, en prsentant chaque solution et en mentionnant leurs
avantages et leurs inconvnients.

4.3.2 Prsentation des solutions

SNORT
URL : https ://www.snort.org/downloads
Snort est un systme de dtection et de prvention dintrusion open source conu
en 1997 par Marty Roesh et rachet par SourceFire. Il a le pouvoir dinteragir avec le
pare-feu pour bloquer les intrusions en jouant le rle dun IPS (Intrusion Prevention
System) en ajoutant des plugins ddis spcifiques tels que Snort natif et Snort-inline.
Il utilise des rgles bases sur les signatures, les protocoles et linspection danomalie.
17

tude Thorique

Il offre aussi la possibilit de crer ses propres rgles et plugins. Cest le NIDS le plus
dploy, il est mme devenu un standard des NIDS et des IPS.
Il joue cinq principaux rles :
Packet sniffer : Il effectue lcoute de rseau dans les diffrents niveaux.
Packet logger : Il enregistre les logs dans une fichier texte.
Alarm correlator : Il gre les notifications et les alertes.
Detection engine : Il soccupe de la dtection des menaces.
Pre-processor/Packet decoder : Il prpare les informations afin quils soient
lisibles.

Il possde un ensemble de caractristiques, nous en citons :

Open source
Petite taille : ~800K
Portable : Fonctionne sur plusieurs OS : linux, Windows, MacOS X, etc)
Rapide : Il dispose dune vitesse de dtection trs rapide( ~100MBps)
Configurable : Son configuration est facile et la langage de ses rgles est simple.
OSSEC
URL: http://ossec.github.io/downloads.html
Cest un systme de dtection dintrusion (en anglais: IDS) ou, plus exactement,
un Host IDS cest dire un analyseur de journaux qui reoit en temps rel les
logs des serveurs sur lesquels on a install un agent et qui va agir en fonction de rgles
prdfinies.

18

tude Thorique

OSSEC est crit en C, donc simple installer et peu gourmand en ressources. Il

fonctionne sous Linux et Windows, se configure rapidement contrairement snort,
en particulier, il retourne peu de faux positifs grce une interface dadministration
base sur splunk offrant une vue densemble simple et extensible. Il vient avec des
fonctions de dtection de rootkit et de vrification dintgrit de fichiers. Enfin, il est
libre et gratuit.
Nous utilisons principalement OSSEC pour :
arrter les attaques de type force brute (sur du ssh, des pages de connexion Web,
des services de courriel POP ou IMAP, etc.).
Mcanisme de prvention actif (lancement de rgle iptables par exemple)
Vrification de l'intgrit des fichiers systmes.
avoir une vue globale (et go localise) de ce qui se passe.[8]

4.3.3 Rcapitulatif des IDS

Tableau 2: Tableau comparatif des solutions de dtection dintrusion

Avantages

Inconvnients

Snort

+Une trs grande

communaut.
+Mise jour rgulire de la
base de signatures.
+Nombreux plugins
documentations riches.
+Logiciel libre.

-Les sondes nids

peuvent tre
vulnrable.
-Ncessite une tude
avant le
placement des sondes.
-Nombreuses
fonctionnalits
payantes.

Ossec

+Compatible avec
plusieurs
autres outils.
+Il intgre les
fonctionnalits

-La base de donnes

des signatures
est moins riche que
celle de snort.
19

tude Thorique

NIDS e HIDS.
+Scanne de vulnrabilits.
+Format normalis.
+Logiciel libre.

4.3.4 Choix de la solution adopte

Aprs avoir tudi les deux solutions de dtection dintrusion, nous avons opt
pour OSSEC. Il sagit dune solution complte et facile personnaliser et qui rpond
aux besoins de lorganisme daccueil.

5. Conclusion
Au cours de ce chapitre, nous avons vu une introduction au domaine de la
virtualisation et au domaine de supervision rseau et nous avons prsent une brve
introduction la dtection dintrusion en rappelant ses principes et ses mthodes de
fonctionnement. A la suite dans le chapitre suivant je vais dcrire mes taches effectues

20

Tches Effectues

Chapitre 3 : Tches Effectues (Installation et

configuration)
1. Introduction
Dans ce chapitre nous allons voir une description dtaille de linstallation de
zabbix sera introduite, suivi par des configurations basiques. Une description dtaille
des tapes de linstallation dOSSEC sera par la suite introduite suivi par des
configurations.

2. Installation et configuration de Zabbix

2.1 Installation de serveur Zabbix
Afin dinstaller zabbix-server (version 3.0) on doit ajouter les dpt de Zabbix
dans la liste des dpts de Ubuntu.[9]
# sudo nano /etc/apt/sources.list

Puis copier les lignes ci-dessous dans le fichier, et taper CTRL+o puis CTRL+x
pour enregistrer la modification du fichier.
# Zabbix repos
deb http://ppa.launchpad.net/tbfr/zabbix/ubuntu precise main
deb-src http://ppa.launchpad.net/tbfr/zabbix/ubuntu precise main

Pour que loutil apt-get ait confiance en ces nouveaux dpts, on excute cette
commande.
# sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys
C407E17D5F76A32B

21

Tches Effectues

Tout dabord il faut mettre jours la liste des dpts en excutant la commande
suivante.
# sudo apt-get update

En suivant les commandes en dessous on installera Zabbix-server , le serveur

apache2 et linterface web de Zabbix .
# sudo apt-get install Zabbix-server-mysql php5-mysql Zabbix-frontend-php

En cour de linstallation nous allons tre demand de saisir le nouveau mot de

passe de lutilisateur root de MySQL. Il faut bien mmoriser ce mot de passe.

2.1.1 Configuration du serveur Zabbix

Le serveur Zabbix a t install avec succs, mais il est loin dtre prt
lutilisation.
Nous allons maintenant commencer la configuration des outils installs.
Tout dabord il faut configurer le fichier de configuration principale de Zabbix.
Pour cela il faut ouvrir le fichier avec les privilges "root" :
# sudo nano /etc/zabbix/zabbix_server.conf

Il faut chercher les lignes suivants et les modifier comme ci-dessous :

DBName=zabbix // Nom de la base de donne que Zabbix va utiliser
DBUser=zabbix // Nom de lutilisateur MySQL.
DBPassword=MOT_DE_PASSE //Mot de passe de lutilisateur MySQL
Il faut sauvegarder et fermer le fichier.

22

Tches Effectues

2.1.2 Configuration de la base de donnes Zabbix

Pour rendre la cration des tables dans la base de donne de Zabbix plus facile,
les fichiers SQL sont mis en disposition et sont compresss dans ce chemin "
/usr/share/zabbixserver-mysql/". Pour les importer dans la base de donnes on doit
tout dabord les dcompresse
# cd /usr/share/zabbix-server-mysql/
# sudo gunzip *.gz

Puis nous nous connectons MySQL en tant que " root ".
# mysql -u root -p

Maintenant nous sommes connects, il faut ensuite crer un utilisateur de nom de

"zabbix" qui correspond la configuration que nous avons mis dans le fichier
zabbix_server.conf.
Pour cela il faut excuter les requtes SQL ci-dessous :
mysql > CREATE USER zabbix@localhost IDENTIFIED BY
MOT_DE_PASS;

Ensuite il faut crer la base de donne "zabbix", en excutant cette requte :

mysql > CREATE DATABASE Zabbix;

Puis, nous allons donner lutilisateur "zabbix" le contrle sur la base de donnes
"zabbix".
mysql > GRANT ALL PRIVILEGES ON Zabbix.* TO zabbix@localhost
mysql > FLUSH PRIVILEGES;
mysql > EXIT;

23

Tches Effectues

Maintenant que nous avons cre lutilisateur et la base de donnes, il faut importer
les fichier SQL que Zabbix a besoin pour son fonctionnement.

# mysql -u Zabbix -p Zabbix < schema.sql

# mysql -u Zabbix -p Zabbix < images.sql
La base de donnes de Zabbix est maintenant prte tre utilis.
# mysql -u Zabbix -p Zabbix < data.sql

2.1.3 Configuration du serveur apache2

Il faut ajuster quelques valeurs pour que php gre parfaitement les donnes de
supervision. Nous allons donc accder au fichier de configuration de php en excutant
la commande suivante.
# sudo nano /etc/php5/apache2/php.ini

Et changer les valeurs suivantes.

post_max_size = 16M
max_execution_time = 300
max_input_time = 300
date.timezone = Africa/Tunis

Il faut configurer le fichier Zabbix.conf.php comme suivant.

# sudo nano /etc/zabbix/zabbix.conf.php

Il faut configurer ce fichier avec les paramtres de connexion mysql quon a fait
rcemment.
$DB[DATABASE] = zabbix;
$DB[USER] = zabbix;
$DB[PASSWORD] = MOT_DE_PASSE;

Enregistrer et fermer le fichier. Pour rendre apache et Zabbix fonctionnent

ensembles, on doit copier lexemple de configuration dapache dans "
/etc/apache2/conf-available/".
24

Tches Effectues

# sudo cp /usr/share/doc/zabbix-frontend-php/examples/apache.conf
/etc/apache2/conf- available/zabbix.conf

La configuration dapache est maintenant termin. nous redmarrons le service.

# sudo service apache2 restart

Maintenant nous allons modifier la valeur "START" de "no" "yes" dans le fichier
zabbix-server pour que le service Zabbix se lance en dmarrage du systme.

# sudo nano /etc/default/zabbix-server

...
START=yes

On lance le service " Zabbix-server ".

# sudo service Zabbix-server start

2.2 Ajout dune station

linstallation des agents se fait par loutil apt-get.
# sudo apt-get update
# sudo apt-get install Zabbix-agent

Maintenant nous allons commencer configurer lagent.

# nano /etc/zabbix/zabbix_agentd.conf

Il faut changer 127.0.0.1 par ladresse du serveur, et la valeur de "remotecommand"

par "1".
...
Server = 127.0.0.1
...
Remotecommand=1
...
25

Tches Effectues

Aprs, on aura besoin dexcuter des commandes sur les machines agents, cest
pourquoi on a activer loption "remotecommand ". Lagent maintenant est bien install
sur la machine linux. Il faut redmarrer le service.
# sudo service Zabbix-agent restart

Il faut maintenant ajouter lagent dans la liste des htes supervisionns. Dans la
barre dadresse du navigateur on met ladresse ip du serveur Zabbix suivis par
"/zabbix". Puis on se connecte avec le compte par dfaut de Zabbix.
Username = admin
Password = Zabbix

On clique sur longlet "configuration", "hosts" puis sur "Create host". On

remplit le formulaire dajout dhte comme suit :
Hostname : Nom de la machine
Visible name : Nom Affich ajouter la machine dans "Linux Servers"
Ajouter ladresse ip de la machine
26

Tches Effectues

Cocher loption enabled pour activer la supervision sur cette nouvelle

machine.
Jai cr deux hosts pour les deux machines quon a.

Figure 2: Hosts

2.3 Screens et Graphes

Un screen est une vue compose de plusieurs graphes, champs de textes et
dautres forme de donnes qui facilite la supervision dun systme informatique.
Ci_dessous un exemple des graphes quon peut mettre dans une screen.

Figure 3: CPU Load pour zabbix server agent

27

Tches Effectues

Figure 4: Usage de mmoire pour Agent1

Pour crer un screen personnalis, il faut passer par les tapes suivantes :
Se connecter sur linterface web de Zabbix
Slectionner longlet Configuration puis Screens .
Cliquer sur Create screen .
Donner un nom la nouvelle vue, prciser le nombre des colonnes et des lignes.
Puis remplir les champs par les graphes et les donnes quon veut ajouter.
Notre nouvelle vue est maintenant prte tre utilis. Pour lexploiter il faut aller
longlet Monitoring puis Screens et choisir la vue quon veut partir de la liste
affich.

2.4 Maps
Une Map est une carte compose de plusieurs machines interconnectes. a
permet de visualiser ltat de la connexion entre les machines quy existent et dexcuter
des scripts sur une machine quelconque. Ci-dessous un exemple de carte que nous
avons cre.

28

Tches Effectues

Figure 5: Exemple d'une Map

Dans cette Map Lagent1 nest pas disponible, jai configur un trigger qui met un
lien rouge dans le cas o lagent est inaccessible pendant 5 minutes, sinon un lien vert
sil est accessible.

3. Installation dOSSEC
3.1 Tlchargement et vrification dOSSEC
Au moment de l'criture [10], la dernire dition du serveur dOSSEC est la
version 2.8.1. Pour le tlcharger, tapez:
wget -U ossec http://www.ossec.net/files/ossec-hids-2.8.1.tar.gz

Pour tlcharger le fichier de contrle (checksum), tapez:

wget -U ossec http://www.ossec.net/files/ossec-hids-2.8.1checksum.txt

Pour vrifier que les deux fichiers sont en place, tapez:

Ls l ossec*

29

Tches Effectues

Vous devriez voir les fichiers:

ossec-hids-2.8.1-checksum.txt
ossec-hids-2.8.1.tar.gz

Maintenant, nous allons examiner le fichier de contrle avec la commande de

CAT, comme ceci:
cat ossec-hids-2.8.1-checksum.txt

Rsultats attendus:
MD5(ossec-hids-2.8.1.tar.gz)=
c2ffd25180f760e366ab16eeb82ae382
SHA1(ossec-hids-2.8.1.tar.gz)=
0ecf1df09558dc8bb4b6f65e1fb2ca7a7df9817c

Maintenant, nous allons nous assurer que les checksums que nous gnrons pour
larchive correspondent aux checksums nous avons tlcharg.
Pour gnrer le MD5sum de l'archive, tapez:
md5sum ossec-hids-2.8.1.tar.gz

Rsultats attendus:
c2ffd25180f760e366ab16eeb82ae382 ossec-hids-2.8.1.tar.gz

Comparer la checksum MD5 gnr avec l'un dans le fichier de contrle. Ils
doivent correspondre.
Faites de mme pour la checksum SHA1 en tapant:
sha1sum ossec-hids-2.8.1.tar.gz

Rsultats attendus :
0ecf1df09558dc8bb4b6f65e1fb2ca7a7df9817c ossec-hids2.8.1.tar.gz

30

Tches Effectues

3.2

Installation dOSSEC
OSSEC peut tre install dans le serveur, l'agent, le mode local ou hybride. Cette

installation est conue pour surveiller le serveur o OSSEC est install. Cela signifie
une installation locale.
Avant que l'installation ait lieu, vous devez dcompresser le fichier. Vous faites
cela en tapant:
tar -zxf ossec-hids-2.8.1.tar.gz

Aprs cela, vous devriez avoir un rpertoire nomm OSSEC-hids-2.8.1. Pour

commencer l'installation, vous devez changer dans ce rpertoire, que vous faites en
tapant:
cd ossec-hids-2.8.1

Le seul fichier qui nous intresse dans ce rpertoire est install.sh. C'est le script
d'installation OSSEC. Pour lancer l'installation, tapez:
./install.sh

Installation selon la doc "Securing Your Server With A Host-based Intrusion

Detection System"

choisir la langue

Valider l'cran de rsum du systme

choisir installation type local

install dans /opt/ossec plutt que /var

alerte mail : OUI. Il doit trouver le serveur de mail partir de l'adresse

qu'on lui donne.

dmon de vrification d'intgrit (syscheck) : OUI

31

Tches Effectues

moteur de dtection de rootkit (rootcheck) : OUI

rponse active : OUI

pare-feu ? : OUI

Ajouter l'adresse fixe locale dans la white list

depuis la 2.8 : fonctionnalit syslog : NON (envoi des logs un ou

plusieurs serveurs syslog)

Puis compilation ossec...

Si l'installation russit, vous devriez voir ce type de sortie:

- System is Debian (Ubuntu or derivative).

- Init script modified to start OSSEC HIDS during boot.
- Configuration finished properly.
- To start OSSEC HIDS:
/var/ossec/bin/ossec-control start
- To stop OSSEC HIDS:
/var/ossec/bin/ossec-control stop
- The configuration can be viewed or modified at
/var/ossec/etc/ossec.conf
--- Press ENTER to finish (maybe more information below). ---

OSSEC est maintenant install. L'tape suivante est de le dmarr.

/var/ossec/bin/ossec-control start

32

Tches Effectues

3.2.1 Installation de linterface web

Essentiellement les mmes tapes seront suivies alors voici les commandes que
nous devrions utiliser pour obtenir l'interface graphique et mais il vous faudra un
serveur apache2 en tat de fonctionnement.
Pour vrifier tapez :
Service apache2 status

Si tout va bien, tapant les commandes comme suit :

wget http://www.ossec.net/files/ossec-wui-0.8.tar.gz
tar -xvzf ossec-wui-0.8.tar.gz
mv ossec-wui-0.8 /var/www/ossec-wui
cd /var/www/ossec-wui
./setup.sh
cd /var/www
sudo chown -R www-data.www-data ossec
sudo usermod -G ossec -a www-data

L'installation est termine, vous pouvez maintenant relancer apache et lancer OSSEC
sudo /etc/init.d/apache2 restart
sudo /etc/init.d/ossec start

Pour vous connecter l'interface graphique, tapez ceci dans votre navigateur :
http://localhost/ossec

L'interface est trs simple, aussi ne ncessite-t-elle pas plus d'explications

33

Tches Effectues

4. Conclusion
Au cours de ce chapitre, nous avons vu les tapes de linstallation et la
configuration de la supervision suivis par les tapes de linstallation et de la
configuration dOSSEC.

34

Conclusion

Conclusion Gnrale

our conclure, je peux dire que mon stage effectu au sein de lATI ma
offert plusieurs bnfiques.
Au-del de laspect technique, ce projet a reprsent pour moi une

exprience humaine enrichissante au sein de lATI. Il a tait une occasion pour

contacter des ingnieurs de lentreprise qui mont prodigu leurs conseils et fait
bnficier de leur exprience. En effet, ce projet ma permis de prendre des initiatives
et de me rendre compte de limportance de la communication. Prendre en charge un
tel travail ma aid dvelopper mes facults danalyse, de rflexion et de dcision.
Jai essay dans ce rapport de traduire toutes les connaissances que jai eu et les
oprations pratiques que jai manipule.
Pour finir, nous esprons avoir fait de notre mieux pour laisser une bonne
impression au sein de lATI et prsenter un travail digne dun Technicien suprieur
refltant lapport de nos tudes dans le domaine des rseaux informatiques.

35

Bibliographie

Bibliographie
[1][4]. (2015, Octobre 26). Rcupr sur
http://www.supinfo.com/articles/single/889-presentation-installationvmware-vsphere-esxi-6
[2]. (2016, juillet 12). Rcupr sur https://fr.wikipedia.org/wiki/Proxmox_VE
[3]. (s.d.). Rcupr sur http://www.vmware.com/fr/products/esxi-and-esx.html
[5]. (2013, Mars 29). Rcupr sur http://wiki.monitoring-fr.org/zabbix/start
[6]. (2016, Octobre 01). Rcupr sur https://workaround.org/article/tired-ofnagios-and-cacti-try-zabbix
[7], E. T. (2004). IDS : Les systmes de dtection des intrusions informatiques.
InfoPro.
[8], N. Z. (2014, avril 01). Rcupr sur https://blog.savoirfairelinux.com/2014/unlivre-sur-ossec-un-ids-simple/
[9]. (2016, Mai 25). Rcupr sur https://thedutchlab.com/blog/installing-zabbixon-ubuntu-1404
[10]. (2014, dcembre 23). Rcupr sur
https://www.digitalocean.com/community/tutorials/how-to-install-andconfigure-ossec-security-notifications-on-ubuntu-14-04

36