Академический Документы
Профессиональный Документы
Культура Документы
03/08/2016 02/09/2016
Remerciement
Avant de procder la prsentation de ce rapport, je tiens remercier la direction
de mon institut LISETCOM qui ma offert la chance deffectuer ce stage afin
dappliquer mes connaissances thoriques par une exprience pratique et de dcouvrir
lenvironnement professionnel.
Introduction ............................................................................................. 2
1.1
1.1.1
1.1.2
1.2
2.
Conclusion ................................................................................................ 5
Introduction ............................................................................................. 6
2.
La virtualisation ........................................................................................ 6
2.1
Introduction ............................................................................................... 6
2.2
2.2.1
2.2.2
2.3
2.3.1
2.3.2
2.4
3.
Introduction .................................................................................................................7
Caractristiques ...........................................................................................................7
Introduction .................................................................................................................8
Fonctionnalits ............................................................................................................8
3.1.1
3.1.2
3.1.3
3.1.4
3.2
3.2.1
4.
Principe ......................................................................................................................10
Superviser quoi ? .......................................................................................................11
Objectifs .....................................................................................................................11
Mthodes de supervision ..........................................................................................11
Outils de supervision .................................................................................................12
Introduction ............................................................................................. 15
4.2
4.2.1
4.2.2
4.3
4.3.1
4.3.2
4.3.3
4.3.4
5.
Conclusion.................................................................................................... 20
Introduction ........................................................................................... 21
2.
3.
2.2
2.3
2.4
Maps ........................................................................................................ 28
Installation dOSSEC................................................................................ 29
3.1
3.2
3.2.1
4.
Conclusion .............................................................................................. 34
Introduction Gnrale
Introduction Gnrale
A lheure actuelle, les systmes dinformation ne cessent dvoluer et leur
utilisation devient de plus en plus importante. Cependant, la complexit de la
maintenance et de la gestion de ces systmes augmente de jour en jour et la surveillance
de son bon fonctionnement et de sa scurit doivent tre garanti. Ces systmes ont
bien mrit leur place au sein des entreprises dans lesquels ils sont devenus
indispensables.
Dans ce cadre sinscrit notre projet qui consiste raliser une tude sur les
solutions libres des supervisions rseaux et des systmes de dtection dintrusions et
de les installer au sein dun rseau local sur un serveur.
Le prsent rapport sera compos de quatre chapitres :
Dans le premier chapitre, lorganisme daccueil, qui nous a accueillis durant notre
priode de stage, sera prsent en rappelant les produits et les services quil offre.
Le second chapitre sera ddi lenvironnement virtuel que nous avons utilis,
la supervision et la dtection tout en rappelant le concept de supervision et
dadministration des rseaux, les mthodes de dtection des intrusions et les types des
IDS, une tude comparative sera ralise sur les systmes de supervision, et sur les
systmes de dtection dintrusion.
Le troisime chapitre sera consacr linstallation et la configuration de loutil
choisi pour la supervision et du systme de dtection dintrusion choisi.
1.1
Organisme daccueil
1.1.1
Education : 21%
2
La sant publique : 2%
Agriculture : 1%
2. Conclusion
Au cours de ce chapitre, nous avons prsent lorganisme daccueil qui a adopt
ce projet. Puis une petite description de notre projet a t introduite.
Dans le chapitre qui suit nous allons prsenter lhyperviseur quon a utilis comme
environnement de travail. Par la suite nous allons entamer la partie supervision rseaux
et dtection dintrusions.
tude Thorique
2. La virtualisation
2.1 Introduction
Depuis quelques annes, la virtualisation a pris une place importante dans les
services informatiques. De plus en plus dentreprises privilgient cette mthode qui
consiste excuter un ou plusieurs systmes dexploitation sur la mme machine.
Mme si un hyperviseur est assez couteux, ce dernier se rvle tre un trs bon
investissement puisquil permet d'augmenter les performances de votre infrastructure
tout en ralisant des conomies :
Gain de place
Meilleure flexibilit
tude Thorique
2.2.1 Introduction
Proxmox Virtual Environment est une solution de virtualisation Open Source
base
sur
un hyperviseur est
une
plate-forme
2.2.2 Caractristiques
Il s'administre via une interface web, et peut trs facilement ce scripter via les
outils intgrs.
gratuit
tude Thorique
2.3.2 Fonctionnalits
Un serveur vSphere ESXi 6 peut prendre en charge jusqu' 1024 machines
virtuelles et peut supporter jusqu' 480 CPU, 6 TB de RAM et jusqu' 2048 disques
durs virtuels par hte.
Une Machine Virtuelle peut supporter jusqu' 128 CPU virtuels, 4 TB de
mmoire vive et des disques virtuels jusqu' 62 TB.
Outre la cration de machine virtuelle, vSphere ESXi dispose de nombreuses
fonctionnalits qui permettent de grer au mieux les diffrentes VMs. Parmi ces
fonctionnalits, on trouve le :
vMotion : vMotion est une fonctionnalit permettant la migration chaud (sans
avoir teindre la VM) entre 2 htes ESXi. Ainsi lors d'une opration de maintenance,
il n'y a plus d'interruption de service. Il existe le mme principe pour la partie stockage
des VM (Storage vMotion)
vSphere HA : High Avaibaility est une fonctionnalit permettant un redmarrage
automatique des VM aprs une panne sur l'hte.
tude Thorique
tude Thorique
3. Supervision rseau
3.1 Introduction la supervision rseau
3.1.1 Principe
Dans un systme informatique, la supervision rseau [5] ([5], 2013)est devenue
une opration indispensable qui peut conomiser beaucoup dargent en amliorant les
performances du rseau, le cout de linfrastructure et la productivit des employs.
Un systme de supervision rseau a comme tche principale de trouver les
problmes dans un rseau local tel que : station non connecte, serveurs hors service,
modification dun fichier important, etc.
La supervision rseau ne peut tre ralise quen utilisant une varit de logiciels
ou une combinaison de solutions software et hardware. Nimporte quel rseau
peut tre supervis, que a soit filaire, sans fil, VPN ou mme WAN. Il est possible de
raliser la supervision des machines sous nimporte quel systme dexploitation
(Windows, Linux, Cisco IOS. . .)
Les systmes de supervision rseau diffrent des systmes de dtection dintrusion
(IDS) ou des systmes de prvention dintrusions (IPS). Ces derniers dtectent et
bloquent les activits des utilisateurs non autoriss dans le rseau.
tude Thorique
3.1.3 Objectifs
Lobjectif de la supervision se rsume principalement en :
tre ractif en envoyant une notification ladministrateur du rseau en cas de
problme technique dans une partie du rseau.
tre proactif en anticipant les pannes et les scnarios possibles
Viser les vnements ds leurs apparitions afin dagir avec pertinence.
tude Thorique
Nagios
Langage : C/PHP
URL : https ://www.nagios.org/downloads
Nagios est un systme de supervision rseau, dvelopp par Ethan Galstad ds
1999 et est actuellement en sa version 4.1.1. Ce logiciel fonctionne sous linux et la
plupart des systmes UNIX.
Il se dcompose en trois parties :
Le moteur de lapplication qui soccupe de lordonnancement des tches de
supervision.
Linterface Web, qui permet la visualisation des informations.
Les plugins, un ensemble des minis programmes qui compltent Nagios
Il possde plusieurs fonctionnalits, nous en citons quelques-unes :
Envoi des avertissements et des alarmes par courrier lectroniques ou par sms.
Rcupration des informations du rseau et des quipements.
Surveillance des services rseaux (HTTP/ ICMP/SMTP...).
12
tude Thorique
Zabbix
Langage : C/C++/PHP
URL : http://www.zabbix.com/download.php
Zabbix [AND_13] est un logiciel open source de supervision des rseaux
dveloppe en C en 2002. Son interface web est dveloppe en php et en javascript. Il
se compose de quatre parties :
Zabbix Server, cest le composant principal. Il soccupe de la supervision
distance ou local.
Zabbix Frontend, cest linterface web de Zabbix. Il permet de visualiser les
vnements.
Zabbix Proxy, cest le collecteur des informations.
Zabbix Agent, offre une supervision active des ressources locales de la machine
ou il est install.
Ces principales fonctionnalits :
Rcolte des informations Via SNMP, tests services et agents Zabbix.
Supervision rpartie du rseau et surveillance des stations et des serveurs web,
mail
Rcolte des informations depuis les agents installs sur les machines superviser.
Visualisation de ltat du rseau et de ces quipements laide dune interface
graphique web.
Cration et visualisation de la cartographie du rseau.
13
tude Thorique
Avantages
Inconvnients
Nagios
-Complexit de
paramtrage : il
faut passer par la
configuration
textuelle.
-Interface web non
ergonomique et manque
de visualisation
graphique.
Zabbix
+Une application
complte.
+Trs bien document.
+Linterface de
supervision et de
configuration sont plus
claires et
plus intuitive que celui
de Nagios.
+Lagent peut lancer des
scripts
afin de collecter de
linformation.
tude Thorique
4. Dtection dintrusion
4.1 Introduction
Les systmes de dtection dintrusion, ou souvent appels IDSs, sont devenus des
composants essentiels dans les offices de scurit et de ladministration rseau.
Cependant beaucoup dexperts en scurit rseaux ignorent les avantages quoffrent
ces systmes.
Les HIDS [7] sont les tous premier IDS avoir t dvelopps et implments.
Ce systme collecte et analyse les donnes dun hte qui offre un service tel que service
15
tude Thorique
web ou base de donnes. Une fois que les donnes sont collectes, elles seront
analyses par un agent localement ou elles seront envoyes vers une autre machine
ddie cette tche.
Le HIDS peut tre sous la forme dun programme qui est install sur un systme
dexploitation afin danalyser les fichiers logs ou les fichiers des rsultats daudit. Ce
programme est trs efficace contre les diffrentes attaques connues sur les machines,
il est capable de dtecter les backdoors et les rootkits . Aussi, il est capable de
dtecter les modifications interdites des fichiers importants.
Cependant, il ne sagit pas dun systme idal. Le HIDS a un grand inconvnient,
il peut tre dtect facilement par le hacker et il peut lui bloquer la collection des
donnes, il deviendra alors inutile.
Exemple :
OSSEC-HIDS : Il sagit un HIDS open-source, il est capable danalyser les logs,
vrifier lintgrit des fichiers, dtecter les rootkits et envoyer des alertes en temps
rels. Cest le HIDS open-source le plus utilis.
4.2.2.2 Les NIDS (Network-Based IDS)
Cest un type dIDS qui est capable dcouter sur le rseau, sniffer le trafic et
analyser les paquets. Ces paquets seront examins par le NIDS [7] et compars avec
des donne suspectes pour vrifier sils sont malicieux ou bien non. Les NIDS sont
responsables de la scurit de tout un rseau et non pas dune seule machine comme
le cas dun HIDS. Ils sont plus distribus.
Au lieu de collecter les donnes depuis les machines, les NIDS les collectent
depuis les paquets sniffs sur le rseau. Cette surveillance des connexions entre les
16
tude Thorique
terminaux rend le NIDS efficace en dtection des tentatives des intrusions et des accs
interdits. Il est capable de dtecter les accs non autoriss dans le rseau.
Comme tout systme, le NIDS a ses propres dfauts : il ne peut pas sniffer tous
les paquets si le dbit du rseau est trop lev. Aussi, il ne peut pas dtecter les
intrusions si les paquets contenant les payloads sont trs bien chiffrs.
Exemples :
Snort : Cest un NIDS Open-Source, il a t dvelopp par sourcefire . Cest
le pre des NIDS. Il peut aussi jouer le rle dun IPS (Intrusion Prevention system). Il
est le plus utilis.
tude Thorique
Il offre aussi la possibilit de crer ses propres rgles et plugins. Cest le NIDS le plus
dploy, il est mme devenu un standard des NIDS et des IPS.
Il joue cinq principaux rles :
Packet sniffer : Il effectue lcoute de rseau dans les diffrents niveaux.
Packet logger : Il enregistre les logs dans une fichier texte.
Alarm correlator : Il gre les notifications et les alertes.
Detection engine : Il soccupe de la dtection des menaces.
Pre-processor/Packet decoder : Il prpare les informations afin quils soient
lisibles.
18
tude Thorique
Avantages
Inconvnients
Snort
Ossec
+Compatible avec
plusieurs
autres outils.
+Il intgre les
fonctionnalits
tude Thorique
NIDS e HIDS.
+Scanne de vulnrabilits.
+Format normalis.
+Logiciel libre.
5. Conclusion
Au cours de ce chapitre, nous avons vu une introduction au domaine de la
virtualisation et au domaine de supervision rseau et nous avons prsent une brve
introduction la dtection dintrusion en rappelant ses principes et ses mthodes de
fonctionnement. A la suite dans le chapitre suivant je vais dcrire mes taches effectues
20
Tches Effectues
Puis copier les lignes ci-dessous dans le fichier, et taper CTRL+o puis CTRL+x
pour enregistrer la modification du fichier.
# Zabbix repos
deb http://ppa.launchpad.net/tbfr/zabbix/ubuntu precise main
deb-src http://ppa.launchpad.net/tbfr/zabbix/ubuntu precise main
Pour que loutil apt-get ait confiance en ces nouveaux dpts, on excute cette
commande.
# sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys
C407E17D5F76A32B
21
Tches Effectues
Tout dabord il faut mettre jours la liste des dpts en excutant la commande
suivante.
# sudo apt-get update
22
Tches Effectues
Puis nous nous connectons MySQL en tant que " root ".
# mysql -u root -p
Puis, nous allons donner lutilisateur "zabbix" le contrle sur la base de donnes
"zabbix".
mysql > GRANT ALL PRIVILEGES ON Zabbix.* TO zabbix@localhost
mysql > FLUSH PRIVILEGES;
mysql > EXIT;
23
Tches Effectues
Maintenant que nous avons cre lutilisateur et la base de donnes, il faut importer
les fichier SQL que Zabbix a besoin pour son fonctionnement.
Il faut configurer ce fichier avec les paramtres de connexion mysql quon a fait
rcemment.
$DB[DATABASE] = zabbix;
$DB[USER] = zabbix;
$DB[PASSWORD] = MOT_DE_PASSE;
Tches Effectues
# sudo cp /usr/share/doc/zabbix-frontend-php/examples/apache.conf
/etc/apache2/conf- available/zabbix.conf
Maintenant nous allons modifier la valeur "START" de "no" "yes" dans le fichier
zabbix-server pour que le service Zabbix se lance en dmarrage du systme.
Tches Effectues
Aprs, on aura besoin dexcuter des commandes sur les machines agents, cest
pourquoi on a activer loption "remotecommand ". Lagent maintenant est bien install
sur la machine linux. Il faut redmarrer le service.
# sudo service Zabbix-agent restart
Il faut maintenant ajouter lagent dans la liste des htes supervisionns. Dans la
barre dadresse du navigateur on met ladresse ip du serveur Zabbix suivis par
"/zabbix". Puis on se connecte avec le compte par dfaut de Zabbix.
Username = admin
Password = Zabbix
Tches Effectues
Figure 2: Hosts
27
Tches Effectues
Pour crer un screen personnalis, il faut passer par les tapes suivantes :
Se connecter sur linterface web de Zabbix
Slectionner longlet Configuration puis Screens .
Cliquer sur Create screen .
Donner un nom la nouvelle vue, prciser le nombre des colonnes et des lignes.
Puis remplir les champs par les graphes et les donnes quon veut ajouter.
Notre nouvelle vue est maintenant prte tre utilis. Pour lexploiter il faut aller
longlet Monitoring puis Screens et choisir la vue quon veut partir de la liste
affich.
2.4 Maps
Une Map est une carte compose de plusieurs machines interconnectes. a
permet de visualiser ltat de la connexion entre les machines quy existent et dexcuter
des scripts sur une machine quelconque. Ci-dessous un exemple de carte que nous
avons cre.
28
Tches Effectues
Dans cette Map Lagent1 nest pas disponible, jai configur un trigger qui met un
lien rouge dans le cas o lagent est inaccessible pendant 5 minutes, sinon un lien vert
sil est accessible.
3. Installation dOSSEC
3.1 Tlchargement et vrification dOSSEC
Au moment de l'criture [10], la dernire dition du serveur dOSSEC est la
version 2.8.1. Pour le tlcharger, tapez:
wget -U ossec http://www.ossec.net/files/ossec-hids-2.8.1.tar.gz
29
Tches Effectues
Rsultats attendus:
MD5(ossec-hids-2.8.1.tar.gz)=
c2ffd25180f760e366ab16eeb82ae382
SHA1(ossec-hids-2.8.1.tar.gz)=
0ecf1df09558dc8bb4b6f65e1fb2ca7a7df9817c
Maintenant, nous allons nous assurer que les checksums que nous gnrons pour
larchive correspondent aux checksums nous avons tlcharg.
Pour gnrer le MD5sum de l'archive, tapez:
md5sum ossec-hids-2.8.1.tar.gz
Rsultats attendus:
c2ffd25180f760e366ab16eeb82ae382 ossec-hids-2.8.1.tar.gz
Comparer la checksum MD5 gnr avec l'un dans le fichier de contrle. Ils
doivent correspondre.
Faites de mme pour la checksum SHA1 en tapant:
sha1sum ossec-hids-2.8.1.tar.gz
Rsultats attendus :
0ecf1df09558dc8bb4b6f65e1fb2ca7a7df9817c ossec-hids2.8.1.tar.gz
30
Tches Effectues
3.2
Installation dOSSEC
OSSEC peut tre install dans le serveur, l'agent, le mode local ou hybride. Cette
installation est conue pour surveiller le serveur o OSSEC est install. Cela signifie
une installation locale.
Avant que l'installation ait lieu, vous devez dcompresser le fichier. Vous faites
cela en tapant:
tar -zxf ossec-hids-2.8.1.tar.gz
Le seul fichier qui nous intresse dans ce rpertoire est install.sh. C'est le script
d'installation OSSEC. Pour lancer l'installation, tapez:
./install.sh
choisir la langue
Tches Effectues
pare-feu ? : OUI
32
Tches Effectues
L'installation est termine, vous pouvez maintenant relancer apache et lancer OSSEC
sudo /etc/init.d/apache2 restart
sudo /etc/init.d/ossec start
Pour vous connecter l'interface graphique, tapez ceci dans votre navigateur :
http://localhost/ossec
33
Tches Effectues
4. Conclusion
Au cours de ce chapitre, nous avons vu les tapes de linstallation et la
configuration de la supervision suivis par les tapes de linstallation et de la
configuration dOSSEC.
34
Conclusion
Conclusion Gnrale
our conclure, je peux dire que mon stage effectu au sein de lATI ma
offert plusieurs bnfiques.
Au-del de laspect technique, ce projet a reprsent pour moi une
35
Bibliographie
Bibliographie
[1][4]. (2015, Octobre 26). Rcupr sur
http://www.supinfo.com/articles/single/889-presentation-installationvmware-vsphere-esxi-6
[2]. (2016, juillet 12). Rcupr sur https://fr.wikipedia.org/wiki/Proxmox_VE
[3]. (s.d.). Rcupr sur http://www.vmware.com/fr/products/esxi-and-esx.html
[5]. (2013, Mars 29). Rcupr sur http://wiki.monitoring-fr.org/zabbix/start
[6]. (2016, Octobre 01). Rcupr sur https://workaround.org/article/tired-ofnagios-and-cacti-try-zabbix
[7], E. T. (2004). IDS : Les systmes de dtection des intrusions informatiques.
InfoPro.
[8], N. Z. (2014, avril 01). Rcupr sur https://blog.savoirfairelinux.com/2014/unlivre-sur-ossec-un-ids-simple/
[9]. (2016, Mai 25). Rcupr sur https://thedutchlab.com/blog/installing-zabbixon-ubuntu-1404
[10]. (2014, dcembre 23). Rcupr sur
https://www.digitalocean.com/community/tutorials/how-to-install-andconfigure-ossec-security-notifications-on-ubuntu-14-04
36