Session2k10.Analyse.rapport

7

Socit Assurancetourix

13/12/2010

Rapport du projet de scurit

Lise BANQUET Kenza BENGELLOUN

Goulven BUREL Alexandre CLAMART Tristan DELGRANGE

Christophe DUBOS Romain LAVERNHE

Alexandre LACOURTE Pierre-Michel LEBOULCH

Nyaka LELO Gwendal RAISON

Bastien TEIL Maxime VIAUD

Mdric VIGROUX

Groupe Audit Socit Assurancetourix

13/12/2010

1

Tables des matires

Tables des matires ................................................................................................................................. 1

Introduction ............................................................................................................................................. 6

I. La socit daudit Assurancetourix ............................................................................................. 7

1. Prsentation dAssurancetourix .............................................................................................. 7

2. Organisation de la socit ....................................................................................................... 7

a. Communication ................................................................................................................... 8

b. Administration, organisation et qualit .............................................................................. 8

c. Norme EBIOS/Mehari .......................................................................................................... 8

d. Supervision .......................................................................................................................... 9

e. VOIP/TOIP ............................................................................................................................ 9

f. Audit Actif ............................................................................................................................ 9

II. Contexte du projet .................................................................................................................... 10

1. Processus Appel doffre RAO contrat ........................................................................ 10

2. Nos objectifs .......................................................................................................................... 12

3. Architecture de la socit AeroDef ....................................................................................... 13

4. MEHARI .................................................................................................................................. 14

a. Prsentation de MEHARI ................................................................................................... 15

Objectifs................................................................................................................................. 15

Concepts ................................................................................................................................ 15

Analyse des enjeux ................................................................................................................ 16

Analyse des vulnrabilits ..................................................................................................... 17

Analyse des risques ............................................................................................................... 17

Pilotage de la scurit ........................................................................................................... 18

b. Mise en uvre ................................................................................................................... 19

III. Communications au sein dAssurancetourix ......................................................................... 24

1. La communication interne .................................................................................................... 24

c. La chartre de lutilisateur du SI .......................................................................................... 24

d. La communication par email ............................................................................................. 24

e. Partage des documents via loutil GoogleDocs ................................................................. 26

2. La communication externe .................................................................................................... 26

a. Les runions ....................................................................................................................... 26


13/12/2010

2

b. La communication formelle ............................................................................................... 26

c. La communication informelle ............................................................................................ 27

3. Problmes rencontrs ........................................................................................................... 27

IV. Serveur daudit ...................................................................................................................... 28

1. Environnement virtualis ...................................................................................................... 28

2. Mise en place ......................................................................................................................... 30

g. Partie rseau ...................................................................................................................... 30

h. Partie systme ................................................................................................................... 31

3. Plan de reprise ....................................................................................................................... 31

V. Application daudits Systme dinformations ........................................................................ 31

1. NetFlow Analyse de flux ..................................................................................................... 31

2. SPAN ...................................................................................................................................... 33

3. Gestion des logs..................................................................................................................... 34

a. Syslog-ng et log-rotate ...................................................................................................... 34

b. Splunk ................................................................................................................................ 35

4. Supervision avec FAN Full Automated Nagios .................................................................... 36

a. Prsentation des outils ...................................................................................................... 37

b. Mthodologie de dploiement.......................................................................................... 39

Les modles dhtes : ............................................................................................................ 39

Les modles de services : ...................................................................................................... 40

La cration dun hte : .......................................................................................................... 41

Les ajouts de plugins : ........................................................................................................... 42

Les utilisateurs : ..................................................................................................................... 42

Nagvis : .................................................................................................................................. 45

c. Surveillance de larchitecture AeroDef :............................................................................ 46

Les lments rseau : ...................................................................................................... 46

Les lments systme : .................................................................................................... 47

d. Rsultats obtenus : ............................................................................................................ 47

Interface supervision_rseau : ........................................................................................ 47

Interface supervision_serveur : ....................................................................................... 48

Dtection du problme de mauvais serveur DNS : ......................................................... 48

Dtection du problme surcharge du routeur : .............................................................. 49

Dtection du problme serveur de service DOWN : ....................................................... 49


13/12/2010

3

e. Problmes rencontrs ....................................................................................................... 50

1er problme : connaissance de larchitecture AroDef :..................................................... 50

2me problme : installation des agents .............................................................................. 50

3me problme : autorisation du Firewall : .......................................................................... 50

4me problme : surcharge du rseau et des log : ............................................................... 50

5me problme : diffrence dutilisation entre SNMP et NRPE : ......................................... 51

5. IPS / IDS ................................................................................................................................. 52

a. SNORT ................................................................................................................................ 53

b. Le SIEM Prelude ................................................................................................................. 56

c. Module Apache mod_security .......................................................................................... 58

6. Nessus .................................................................................................................................... 60

VI. VOIP et Tlphonie ................................................................................................................ 61

1. Installation du serveur Astrisk ............................................................................................. 61

a. Rcupration de la dernire version dAsterisk ................................................................ 61

b. Installation dAsterisk ........................................................................................................ 62

2. Configuration du serveur Astrisk ......................................................................................... 62

a. Cration de deux comptes SIP pour Xlite .......................................................................... 62

b. Configuration de Xlite ........................................................................................................ 64

c. Passage du serveur Asterisk sous un autre user ............................................................... 66

d. Filtrage des flux de la TOIP ................................................................................................ 67

Prsentation gnral du filtrage applicatif de donnes ........................................................ 67

Les passerelles de niveau applicatif ...................................................................................... 68

e. Etude pour 40 postes ........................................................................................................ 68

Les quipements ................................................................................................................... 68

Le rseau ............................................................................................................................... 69

3. Listes des attaques ralisables et solutions pour les contrer ................................................ 69

a. Les attaques ralisables ..................................................................................................... 69

Dni de Service (DOS) ............................................................................................................ 69

Manipulation du stream RTP et SIP : ..................................................................................... 70

Relecture ............................................................................................................................... 70

Man In the Middle : ............................................................................................................... 70

Ecoute et analyse des flux RTP : ............................................................................................ 71

Rcupration et cassage des comptes : ................................................................................ 71


13/12/2010

4

Usurpation de numro : ........................................................................................................ 71

b. Les attaques Ralises par nos soins ................................................................................. 72

Ecoute et analyse des flux RTP .............................................................................................. 72

Rcupration et cassage des comptes .................................................................................. 73

c. Les parades aux attaques: ................................................................................................. 76

Usurpation de numro : ........................................................................................................ 76

Parefeu statefull : .................................................................................................................. 76

Scurisation des protocoles SIP et RTP : ............................................................................... 76

WAN :..................................................................................................................................... 76

4. Les problmes rencontrs ..................................................................................................... 77

a. Communication avec Aerodef ........................................................................................... 77

b. Les problmes techniques ................................................................................................. 77

Le softphone Xlite .................................................................................................................. 77

Configuration X-lite pour Tag Vlan ........................................................................................ 77

Configuration des switchs ..................................................................................................... 78

Configuration des tlphones CISCO..................................................................................... 79

VII. Les tapes du projet .............................................................................................................. 80

1. Premire confrontation ......................................................................................................... 80

a. Exploit PDF ......................................................................................................................... 81

b. DNS Spoofing ..................................................................................................................... 82

c. Recommandations mises ................................................................................................. 84

2. Seconde confrontation La revanche ............................................................................... 85

3. Troisime confrontation Ultimate Fighting .................................................................. 85

4. Cas de la tlphonie .............................................................................................................. 86

Conclusion ............................................................................................................................................. 88

Table dillustration ................................................................................................................................. 89

Sources .................................................................................................................................................. 90

Annexe 1 : RAO de supervision. ............................................................................................................ 91

Annexe 2 : RAO Voip/Toip. .................................................................................................................... 91

Annexe 3 : Contrat complet de supervision. ......................................................................................... 91

Annexe 4 : Contrat complet de Voip/Toip............................................................................................. 91

Annexe 5 : Charte de lutilisateur du systme dinformation. .............................................................. 91

Annexe 6 : Mise en place des mails chiffrs. ......................................................................................... 91


13/12/2010

5

Annexe 7 : GoogleDocs. ......................................................................................................................... 92

Annexe 8 Script automatisation du serveur ....................................................................................... 93

Annexes 9 Mise en place de Syslog-ng et log-rotate .......................................................................... 95

Annexes 10 Mise en place de NetFlow ............................................................................................... 98

Annexe 11 Compte rendu de la runion du 25 Octobre 2010 entre la supervision et les responsables

des serveurs. ........................................................................................................................................ 100

Annexe 12 Tutoriel dinstallation du protocole SNMP sur un serveur LINUX et WINDOWS ........... 100


13/12/2010

6

Introduction

Fidle aux annes prcdentes, les tudiants de master 2 STRI sont soumis une paranoa

soudaine durant quelques semaines. En effet, afin dillustrer nos connaissances en scurit

informatiques acquises durant les cours nous avons pris part au projet de scurit men par Mr

LATU.

Notre promotion est alors divise en trois groupes de projets afin doffrir trois approches des

scurits des systmes dinformations :

Le groupe Dfense le but est de mettre en place un systme dinformation que lon peut

retrouver dans une entreprise et offrir le maximum de scurit et de protection pour ses

services et donnes.

Le groupe Attaque lobjectif est de mettre mal linfrastructure du systme dinformation

du groupe dfense

Le groupe Audit ce dernier groupe doit travailler en troites collaboration avec le groupe

de dfense afin de lui offrir un grand nombre de service leurs permettant dassurer la

scurit des systmes dinformations.

A travers ce document, nous vous expliquerons notre organisation au sein de notre socit

daudit AssuranceTourix ainsi que les diffrents outils mis en place afin de superviser dtecter les

intrusions ventuelles sur le rseau de la socit AeroDef.


13/12/2010

7

I. La socit daudit Assurancetourix

1. Prsentation dAssurancetourix

Assurancetourix est une jeune entreprise d'audit en rseau et tlcom. Elle emploie 14

personnes dans la rgion Toulousaine.

Assurancetourix annonce la russite la certification ISO 27001:2005 pour ses prestations

d'audits de scurit des systmes d'information.

RAISON SOCIALE Assurancetourix France

STATUT SAS au capital de 1

SIEGE SOCIAL Universit Paul Sabatier, Bt U3, IUP STRI, 118 Route de

Narbonne

31062 Toulouse Cedex 9

EFFECTIF 14 personnes

HISTORIQUE Septembre 2010 : cration d'Assurancetourix en France

Concrtement, pour une socit d'audit comme Assurancetourix, cela signifie que la manipulation

des donnes relatives aux audits de scurit chez ses clients s'effectue avec le niveau de protection

requis, ces donnes tant effectivement sensibles.

La certification ISO 27001 garantit qu'elle met en uvre un systme de management et des mesures

de scurit organisationnelles et techniques. Cela signifie qu'un cercle vertueux a t enclench pour

une amlioration continue.

En septembre 2010, l'offre audit d'Assurancetourix a t audite et certifie ISO 27001 par

l'organisme LSTI1, accrdit par le COFRAC2.

2. Organisation de la socit

Notre organisation au sein de lentreprise nous permettant davoir un poste technique mais

galement un poste plus bureaucratique. Chaque personne occupait donc 2 rles.

Nous avons plusieurs ples dexpertise :

7

Socit AssuranceTourix

Communication Technique

Supervisions VOIP/TOIP IDS/IPS Audit Actif

Normes EBIOS/MEHARI

Qualit Chef de projet


13/12/2010

8

a. Communication

Le but de cette entit consiste la relation avec notre client et la communication au sein

dAssuranceTourix.

Figure 1 - Organisation du groupe communication

b. Administration, organisation et qualit

Les objectifs de ce groupe est de valider et de sassurer que les documents mis par la

socit que ce soit pour notre client ou en interne soit conforme et correct aux diffrentes rgles

appliqu dans la diffusion de linformation au sein de la socit.

Figure 2 - Organisation du groupe d'administration, organisation et qualit

c. Norme EBIOS/Mehari

Figure 3 - Organisation du groupe EBIOS et MEHARI

Communication

Romain LAVERNHE

Maxime VIAUDTristan

DELGRANGEPierre-Michel LE BOULC'H

Administration, organisation et

qualit

Kenza BENGELOUN

Gwendal RAISON

Normes EBIOS et MEHARI

Goulven BUREL

Alexandre CLAMART

Nyaka LELO Lise BANQUET


13/12/2010

9

d. Supervision

Figure 4 - Organisation du groupe supervision

e. VOIP/TOIP

Figure 5 - Organisation du groupe VOIP/TOIP

f. Audit Actif

Figure 6 - Organisation du groupe d'audit actif

Supervision

Bastien TEIL

Chef de projet

Pierre-Michel LE BOULC'H

Lise BANQUETRomain

LAVERNHE

VOIP/TOIP

Mdric VIGROUX

Chef de projet

Tristan DELGRANGE

Goulven BUREL

Audit Actif

Alexandre LACOURTE

Chef de projet

Maxime VIAUDGwendal RAISON


13/12/2010

10

II. Contexte du projet

1. Processus Appel doffre RAO contrat

Nous allons voir dans cette partie le processus de cration des contrats nous liant avec la

socit Arodef. En effet, cette entreprise avait mis deux appels doffres. Un concernant la

supervision de leur systme dinformation et un autre pour la VoIP ToIP.

Pour les mettre en place, nous avons tudi ces appels doffres et rdig une rponse appel

doffre (RAO) pour la supervision et une pour la VoIP - ToIP. Ces rponses dcrivaient lensemble des

services que nous pouvions fournir au client.

Voici la structure de la RAO de supervision :

I. Prsentation d'Assurancetourix : A. Assurancetourix B. La mission C. Les qualifications et certifications D. La rpartition des services E. La fiche didentit

II. Le projet daudit actif : A. Introduction du projet daudit actif B. Outils mis en place

1. Nessus 2. Netflow - Mtrologie 3. Gestion des logs 4. Analyse complmentaire

C. Cots et investissements

III. Le projet supervision : A. Introduction du projet supervision B. Choix techniques C. Fonctions D. Intgration larchitecture du client E. Estimation des cots F. Droulement et mise en place G. Recommandations et remarques

IV. Le projet IDS/IPS : A. Introduction du projet IDS/IPS B. Projet C. Cots et investissements

Annexe

Vous trouverez la RAO de supervision en annexe 1. Et celle de la VoIP ToIP :


13/12/2010

11

I. Prsentation d'Assurancetourix : A. Assurancetourix B. La mission C. Les qualifications et certifications D. La rpartition des services E. La fiche didentit

II. Prsentation du projet Toip/Voip : A. Choix techniques B. Intgration larchitecture du client C. Estimation des cots D. Droulement et mise en place E. Recommandations et remarques

Annexe

Vous trouverez la RAO de VoIP - ToIP en annexe 2.

La socit Arodef nous avait donn deux dates diffrentes concernant les RAO. Une

premire pour la supervision (07/10/2010) et une deuxime pour la VoIP ToIP (20/10/2010).

Une fois la RAO supervision mise, nous pensions que lentreprise Arodef laurait tout

simplement consult et annot les points sur lesquels ils taient daccord et ceux o ils ne ltaient

pas. Mais ils ont prfr rdiger un contrat synthtisant cette RAO.

Nous avons donc t surpris de cette dcision puisque le contrat de supervision ne contenait

que les grandes actions que nous tions censs mettre en place. Nous leur avons donc fait part de

notre volont de mettre en annexe du contrat cette RAO.

Comme ils ntaient pas daccord avec tous les points dcrits, nous lavons modifi jusqu ce

quils lapprouvent et quils acceptent de la mettre en annexe. Cela tait aussi valable pour la RAO de

VoIP ToIP.

Voici comment se compose le contrat de supervision tablit entre nos deux socits :

Article 1 Partage des informations Article 2 Clause de confidentialit Article 3 Moyens mis disposition au Prestataire pour la supervision et utilisation de ces

moyens Article 5 Frais Article 6 Communication Article 7 Modification du contrat

Vous trouverez le contrat complet de supervision en annexe 3.

Voici la composition du contrat de VoIP ToIP :

Article 1 Partage des informations : Article 2 Clause de confidentialit :


13/12/2010

12

Article 3 Moyens mis disposition au Prestataire pour le projet ToIP/VoIP Article 5 Frais Article 6 Communication Article 7 Modification du contrat

Vous trouverez le contrat complet de VoIP-ToIP en annexe 4.

Aprs avoir vu la partie prsentant la mise en place des contrats entre la socit

Assurancetourix, nous allons nous intresser aux outils de communication et de scurisation mis en

place.

2. Nos objectifs

Aujourd'hui, le rseau est au cur du systme d'information des entreprises et constitue un

de ses lments les plus sensibles. C'est sur la fiabilit et les performances de son infrastructure de

rseaux que repose l'ensemble des changes internes et externes de l'entreprise, ainsi que le bon

fonctionnement de ses applications mtier. Dans le mme temps, le dveloppement des rseaux et

de l'utilisation d'Internet s'accompagnent d'un besoin croissant de la part des entreprises en outils

pour optimiser et scuriser ces rseaux. Assurancetourix rpond l'ensemble de ces demandes et

fournit ses clients, un service de haut niveau, grce une connaissance pointue de leurs besoins et

une approche adapte chacun d'eux.

Nos objectifs internes taient au dbut du projet les suivants avant la signature du contrat et

lappel doffre :

Sous-groupe VOIP :

Dploiement dAsterisk ainsi que 2 soft phones XLITE. court terme

Possibilit de raliser des communications en externe (accs internet) long terme

Audit sur les ventuelles attaques long terme

Sous-groupe IDS:

Dploiement de loutil PRELUD (surcouche de SNORT) court terme

Migration et centralisation vers OSIM long terme

Sous-groupe Audit Actif :

Dploiement de Nessus court terme


13/12/2010

13

Simulation des flux malveillants pour dtction court terme

Utilisation de TOOL KIT long terme

Audit de machines et dquipements rseaux (en ngociation) long terme


Sous-groupe Supervision :

Dploiement de loutil de supervision FAN court terme

Remonter dalertes pertinentes et intgration dans le SI dAerodef (email, tlphone,) long terme


Pour la majorit des groupes, le travail effectu durant le projet ne correspond en rien celui fix

dans nos objectifs. Cette volution est due la difficult de rendre oprationnel certains outils ou

que la socit AeroDef ne souhaitait pas que cela se fassent en particulier pour le groupe audit actifs.

De ce fait, ce groupe a pris en charge la gestion complte du serveur de laudit mais galement

certains outils danalyse qui nous dtaillerons par la suite.

3. Architecture de la socit AeroDef

Voici larchitecture de la socit AeroDef qui nous a t fourni. Il a pourtant t spcifi a de

nombreuses reprises qui nous fallait plus ample dtails mais aucune suite na t donne. Nous

avions limpression dvoluer dans un environnement rseau que nous ne mtrisions pas !


13/12/2010

14

Figure 7 - Architecture de la socit interne

4. MEHARI

MEHARI est la Mthode Harmonise dAnalyse des Risques. Elle a t dveloppe et

propose par le CLUSIF (Club de la Scurit de lInformation Franais). Cest une mthode complte

dvaluation et de management des risques lis linformation, ses traitements et les ressources

mise en uvre.

Lutilisation de la mthode est gratuite et sa distribution est ralise selon les dispositions du

logiciel libre (Open Source). La dernire version de MEHARI a t prsente par le CLUSIF le 28

Janvier 2010.


13/12/2010

15

a. Prsentation de MEHARI

Objectifs

Lobjectif premier de MEHARI est de fournir une mthode danalyse et de gestion des risques

et, plus particulirement pour le domaine de la scurit de linformation, une mthode conforme aux

exigences de la norme ISO/IEC 27005 :2008, avec lensemble des outils et moyens requis pour sa

mise en uvre.

A cet objectif premier sajoutent deux objectifs complmentaires :

- Permettre une analyse directe et individualise de situations de risques dcrites par des

scnarios de risques

- Fournir une gamme complte doutils adapte la gestion court, moyen et long terme,

de la scurit, quelle que soit la maturit de lorganisme en matire de scurit et

quelques soient les types dactions envisags.

Compte tenu de ces objectifs, MEHARI propose un ensemble mthodologique cohrent,

faisant appel des bases de connaissances adaptes, et capable daccompagner les responsables

dentreprise ou dorganisme et les responsables de la scurit dans leurs diffrentes dmarches et

actions de gestion des risques.

Concepts

MEHARI se dcompose en cellules, les 8 types de cellules sont :

- Lentit

- Le site

- Les locaux

- Les applicatifs

- Les services offerts par les systmes et linfrastructure

- Le dveloppement

- La production informatique

- Les rseaux et les tlcoms.

MEHARI propose des modules danalyse pour chacune de ces cellules. Les modules de MEHARI

peuvent tre combins, en fonction de choix d'orientation ou de politiques d'entreprise, pour btir

des plans d'action ou, tout simplement, pour aider la prise de dcision concernant la scurit de

l'information.


13/12/2010

16

Figure 8 - Concepts MEHARI

Analyse des enjeux

Dans MEHARI, on appelle "Analyse des enjeux de la scurit" :

- L'identification des dysfonctionnements potentiels pouvant tre causs ou favoriss par un

dfaut de scurit,

- L'valuation de la gravit de ces dysfonctionnements.

Il s'agit d'une analyse totalement focalise sur les objectifs et attentes des "mtiers" de l'entreprise,

et, de ce fait prenne. Elle met contribution les dcideurs et le haut management de l'entreprise ou

de l'entit dans laquelle elle est mene.

Cette analyse se traduit par :

- Une chelle de valeurs des dysfonctionnements potentiels, document de rfrence centr

sur les impacts " business ",

- Une classification formelle des informations et ressources du systme d'information.

Il ne s'agit en aucun cas d'un audit des dysfonctionnements rels qui pourraient tre constats, mais

d'une rflexion sur les risques majeurs auxquels l'entit est expose et sur le niveau de gravit de

leurs consquences ventuelles.

Cette analyse des enjeux vise, le plus souvent, :

- Etre slectif dans les moyens mettre en uvre pour la scurit de l'information et ne pas

engager de dpenses l o les enjeux sont faibles,

- viter des contraintes inutiles aux utilisateurs,


13/12/2010

17

- Dfinir les priorits,

- Rpondre l'invitable question d'un dcideur en face d'un budget de scurit : " est-ce

bien ncessaire ? ".

Dans cette analyse, MEHARI apporte :

- Une dmarche centre sur les besoins du business et une implication des managers et

dirigeants,

- Un guide de mise en uvre et des livrables types,

- Des liens directs vers l'analyse dtaille des risques correspondants.

Analyse des vulnrabilits

L'analyse des vulnrabilits revient identifier les faiblesses et les dfauts des mesures de

scurit. En pratique, il s'agit d'une valuation quantitative de la qualit de mesures de scurit. Les

mesures de scurit values sont, en fait, des services de scurit, dcrits et documents dans une

base de connaissance dveloppe et maintenue par le CLUSIF.

Dans MEHARI, cette analyse couvre :

- L'efficacit des services de scurit,

- Leur robustesse,

- Leur mise sous contrle.

Cette analyse des vulnrabilits permet de :

- Corriger les points faibles inacceptables par des plans d'action immdiats.

- valuer l'efficacit des mesures mises en place et garantir leur efficience.

- Prparer l'analyse des risques induits par les faiblesses mises en vidence.

- Se comparer l'tat de l'art ou aux normes en usage.

Analyse des risques

Dans MEHARI, "l'analyse des risques" couvre :

- L'identification des situations susceptibles de remettre en cause un des rsultats attendus

de l'entreprise ou de l'organisme.

- L'valuation :

o de la probabilit de telles situations,

o de leurs consquences possibles,

o de leur caractre acceptable ou non.

- La mise en vidence des mesures susceptibles de ramener chaque risque un niveau


13/12/2010

18

acceptable.

Cette analyse des risques vise, le plus souvent, :

- Dfinir les mesures les mieux adaptes au contexte et aux enjeux.

- Mettre en place un management des risques et garantir que toutes les situations de

risques critiques ont t identifies et prises en compte

- Analyser et grer les risques d'un nouveau projet.

Lanalyse des risques propose par MEHARI peut tre vue comme suit :

Figure 9 - Analyse des risques dans MEHARI

Pilotage de la scurit

Le "pilotage de la scurit" demande :

- Un cadre structurant pour dfinir les objectifs annuels ou les tapes de plans daction,

o Des indicateurs permettant de comparer les rsultats obtenus aux objectifs : en

termes qualitatifs et quantitatifs ainsi quen termes de dlais

- Des rfrences externes permettant un "benchmarking" (rfrenciations, talonnage)

Dans ce domaine, MEHARI apporte :

- Un cadre adapt diffrentes dmarches et diffrentes sortes de management de la

scurit avec une varit dindicateurs et de synthses :

o Niveaux de vulnrabilits et de risques,

o Centres dintrt de scurit (16 thmes, dont contrle daccs, plan de

secours,), relatifs aux points de contrles ISO 17799:2005 (repris dans ISO

27001),

o Tableau de bord des risques critiques.


13/12/2010

19

b. Mise en uvre

Voici dans un premier temps les diffrents modules de diagnostics dfinis par Mhari :

Module danalyse de risques

Module danalyse des enjeux

Module de diagnostic de ltat de la scurit

La mthode danalyse des situations des risques correspond aux questions suivantes :

A quels risques lorganisme est expos ?

Sont-ils acceptables ?

La reprsentation se fait soit sur documents Excel ou sur le logiciel RISICARE .

Le diagnostic de scurit est bas sur un questionnaire qui sappuie sur les mesures de scurit et

lvaluation du niveau de qualit des mcanismes et solution mise ne place pour la rduction des

risques.

Lanalyse des enjeux correspond aux questions suivantes :

Que peut-on redouter ?

Serait-ce grave si cela devait arriver ?

Les rsultats retenus permettront ainsi dlaborer dun ct une chelle de valeurs des

dysfonctionnements du systme dinformation do leurs descriptions, la dfinition des paramtres

influant sur la gravit des dysfonctionnements et lvaluation des seuils de criticit qui font varier les

niveaux de gravit de ceux-ci.

Dun autre ct, la classification des infos et des actifs du SI bas sur la Disponibilit, lIntgrit et la

Confidentialit des indicateurs reprsentatifs de la gravit dune atteinte au SI.

Traitement des risques

Plan daction mise en place pour la rduction des risques.

Ce plan daction consiste en une analyse de chaque scnario de risque et prendre des dcisions

consquentes.

En pratique, lorganisation de ce travail se fait de manire structure et en envisageant plusieurs

approches :

*travail par familles de scnarios ayant le mme type dactif et le mme impact : Pour

chaque famille de scnarios est propose des plans daction (feuille Plan daction) regroupant

diffrents services pertinents pour la famille.

*travail par projets fdrateurs avec des services de finalits (contrle daccs physique,

gestion des droits et des habilitations,..) : Ils permettent de faire des simulations diffrentes

poques et de dfinir ainsi un tableau de bord des risques.

*travail par services en fonction des notions de besoin de service : Dfinir un indicateur de

besoin de service en fonction du nombre de scnarios faisant appel un service donn, de la

gravit de ces scnarios et de lefficacit dans les plans daction de ces services


13/12/2010

20

On rpertorie les diffrentes menaces dattaques dans un tableau et on cherche des solutions

pour nuire celles-ci.

Guide analyse des enjeux et classification

Lchelle de valeur des dysfonctionnements est le rsultat principal de lanalyse des enjeux de la

scurit.

Les mcanismes employs dans lapprciation et la gestion des risques ncessitent que ces

dysfonctionnements soient traduits en termes techniques relatifs des ressources de toute

nature du Systme dinformation quon appelle les actifs (Exemple : perte de la

confidentialit de telle base des donnes applicative ou de lindisponibilit de tel serveur,)

Ces actifs classifis doivent se rfrer aux besoins des organisations que lon classe dans trois

catgories :


13/12/2010

21

*les services (informatiques, tlcommunications et gnraux),

*les donnes ncessaires au fonctionnement des services,

*les processus de gestion de la scurit ou de la conformit des rfrentiels

Ainsi on sera amen au remplissage des tableaux ci-dessous lun des services et lautre des

donnes :

En bas des tableaux T1 et T2 existe une ligne de politique gnrale permettant dindiquer un

jugement global, indpendant de divers secteurs dactivit.

Evaluation de la qualit des services de scurit

Les services de scurit peuvent avoir des niveaux de performances trs varis selon les

mcanises et les processus employs.


13/12/2010

22

La mesure de cette qualit est facteurs de trois paramtres savoir : lefficacit du service,

sa robustesse et les moyens de contrle du maintien dans le temps de caractristiques

prcdentes.

Une de ces bases de connaissances de cette qualit consiste en une base daudit des services

de scurit sous la forme dun questionnaire et dun systme de pondration des rponses.

Ces questions sont axes sur lefficacit des mesures de scurit (par exemple : frquence

de sauvegardes, types de contrle daccs physique : lecteur de carte, digicode,) et des

questions axes sur la robustesse des mesures de scurit (par exemple : localisation et

protection daccs au lieu de stockage des sauvegardes, protection du systme de dtection

dincendie,) et, gnralement, une ou deux questions sur le contrle ou laudit des

fonctionnalits attendues du service.

*Types de questionnaires

Il sagit des questionnaires spcialiss par domaines techniques correspondants des

interlocuteurs diffrents

*Systme de pondration des questions

Les questions se poser au sujet dun service de scurit sont relatives des mesures lies

au service. On distingue les mesures majeures ou suffisantes et les mesures indispensables.

Le tableau ci-dessous est rserv pour la rponse aux questions (1 pour OUI et 0 pour NON)

avant la colonne indiquant le poids de chaque question


13/12/2010

23

Problmes rencontrs

Aprs tude du tableau 2010 de Mhari, on se rend rapidement compte quil est assez complexe et

long tudier.

En effet, il est compos de 14 questionnaires classs par thme. Les voici :

Organisation de la scurit

Scurit des sites

Scurit des locaux

Scurit

Rseau tendu intersites

Rseau Local

Exploitation des rseaux

Production Informatique

Scurit applicative

Scurit des projets et dveloppements applicatifs

Protection des postes de travail utilisateurs

Exploitation des tlcommunications

Processus de gestion

Gestion de la scurit de l'Information

Les 14 questionnaires sont uniquement composs de questions fermes. Il faut rpondre

seulement par Oui , Non ou Sans rponse .

Chaque questionnaire est compos de plus de 100 Questions. Au total, il faut rpondre plus de

2300 questions environ !

Nous avons transmis ce questionnaire la dfense afin quils y rpondent.

En effet, on ntait incapable de rpondre par nous mme aux questionnaires. La dfense ne

nous a transmis pratiquement aucune information concernant son rseau ainsi que sur sa politique

de scurit. Ils taient donc trs difficile pour nous de rpondre toutes les questions.

Nous avons obtenu une rponse ngative de leur part car ils estimaient quils navaient pas

assez de temps pour rpondre lensemble du questionnaire.

Au final, pour raliser une tude Mehari laide du tableur, il faut consacrer beaucoup de

temps la rponse du questionnaire. La rponse aux diffrents questionnaires demande un gros

investissement en termes de temps mais galement en termes danalyse (Recensement de la

scurit du rseau, tat du rseau, emplacement des locaux etc)


13/12/2010

24

III. Communications au sein dAssurancetourix

La communication est un lment primordial du projet compte tenu de limportance des

groupes. En effet une mauvaise communication interne et/ou externe peut faire apparaitre des

problmes de tout genre. Il tait donc important de grer au mieux ce processus.

La communication dAssurancetourix sarticule autour de deux axes : la communication interne

et la communication avec ses clients, ici, Arodef. Dans un premier temps, cette partie va sattacher

dcrire les outils de communication mis disposition de ses collaborateurs ainsi que les usages

souhaits de son systme dinformation. Dans un second temps, cette partie dcrira les moyens et

les solutions choisis afin de communiquer avec le client.

1. La communication interne

c. La chartre de lutilisateur du SI

La charte des utilisateurs est lun des documents essentiels dune entreprise. Elle permet de

dcrire les comportements, les rgles ainsi que les recommandations que se doivent de respecter

lensemble des utilisateurs du systme dinformation afin de limiter, au maximum, la perte ou le vol

dinformations.

Assuranretourix est une entreprise au service de ses clients, lesquels dtiennent des

informations sensibles et hautement confidentielles. Cest pourquoi, le service communication

dAssurancetourix a dit une charte des utilisateurs, garante du professionnalisme de lentreprise.

Voici, ci-dessous, un rsum des consignes lmentaires dcrites par la charte de lutilisateur du

systme dinformation :

Privilgier lutilisation de votre ordinateur personnel.

Verrouiller sa session avant de sloigner de son ordinateur.

Construire des mots de passes complexes associant des majuscules/minuscules et des

caractres spciaux.

Ne jamais crire son mot de passe.

Cette charte des utilisateurs a t soumise lensemble des utilisateurs du systme

dinformation, lesquels avaient pour obligation de la lire et de signaler leur accord en envoyant un

mail au service communication.

Lensemble des consignes de la charte de lutilisateur du systme dinformation est

disponible lannexe 5.

d. La communication par email

La communication entre les collaborateurs dune entreprise est un point sensible. En effet,


13/12/2010

25

de nombreuses informations plus ou moins confidentielles transitent par lintermdiaire des mails.

Cependant, cet outil bien quessentiel pour la communication entre les collaborateurs nest

absolument pas scuris.

Vous viendrez-t-il lide dcrire des informations sensibles sur une carte postale sans

enveloppe, cest--dire lisibles de tous les intervenants de la livraison (trieurs de courrier,

facteurs) ? Bien sr que non ! Cest pourquoi Assurancetourix a dcid de mettre en place une

communication par mails signs et chiffrs.

Avant de dcrire la mise en place des mails chiffrs au sein dAssurancetourix, nous avons

cr des adresses mails pour tous les collaborateurs. Toutes les adresses ont t cres laide dun

gnrateur IKEA qui permet de transcrire le prnom dun collaborateur en celui dun pseudo-meuble

IKEA. A noter que toutes les adresses mails dAssurancetourix ont t cres chez Gmail.

Figure 10 - Adresses mails dAssurancetourix

Passons maintenant aux outils utiliss par tous les collaborateurs afin de permettre la

communication via des mails chiffrs. Une procdure de mise en place des mails chiffrs a t cre,

disponible en annexe 6, afin dexpliquer chacun les procdures suivre.

Nous avons choisi dutiliser le client Thunderbird comme client de messagerie coupl avec

lextension Enigmail afin de permettre le chiffrement/dchiffrement des mails. Chaque collaborateur

a aussi d utiliser GnuPGP afin de permettre la gnration de ses clefs prive et publique. Nous

avons, par ailleurs, choisi dutiliser le protocole POP afin de supprimer les mails sur Gmail, une fois

leur transfert effectu sur Thunderbird. Bien que les mails soient chiffrs, cela permet en cas de vol

du mot de passe de messagerie de ne pas pouvoir exploiter les informations des mails contenus sur

le webmail Gmail. En effet, il faut noter que les expditeurs, les destinataires et lobjet du mail sont

en clair et que seul le contenu est chiffr.

Ainsi, seuls les mails non encore rapatris sont stocks sur le webmail. Aprs leur


13/12/2010

26

rapatriement, ils sont supprims de la webmail et disponible sur le client Thunderbird en local.

Afin de permettre lutilisation des mails chiffrs, chaque collaborateur doit envoyer sa clef

publique aux personnes avec lesquelles il souhaite communiquer et rciproquement.

e. Partage des documents via loutil GoogleDocs

Lors de ce projet de nombreux documents et procdures ont t crs aussi bien en interne

qu destination du client.

Afin de permettre une gestion des documents plus aise pour chacun, en comparaison

lenvoi des documents par mail, et une mise disposition permanente des documents, nous avons

dcid dutiliser loutil fourni, pour louverture dune boite Gmail, appel GoogleDocs. Pour se faire,

nous avons galement cr une procdure disponible en annexe 7.

Chaque collaborateur possde alors un droit en lecture sur tous les dossiers

dAssurancetourix et un droit en criture sur les groupes auxquels il appartient.

Il faut noter que notre client ne possde pas daccs cet espace de partage de documents. La

communication avec le client est dcrite ci-aprs.

2. La communication externe

a. Les runions

De nombreuses runions ont eu lieu entre AssuranceTourix et Arodef particulirement

concernant le contenu des contrats et des moyens de communication entre les deux entreprises.

Toutes les runions ont fait lobjet dun compte-rendu de runion.

b. La communication formelle

La communication externe et plus particulirement celle avec notre client sest effectu de la

manire suivante :

Toutes les communications devant tre effectues avec le client, avant ltablissement des

contrats, se sont faites par lintermdiaire des services communication des deux entreprises.

Ces communications sont faites via des mails chiffrs.

Aprs signature des contrats, le client nous a fourni une liste de contacts techniques avec

lesquels pouvaient communiquer nos quipes. Ces communications se sont effectues par


13/12/2010

27

lintermdiaire de mails non-chiffrs.

Malgr notre instance vouloir utiliser obligatoirement des communications, entre services

techniques, par lintermdiaire de mails chiffrs, le client na pas voulu entendre raison. Ce dernier

nous a fourni diffrentes raisons la non-utilisation de mails chiffrs :

Trop contraignant puisquil faut utiliser lordinateur disposant du client de messagerie.

Trop difficile mettre en place.

Devant leur rticence et malgr nos nombreux contre-arguments, nous avons cd et permis la

communication entre services technique par lintermdiaire de mails non-chiffrs. En contrepartie,

nous avons demand au client de porter la responsabilit des consquences, en cas dinterception de

ces communications non-chiffres, chose quil a accept.

c. La communication informelle

Il est intressant de noter les diffrences quil existe entre la communication formelle et la

communication informelle. La communication formelle regroupe les diffrents lments cits

prcdemment sinscrivant dans un processus de communication officiel. La communication

informelle, quant elle, sinscrit plutt dans un processus officieux dit de conversation de machine

caf .

Au travers de ce projet, nous avons us de ces deux types de communications en privilgiant

au dpart une communication par les canaux officiels. Cependant, nous narrivions pas, la plupart du

temps, nos fins. Ainsi, au fur et mesure du projet, nous avons us des canaux officieux qui

procurent des rsultats plus que convaincants.

A titre dexemple, il tait bien plus ais de sentretenir directement avec le responsable des

ouvertures de ports afin que ce dernier nous dbloque certains ports. Les ouvertures de ports

seffectuaient alors trs rapidement. A contrario, si nous tions intervenus par le canal officiel cela

aurait pris plusieurs jours sans forcment aboutir.

3. Problmes rencontrs

En lisant les rapports des annes prcdentes, on saperoit trs rapidement que les

difficults sont les mmes dannes en annes.

En dbut de projet lquipe dfense est prise dune paranoa excessive et voit dans certaines

de nos dmarches une volont de nuire leur systme. Du moins cest ainsi que nous le percevons.

De notre ct, nous avons tendance juger un peu promptement les dcisions du groupe dfense.

Ces ractions sont logiques, le groupe dfense a la volont de bien faire et par consquent restreint

un maximum laccs leur systme et aux informations, laudit quant lui veut prouver son utilit, il

se sent donc forc de dmontrer linefficacit des actions de la dfense pour pouvoir en proposer de

meilleures.


13/12/2010

28

Ces ractions logiques entravent toutefois la communication entre les 2 groupes. Comme

mentionn dans le paragraphe prcdent, au dbut de ce projet laccs aux informations de la

dfense fut laborieux. Or ces informations taient ncessaires pour rflchir aux solutions que nous

comptions proposes. Le fait de devoir passer obligatoirement par le groupe communication de la

dfense pour sentretenir avec un responsable a galement ralenti considrablement nos actions.

Malgr tout, aprs avoir fait remonter ces problmes au groupe dfense, on a pu noter, en

fin de projet, un assouplissement de toutes ces rgles ce qui nous a permis de travailler plus

efficacement sans toutefois mettre en danger larchitecture de la dfense.

IV. Serveur daudit

Au sein de ce projet, nous avions disposition un seul serveur physique. Afin de faciliter la

gestion de ce dernier nous avons opt pour la virtualisation de serveurs et dlments rseaux de

niveau 2.

1. Environnement virtualis

Larchitecture de notre systme daudit se compose dun serveur physique qui virtualise aussi

bien des quipements rseaux que des serveurs. Il se compose de :

Un pool de serveur

Un switch permettant la gestion des VLAN

Un pont entre linterface physique et le switch virtuel


13/12/2010

29

Figure 11 - Architecture de notre serveur d'audits

Afin de raliser limplmentation de ce systme, nous avons dploy la solution KVM qui est

permet d'excuter le systme d'exploitation invit de manire native sans modification. Avec cette

technique, la virtualisation n'a aucun impact sur l'excution du noyau du systme virtualis. En

revanche, la virtualisation complte sacrifie les performances au prix de la compatibilit. En effet, il

est plus difficile d'obtenir de bonnes performances lorsque le systme invit ne participe pas au

processus de virtualisation et doit traverser une ou plusieurs couches d'mulation avant d'accder

aux ressources matrielles.

Ct matriel, les dveloppements rcents sur les processeurs ont tendance diminuer les

carts de performances entre paravirtualisation et virtualisation complte. Qu'il s'agisse d'Intel (VT

: Intel Virtualization Technology) ou d'AMD (AMD-V : Industry Leading Virtualization Platform

Efficiency) les derniers processeurs disposent de fonctions matrielles pour la virtualisation.

Avec le noyau Linux, l'objectif de la solution Kernel Based Virtual Machine ou KVM est

d'ajouter des capacits de virtualisation un noyau standard. Il est ainsi possible de tirer parti de

toutes les fonctions de rglage fin dj intgres au noyau et de bnficier des nouveaux avantages

apports par les environnements virtualiss.

Avec le modle KVM, chaque machine virtuelle est un processus standard du noyau Linux

gr par l'ordonnanceur (scheduler). Un processus normal de systme GNU/Linux peut tre excut

selon deux modes : noyau (kernelspace) ou utilisateur (userspace). Le modle KVM ajoute un


13/12/2010

30

troisime mode : le mode invit qui possde ses propres modes noyau et utilisateur.

Figure 12 - KVM dans le noyau Linux

2. Mise en place

g. Partie rseau

La virtualisation de la partie rseau se fait en 4 tapes :

Activation du routage

Cration dune interface virtuelle TAP

Cration dun bridge BR0 reliant le TAP linterface physique du serveur

On raccorde le TAP au VDE-switch

Figure 13 - Schma de principe d'interconnexion


13/12/2010

31

h. Partie systme

Pour la partie systme tout est grer par KVM. La premire tape est de crer un disque

virtuel puis de dmarrer la machine avec KVM.

Lors du dmarrage des machines, on passe un ensemble de paramtre comme :

Ladresse MAC,

Le port de connexion sur le switch VDE

Le disque dur associ la machine

La mmoire attribue la machine,

Le dmarrage des machines a t script afin de facilit le dmarrage des machines. Afin de

rendre stable et facile configurer, nous avons une instruction dite post-up dans le fichier

/etc/network/interface. Cette commande excute un script (cf. Annexe n8) reprenant les tapes

prsenter dans la partie rseau pour la mise en place du commutateur.

3. Plan de reprise

Ds le dbut du projet, nous nous sommes positionns comme tant une cible potentielle pour

lattaque. De ce fait, nous avons mis en place un systme de reprise de service en cas de coupure du

serveur (physique ou virtuel).

En cas dinfiltration ou destruction dun serveur virtuel, nous disposions de copies des

disques chaque tape du projet et du dploiement dapplication. Cette copie est ralise sur lordre

des chefs de projets en cas davancer significative de la mise en place des services. Nous pouvions

donc en quelques minutes remettre un serveur virtuel en tat de marche dans ltat o nous le

souhaitions. Les sauvegardes pouvant tre redployes distance.

Dans le cas o ce soit le serveur physique qui soit cibl, nous disposions dune sauvegarde

complte comprenant galement les sauvegardes de disques virtuelles sur un serveur appartenant

Mr LATU. Afin de remettre en tat le serveur, nous devions utiliser le mme principe que celui

utiliser en salle de TP3 ; cest--dire booter le serveur sur un CD qui rcupre par la suite limage du

disque. Le temps de reprise si nous tions sur place tait dune dizaine de minutes.

V. Application daudits Systme dinformations

1. NetFlow Analyse de flux


13/12/2010

32

Netflow est un protocole propritaire Cisco sappuyant sur la notion de flux et permettant de

centraliser les informations relatives au trafic rseaux. Cest un protocole permettant de simplifier

lanalyse des compteurs des quipements rseaux.

Pour fonctionner, ce protocole a besoin de 2 entits. La premire sera prsente sur chaque

quipement rseaux et permettra de grer le cache Netflow et dexporter celui-ci vers le

centralisateur. La seconde est prsente sur le centralisateur et permet denregistrer toutes les

informations provenant des quipements rseaux.

Figure 14 - Principe de NetFlow

Un routeur sur lequel Netflow est activ possde en cache (cache Netflow) une table des flux

actifs. Celui-ci permet de compter le nombre de paquets et d'octets reus pour chaque flux. Ainsi,

chaque paquet reu le routeur met jour le cache soit en crant une nouvelle entre soit en

incrmentant les compteurs d'une entre existante.

Lorsqu'un flux expire, il est supprim du cache et les informations sont envoyes vers la

machine de collecte.

Contexte du projet :

La Dfense utilise un routeur Cisco dans son infrastructure rseaux. Nous leur avons donc

demand dutiliser Netflow (cf annexe 10) afin de nous remonter des informations vers notre

collecteur.

Pour cela nous avons choisi le couple de logiciel nfdump et nfsen :


13/12/2010

33

-nfdump est le daemon permettant denregistrer les informations rcoltes

-nfsen est une interface graphique utilisant les statistiques enregistres sous forme de

graphique sur une interface WEB.

Figure 15 - Analyse Netflow

2. SPAN

Le commutateur dentre est un CISCO, il est possible de raliser du SPAN, et donc dupliquer

toutes les requtes entrantes et sortantes vers une sortie relie la sonde SNORT. Nous avons donc

install une seconde carte rseau sur notre serveur afin de pouvoir collecter les informations

travers SNORT, PRELUDE et des analyses TSHARK lors des confrontations.

Le SPAN (Switched Port Analyzer) est une fonction des commutateurs Ethernet Cisco qui

permet de recopier sur un port donn le trafic destin un ou plusieurs autres ports. Un analyseur

de rseau connect au port SPAN peut surveiller le trafic provenant de l'un des ports du

commutateur. Cette fonction permet d'effectuer des analyses de trafic sans perturber le

fonctionnement.


13/12/2010

34

3. Gestion des logs

a. Syslog-ng et log-rotate

Les journaux, ou logs dans le jargon, servent enregistrer tous les vnements qui

surviennent sur un systme. Historiquement, le service syslog a t dvelopp pour la branche Unix

des systmes BSD. Depuis, ce service a t trs largement adopt. On le retrouve sur tous les

systmes Unix, GNU/Linux et surtout sur les quipements rseau de nombreux constructeurs. Le

protocole syslog est dcrit dans le document RFC3164 "The BSD Syslog Protocol".

Figure 16 - Daemon Syslogd

Syslog-ng (new generation) est une implmentation tendue du protocole standard de

gestion des journaux systme. Il est largement utilis dans la centralisation des logs provenant de

diffrents systmes d'infrastructures htrognes. Syslog-ng peut travailler en mode serveur

(rception des logs) ou agent (envoi des logs). Chaque machine serveur peut ainsi envoyer ses logs

systmes vers un serveur central. Syslog-ng est flexible et simple a configurer. Il propose des

fonctionnalits puissantes de filtrage de contenu permettant de rpartir les logs dans des fichiers et

rpertoires propres chaque systme.

logrotate est un outils de gestion de fichiers de logs. Il permet darchiver, dorganiser et de

sauvegarder les journaux systmes automatiquement. Loutil est modulable et permet aux

administrateurs consciencieux de conserver une trace prcise, structure et hirarchise de lactivit

de leurs machine dans le respect des lois (comme par exemple : garder une profondeur de logs dun

an ET ne pas conserver de logs de plus dun an, etc).

Loutil est essentiellement compos dun script de rotation des logs (logrotate) et de ses

fichiers de configuration (/etc/logrotate.conf et /etc/logrotate.d/*).


13/12/2010

35

Le dclenchement du script est effectu par le cron (cron, fcron ou vixie-cron). Lorsque le

script est appel, il examine les fichiers de logs qui ont t spcifi dans /etc/logrotate.conf ou

/etc/logrotate.d/*, et y applique le traitement dfinit dans le fichier de configuration (compression,

numrotation, archivage, etc).

Dans notre projet, nous centralisions lensemble de nos log serveurs mais galement ceux de

la socit AeroDef (uniquement syslog.log). Nous analysions rgulirement ltat de ces logs

(quotidiennement) dans un premier temps la main puis travers le logiciel Splunk qui nous a

facilits considrablement les recherches dvnements particuliers.

Il aurait t intressant de nous donner lintgralit de leur log systme de la socit AeroDef

afin de dceler toutes les intrusions ou effets non dsirs sur leur SI. Pour certains raisons, le fichier

auth.log (analyse dauthentification sur le systme) na t donn en audit quen fin de projet.

b. Splunk

Lditeur Splunk propose une approche novatrice dans la gestion et lexploitation des logs. Lobjectif

est damliorer la lisibilit des trs nombreuses remontes de logs issues dlments actifs du rseau.

Splunk indexe tout ou partie des logs informatiques partir de nimporte quelle source, en temps

rel (quipements rseaux, journaux dvnements, enregistrements de fichiers, modification de

configurations/paramtrages dOS, connections VPN, ).

Quelque soit la source ou le format, Splunk est capable dindexer sans modules complmentaire

acqurir, dvelopper ou maintenir.

Dans un deuxime temps, lapplication permet de rechercher les logs, de gnrer des rapports, et de

surveiller ou danalyser en temps rel les informations issues de la collecte. Ceci travers toute

l'infrastructure IT.

Splunk favorise les dpannages rapides et les investigations sur les incidents. Offre de

puissantes analyses statistiques et de corrlation de logs. Fournit galement une interface utilisateur

interactive afin dalerter, surveiller, permettre du reporting (permet de mettre jour des compteurs

dvnements, de calculer des mtriques et de spcifier des laps de temps dfinis) et des analyses.

Splunk offre la possibilit de recherches en temps rel ou rtroactive. Lassistant de

recherche propose par exemple :

une barre de recherche ainsi quune aide contextuelle afin dexploiter au mieux toute la


13/12/2010

36

puissance du langage de recherche

une interaction avec les rsultats de recherche en temps rel.

la possibilit de zoomer ou dzoomer sur une chelle de temps particulire dans loptique de

dgager rapidement des tendances, des pointes ou des anomalies.

de naviguer dans les rsultats et liminer le bruit .

Il est possible de convertir des recherches en alertes dclenchant lenvoi automatique de mails, de

notifications RSS, ou dexcution de scripts.

Il est galement prvu de pouvoir ajouter du sens aux logs en identifiant, nommant, marquant des

champs et des donnes.

Splunk permet aussi dajouter des informations partir de sources externes (bases de donnes de

management, systmes de gestion des configurations, annuaires utilisateurs).

Le gnrateur de rapport permet de crer rapidement des graphiques et des tableaux de bord qui

indiquent les tendances significatives, les hauts et les bas, les rsums des valeurs premires et la

frquence des occurrences sans demander aucune connaissance approfondie des commandes de

recherche.

Cette outils nous a t dune aide CRUTIALE pour lanalyse de log systme du fait que nous

pouvons effectuer trs rapidement des recherches trs prcises sur des mots cls, des sources, On

aurait d le mettre en place ds le dbut du projet afin dexplorer lensemble des fonctionnalits

offertes par ce systme. Il ncessite nanmoins une machine robuste et du temps pour le

paramtrage des fonctionnalits divers. Logiciel suivre car il se rvla la hauteur de nos attentes.

4. Supervision avec FAN Full Automated Nagios

Dans le cadre de notre audit de scurit de la socit AroDef, il nous a sembl judicieux

pour la prennit de leur systme dinformation de mettre en place un outil de supervision. La supervision a pour but dune part de contrler ltat de fonctionnement dun lment informatique (ordinateur, serveur, Switch, etc.), dun service (web, dns, sql, etc.), mais galement denvoyer des alertes (appele trap ) sans avoir faire une collecte dinformation sur llment informatique, mais envoyes automatiquement en cas de problme.

Il faut savoir galement que loutil de supervision sert uniquement dtecter les diffrents problmes. Il ne va en aucun cas rgler le problme par lui-mme. Il va uniquement servir lutilisateur dtecter les problmes ventuels sur les lments quil supervise.

De plus, loutil de supervision aura diffrentes vocations :

- Surveiller les lments du rseau via une interface web. - Etre alert des ventuels disfonctionnements. - Prsentation des informations divers niveaux dabstraction.

Le monde informatique tant en constante volution dans lensemble de ces domaines, la

solution de supervision a t en constante volution durant la totalit du projet afin de rpondre


13/12/2010

37

pleinement aux diffrents besoins du client dune part, mais galement de sadapter aux volutions de leur architecture dautre part.

a. Prsentation des outils

Afin de raliser la fonction de supervision de lensemble du parc AroDef, nous avons mis en place divers outils avec des fonctionnalits diffrentes. Etant donn du court dlai disponible pour raliser le projet, et en prenant en compte la complexit de mise en uvre des diffrents outils, nous avons choisi de mettre en place une solution automatise, la distribution FAN (FullyAutomatedNagios). Cette distribution linux est base sur CentOS et a pour but de proposer une solution globale ddie la supervision. Elle contient les outils de supervision suivants :

Loutil Nagios et certains de ses plugins : cur de la supervision, lment centralisateur des donnes remontes par les agents.

Loutil Centreon : surcouche loutil Nagios. Offre une interface web intuitive lutilisateur lui permettant de grer plus facilement son parc dlments superviser.

Loutil Nagvis : permet davoir une cartographie complte de larchitecture rseau (position gographique, position des services, etc.).

Loutil Nareto : propose une interface de haut niveau Nagios permettant dorganiser lensemble des lments superviser sous la forme dune arborescence (inutilis dans le cadre du projet).

Loutil Apache : serveur web qui est ncessaire au fonctionnement de lensemble des outils.

Loutil Mysql : Historisation des donnes remontes par les agents.

En complment de tous ces outils, nous avons utilis deux protocoles de supervision diffrents. Les protocoles de supervision ont pour but dinstaurer un dialogue entre la machine manager qui stocke et traite les informations, et les diffrents agents do proviennent les informations. Voici


13/12/2010

38

ci-dessous les protocoles plus en dtail :

o Le protocole SNMP : permet la machine manager dinterroger les diffrents agents, afin daller rcuprer les informations dsires dans les diffrentes MIB.

o Le protocole NRPE : permet la machine manager de demander lexcution dun code distance sur lagent , une fois ce code excut, le rsultat est retourn la machine manager .

Afin de bien comprendre le fonctionnement de la supervision, voici ci-dessous un schma explicatif sur la supervision et plus particulirement sur loutil Nagios.

Figure 17 - Schma gnral de la Supervision et Nagios

1. Nous avons tout dabord loutil Nagios qui est llment centralisateur. Il excute

diffrents plugins en fonction de linformation rcuprer ou de laction effectuer. 2. Le plugin va ensuite interroger le ou les diffrents agents en passant par lintermdiaire du

rseau. 3. Le ou les diffrents agents renvoient ensuite la rponse au plugin. 4. Le plugin va avoir ensuite deux choix possibles. Le premier tant de lever une alerte si

ncessaire, ou alors de simplement renvoyer la valeur de retour au moteur dapplication Nagios.

5. La valeur de retour est ensuite stocke, analyse, et mise en forme par loutil Nagios. 6. Loutil Nagios met disposition de lutilisateur les rsultats sous diffrentes formes


13/12/2010

39

(graphique, textuelle, etc.) via une interface web.

b. Mthodologie de dploiement

La mthode employe pour surveiller une architecture se met toujours en place en respectant le

mme schma.

Nagios/Centreon offre la possibilit de crer des modles dhtes et de services. Nous avons

donc conu des templates pour chaque type de machines. A ces modles dhtes sont associs des

modles de services.

Dans les prochains paragraphes nous prsenterons une coupe verticale du processus de

dploiement de la supervision sur larchitecture du client.

Les modles dhtes :

Dans cette partie nous allons montrer, laide de captures dcran, comment crer un modle

dhte sur Centreon. Pour cette dmonstration nous crons un modle de machine de type serveur

Linux.

Linterface de cration des modles dhtes se trouve dans la partie

configuration/Htes/Modles de Centreon.

La premire chose faire est donc de dfinir un modle de machine dont tous les serveurs linux

hriteront.

Longlet configuration de lhte va permettre de renseigner le nom de notre modle. Cest

tout ce que nous allons faire dans cette partie.

La suite du dploiement passe par la cration de modle de services que nous allons associer

au modle dhte que nous venons de crer. Ainsi toutes les machines qui hriteront du modle

Identifier les htes

surveiller

Identifier les services

surveiller sur chaque hte

Associer des utilisateurs des

services/des htes


13/12/2010

40

dhtes auront automatiquement les services associs au modle qui leur seront galement associs.

Voici les services qui sont associs automatiquement un modle :

Dans le prochain paragraphe nous allons prsenter comment ajouter dautres services au modle

dhte.

Les modles de services :

Pour ajouter un modle de service, il faut aller dans la partie configuration/services/modles.

Voici comment se prsente le formulaire de configuration du service :

Dans les informations gnrales on renseigne le nom du service ainsi que son alias. Mais la

partie la plus intressante est la commande de vrification : Cest dans cette partie quest spcifi le

plugin utilis pour aller chercher linformation recherche. Dans cet exemple on cherche avoir le

taux dutilisation du cpu. On utilise donc le plugin check_snmp_centreon_load_average.

La ligne arguments renseigne les arguments ncessaires la requte pour fonctionner.

$USER2$ : variable contenant la communaut utilise

4,3,2 : seuil au-dessus duquel la commande renvoi un warning

6,5,4 : seuil au-dessus duquel la commande renvoi un critical

Notre service est configur, il faut maintenant lassoci au modle dhte Serveur-Linux. Pour


13/12/2010

41

cela, il faut aller dans longlet relations et ajouter Serveurs-Linux la liste Lier aux modle de

lhte :

Assurons-nous que le service apparat maintenant dans linterface de configuration du

modle de lhte :

On aperoit bien en bas droite de la capture ci-dessus le nom du nouveau service en gris.

La cration dun hte :

Le modle server-Linux est cr et configur selon nos souhaits. Pour autant ce niveau l,

aucun serveur linux nest surveill.

Mais grce au travail sur les modles cela sera grandement facilit. Il suffit de crer une machine,

lui donn un nom, un alias, renseign son @IP et surtout lassoci au groupe des Servers-Linux et le

tour est jou.

On voit sur la capture ci-dessus que nous avons ajout la machine Centreon-Server au

modle Server-linux et dcid de crer les services associs au modle.


13/12/2010

42

Les services associs notre serveur Centreon sont crs automatiquement.

Les ajouts de plugins :

Il se peut que les plugins initialement prvus dans la FAN ne rpondent pas une de nos

problmatiques. Heureusement, Nagios possde une communaut active de personnes qui

dveloppent des plugins en perl ou en bash. Ces plugins sont ensuite tlchargeables via des sites

web.

Vous pouvez trouver de nombreux plugins ladresse suivante : http://exchange.nagios.org/

Les plugins doivent tre placs dans le rpertoire /usr/lib/nagios/plugins. Il faut ensuite crer

une nouvelle commande ou nous spcifierons la syntaxe de la requte dutilisation du plugin. Une

fois la commande cre il faut lutiliser dans un service que nous associerons lhte surveiller.

On peut ainsi configurer nos services pour quils renvoient exactement linformation souhaite et

de la manire dsire.

La prochaine tape aurait t de dvelopper nous-mme nos propres plugins mais le temps nous

manquait.

Les utilisateurs :

La finalit de ce systme de supervision rseau est de mettre en place une solution pour le client.

Nous avions donc dans lide de permettre au personnel dArodef de consulter la plateforme

Centreon. Nous devions donc crer des utilisateurs ayant des droits restreints et un visu sur

seulement une partie de larchitecture. Les lignes qui suivent vous prsentent comment nous avons

procd.

Nous crons donc un utilisateur invitAerodef. Linterface de cration des utilisateurs se trouve

dans configuration/utilisateur.


13/12/2010

43

Il faut ensuite placer cet utilisateur dans un groupe daccs. Nous avons dcid de crer de

nouveaux groupes plutt que dutiliser les groupes existants.

Nous crons donc un groupe daccs Aerodef et ajoutons notre nouvel utilisateur sa

liste de contacts lis. Le menu de cration de groupe daccs se situe dans administration/ACL/Access

Groups.

A ce groupe nous allons permettre laccs seulement aux onglets accueil, supervision, vues,

rapports. Pour cela rendons nous dans administration/ACL/Resources Access.

On cre ensuite une nouvelle liste de contrle daccs. Dans cette liste nous spcifierons le

groupe dutilisateurs et les machines impacts par les ACL.


13/12/2010

44

Nos ACL vont sappliquer sur le groupe daccs Aerodef et sur les Servers-Linux.

Il nous reste plus qu crer les rgles daccs dans administration/ACL/Menus Access. Dans

cette partie on renseigne les onglets accessibles par le groupe daccs aerodef. Vous voyez dans la

capture ci-dessous que nous leur permettons daccder uniquement aux onglets mentionns un peu

plus haut dans le rapport.


13/12/2010

45

Connectons-nous maintenant avec lutilisateur inviteAerodef :

Comme le montre la capture ci-dessus seul les 4 premiers onglets sont visibles.

Nagvis :

Nagvis est un addon de visualisation pour Nagios qui permet de gnrer des vues mtier de la supervision. Il est trs facile installer, utiliser et trs intuitif avec Nagios et son systme de Drag and Drop. Cet outil permet de raliser une cartographie des lments superviser au sein dun systme dinformation. Une fois la carte du systme dinformation conue, il faut rcuprer les htes et les services superviss dans Nagios et les placer sur la map. Nagvis a t mis en place pour avoir une vue simple et globale de larchitecture et pour connatre ltat de chaque lment superviser. Son avantage est quil permet aux chefs davoir un rsum de ltat de fonctionnement du systme dinformation de lentreprise AroDef. Nous avons donc dcid de ne pas reprsenter sur cette carte tous les services superviss dans Nagios, mais plutt de slectionner les plus importants destination les chefs. Voici les htes et les services superviss :


13/12/2010

46

Figure 18 - Nagvis au sein d'Arodef

Lgende :

Reprsente les htes.

Reprsente les services. La couleur verte signifie que llment fonctionne correctement. Le jaune signifierait quun lment est en tat de warning et le rouge un problme majeur sur llment.

c. Surveillance de larchitecture AeroDef :

Aprs avoir abord la partie concernant la mthodologie de dploiement, nous allons maintenant lappliquer larchitecture de la socit AroDef. En effet, dans cette partie, nous voquerons les diffrents quipements qui ont t superviss, mais galement les diffrentes informations rcoltes sur chaque quipement.

Les lments rseau :

o Le Routeur CISCO :

- Etat du routeur (UP/DOWN)

- Ping

- Etat des diffrentes interfaces (ex : f0/0 : UP/DOWN)


13/12/2010

47

- Charge CPU (en pourcentage)

- Charge mmoire (en pourcentage)

o Le Switch CISCO :

- Etat du Switch (UP/DOWN)

- Ping

- Etat des diffrentes interfaces (ex : f0/0 : UP/DOWN)

- Charge CPU

- Charge mmoire

Les lments systme :

o Le serveur de service (serveur Linux):

- Etat du serveur (UP/DOWN)

- Ping


- Charge Mmoire (en pourcentage)

- Espace disque (espace libre / espace utilis)

- Service HTTP (UP/DOWN)

- Service SSH (UP/DOWN)

- Service DNS (est-ce le bon serveur Dns qui rpond ?)

o Le contrleur de domaine (serveur Windows):

- Etat du serveur (UP/DOWN)

- Ping


- Charge Mmoire (en pourcentage)

- Espace disque (espace libre / espace utilis)

Remarque : les diffrents postes clients ntant pas dune importance capitale dans le fonctionnement de larchitecture de la socit AroDef, nous avons choisi de ne pas les superviser afin de ne pas surcharger le rseau, et davoir une supervision plus toffe des diffrents quipements rseaux et serveurs.

Maintenant que nous avons pass en revue les procdures de mises en place et les diffrents quipements que nous avons supervis, nous allons maintenant aborder dans cette partie les rsultats que nous avons pu obtenir grce aux diffrents outils mis en place.

d. Rsultats obtenus :

Interface supervision_rseau :

Afin de permettre au responsable rseau de la socit AroDef davoir une vue densemble sur ses quipements, nous lui avons cr une interface spcifique. Cette interface est accessible via internet (login/mot de passe).


13/12/2010

48

Elle contient lensemble des lments de supervision lis aux quipements rseaux. Cette interface a la particularit dtre uniquement consultable. En dautres termes, lutilisateur peut uniquement consulter les diffrentes donnes (valeurs, graphes, etc.) mais en aucun cas changer les configurations de supervision.

Figure 19 - Interface "supervision_rseau"

Interface supervision_serveur :

Sur le mme principe, nous avons galement cr une interface spcifique pour le responsable des diffrents serveurs de la socit AroDef. Cette interface possde les mmes caractristiques que linterface rseau, la diffrence que celle ci contient les informations relatives aux diffrents serveurs.

Figure 20 - Interface "supervision_serveur"

Dtection du problme de mauvais serveur DNS :

Grce au plugin NRPE concernant le serveur DNS, nous avons pu dtecter quun mauvais serveur (autre que celui de la socit AroDef dfini dans les paramtres) rpondait aux requtes DNS. Loutil de supervision a permis ici de dtecter une attaque par dnsspoofing .


13/12/2010

49

Figure 21 - Problme "mauvais serveur DNS"

Dtection du problme surcharge du routeur :

Concernant le routeur, les outils de supervision ont permis de dtecter, pendant une priode assez significative (hors fonctionnement nominal), une monte de la charge CPU. Cette anomalie peut tre lie une utilisation intensive du rseau (cas normal), ou alors une surcharge volontaire du routeur par une attaque (cas anormal).

Figure 22 - Problme "surcharge du routeur"

Dtection du problme serveur de service DOWN :

Pour finir, aprs une attaque de vol didentit sur le serveur de service, celui-ci est devenue injoignable et hors service. Au niveau de la supervision, nous avons constat plusieurs alertes qui sont apparues, et nous avons pu contacter le responsable dAroDef concern.


13/12/2010

50

Figure 23 - Problme "serveur de service DOWN"

e. Problmes rencontrs

Durant le projet de scurit, le groupe supervision a t confront diffrents problmes de sources diffrentes. Cette partie a pour but de retracer les diffrents problmes et les solutions qui ont t mises en place pour les rsoudre.

1er problme : connaissance de larchitecture AroDef :

Le premier problme auquel nous avons t confronts concerne la connaissance non exhaustive de larchitecture AroDef. La mise en place de la supervision a dbut ds le commencement du projet. Mais, ce moment-l, larchitecture dAroDef ntait pas compltement mise en place et plusieurs lments nouveaux superviser se sont petit petit intgrs. Afin daborder ce problme le plus efficacement possible, nous avons tout dabord demand lquipe AroDef de nous tenir inform (le plus rapidement possible) des nouveaux quipements installs. Par la suite, nous avons organis plusieurs runions, cf. annexe 11, avec les diffrents responsables concerns, afin davoir une liste la plus complte possible sur les quipements quils souhaitaient superviser, mais galement le type de supervision pour chaque quipement (ex : charge CPU, PING, etc.)

Session2k10.Analyse.rapport

Documents

Transcript of Session2k10.Analyse.rapport