Beruflich Dokumente
Kultur Dokumente
SECURIDAY 2013
Cyber War
SECURINETS
Prsente
Atelier : Analyse des fichiers logs
Date de cration
:27/04/2013
Page1
SECURINETS
Date de cration
:27/04/2013
1. Prsentation de latelier :
Les logs sont bien souvent les premiers tmoins d'un vnement sur un quipement
du Systme dInformation. Ils proviennent d'applications, de systmes d'exploitation, d'quipements
rseau ou de scurit et sont utiliss pour dtecter les failles de scurit, les traces d'activit
inhabituelle ainsi que les dfaillances matrielles ou logicielles. Ce sont des sources dinformation qui
aident les administrateurs comprendre les origines d'un vnement et optimiser les systmes
i.
Objectif :
Lobjectif est dobtenir un outil dans lequel sont paramtres des rgles de bonne pratique
qui dclencheront une alerte lorsque lanalyse dtectera une action ou une rgle non conforme.
ii.
Ossim :
OSSIM est une solution fdrant dautres produits open-source au sein dune infrastructure
complte de supervision de la scurit (framework)
Le framework au sens dOSSIM pour objectif de centraliser, dorganiser et damliorer la dtection
et laffichage pour la surveillance des vnements lis la scurit du systme dinformation dune
entreprise.
Le framewok est ainsi constitu des lments de supervision suivants
Un panneau de contrle
Page1
Date de cration
:27/04/2013
ii-Ossec :
Ossec est une application de dtection dintrusion, et plus prcisment un HIDS (Host
Intrusion Detection System). Il permet de surveiller lintgrit des fichiers systmes, aussi bien sur
des postes Linux que Windows.
De plus, Ossec dtecte galement des attaques de pirates comme les rootkits, les scans de ports, et
analyse les logs du systme, des applications et des services. Le logiciel propose galement un
systme de rponses actives, cest--dire dactions raliser en cas dattaque.
iii-Snort :
Snort est un NIDS (Network Intrusion Detection System). Il a pour rle dcouter sur le rseau
la recherche dattaques de pirates, quil dtecte grce de nombreuses rgles disponibles sur le
site officiel, galement auprs de certaines communauts comme Emerging.
Lapplication analyse le rseau, le trafic en temps rel, et peut logger des paquets. Les alertes sont
ensuite stockes dans une base donnes, elles peuvent tre galement sous forme de logs. Snort
peut aussi transmettre, notifier les vnements. Il est bas sur un systme de signatures et combine
donc lanalyse du trafic par signature, protocole et anomalie.
iV-Backtrack :
Cest une distribution Linux, base sur Slackware jusqu' la version 3 et Ubuntu depuis la
version 4, apparue en janvier 2010. Elle est ne de la fusion de Whax et Auditor. Son objectif est de
fournir une distribution regroupant l'ensemble des outils ncessaires aux tests de scurit d'un
rseau.
Backtrack fournit de plus des outils de scurit tel que le scanner de port jusquaux crackers
de mot de passe. Il inclut plusieurs logiciels commenant par Metasploit, Nmap, Wireshark
Page2
Date de cration
:27/04/2013
Ntop
P0F
Tcptrack
Fonctionnement
-Open source
-Detection dintrusion / NIDS
-Effectuer en temps rel des analyses de trafic et lanalyses de protocole
-il analyse le trafic du rseau, compare ce trafic des rgles dj dfinies par
lutilisateur et tabli des actions excuter.
-Open Source
-Supervision du rseau
-capturer et analyser les trames d'une interface donne et observer une majeure
partie des caractristiques du trafic entrant et sortant
-La sonde Ntop met en place un serveur Web permettant le son monitoring
ainsi que la sa configuration distance.
-permet de faire de la dtection de systmes dexploitation de manire passive,
par coute du rseau.
-Il analyse les trames transitant sur le rseau (le segment analyse) et les
compare avec une base de donnes des caractristiques de chaque OS
-TCPTrack est un sniffer
-dtection passive de connexions TCP
-Il permet laffichage des adresses source et destination, de ltat de la
connexion, du temps de connexion
ainsi que de la bande passante utilise.
3. Topologie du rseau :
i.
Architecture :
Page3
ii.
Date de cration
:27/04/2013
Environnement technique :
Serveur OSSIM
Machine Windows sur laquelle on a install un agent Ossec
Machine Ubuntu sur laquelle on a install un agent Snort
Installation dOSSIM :
3) A ce stade, vous devrez configurer votre carte rseau. Vous devez utiliser une adresse IP
avec accs Internet pendant le processus d'installation. Cette adresse IP sera utilise par l'interface
de gestion. Entrez l'adresse IP et cliquez sur "Continuer".
Copyright 2013 - SECURINETS - Club de la Scurit Informatique lINSAT
www.securinets.com
Page4
Date de cration
:27/04/2013
5) Entrez le masque de rseau et cliquez sur "Continuer". En cas de doute laissez la valeur par
dfaut de 255.255.255.0.
6) Entrez l'adresse IP de la passerelle par dfaut et cliquez sur "Continuer".
Page5
Date de cration
:27/04/2013
Page6
Date de cration
:27/04/2013
Pour activer ces plugins il faut choisir loption Save & Exit
10) Pour ouvrir linterface graphique, tapez ladresse IP (192.168.1.3) dans le navigateur :
Page7
ii.
Date de cration
:27/04/2013
Vous allez installer sur votre machine Windows, un agent en utilisant le logiciel Manage OSSEC.
Page8
Date de cration
:27/04/2013
iii.
5. Un scenario de test:
Pour le scnario dattaque on va utiliser BackTrack : metasploit
i.
Architecture :
Page9
Date de cration
:27/04/2013
ii.
BackTrack :
1) Tout dabord, on fait un scan sur la machine cible : Windows : afin de savoir les ports
ouverts
Page10
Date de cration
:27/04/2013
2) Ensuite, on utilise la commande search exploits windows: qui permet de trouver les
exploits de la machine cible
4) Il est possible d'avoir des informations sur cet exploit avec la commande info.
Page11
Date de cration
:27/04/2013
5) Maintenant il faut choisir le payload que l'on va utiliser. Les payloads disponibles pour cet
exploit se trouvent avec la commande show payloads. Une multitude de payloads existent pour cet
exploit, je n'en ai donc affich que quelques uns. La slection du payload se fait via la commande set
PAYLOAD payload_a_utiliser. Enfin comme pour les exploits, les payloads ncessitent parfois une
configuration que l'on peut toujours voir avec la commande show options.
7) Chaque exploit peut ncessiter une configuration, qu'il est possible de voir avec la
commande show options. Ici la variable RHOST doit tre prcise. Elle reprsente l'adresse IP de la
machine victime. Les autres variables ont des valeurs par dfaut et peuvent tre modifies si besoin.
Copyright 2013 - SECURINETS - Club de la Scurit Informatique lINSAT
www.securinets.com
Page12
Date de cration
:27/04/2013
Avec :
Page13
Date de cration
:27/04/2013
6. Conclusion:
Ossim est outil trs fiable au niveau de ladministration du systme dinformation. Il permet
de dtecter et analyser les attaques et les menaces son rseau et hosts.
Page14
Date de cration
:27/04/2013
Bibliographie :
Source : http://wiki.monitoring-fr.org
http://www.philippe-martinet.info/ossim
Page15