Você está na página 1de 107

Rapport du projet de scurit

Lise BANQUET
Kenza BENGELLOUN
Goulven BUREL
Alexandre CLAMART
Tristan DELGRANGE
Christophe DUBOS
Romain LAVERNHE
Alexandre LACOURTE
Pierre-Michel LEBOULCH
Nyaka LELO
Gwendal RAISON
Bastien TEIL
Maxime VIAUD
Mdric VIGROUX

Socit Assurancetourix
13/12/2010

Groupe Audit Socit Assurancetourix

Tables des matires


Tables des matires ................................................................................................................................. 1
Introduction............................................................................................................................................. 6
I.

La socit daudit Assurancetourix ............................................................................................. 7


1.

Prsentation dAssurancetourix .............................................................................................. 7

2.

Organisation de la socit ....................................................................................................... 7

II.

a.

Communication ................................................................................................................... 8

b.

Administration, organisation et qualit .............................................................................. 8

c.

Norme EBIOS/Mehari .......................................................................................................... 8

d.

Supervision .......................................................................................................................... 9

e.

VOIP/TOIP ............................................................................................................................ 9

f.

Audit Actif ............................................................................................................................ 9

Contexte du projet .................................................................................................................... 10


1.

Processus Appel doffre RAO contrat ........................................................................ 10

2.

Nos objectifs .......................................................................................................................... 12

3.

Architecture de la socit AeroDef ....................................................................................... 13

4.

MEHARI.................................................................................................................................. 14
a.

Prsentation de MEHARI ................................................................................................... 15


Objectifs................................................................................................................................. 15
Concepts ................................................................................................................................ 15
Analyse des enjeux ................................................................................................................ 16
Analyse des vulnrabilits ..................................................................................................... 17
Analyse des risques ............................................................................................................... 17
Pilotage de la scurit ........................................................................................................... 18

b.
III.

Mise en uvre................................................................................................................... 19
Communications au sein dAssurancetourix ......................................................................... 24

1.

La communication interne .................................................................................................... 24


c.

La chartre de lutilisateur du SI .......................................................................................... 24

d.

La communication par email ............................................................................................. 24

e.

Partage des documents via loutil GoogleDocs ................................................................. 26

2.

La communication externe .................................................................................................... 26


a.

13/12/2010

Les runions....................................................................................................................... 26

Groupe Audit Socit Assurancetourix


b.

La communication formelle............................................................................................... 26

c.

La communication informelle............................................................................................ 27

3.

Problmes rencontrs ........................................................................................................... 27

IV.

Serveur daudit ...................................................................................................................... 28

1.

Environnement virtualis ...................................................................................................... 28

2.

Mise en place......................................................................................................................... 30
g.

Partie rseau...................................................................................................................... 30

h.

Partie systme ................................................................................................................... 31

3.
V.

Plan de reprise ....................................................................................................................... 31


Application daudits Systme dinformations ........................................................................ 31

1.

NetFlow Analyse de flux ..................................................................................................... 31

2.

SPAN ...................................................................................................................................... 33

3.

Gestion des logs..................................................................................................................... 34


a.

Syslog-ng et log-rotate ...................................................................................................... 34

b.

Splunk ................................................................................................................................ 35

4.

Supervision avec FAN Full Automated Nagios.................................................................... 36


a.

Prsentation des outils ...................................................................................................... 37

b.

Mthodologie de dploiement.......................................................................................... 39
Les modles dhtes : ............................................................................................................ 39
Les modles de services : ...................................................................................................... 40
La cration dun hte : .......................................................................................................... 41
Les ajouts de plugins : ........................................................................................................... 42
Les utilisateurs : ..................................................................................................................... 42
Nagvis : .................................................................................................................................. 45

c.

Surveillance de larchitecture AeroDef :............................................................................ 46


Les lments rseau : ...................................................................................................... 46
Les lments systme :.................................................................................................... 47

d.

Rsultats obtenus : ............................................................................................................ 47


Interface supervision_rseau : ........................................................................................ 47
Interface supervision_serveur : ....................................................................................... 48
Dtection du problme de mauvais serveur DNS : ......................................................... 48
Dtection du problme surcharge du routeur : .............................................................. 49
Dtection du problme serveur de service DOWN : ....................................................... 49

13/12/2010

Groupe Audit Socit Assurancetourix


e.

Problmes rencontrs ....................................................................................................... 50


1er problme : connaissance de larchitecture AroDef :..................................................... 50
2me problme : installation des agents .............................................................................. 50
3me problme : autorisation du Firewall : .......................................................................... 50
4me problme : surcharge du rseau et des log : ............................................................... 50
5me problme : diffrence dutilisation entre SNMP et NRPE : ......................................... 51

5.

IPS / IDS ................................................................................................................................. 52


a.

SNORT ................................................................................................................................ 53

b.

Le SIEM Prelude ................................................................................................................. 56

c.

Module Apache mod_security .......................................................................................... 58

6.

Nessus.................................................................................................................................... 60

VI.

VOIP et Tlphonie ................................................................................................................ 61

1.

Installation du serveur Astrisk ............................................................................................. 61


a.

Rcupration de la dernire version dAsterisk ................................................................ 61

b.

Installation dAsterisk ........................................................................................................ 62

2.

Configuration du serveur Astrisk ......................................................................................... 62


a.

Cration de deux comptes SIP pour Xlite .......................................................................... 62

b.

Configuration de Xlite ........................................................................................................ 64

c.

Passage du serveur Asterisk sous un autre user ............................................................... 66

d.

Filtrage des flux de la TOIP ................................................................................................ 67


Prsentation gnral du filtrage applicatif de donnes ........................................................ 67
Les passerelles de niveau applicatif ...................................................................................... 68

e.

Etude pour 40 postes ........................................................................................................ 68


Les quipements ................................................................................................................... 68
Le rseau ............................................................................................................................... 69

3.

Listes des attaques ralisables et solutions pour les contrer................................................ 69


a.

Les attaques ralisables..................................................................................................... 69


Dni de Service (DOS) ............................................................................................................ 69
Manipulation du stream RTP et SIP : ..................................................................................... 70
Relecture ............................................................................................................................... 70
Man In the Middle : ............................................................................................................... 70
Ecoute et analyse des flux RTP : ............................................................................................ 71
Rcupration et cassage des comptes : ................................................................................ 71

13/12/2010

Groupe Audit Socit Assurancetourix


Usurpation de numro : ........................................................................................................ 71
b.

Les attaques Ralises par nos soins ................................................................................. 72


Ecoute et analyse des flux RTP .............................................................................................. 72
Rcupration et cassage des comptes .................................................................................. 73

c.

Les parades aux attaques: ................................................................................................. 76


Usurpation de numro : ........................................................................................................ 76
Parefeu statefull : .................................................................................................................. 76
Scurisation des protocoles SIP et RTP : ............................................................................... 76
WAN :..................................................................................................................................... 76

4.

Les problmes rencontrs ..................................................................................................... 77


a.

Communication avec Aerodef ........................................................................................... 77

b.

Les problmes techniques ................................................................................................. 77


Le softphone Xlite .................................................................................................................. 77
Configuration X-lite pour Tag Vlan ........................................................................................ 77
Configuration des switchs ..................................................................................................... 78
Configuration des tlphones CISCO..................................................................................... 79

VII.

Les tapes du projet .............................................................................................................. 80

1.

Premire confrontation ......................................................................................................... 80


a.

Exploit PDF ......................................................................................................................... 81

b.

DNS Spoofing ..................................................................................................................... 82

c.

Recommandations mises................................................................................................. 84

2.

Seconde confrontation La revanche ............................................................................... 85

3.

Troisime confrontation Ultimate Fighting .................................................................. 85

4.

Cas de la tlphonie .............................................................................................................. 86

Conclusion ............................................................................................................................................. 88
Table dillustration................................................................................................................................. 89
Sources .................................................................................................................................................. 90
Annexe 1 : RAO de supervision. ............................................................................................................ 91
Annexe 2 : RAO Voip/Toip. .................................................................................................................... 91
Annexe 3 : Contrat complet de supervision. ......................................................................................... 91
Annexe 4 : Contrat complet de Voip/Toip............................................................................................. 91
Annexe 5 : Charte de lutilisateur du systme dinformation. .............................................................. 91
Annexe 6 : Mise en place des mails chiffrs. ......................................................................................... 91

13/12/2010

Groupe Audit Socit Assurancetourix


Annexe 7 : GoogleDocs.......................................................................................................................... 92
Annexe 8 Script automatisation du serveur ....................................................................................... 93
Annexes 9 Mise en place de Syslog-ng et log-rotate.......................................................................... 95
Annexes 10 Mise en place de NetFlow............................................................................................... 98
Annexe 11 Compte rendu de la runion du 25 Octobre 2010 entre la supervision et les responsables
des serveurs......................................................................................................................................... 100
Annexe 12 Tutoriel dinstallation du protocole SNMP sur un serveur LINUX et WINDOWS ........... 100

13/12/2010

Groupe Audit Socit Assurancetourix

Introduction
Fidle aux annes prcdentes, les tudiants de master 2 STRI sont soumis une paranoa
soudaine durant quelques semaines. En effet, afin dillustrer nos connaissances en scurit
informatiques acquises durant les cours nous avons pris part au projet de scurit men par Mr
LATU.
Notre promotion est alors divise en trois groupes de projets afin doffrir trois approches des
scurits des systmes dinformations :

Le groupe Dfense le but est de mettre en place un systme dinformation que lon peut
retrouver dans une entreprise et offrir le maximum de scurit et de protection pour ses
services et donnes.

Le groupe Attaque lobjectif est de mettre mal linfrastructure du systme dinformation


du groupe dfense

Le groupe Audit ce dernier groupe doit travailler en troites collaboration avec le groupe
de dfense afin de lui offrir un grand nombre de service leurs permettant dassurer la
scurit des systmes dinformations.

A travers ce document, nous vous expliquerons notre organisation au sein de notre socit
daudit AssuranceTourix ainsi que les diffrents outils mis en place afin de superviser dtecter les
intrusions ventuelles sur le rseau de la socit AeroDef.

13/12/2010

Groupe Audit Socit Assurancetourix

I.

La socit daudit Assurancetourix

1. Prsentation dAssurancetourix

Assurancetourix est une jeune entreprise d'audit en rseau et tlcom. Elle emploie 14
personnes dans la rgion Toulousaine.
Assurancetourix annonce la russite la certification ISO 27001:2005 pour ses prestations
d'audits de scurit des systmes d'information.

RAISON SOCIALE

Assurancetourix France

STATUT

SAS au capital de 1

SIEGE SOCIAL

Universit Paul Sabatier, Bt U3, IUP STRI, 118 Route de


Narbonne
31062 Toulouse Cedex 9

EFFECTIF

14 personnes

HISTORIQUE

Septembre 2010 : cration d'Assurancetourix en France

Concrtement, pour une socit d'audit comme Assurancetourix, cela signifie que la manipulation
des donnes relatives aux audits de scurit chez ses clients s'effectue avec le niveau de protection
requis, ces donnes tant effectivement sensibles.
La certification ISO 27001 garantit qu'elle met en uvre un systme de management et des mesures
de scurit organisationnelles et techniques. Cela signifie qu'un cercle vertueux a t enclench pour
une amlioration continue.
En septembre 2010, l'offre audit d'Assurancetourix a t audite et certifie ISO 27001 par
l'organisme LSTI1, accrdit par le COFRAC2.

2. Organisation de la socit

Notre organisation au sein de lentreprise nous permettant davoir un poste technique mais
galement un poste plus bureaucratique. Chaque personne occupait donc 2 rles.
Nous avons plusieurs ples dexpertise :

13/12/2010

Socit
AssuranceTourix

Communication

Supervisions

VOIP/TOIP

Normes
EBIOS/MEHARI

Technique

IDS/IPS

Qualit

Chef de projet

Audit Actif

Groupe Audit Socit Assurancetourix


a. Communication

Le but de cette entit consiste la relation avec notre client et la communication au sein
dAssuranceTourix.

Communication

Romain
LAVERNHE

Maxime VIAUD

Tristan
DELGRANGE

Pierre-Michel
LE BOULC'H

Figure 1 - Organisation du groupe communication

b. Administration, organisation et qualit

Les objectifs de ce groupe est de valider et de sassurer que les documents mis par la
socit que ce soit pour notre client ou en interne soit conforme et correct aux diffrentes rgles
appliqu dans la diffusion de linformation au sein de la socit.
Administration,
organisation et
qualit

Kenza
BENGELOUN

Gwendal
RAISON

Figure 2 - Organisation du groupe d'administration, organisation et qualit

c. Norme EBIOS/Mehari
Normes EBIOS
et MEHARI

Goulven
BUREL

Alexandre
CLAMART

Nyaka LELO

Lise BANQUET

Figure 3 - Organisation du groupe EBIOS et MEHARI

13/12/2010

Groupe Audit Socit Assurancetourix


d. Supervision

Supervision

Bastien TEIL
Chef de projet

Pierre-Michel
LE BOULC'H

Lise BANQUET

Romain
LAVERNHE

Figure 4 - Organisation du groupe supervision

e. VOIP/TOIP
VOIP/TOIP

Mdric
VIGROUX
Chef de projet

Tristan
DELGRANGE

Goulven BUREL

Figure 5 - Organisation du groupe VOIP/TOIP

f.

Audit Actif

Audit Actif

Alexandre
LACOURTE
Chef de projet

Maxime VIAUD

Gwendal
RAISON

Figure 6 - Organisation du groupe d'audit actif

13/12/2010

Groupe Audit Socit Assurancetourix

II.

Contexte du projet
1. Processus Appel doffre RAO contrat

Nous allons voir dans cette partie le processus de cration des contrats nous liant avec la
socit Arodef. En effet, cette entreprise avait mis deux appels doffres. Un concernant la
supervision de leur systme dinformation et un autre pour la VoIP ToIP.
Pour les mettre en place, nous avons tudi ces appels doffres et rdig une rponse appel
doffre (RAO) pour la supervision et une pour la VoIP - ToIP. Ces rponses dcrivaient lensemble des
services que nous pouvions fournir au client.
Voici la structure de la RAO de supervision :
I. Prsentation d'Assurancetourix :
A. Assurancetourix
B. La mission
C. Les qualifications et certifications
D. La rpartition des services
E. La fiche didentit
II. Le projet daudit actif :
A. Introduction du projet daudit actif
B. Outils mis en place
1. Nessus
2. Netflow - Mtrologie
3. Gestion des logs
4. Analyse complmentaire
C. Cots et investissements
III. Le projet supervision :
A. Introduction du projet supervision
B. Choix techniques
C. Fonctions
D. Intgration larchitecture du client
E. Estimation des cots
F. Droulement et mise en place
G. Recommandations et remarques
IV. Le projet IDS/IPS :
A. Introduction du projet IDS/IPS
B. Projet
C. Cots et investissements
Annexe
Vous trouverez la RAO de supervision en annexe 1.
Et celle de la VoIP ToIP :

13/12/2010

10

Groupe Audit Socit Assurancetourix


I. Prsentation d'Assurancetourix :
A. Assurancetourix
B. La mission
C. Les qualifications et certifications
D. La rpartition des services
E. La fiche didentit
II. Prsentation du projet Toip/Voip :
A. Choix techniques
B. Intgration larchitecture du client
C. Estimation des cots
D. Droulement et mise en place
E. Recommandations et remarques
Annexe
Vous trouverez la RAO de VoIP - ToIP en annexe 2.

La socit Arodef nous avait donn deux dates diffrentes concernant les RAO. Une
premire pour la supervision (07/10/2010) et une deuxime pour la VoIP ToIP (20/10/2010).
Une fois la RAO supervision mise, nous pensions que lentreprise Arodef laurait tout
simplement consult et annot les points sur lesquels ils taient daccord et ceux o ils ne ltaient
pas. Mais ils ont prfr rdiger un contrat synthtisant cette RAO.
Nous avons donc t surpris de cette dcision puisque le contrat de supervision ne contenait
que les grandes actions que nous tions censs mettre en place. Nous leur avons donc fait part de
notre volont de mettre en annexe du contrat cette RAO.
Comme ils ntaient pas daccord avec tous les points dcrits, nous lavons modifi jusqu ce
quils lapprouvent et quils acceptent de la mettre en annexe. Cela tait aussi valable pour la RAO de
VoIP ToIP.
Voici comment se compose le contrat de supervision tablit entre nos deux socits :
Article 1 Partage des informations
Article 2 Clause de confidentialit
Article 3 Moyens mis disposition au Prestataire pour la supervision et utilisation de ces
moyens
Article 5 Frais
Article 6 Communication
Article 7 Modification du contrat
Vous trouverez le contrat complet de supervision en annexe 3.

Voici la composition du contrat de VoIP ToIP :


Article 1 Partage des informations :
Article 2 Clause de confidentialit :

13/12/2010

11

Groupe Audit Socit Assurancetourix


Article 3 Moyens mis disposition au Prestataire pour le projet ToIP/VoIP
Article 5 Frais
Article 6 Communication
Article 7 Modification du contrat

Vous trouverez le contrat complet de VoIP-ToIP en annexe 4.

Aprs avoir vu la partie prsentant la mise en place des contrats entre la socit
Assurancetourix, nous allons nous intresser aux outils de communication et de scurisation mis en
place.

2. Nos objectifs

Aujourd'hui, le rseau est au cur du systme d'information des entreprises et constitue un


de ses lments les plus sensibles. C'est sur la fiabilit et les performances de son infrastructure de
rseaux que repose l'ensemble des changes internes et externes de l'entreprise, ainsi que le bon
fonctionnement de ses applications mtier. Dans le mme temps, le dveloppement des rseaux et
de l'utilisation d'Internet s'accompagnent d'un besoin croissant de la part des entreprises en outils
pour optimiser et scuriser ces rseaux. Assurancetourix rpond l'ensemble de ces demandes et
fournit ses clients, un service de haut niveau, grce une connaissance pointue de leurs besoins et
une approche adapte chacun d'eux.
Nos objectifs internes taient au dbut du projet les suivants avant la signature du contrat et
lappel doffre :

Sous-groupe VOIP :
Dploiement dAsterisk ainsi que 2 soft phones XLITE. court terme
Possibilit de raliser des communications en externe (accs internet) long terme
Audit sur les ventuelles attaques long terme
Sous-groupe IDS:
Dploiement de loutil PRELUD (surcouche de SNORT) court terme
Migration et centralisation vers OSIM long terme
Sous-groupe Audit Actif :
Dploiement de Nessus court terme

13/12/2010

12

Groupe Audit Socit Assurancetourix


Simulation des flux malveillants pour dtction court terme
Utilisation de TOOL KIT long terme
Audit de machines et dquipements rseaux (en ngociation) long terme
Migration et centralisation vers OSIM long terme

Sous-groupe Supervision :
Dploiement de loutil de supervision FAN court terme
Remonter dalertes pertinentes et intgration dans le SI dAerodef (email, tlphone,) long terme
Migration et centralisation vers OSIM long terme
Pour la majorit des groupes, le travail effectu durant le projet ne correspond en rien celui fix
dans nos objectifs. Cette volution est due la difficult de rendre oprationnel certains outils ou
que la socit AeroDef ne souhaitait pas que cela se fassent en particulier pour le groupe audit actifs.
De ce fait, ce groupe a pris en charge la gestion complte du serveur de laudit mais galement
certains outils danalyse qui nous dtaillerons par la suite.

3. Architecture de la socit AeroDef

Voici larchitecture de la socit AeroDef qui nous a t fourni. Il a pourtant t spcifi a de


nombreuses reprises qui nous fallait plus ample dtails mais aucune suite na t donne. Nous
avions limpression dvoluer dans un environnement rseau que nous ne mtrisions pas !

13/12/2010

13

Groupe Audit Socit Assurancetourix

Figure 7 - Architecture de la socit interne

4. MEHARI

MEHARI est la Mthode Harmonise dAnalyse des Risques. Elle a t dveloppe et


propose par le CLUSIF (Club de la Scurit de lInformation Franais). Cest une mthode complte
dvaluation et de management des risques lis linformation, ses traitements et les ressources
mise en uvre.
Lutilisation de la mthode est gratuite et sa distribution est ralise selon les dispositions du
logiciel libre (Open Source). La dernire version de MEHARI a t prsente par le CLUSIF le 28
Janvier 2010.

13/12/2010

14

Groupe Audit Socit Assurancetourix


a. Prsentation de MEHARI
Objectifs

Lobjectif premier de MEHARI est de fournir une mthode danalyse et de gestion des risques
et, plus particulirement pour le domaine de la scurit de linformation, une mthode conforme aux
exigences de la norme ISO/IEC 27005 :2008, avec lensemble des outils et moyens requis pour sa
mise en uvre.
A cet objectif premier sajoutent deux objectifs complmentaires :
-

Permettre une analyse directe et individualise de situations de risques dcrites par des
scnarios de risques
Fournir une gamme complte doutils adapte la gestion court, moyen et long terme,
de la scurit, quelle que soit la maturit de lorganisme en matire de scurit et
quelques soient les types dactions envisags.

Compte tenu de ces objectifs, MEHARI propose un ensemble mthodologique cohrent,


faisant appel des bases de connaissances adaptes, et capable daccompagner les responsables
dentreprise ou dorganisme et les responsables de la scurit dans leurs diffrentes dmarches et
actions de gestion des risques.

Concepts

MEHARI se dcompose en cellules, les 8 types de cellules sont :


-

Lentit
Le site
Les locaux
Les applicatifs
Les services offerts par les systmes et linfrastructure
Le dveloppement
La production informatique
Les rseaux et les tlcoms.

MEHARI propose des modules danalyse pour chacune de ces cellules. Les modules de MEHARI
peuvent tre combins, en fonction de choix d'orientation ou de politiques d'entreprise, pour btir
des plans d'action ou, tout simplement, pour aider la prise de dcision concernant la scurit de
l'information.

13/12/2010

15

Groupe Audit Socit Assurancetourix

Figure 8 - Concepts MEHARI

Analyse des enjeux

Dans MEHARI, on appelle "Analyse des enjeux de la scurit" :


-

L'identification des dysfonctionnements potentiels pouvant tre causs ou favoriss par un


dfaut de scurit,
L'valuation de la gravit de ces dysfonctionnements.

Il s'agit d'une analyse totalement focalise sur les objectifs et attentes des "mtiers" de l'entreprise,
et, de ce fait prenne. Elle met contribution les dcideurs et le haut management de l'entreprise ou
de l'entit dans laquelle elle est mene.
Cette analyse se traduit par :
-

Une chelle de valeurs des dysfonctionnements potentiels, document de rfrence centr


sur les impacts " business ",
Une classification formelle des informations et ressources du systme d'information.

Il ne s'agit en aucun cas d'un audit des dysfonctionnements rels qui pourraient tre constats, mais
d'une rflexion sur les risques majeurs auxquels l'entit est expose et sur le niveau de gravit de
leurs consquences ventuelles.
Cette analyse des enjeux vise, le plus souvent, :
-

Etre slectif dans les moyens mettre en uvre pour la scurit de l'information et ne pas
engager de dpenses l o les enjeux sont faibles,
viter des contraintes inutiles aux utilisateurs,

13/12/2010

16

Groupe Audit Socit Assurancetourix


-

Dfinir les priorits,


Rpondre l'invitable question d'un dcideur en face d'un budget de scurit : " est-ce
bien ncessaire ? ".

Dans cette analyse, MEHARI apporte :


-

Une dmarche centre sur les besoins du business et une implication des managers et
dirigeants,
Un guide de mise en uvre et des livrables types,
Des liens directs vers l'analyse dtaille des risques correspondants.

Analyse des vulnrabilits

L'analyse des vulnrabilits revient identifier les faiblesses et les dfauts des mesures de
scurit. En pratique, il s'agit d'une valuation quantitative de la qualit de mesures de scurit. Les
mesures de scurit values sont, en fait, des services de scurit, dcrits et documents dans une
base de connaissance dveloppe et maintenue par le CLUSIF.
Dans MEHARI, cette analyse couvre :
-

L'efficacit des services de scurit,


Leur robustesse,
Leur mise sous contrle.

Cette analyse des vulnrabilits permet de :


-

Corriger les points faibles inacceptables par des plans d'action immdiats.
valuer l'efficacit des mesures mises en place et garantir leur efficience.
Prparer l'analyse des risques induits par les faiblesses mises en vidence.
Se comparer l'tat de l'art ou aux normes en usage.

Analyse des risques

Dans MEHARI, "l'analyse des risques" couvre :


-

L'identification des situations susceptibles de remettre en cause un des rsultats attendus


de l'entreprise ou de l'organisme.
L'valuation :
o de la probabilit de telles situations,
o de leurs consquences possibles,
o de leur caractre acceptable ou non.
La mise en vidence des mesures susceptibles de ramener chaque risque un niveau

13/12/2010

17

Groupe Audit Socit Assurancetourix


acceptable.
Cette analyse des risques vise, le plus souvent, :
-

Dfinir les mesures les mieux adaptes au contexte et aux enjeux.


Mettre en place un management des risques et garantir que toutes les situations de
risques critiques ont t identifies et prises en compte
Analyser et grer les risques d'un nouveau projet.

Lanalyse des risques propose par MEHARI peut tre vue comme suit :

Figure 9 - Analyse des risques dans MEHARI

Pilotage de la scurit

Le "pilotage de la scurit" demande :


-

Un cadre structurant pour dfinir les objectifs annuels ou les tapes de plans daction,
o Des indicateurs permettant de comparer les rsultats obtenus aux objectifs : en
termes qualitatifs et quantitatifs ainsi quen termes de dlais
Des rfrences externes permettant un "benchmarking" (rfrenciations, talonnage)

Dans ce domaine, MEHARI apporte :


-

Un cadre adapt diffrentes dmarches et diffrentes sortes de management de la


scurit avec une varit dindicateurs et de synthses :
o Niveaux de vulnrabilits et de risques,
o Centres dintrt de scurit (16 thmes, dont contrle daccs, plan de
secours,), relatifs aux points de contrles ISO 17799:2005 (repris dans ISO
27001),
o Tableau de bord des risques critiques.

13/12/2010

18

Groupe Audit Socit Assurancetourix


b. Mise en uvre

Voici dans un premier temps les diffrents modules de diagnostics dfinis par Mhari :
Module danalyse de risques
Module danalyse des enjeux
Module de diagnostic de ltat de la scurit
La mthode danalyse des situations des risques correspond aux questions suivantes :
A quels risques lorganisme est expos ?
Sont-ils acceptables ?
La reprsentation se fait soit sur documents Excel ou sur le logiciel RISICARE .
Le diagnostic de scurit est bas sur un questionnaire qui sappuie sur les mesures de scurit et
lvaluation du niveau de qualit des mcanismes et solution mise ne place pour la rduction des
risques.
Lanalyse des enjeux correspond aux questions suivantes :
Que peut-on redouter ?
Serait-ce grave si cela devait arriver ?
Les rsultats retenus permettront ainsi dlaborer dun ct une chelle de valeurs des
dysfonctionnements du systme dinformation do leurs descriptions, la dfinition des paramtres
influant sur la gravit des dysfonctionnements et lvaluation des seuils de criticit qui font varier les
niveaux de gravit de ceux-ci.
Dun autre ct, la classification des infos et des actifs du SI bas sur la Disponibilit, lIntgrit et la
Confidentialit des indicateurs reprsentatifs de la gravit dune atteinte au SI.
Traitement des risques
Plan daction mise en place pour la rduction des risques.
Ce plan daction consiste en une analyse de chaque scnario de risque et prendre des dcisions
consquentes.
En pratique, lorganisation de ce travail se fait de manire structure et en envisageant plusieurs
approches :
*travail par familles de scnarios ayant le mme type dactif et le mme impact : Pour
chaque famille de scnarios est propose des plans daction (feuille Plan daction) regroupant
diffrents services pertinents pour la famille.
*travail par projets fdrateurs avec des services de finalits (contrle daccs
physique,
gestion des droits et des habilitations,..) : Ils permettent de faire des simulations diffrentes
poques et de dfinir ainsi un tableau de bord des risques.
*travail par services en fonction des notions de besoin de service : Dfinir un indicateur de
besoin de service en fonction du nombre de scnarios faisant appel un service donn, de la
gravit de ces scnarios et de lefficacit dans les plans daction de ces services

13/12/2010

19

Groupe Audit Socit Assurancetourix


On rpertorie les diffrentes menaces dattaques dans un tableau et on cherche des solutions
pour nuire celles-ci.

Guide analyse des enjeux et classification


Lchelle de valeur des dysfonctionnements est le rsultat principal de lanalyse des enjeux de la
scurit.
Les mcanismes employs dans lapprciation et la gestion des risques ncessitent que ces
dysfonctionnements soient traduits en termes techniques relatifs des ressources de toute
nature du Systme dinformation quon appelle les actifs (Exemple : perte de la
confidentialit de telle base des donnes applicative ou de lindisponibilit de tel serveur,)
Ces actifs classifis doivent se rfrer aux besoins des organisations que lon classe dans trois
catgories :

13/12/2010

20

Groupe Audit Socit Assurancetourix


*les services (informatiques, tlcommunications et gnraux),
*les donnes ncessaires au fonctionnement des services,
*les processus de gestion de la scurit ou de la conformit des rfrentiels
Ainsi on sera amen au remplissage des tableaux ci-dessous lun des services et lautre des
donnes :

En bas des tableaux T1 et T2 existe une ligne de politique gnrale permettant dindiquer un
jugement global, indpendant de divers secteurs dactivit.

Evaluation de la qualit des services de scurit


Les services de scurit peuvent avoir des niveaux de performances trs varis selon les
mcanises et les processus employs.

13/12/2010

21

Groupe Audit Socit Assurancetourix

La mesure de cette qualit est facteurs de trois paramtres savoir : lefficacit du service,
sa robustesse et les moyens de contrle du maintien dans le temps de caractristiques
prcdentes.
Une de ces bases de connaissances de cette qualit consiste en une base daudit des services
de scurit sous la forme dun questionnaire et dun systme de pondration des rponses.
Ces questions sont axes sur lefficacit des mesures de scurit (par exemple : frquence
de sauvegardes, types de contrle daccs physique : lecteur de carte, digicode,) et des
questions axes sur la robustesse des mesures de scurit (par exemple : localisation et
protection daccs au lieu de stockage des sauvegardes, protection du systme de dtection
dincendie,) et, gnralement, une ou deux questions sur le contrle ou laudit des
fonctionnalits attendues du service.
*Types de questionnaires
Il sagit des questionnaires spcialiss par domaines techniques correspondants des
interlocuteurs diffrents
*Systme de pondration des questions
Les questions se poser au sujet dun service de scurit sont relatives des mesures lies
au service. On distingue les mesures majeures ou suffisantes et les mesures indispensables.
Le tableau ci-dessous est rserv pour la rponse aux questions (1 pour OUI et 0 pour NON)
avant la colonne indiquant le poids de chaque question

13/12/2010

22

Groupe Audit Socit Assurancetourix

Problmes rencontrs
Aprs tude du tableau 2010 de Mhari, on se rend rapidement compte quil est assez complexe et
long tudier.
En effet, il est compos de 14 questionnaires classs par thme. Les voici :

Organisation de la scurit
Scurit des sites
Scurit des locaux
Scurit
Rseau tendu intersites
Rseau Local
Exploitation des rseaux
Production Informatique
Scurit applicative
Scurit des projets et dveloppements applicatifs
Protection des postes de travail utilisateurs
Exploitation des tlcommunications
Processus de gestion
Gestion de la scurit de l'Information

Les 14 questionnaires sont uniquement composs de questions fermes. Il faut rpondre


seulement par Oui , Non ou Sans rponse .
Chaque questionnaire est compos de plus de 100 Questions. Au total, il faut rpondre plus de
2300 questions environ !
Nous avons transmis ce questionnaire la dfense afin quils y rpondent.
En effet, on ntait incapable de rpondre par nous mme aux questionnaires. La dfense ne
nous a transmis pratiquement aucune information concernant son rseau ainsi que sur sa politique
de scurit. Ils taient donc trs difficile pour nous de rpondre toutes les questions.
Nous avons obtenu une rponse ngative de leur part car ils estimaient quils navaient pas
assez de temps pour rpondre lensemble du questionnaire.
Au final, pour raliser une tude Mehari laide du tableur, il faut consacrer beaucoup de
temps la rponse du questionnaire. La rponse aux diffrents questionnaires demande un gros
investissement en termes de temps mais galement en termes danalyse (Recensement de la
scurit du rseau, tat du rseau, emplacement des locaux etc)

13/12/2010

23

Groupe Audit Socit Assurancetourix

III.

Communications au sein dAssurancetourix

La communication est un lment primordial du projet compte tenu de limportance des


groupes. En effet une mauvaise communication interne et/ou externe peut faire apparaitre des
problmes de tout genre. Il tait donc important de grer au mieux ce processus.
La communication dAssurancetourix sarticule autour de deux axes : la communication interne
et la communication avec ses clients, ici, Arodef. Dans un premier temps, cette partie va sattacher
dcrire les outils de communication mis disposition de ses collaborateurs ainsi que les usages
souhaits de son systme dinformation. Dans un second temps, cette partie dcrira les moyens et
les solutions choisis afin de communiquer avec le client.

1. La communication interne
c. La chartre de lutilisateur du SI

La charte des utilisateurs est lun des documents essentiels dune entreprise. Elle permet de
dcrire les comportements, les rgles ainsi que les recommandations que se doivent de respecter
lensemble des utilisateurs du systme dinformation afin de limiter, au maximum, la perte ou le vol
dinformations.
Assuranretourix est une entreprise au service de ses clients, lesquels dtiennent des
informations sensibles et hautement confidentielles. Cest pourquoi, le service communication
dAssurancetourix a dit une charte des utilisateurs, garante du professionnalisme de lentreprise.
Voici, ci-dessous, un rsum des consignes lmentaires dcrites par la charte de lutilisateur du
systme dinformation :

Privilgier lutilisation de votre ordinateur personnel.


Verrouiller sa session avant de sloigner de son ordinateur.
Construire des mots de passes complexes associant des majuscules/minuscules et des
caractres spciaux.
Ne jamais crire son mot de passe.

Cette charte des utilisateurs a t soumise lensemble des utilisateurs du systme


dinformation, lesquels avaient pour obligation de la lire et de signaler leur accord en envoyant un
mail au service communication.
Lensemble des consignes de la charte de lutilisateur du systme dinformation est
disponible lannexe 5.
d. La communication par email

La communication entre les collaborateurs dune entreprise est un point sensible. En effet,

13/12/2010

24

Groupe Audit Socit Assurancetourix


de nombreuses informations plus ou moins confidentielles transitent par lintermdiaire des mails.
Cependant, cet outil bien quessentiel pour la communication entre les collaborateurs nest
absolument pas scuris.
Vous viendrez-t-il lide dcrire des informations sensibles sur une carte postale sans
enveloppe, cest--dire lisibles de tous les intervenants de la livraison (trieurs de courrier,
facteurs) ? Bien sr que non ! Cest pourquoi Assurancetourix a dcid de mettre en place une
communication par mails signs et chiffrs.
Avant de dcrire la mise en place des mails chiffrs au sein dAssurancetourix, nous avons
cr des adresses mails pour tous les collaborateurs. Toutes les adresses ont t cres laide dun
gnrateur IKEA qui permet de transcrire le prnom dun collaborateur en celui dun pseudo-meuble
IKEA. A noter que toutes les adresses mails dAssurancetourix ont t cres chez Gmail.

Figure 10 - Adresses mails dAssurancetourix

Passons maintenant aux outils utiliss par tous les collaborateurs afin de permettre la
communication via des mails chiffrs. Une procdure de mise en place des mails chiffrs a t cre,
disponible en annexe 6, afin dexpliquer chacun les procdures suivre.
Nous avons choisi dutiliser le client Thunderbird comme client de messagerie coupl avec
lextension Enigmail afin de permettre le chiffrement/dchiffrement des mails. Chaque collaborateur
a aussi d utiliser GnuPGP afin de permettre la gnration de ses clefs prive et publique. Nous
avons, par ailleurs, choisi dutiliser le protocole POP afin de supprimer les mails sur Gmail, une fois
leur transfert effectu sur Thunderbird. Bien que les mails soient chiffrs, cela permet en cas de vol
du mot de passe de messagerie de ne pas pouvoir exploiter les informations des mails contenus sur
le webmail Gmail. En effet, il faut noter que les expditeurs, les destinataires et lobjet du mail sont
en clair et que seul le contenu est chiffr.
Ainsi, seuls les mails non encore rapatris sont stocks sur le webmail. Aprs leur

13/12/2010

25

Groupe Audit Socit Assurancetourix


rapatriement, ils sont supprims de la webmail et disponible sur le client Thunderbird en local.
Afin de permettre lutilisation des mails chiffrs, chaque collaborateur doit envoyer sa clef
publique aux personnes avec lesquelles il souhaite communiquer et rciproquement.

e. Partage des documents via loutil GoogleDocs

Lors de ce projet de nombreux documents et procdures ont t crs aussi bien en interne
qu destination du client.
Afin de permettre une gestion des documents plus aise pour chacun, en comparaison
lenvoi des documents par mail, et une mise disposition permanente des documents, nous avons
dcid dutiliser loutil fourni, pour louverture dune boite Gmail, appel GoogleDocs. Pour se faire,
nous avons galement cr une procdure disponible en annexe 7.
Chaque collaborateur possde alors un droit en lecture sur tous les dossiers
dAssurancetourix et un droit en criture sur les groupes auxquels il appartient.
Il faut noter que notre client ne possde pas daccs cet espace de partage de documents. La
communication avec le client est dcrite ci-aprs.

2. La communication externe

a. Les runions

De nombreuses runions ont eu lieu entre AssuranceTourix et Arodef particulirement


concernant le contenu des contrats et des moyens de communication entre les deux entreprises.
Toutes les runions ont fait lobjet dun compte-rendu de runion.

b. La communication formelle

La communication externe et plus particulirement celle avec notre client sest effectu de la
manire suivante :

Toutes les communications devant tre effectues avec le client, avant ltablissement des
contrats, se sont faites par lintermdiaire des services communication des deux entreprises.
Ces communications sont faites via des mails chiffrs.
Aprs signature des contrats, le client nous a fourni une liste de contacts techniques avec
lesquels pouvaient communiquer nos quipes. Ces communications se sont effectues par

13/12/2010

26

Groupe Audit Socit Assurancetourix


lintermdiaire de mails non-chiffrs.
Malgr notre instance vouloir utiliser obligatoirement des communications, entre services
techniques, par lintermdiaire de mails chiffrs, le client na pas voulu entendre raison. Ce dernier
nous a fourni diffrentes raisons la non-utilisation de mails chiffrs :

Trop contraignant puisquil faut utiliser lordinateur disposant du client de messagerie.


Trop difficile mettre en place.

Devant leur rticence et malgr nos nombreux contre-arguments, nous avons cd et permis la
communication entre services technique par lintermdiaire de mails non-chiffrs. En contrepartie,
nous avons demand au client de porter la responsabilit des consquences, en cas dinterception de
ces communications non-chiffres, chose quil a accept.
c. La communication informelle

Il est intressant de noter les diffrences quil existe entre la communication formelle et la
communication informelle. La communication formelle regroupe les diffrents lments cits
prcdemment sinscrivant dans un processus de communication officiel. La communication
informelle, quant elle, sinscrit plutt dans un processus officieux dit de conversation de machine
caf .
Au travers de ce projet, nous avons us de ces deux types de communications en privilgiant
au dpart une communication par les canaux officiels. Cependant, nous narrivions pas, la plupart du
temps, nos fins. Ainsi, au fur et mesure du projet, nous avons us des canaux officieux qui
procurent des rsultats plus que convaincants.
A titre dexemple, il tait bien plus ais de sentretenir directement avec le responsable des
ouvertures de ports afin que ce dernier nous dbloque certains ports. Les ouvertures de ports
seffectuaient alors trs rapidement. A contrario, si nous tions intervenus par le canal officiel cela
aurait pris plusieurs jours sans forcment aboutir.

3. Problmes rencontrs

En lisant les rapports des annes prcdentes, on saperoit trs rapidement que les
difficults sont les mmes dannes en annes.
En dbut de projet lquipe dfense est prise dune paranoa excessive et voit dans certaines
de nos dmarches une volont de nuire leur systme. Du moins cest ainsi que nous le percevons.
De notre ct, nous avons tendance juger un peu promptement les dcisions du groupe dfense.
Ces ractions sont logiques, le groupe dfense a la volont de bien faire et par consquent restreint
un maximum laccs leur systme et aux informations, laudit quant lui veut prouver son utilit, il
se sent donc forc de dmontrer linefficacit des actions de la dfense pour pouvoir en proposer de
meilleures.

13/12/2010

27

Groupe Audit Socit Assurancetourix


Ces ractions logiques entravent toutefois la communication entre les 2 groupes. Comme
mentionn dans le paragraphe prcdent, au dbut de ce projet laccs aux informations de la
dfense fut laborieux. Or ces informations taient ncessaires pour rflchir aux solutions que nous
comptions proposes. Le fait de devoir passer obligatoirement par le groupe communication de la
dfense pour sentretenir avec un responsable a galement ralenti considrablement nos actions.
Malgr tout, aprs avoir fait remonter ces problmes au groupe dfense, on a pu noter, en
fin de projet, un assouplissement de toutes ces rgles ce qui nous a permis de travailler plus
efficacement sans toutefois mettre en danger larchitecture de la dfense.

IV.

Serveur daudit

Au sein de ce projet, nous avions disposition un seul serveur physique. Afin de faciliter la
gestion de ce dernier nous avons opt pour la virtualisation de serveurs et dlments rseaux de
niveau 2.

1. Environnement virtualis
Larchitecture de notre systme daudit se compose dun serveur physique qui virtualise aussi
bien des quipements rseaux que des serveurs. Il se compose de :

Un pool de serveur
Un switch permettant la gestion des VLAN
Un pont entre linterface physique et le switch virtuel

13/12/2010

28

Groupe Audit Socit Assurancetourix

Figure 11 - Architecture de notre serveur d'audits

Afin de raliser limplmentation de ce systme, nous avons dploy la solution KVM qui est
permet d'excuter le systme d'exploitation invit de manire native sans modification. Avec cette
technique, la virtualisation n'a aucun impact sur l'excution du noyau du systme virtualis. En
revanche, la virtualisation complte sacrifie les performances au prix de la compatibilit. En effet, il
est plus difficile d'obtenir de bonnes performances lorsque le systme invit ne participe pas au
processus de virtualisation et doit traverser une ou plusieurs couches d'mulation avant d'accder
aux ressources matrielles.
Ct matriel, les dveloppements rcents sur les processeurs ont tendance diminuer les
carts de performances entre paravirtualisation et virtualisation complte. Qu'il s'agisse d'Intel (VT
: Intel Virtualization Technology) ou d'AMD (AMD-V : Industry Leading Virtualization Platform
Efficiency) les derniers processeurs disposent de fonctions matrielles pour la virtualisation.
Avec le noyau Linux, l'objectif de la solution Kernel Based Virtual Machine ou KVM est
d'ajouter des capacits de virtualisation un noyau standard. Il est ainsi possible de tirer parti de
toutes les fonctions de rglage fin dj intgres au noyau et de bnficier des nouveaux avantages
apports par les environnements virtualiss.
Avec le modle KVM, chaque machine virtuelle est un processus standard du noyau Linux
gr par l'ordonnanceur (scheduler). Un processus normal de systme GNU/Linux peut tre excut
selon deux modes : noyau (kernelspace) ou utilisateur (userspace). Le modle KVM ajoute un

13/12/2010

29

Groupe Audit Socit Assurancetourix


troisime mode : le mode invit qui possde ses propres modes noyau et utilisateur.

Figure 12 - KVM dans le noyau Linux

2. Mise en place

g. Partie rseau

La virtualisation de la partie rseau se fait en 4 tapes :

Activation du routage
Cration dune interface virtuelle TAP
Cration dun bridge BR0 reliant le TAP linterface physique du serveur
On raccorde le TAP au VDE-switch

Figure 13 - Schma de principe d'interconnexion

13/12/2010

30

Groupe Audit Socit Assurancetourix

h. Partie systme

Pour la partie systme tout est grer par KVM. La premire tape est de crer un disque
virtuel puis de dmarrer la machine avec KVM.
Lors du dmarrage des machines, on passe un ensemble de paramtre comme :

Ladresse MAC,
Le port de connexion sur le switch VDE
Le disque dur associ la machine
La mmoire attribue la machine,

Le dmarrage des machines a t script afin de facilit le dmarrage des machines. Afin de
rendre stable et facile configurer, nous avons une instruction dite post-up dans le fichier
/etc/network/interface. Cette commande excute un script (cf. Annexe n8) reprenant les tapes
prsenter dans la partie rseau pour la mise en place du commutateur.

3. Plan de reprise

Ds le dbut du projet, nous nous sommes positionns comme tant une cible potentielle pour
lattaque. De ce fait, nous avons mis en place un systme de reprise de service en cas de coupure du
serveur (physique ou virtuel).
En cas dinfiltration ou destruction dun serveur virtuel, nous disposions de copies des
disques chaque tape du projet et du dploiement dapplication. Cette copie est ralise sur lordre
des chefs de projets en cas davancer significative de la mise en place des services. Nous pouvions
donc en quelques minutes remettre un serveur virtuel en tat de marche dans ltat o nous le
souhaitions. Les sauvegardes pouvant tre redployes distance.
Dans le cas o ce soit le serveur physique qui soit cibl, nous disposions dune sauvegarde
complte comprenant galement les sauvegardes de disques virtuelles sur un serveur appartenant
Mr LATU. Afin de remettre en tat le serveur, nous devions utiliser le mme principe que celui
utiliser en salle de TP3 ; cest--dire booter le serveur sur un CD qui rcupre par la suite limage du
disque. Le temps de reprise si nous tions sur place tait dune dizaine de minutes.

V.

Application daudits Systme dinformations

1. NetFlow Analyse de flux

13/12/2010

31

Groupe Audit Socit Assurancetourix


Netflow est un protocole propritaire Cisco sappuyant sur la notion de flux et permettant de
centraliser les informations relatives au trafic rseaux. Cest un protocole permettant de simplifier
lanalyse des compteurs des quipements rseaux.

Pour fonctionner, ce protocole a besoin de 2 entits. La premire sera prsente sur chaque
quipement rseaux et permettra de grer le cache Netflow et dexporter celui-ci vers le
centralisateur. La seconde est prsente sur le centralisateur et permet denregistrer toutes les
informations provenant des quipements rseaux.

Figure 14 - Principe de NetFlow

Un routeur sur lequel Netflow est activ possde en cache (cache Netflow) une table des flux
actifs. Celui-ci permet de compter le nombre de paquets et d'octets reus pour chaque flux. Ainsi,
chaque paquet reu le routeur met jour le cache soit en crant une nouvelle entre soit en
incrmentant les compteurs d'une entre existante.
Lorsqu'un flux expire, il est supprim du cache et les informations sont envoyes vers la
machine de collecte.

Contexte du projet :
La Dfense utilise un routeur Cisco dans son infrastructure rseaux. Nous leur avons donc
demand dutiliser Netflow (cf annexe 10) afin de nous remonter des informations vers notre
collecteur.
Pour cela nous avons choisi le couple de logiciel nfdump et nfsen :

13/12/2010

32

Groupe Audit Socit Assurancetourix


-nfdump est le daemon permettant denregistrer les informations rcoltes
-nfsen est une interface graphique utilisant les statistiques enregistres sous forme de
graphique sur une interface WEB.

Figure 15 - Analyse Netflow

2. SPAN

Le commutateur dentre est un CISCO, il est possible de raliser du SPAN, et donc dupliquer
toutes les requtes entrantes et sortantes vers une sortie relie la sonde SNORT. Nous avons donc
install une seconde carte rseau sur notre serveur afin de pouvoir collecter les informations
travers SNORT, PRELUDE et des analyses TSHARK lors des confrontations.
Le SPAN (Switched Port Analyzer) est une fonction des commutateurs Ethernet Cisco qui
permet de recopier sur un port donn le trafic destin un ou plusieurs autres ports. Un analyseur
de rseau connect au port SPAN peut surveiller le trafic provenant de l'un des ports du
commutateur. Cette fonction permet d'effectuer des analyses de trafic sans perturber le
fonctionnement.

13/12/2010

33

Groupe Audit Socit Assurancetourix


3. Gestion des logs
a. Syslog-ng et log-rotate

Les journaux, ou logs dans le jargon, servent enregistrer tous les vnements qui
surviennent sur un systme. Historiquement, le service syslog a t dvelopp pour la branche Unix
des systmes BSD. Depuis, ce service a t trs largement adopt. On le retrouve sur tous les
systmes Unix, GNU/Linux et surtout sur les quipements rseau de nombreux constructeurs. Le
protocole syslog est dcrit dans le document RFC3164 "The BSD Syslog Protocol".

Figure 16 - Daemon Syslogd

Syslog-ng (new generation) est une implmentation tendue du protocole standard de


gestion des journaux systme. Il est largement utilis dans la centralisation des logs provenant de
diffrents systmes d'infrastructures htrognes. Syslog-ng peut travailler en mode serveur
(rception des logs) ou agent (envoi des logs). Chaque machine serveur peut ainsi envoyer ses logs
systmes vers un serveur central. Syslog-ng est flexible et simple a configurer. Il propose des
fonctionnalits puissantes de filtrage de contenu permettant de rpartir les logs dans des fichiers et
rpertoires propres chaque systme.
logrotate est un outils de gestion de fichiers de logs. Il permet darchiver, dorganiser et de
sauvegarder les journaux systmes automatiquement. Loutil est modulable et permet aux
administrateurs consciencieux de conserver une trace prcise, structure et hirarchise de lactivit
de leurs machine dans le respect des lois (comme par exemple : garder une profondeur de logs dun
an ET ne pas conserver de logs de plus dun an, etc).
Loutil est essentiellement compos dun script de rotation des logs (logrotate) et de ses
fichiers de configuration (/etc/logrotate.conf et /etc/logrotate.d/*).

13/12/2010

34

Groupe Audit Socit Assurancetourix


Le dclenchement du script est effectu par le cron (cron, fcron ou vixie-cron). Lorsque le
script est appel, il examine les fichiers de logs qui ont t spcifi dans /etc/logrotate.conf ou
/etc/logrotate.d/*, et y applique le traitement dfinit dans le fichier de configuration (compression,
numrotation, archivage, etc).

Dans notre projet, nous centralisions lensemble de nos log serveurs mais galement ceux de
la socit AeroDef (uniquement syslog.log). Nous analysions rgulirement ltat de ces logs
(quotidiennement) dans un premier temps la main puis travers le logiciel Splunk qui nous a
facilits considrablement les recherches dvnements particuliers.
Il aurait t intressant de nous donner lintgralit de leur log systme de la socit AeroDef
afin de dceler toutes les intrusions ou effets non dsirs sur leur SI. Pour certains raisons, le fichier
auth.log (analyse dauthentification sur le systme) na t donn en audit quen fin de projet.

b. Splunk

Lditeur Splunk propose une approche novatrice dans la gestion et lexploitation des logs. Lobjectif
est damliorer la lisibilit des trs nombreuses remontes de logs issues dlments actifs du rseau.
Splunk indexe tout ou partie des logs informatiques partir de nimporte quelle source, en temps
rel (quipements rseaux, journaux dvnements, enregistrements de fichiers, modification de
configurations/paramtrages dOS, connections VPN, ).
Quelque soit la source ou le format, Splunk est capable dindexer sans modules complmentaire
acqurir, dvelopper ou maintenir.
Dans un deuxime temps, lapplication permet de rechercher les logs, de gnrer des rapports, et de
surveiller ou danalyser en temps rel les informations issues de la collecte. Ceci travers toute
l'infrastructure IT.
Splunk favorise les dpannages rapides et les investigations sur les incidents. Offre de
puissantes analyses statistiques et de corrlation de logs. Fournit galement une interface utilisateur
interactive afin dalerter, surveiller, permettre du reporting (permet de mettre jour des compteurs
dvnements, de calculer des mtriques et de spcifier des laps de temps dfinis) et des analyses.
Splunk offre la possibilit de recherches en temps rel ou rtroactive. Lassistant de
recherche propose par exemple :

une barre de recherche ainsi quune aide contextuelle afin dexploiter au mieux toute la

13/12/2010

35

Groupe Audit Socit Assurancetourix

puissance du langage de recherche


une interaction avec les rsultats de recherche en temps rel.
la possibilit de zoomer ou dzoomer sur une chelle de temps particulire dans loptique de
dgager rapidement des tendances, des pointes ou des anomalies.
de naviguer dans les rsultats et liminer le bruit .

Il est possible de convertir des recherches en alertes dclenchant lenvoi automatique de mails, de
notifications RSS, ou dexcution de scripts.
Il est galement prvu de pouvoir ajouter du sens aux logs en identifiant, nommant, marquant des
champs et des donnes.
Splunk permet aussi dajouter des informations partir de sources externes (bases de donnes de
management, systmes de gestion des configurations, annuaires utilisateurs).
Le gnrateur de rapport permet de crer rapidement des graphiques et des tableaux de bord qui
indiquent les tendances significatives, les hauts et les bas, les rsums des valeurs premires et la
frquence des occurrences sans demander aucune connaissance approfondie des commandes de
recherche.

Cette outils nous a t dune aide CRUTIALE pour lanalyse de log systme du fait que nous
pouvons effectuer trs rapidement des recherches trs prcises sur des mots cls, des sources, On
aurait d le mettre en place ds le dbut du projet afin dexplorer lensemble des fonctionnalits
offertes par ce systme. Il ncessite nanmoins une machine robuste et du temps pour le
paramtrage des fonctionnalits divers. Logiciel suivre car il se rvla la hauteur de nos attentes.

4. Supervision avec FAN Full Automated Nagios


Dans le cadre de notre audit de scurit de la socit AroDef, il nous a sembl judicieux
pour la prennit de leur systme dinformation de mettre en place un outil de supervision. La
supervision a pour but dune part de contrler ltat de fonctionnement dun lment informatique
(ordinateur, serveur, Switch, etc.), dun service (web, dns, sql, etc.), mais galement denvoyer des
alertes (appele trap ) sans avoir faire une collecte dinformation sur llment informatique,
mais envoyes automatiquement en cas de problme.
Il faut savoir galement que loutil de supervision sert uniquement dtecter les diffrents
problmes. Il ne va en aucun cas rgler le problme par lui-mme. Il va uniquement servir
lutilisateur dtecter les problmes ventuels sur les lments quil supervise.
De plus, loutil de supervision aura diffrentes vocations :
-

Surveiller les lments du rseau via une interface web.


Etre alert des ventuels disfonctionnements.
Prsentation des informations divers niveaux dabstraction.

Le monde informatique tant en constante volution dans lensemble de ces domaines, la


solution de supervision a t en constante volution durant la totalit du projet afin de rpondre

13/12/2010

36

Groupe Audit Socit Assurancetourix


pleinement aux diffrents besoins du client dune part, mais galement de sadapter aux volutions
de leur architecture dautre part.
a. Prsentation des outils

Afin de raliser la fonction de supervision de lensemble du parc AroDef, nous avons mis en
place divers outils avec des fonctionnalits diffrentes. Etant donn du court dlai disponible pour
raliser le projet, et en prenant en compte la complexit de mise en uvre des diffrents outils, nous
avons choisi de mettre en place une solution automatise, la distribution FAN
(FullyAutomatedNagios). Cette distribution linux est base sur CentOS et a pour but de proposer une
solution globale ddie la supervision. Elle contient les outils de supervision suivants :

Loutil Nagios et certains de ses plugins : cur de la supervision,


lment centralisateur des donnes remontes par les agents.

Loutil Centreon : surcouche loutil Nagios. Offre une interface


web intuitive lutilisateur lui permettant de grer plus facilement son parc dlments superviser.

Loutil Nagvis : permet davoir une cartographie complte de


larchitecture rseau (position gographique, position des services, etc.).

Loutil Nareto : propose une interface de haut niveau Nagios


permettant dorganiser lensemble des lments superviser sous la forme dune arborescence
(inutilis dans le cadre du projet).

Loutil Apache : serveur web qui est ncessaire au fonctionnement de


lensemble des outils.

Loutil Mysql : Historisation des donnes remontes par les agents.


En complment de tous ces outils, nous avons utilis deux protocoles de supervision diffrents.
Les protocoles de supervision ont pour but dinstaurer un dialogue entre la machine manager qui
stocke et traite les informations, et les diffrents agents do proviennent les informations. Voici

13/12/2010

37

Groupe Audit Socit Assurancetourix


ci-dessous les protocoles plus en dtail :
o

Le protocole SNMP : permet la machine manager dinterroger les diffrents agents, afin
daller rcuprer les informations dsires dans les diffrentes MIB.

Le protocole NRPE : permet la machine manager de demander lexcution dun code


distance sur lagent , une fois ce code excut, le rsultat est retourn la machine
manager .

Afin de bien comprendre le fonctionnement de la supervision, voici ci-dessous un schma explicatif


sur la supervision et plus particulirement sur loutil Nagios.

Figure 17 - Schma gnral de la Supervision et Nagios

1.
2.
3.
4.

5.
6.

Nous avons tout dabord loutil Nagios qui est llment centralisateur. Il excute
diffrents plugins en fonction de linformation rcuprer ou de laction effectuer.
Le plugin va ensuite interroger le ou les diffrents agents en passant par lintermdiaire du
rseau.
Le ou les diffrents agents renvoient ensuite la rponse au plugin.
Le plugin va avoir ensuite deux choix possibles. Le premier tant de lever une alerte si
ncessaire, ou alors de simplement renvoyer la valeur de retour au moteur dapplication
Nagios.
La valeur de retour est ensuite stocke, analyse, et mise en forme par loutil Nagios.
Loutil Nagios met disposition de lutilisateur les rsultats sous diffrentes formes

13/12/2010

38

Groupe Audit Socit Assurancetourix


(graphique, textuelle, etc.) via une interface web.
b. Mthodologie de dploiement
La mthode employe pour surveiller une architecture se met toujours en place en respectant le
mme schma.

Identifier les
htes
surveiller

Identifier les
services
surveiller sur
chaque hte

Associer des
utilisateurs des
services/des
htes

Nagios/Centreon offre la possibilit de crer des modles dhtes et de services. Nous avons
donc conu des templates pour chaque type de machines. A ces modles dhtes sont associs des
modles de services.
Dans les prochains paragraphes nous prsenterons une coupe verticale du processus de
dploiement de la supervision sur larchitecture du client.
Les modles dhtes :
Dans cette partie nous allons montrer, laide de captures dcran, comment crer un modle
dhte sur Centreon. Pour cette dmonstration nous crons un modle de machine de type serveur
Linux.
Linterface de cration des modles
configuration/Htes/Modles de Centreon.

dhtes

se

trouve

dans

la

partie

La premire chose faire est donc de dfinir un modle de machine dont tous les serveurs linux
hriteront.

Longlet configuration de lhte va permettre de renseigner le nom de notre modle. Cest


tout ce que nous allons faire dans cette partie.
La suite du dploiement passe par la cration de modle de services que nous allons associer
au modle dhte que nous venons de crer. Ainsi toutes les machines qui hriteront du modle

13/12/2010

39

Groupe Audit Socit Assurancetourix


dhtes auront automatiquement les services associs au modle qui leur seront galement associs.

Voici les services qui sont associs automatiquement un modle :

Dans le prochain paragraphe nous allons prsenter comment ajouter dautres services au modle
dhte.
Les modles de services :
Pour ajouter un modle de service, il faut aller dans la partie configuration/services/modles.
Voici comment se prsente le formulaire de configuration du service :

Dans les informations gnrales on renseigne le nom du service ainsi que son alias. Mais la
partie la plus intressante est la commande de vrification : Cest dans cette partie quest spcifi le
plugin utilis pour aller chercher linformation recherche. Dans cet exemple on cherche avoir le
taux dutilisation du cpu. On utilise donc le plugin check_snmp_centreon_load_average.
La ligne arguments renseigne les arguments ncessaires la requte pour fonctionner.

$USER2$ : variable contenant la communaut utilise


4,3,2 : seuil au-dessus duquel la commande renvoi un warning
6,5,4 : seuil au-dessus duquel la commande renvoi un critical

Notre service est configur, il faut maintenant lassoci au modle dhte Serveur-Linux. Pour

13/12/2010

40

Groupe Audit Socit Assurancetourix


cela, il faut aller dans longlet relations et ajouter Serveurs-Linux la liste Lier aux modle de
lhte :

Assurons-nous que le service apparat maintenant dans linterface de configuration du


modle de lhte :

On aperoit bien en bas droite de la capture ci-dessus le nom du nouveau service en gris.

La cration dun hte :


Le modle server-Linux est cr et configur selon nos souhaits. Pour autant ce niveau l,
aucun serveur linux nest surveill.
Mais grce au travail sur les modles cela sera grandement facilit. Il suffit de crer une machine,
lui donn un nom, un alias, renseign son @IP et surtout lassoci au groupe des Servers-Linux et le
tour est jou.

On voit sur la capture ci-dessus que nous avons ajout la machine Centreon-Server au
modle Server-linux et dcid de crer les services associs au modle.

13/12/2010

41

Groupe Audit Socit Assurancetourix

Les services associs notre serveur Centreon sont crs automatiquement.

Les ajouts de plugins :


Il se peut que les plugins initialement prvus dans la FAN ne rpondent pas une de nos
problmatiques. Heureusement, Nagios possde une communaut active de personnes qui
dveloppent des plugins en perl ou en bash. Ces plugins sont ensuite tlchargeables via des sites
web.
Vous pouvez trouver de nombreux plugins ladresse suivante : http://exchange.nagios.org/
Les plugins doivent tre placs dans le rpertoire /usr/lib/nagios/plugins. Il faut ensuite crer
une nouvelle commande ou nous spcifierons la syntaxe de la requte dutilisation du plugin. Une
fois la commande cre il faut lutiliser dans un service que nous associerons lhte surveiller.
On peut ainsi configurer nos services pour quils renvoient exactement linformation souhaite et
de la manire dsire.
La prochaine tape aurait t de dvelopper nous-mme nos propres plugins mais le temps nous
manquait.
Les utilisateurs :
La finalit de ce systme de supervision rseau est de mettre en place une solution pour le client.
Nous avions donc dans lide de permettre au personnel dArodef de consulter la plateforme
Centreon. Nous devions donc crer des utilisateurs ayant des droits restreints et un visu sur
seulement une partie de larchitecture. Les lignes qui suivent vous prsentent comment nous avons
procd.
Nous crons donc un utilisateur invitAerodef. Linterface de cration des utilisateurs se trouve
dans configuration/utilisateur.

13/12/2010

42

Groupe Audit Socit Assurancetourix

Il faut ensuite placer cet utilisateur dans un groupe daccs. Nous avons dcid de crer de
nouveaux groupes plutt que dutiliser les groupes existants.
Nous crons donc un groupe daccs Aerodef et ajoutons notre nouvel utilisateur sa
liste de contacts lis. Le menu de cration de groupe daccs se situe dans administration/ACL/Access
Groups.

A ce groupe nous allons permettre laccs seulement aux onglets accueil, supervision, vues,
rapports. Pour cela rendons nous dans administration/ACL/Resources Access.
On cre ensuite une nouvelle liste de contrle daccs. Dans cette liste nous spcifierons le
groupe dutilisateurs et les machines impacts par les ACL.

13/12/2010

43

Groupe Audit Socit Assurancetourix

Nos ACL vont sappliquer sur le groupe daccs Aerodef et sur les Servers-Linux.
Il nous reste plus qu crer les rgles daccs dans administration/ACL/Menus Access. Dans
cette partie on renseigne les onglets accessibles par le groupe daccs aerodef. Vous voyez dans la
capture ci-dessous que nous leur permettons daccder uniquement aux onglets mentionns un peu
plus haut dans le rapport.

13/12/2010

44

Groupe Audit Socit Assurancetourix


Connectons-nous maintenant avec lutilisateur inviteAerodef :

Comme le montre la capture ci-dessus seul les 4 premiers onglets sont visibles.
Nagvis :
Nagvis est un addon de visualisation pour Nagios qui permet de gnrer des vues mtier de la
supervision. Il est trs facile installer, utiliser et trs intuitif avec Nagios et son systme de Drag
and Drop.
Cet outil permet de raliser une cartographie des lments superviser au sein dun systme
dinformation. Une fois la carte du systme dinformation conue, il faut rcuprer les htes et les
services superviss dans Nagios et les placer sur la map.
Nagvis a t mis en place pour avoir une vue simple et globale de larchitecture et pour connatre
ltat de chaque lment superviser. Son avantage est quil permet aux chefs davoir un rsum de
ltat de fonctionnement du systme dinformation de lentreprise AroDef.
Nous avons donc dcid de ne pas reprsenter sur cette carte tous les services superviss dans
Nagios, mais plutt de slectionner les plus importants destination les chefs.

Voici les htes et les services superviss :

13/12/2010

45

Groupe Audit Socit Assurancetourix

Figure 18 - Nagvis au sein d'Arodef

Lgende :
Reprsente les htes.
Reprsente les services.
La couleur verte signifie que llment fonctionne correctement. Le jaune signifierait quun lment
est en tat de warning et le rouge un problme majeur sur llment.

c. Surveillance de larchitecture AeroDef :

Aprs avoir abord la partie concernant la mthodologie de dploiement, nous allons


maintenant lappliquer larchitecture de la socit AroDef. En effet, dans cette partie, nous
voquerons les diffrents quipements qui ont t superviss, mais galement les diffrentes
informations rcoltes sur chaque quipement.
Les lments rseau :
o Le Routeur CISCO :
- Etat du routeur (UP/DOWN)
- Ping
- Etat des diffrentes interfaces (ex : f0/0 : UP/DOWN)

13/12/2010

46

Groupe Audit Socit Assurancetourix


o

Charge CPU (en pourcentage)


Charge mmoire (en pourcentage)

Le Switch CISCO :
- Etat du Switch (UP/DOWN)
- Ping
- Etat des diffrentes interfaces (ex : f0/0 : UP/DOWN)
- Charge CPU
- Charge mmoire

Les lments systme :


o Le serveur de service (serveur Linux):
- Etat du serveur (UP/DOWN)
- Ping
- Charge CPU (en pourcentage)
- Charge Mmoire (en pourcentage)
- Espace disque (espace libre / espace utilis)
- Service HTTP (UP/DOWN)
- Service SSH (UP/DOWN)
- Service DNS (est-ce le bon serveur Dns qui rpond ?)
o

Le contrleur de domaine (serveur Windows):


- Etat du serveur (UP/DOWN)
- Ping
- Charge CPU (en pourcentage)
- Charge Mmoire (en pourcentage)
- Espace disque (espace libre / espace utilis)

Remarque : les diffrents postes clients ntant pas dune importance capitale dans le
fonctionnement de larchitecture de la socit AroDef, nous avons choisi de ne pas les superviser
afin de ne pas surcharger le rseau, et davoir une supervision plus toffe des diffrents
quipements rseaux et serveurs.

Maintenant que nous avons pass en revue les procdures de mises en place et les diffrents
quipements que nous avons supervis, nous allons maintenant aborder dans cette partie les
rsultats que nous avons pu obtenir grce aux diffrents outils mis en place.

d. Rsultats obtenus :
Interface supervision_rseau :
Afin de permettre au responsable rseau de la socit AroDef davoir une vue densemble sur ses
quipements, nous lui avons cr une interface spcifique. Cette interface est accessible via internet
(login/mot de passe).

13/12/2010

47

Groupe Audit Socit Assurancetourix


Elle contient lensemble des lments de supervision lis aux quipements rseaux. Cette interface a
la particularit dtre uniquement consultable. En dautres termes, lutilisateur peut uniquement
consulter les diffrentes donnes (valeurs, graphes, etc.) mais en aucun cas changer les
configurations de supervision.

Figure 19 - Interface "supervision_rseau"

Interface supervision_serveur :
Sur le mme principe, nous avons galement cr une interface spcifique pour le responsable des
diffrents serveurs de la socit AroDef. Cette interface possde les mmes caractristiques que
linterface rseau, la diffrence que celle ci contient les informations relatives aux diffrents
serveurs.

Figure 20 - Interface "supervision_serveur"

Dtection du problme de mauvais serveur DNS :


Grce au plugin NRPE concernant le serveur DNS, nous avons pu dtecter quun mauvais serveur
(autre que celui de la socit AroDef dfini dans les paramtres) rpondait aux requtes DNS. Loutil
de supervision a permis ici de dtecter une attaque par dnsspoofing .

13/12/2010

48

Groupe Audit Socit Assurancetourix

Figure 21 - Problme "mauvais serveur DNS"

Dtection du problme surcharge du routeur :


Concernant le routeur, les outils de supervision ont permis de dtecter, pendant une priode assez
significative (hors fonctionnement nominal), une monte de la charge CPU. Cette anomalie peut tre
lie une utilisation intensive du rseau (cas normal), ou alors une surcharge volontaire du routeur
par une attaque (cas anormal).

Figure 22 - Problme "surcharge du routeur"

Dtection du problme serveur de service DOWN :


Pour finir, aprs une attaque de vol didentit sur le serveur de service, celui-ci est devenue
injoignable et hors service. Au niveau de la supervision, nous avons constat plusieurs alertes qui
sont apparues, et nous avons pu contacter le responsable dAroDef concern.

13/12/2010

49

Groupe Audit Socit Assurancetourix

Figure 23 - Problme "serveur de service DOWN"

e. Problmes rencontrs
Durant le projet de scurit, le groupe supervision a t confront diffrents problmes de
sources diffrentes. Cette partie a pour but de retracer les diffrents problmes et les solutions qui
ont t mises en place pour les rsoudre.
1er problme : connaissance de larchitecture AroDef :
Le premier problme auquel nous avons t confronts concerne la connaissance non
exhaustive de larchitecture AroDef. La mise en place de la supervision a dbut ds le
commencement du projet. Mais, ce moment-l, larchitecture dAroDef ntait pas compltement
mise en place et plusieurs lments nouveaux superviser se sont petit petit intgrs.
Afin daborder ce problme le plus efficacement possible, nous avons tout dabord demand
lquipe AroDef de nous tenir inform (le plus rapidement possible) des nouveaux quipements
installs. Par la suite, nous avons organis plusieurs runions, cf. annexe 11, avec les diffrents
responsables concerns, afin davoir une liste la plus complte possible sur les quipements quils
souhaitaient superviser, mais galement le type de supervision pour chaque quipement (ex : charge
CPU, PING, etc.).
2me problme : installation des agents
Concernant linstallation des agents, la tche na pas t facile excuter. La socit
AssuranceTourix tant une socit de sous-traitance, elle navait pas directement accs au
diffrentes machines et quipements de larchitecture dAroDef.
Pour installer les diffrents agents, nous avons dans un premier temps effectuer des tests sur nos
propres machines pour sassurer du bon fonctionnement et dterminer la phase dinstallation et de
configuration, puis dans un deuxime temps crer diffrents tutoriaux (cf. partie annexe 12) que
nous avons fait parvenir la socit. Enfin, pour effectuer toutes les oprations de modification et de
mise jour, nous avons directement chang avec les diffrents responsables concerns de la
socit AroDef.
3me problme : autorisation du Firewall :
Pour schanger les diffrentes informations, le manager et les diffrents agents ont
besoin de dialoguer par lintermdiaire des diffrents protocoles de supervision (SNMP et NRPE). Il a
fallut donc contacter la personne responsable du Firewall afin quelle dbloque les diffrents ports
de communication (port SNMP : 161 dialogue supervision / 162- trap ; port NRPE : 5666).
4me problme : surcharge du rseau et des log :
Lune des grosses difficults lies la supervision, concerne la configuration. En effet, les
protocoles de supervision sont des protocoles ncessitant beaucoup de ressources. De ce fait, ils ont
entrain des ralentissements gnral du rseau, mais galement une pollution des logs.
Pour rsoudre ce problme, nous avons allong les intervalles dinterrogation des diffrents

13/12/2010

50

Groupe Audit Socit Assurancetourix


quipements.
5me problme : diffrence dutilisation entre SNMP et NRPE :
Il existe diffrents protocoles pour faire de la supervision (cf : 2. Prsentation des outils), le
protocole SNMP et le protocole NRPE. Chacun possde une installation, une configuration et une
utilisation trs diffrente lune de lautre.
Pour rsoudre ce problme, chaque quipement rseau a t supervis grce au protocole SNMP (en
natif sur les quipements). En ce qui concerne les serveurs (Windows et Linux), nous avons mis en
place et configur les deux protocoles pour avoir le plus de choix possible et avoir une supervision la
plus complte possible. De plus, cela a entrain plusieurs configurations sur chaque serveur dune
part, mais galement sur la machine manager dautre part.

En dbutant ce projet de scurit, lensemble du sous-groupe supervision navait quune


connaissance trs gnrale de la supervision par lintermdiaire des diffrents cours de M1 STRI.
Afin davoir une connaissance plus toffe de ce domaine, lune des premires tapes a t
de se documenter sur lensemble des protocoles, des outils, etc. Cette premire phase a permis
chacun des membres du groupe davoir une connaissance beaucoup plus riche dans ce domaine
incontournable des rseaux informatiques et des tlcommunications.
Outre les nombreuses connaissances techniques apportes par ce travail, nous avons
galement normment appris en gestion de projet et travail en quipe. Ce projet nous a permis de
nous mettre en exemple de situation relle et de faire face aux diffrents problmes que nous
pourrons rencontrer plus tard. Notamment les divergences dopinions dans des groupes important
en nombre de personne, la difficult de ne pas avoir la machine disposition mais de devoir passer
par un intermdiaire en excutant toujours une procdure particulire pour effectuer une action
(ex : installation de paquet).
De plus, nous avons pu galement aborder les diffrents problmes de communications entre le
client et la socit prestataire de service.
Pour conclure, malgr les nombreux problmes auxquels nous avons du faire face en
travaillant sur ce projet, celui-ci nous a permis denrichir nos connaissances techniques dune part, de
travailler sur un projet concret sur du long terme, avec des quipes consquentes, mais galement
daborder diffrents aspects lis au projet hors comptences techniques (gestion du projet,
planification, runions, aspects humains, etc.)

13/12/2010

51

Groupe Audit Socit Assurancetourix

5. IPS / IDS

La scurisation des systmes informatiques revt aujourdhui un caractre important du fait


de la multiplicit des virus, des chevaux de Troie, et bien dautres vulnrabilits auxquelles un
systme d'information est expos.
Do lide de la mise en place dun outil de dtection dintrusion savre trs importante.
Appel aussi IDS (Intrusion Detection System), un systme de dtection dintrusion est un logiciel
capable de remonter les diffrentes anomalies dans le trafic du rseau. Son rle est de surveiller,
contrler et dtecter les attaques menes lencontre du rseau.
Un IDS journalise les vnement grce un fichier log (source dinformations et vision des
menaces courantes), averti le systme via un message SNMP et amorce certaines actions sur le
rseau ou sur lhte.
Il existe deux principaux types dIDS :
HIDS (Host IDS) : Bas dans un ordinateur
Permet de surveiller le systme et les applications
Les journaux systmes
de contrler l'accs aux appels systmes
de vrifier l'intgrit des systmes de fichiers
Le HIDS accs des composants non accessibles sur le rseau
Exemple : la base de registre de Windows
Ne surveille quun seul hte

NIDS (Network IDS ) : Un sonde place dans le rseau


Surveille lensemble du rseau
Capture et analyse tout le trafic
Recherche de paquets suspects
Contenu des donnes
Adresses IP ou MAC source ou destination

Envoi dalertes
Dans le cas de notre groupe, nous serons amens tudier et analyser les techniques de
scurisation du parc informatique et de leur apporter notre expertise par la proposition dune
solution IDS hybride (NIDS couple des HIDS) : Prelude. Cette solution utilise un IDS bien connu
dans le domaine : SNORT.

13/12/2010

52

Groupe Audit Socit Assurancetourix


a. SNORT

Snort est un systme de dtection d'intrusion libre (ou NIDS) publi sous licence GNU GPL. En
effet, ce systme de dtection d'intrusion lger peut logger les paquets arrivant sur notre rseau
et peut tre utilis sur les petits rseaux, alors que sur les plus grands (Gigabit Ethernet), snort
devient peu fiable. l'origine crit par Martin Roesch, il appartient actuellement Sourcefire.
Les rgles sont quotidiennement mises jour avec l'apparition de nouvelles attaques. Snort
est disponible pour Unix comme pour Windows.
Snort peut tre lanc en quatre modes:
- mode sniffer:
Snort va lire le trafic rseau et le montrer l'cran.
- mode packet logger: Snort va enregistrer le trafic rseau sur un fichier.
- mode IDS:
Le trafic rseau correspondant aux rgles de scurit
sera enregistr. (mode utilis dans notre tutorial)
- mode IPS:
Aussi connu sous le nom de snort-inline (IPS= Intrusion
Prevention System)

Intrts d'un IDS :


Plusieurs fois, il est beaucoup trop facile pour les pirates informatiques danalyser notre
rseau pour les services vulnrables qui pourraient tre en cours d'excution ou scanner les ports qui
sont disponibles.
Par consquent, il ne faut pas ignorer la scurit quand la mise en place de la dtection
dintrusion est si facile faire.
Snort permet de surveiller notre rseau interne. En effet, la majeure partie des problmes de
scurit viennent en fait de l'intrieur de notre rseau et dans ce cas, cet outil est gratuit et
disponible sur la plupart des plates-formes.

Sans IDS, comment dtecter une attaque ?


Firewalls ?
La plupart des attaques sont des attaques sur des flux applicatifs.
Logs systmes ?
Trop verbeux.
Ne remonte pas tout.
parpills sur des dizaines de serveurs.
Plutt adapt au post mortem .
Pourquoi chercher dtecter des attaques ?

13/12/2010

53

Groupe Audit Socit Assurancetourix


Pour bloquer un attaquant avant qu'il ne russisse
Savoir ce qui est attaqu (et donc ce sur quoi mettre des moyens en terme de protection).
Pour analyse Post mortem .

Quand dois-je utiliser snort :


Snort peut tre utilis tout moment si on dsire prendre des mesures de scurit de base
qui nous permettent d'enregistrer et danalyser le trafic sur notre rseau. Avec un pare-feu ce devrait
tre un autre lment fondamental de notre rseau de scurit.

Plateformes qui fonctionnent avec SNORT :

O positionner son IDS ?


Il existe plusieurs endroits o il est possible de placer un IDS. Le schma suivant illustre un rseau
local ainsi que les trois positions que peut y prendre un IDS :

13/12/2010

54

Groupe Audit Socit Assurancetourix

Figure 24 - Intgration d'un IDS

Position (1) :
Sur cette position, l'IDS peut dtecter l'ensemble des attaques provenant de l'extrieur, avant le
firewall. Ainsi, beaucoup) d'alertes seront remontes dans les logs ce qui les rendra plus difficile
analyser.
Position (2) :
Si l'IDS est plac sur la DMZ, il dtectera les attaques qui n'ont pas t filtres par le firewall et qui
relvent d'un certain niveau de comptence. Les logs seront ici plus clairs consulter mais difficile
interpreter.
Position (3) :
L'IDS peut ici rendre compte des attaques internes, provenant du rseau local de l'entreprise. Il peut
tre judicieux d'en placer un cet endroit tant donn le fait que 80% des attaques proviennent de
l'intrieur.
Idalement, on placerait des IDS sur les trois positions puis on dlguerait la consultation des logs
l'application "acid" qui permet d'analyser les alertes et d'en prsenter clairement les rsultats via une
interface web complte. Si une seule machine peut tre dploye, autant la mettre sur la position 2,
crutiale pour le bons fonctionnement des services.

13/12/2010

55

Groupe Audit Socit Assurancetourix


Avantages/Inconvnients
SNORT
Avantages

Open Source,
Large communaut dutilisateurs
o Beaucoup de contributions
o Beaucoup
de
documentations
Bonne base de signatures
o Mise jour
o Modifiable
Nouvelles rgles trs rgulirement
proposes
Nombreux
plugins,
frontends,
consoles de management, ...
Mise en oeuvre basique rapide
Beaucoup de documentations
Fichiers d'alertes trs complets
(header des paquets, lien vers
description de l'attaque...)

Inconvnients

Technologie complexe
Ncessite un degr dexpertise lev
Long optimiser
Rputer pour gnrer de fausses alertes
Encore immature
Configuration
essentiellement
par
dition de fichiers texte
De nombreuses fonctionnalits payantes

b. Le SIEM Prelude

Prelude est un SIEM (Security Event Information Management). Ces solutions ont pour
objectif d'effectuer des corrlations entre les alertes remontes par les IDS du rseau (ici SNORT) et
les diverses sources d'informations collectes sur le rseau (informations provenant du systme de
supervision du rseau, des firewalls, des routeurs, etc...). Voici larchitecture retenue pour ce projet :

13/12/2010

56

Groupe Audit Socit Assurancetourix

Apache SSL
PHP & MySQL

HTTPS

TCP/IP local
Responsable Scurit

HTTPS

HTTPS

BD MySQL

Internet

Moteur de corrlation
TCP/IP local
Responsable Scurit

Prelude Manager

SSL
SSL

SSL

SSL

Prelude-NIDS

Prelude-LML

Snort IDMEF

libPrelude

Figure 25 - Architecture Prelude

En effet, Prelude est un systme de dtection dintrusions et danomalies distribu sous


licence GPL. Nous disposons dune seule machine virtuelle afin dinstaller les divers composants de
Prelude. Nous allons maintenant vous expliquer lutilit de ces diffrents composants dans
larchitecture dcrite prcdemment :
- Le manager permet de grer des sondes installes sur le parc de machines, en effet il accepte les
connexions des diffrents capteurs et collecte les diffrentes alertes.
- Le moteur de corrlation sert, quant lui, analyser les diffrentes alertes remontes par les
sondes (NIDS et HIDS) afin den augmenter le niveau de pertinence ainsi que de faire ressortir parmi
ces dernires les attaques menes contre le systme dinformation. En effet, il ne fournit au
Responsable de la Scurit que les vnements utiles.
- La base de donnes de journalisation des alertes aprs que lanalyse par le moteur de corrlation
soit ralise.
- Le serveur web dadministration graphique scuris (https) est une interface de visualisation des
alertes journalises dans une base de donnes qui permet aux administrateurs du systme
dinformation de possder un outil leur permettant de dceler plus rapidement les tentatives
dintrusions.

13/12/2010

57

Groupe Audit Socit Assurancetourix


Voici quelques avantages de Prelude en tant qu'IDS :

Interoprabilit avec tout systme envoyant des vnements (logiciel ou matriel)


facilit d'ajout de nouvelles signatures d'application
respect des standards (IDMEF, CEF, etc.) afin de permettre sa connexion des outils tiers
capacit voluer avec l'infrastructure
corrlateur ouvert pouvant accder d'autres systmes ou sources d'informations
console de management centralis multi-niveaux
dploiement non intrusif
protection des changes par connexions chiffres entre les agents
collecter des informations sous tous formats (logs et autres)
corrlateur d'vnements en temps rel

c. Module Apache mod_security

Mod_security est un module permettant de contrler finement les changes entre le serveur
Apache et le client. Il filtre et journalise ces changes. Ce module nous aidera donc stopper les
injections de type SQL, le cross-site scripting et d'autres attaques web par l'intermdiaire de donnes
corrompues.

Apache permet dj de filtrer les requtes HTTP mod_security va beaucoup plus loin en
travaillant galement sur les rponses HTTP et en permettant une analyse beaucoup plus tendue
des requtes. Il est galement capable de filtrer les flux HTTPS et corriger les URL mal formes.

Pour cela, ce module sintgre avant le traitement normal des requtes par Apache.

Figure 26 - Principe du module "modsecurity"

13/12/2010

58

Groupe Audit Socit Assurancetourix


Ce module permet de filtrer beaucoup de choses intressantes :

- Dtecter les injections SQL


- Bloquer l'accs aux fichiers passwd, shadow
- Interdire les commandes systmes (ls, wget, etc)
- Interdire la mthode TRACE
- Empcher une attaque transversale de rpertoire
- Bloquer le bot DTS Agent
- Interdire le HTML et le Javascript dans les requtes
- Etc

La configuration de celui-ci est trs simple, il suffit dajouter les rgles souhaites dans la
configuration de nos virtualhost dApache. (ex : SecFilter "delete[[:space:]]+from" =>
empche les delete).

Ce module Apache est donc trs intressant mettre en uvre mais il faut cependant faire
attention sa configuration pour ne pas quil bloque certaines requtes censes tre autorises.

Contexte du projet :
Lentreprise Aerodef disposant dun serveur web Apache avec un site internet mis en ligne
disposition des attaquants, nous leur avons demand de mettre en place ce module avant
damliorer la scurit de leur site WEB afin dempcher les diffrentes attaques prsentes dans le
paragraphe prcdent.
Sur ce point Aerodef ne nous a pas cout ou na tout simplement pas eu le temps de mettre
ce module en place. Nous navons pas eu plus dinformations ce sujet.

La dtection d'intrusion est actuellement au stade d'exprimental. L'investissement


ncessaire vis vis des rsultats obtenus n'est pas des plus satisfaisants :
- grand nombre de faux positifs
- les faux ngatifs sont trs dangereux
Les HIDS, IDS installs sur les machines du parc informatique ne remontent pas

13/12/2010

59

Groupe Audit Socit Assurancetourix


d'informations suffisamment pertinentes et donc ce ne peuvent pas tre considrs comme des
solutions fiables.
D'autre part le mcanisme alerte / action des Intrusions Prevention System, c'est dire que
le dclenchement d'une alerte entraine une action sur le Systme d'information, par exemple la
reconfiguration des rgles du pare-feu de l'entreprise se rvle tre un mcanisme assez dangereux.
Effectivement, si l'IPS lve tort une alerte concernant une machine du parc informatique le parefeu est alors reconfigur pour bloquer cette machine identifie comme appartenant un botnet.
En outre, les SIEM ont pour objectif d'effectuer des corrlations entre les alertes remontes
par les IDS du rseau et les diverses sources d'informations collectes sur le rseau (informations
provenant du systme de supervision du rseau, des firewalls, des routeurs, etc...). Ce sont des
logiciels assez imposants autant en configuration qu'en maintenance et dont les rsultats qu'ils
dlivrent ne sont pas encore prouvs. Tout comme la dtection d'intrusion, les SIEM sont encore au
stade d'exprimentation, bien que des solutions commerciales existent.
Malgr tout, il est utile de suivre les volutions dans le domaine de la dtection d'intrusion et en
cela d'intgrer un IDS dans son rseau local. L'objectif tant alors de s'en servir comme source
d'informations supplmentaires pour la surveillance du rseau d'entreprise tout en gardant un recul
sur ce type de systme

6. Nessus

Nessus est un outil de scurit informatique. Il signale les faiblesses potentielles ou


avres sur les machines testes. Ceci inclut, entre autres :

les services vulnrables des attaques permettant la prise de contrle de la machine, l'accs
des informations sensibles (lecture de fichiers confidentiels par exemple), des dnis de
service...
les fautes de configuration (relais de messagerie ouvert par exemple)
les patchs de scurit non appliqus, que les failles corriges soient exploitables ou non dans
la configuration teste
les mots de passe par dfaut, quelques mots de passe communs, et l'absence de mots de
passe sur certains comptes systmes. Nessus peut aussi appeler le programme externe Hydra
pour attaquer les mots de passe l'aide d'un dictionnaire.
les services jugs faibles (on suggre par exemple de remplacer Telnet par SSH)
les dnis de service contre la pile TCP/IP

La squence des oprations est la suivante (liste non exhaustive):

dtection des machines vivantes sur le rseau


scan des ports avec un des quatre ports scanners internes, ou un scanner externe.

13/12/2010

60

Groupe Audit Socit Assurancetourix

rcupration d'informations
type et version des divers services
Connexion (SSH, Telnet ou rsh) pour rcuprer la liste des packages installs

Le logiciel client standard peut exporter les donnes sous divers formats. Outre les failles,
Nessus prsente galement diverses informations utiles un auditeur comme la version des
services ou de lOS.

Dans le cadre du projet, la socit AeroDef ne souhaitait pas que lon utilise ce logiciel car
elle le jugeait trop agressif et pouvait entrainer des disfonctionnements sur leur SI. De ce fait,
aucun scan na t ralis sur leur rseau, ce qui aurait permis didentifier de nombreuses
failles.

VI.

VOIP et Tlphonie
1. Installation du serveur Astrisk

a. Rcupration de la dernire version dAsterisk

Il est important de tlcharger la toute dernire version dAsterisk pour viter au


maximum tous risques dattaques concernant dventuelles failles de scurit.
La dernire version dAsterisk se rcupre ladresse suivante :
http://www.asterisk.org/downloads/asterisk/releases/asterisk-1.6.2-current.tar.gz
Pour charger sur la distribution Debian le fichier Tar.gz dAsterisk, on ralise la
commande suivante :
wget http://www.asterisk.org/downloads/asterisk/releases/asterisk-1.6.2-current.tar.gz
Il faut ensuite dcompresser larchive laide de la commande suivante :
tar zxvf asterisk-1.6.2-current.tar.gz

13/12/2010

61

Groupe Audit Socit Assurancetourix


b. Installation dAsterisk
On peut prsent installer notre serveur Asterisk.
./configure
make menuselect (optionnel)
make
make install
make config
make samples
Remarque:
Linconvnient dinstaller Asterisk directement depuis un fichier taz.gz (et non pas via un package) est
quAUCUNE dpendance est grer. Il faut installer au pralable tous les paquets ncessaires au bon
fonctionnement dAsterisk.
Voici lensemble des paquets installer (avant linstallation dAsterisk) :
apt-get install libncurses5-dev bison libssl-dev libcap-dev libnewt-dev zlib1g-dev procps gcc g++ make
binutils doxygen

Le serveur Asterisk se lance laide de la commande suivante :


/etc/init.d/asterisk start
Ensuite, une commande CLI ddi au serveur est disponible. Elle va permettre dobtenir de
nombreuses informations comme le nombre de personnes enregistrs, les appels en cours, etc
Voici la commande pour lancer la console CLI :
asterisk rvvvvvvvvv
-r : reload
- v : mode verbose. Plus il ya de v , plus le serveur sera parlant

2. Configuration du serveur Astrisk


a. Cration de deux comptes SIP pour Xlite
La cration dutilisateur SIP se ralise dans le fichier sip.conf ( /etc/asterisk/sip.conf)
[general]
context=default
; Default context for incoming calls
allowoverlap=no
bindport=5060 // Mise en coute du serveur sur le port 5060 (SIP)
bindaddr=0.0.0.0 // Le serveur coute sur toutes les interfaces

13/12/2010

62

Groupe Audit Socit Assurancetourix


srvlookup=yes
qualify=yes
nat=yes
[Tristan]
type=friend
host=dynamic
// Allocation dynamique dune adresse IP
username=Tristan // Nom dutilisateur
secret=tristan_VOIP // Mot de passe
callerid="Tristan" <100> // Identifiant dappel
language=fr
context=local // Context local Voir fichier extensions.conf
[Goulven]
type=friend
host=dynamic
username=Goulven
secret=goulven_VOIP
callerid="Goulven" <101>
langage=fr
context=local
[Mederic]
type=friend
host=dynamic
username=Mederic
secret=mederic_VOIP
callerid="Mederic" <102>
langage=fr
context=local
[Laurent]
type=friend
host=dynamic
username=Laurent
secret=laurent_@udit
callerid="Laurent" <103>
language=fr
Il faut galement dfinir un plan de numrotation. Celui-ci se gre dans le fichier extentions.conf
(/etc/asterisk/extentions.conf)
; extensions.conf - the Asterisk dial plan
[general]
;
static=yes
writeprotect=no
;autofallthrough=no
;extenpatternmatchnew=no
;
clearglobalvars=no

13/12/2010

63

Groupe Audit Socit Assurancetourix


;priorityjumping=yes
;userscontext=default
[globals]
CONSOLE=Console/dsp
;CONSOLE=DAHDI/1
;CONSOLE=Phone/phone0
IAXINFO=guest
;IAXINFO=myuser:mypass
TRUNK=DAHDI/G2

; Console interface for demo

; IAXtel username/password
; Trunk interface

[local] // Context local


exten => 100,1,Dial(SIP/Tristan) // Si on compose le N101 alors on appel lutilisateur Tristan
exten => 101,1,Dial(SIP/Goulven)
exten => 102,1,Dial(SIP/Mederic)
exten => 103,1,Dial(SIP/Laurent)
exten => 104,1,Dial(SIP/Thomas)
exten => 105,1,Dial(SIP/Nat)
exten => 106,1,Dial(SIP/Lise)

b. Configuration de Xlite

Une fois la dclaration des utilisateurs SIP ralis sur lAsterisk, il ne reste plus qua configurer le
softphone Asterisk.

Display Name : Nom affich sur linterface Xlite


User name : Numro de lutilisateur
Password : Mot de passe du compte utilisateur
Authorization user name : Nom de lutilisateur
Domain : Adresse IP du serveur Asterisk : 192.168.2.101

13/12/2010

64

Groupe Audit Socit Assurancetourix


Proxy : Adresse IP du serveur Asterisk : 192.168.2.101
Une procdure de configuration des tlphones Xlite a t remise lquipe Dfense afin quelle
puisse configurer plus facilement ce softphone sur leurs quipements.

Vrifier le bon enregistrement dun client Xlite


Pour vrifier lenregistrement dun client SIP, on utilise la CLI. Voici la commande
excuter :
sip show peers

On constate sur cette capture dcran que lutilisateur Tristan est connect au serveur Asterisk
avec ladresse IP 192.18.2.8

13/12/2010

65

Groupe Audit Socit Assurancetourix


c. Passage du serveur Asterisk sous un autre user

Pour raliser cela, il suffit de taper les commandes suivantes :


(Un groupe et un utilisateur Asterisk ont t cre automatiquement lors de
linstallation de ce dernier)
/etc/init.d/asterisk stop
chown --recursive asterisk:asterisk /var/lib/asterisk
chown --recursive asterisk:asterisk /var/log/asterisk
chown --recursive asterisk:asterisk /var/run/asterisk
chown --recursive asterisk:asterisk /var/spool/asterisk
chown --recursive asterisk:asterisk /usr/lib/asterisk
chown --recursive asterisk:asterisk /dev/dahdi
chmod --recursive u=rwX,g=rX,o= /var/lib/asterisk
chmod --recursive u=rwX,g=rX,o= /var/log/asterisk
chmod --recursive u=rwX,g=rX,o= /var/run/asterisk
chmod --recursive u=rwX,g=rX,o= /var/spool/asterisk
chmod --recursive u=rwX,g=rX,o= /usr/lib/asterisk
chmod --recursive u=rwX,g=rX,o= /dev/dahdi
chown --recursive root:asterisk /etc/asterisk
chmod --recursive u=rwX,g=rX,o= /etc/asterisk
cp /etc/asterisk/asterisk.conf /etc/asterisk/asterisk.conf.org
vi /etc/asterisk/asterisk.conf
# Modifiez la ligne suivante :
#
# astrundir => /var/run
#
# par
#
# astrundir => /var/run/asterisk
#
#---------------------------------------------------cp /etc/init.d/asterisk /etc/init.d/asterisk.org
#---------------------------------------------------vi /etc/init.d/asterisk
#
# Modifiez la ligne suivante :
#
# #AST_USER="asterisk"
# #AST_GROUP="asterisk"
#
# par
#
# AST_USER="asterisk"

13/12/2010

66

Groupe Audit Socit Assurancetourix


# AST_GROUP="asterisk"
#
#---------------------------------------------------chmod g+w /etc/asterisk/voicemail.conf
chmod g+w,+t /etc/asterisk
/etc/init.d/asterisk restart

d. Filtrage des flux de la TOIP

Lun des problmes essentiels inhrents aux protocoles de signalisation rside dans le filtrage des
flux. Trs souvent, les entreprises utilisent des mcanismes de translations dadresses (NAT), lesquels
sont incompatibles avec les traitements appliqus sur les flux multimdias.
Le problme de la VOIP est que les trames RTP nont pas de numros de port prdfinis. Les numros
de port du RTP sont totalement alatoires et changent chaque nouvelle communication. Il est donc
trs difficile de passer les pare feux pour un flux RTP.
Fort heureusement il existe plusieurs solutions pour palier ce problme.
Il est possible de fixer une plage de port RTP sur lAsterisk. On peut par exemple dfinir sur lasterisk
une plage de port entre 3000 et 3100. Toutes les communications RPT entre lasterisk et le tlphone
se raliseront dans cette plage. Il ne reste plus qua autoriser cette plage de ports sur pare feu. Cest
la solution que nous avons mis en uvre en TP.
Une autre solution beaucoup plus pouss et intressante consiste utiliser un filtrage applicatif.
Prsentation gnral du filtrage applicatif de donnes
Pour oprer les modifications d'adresses IP et de ports requises par la translation d'adresse, le
boitier NAT doit imprativement connaitre le format et la syntaxe des protocoles sous-jacents. Les
protocoles utiliss dans les couches basses de la communication rseau sont gnralement
classiques. Pour l'adressage IP, il s'agit du protocole IP (couche de niveau rseau); pour le port, il
s'agit du protocole TCP ou UDP (couche de niveau transport). La majorit des flux sont donc reconnus
et peuvent tre traits .On peut gnraliser cette ide. En connaissant les spcificits d'un protocole,
on peut oprer exactement les mmes modifications que celles effectus avec le NAT pour l'adresse
IP et le port. Mme si le problme est plus complexe, puisqu'il existe de nombreux protocoles, cette
solution demeure parfaitement fonctionnelle. Ainsi, le boitier NAT ne supporte plus uniquement les
fonctionnalits de NAT classiques, mais est en plus capable d'analyser les flux pour dterminer quels
sont les protocoles utiliss. En connaissant la syntaxe de ces protocoles, le boitier peut effectuer
toutes les modifications ncessaires.
La rponse apporte dans ce cadre est donc une solution de filtrage de tous les protocoles utiliss
par les applications qui posent des problmes de NAT.

13/12/2010

67

Groupe Audit Socit Assurancetourix


Les passerelles de niveau applicatif
Une nouvelle gamme de passerelles multimdias a t mise au point pour permettre la
reconnaissance des flux. Appeles ALG (Application Layer Gateway), ces passerelles sont proposes
dans un grand nombre de solutions commerciales, embarques le plus souvent au sein d'un pare-feu.
Les flux sont filtrs, et, s'ils sont reconnus, les modifications ncessaires au bon fonctionnement du
NAT sont opres paralllement l'autorisation accorde ces flux de traverser le pare-feu.
C'est dans cet esprit que le projet libre Netfilter sous Linux propose la reconnaissance d'un trs grand
nombre de protocoles, des couches basses aux couches les plus hautes. Les modules de
reconnaissance sont galement disponibles pour le protocole H.323 (modules ip_conntrack_h323 et
ip_nat-H323), ainsi que pour le protocole SIP (module SIP et NAT ip_conntrack_sip et ip_nat_sip).
Deux modules sont ncessaires, le premier (ip_conntrack) ralisant le suivi de connexion (car les flux
utilisent des ports dynamiques qui doivent tre dtects durant la communication) et le second
(ip_nat) ralisant la translation d'adresse.
La Technologie Netfilter est accessible par dfaut dans toutes les distributions actuelles de Linux, par
le biais de la commande iptables. Elle est fournie avec un ensemble de filtres pour la reconnaissance
des protocoles les plus standards.
L'application n'a pas modifier la structure des paquets envoys. Le pare-feu se charge en mission
(du rseau local vers le rseau Internet) de les rendre valides et en rception (du rseau Internet vers
le rseau local) de les distribuer au terminal adquat.
Le NAT une tache beaucoup plus lourde accomplir puisqu'il doit filtrer des protocoles complexes,
de niveau applicatif, ce qui rclame des ressources de traitement importantes.
Dans notre cas, si nous devions utiliser ce principe il faudrait mettre en place sur le pare feu de la
dfense le module ip_conntrack_sip . Ce module aura pour but daller lire dans le champ SDP des
trames SIP les numros de ports RTP dfini pour la communication. Le module naura plus qu ouvrir
dynamiquement les ports RTP en consquence.
Source: Livre Tlphonie sur IP de Laurent Ouakil et Guy Pujolle

e. Etude pour 40 postes

Le groupe dfense nous a demand dvaluer la mtrologie et le cot concernant le passage


lchelle de cette solution pour 40 postes.
Les quipements
Concernant les postes tlphoniques proprement dit, le cout restera intact puisque nous utilisons
le softphone gratuit Xlite.
Le serveur Asterisk ne subira galement aucune modification hardware car 515 Mo de RAM suffisent
largement le faire fonctionner mme avec 40 postes tlphoniques.

13/12/2010

68

Groupe Audit Socit Assurancetourix


Le rseau
Le point crucial dans ltude rside dans le niveau de bande passante allouer dans notre LAN et
WAN afin que les communications tlphoniques ne soient pas dgrades.
Le LAN de la dfense est un rseau 100 Mbits/s. On dcide dutiliser le codec G711 sur lensemble
du parc tlphonique lors dun appel en interne.
En effet, le codec G711 ncessite un dbit utile de 64 kbit par seconde.
Supposons que 40 personnes appellent en mme temps (ce qui est trs peu probable), cela donne un
dbit de :
40*64= 2,560 Mbit/s.
Un rseau de 100Mbits est donc largement suffisant pour accueillir le codec G711 sans rencontrs de
saturation.
Ce codec a lavantage de ne pas compresser la voix. La qualit audio est donc optimale.
Par contre, en ce qui concerne les appels externes, le dbit maximal nest pas le mme. On ne
connait pas le dbit du lien WAN de la dfense (aucune information ce sujet). On suppose que
celui-ci est de 2 Mbits et quon utilise un trunk SIP vers un oprateur SIP pour raliser les appels
externes. On constate quavec lutilisation du codec G711, on pourrait ne pas mettre 20 appels en
simultanes : 2,560 Mbit/s de requis pour 2Mbits de bande passante.
Pour rsoudre ce problme, il est recommand dutiliser le codec G729 pour les appels externes. Ce
codec a la particularit dutiliser une bande passante faible tout en conservant une qualit audio
convenable (moins bonne que celle du G711). Il utilise seulement 8 Kbit/s par appel, soit 320Kbit/s
pour 40 appels vers lextrieur. Les 2Mbit/s de lien WAN sont donc suffisant dans ce cas de figure.
Bien sr, cette tude est fonde uniquement sur des suppositions. Dans un cas rel, il faudrait
raliser une tude srieuse afin de connaitre le nombre dappel par jour des employs et dterminer
la dure moyenne que passe lemploy au tlphone. Grce toutes ces informations, il est possible
de calculer l'erlang. Lerlang est une unit de mesure d'intensit du trafic tlphonique. Elle mesure
le nombre de sessions de communication et leur dure sur une priode donne. 1 erlang correspond
l'occupation maximale sur une ligne ne permettant qu'une communication tlphonique.

3. Listes des attaques ralisables et solutions pour les contrer

a. Les attaques ralisables

Dni de Service (DOS)


Le Dni de service (DoS) sur VoIP qui consiste lancer une multitude de requtes, flooding SIP ,
TCP syn ou UDP , (par exemple, demandes denregistrement et d'appels...) jusqu' saturation
des services VoIP. Ces types d'attaques ciblent souvent les serveurs, les passerelles, les proxys ou
encore les tlphones IP qui voient leurs ressources sont rapidement puises par ces requtes dont
lobjectif est de perturber voire mettre hors service le systme cibl.

13/12/2010

69

Groupe Audit Socit Assurancetourix

Manipulation du stream RTP et SIP :

1. La manipulation du contenu multimdia et des signaux est une attaque qui permet dinjecter un
fichier son dans un flux RTP par le biais dune attaque RTP Insertsound .

2. Raccrochage (BYE) : Une autre attaque galement rpandue consiste envoyer des commandes
BYE au tlphone afin de mettre fin la conversation en cours...

Relecture

Attaque par relecture ou Dtournement d'enregistrement de sessions autorises obtenues


grce une analyse de trame par un sniffer sur le rseau ou par interception de trafic. Cette
attaque se droule au niveau du protocole SIP, elle utilise la commande Register qui sert
localiser un utilisateur par rapport son adresse IP. Le pirate peut alors rejouer ces sessions de
register valide en modifiant uniquement ladresse IP de destination en sa faveur...Cette attaque est
due au fait que le protocole SIP transite une partie des informations en clair, il est donc possible de
mettre en place du SIPS qui intgre des mcanismes dauthentification et assure lintgrit des
donnes.

Man In the Middle :

Le Man in the Middle (figure 3 : exemple dchange protocolaire) (MITM) est une des attaques
les plus connues ; elle permet lassaillant de se positionner entre le client et le serveur afin
dintercepter les flux cibls qui sont changs. Le pirate usurpe alors ladresse MAC (spoof MAC) de
ces 2 parties par lempoisonnement du cache ARP des switches (ex: Ettercap + plugin
chk_poisoning . Autre exemple : arpspoof (dsniff) ou arp-sk) afin dtre transparent dans ces
changes.
Envoi de requtes ARP falsifies. Rpondant aux requtes ARP en se faisant passer pour la cible ou
les cibles. Emettant de messages ARP gratuitous.
Les donnes transitent alors au travers du systme pirate. Dans le cas de la ToIP cette technique est
utilise pour lEavesdropping (Oreille indiscrte ) lui permettant ainsi dcouter et denregistrer
les conversations entre les interlocuteurs mais aussi de rcuprer un ensemble dinformations
confidentielles. Cette technique est aussi utilise pour dautres protocoles (SSL, DNS, SSH...).

13/12/2010

70

Groupe Audit Socit Assurancetourix


Ecoute et analyse des flux RTP :

Capture de lchange des trames SIP dusage avant ltablissement de lappel, avec en prime le dbut
de la conversation via le protocole de transport, savoir RTP.

Rcupration et cassage des comptes :

Le mode dauthentification des tlphones IP reste somme toute assez basique, puisque certains flux
sont en clairs et puisque le challenge est ralis avec un hash simple en "MD5" et pas de
chiffrement... Ce qui renforce limportance de la politique de mot de passe.
1. Rcupration des trames :
Il est facile quand on a captur les bonnes trames de rcuprer les credentials dun compte SIP, les
requtes REGISTER comportent le numro dextension et un hash MD5.
La capture en live de ces sessions denregistrement qui se reproduisent par dfaut toutes les 3600
secondes est trs aise.
2. Cassae des comptes :

Une suite doutil existe pour faciliter la vie en extirpant ces informations du fichier de capture.
Puis, on utilise un outil pour lancer un bruteforce sur le hash en utilisant soit lentre standard stdin
ou un dictionnaire.

Usurpation de numro :

En SIP, les quipements bnficient dune relle intelligence embarque contrairement aux MGCP
par exemple... il est donc possible de demander un tlphone dafficher lors dun appel son
destinataire un numro de tlphone diffrent du sien. En interne, cela na que peu deffet.
Pourtant, une personne pourrait prtendre appeler depuis le centre de scurit ou le bureau du
directeur... et demander lexcution dactions particulires par exemple. De lextrieur, tre discret,
se faire passer pour quelquun autre, ou encore afficher systmatiquement pour tous les appels
sortants, un numro tiers pirate (modification sur passerelle ou IPbx). Lorsque les destinataires
tenteront de recontacter leurs collgues et/ou partenaires en faisant BIS ou rappeler dans
lhistorique des appels, ils tomberont systmatiquement sur le numro (payant) qui tait affich (ex :
1,4 par appel).

13/12/2010

71

Groupe Audit Socit Assurancetourix


b. Les attaques Ralises par nos soins

Les captures, effectues ci-aprs, ont directement t ralises sur le serveur Asterisk. Nous
aurions pu effectuer ces captures en effectuant au pralable un ArpSpoofing. Cependant, il nous
aurait fallu les autorisations de la part dAeroDef ce qui aurait considrablement allong les dlais de
ralisation des dmonstrations dattaques. En effet, le contrat de Voip/Toip ayant t ralis trs
tardivement par la socit AeroDef, nous ne pouvions plus attendre.

Ecoute et analyse des flux RTP


Une fois une communication SIP entre deux tlphones rcuprs, il est trs facile dutiliser le logiciel
Wireshark pour couter la conversation.
En effet, Wireshark est capable danalyser les trames RTP et didentifier les diffrents flux de
communication.
Ensuite, on peut slectionner la communication qui nous intresse et demander Wireshark
de reconstituer la conversation ainsi capture.
Pour couter une conversation, il faut se rendre dans longlet Telephony et cliquer sur VoIP
Calls . Une nouvelle fentre souvre listant lensemble des conversations VOIP qui ont pu tre
captur.

Voici un exemple ralis en sance de TP :

Dans cette capture, on constate quune conversation entre Goulven et le poste 106 a t captur.
Pour lcouter, il suffit de cliquer sur Player et un lecteur audio souvre offrant la possibilit
dcouter la conversation.

13/12/2010

72

Groupe Audit Socit Assurancetourix

Rcupration et cassage des comptes

Nous avons captur les paquets envoys lors de l'tablissement de communication entre deux
softphone. Nous essayons de rcuprer de trouver des comptes analysables.

kami@kami-laptop:~$ sudo sipdump -p/media/TRISTAN/capture recup.dump

SIPdump 0.2 ( MaJoMu | www.codito.de )


--------------------------------------* Using pcap file '/media/TRISTAN/capture' for sniffing
* Starting to sniff with packet filter 'tcp or udp'
* Dumped login from 192.168.2.101 -> 192.168.2.9 (User: 'Mederic')
* Exiting, sniffed 1 logins

On constate ici que nous avons obtenu des informations concernant le softphone utilis par
lutilisateur Mederic .

13/12/2010

73

Groupe Audit Socit Assurancetourix

Nous allons alors tenter de dchiffrer le mot de passe laide dun dictionnaire disponible sur le site
www.authsecu.com. Cependant, le mot de passe que nous avons paramtr est relativement
complexe et ne peut se trouver dans un dictionnaire. Cette tentative se solde par un chec.

kami@kami-laptop:~$ sudo sipcrack -w francais-divers.txt recup.dump

SIPcrack 0.2 ( MaJoMu | www.codito.de )


---------------------------------------* Found Accounts:
Num

Server

Client

User

Hash|Password

1
192.168.2.9
192.168.2.101 Mederic
c1c5056882fb8a35e7219571e8eb8c89
2
192.168.2.9
192.168.2.101 Mederic
c1c5056882fb8a35e7219571e8eb8c89
3
192.168.2.9
192.168.2.101 Mederic
c1c5056882fb8a35e7219571e8eb8c89

* Select which entry to crack (1 - 3): 1

* Generating static MD5 hash... 5844aebb38e6df795ca1e5ba8280553c


* Loaded wordlist: 'francais-divers.txt'
* Starting bruteforce against user 'Mederic' (MD5:
'c1c5056882fb8a35e7219571e8eb8c89')
* Tried 46832 passwords in 0 seconds

* Tried all passwords, no match

13/12/2010

74

Groupe Audit Socit Assurancetourix


Nous essayons alors de dchiffrer le mot de passe via la technique de bruteforce. Cependant, cette
technique demande une puissance de calcul trs importante puisquelle teste les nombreuses
possibilits de mot de passe et savre trs longue. Cette tentative se solde galement par un chec.

kami@kami-laptop:~$ sudo sipcrack -s recup.dump


SIPcrack 0.2 ( MaJoMu | www.codito.de )
---------------------------------------* Found Accounts:
Num

Server

Client

User

Hash|Password

1
192.168.2.9
192.168.2.101 Mederic
c1c5056882fb8a35e7219571e8eb8c89
2
192.168.2.9
192.168.2.101 Mederic
c1c5056882fb8a35e7219571e8eb8c89
3
192.168.2.9
192.168.2.101 Mederic
c1c5056882fb8a35e7219571e8eb8c89

* Select which entry to crack (1 - 3): 3

* Generating static MD5 hash... 5844aebb38e6df795ca1e5ba8280553c


* Type your passwords:
* Starting bruteforce against user 'Mederic' (MD5:
'c1c5056882fb8a35e7219571e8eb8c89')

Le mot de passe que nous avons paramtr savre trop complexe pour pouvoir tre dchiffr
rapidement. On comprend, ici, lintrt dune politique de mot de passe complexe, qui a t
recommande par le service communication dans la charte des utilisateurs.

13/12/2010

75

Groupe Audit Socit Assurancetourix


c. Les parades aux attaques:
Usurpation de numro :

Des solutions existent en matire de dtection dattaque (IDS/IPS) et/ou de modification suspicieuse
sur le protocole ARP avec Arpwatch ou snort , ou mcanisme basique dans le monde du
switching comme le port security qui limite le nombre dadresses MAC utilisables par port, ou
encore du 802.1x ...

Parefeu statefull :

Implmenter des pare-feux Statefull nouvelle gnration avec une reconnaissance protocolaire
plus avance (ADN applicatif...).

Scurisation des protocoles SIP et RTP :

Scurisation des protocoles SIP et RTP par lutilisation de PKI (Public Key Infrastructure) et la mise en
place du SIPS , SRTP , SRTCP utilisant le DTLS RFC 4347...

WAN :

Ct WAN, ne jamais exposer son IPBX par une IP Public mme nate , ni en DMZ publique et/ou
directement lextrieur mme un module spcifique cet usage est propos, privilgier le mode
VPN SSL ou IPSEC par le biais du firewall.

13/12/2010

76

Groupe Audit Socit Assurancetourix

4. Les problmes rencontrs


a. Communication avec Aerodef

La communication avec Aerodef s'est rvle relativement complique. En effet, l'appel d'offre
envoye par Aerodef ne comportait que des informations techniquement faibles. Lors de notre
rponse l'appel d'offre, nous ne possdions pas de schma dtaill de l'infrastructure. Malgr nos
multiples relances pour obtenir un ce schma (Nat/Pat, Vlans etc...), nous n'avons obtenu qu'un
schma global sans vritable information susceptible de nous intresser. A ce jour, nous ne
possdons d'ailleurs pas ces informations. De plus, Aerodef a mis deux semaines rpondre notre
rponse lappel doffre entrainant un ralentissement dans nos recherches et mise en place de
solutions de VOIP.

b. Les problmes techniques

Le softphone Xlite

Le softphone Xlite install sur lordinateur ne permet pas de transmettre directement le trafic voix
dans des trames 802.1Q avec lidentifiant du vlan voix appropri (niveau 2 du modle OSI).
Cependant il a t choisi puisquil est capable de marquer le champ TOS (ou DSCP) dun paquet IP
(niveau 3 du modle OSI).
Configuration X-lite pour Tag Vlan
Afin de dissocier les paquets du VLAN voix et du VLAN data , il nous est ncessaire de pouvoir
marqu les paquets de Xlite. Pour raliser ce marquage, il faut aller dans les options puis slectionner
la partie avance et enfin la sous-partie Qualit de service . Dans cette partie, on peut
paramtrer un champ TOS, champ qui permet de marquer les paquets de la communication, comme
vous pourrez le voir ci-aprs.

13/12/2010

77

Groupe Audit Socit Assurancetourix

Cependant, pour que cela fonctionne, il faut que les paquets puissent tre taggus dans VLAN
voix ensuite par le switch. Cependant, nous navons pas trouv de documentation sur les switchs
permettant cela.
Cest pourquoi nous avons utilis le stratagme prsent au point 3 sur les switchs CISCO.

Configuration des switchs

Nous avions demand au client Aerodef de bien vouloir nous laisser des accs sur leurs switchs afin
de nous permettre de mettre jour leurs configurations. Le but de ces mises jour de configurations
taient de permettre le taggage des paquets voix dans le vlan voix.
Malheureusement ce jour nous navons obtenu aucune rponse tant positive que ngative.
Cependant, force de persistance, nous avons tout de mme obtenu du service rseau dAerodef de
faire entrer, par un de leur technicien, les commandes prsentes dans la figure ci-aprs dans leurs
switchs.

13/12/2010

78

Groupe Audit Socit Assurancetourix

Figure 27 - Commandes de taggage des paquets voix dans vlan voix

Les paquets voix reus par le switch sont alors directement taggus dans le bon vlan, ici la vlan voix
dAerodef. Les paquets data quant eux ne subissent aucune modification et sont taggu suivant la
configuration dfinie par Aerodef dont nous ignorons tout.

Configuration des tlphones CISCO


Lors des sances de TP, nous avions galement disposition 4 tlphones CISCO 7965.
Malheureusement, ces tlphones IP fonctionnent de base avec le protocole propritaire Skinny Call
Control Protocol (SCCP) de Cisco.
Dans un premier temps, nous avons effectu des recherches documentaires pour raliser une
communication en Skinny entre lAsterisk et le tlphone CISCO. Asterisk gre ce protocole et la
configuration se ralise dans le fichier skinny.conf . Par contre, la configuration de ce fichier est
trs lourde et assez complexe. Nous navons trouv aucune explication claire ce sujet.
Aprs rflexion, on a dcid dabandonner cette solution et dessayer de modifier le firmware des
tlphones afin quils puissent interprter le protocole SIP.
Officiellement, il est possible de modifier le firmware du tlphone grce au Cisco Unified
Communications Manager (UCM). LUCM est le logiciel dit par Cisco qui permet de grer des
appels VOIP. Cest lUCM qui est capable dinjecter le nouveau firmware dans le tlphone CISCO.

13/12/2010

79

Groupe Audit Socit Assurancetourix


Sans UCM normalement aucune mise jour nest possible. Or, nous ne possdons pas dUCM en
salle de TP.
Aprs des recherches sur internet, certains articles voquent la possibilit de mettre jour le
tlphone en SIP sans pass par lUCM.
(http://www.markholloway.com/blog/?p=549 )
Cette manipulation se ralise avec un serveur DHCP &TFTP. Nous avons ralis ces deux serveurs
sous la distribution Debian.
Le DHCP doit fournir une adresse IP au tlphone et galement indiqu au tlphone ladresse IP du
serveur TFTP. Une fois que le tlphone rcupre ladresse IP du serveur TFTP, il rcupre le nouveau
firmware prsent sur le serveur.
Pour information, le firmware SIP est prsent sur le site de Cisco.
Une fois les deux serveurs configur, il faut raliser une squence de touche particulire afin que le
tlphone dmarre et rcupre le nouveau firmware. Cest lors de ce dmarrage que nous avons
rencontr des problmes.
Le tlphone rcupre bien le firmware. Une fois le tlchargement du firmware arriv 100% le
tlphone redmarre et recommence nouveau le tlchargement du firmware. Le tlphone
tourne en boucle en rcuprant chaque fois le firmware.
Nous navons malheureusement pas russi rsoudre ce problme.

VII.

Les tapes du projet

Dans cette partie, nous prsenterons les attaques qui ont eu lieu durant ce projet que nous avons pu
identifier avec les informations que nous avons :

Fichier syslog.log du serveur Zeus


Netflow
SPAN

1. Premire confrontation

Lors de la premire confrontation nous ntions pas oprationnels. En effet, nous navons eu
accs la salle que le vendredi en fin daprs-midi (18h00). Cela ne nous a donc pas permis de mettre
en place 100% de nos services.

13/12/2010

80

Groupe Audit Socit Assurancetourix


Durant cette confrontation, le rseau a t soumis deux types dattaques :

Exploit PDF sur des postes clients


DNS Spoofing

a. Exploit PDF

Lutilisation dexploit est trs difficile dans un univers de production. En effet, cela fonctionne
trs bien sur une maquette car nous contrlons lensemble des paramtres (numro de version,
machine,). Dans ce cas-l, lantivirus directement dtect la menace.

Figure 28 - Dtection par AVG du PDF

Le fichier PDF malicieux tant trop charg en exploit ce qui a eu pour consquence de
dtruire la machine (elle na pu tre redmarre par la suite) au lieu de pouvoir rcuprer la main
dessus.

13/12/2010

81

Groupe Audit Socit Assurancetourix

Figure 29 - Gestionnaire de tche de la machine attaque

b. DNS Spoofing

Nous avons t soumis une attaque de DNS Spoofing durant cette confrontation. Afin de
raliser cette attaque dans le cadre dune socit il faut se placer trs prcisment dans le rseau. En
effet, le principe de cette attaque est que le serveur pirate rpond plus rapidement que le vrai
serveur.
Dans le contexte dune socit, il faut que le serveur pirate se trouve :

Soit dans le rseau de lentreprise difficile raliser si le pirate nappartient pas


lentreprise
Soit en sortie du rseau de lentreprise dans linfrastructure de loprateur

Le fait que le groupe attaque se trouve sur le mme LAN donc permit de rendre possible
cette attaque.
Grce au plugin NRPE concernant le serveur DNS, nous avons pu dtecter quun mauvais
serveur (autre que celui de la socit AroDef dfini dans les paramtres) rpondait aux requtes
DNS. Loutil de supervision a permis ici de dtecter une attaque par dns spoofing .

13/12/2010

82

Groupe Audit Socit Assurancetourix

Figure 30 - Dtection de l'attaque DNS Spoofing

Lattaque se traduit de la manire suivant :


Oct 11 11:45:25 192.168.2.254 2635: Oct 11 11:45:42.495: %FW-6-SESS_AUDIT_TRAIL_START: Start dns session: initiator (192.168.3.1:1030) -- responder
(172.30.0.1:53)
Oct 11 11:45:25 192.168.2.254 2636: Oct 11 11:45:42.583: %FW-6-SESS_AUDIT_TRAIL_START: Start dns session: initiator (192.168.3.1:1030) -- responder
(172.30.0.4:53)
Oct 11 11:45:25 192.168.2.254 2637: Oct 11 11:45:42.635: %FW-6-SESS_AUDIT_TRAIL_START: Start dns session: initiator (192.168.3.1:1030) -- responder
(192.175.48.6:53)
Oct 11 11:45:25 192.168.2.254 2638: Oct 11 11:45:42.687: %FW-6-SESS_AUDIT_TRAIL_START: Start dns session: initiator (192.168.3.1:1030) -- responder
(192.175.48.42:53)
Oct 11 11:45:31 192.168.2.254 2639: Oct 11 11:45:48.079: %FW-6-SESS_AUDIT_TRAIL: Stop dns session: initiator (192.168.3.1:1030) sent 170 bytes -responder (172.30.0.1:53) sent 674 bytes
Oct 11 11:45:31 192.168.2.254 2640: Oct 11 11:45:48.079: %FW-6-SESS_AUDIT_TRAIL: Stop dns session: initiator (192.168.3.1:1030) sent 274 bytes -responder (172.30.0.4:53) sent 0 bytes
Oct 11 11:45:31 192.168.2.254 2641: Oct 11 11:45:48.079: %FW-6-SESS_AUDIT_TRAIL: Stop dns session: initiator (192.168.3.1:1030) sent 73 bytes -- responder
(192.175.48.6:53) sent 521 bytes
Oct 11 11:45:31 192.168.2.254 2642: Oct 11 11:45:48.079: %FW-6-SESS_AUDIT_TRAIL: Stop dns session: initiator (192.168.3.1:1030) sent 73 bytes -- responder
(192.175.48.42:53) sent 521 bytes
Oct 11 11:45:47 192.168.2.254 2645: Oct 11 11:46:03.867: %FW-6-SESS_AUDIT_TRAIL_START: Start dns session: initiator (192.168.2.1:37975) -- responder
(172.16.64.1:53)
Oct 11 11:45:52 192.168.2.254 2646: Oct 11 11:46:09.071: %FW-6-SESS_AUDIT_TRAIL: Stop dns session: initiator (192.168.2.1:37975) sent 70 bytes -responder (172.16.64.1:53) sent 325 bytes
Oct 11 11:45:59 192.168.2.254 2647: Oct 11 11:46:16.203: %FW-6-SESS_AUDIT_TRAIL_START: Start dns session: initiator (192.168.2.1:47316) -- responder
(172.16.64.1:53)
Oct 11 11:45:59 192.168.2.254 2648: Oct 11 11:46:16.207: %FW-6-SESS_AUDIT_TRAIL_START: Start dns session: initiator (192.168.2.1:40004) -- responder
(172.16.64.1:53)
Oct 11 11:46:00 192.168.2.254 2649: Oct 11 11:46:17.207: %FW-6-SESS_AUDIT_TRAIL_START: Start dns session: initiator (192.168.2.1:60356) -- responder
(172.16.64.1:53)
Oct 11 11:46:01 192.168.2.254 2650: Oct 11 11:46:18.211: %FW-6-SESS_AUDIT_TRAIL_START: Start dns session: initiator (192.168.2.1:59061) -- responder
(172.16.64.1:53)
Oct 11 11:46:02 192.168.2.254 2651: Oct 11 11:46:19.211: %FW-6-SESS_AUDIT_TRAIL_START: Start dns session: initiator (192.168.2.1:47043) -- responder
(172.16.64.1:53)
Oct 11 11:46:03 192.168.2.254 2652: Oct 11 11:46:20.215: %FW-6-SESS_AUDIT_TRAIL_START: Start dns session: initiator (192.168.2.1:34770) -- responder
(172.16.64.1:53)
Oct 11 11:46:04 192.168.2.254 2653: Oct 11 11:46:21.359: %FW-6-SESS_AUDIT_TRAIL: Stop dns session: initiator (192.168.2.1:47316) sent 31 bytes -responder (172.16.64.1:53) sent 278 bytes
Oct 11 11:46:04 192.168.2.254 2654: Oct 11 11:46:21.359: %FW-6-SESS_AUDIT_TRAIL: Stop dns session: initiator (192.168.2.1:40004) sent 41 bytes -responder (172.16.64.1:53) sent 118 bytes
Oct 11 11:46:05 192.168.2.254 2655: Oct 11 11:46:22.383: %FW-6-SESS_AUDIT_TRAIL: Stop dns session: initiator (192.168.2.1:60356) sent 41 bytes -responder (172.16.64.1:53) sent 118 bytes
Oct 11 11:46:06 192.168.2.254 2656: Oct 11 11:46:23.407: %FW-6-SESS_AUDIT_TRAIL: Stop dns session: initiator (192.168.2.1:59061) sent 41 bytes -responder (172.16.64.1:53) sent 118 bytes
Oct 11 11:46:07 192.168.2.254 2657: Oct 11 11:46:24.431: %FW-6-SESS_AUDIT_TRAIL: Stop dns session: initiator (192.168.2.1:47043) sent 41 bytes -responder (172.16.64.1:53) sent 118 bytes
Oct 11 11:46:08 192.168.2.254 2658: Oct 11 11:46:25.455: %FW-6-SESS_AUDIT_TRAIL: Stop dns session: initiator (192.168.2.1:34770) sent 41 bytes -responder (172.16.64.1:53) sent 118 bytes

Dans la partie en verte, il sagit du vrai serveur DNS qui nous rpond 172.30.1.3 :53
Dans la partie en rouge, il y a la mise ne place du DNS Spoofing, le serveur mis en place par le groupe
attaque rpond nos requtes 172.16.61.1 :53

13/12/2010

83

Groupe Audit Socit Assurancetourix

Pour illustrer cela, une simple commande dig sur Google effectuer depuis notre serveur Auditorium ;
et cest toujours le serveur pirate qui nous rpond (172.16.64.1 :53) :
Auditorium:/home/auditor# dig www.google.fr
; <<>> DiG 9.7.1-P2 <<>> www.google.fr
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 3511
;; flags: qr aa; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0
;; QUESTION SECTION:
;www.google.fr.
IN A
;; ANSWER SECTION:
www.google.fr.
3600 IN A
172.30.0.4
;; Query time: 3 msec
;; SERVER: 172.16.64.1#53(172.16.64.1)
;; WHEN: Mon Oct 11 11:50:13 2010
;; MSG SIZE rcvd: 47

Le DNS Spoofing est une attaque qui nous a fortement perturbs durant lensemble du projet
en particulier durant la dernire confrontation car elle a t rpte chaque fois.
La solution
c. Recommandations mises

Aprs la premire confrontation nous avons mis plusieurs recommandations auprs des
diffrents interlocuteurs.
En effet, nous avons constat que les mots de passe avaient une faible scurit : 5 caractres.
Nous leur galement suggr de mettre en place le module Apache mod_security afin de se
prmunir dattaque possible.
Nous leur avons galement demand de surveiller les ports ouverts sur le routeur :
Starting Nmap 5.00 ( http://nmap.org ) at 2010-10-10 22:09 CEST
Interesting ports on 172.30.0.3:
Not shown: 987 closed ports
PORT STATE SERVICE
22/tcp open ssh
23/tcp open telnet
25/tcp open smtp
53/tcp open domain
80/tcp open http
135/tcp filtered msrpc
139/tcp filtered netbios-ssn

13/12/2010

84

Groupe Audit Socit Assurancetourix


445/tcp filtered microsoft-ds
1025/tcp filtered NFS-or-IIS
1720/tcp open H.323/Q.931
3001/tcp filtered nessus
5060/tcp open sip
5061/tcp open sip-tls

2. Seconde confrontation La revanche

Pour cette confrontation, le rseau de la socit AeroDef a t coup le vendredi soir suite
une mauvaise manipulation de nos clients. Laccs na peut-tre rtabli que le lundi matin. Nous
navons pu dtecter que trs peu dincident mis part, une nouvelle attaque de DNS Spoofing.
Durant cette confrontation, les attaques ont viss le site web de la socit. Nayant pas dIDS
oprationnel ce moment-l, nous ne pouvions en aucun cas dtecter les modifications par SQL
injection.
Lors de la dernire confrontation, nous avions mis auprs du responsable systme la
ncessit dinstaller le mod Apache Secure sur leur serveur mais le conseil na pas t suivi et 3
semaines plus tard, les consquences ne se sont pas fait attendre : site web de la socit AeroDef a
t defaced.

3. Troisime confrontation Ultimate Fighting

Dans cette troisime confrontation, la socit AeroDef a perdu son serveur Zeus. En effet,
aprs quelques analyses des logs fournis aprs coup, nous avons constat que de nombreux accs
frauduleux avaient eu lieu.
Nous navons pas pu sur le coup et mme durant lensemble du projet authentifi ces
authentifications du fait que lintgralit des logs du serveur ne nous a pas t fournie en particulier
auth.log. Seul syslog.log nous a t fourni!!!
Nous avons donc identifi un compte administrateur nayant jamais t utilis par AeroDef.
Le compte mohamed est donc un compte avec les accs root qui naurait jamais d exister vu
quil ny jamais servi.

13/12/2010

85

Groupe Audit Socit Assurancetourix

Figure 31 - Analyse des logs sur le serveur Zeus avec le compte "mohamed"

En effet, les accs de ce compte a t rcupr par le groupe attaque afin de commettre des
actions non autorises. Cela aurait pu tre vit deux 2 manires :

Installation de Fail2Ban bannir les IP qui font du brute-force


Fournir TOUS les fichiers de logs lanalyse.

Dautre part, nous avons galement constat que de nombreux checs dauthentifications
avaient eu lieu tout au dbut du projet ralis avec du brute-force en ssh :

Figure 32 - Authentifications choues (plus de 40000 en 1 seule journe)

Cette analyse grce loutil Splunk se rvle trs rapide. Une recherche dans les logs sur la machine
Zeus avec les paramtres auth et failure :
host="zeus" auth failure
Rsultat en quelques secondes, nous avons dtect de trs nombreuses authentifications
choues mais aprs coup.

4. Cas de la tlphonie

A vrai dire, il ny a pas vraiment danalyse raliser concernant les confrontations pour la
tlphonie IP puisque linfrastructure na subi aucun dommage. Cependant elle ntait pas assez
consquente pour attiser le moindre intrt concernant dventuelles attaques. Ceci tant d au
retard de contractualisation et au contact technique obtenu tardivement.
En effet, lappel doffre de VOIP/TOIP, nous a t transmis par Aerodef le 03/10/10 nous y avons

13/12/2010

86

Groupe Audit Socit Assurancetourix


alors rpondu le 18/10/10. Cependant, lquipe Aerodef na tabli le contrat que le 04/11/10 soit 11
jours avant la fin du projet (15/11/10).

13/12/2010

87

Groupe Audit Socit Assurancetourix

Conclusion
Le projet "Scurit des systmes d'information" de l'anne 2010 / 2011 s'est prsent
comme les annes prcdentes. Trois groupes se sont confronts. Un groupe Dfense, un groupe
Audit et un groupe Attaque. Un aspect nouveau cette anne a t l'intgration d'un service VoIP /
ToIP par le groupe Audit au sein de l'entreprise de la Dfense.
Ce projet a commenc par une tude des services implmenter et / ou surveiller. Une fois
ce travail ralis il a fallu s'organiser, crer une hirarchie, attribuer un rle chacun et mettre en
place un outil de collaboration ainsi que des communications scurises. Cette tape prliminaire fut
primordiale et nous a permis d'avoir une base solide et une bonne cohsion au sein du groupe.
Ensuite nous avons pu commencer l'tablissement des contrats avec le groupe Dfense.
Durant tout le long de ce projet les communications entre l'Audit et la Dfense furent assez
chaotiques. Ceci a entach l'avancement du projet de retards consquents, notamment concernant
la VoIP qui a de ce fait t restreinte un service basique sans scurisation consquente.
Nous avons utilis un seul serveur physique sur lequel a t virtualis des machines ddies
aux diffrents services fournis (supervision, VoIP / ToIP, IDS...). De la mme manire il a t
ncessaire de virtualiser des quipements rseaux afin de faire communiquer ces machines avec le
rseau local de l'entreprise Dfense. Cette installation nous causer quelques soucis et nous avons
d migrer certains services vers la machine physique (pour exemple : le problme de redirection du
port SPAN vers la machine virtuelle de l'IDS).
Les trois confrontations se sont droules en crescendo, la premire se rsumant un simple
DNS spoofing associ un exploit PDF qui a tout de suite t dtect par l'anti-virus du poste client.
Lors de la seconde confrontation l'Attaque a ritr le DNS spoofing et a men bien une attaque de
type "website defacement". Il est noter que la Dfense aurait pu contrer cette tentative en
appliquant les recommandations que l'Audit avait mises. Finalement, la dernire confrontation s'est
rvle ravageuse envers le SI de la Dfense. Effectivement, outre un DNS spoofing rcurrent, le
groupe Dfense a tout bonnement perdu le contrle d'un de ses serveurs.
Afin de tirer un bilan, ce projet nous a permis d'apprhender les divers problmes de scurit
que rencontre un Systme d'Information proposant des services courants : accs internet, site web
d'entreprise, mise disposition d'un environnement logiciel sujet des failles de scurit, etc.... Les
difficults auxquelles nous nous sommes confronts ont t aussi diverses que varies : allant de la
communication entre les entits Audit et Dfense jusqu'aux nombreux problmes techniques
rencontrs. Ce projet l'issue de la fin de la formation STRI tombe point nomm en permettant
d'appliquer du point de vue pratique les connaissances engranges jusque-l.

13/12/2010

88

Groupe Audit Socit Assurancetourix

Table dillustration
Figure 1 - Organisation du groupe communication ................................................................................ 8
Figure 2 - Organisation du groupe d'administration, organisation et qualit ........................................ 8
Figure 3 - Organisation du groupe EBIOS et MEHARI.............................................................................. 8
Figure 4 - Organisation du groupe supervision ....................................................................................... 9
Figure 5 - Organisation du groupe VOIP/TOIP......................................................................................... 9
Figure 6 - Organisation du groupe d'audit actif ...................................................................................... 9
Figure 7 - Architecture de la socit interne ......................................................................................... 14
Figure 8 - Concepts MEHARI .................................................................................................................. 16
Figure 9 - Analyse des risques dans MEHARI ........................................................................................ 18
Figure 10 - Adresses mails dAssurancetourix ....................................................................................... 25
Figure 11 - Architecture de notre serveur d'audits ............................................................................... 29
Figure 12 - KVM dans le noyau Linux .................................................................................................... 30
Figure 13 - Schma de principe d'interconnexion ................................................................................. 30
Figure 14 - Principe de NetFlow ............................................................................................................ 32
Figure 15 - Analyse Netflow .................................................................................................................. 33
Figure 16 - Daemon Syslogd .................................................................................................................. 34
Figure 17 - Schma gnral de la Supervision et Nagios ....................................................................... 38
Figure 18 - Nagvis au sein d'Arodef ..................................................................................................... 46
Figure 19 - Interface "supervision_rseau" ........................................................................................... 48
Figure 20 - Interface "supervision_serveur" ......................................................................................... 48
Figure 21 - Problme "mauvais serveur DNS" ....................................................................................... 49
Figure 22 - Problme "surcharge du routeur"....................................................................................... 49
Figure 23 - Problme "serveur de service DOWN" ............................................................................... 50
Figure 24 - Intgration d'un IDS............................................................................................................. 55
Figure 25 - Architecture Prelude ........................................................................................................... 57
Figure 26 - Principe du module "modsecurity" ..................................................................................... 58
Figure 27 - Commandes de taggage des paquets voix dans vlan voix .................................................. 79
Figure 28 - Dtection par AVG du PDF .................................................................................................. 81
Figure 29 - Gestionnaire de tche de la machine attaque .................................................................. 82
Figure 30 - Dtection de l'attaque DNS Spoofing .................................................................................. 83
Figure 31 - Analyse des logs sur le serveur Zeus avec le compte "mohamed" ..................................... 86
Figure 32 - Authentifications choues (plus de 40000 en 1 seule journe) ........................................ 86

13/12/2010

89

Groupe Audit Socit Assurancetourix

Sources

Virtualisation systme et enseignement par Ph. LATU


http://www.linux-france.org/prj/inetdoc/telechargement/vm.pdf

Virtualisation de rseaux avec KVM par Serge BORDERES, Centre d'Etudes Nuclaires de
Bordeaux-Gradignan

http://www.nagios.org/ (site officiel NAGIOS)

http://www.centreon.com/ (site officiel CENTREON)

http://www.nagvis.org/ (site officiel NAGVIS)

http://fannagioscd.sourceforge.net/ (site officiel NAGVIS)

http://blog.nicolargo.com/nagios-tutoriels-et-documentations(tutoriel supervision)

http://www.labo-microsoft.org/articles/network/snmp/ (tutoriel installation snmp)

Livre Tlphonie sur IP de Laurent Ouakil et Guy Pujolle

Installation + utilisation NESSUS


http://www.nessus.org/documentation/

13/12/2010

90

Groupe Audit Socit Assurancetourix

Annexe 1 : RAO de supervision.


Disponible Ici

Annexe 2 : RAO Voip/Toip.


Disponible ici

Annexe 3 : Contrat complet de


supervision.
Disponible ici

Annexe 4 : Contrat complet de


Voip/Toip.
Disponible ici

Annexe 5 : Charte de lutilisateur du


systme dinformation.
Disponible ici

Annexe 6 : Mise en place des mails


13/12/2010

91

Groupe Audit Socit Assurancetourix

chiffrs.
Disponible ici

Annexe 7 : GoogleDocs.
Disponible ici

13/12/2010

92

Groupe Audit Socit Assurancetourix

Annexe 8 Script automatisation du


serveur
Extrait du fichier /etc/network/interface :
post-up /root/script/post-up.sh
Script post-up.sh
#!/bin/bash
#Activation du routage
echo 1 > /proc/sys/net/ipv4/ip_forward
#creation du tap0
tunctl -t tap0 &
#Creation du bridge br0
brctl addbr br0
#interconnexion sur le bridge de l'interface eth0 et tap0
brctl addif br0 eth0
brctl addif br0 tap0

#configuration des interfaces


ifconfig br0 192.168.2.1 netmask 255.255.255.0 up
ifconfig tap0 192.168.2.2 netmask 255.255.255.0 up
#ifconfig eth0 192.168.2.3 netmask 255.255.255.0 broadcast 192.168.2.255 up
ifconfig eth0 up
#definition de la route par dfaut
route add default gw 192.168.2.254 br0
#Dmarrage du vde_switch
vde_switch -s /root/vde.ctl -tap tap0 &
#Dmarrage du pool de serveurs virtuels
#/root/script/start_pool_machine.sh

Script machine virtuelle :


Le dmarrage des machines se fait laide du script suivant :
#!/bin/bash
vm=$1
memory=$2

13/12/2010

93

Groupe Audit Socit Assurancetourix


port=$3
if [[ -z "$vm" || -z "$memory" || -z "$port" ]]
then
echo "ERREUR : parametre manquent"
echo "Utilisation : $0 <fichier image> <quantit mmoire ne mo> <port commutateur
[2..32]>"
exit 1
fi
macaddress="52:54:00:12:34:$port"
echo -e "$RedOnBlack"
echo "~> Machine virtuelle : $vm"
echo "~> Mmoire RAM
: $memory"
echo "~> Port commutateur
: $port"
echo "~> Adresse MAC
: $macaddress"
#echo "~> Adresse IP
: $ip"
tput sgr0
kvm \
-name $vm \
-m $memory \
-hda /root/img/$vm \
-boot c \
-k fr\
-usb -usbdevice tablet \
-localtime \
-net vde,vlan=0,sock=/root/vde.ctl,port=$port \
-net nic,vlan=0,model=virtio,macaddr=$macaddress >/dev/null \

13/12/2010

94

Groupe Audit Socit Assurancetourix

Annexes 9 Mise en place de Syslog-ng


et log-rotate
Dans le fichier /etc/syslog-ng/syslog-ng.conf, on rajoute les lignes comme suit :
Dfinition de notre serveur comme source du service :
#Source
source net {
udp(ip(192.168.2.1));
};

Dfinition des fichiers de stockage des logs pour chaque quipement de destination du service
Syslog-ng :
# Destination
#Cisco Gateway
destination d_cisco_gateway {
file("/var/log/cisco.log");
};
#Serveur ZEUS
destination d_serveur_zeus {
file("/var/log/zeus.log");
};

Dfinitions de filtres pour spcifier les ip des destinations et le niveau de criticit des logs qui
doivent tre retenus :
# Filtre
#Cisco Gateway
filter f_cisco {
host(192.168.2.254) and level(info,notice,warn,crit,err);
};
# Serveur ZEUS
filter f_serveur_zeus {
host(192.168.1.1) and level(info,notice,warn,crit,err);
};
Associations des source + destination + filtre pour faire fonctionner le service pour chaque
destinataire :

13/12/2010

95

Groupe Audit Socit Assurancetourix

#Cisco
log {
source(net);
filter(f_cisco);
destination(d_cisco_gateway);
};
#Serveur zeus
log {
source(net);
filter(f_serveur_zeus);
destination(d_serveur_zeus);
};
Lancement du daemon :
sudo /etc/init.d/syslog-ng restart

logrotate
Il est possible de configurer les options appliques par dfaut tous les fichiers dans le
logrotate.conf, toutefois on peut galement changer leurs valeurs lors de la dfinition de
larchivage dun fichier.
vim /etc/logrotate.conf
# see "man logrotate" for details
# rotate log files weekly
weekly
# frequence de rotation des fichiers (chaque semaine)

# keep 4 weeks worth of backlogs


rotate 4
# conservation de 4 archives = 4 semaines ici
# create new (empty) log files after rotating old ones
create
# creation d'un nouveau fichier vide de log lors d'une rotation
# uncomment this if you want your log files compressed
#compress
# fichier de logs non compresses
# packages drop log rotation information into this directory
include /etc/logrotate.d

13/12/2010

96

Groupe Audit Socit Assurancetourix


# Inclusion des scripts propres aux logs

# no packages own wtmp, or btmp -- we'll rotate them here


/var/log/wtmp {
missingok
monthly
create 0664 root utmp
rotate 1
}
/var/log/btmp {
missingok
monthly
create 0664 root utmp
rotate 1
}
# rotations concernant wtmp et btmp
Tous les logs dfinis dans les fichiers de configurations (apache2, aptitude, dpkg, ) du
rpertoire /etc/logrotate.d sont inclus dans logrotate.conf via la directive include.
ls /etc/logrotate.d/
apache2 aptitude dpkg
exim4-paniclog rsyslog.disabled zeus
apt cisco exim4-base fail2ban
syslog-ng
Par exemple pour les logs du serveur zeus
vim /etc/logrotate.d/zeus
/var/log/zeus.log {
rotate 15
daily
compress
delaycompress
}

13/12/2010

97

Groupe Audit Socit Assurancetourix

Annexes 10 Mise en place de NetFlow


Installation de la machine de collecte :
Cette installation suppose que le serveur possde dj un serveur WEB apache ainsi que PHP
dinstaller.
Nfdump :
On installe le paquet nfump ainsi que toutes ses dpendances :
Aptitude install nfdump
Nfsen :
Il faut dabord installer les prs requis suivant ainsi que leurs dpendances :
Aptitude install rrdtool libmail-perl librrdtool-oo-perl
Tlchargement de nfsen :

Wget http://ovh.dl.sourceforge.net/project/nfsen/stable/nfsen-1.3.5/nfsen-1.3.5.tar.gz
Dcompression de larchive :
Tar xzvf nfsen-1.3.5.tar.gz
Mv nfsen-1.3.5/ /usr/local/src/

Ensuite pour poursuivre linstallation il faut configurer le fichier nfsen.conf :


Cd nfsen-1.3.5/etc/
Cp nfsen-dist.conf nfsen.conf

Enfin il faut diter le fichier nfsen.conf :


Vim nfsen.conf

Ici il faut renseigner le rpertoire web (/var/www), puis le mail de contact ainsi que le chemin pour
accder nfdump.

13/12/2010

98

Groupe Audit Socit Assurancetourix

Cration dun utilisateur et dun groupe nfsen :


useradd -m nfsen
passwd nfsen
groupadd nfsen
usermod -G nfsen nfsen
Cration dun groupe nfsenadmin afin de rajouter lutilisateur apache :
groupadd nfsenadmin
usermod -a -G nfsenadmin nfsen
usermod -a -G nfsenadmin www-data
Ensuite on crer larborescence WEB pour nfsen :
Mkdir p /var/www/nfsen
Puis il ne reste plus qu excuter le script dinstallation :
Cd /usr/local/src/nfsen-1.3.5/
./install.pl etc/nfsen.conf
Ensuite il faut dmarrer le daemon nfsen :
/usr/local/src/nfsen-1.3.5/bin/nfsend start
Enfin linstallation est termine et linterface WEB nfsen est accessible depuis ladresse suivante :
http://IP-du-server/nfsen
Ensuite il convient de scuriser laccs nfsen en bloquer laccs au dossier /var/www/nfsen
grce un .htaccess.
Il est possible aussi de nautoriser laccs au serveur web que seulement en HTTPS.
Pour finir il suffit de rajouter les sources Netflow

13/12/2010

99

Groupe Audit Socit Assurancetourix

Annexe 11 Compte rendu de la


runion du 25 Octobre 2010 entre la
supervision et les responsables des
serveurs.
Annexe 12 Tutoriel dinstallation du
protocole SNMP sur un serveur LINUX
et WINDOWS

13/12/2010

100

Groupe Audit Socit Assurancetourix

GroupeAUDIT

Compte rendu runion Lundi 25 Octobre

Sous-Groupe : Supervision

Date : 28 Octobre 2010

Sujet :
Mise en place doutils de supervision au sein de la socit AroDef afin de permettre la surveillance
de leurs diffrents serveurs.
Contenu :
La socit AroDef possde deux serveurs diffrents. Un premier serveur (sous Dbian) a pour rle
dhberger les diffrents services de la socit (DNS, HTTP, POSTFIX, etc.). Un deuxime serveur (sous
Windows server 2003) servant de contrleur de domaine (Active Directory).
Voici ci-dessous la liste des diffrents indicateurs que cette socit souhaitera contrler au travers de
loutil de supervision propos par lentreprise Assurancetourix :
Serveur de service :
o

Hardware :
- Charge CPU (ralisable)
- Charge mmoire (ralisable)
- Espace disque (ralisable)
- Nombre dutilisateurs (ralisable)

Services :
- DNS (en cour dtude)
- HTTP/ HTTPS (en cour dtude)
- SFTP (en cour dtude)
- SSH (en cour dtude)
- POSTFIX (en cour dtude)
- SPAMASSASSIN (en cour dtude)
- MYSQL (en cour dtude)

Serveur de contrleur de domaine :


o

Hardware :
- Charge CPU (ralisable)
- Charge mmoire (ralisable)
- Espace disque (ralisable)
- Nombre dutilisateur (ralisable)

Services :
- (en cour dtude)

13/12/2010

AssuranceTourix 2010 Page 1/2

101

Groupe Audit Socit Assurancetourix

Analyse du rseau :
o

Surveillance du rseau (en cour dtude)

Courbe du chef (un voir deux indicateurs les plus importants):


o

Continuit de service (en cour dtude)

13/12/2010

AssuranceTourix 2010 Page 2/2

102

Groupe Audit Socit Assurancetourix

Groupe AUDIT

Tutoriel dinstallation SNMP sur


Serveur Linux

Sous-Groupe : Supervision

Date : 28 Octobre 2010

Description :
Ce tutoriel a pour but dinstaller le service SNMP sur un serveur avec une distribution LINUX DEBIAN.
Une fois les paquets installs et la configuration ralise, le serveur Nagios pourra dialoguer avec le serveur
linux pour rcuprer les informations se trouvant dans la MIB par lintermdiaire du protocole SNMP.
Procdure dinstallation :
1. Installation du paquet snmp :
- Apt-getinstallsnmpd

2. Configuration du fichier snmpd.conf :


- Vim /etc/snmp/snmpd.conf
- Une fois dans le fichier, modifier les lignes correspondantes pour obtenir le rsultat suivant :

Remarque : Cette configuration permet de renseigner ladresse IP du serveur Nagios, mais galement la
communaut utilise pour dialoguer entre le serveur et les agents.
3. Configuration du fichier snmpd :
- Vim /etc/default/snmpd
SNMPDOPTS='-Lsd -Lf /dev/null -u snmp -I -smux -p /var/run/snmpd.pid
@IP'

Une fois dans le fichier, remplacer @IP par ladresse IP de votre interface dcoute.

4. Relancer votre dmon SNMP


- #/etc/init.d/snmpd restart
Cas derreur :

En cas de non comprhension du tutoriel ou en cas derreur, contacter directement le contact


technique supervision de la socit AssuranceTourix.

13/12/2010

AssuranceTourix 2010 Page 1/1

103

Groupe Audit Socit Assurancetourix

Groupe AUDIT
Sous-Groupe : Supervision

Tutoriel dinstallation SNMP sur


Serveur Windows
Date : 28 Octobre 2010

Description :
Ce tutoriel a pour but dinstaller le service SNMP sur un serveur avec une distribution Windows
Server. Une fois le logiciel install et la configuration ralise, le serveur Nagios pourra dialoguer avec le
serveur Windows pour rcuprer les informations se trouvant dans la MIB par lintermdiaire du protocole
SNMP.
Procdure dinstallation :
1. Tlchargement de NSCLIENT++ :
- Tlcharger le NSCLIENT++ et dcompresser le dossier lendroit voulu pour linstallation.
2.
-

Installation de NSCLIENT ++ :
Lancez une invite de commande
Allez dans c:\NSClient (si le NSCLIENT dcompresser se trouve sur le disque c).
Tapez les commandes suivantes :

3. Configuration de NSCLIENT++ :
- Ouvrir la mmc service.msc et configurer pour tout dabord lautoriser interagir avec le bureau, puis
faire un dmarrage automatique (cf. fentre ci-dessous) :

AssuranceTourix 2010 Page 1/3


13/12/2010

104

Groupe Audit Socit Assurancetourix

Editer le fichier NSC.ini afin de configurer la connexion entre le serveur Nagios et votre contrleur de
domaines. Pour se faire, il faut dcommenter tous les modules de la section [MODULES]
lexception de checkWMI.dll et RemoteConfiguration.dll.

Il faut ensuite aller dans la section [SETTING] (toujours dans le mme fichier) pour configurer le mot
de passe :

Remarque : Il sagit de la communaut, donc nous reprendrons ici la communaut configure sous Nagios :
aerodef.
-

Toujours dans la mme section [SETTING], dcommenter la ligne allowed_hosts. Il faut ensuite
rajouter l@IP du serveur Nagios avec lequel on souhaite communiquer :

Remarque : L@ip du serveur nagion est : 192.168.2.103.


-

Dcommenter la ligne (si elle est commente) du port avec lequel NSCLIENT va communiquer (par
dfaut le numro de port est 12489):

La configuration est prsent termine.


AssuranceTourix 2010 Page 2/3
13/12/2010

105