analyse des logs

SECURINETS Club de la Sécurité Informatique à l’INSAT

© Copyright 2013 - SECURINETS - Club de la Sécurité Informatique à l’INSAT www.securinets.com

Dans le cadre de la 3ème édition de la journée nationale de la sécurité informatique

SECURINETS

Présente

Atelier : Analyse des fichiers logs

Formateurs: 1. Trabelsi NAJET

2. Souid SAWSSEN 3. Nasr AFEF 4. Ben Zineb HENDA

5.Oumaima SALHI

SECURIDAY 2013 Cyber War

SECURINETS

SECURIDAY 2013 - Cyber War


Date de création :27/04/2013


Page1

Table des matières

1. Présentation de l’atelier : ...................................................................................................1

2. Présentation des outils utilisés : .......................................................................................1

3. Topologie du réseau : ..........................................................................................................1

4. Configuration des outils : ...................................................................................................4

5. Un scénario de test ..............................................................................................................4

6. Conclusion: ......................................................................................................................... 14

SECURINETS





Page1

1. Présentation de l’atelier : Les logs sont bien souvent les premiers témoins d'un événement sur un équipement

du Système d’Information. Ils proviennent d'applications, de systèmes d'exploitation, d'équipements réseau ou de sécurité et sont utilisés pour détecter les failles de sécurité, les traces d'activité inhabituelle ainsi que les défaillances matérielles ou logicielles. Ce sont des sources d’information qui aident les administrateurs à comprendre les origines d'un événement et à optimiser les systèmes

i. Objectif : L’objectif est d’obtenir un outil dans lequel sont paramétrées des règles de bonne pratique

qui déclencheront une alerte lorsque l’analyse détectera une action ou une règle non conforme.

ii. Présentation générale de la solution adoptée : OSSIM est un projet open source de « management de la sécurité de l’information ». Cette

solution s’appuie sur une gestion des logs basés sur la corrélation de ceux-ci ainsi qu’une notion d’évaluation des risques. Cette solution est née du constat selon lequel il est difficile encore à ce jour d’obtenir un instantané de son réseau et des informations qui y transitent avec un niveau d’abstraction suffisant pour permettre une surveillance claire et efficace. Le but d’OSSIM est donc de combler se vide constaté quotidiennement par les professionnels de la sécurité.

2. Présentation des outils utilisés :

iii. Ossim :

OSSIM est une solution fédérant d’autres produits open-source au sein d’une infrastructure complète de supervision de la sécurité (framework)

Le framework au sens d’OSSIM à pour objectif de centraliser, d’organiser et d’améliorer la détection et l’affichage pour la surveillance des événements liés à la sécurité du système d’information d’une entreprise. Le framewok est ainsi constitué des éléments de supervision suivants

Un panneau de contrôle Des moniteurs de supervision de l’activité et des risques. Des moniteurs de supervision réseau et des consoles d’investigation

Les fonctionnalités d’OSSIM peuvent être représentée de manière simple et graphique en un découpage sur 9 niveaux tel que le montre le schéma suivant :

SECURINETS





Page2

ii-Ossec : Ossec est une application de détection d’intrusion, et plus précisément un HIDS (Host

Intrusion Detection System). Il permet de surveiller l’intégrité des fichiers systèmes, aussi bien sur

des postes Linux que Windows.

De plus, Ossec détecte également des attaques de pirates comme les rootkits, les scans de ports, et

analyse les logs du système, des applications et des services. Le logiciel propose également un

système de réponses actives, c’est-à-dire d’actions à réaliser en cas d’attaque.

iii-Snort : Snort est un NIDS (Network Intrusion Detection System). Il a pour rôle d’écouter sur le réseau

à la recherche d’attaques de pirates, qu’il détecte grâce à de nombreuses règles disponibles sur le

site officiel, également auprès de certaines communautés comme Emerging.

L’application analyse le réseau, le trafic en temps réel, et peut logger des paquets. Les alertes sont

ensuite stockées dans une base données, elles peuvent être également sous forme de logs. Snort

peut aussi transmettre, notifier les évènements. Il est basé sur un système de signatures et combine

donc l’analyse du trafic par signature, protocole et anomalie.

iV-Backtrack : C’est une distribution Linux, basée sur Slackware jusqu'à la version 3 et Ubuntu depuis la

version 4, apparue en janvier 2010. Elle est née de la fusion de Whax et Auditor. Son objectif est de fournir une distribution regroupant l'ensemble des outils nécessaires aux tests de sécurité d'un réseau.

Backtrack fournit de plus des outils de sécurité tel que le scanner de port jusqu’aux crackers de mot de passe. Il inclut plusieurs logiciels commençant par Metasploit, Nmap, Wireshark…

http://fr.wikipedia.org/wiki/Distribution_Linux

http://fr.wikipedia.org/wiki/Linux

http://fr.wikipedia.org/wiki/Slackware

http://fr.wikipedia.org/wiki/Ubuntu

http://fr.wikipedia.org/w/index.php?title=Whax&action=edit&redlink=1

http://fr.wikipedia.org/w/index.php?title=Auditor&action=edit&redlink=1

http://fr.wikipedia.org/wiki/Politique_de_s%C3%A9curit%C3%A9_du_r%C3%A9seau_informatique

http://fr.wikipedia.org/wiki/Politique_de_s%C3%A9curit%C3%A9_du_r%C3%A9seau_informatique

SECURINETS





Page3

V-Tableau comparatif outils utilisées et autres outils :

Outils Fonctionnement

Snort -Open source

-Detection d’intrusion / NIDS

-Effectuer en temps réel des analyses de trafic et l’analyses de protocole

-il analyse le trafic du réseau, compare ce trafic à des règles déjà définies par

l’utilisateur et établi des actions à exécuter.

Ntop -Open Source

-Supervision du réseau

-capturer et analyser les trames d'une interface donnée et observer une majeure

partie des caractéristiques du trafic entrant et sortant

-La sonde Ntop met en place un serveur Web permettant le son monitoring

ainsi que la sa configuration à distance.

P0F -permet de faire de la détection de systèmes d’exploitation de manière passive,

par écoute du réseau.

-Il analyse les trames transitant sur le réseau (le segment analyse) et les

compare avec une base de données des caractéristiques de chaque OS

Tcptrack -TCPTrack est un sniffer

-détection passive de connexions TCP

-Il permet l’affichage des adresses source et destination, de l’état de la

connexion, du temps de connexion

ainsi que de la bande passante utilisée.

3. Topologie du réseau :

i. Architecture : Notre architecture est basée sur un NIDS Snort et un HIDS Ossec.

http://fr.wikipedia.org/wiki/Syst%C3%A8mes_d%E2%80%99exploitation

SECURINETS





Page4

ii. Environnement technique : Au niveau de l’environnement de test, notre architecture est composée de trois machines :

Serveur OSSIM Machine Windows sur laquelle on a installé un agent Ossec Machine Ubuntu sur laquelle on a installé un agent Snort

4. Configuration des outils :

i. Installation d’OSSIM : 1) Télécharger le support d'installation : Vous pouvez télécharger la dernière version

d’AlienVault OSSIM dehttp://communities.alienvault.com

2) Démarrez le système d'installation et sélectionnez le mode "Installation automatique"

3) A ce stade, vous devrez configurer votre carte réseau. Vous devez utiliser une adresse IP avec accès à Internet pendant le processus d'installation. Cette adresse IP sera utilisée par l'interface de gestion. Entrez l'adresse IP et cliquez sur "Continuer".

http://communities.alienvault.com/

SECURINETS





Page5

5) Entrez le masque de réseau et cliquez sur "Continuer". En cas de doute laissez la valeur par

défaut de 255.255.255.0. 6) Entrez l'adresse IP de la passerelle par défaut et cliquez sur "Continuer".

7) Partitionnement de disque : Sélectionnez « Guided: Use entiredisk »et cliquez sur

"Continuer".

8) Entrez le mot de passe du root et cliquez sur "Continuer". 9) une fois que l’installation est terminée, vous entrez votre login et votre mot de passe pour

accéder à OSSIM :

SECURINETS





Page6

10) Maintenant, on active les plugins OSSIM en utilisant la commande :

Sélectionner les plugins dont vous voulez les activés :

SECURINETS





Page7

Pour activer ces plugins il faut choisir l’option « Save & Exit »

10) Pour ouvrir l’interface graphique, tapez l’adresse IP (192.168.1.3) dans le navigateur :

11) Entrez User=admin et Paswword=admin et voici l’interface graphique d’OSSIM :

SECURINETS





Page8

ii. Installation d’un agent OSSEC :

Dans l’interface graphique d’OSSIM, vous cliquez sur AnalysisDetectionHIDS Agents Vous allez ajouter un nouvel agent :

On configure l’agent ossim en effectuant des modifications sur son fichier /etc/ossim/agent/config.cfg

Vous allez installer sur votre machine Windows, un agent en utilisant le logiciel Manage OSSEC.

SECURINETS





Page9

Ensuite, vous allez taper l’adresse IP du serveur et la clé d’authentification : La clé se trouve dans l’ACTIONS du Client2, comme la montre la figure ci-dessous :

iii. Installation d’un agent Snort :

Sur la machine ubuntu on installe l’agent Snort à l’aide de la commande suivante :

Apt-get install snort

5. Un scenario de test: Pour le scénario d’attaque on va utiliser BackTrack : metasploit

i. Architecture :

SECURINETS





Page10

On ajoute les machines sur Ossim :

ii. BackTrack :

1) Tout d’abord, on fait un scan sur la machine cible : Windows : afin de savoir les ports ouverts

SECURINETS





Page11

2) Ensuite, on utilise la commande search exploits windows: qui permet de trouver les

exploits de la machine cible

3) On choisit l'exploit windows/smb/ms04_07_killbill

4) Il est possible d'avoir des informations sur cet exploit avec la commande info.

SECURINETS





Page12

5) Maintenant il faut choisir le payload que l'on va utiliser. Les payloads disponibles pour cet

exploit se trouvent avec la commande show payloads. Une multitude de payloads existent pour cet exploit, je n'en ai donc affiché que quelques uns. La sélection du payload se fait via la commande set PAYLOAD payload_a_utiliser. Enfin comme pour les exploits, les payloads nécessitent parfois une configuration que l'on peut toujours voir avec la commande show options.

6) Le payload windows/vcinject/reverse_tcp ne va pas ouvrir un port sur la machine victime

mais va faire une connexion TCP sur l'adresse IP de la machine qui sera pointée par la variable LHOST (la machine qui utilise metasploit). Donc plutôt que la machine metasploit initie la connexion vers la machine victime, c'est la machine victime qui va initier la connexion vers la machine metasploit. Beaucoup plus pratique pour exploiter une machine qui se trouverait derrière un NAT ou un firewall

7) Chaque exploit peut nécessiter une configuration, qu'il est possible de voir avec la

commande show options. Ici la variable RHOST doit être précisée. Elle représente l'adresse IP de la machine victime. Les autres variables ont des valeurs par défaut et peuvent être modifiées si besoin.

SECURINETS





Page13

8) la machine victime a une adresse IP : 192.168.1.5

Avec : Rhost :adresse de la machine victime

Lhost :adresse de la machine attaquante 9) Comme on peut le remarquer, l'exploit a fonctionné .Le

payload windows/vcinject/bind_tcp a ouvert le port 4444 sur la machine victime, et metasploit c'est automatiquement connecté dessus.

SECURINETS





Page14

On visualise dans le serveur ossim les détails de l’événement :

6. Conclusion: Ossim est outil très fiable au niveau de l’administration du système d’information. Il permet

de détecter et analyser les attaques et les menaces à son réseau et hosts.

SECURINETS





Page15

Bibliographie :

Source : http://wiki.monitoring-fr.org

http://www.philippe-martinet.info/ossim

http://wiki.monitoring-fr.org/

analyse des logs

Documents