SECURIDAY 2013 Cyber War

Transcription

1 Club de la Sécurité Informatique à l INSAT Dans le cadre de la 3ème édition de la journée nationale de la sécurité informatique SECURIDAY 2013 Cyber War SECURINETS Présente Formateurs: 1. Trabelsi NAJET 2. Souid SAWSSEN 3. Nasr AFEF 4. Ben Zineb HENDA 5.Oumaima SALHI

2 Table des matières 1. Présentation de l atelier : Présentation des outils utilisés : Topologie du réseau : Configuration des outils : Un scénario de test Conclusion: Page1

3 1. Présentation de l atelier : Les logs sont bien souvent les premiers témoins d'un événement sur un équipement du Système d Information. Ils proviennent d'applications, de systèmes d'exploitation, d'équipements réseau ou de sécurité et sont utilisés pour détecter les failles de sécurité, les traces d'activité inhabituelle ainsi que les défaillances matérielles ou logicielles. Ce sont des sources d information qui aident les administrateurs à comprendre les origines d'un événement et à optimiser les systèmes i. Objectif : L objectif est d obtenir un outil dans lequel sont paramétrées des règles de bonne pratique qui déclencheront une alerte lorsque l analyse détectera une action ou une règle non conforme. ii. Présentation générale de la solution adoptée : OSSIM est un projet open source de «management de la sécurité de l information». Cette solution s appuie sur une gestion des logs basés sur la corrélation de ceux-ci ainsi qu une notion d évaluation des risques. Cette solution est née du constat selon lequel il est difficile encore à ce jour d obtenir un instantané de son réseau et des informations qui y transitent avec un niveau d abstraction suffisant pour permettre une surveillance claire et efficace. Le but d OSSIM est donc de combler se vide constaté quotidiennement par les professionnels de la sécurité. 2. Présentation des outils utilisés : iii. Ossim : OSSIM est une solution fédérant d autres produits open-source au sein d une infrastructure complète de supervision de la sécurité (framework) Le framework au sens d OSSIM à pour objectif de centraliser, d organiser et d améliorer la détection et l affichage pour la surveillance des événements liés à la sécurité du système d information d une entreprise. Le framewok est ainsi constitué des éléments de supervision suivants Un panneau de contrôle Des moniteurs de supervision de l activité et des risques. Des moniteurs de supervision réseau et des consoles d investigation Les fonctionnalités d OSSIM peuvent être représentée de manière simple et graphique en un découpage sur 9 niveaux tel que le montre le schéma suivant : Page1

4 ii-ossec : Ossec est une application de détection d intrusion, et plus précisément un HIDS (Host Intrusion Detection System). Il permet de surveiller l intégrité des fichiers systèmes, aussi bien sur des postes Linux que Windows. De plus, Ossec détecte également des attaques de pirates comme les rootkits, les scans de ports, et analyse les logs du système, des applications et des services. Le logiciel propose également un système de réponses actives, c est-à-dire d actions à réaliser en cas d attaque. iii-snort : Snort est un NIDS (Network Intrusion Detection System). Il a pour rôle d écouter sur le réseau à la recherche d attaques de pirates, qu il détecte grâce à de nombreuses règles disponibles sur le site officiel, également auprès de certaines communautés comme Emerging. L application analyse le réseau, le trafic en temps réel, et peut logger des paquets. Les alertes sont ensuite stockées dans une base données, elles peuvent être également sous forme de logs. Snort peut aussi transmettre, notifier les évènements. Il est basé sur un système de signatures et combine donc l analyse du trafic par signature, protocole et anomalie. iv-backtrack : C est une distribution Linux, basée sur Slackware jusqu'à la version 3 et Ubuntu depuis la version 4, apparue en janvier Elle est née de la fusion de Whax et Auditor. Son objectif est de fournir une distribution regroupant l'ensemble des outils nécessaires aux tests de sécurité d'un réseau. Backtrack fournit de plus des outils de sécurité tel que le scanner de port jusqu aux crackers de mot de passe. Il inclut plusieurs logiciels commençant par Metasploit, Nmap, Wireshark Page2

5 V-Tableau comparatif outils utilisées et autres outils : Outils Snort Ntop P0F Tcptrack Fonctionnement -Open source -Detection d intrusion / NIDS -Effectuer en temps réel des analyses de trafic et l analyses de protocole -il analyse le trafic du réseau, compare ce trafic à des règles déjà définies par l utilisateur et établi des actions à exécuter. -Open Source -Supervision du réseau -capturer et analyser les trames d'une interface donnée et observer une majeure partie des caractéristiques du trafic entrant et sortant -La sonde Ntop met en place un serveur Web permettant le son monitoring ainsi que la sa configuration à distance. -permet de faire de la détection de systèmes d exploitation de manière passive, par écoute du réseau. -Il analyse les trames transitant sur le réseau (le segment analyse) et les compare avec une base de données des caractéristiques de chaque OS -TCPTrack est un sniffer -détection passive de connexions TCP -Il permet l affichage des adresses source et destination, de l état de la connexion, du temps de connexion ainsi que de la bande passante utilisée. 3. Topologie du réseau : i. Architecture : Notre architecture est basée sur un NIDS Snort et un HIDS Ossec. Page3

6 ii. Environnement technique : Au niveau de l environnement de test, notre architecture est composée de trois machines : Serveur OSSIM Machine Windows sur laquelle on a installé un agent Ossec Machine Ubuntu sur laquelle on a installé un agent Snort 4. Configuration des outils : i. Installation d OSSIM : 1) Télécharger le support d'installation : Vous pouvez télécharger la dernière version d AlienVault OSSIM dehttp://communities.alienvault.com 2) Démarrez le système d'installation et sélectionnez le mode "Installation automatique" 3) A ce stade, vous devrez configurer votre carte réseau. Vous devez utiliser une adresse IP avec accès à Internet pendant le processus d'installation. Cette adresse IP sera utilisée par l'interface de gestion. Entrez l'adresse IP et cliquez sur "Continuer". Page4

7 5) Entrez le masque de réseau et cliquez sur "Continuer". En cas de doute laissez la valeur par défaut de ) Entrez l'adresse IP de la passerelle par défaut et cliquez sur "Continuer". 7) Partitionnement de disque : Sélectionnez «Guided: Use entiredisk»et cliquez sur "Continuer". 8) Entrez le mot de passe du root et cliquez sur "Continuer". 9) une fois que l installation est terminée, vous entrez votre login et votre mot de passe pour accéder à OSSIM : Page5

8 10) Maintenant, on active les plugins OSSIM en utilisant la commande : Sélectionner les plugins dont vous voulez les activés : Page6

9 Pour activer ces plugins il faut choisir l option «Save & Exit» 10) Pour ouvrir l interface graphique, tapez l adresse IP ( ) dans le navigateur : 11) Entrez User=admin et Paswword=admin et voici l interface graphique d OSSIM : Page7

10 ii. Installation d un agent OSSEC : Dans l interface graphique d OSSIM, vous cliquez sur Analysis Detection HIDS Agents Vous allez ajouter un nouvel agent : On configure l agent ossim en effectuant des modifications sur son fichier /etc/ossim/agent/config.cfg Vous allez installer sur votre machine Windows, un agent en utilisant le logiciel Manage OSSEC. Page8

11 Ensuite, vous allez taper l adresse IP du serveur et la clé d authentification : La clé se trouve dans l ACTIONS du Client2, comme la montre la figure ci-dessous : iii. Installation d un agent Snort : Sur la machine ubuntu on installe l agent Snort à l aide de la commande suivante : Apt-get install snort 5. Un scenario de test: Pour le scénario d attaque on va utiliser BackTrack : metasploit i. Architecture : Page9

12 On ajoute les machines sur Ossim : ii. BackTrack : 1) Tout d abord, on fait un scan sur la machine cible : Windows : afin de savoir les ports ouverts Page10

13 2) Ensuite, on utilise la commande search exploits windows: qui permet de trouver les exploits de la machine cible 3) On choisit l'exploit windows/smb/ms04_07_killbill 4) Il est possible d'avoir des informations sur cet exploit avec la commande info. Page11

14 5) Maintenant il faut choisir le payload que l'on va utiliser. Les payloads disponibles pour cet exploit se trouvent avec la commande show payloads. Une multitude de payloads existent pour cet exploit, je n'en ai donc affiché que quelques uns. La sélection du payload se fait via la commande set PAYLOAD payload_a_utiliser. Enfin comme pour les exploits, les payloads nécessitent parfois une configuration que l'on peut toujours voir avec la commande show options. 6) Le payload windows/vcinject/reverse_tcp ne va pas ouvrir un port sur la machine victime mais va faire une connexion TCP sur l'adresse IP de la machine qui sera pointée par la variable LHOST (la machine qui utilise metasploit). Donc plutôt que la machine metasploit initie la connexion vers la machine victime, c'est la machine victime qui va initier la connexion vers la machine metasploit. Beaucoup plus pratique pour exploiter une machine qui se trouverait derrière un NAT ou un firewall 7) Chaque exploit peut nécessiter une configuration, qu'il est possible de voir avec la commande show options. Ici la variable RHOST doit être précisée. Elle représente l'adresse IP de la machine victime. Les autres variables ont des valeurs par défaut et peuvent être modifiées si besoin. Page12

15 8) la machine victime a une adresse IP : Avec : Rhost :adresse de la machine victime Lhost :adresse de la machine attaquante 9) Comme on peut le remarquer, l'exploit a fonctionné.le payload windows/vcinject/bind_tcp a ouvert le port 4444 sur la machine victime, et metasploit c'est automatiquement connecté dessus. Page13

16 On visualise dans le serveur ossim les détails de l événement : 6. Conclusion: Ossim est outil très fiable au niveau de l administration du système d information. Il permet de détecter et analyser les attaques et les menaces à son réseau et hosts. Page14

17 Bibliographie : Source : Page15