Solutions open source pour la sécurisation des systèmes d'information Haythem EL MIR, CISSP haythem.elmir@gmail.com @elmirhaythem
Plan de la présentation Introduction Pourquoi l open source Présentation de la panoplie d outils pour la sécurisation d un système d Information : 1. Firewall 2. IDS 5. Firewall applicatif 6. Proxy 7. Authentification 8. Host IDS 9. Gateway AntiSpam 10. Gateway Antivirale 2
Plan de la présentation (suite) 9. 10. 11. 12. 13. 14. 15. 16. 17. 18. 19. Outil d administration Gestion des log et d évènement Outil d audit Monitoring de bande passante Monitoring système d exploitation Cryptage de communication (VPN) Haute disponibilité Sauvegarde et restauration Cryptage et fichier / email Antivirus pour post de traiavail Les distributions Linux dédiées à la sécurité 3
Pourquoi l open source? Code source disponible: On peut vérifier : Tout ce que fait l outil/ Comment il le fait. Usage libre: Assurer la Complétude Cardinale et qualitative nécessitées. Evolutifs et Adaptables: On peut adapter et faire évoluer. Pour les développeurs: - Ils n ont pas à réinventer la roue, - ils peuvent faire une bonne réputation et gagnent de l expérience en travaillant sur des projets open source, - les projets open source peuvent fournir un bon feedback aux développeurs sur la qualité d leur code, - Ils peuvent collaborer sans se soucier de problème de propriété intellectuelle.
Réseau Informatique à sécuriser INTERNET 5
Apache Spam Assassin Amavis WebMin ACID Console ntop d administration INTERNET Port mirroring OpenLDAP modproxy 6
Firewall INTERNET 7
«Versions» de Firewall Hardware (Un boîtier dédié avec son système). Software (peut s installer sur un système d exploitation standard ou aussi peut s accompagner avec son système). Appliance (Un équipement optimisé sur lequel on peut installer le firewall pour donner des meilleures performances). 8
Présentation du Firewall Netfilter Fonctionnalités Offertes (au niveau poste ou passerelle): Fonctionnalités de filtrage : Statique (stateless) Dynamique (Stateful) Stoppe les paquets malformés (Spoofés, ), Redirection de port (PAT : Port Adress Translation), et translation d adresses (NAT: Network Adress translation) Journalisation et Alerte, Possibilité d instaurer des Traitements poussés des paquets : Filtrage Mac,. 9
Exemple de script de firewall Autoriser l ouverture de connexion pour les machines locales vers l extérieur Autoriser la réception des connexions initiées localement IFACE=eth0 MYLAN=192.168.1.0 MYWKS=192.168.1.1 MYDNS=192.168.1.2 MYADDR=192.168.1.3 # Effacer les chaînes standards iptables -F # Bloquer le trafic ( par défaut) iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP # Stateful inspection iptables -A OUTPUT -i $IFACE -m state --state ESTABLISHED, RELATED -j ACCEPT iptables -A INPUT -i $IFACE -m state --state ESTABLISHED, RELATED -j ACCEPT # Administration par SSH iptables -A INPUT -i $IFACE -p tcp -s $MYWKS --sport 1024:65535 -d $MYADDR --dport 22 \ -m state --state NEW -j ACCEPT # Résolution DNS iptables -A OUTPUT -i $IFACE -p udp -s $MYADDR --sport 1024:65535 -d $MYDNS --dport 53 \ -m state --state NEW -j ACCEPT # Surveillance avec Ping(1) iptables -A OUTPUT -i $IFACE -p imp. -s $MYADDR --imp.-type echo-request -d $MYLAN \ -m state --state NEW -j ACCEPT 10
Firewall Builder 11
NETFILTER : PRINCIPE DE FONCTIONNEMENT 12
Netfilter : Principe de Fonctionnement Réseau Externe Firewall Réseau Interne Web Port de Ver Mail FTP P2P DNS 13
Filtrage des initiations des connexions INTERNET TCP : 80 (Web), 25 et 110 (Mail) UDP : 53 (DNS) Tout autre trafic : Refusé 14
Filtrage des initiations des connexions TC P To ut au tr e :8 0( We b) tra fic :R efu sé INTERNET Tout trafic : Refusé 15
Filtrage des initiations des connexions Le serveur écoute sur un port connu : exemple serveur web écoute sur le port 80 Le client initie une connexion en envoyant un paquet TCP ayant les drapeau Le serveur répond par un paquet TCP ayant le drapeau SYN = 1 ACK = 0 SYN = 1 ACK = 1 Le filtrage des initiations de connexion consiste à interdire toute demande de connexion vers le port x Les utilisateurs du réseau interne peuvent initier des connexions vers le port 80 (serveur Internet), le firewall accepte ces paquets et accepte aussi les paquets provenant de l extérieur en réponse à cette connexion (ESTABLISHED) 16
Filtrage des initiations des connexions INTERNET TCP : SYN = 1, ACK = 0, PORT = 80 TCP : SYN=1, ACK = 1 TCP : ACK = 1 17
Filtrage des initiations des connexions TC P TC P :S YN :S YN =1,A =1,A CK CK =0 =1, P OR T= 80 INTERNET TCP : SYN = 1, ACK = 0, PORT = 80 18
Les tables et les chaînes Les tables FILTER : Les règles de filtrage NAT : Les règles de translation d adresse MANGLE : Les règles de manipulation de paquets (marquage) Les Chaînes Chaque table est un ensemble de chaînes Chaque chaîne est un ensemble de règles Les règles s appliquent selon l ordre de leur écriture 19
Autoriser tout par défaut sauf Refuser tout par défaut sauf Paquet Paquet Table de filtrage Table de filtrage Règle 1? oui Règle 1? Autoriser Oui Règle 2? Autoriser Oui Règle 3? Autoriser Non Non Refuser Oui Refuser Non Non Règle 3? Refuser Non Non Règle 2? oui Autoriser 20 Oui Refuser
Les règles de Netfilter Commande Chaîne Iptables t filter A INPUT Action p TCP d 192.168.1.25 Sélection du paquet Table 21 j DROP
Les Commandes iptables «-t» : spécifier la table -t filter -t nat -t mangle «-A» : spécifier la chaîne -A INPUT -A OUTPUT -A FORWARD -A PREROUTING -A POSTROUTING 22
Les Commandes iptables (suite) «-j» : spécifier l action -j ACCEPT Accepter le paquet -j DROP Rejeter le paquet -j REJECT Rejeter le paquet -j MASQUERADE -j SNAT Translater l adresse source -j DNAT Translater l adresse destination -j LOG Envoyer le paquet au système de log -j MARK Marquer le paquet -j TOS Modifier le type de service du paquet -j MIRROR Renvoyer le paquet à l expéditeur -j REDIRECT -j QUEUE Translater l adresse source Rediriger un port vers un autre Envoyer le paquet à une application 23
NAT Source NAT iptables t nat I POSTROUTING o eth0 j SNAT --to-source 193.95.1.1 Cette Commande permet de remplacer (translater) les adresses sources par l adresse 193.95.1.1 Si une plage d adresse est spécifiée au lieu de l adresse 193.95.1.1, alors la première adresse disponible de cette plage sera utilisée Destination NAT iptables t nat A PREROUTING o eth0 d 193.95.1.1 j DNAT --to-destination 192.168.1.1 Cette Commande permet de remplacer (translater) l adresse destination (193.95.1.1) par l adresse 192.168.1.1 Mascarade iptables t nat A POSTROUTING o eth0 j MASQUERADE Dans ce type de NAT, toute les adresses sources (une forme de Source NAT) seront remplacées (translatées) par l adresse de l interface réseau externe, eth0 pour ce cas. 24
Filtrage Stateful inspection Principe Filtrage dynamique, en conservant des états pour les communications en cours Seuls des paquets correspondants à un état déjà existant sont acceptés Protocole TCP : Segments appartenant à une connexion TCP en cour UDP : Datagrammes en réponse à un datagramme UDP émis - Messages ICMP d erreur ICMP : Messages ICMP en réponse à un message ICMP émis Options permettant de comparer le trafic aux états NEW : création d un nouvel état ESTABLISHED : paquet appartenant à une connexion déjà établie RELATED : paquet lié à une connexion en cours Message ICMP d erreur Trafic lié au fonctionnement d un protocole applicatif INVALID : paquet non identifié parmi les communications en cours Stratégie Créer un état au début de communication avec NEW Accepter les paquets liés aux communications en cours ESTABLISHED RELATED 25
Outils de génération de Script FwBuilder : http://www.fwbuilder.org PHP Firewall Generator : http://phpfwgen.sourceforge.net Easyfwgen : http://easyfwgen.morizot.net/gen/ (On-line) quicktables : http://qtables.radom.org 26
IDS Apache ACID Port mirroring INTERNET 27
Principe de l IDS IDS Internet SANS LES RETARDER Contrôle des attaques infiltrées à travers les flux permis via le firewall (Web, Chat..) Réseau Externe PROTECTION MINIMALE = Fw+IDS Réseau Interne Firewall Web P2P IDS 28
Snort Présentation: Système de détection d'intrusion réseau (NIDS) Portable sur plusieurs types de plateformes (OS : Linux, Windows, Open BSD, FreeBSD, Net BSD, Solaris. Processeur : x86, SPARC APLPHA, ) Installation et configuration simples Détection en temps réel et puissante Fonctionnalités: Détection au niveau des protocoles : - IP TCP UDP - ICMP Détection d'activités anormales Stealth scan _ Découverte d'empreinte d'os Code ICMP "invalide" Préprocesseur HTTP (attaque CGI) Détection des petits fragments Détection de déni de service Détection de débordement de buffer _... 29
Snort Écriture des règles: Langage de description simple et facile à utiliser Une règle doit être impérativement écrite sur une seule ligne La combinaison de règles est autorisée Variables de substitutions acceptées Possibilité de faire référence à des fichiers de règles séparés Exemple de règle: Alert tcp any any -> 192.16.1.0/24 any (flags: SF; msg:"possi. SYN FIN scan";) Enregistrement des logs: Le fichier alert (-d) Un fichier spécifique par attaque (logto) Un répertoire spécifique (-l) Le répertoire /var/log/snort (-s) L'enregistrement dans un répertoire s'effectue par adresse IP de machines sources et/ou destinations 30
Snort Les logs (suite) Visualisation des fichiers de log : /var/log/snort/alert Règle : alert TCP any any -> $MY_NET any (msg:"nmap TCP Ping!"; flags: A; ack: 0;) 31
Autres options de Snort Pour protéger la sonde Snort, l interface de capture peut ne pas avoir d adresse IP, snort fonctionnera ainsi en «Stealth mode» DEVICE=eth1 USERCTL=no ONBOOT=yes - ifconfig eth1 up BOOTPROTO= BROADCAST= - snort -dvi eth1 NETWORK= NETMASK= Le câble de capture peut être modifié pour fonctionner en mode «IPADDR= Receive-Only» : Ethernet TAP 1 1 2 2 3 3 4 4 5 5 6 6 Snort peut fonctionner sur multiples interfaces, en lançant une instance de snort pour chaque interface (option i pour choisir l interface) on peut aussi utiliser des fichiers de configuration différents et des répertoires de log différents. 32
Gestion des logs de snort Snort peut utiliser une base de données dans laquelle il stocke ses logs. ACID est une interface PHP qui permet de visualiser les alertes générées par snort en se connectant à la base de données de snort. ACID dépend de ces deux paquets : - Adodb : Contient des scripts PHP génériques de gestion de bases de données. - PHPlot : librairie de scripts PHP utilisée par ACID pour présenter graphiquement certaines données statistiques. 33
Gestion des logs de snort 34
Plugins Snort On peut ajouter des modules (plug-in) à snort afin de fonctionner en mode IPS tel que: Flexresp (intégré) : pour bloquer une connexion par TCP/RST Snortsam : plugin de snort permettant de bloquer automatiquement des adresses IP à partir des différents firewall. Snort-Inline : c est une modification de snort pour le rendre en mode actif (réponse en temps réel à une intrusion) Guardien pour écrire des règles dans le firewall Iptables SnortSnarf : Gestion des log pour snort, permet de visualiser via interface web des signatures détectées (par machine) et de visualiser les paquets fautifs 35
Apache ACID INTERNET Port mirroring 36 modproxy
ModSecurity mod_security est un module open source pour Apache. Il apporte une solution de détection et de prévention d intrusion pour les applications web à travers un moteur s'interfaçant directement avec le serveur apache. Rôle principale : Protection des serveurs web des attaques possibles, comme les injections de script. Vise à prévenir toutes attaques web en provenance de l'utilisateur, par le biais d'un grand nombre de filtres et des techniques d'analyses. 37
ModSecurity Offre les possibilités suivantes : Filtrage des requêtes Anti-évasion Filtrage http Journalisation : tous les détails de chaque requête Compression des données filtrées. 38
ModSecurity (Configuration) Méthode 1: Il suffit d ajouter les directives nécessaires dans le fichier de configuration «modsecurity.conf» et d inclure la directive suivante dans «httpd.conf» : Include conf/modsecurity.conf Méthode 2: Ajouter les directives nécessaires directement dans le fichier de configuration d Apache «httpd.conf» à l intérieur des balises (ou conteneurs) «IfModule» ; <IfModule mod_security.c> # mod_security configuration directives #... </IfModule> 39
Modproxy Ce module implémente un proxy cache à partir de la version 1.1 d Apache pour: HTTP/0.9, HTTP/1.0 et HTTP/1.1 FTP CONNECT (pour SSL) Il peut être configuré pour œuvrer au choix comme un direct proxy ou comme un reverse proxy. Peut être couplé avec les modules apache: mod_rewrite : qui permet la réécriture des URL mod_security : qui permet de filtrer les requêtes 40
Vulture VultureNG est un firewall applicatif (reverse proxy), qui sert à protéger les applications web en se basant sur les modules apache (mod_access, mod_ssl, mod_security, mod_perl, Mod_proxy). Il prend en charge toutes les fonctionnalités liées à la sécurité, et notamment : L'authentification des utilisateurs Le chiffrement des flux Le filtrage de contenu La réécriture des URL La haute disponibilité La répartition de charge 41
Fonctionnement de Vulture L accès à une application Web via Vulture se fait en 4 étapes: Envoi d une requête sur une interface de Vulture (ex: http://www.test.fr) Routage de la requête vers le proxy d authentification Si l authentification est réussie, routage vers l interface: diverses actions peuvent être effectuées 1. Filtrage de contenu 2. Propagation d informations à destination de l application web Envoi de la requête vers l application 42
Apache ACID INTERNET Port mirroring 43 modproxy
SQUID Présentation: SQUID est un serveur "proxy" permet de partager un accès Internet entre plusieurs utilisateurs avec une seule connexion. SQUID propose également un mécanisme de cache des requêtes, qui permet d accéder aux données en utilisant les ressources locales au lieu du web, réduisant les temps d accès et la bande passante consommée. SQUID permet le cache des protocoles HTTP, FTP, Gopher, etc. Il supporte également SSL, les contrôles d accès, le cache de DNS et fournit une trace complète (log) de toutes les requêtes de connexion. 44
SQUID Contrôle d accès Squid dispose pour ces contrôles de deux types de composants : les éléments ACL (Access Control List) et la liste d accès. Une liste d accès, autorise ou refuse l accès au service. Ci-dessous quelques uns des plus importants éléments ACL src : Source c-à-d l adresse IP du client dst : Destination c-à-d l adresse IP du serveur srcdomain : Source c-à-d le nom de domaine du client dstdomain : Destination c-à-d le nom de domaine du serveur time : Heure et jour de la semaine url_regex : Expression régulière décrivant une catégorie d URL proxy_auth : Procédé externe d authentification d un utilisateur maxconn : Nombre maximum de connexions pour une adresse IP cliente 45
SQUID (suite) On peut associer un nombre de logiciels à squid pour le filtrage, les statistiques et la supervision. Tel que SquidGuard : un redirecteur qui utilise la librairie Berkeley Database de sleepycat 46
SquidGuard Caractéristiques : Il permet de différencier la transformation suivante : L'adresse de la machine L'identité de l'utilisateur L'URL (évidemment) L'horaire de la consultation La classe de redirection (par exemple on peut définir une classe publicité, une classe adult, etc...) 47
SquidGuard Fonctionnalités: Limiter l accès d un nombre d utilisateurs à un ensemble de serveurs web ou url accepté (connu à l avance). Bloquer l accès à une liste de serveurs web ou URL : Blacklist Bloquer l accès à des URL correspondant (matching) avec une liste d expression régulière ou une liste de mot clé Renforcer l utilisation des noms de domaine Rediriger les adresses bloquées vers une page d info à base de script CGI. Rediriger les utilisateurs non enregistrés vers un formulaire d enregistrement. Rediriger des téléchargements de fichiers fréquents vers des copies locales. Affecter des règles pour des groupes d utilisateurs. 48
Apache ACID INTERNET Port mirroring OpenLDAP 49 modproxy
OpenLDAP OpenLDAP est un annuaire qui peut être installé sur tout type de plate-forme. OpenLDAP est totalement intégré à Linux. La plupart des distributions Linux ont adopté OpenLDAP et offrent une version compilée comme annuaire de référence. OpenLDAP peut être utilisé pour gérer les utilisateurs du système d exploitation, et partager ainsi un même référentiel avec les applications fonctionnant sous Linux et livré avec le système, comme Samba, NIS, etc. On trouve par exemple des extensions permettant d intégrer OpenLDAP avec Kerberos, Radius et tout autre mécanisme d authentification. 50
OpenLDAP Les services offerts par OpenLDAP Les fonctions standards d un annuaire sont conforme à la norme LDAP v3. Il supporte donc le protocole LDAP V3 aussi bien en IPv4 qu en IPv6. Supporte aussi le protocole SASL (Simple Authentication and Security Layer) pour l authentification et la sécurité. Supporte le protocole TLS (Transport Layer Security) qui permet d assurer le chiffrement et l intégrité des données échangées avec l annuaire. Gestion des autorisations, permettant de contrôler l accès aux entrées et aux attributs en fonction du profil de l utilisateur connecté à l annuaire. OpenLDAP autorise la réplication multi-maître et maître-esclave, assurant ainsi une meilleure disponibilité de l annuaire et une répartition de charge sur différentes instances de l annuaire, situées sur une ou plusieurs machines. 51
Apache ACID INTERNET Port mirroring OpenLDAP 52 modproxy
OSSEC (HIDS) Ossec est un détecteur d intrusion centralisés. Administrer les alertes d'un parc de machines à travers une interface web... Il suffit d'installer des agents, comme pour le serveur. lorsqu'un problème est détecté, il peut-être réactif envers le système attaquant (blocage d'ip, redirection, alerte). Architecture d OSSEC : OSSEC est composé de plusieurs composants tels que les agents, Agentless, syslog, les bases de données, vmware, routeur, Switch, firewall Il comporte un gestionnaire de monitoring de tout et de recevoir des informations provenant d'agents, syslog, les bases de données et de dispositifs d'agent. 53
Architecture d OSSEC 54
Apache Spam Assassin ACID INTERNET Port mirroring OpenLDAP 55 modproxy
Passerelle mail Ceci peut être réaliser en combinant: Postfix SpamAssassin Amavis P3scan Clamav netfilter 56
SpamAssassin Spamassassin permet d identifier les courriers indésirables en les faire passer par un certain nombre des tests, tels que : La validité des adresses de l expéditeur et de destinataire. La date des messages. La présence dans le corps du message d un mot répertorié sur une liste de mots interdits. L appartenance ou non d un des serveurs expéditeurs à une liste noire. Et chaque test va lui attribuer des points (appelé hits par Spamassassin), afin d obtenir un score final pour le mail en question. Si le score dépasse un certain seuil (par défaut le seuil est atteint à 5 points et également configurable) le mail est considéré un spam. Une fois cette décision est prise, le SpamAssassin insère dans l'en-tête des marqueurs informant des résultats du test. 57
Amavis Amavis Propose 2 versions: amavisd et amavisd-new Amavisd : un démon lancé une fois pour toute. Amavisd-new: est une évolution de amavisd + Offre des riches fonctionnalités (possibilité de coupler un AntiSpam à l antivirus, ). - Consomme pas mal de ressources car il faut démarrer un programme perl pour chaque message à traiter. 58
Apache Spam Assassin Amavis WebMin ACI ACID Console d administration INTERNET Port mirroring OpenLDAP 59 modproxy
Webmin Webmin est une interface d administration web conçue pour les serveurs d hébergement unix. Cette interface permet d interagir avec tous les programmes installés sur un serveur (Snort, Netfilter, apache, squid, sendmail, ) Webmin dispose de nombreuses fonctionnalités dont la gestion des DNS, le redémarrage à distance de la machine, la gestion de tâches planifiées (cron), la gestion des comptes mails, FTP, de sites web etc. Sa structure permet d'être complétée par l ajout des modules afin d'étendre ses fonctionnalités. 60
Apache Spam Assassin Amavis WebMin ACID Console d administration INTERNET Port mirroring OpenLDAP 61 modproxy
OSSIM OSSIM (Open Source Security Information Management) a pour objectif de fournir une compilation compréhensive d outils qui vont fonctionner ensemble pour fourni à l administrateur réseau/sécurité une vue détaillée sur tout les aspects de son réseau, ses machines, ses serveurs, et équipements. OSSIM fourni: Un moteur de corrélation performant, Des interfaces de visualisation, Rapport, Outils de gestion d incident.
Les composantes d OSSIM OSSIM inclue les outils suivants: Arpwatch MAC anomaly detection. P0f passive OS detection and OS change analysis. Pads service anomaly detection. Nessus vulnerability assessment and for cross correlation (IDS vs Security Scanner). Snort IDS, also used for cross correlation with nessus. Spade statistical packet anomaly detection engine. Used to gain knowledge about attacks without signatures. Tcptrack session data information, this can prove useful for attack correlation. Ntop This builds an impressive network information database from which we can identify aberrant behavior/anomaly detection. Nagios fed from the host asset database, it monitors host and service availability information. Osiris HIDS. OCS-NG cross-platform inventory solution. OSSEC integrity, rootkit, registry detection, and more.
Architecture d OSSIM
Architecture d OSSIM
Processus de Détection Le processus de détection inclue normalement trois phases: Pré-processing Collection Post-processing Post-processing Le processus de post-processing implémente des mécanismes pour améliorer la sensibilité et la fiabilité. Et essai d éliminer les fausses positive. Trois méthodes de post-processing sont utilisées: Prioritization Risk assessment Correlation
Apache Spam Assassin Amavis WebMin ACID Console d administration INTERNET Port mirroring OpenLDAP 67 modproxy
OpenVAS Présentation: OpenVAS est un scanner de vulnérabilités multi-plateformes : il réalise un audit de sécurité sur les différents composants du réseau. En s'appuyant sur une base de données de failles de sécurité, il indique à l'administrateur réseau les faiblesses et les failles existantes sur son réseau. Il est basé sur une architecture clientserveur. OpenVAS est un outil capable d identifier : Les machines présentes sur mon réseau (adresse IP, nom) Les systèmes d'exploitation utilisés sur une machine donnée Les services (démons) fonctionnant sur une machine L état de sécurité d un réseau 68
OpenVAS Fonctionnement: OpenVAS permet un audit de sécurité en s'appuyant sur deux éléments : un client et un serveur. Le serveur, OpenVASd, est chargé de tester le système indiqué en essayant toutes les attaques que sa base contient, pendant que le client, OpenVAS (une interface graphique), fait un rapport sur les différents résultats obtenus. Le serveur possède une base de données d'environ 300 attaques existantes à l'installation et c'est à l'administrateur de la remettre à jour régulièrement. Les attaques mises en place par OpenVASd sont codées comme des modules externes (ou plugins) écrits en différents langages. 69
OpenVAS Lancer le scan Le résultat du scan 70
Apache Spam Assassin Amavis WebMin ACID Console ntop d administration INTERNET Port mirroring OpenLDAP 71 modproxy
Ntop ntop est une sonde réseau qui permet de calculer l utilisation de bande passante. Il est basé sur la bibliothèque libpcap, il a été développé pour être portable sous différentes plateformes comme Unix et aussi Win32. Peut être consulter à travers une interface Web pour visualiser les informations sur le trafic et l état du réseau. Ntop peut être considéré comme étant un agent RMON ayant : Une interface web configuration et administration limité via cette interface Requière une mémoire et un traitement CPU très réduit relativement à la taille du réseau et du trafic 72
ntop 73
Ntop Fonctionnalités : Trier le trafic selon plusieurs protocoles Visualiser le trafic trié selon divers critères Afficher les statiques du trafic Sauvegarder les statistique sur le trafic selon un format RRD Identifier l identité des machine des utilisateur (exp : l adresse email) Identifier d une manière passive l OS des machines Visualiser la distribution de flux selon les protocoles Analyser le trafic IP et le trier selon source/destination Afficher la matrice du réseau (qui communique avec qui) Rapporter l utilisation des protocoles trié selon le type Agir comme des collecteur NetFlow/sFlow pour le flux générer par les routeurs ou par les switchs Produire des statistique sur le trafic comme RMON 74
Ntop 75
Apache Spam Assassin Amavis WebMin ACID Console ntop d administration INTERNET Port mirroring OpenLDAP 76 modproxy
Nagios Nagios est une application permettant la surveillance système et réseau. Elle surveille les hôtes et les services que vous spécifiez. Et vous alertant lorsque les systèmes vont mal et quand ils vont mieux. C'est un programme modulaire qui se décompose en trois parties : 1. 2. 3. Le moteur de l'application qui vient ordonnancer les tâches de supervision. L'interface web, qui permet d'avoir une vue d'ensemble du système d'information et des possibles anomalies. Les plugins, une centaine de mini programmes que l'on peut compléter en fonction 77
Fonctionnalités de Nagios Superviser des servises réseaux (SMTP, POP3, HTTP, NNTP, ICMP, SNMP, LDAP) Superviser les ressources de serveurs Interface avec le protocole snmp La supervision à distance peut utiliser SSH ou un tunnel SSL. La vérification des services se fait en parallèle. Possibilité de définir une hiérarchie dans le réseau pour pouvoir faire la différence entre un serveur en panne et un serveur injoignable. La remontée des alertes est entièrement paramétrable grâce à l'utilisation de plugins (alerte par email, SMS, etc.). Acquittement des alertes par les administrateurs. Gestion des escalades pour les alertes (une alerte non acquittée est envoyée à un groupe différent). Limitation de la visibilité, les utilisateurs peuvent avoir un accès limité à quelques éléments. 78
Apache Spam Assassin Amavis WebMin ACID Console ntop d administration INTERNET Port mirroring OpenLDAP 79 modproxy
OpenVPN OpenVPN essai de donner aux usagers le maximum d opportunité comme: Portabilité. Un daemon très familier. Aucune modification au noyau n est requise. Les bases cryptographique sont déjà fournies par la bibliothèque OpenSSL. Une solution qui est très confortable avec le NAT Support la majorité des systèmes d exploitation connues comme Linux, Windows, Mac OS, BSD (Open/Net/Free) et Solaris. 80
Apache Spam Assassin Amavis WebMin ACID Console ntop d administration INTERNET Port mirroring OpenLDAP modproxy 81
Linux HA Linux-HA (Linux High-Availability) fournie une solution de haute disponibilité (clustering) pour Linux, FreeBSD, OpenBSD, Solaris et Mac OS X qui améliore la fiabilité, la disponibilité, continuité de service (RAS). Le produit principal du projet est Heartbeat, les principales fonctionnalités: Nombre de nœuds illimité: Heartbeat peut être utilisé pour mettre en place un large cluster ainsi que des cluster simple. Monitoring des ressources: les ressources peuvent être redémarré automatiquement ou transférer vers un autre nœud en cas de panne Mécanisme d élimination de nœud en panne du cluster basé sur des règles de gestion de ressources très sophistiquées. Règle time-based permettant d appliquer des politiques qui qui varient en fonction du temps Panoplie de scripts de gestion de ressources (pour Apache, DB2, Oracle, PostgreSQL etc.) Incluse une interface graphique de configuration, contrôle et de monitoring des ressources et des nœuds 82
Apache Spam Assassin Amavis WebMin ACID Console ntop d administration INTERNET Port mirroring OpenLDAP modproxy 83
Sauvegarde restauration Bacula: est un ensemble de programmes qui permet de gérer les sauvegardes, restaurations ou vérifications de données d'un ordinateur sur un réseau hétérogène. En termes techniques, il s'agit d'un programme de sauvegarde client/serveur. Bacula est relativement facile d'utilisation et efficace, tout en offrant de nombreuses fonctions avancées de gestion de stockage qui facilitent la recherche et la restauration de fichiers perdus ou endommagés. Selon les statistiques de Source Forge (Rank et downloads), Bacula est de loin le plus populaire des logiciels Open Source de qualité entreprise. 84
Apache Spam Assassin Amavis WebMin ACID Console ntop d administration INTERNET Port mirroring OpenLDAP modproxy 85
TrueCrypt TrueCrypt est un logiciel de chiffrement à la volée, fonctionnant sur Microsoft Windows XP/2000/2003/Vista (32-bit et 64-bit), Mac OS X et Linux. Il permet de créer un disque virtuel chiffré (volume TrueCrypt) contenu dans un fichier et de le monter comme un disque physique réel. TrueCrypt peut aussi chiffrer une partition entière ou un périphérique, comme une disquette ou une clé USB. Le chiffrement est automatique, en temps réel et transparent. Tout ce qui sera stocké dans un volume TrueCrypt sera entièrement chiffré (i.e. incluant les noms des fichiers et les répertoires). Les volumes TrueCrypt se comportent (une fois montés) comme des disques durs physiques. Il est ainsi possible, par exemple, d'en réparer le système de fichiers avec chkdsk, ou de défragmenter les volumes créés par TrueCrypt une fois montés, etc. 86
TrueCrypt TrueCrypt supporte les algorithmes de chiffrement suivants : AES-256 Serpent (256-bit) Twofish (256-bit). et les fonctions de hachage cryptographiques suivantes: RIPEMD-160 SHA-512 Whirlpool 87
GPG / WinPT WinPT est une interface graphique front-end pour OpenPGP qui implémente GnuPG. Il fourni une interface intuitive pour la majorité des fonctionnalité de OpenPGP. Liste des fonctionnalités: Un Wizard, pour la génération de clé Gestionnaire de clé Gestionnaire de fichier Interface graphique pour l accès aux serveurs de clés Cryptage et décryptage, génération de signature et vérification via le presse-papier de Windows et aussi via la fenêtre active ou aussi directement sur des fichiers Cryptage symétrique des données et des fichier texte Importation de clé publique via le web (HTTP). 88
Apache Spam Assassin Amavis WebMin ACID Console ntop d administration INTERNET Port mirroring OpenLDAP modproxy 89
ClamAV Liste des fonctionnalités scanner en ligne de commande Un daemon multi-thread rapide supportant le scan on-access Interface milter pour sendmail Un mécanisme de mise à jours avancé supportant des script de MAJ et la signature numérique scanner viral Scan on-access (Linux et FreeBSD ) MAJ de la base antivirale (Multiple et par jour) Supporte plusieurs format d archive inculant Zip, RAR, Tar, Gzip, Bzip2, OLE2, Cabinet, CHM, BinHex, SIS et autres Supporte plusieurs format d email Supporte les exécutable ELPet PEF empaqueté avec UPX, FSG, Petite, NsPack, wwpack32, MEW, Upack et obfuscated avec SUE, Y0da Cryptor et autres Supporte plusieurs format de documents inculant MS Office et fichiers MacOffice, HTML, RTF et PDF 90
Les distributions Linux dédiées à la sécurité 91
Distributions Linux Live CD Ces distributions contiennent des outils de sécurité open source préinstallés, disponible sur un CD bootable: Knoppix-STD: Un grand nombre d'outils de sécurité compacté sur un Live CD Back-track: Une collection d'outils d'audit et test Pentoo: Une collection d'outils dédiée aux tests d'intrusion Helix: Des outils d'investigation sur les incidents 92
Back-TRACK 1 Collecte d'informations 1.1 Informations globales 1.2 Moteur de recherche 1.3 Service DNS/Host 1.4 Whois 1.5 Smtp 1.6 Autres ressources 2 Cartographie Réseau 3 Identification de Vulnérabilité 3.1 Scanner de sécurité 3.2 Analyseur de Site Web 3.3 Analyseur de Base de données 3.3.1 Base de données générique 3.4 Fuzzers 4 Pénétration 5 Escalade de privilèges 5.1 Sniffing 5.2 Spoofing 5.3 Forgeur/Relayeur de paquet 5.4 Session d'authentification 5.5 Spécial 6 Maintien d'accès / Couverture de traces 6.1 Backdoors & Rootkits 6.2 Nettoyeur de log 6.3 Modificateur de date 6.4 Tunneling 6.5 Spécial 7 Analyse de réseau sans fil 7.1 Initialiser le mode monitoring sur l'une des interfaces Wifi 7.2 Scanner/Sniffer les réseaux 7.3 Générer du trafic 7.4 Casser le chiffrement 7.5 Spoofing 7.6 Bluetooth 7.7 Script tout en un, et Automatisation 7.8 Spécial 8 Analyse de VOIP et de téléphonie 8.1 Outils de test et diagnostic 8.2 Sniffer VOIP / Écoute téléphonique 8.3 Faiblesse du protocole SIP 8.4 Utilitaire d'encodage et autres 9 Médecine digitale 9.1 Recherche 9.2 Analyse 9.3 Effacement 10 Développement et Ingénierie inversée 10.1 Débogueurs & Désassembleurs 10.2 Editeurs hexadécimaux 10.3 Décompresseurs 10.4 Spécial 11 Administration 11.1 Virtualisation 11.2 Module / Patch de securite 11.3 Gestion d'authentification 11.4 Supervision réseau et système 11.5 Inventaire de parc 11.6 Anonymat 11.6.1 Serveur Cache 11.6.2 IDS 11.7 Serveur collaboratif 11.8 PABX / VoIP 11.9 Analyse réseau 11.10 Pare Feu 12 Autres 93
Distributions Linux Dédiées Filtrage Ipcop Distribution dédiée Firewall, Proxy, IDS, Endian distribution dédiée firewall, proxy, passerelle antivirale Pfsense Distribution dédiée firewall IPFire Distribution dédiée Firewall Smoothwall Distribution dédié Firewall, Proxy, IDS, LEAF (Linux Embedded Appliance Firewall) Monowall Solution Firewall et VPN embarquée OpenWrt Distribution dédiée routeur Wifi LRP Linux Router Projet (Sur disquette) Sentry Firewall CD de Firewall/Serveur/IDS Shorewall (iptables made easy) Gibraltar CD contenant une multitude de fonctionnalités réseau et de filtrage FloppyFW : Une disquette contenant une fonctionnalité de firewall et de routeur 94
Endian Endian Firewall est une distribution italienne orientée vers la sécurité. Cette distribution est complètement open-source Il est basé sur un système linux optimisé et endurci. Endian est un bouclier utile pour les réseaux domestiques et PME/PMI Endian est administrable à travers une interface WEB (administration, mise à jour, ajout de modules fixes, ) 95
Endian INTERNET Elle inclut un firewall, des applications-level proxies pour différents protocoles (HTPP, FTP, POP3, SMTP) avec support antivirus, un antivirus et anti-spam pour trafic email (POP et SMTP), un filtrage Web et une solution VPN (Virtual Private Networking) basé sur openvpn. 96