RAPPORT DE PROJET Script d analyse d un fichier log

MASTER1 2013/2014 RAPPORT DE PROJET Script d analyse d un fichier log 14/01/2014 Par : APETI DjatougbéSika FARAH Hassan FENOUCHE Layachi 1

SOMMAIRE I. INTRODUCTION... 4 II. SECURITE... 4 1) Outils de sécurisation... 4 1.1) Un par feu... 4 1.2) Antivirus... 5 1.3) VPN... 5 1.4) IDS... 5 1.5)Correctifs du systèmed exploitation. 5 2) Types d attaques... 5 2.1) Attaques cryptographiques... 6 2.2) Déni de services... 7 2.3) Vulnérabilités du web... 9 2.4) Arnaques... 10 2.5) Les virus... 11 3) Techniques d attaque... 13 III. LE SCAN DE PORT... 13 1) Problématique... 13 2) Solutions dédiés au scan de port 14 3) Solution proposée... 15 4) Les types de scan de port... 16 5) Outils de scan de port... 17 6) Simulation d un scan de port et Analyses des résultats... 17 7) Fonctionnalités et aspects techniques du script à réaliser.24 8) planning du projet..25 IV. CONCLUSION.26 2

REMERCIEMENTS Nous adressons nos sincères remerciements à notre Tuteur de projet Monsieur HAHEL Yezekeal pour toute l aide qu il nous a apporté et pour nous avoir guidés sur ce projet, à notre rapporteur Mr Zhou Fen ainsi qu aux responsables de projets Mr JABARIAN Bassam et Mme NABITZ Sophie. 3

I. INTRODUCTION Les réseaux informatiques ont grandi en taille et en importance en très peu de temp set cette évolution n est pas prête de s arrêter. Lorsque la sécurité d un réseau est compromise, de très graves conséquences peuvent en résulter. Elle se place actuellement au premier plan de la mise en œuvre et de l administration réseau. La difficulté que représente la sécurité dans son ensemble est de trouver un compromis entre deux besoins essentiels : le besoin d ouvrir des réseaux pour profiter de nouvelles opportunités commerciales et celui de protéger des informations privées ou publiques et des informations commerciales stratégiques. L application d une stratégie de sécurité efficace est l étape la plus importante qu une entreprise doit franchir pour protéger son réseau. Cette stratégie définit les directives concernant les activités et les ressources nécessaires à la sécurisation d un réseau d entreprise. Le domaine de la sécurité étant vaste, nous n aurons à traiter qu un cas qui nous intéresse particulièrement : le scan de port de port. Ce projet a pour principal objectif d écrire un script permettant de détecter un scan de port et de le bloquer. II. SECURITE 1) Outils de sécurisation 1.1) Un par feu Un pare-feu ou firewall (en anglais), est un logiciel et/ou un matériel permettant de faire respecter la politique de sécurité du réseau celle-ci définissant quels sont les types de communication autorisés sur ce réseau informatique. Il mesure la prévention des applications et des paquets. Il a pour principale tâche de contrôler le trafic entre différentes zones de confiance, en filtrant les flux de données qui y transitent. Généralement, les zones de confiance incluent Internet (une zone dont la confiance est nulle) et au moins un réseau interne (une zone dont la confiance est plus importante). 4

1.2) Antivirus Les antivirus sont des logiciels conçus pour identifier, neutraliser et éliminer des logiciels malveillants. Ces derniers peuvent se baser sur l'exploitation de failles de sécurité, mais il peut également s'agir de logiciels modifiant ou supprimant des fichiers, que ce soit des documents de l'utilisateur stockés sur l'ordinateur infecté, ou des fichiers nécessaires au bon fonctionnement de l'ordinateur (le plus souvent ceux du système d'exploitation). 1.3 ) VPN Un réseau privé virtuel (Virtual Private Network en anglais, abrégé en VPN) est vu comme une extension des réseaux locaux et préserve la sécurité logique que l'on peut avoir à l'intérieur d'un réseau local. Il correspond en fait à une interconnexion de réseaux locaux via une technique de «tunnel». On parle de VPN lorsqu'un organisme interconnecte ses sites via une infrastructure partagée avec d'autres organismes. 1.4 ) IDS Un système de détection d'intrusion (ou IDS : Intrusion Détection System) est un mécanisme destiné à repérer des activités anormales ou suspectes sur la cible analysée (un réseau ou un hôte). Il permet ainsi d'avoir une connaissance sur les tentatives réussies comme échouées des intrusions. Il a été prouvé que certaines techniques de scan de ports pouvaient passer outre. Ce projet aura pour but d y remédier en comblant dans la mesure du possible les failles des IDS. 1.5 Correctifs du système d exploitation La meilleure façon de limiter les risques liés aux vers et à leurs variantes consiste à télécharger les mises à jour de sécurité du fournisseur du système d exploitation et d appliquer les correctifs aux systèmes vulnérables. 2) Types d attaques 5

2.1) Attaques cryptographiques Il existe essentiellement 3 types d attaques cryptographiques : i. Mot de passe Lors de la connexion à un système informatique, celui-ci demande la plupart du temps un identifiant (en anglais login ou username) et un mot de passe (en anglais password) pour y accéder. Ce couple identifiant/mot de passe forme ainsi la clé permettant d'obtenir un accès au système. Attaque par force brute On appelle «attaque par force brute» (en anglais «brute force cracking», parfois également attaque exhaustive) le cassage d'un mot de passe en testant tous les mots de passe possible. Il existe un grand nombre d'outils, pour chaque système d'exploitation, permettant de réaliser ce genre d'opération. Ces outils servent aux administrateurs système à éprouver la solidité des mots de passe de leurs utilisateurs mais leur usage est détourné par les pirates informatiques pour s'introduire dans les systèmes informatiques. Attaque par dictionnaire Les outils d'attaque par force brute peuvent demander des heures, voire des jours, de calcul même avec des machines équipées de processeurs puissants. Ainsi, une alternative consiste à effectuer une «attaque par dictionnaire». En effet, la plupart du temps les utilisateurs choisissent des mots de passe ayant une signification réelle. Avec ce type d'attaques, un tel mot de passe peut être craqué en quelques minutes. Attaques Hybrides Le dernier type d'attaques de ce type, appelées «attaques hybrides», vise particulièrement les mots de passe constitués d'un mot traditionnel et suivi d'une lettre ou d'un chiffre (tel que «marechal6»). Il s'agit d'une combinaison d'attaque par force brute et d'attaque par dictionnaire. Il existe enfin des moyens permettant au pirate d'obtenir les mots de passe des utilisateurs : Les key loggers, l ingénierie sociale, l'espionnage ii. Man In The Middle 6

L'attaque «man in the middle» (littéralement «attaque de l'homme au milieu» ou «attaques de l'intercepteur»), parfois notée MITM, est un scénario d'attaque dans lequel un pirate écoute une communication entre deux interlocuteurs et falsifie les échanges afin de se faire passer pour l'une des parties. La plupart des attaques de type «man in the middle» consistent à écouter le réseau à l'aide d'un outil appelé sniffer. iii. Attaque par Rejeu Les attaques par «rejeu» (en anglais «replay attaque») sont des attaques de type «Man in the middle» consistant à intercepter des paquets de données et à les rejouer, c'est-à-dire les retransmettre tels quel (sans aucun déchiffrement) au serveur destinataire. Ainsi, selon le contexte, le pirate peut bénéficier des droits de l'utilisateur. Imaginons un scénario dans lequel un client transmet un nom d'utilisateur et un mot de passe chiffrés à un serveur afin de s'authentifier. Si un pirate intercepte la communication (grâce à un logiciel d'écoute) et rejoue la séquence, il obtiendra alors les mêmes droits que l'utilisateur. Si le système permet de modifier le mot de passe, il pourra même en mettre un autre, privant ainsi l'utilisateur de son accès. 2.2) Déni de services Une «attaque par déni de service» (en anglais «Denial of Service», abrégé en DoS) est un type d'attaque visant à rendre indisponible pendant un temps indéterminé les services ou ressources d'une organisation. Il s'agit la plupart du temps d'attaques à l'encontre des serveurs d'une entreprise, afin qu'ils ne puissent être utilisés et consultés. Les attaques par déni de service sont un fléau pouvant toucher tout serveur d'entreprise tout particulier relié à internet. Le but d'une telle attaque n'est pas de récupérer ou d'altérer des données, mais de nuire à la réputation de sociétés ayant une présence sur internet et éventuellement de nuire à leur fonctionnement si leur activité repose sur un système d'information. i. Attaque dite par «Réflexion» La technique dite «attaque par réflexion» (en anglais «smurf») est basée sur l'utilisation de serveurs de diffusion (Broadcast) pour paralyser un réseau. Un serveur Broadcast est un serveur capable de dupliquer un message et de l'envoyer à toutes les machines présentes sur le même réseau. Le scénario d'une telle attaque est le suivant : la machine attaquante envoie une requête Ping (ping est un outil exploitant le protocole ICMP, permettant de tester les connexions sur un réseau en envoyant un paquet et en attendant la réponse) à un ou plusieurs serveurs de diffusion en falsifiant l'adresse IP source (adresse à 7

laquelle le serveur doit théoriquement répondre) et en fournissant l'adresse IP d'une machine cible. le serveur de diffusion répercute la requête sur l'ensemble du réseau ; toutes les machines du réseau envoient une réponse au server de diffusion. le serveur broadcast redirige les réponses vers la machine cible. Ainsi, lorsque la machine attaquante adresse une requête à plusieurs serveurs de diffusion situés sur des réseaux différents, l'ensemble des réponses des ordinateurs des différents réseaux vont être routées sur la machine cible. ii. Attaque du ping de mort L'«attaque du ping de la mort» (en anglais «ping of death») est une des plus anciennes attaque réseau. Le principe du ping de la mort consiste tout simplement à créer un datagramme IP dont la taille totale excède la taille maximum autorisée (65536 octets). Un tel paquet envoyé à un système possédant une pile TCP/IP vulnérable, provoquera un plantage. Plus aucun système récent n'est vulnérable à ce type d'attaque. iii. Attaque par fragmentation Une «attaque par fragmentation» (en anglais fragment attack) est une attaque réseau par saturation (déni de service) exploitant le principe de fragmentation du protocole IP. En effet, le protocole IP est prévu pour fragmenter les paquets de taille importante en plusieurs paquets IP possédant chacun un numéro de séquence et un numéro d'identification commun. A réception des données, le destinataire réassemble les paquets grâce aux valeurs de décalage (en anglais offset) qu'ils contiennent. L'attaque par fragmentation la plus célèbre est l'attaque Teardrop. Le principe de l'attaque Teardrop consiste à insérer dans des paquets fragmentés des informations de décalage erronées. Ainsi, lors du réassemblage il existe des vides ou des recoupements (overlapping), pouvant provoquer une instabilité du système. iv. Attaque LAND 8

L'«attaque LAND» est une attaque réseau datant de 1997, utilisant l'usurpation d'adresse IP afin d'exploiter une faille de certaine implémentation du protocole TCP/IP dans les systèmes. Le nom de cette attaque provient du nom donné au premier code source (appelé «exploit») diffusé permettant de mettre en œuvre cette attaque : lancer L'attaque LAND consiste ainsi à envoyer un paquet possédant la même adresse IP et le même numéro de port dans les champs source et destination des paquets IP. Dirigée contre des systèmes vulnérables, cette attaque avait pour conséquence de faire planter les systèmes ou de les conduire à des états instables. v. Attaque SYN L'«attaque SYN» (appelée également «TCP/SYN Flooding») est une attaque réseau par saturation (déni de service) exploitant le mécanisme de poignée de main en trois temps (en anglais Three-wayshandshake) du protocole TCP. Le mécanisme de poignée de main en trois temps est la manière selon laquelle toute connexion «fiable» à internet (utilisant le protocole TCP) s'effectue. Lorsqu'un client établit une connexion à un serveur, le client envoie une requête SYN, le serveur répond alors par un paquet SYN/ACK et enfin le client valide la connexion par un paquet ACK (acknowledgement, qui signifie accord ou remerciement). Une connexion TCP ne peut s'établir que lorsque ces 3 étapes ont été franchies. L'attaque SYN consiste à envoyer un grand nombre de requêtes SYN à un hôte avec une adresse IP source inexistante ou invalide. Ainsi, il est impossible que la machine cible reçoive un paquet ACK. Les machines vulnérables aux attaques SYN mettent en file d'attente, dans une structure de données en mémoire, les connexions ainsi ouvertes, et attendent de recevoir un paquet ACK. Il existe un mécanisme d'expiration permettant de rejeter les paquets au bout d'un certain délai. Néanmoins, avec un nombre de paquets SYN très important, si les ressources utilisées par la machine ciblent pour stocker les requêtes en attente sont épuisées, elle risque d'entrer dans un état instable pouvant conduire à un plantage ou un redémarrage. 2.3) Vulnérabilités du web Les premières attaques réseau exploitaient des vulnérabilités liées à l'implémentation des protocoles de la suite TCP/IP. Avec la correction progressive de ces vulnérabilités les attaques se sont décalées vers les couches applicatives et en particulier le web, dans la mesure où la plupart des entreprises ouvrent leur système pare-feu pour le 9

trafic destiné au web. Le protocole HTTP (ou HTTPS) est le standard permettant de véhiculer les pages web par un mécanisme de requêtes et de réponses. Utilisé essentiellement pour transporter des pages web informationnelles (pages web statiques), le web est rapidement devenu un support interactif permettant de fournir des services en ligne. Le terme d'«application web» désigne ainsi toute application dont l'interface est accessible à travers le web à l'aide d'un simple navigateur. Devenu le support d'un certain nombre de technologies (SOAP, JavaScript, XML RPC, etc.), le protocole HTTP possède désormais un rôle stratégique certain dans la sécurité des systèmes d'information. Dans la mesure où les serveurs web sont de plus en plus sécurisés, les attaques se sont progressivement décalées vers l'exploitation des failles des applications web. Ainsi, la sécurité des services web doit être un élément pris en compte dès leur conception et leur développement. 2.4) Arnaques Les vulnérabilités des applications web peuvent être catégorisées de la manière suivante : Vulnérabilités du serveur web. Ce type de cas est de plus en plus rare car au fur et à mesure des années les principaux développeurs de serveurs web ont renforcé leur sécurisation. Manipulation des URL, consistant à modifier manuellement les paramètres des URL afin de modifier le comportement attendu du serveur web. Exploitation des faiblesses des identifiants de session et des mécanismes d authentification. Injection de code HTML et Cross-Site Scripting. Injection de commandes SQL. 10

i. Ingénierie sociale L'ingénierie sociale est basée sur l'utilisation de la force de persuasion et l'exploitation de la naïveté des utilisateurs en se faisant passer pour une personne de la maison, un technicien, un administrateur, etc. D'une manière générale les méthodes d'ingénierie sociale se déroulent selon le schéma suivant : Une phase d'approche permettant de mettre l'utilisateur en confiance, en se faisant passer pour une personne de sa hiérarchie, de l'entreprise, de son entourage ou pour un client, un fournisseur, etc. Une mise en alerte, afin de le déstabiliser et de s'assurer de la rapidité de sa réaction. Il peut s'agir par exemple d'un prétexte de sécurité ou d'une situation d urgence. Une diversion, c'est-à-dire une phrase ou une situation permettant de rassurer l'utilisateur et d'éviter qu'il se focalise sur l'alerte. Il peut s'agir par exemple d'un remerciement annonçant que tout est rentré dans l'ordre, d'une phrase anodine ou dans le cas d'un courrier électronique ou d'un site web, d'une redirection vers le site web de l'entreprise. ii. Le scam Le «scam» («ruse» en anglais), est une pratique frauduleuse d'origine africaine, consistant à extorquer des fonds à des internautes en leur faisant miroiter une somme d'argent dont ils pourraient toucher un pourcentage. L'arnaque du scam est issue du Nigéria, ce qui lui vaut également l'appellation «419» en référence à l'article du code pénal nigérian réprimant ce type de pratique. iii. Le phishing Le phishing (contraction des mots anglais «fishing», en français pêche, et «phreaking», désignant le piratage de lignes téléphoniques), traduit parfois en «hameçonnage», est une technique frauduleuse utilisée par les pirates informatiques pour récupérer des informations (généralement bancaires) auprès d'internautes. La technique du phishing est une technique d'«ingénierie sociale» c'est-à-dire consistant à exploiter non pas une faille informatique mais la «faille humaine» en dupant les internautes par le biais d'un courrier électronique semblant provenir d'une entreprise de confiance, typiquement une banque ou un site de commerce. 2.5) Les virus 11

Un virus est un petit programme informatique situé dans le corps d un autre, qui, lorsqu on le lance, se charge en mémoire et exécute les instructions que son auteur a programmées. Les champs d application des virus vont de la simple balle de ping-pong qui traverse l écran au virus destructeur de données, ce dernier étant la forme de virus la plus dangereuse. i. Malwares On appelle malware un programme ou une partie de programme destiné à perturber, altérer ou détruire tout ou partie des éléments logiciels indispensables au bon fonctionnement d un système informatique. On peut citer quelque type de Malwares : ii. Vers réseau Un ver est programme qui peut se produire et se déplacer à travers un réseau en utilisant ses mécanismes, sans avoir réellement besoin d un support physique ou logique (disque dur, fichier, ) pour se propager ; un ver est virus réseau. La plus célèbre anecdote à propos des vers date de 1988. iii. Chevaux de Troie On appelle cheval de Troie (trojan horse) un programme informatique ouvrant une porte dérobée (backdoor) dans un système pour y faire entrer le hacker ou d autres programmes indésirables. Un cheval de Troie peut par exemple voler des mots de passes, copier des données sensibles, exécuter toute autre action nuisible. Une infection par un cheval de Troie fait généralement suite à l ouverture d un fichier contaminé contenant le cheval de Troie. Il y a quelques indications de présence de cheval de Troie comme réaction curieuse de la souris, activité anormale du modem ou de la carte réseau (données sont échangées en absence d activité de l utilisateur. iv. Bombes logiques et Spywares Une bombe logique est un programme dont le déclenchement s effectue à un moment déterminé en exploitant la date de système, le lancement d une commande, ou n importe quel appel au système, Ainsi ce type de virus est capable de s activer à un moment précis sur un grand nombre de machine, par exemple le jour de saint valentin. Un spyware (espiogiciel) est un programme chargé de recueillir des informations sur l utilisateur de l ordinateur dans lequel est installé (comme les adresses web URL, mots-clés saisis dans les moteurs de recherche, ) afin de les envoyer à la société qui le diffuse pour lui permettre de dresser le profil des 12

internautes. Les spywares s installent généralement en même temps que d autre logiciel. 3) Techniques d attaque Il existe différent types de technique d attaque: Usurpation d adresse IP (spoofing) Vol de sessin (hijacking) ARP poisonning Ecoute de réseau Débordement de tampon (Buffer Overflow) Spam Mail-bombing Balayage de port (Port scanning) La dernière technique fera l objet de notre étude dans notre projet. III. LE SCAN DE PORT Le scan port est une des techniques les plus populaires utilisées pour découvrir et déterminer les services qui écoutent un port spécifié. En utilisant cette méthode, un cracker peut ensuite créer une liste des faiblesses et vulnérabilités suite au résultat obtenu puis exploiter et compromettre un hôte distant. Une des premières étapes dans l'intrusion/audit d'un hôte distant est tout d'abord d'avoir un liste des ports ouverts, en utilisant une ou plusieurs des techniques décrites ci-dessous. Une fois ceci établit, le résultat aidera le cracker pour identifier les services variés qui sont exécutés sur un port permettant de compromettre d'avantage l'hôte distant après cette découverte initiale. 1) Problématique 13

De nos jours, l avenir d une entreprise repose dans sa capacité à protéger ses données sensibles, ces dernières étant sans cesse convoitées. Le scan de port est l une des techniques d attaque utilisée par les hackers pour arriver à leur fin. La sécurité a 100% n existant pas, les règles de filtrages mises en place sur le firewall et l installation d une IDS ne suffisent pas à protéger le réseau de certaines intrusions. Un détecteur d'intrusions est censé être un système capable de détecter une tentative d'intrusion sur un système et de stopper la majeure partie des attaques recensées. Malheureusement Il y a toujours des moyens pour contourner les barrages mis en place. L un des moyens d attaque des hackeurs est de scanner un réseau afin d y avoir une idée des ports ouverts sur ce dernier pour pouvoir y entrer. La problématique est de trouver de trouver un moyen de renforcer le niveau de sécurité en détectant rapidement ces intrusions et les bloquer dans la mesure du possible. 2) Solutions dédiées au scan de port 14

Portsentry (scan de ports) Cet utilitaire permet de bloquer en temps réel la plupart des scans de port connus (même très discrets et échappant aux règles de filtrage du firewall basiques). Il permet de détecter les attaques de type scan de façon active, c'est à dire qu'en plus de la détection, il va pouvoir entreprendre certaines actions : Les attaques seront notées dans les fichiers /var/log/message* et pourront être récupérés par l'administrateur par courrier électronique avec logcheck par exemple l'hôte "attaqueur" est automatiquement rajouté dans /etc/hosts.deny Grace à ipchains, tout ce qui vient de l'hôte "attaqueur" sera rejeté L'interface de communication peut être coupée en cas d'attaque. Psad Psad inclut des signatures de divers backdoor et DDos-tools et peut analyser les paquets afin de définir quel type de scan a été lancé (options de nmap). Les rapports fournis sont très détaillés (adresse de l attaquant, date, heure, système (OS), ports scannés, ) et parmi ses possibilités, outre d envoyer un mail à l administrateur, il peut bloquer dynamiquement l attaquant. C est un outil de détection et de blocage de port en temps réel pour des attaques par scan, il vous enverra des mails d'informations classés de 1 à 5 selon leurs niveaux de danger. Il procède en analysant les fichiers journaux d'un firewall IP table. Il est possible de le coupler avec Snort. 3) Solution proposée Le logging désigne l'enregistrement séquentiel dans un fichier ou une base de données de tous les événements affectant un processus particulier, activité d'un réseau informatique. Le journal ou fichier log désigne alors le fichier contenant ces enregistrements. Généralement datés et classés par ordre chronologique, ces derniers permettent d'analyser pas à pas l'activité interne du processus et ses interactions avec son environnement. En prenant connaissance du contenu du fichier log, il est possible de détecter un éventuel scan de port. Mais l attaque ayant déjà eu lieu, il est impossible d y remédier. Se rendre compte de l intrusion à temps aurait peut -être permis de l arrêter. Il serait très intéressant de pouvoir écrire un script qui permettrait de lire les lignes d'un fichier log, de détecter un scan de port et de pouvoir l arrêter. 15

4) Les types de scan de port Les techniques de scan port prennent forme de trois manières différentes : * scan ouvert. * scan semi-ouvert. * scan furtif. Chacune de ces techniques permettent une attaque pour localiser les ports ouverts/fermés sur un serveur, mais connaître l'utilisation du scan dans un environnement donné dépend totalement du type de topologie réseau, IDS, caractéristique d'identification d'un hôte distant. Cependant les scans ouverts rallongent les logs, sont facilement détectables et produisent de nombreux résultats positifs sur les ports ouverts/fermés. Autrement, utiliser la technique du scan furtif, peut éviter certains IDS et passer outre les règles du pare-feu. Mais le type de scan, tel que les drapeaux des paquets, utilisés pour identifier ces ports ouverts/fermés peuvent sans doute être diminués en déposant les paquets sur un réseau. Le model de scan de base qui inclue le balayage avec PING 16

5) Outils de scan de port Il existe plusieurs outils pour effectuer un scan de port. Les scanners de sécurité sont des outils très utiles pour les administrateurs système et réseau afin de surveiller la sécurité du parc informatique dont ils ont la charge. Les deux plus utilisés sont : Nessus Nmap Dans le cadre de notre projet, nous utiliserons Nmap pour la simulation des scans de port. 6) Simulation d un scan de port et Analyses des résultats Un scan de port a été simulée à l aide de l outil Nmap.un pc sur lequel est installé Windows et dont l adresse IP est 192.168.1.81 a pris pour cible un pc avec une distribution Linux installée dessus (Ubuntu) et dont l adresse IP est la suivant 192.168.1.48. Les services suivants ont été actives sur la machine cible : Serveur SSH, Serveur Web apache, Serveur DNS. PC: Attaquant SystèmeWindows IP: 192.168.1.8. outil_scan :Nmap PC : Attaqué Système Linux IP : 192.168.1.48. Services : Web,SSH Auth.log error.log Syslog acces.log Architecture de test On remarque que chacun des services disposent d un fichier dans lequel sont inscrit toutes les activités qui s y passent. Les fichiers log sont mis à jour automatiquement comme le montre la figure suivante : 17

Mise à jour des fichiers logs Analyse sur la machine attaquée Fichier error.log : Contient des informations sur les erreurs survenues par le serveur apache (service sur le port 80 et des connexions http basées sur TCP). Ce fichier enregistre des traces de demande de connexion avec des fausses requêtes causées par notre attaque (voir figure suivante). 18

La date d événement L adresse IP de la machine distante Message enregistré (Fausse requête) Fichier error.log Fichier syslog : Dans ce fichier on a trouvé des traces indiquant que le HOST dont IP 192.168.1.81 a des comportements suspects (message envoyé pas le module nrpe). 19

Source(Service) de message L adresse IP de la machine distante Le message Signalé Fichier Syslog Auth.log : La dernière ligne de ce fichier indique qu une machine distante d adresse 192.168.1.81 a essayé de se connecter au serveur SSH sans authentification. 20

Source(Service) de message(ssh) Fichier auth.log Message indiqué par Le serveur SSH 21

Fichier access.log (fichier log gérer par apache Serveur): On remarque des traces de l'outil d'attaques Nmap. Détection de l outil Nmap Fichier acces.log 22

Observations sur la machine attaquante Sur la machine attaquante on a observé les résultats obtenus par Nmap. La figure suivante montre les détails : Fichier résultats Synthèse Dans cette partie nous avons essayé de montrer un scénario d attaque sur une machine et suivre la réaction du système à ce type d attaque (scan de port) on analysant les informations enregistrées dans les fichiers logs du système et de quelques services. Un balayage de ports vise typiquement le protocole TCP, car c'est celui qui est utilisé par la majorité des applications. Nous avons remarqué dans ces derniers des indications ou des signatures qui nous intéresse pour notre projet. 23

7)Fonctionnalités et aspects techniques du script à réaliser FONCTIONNALITES DU SCRIPT Le script à implémenter devra répondre aux exigences suivantes : Lire et analyser un fichier log sans ré analyser les lignes qui ont été déjà lues. Détecter un scan de port. Bloquer l attaque Mise à jour de l IP table. Le script devra tourner tout le temps c'est-à-dire que le fichier log sera analysé en temps réel. Dans l IP table, nous aurons à accepter ou à rejeter des trafics sur certains ports du réseau. Le script devra agir sur certains des services cités plus hauts (http, Telnet, SFTP). ASPECT TECHNIQUE Implantation du script L implémentation du script débutera après qu on ait fini la phase d apprentissage c'està-dire déterminer les paramètres que devra prendre en compte le script afin de pouvoir réaliser les actions pour lesquelles il a été développé Plateforme de test Afin de tester la fiabilité et la qualité du script et s assurer qu elle répond aux exigences et besoins à la fin de l implémentation, une plateforme de test devra être mise en place. La plateforme de test aura en prendre en compte les éléments suivants. installation d un serveur sur une machine. Le but principal de ce projet est de protéger les différents services de notre réseau interne. Nous installerons des serveurs tels que t http, SFTP qui seront des serveurs cible lors de nos tests. Installation d une machine devra servir de machine cliente. 24

Une machine cliente servant d hôte attaquante devra être configurée avec l outil nmap ou /et Nessus qui nous permettra de simuler une attaque une intrusion sur notre serveur. Ecriture des IP table (des règles de filtrages à appliquer au firewall) Un minimum de sécurité devra être appliqué sur la machine nous servant de serveur. Des règles de filtrage seront écrites pour montrer que même avec ces dernières, l on peut être victime d un scan de port et ainsi mettre en avant la qualité du script. apprentissage des expressions régulières du fichier log pouvant nous permettre de nous sur les intentions malveillantes. Nous suivrons tous les fichiers logs du système bien particulièrement on s intéressera aux modifications, types informations enregistrées lors d attaque. Les seront traces sauvegardées dans une base de données ou fichier. Cela nous permettra de déterminer les paramètres que prendra notre script. 8) Planning du projet Le projet se conduira sur une durée de 16 semaines.. toutes les taches on été planifiées avec des tolérance de quelques jours au cas on prendrait du retard dans l une d entre elle 25