SECURIDAY 2012 Pro Edition



Documents pareils
SECURIDAY 2013 Cyber War

Outils d'analyse de la sécurité des réseaux. HADJALI Anis VESA Vlad

SECURIDAY 2012 Pro Edition

LINUX - Sécurité. Déroulé de l'action. - 3 jours - Contenu de formation

Test d un système de détection d intrusions réseaux (NIDS)

Les IDS et IPS Open Source. Alexandre MARTIN Jonathan BRIFFAUT

Installation d un serveur de messagerie en local. Télécommunications & réseaux. Nom-prénom: Fiche contrat

Topologies et Outils d Alertesd

Installation de Snort sous Fedora

Netfilter & Iptables. Théorie Firewall. Autoriser le trafic entrant d'une connexion déjà établie. Permettre le trafic entrant sur un port spécifique

Figure 1a. Réseau intranet avec pare feu et NAT.

WinTask x64 Le Planificateur de tâches sous Windows 7 64 bits, Windows 8/ bits, Windows 2008 R2 et Windows bits

VoIP Sniffing IHSEN BEN SALAH (GL 3) MAHMOUD MAHDI (GL 3) MARIEM JBELI (RT 2) SAFA GALLAH (RT 3) SALAH KHEMIRI (RT 3) YOUSSEF BEN DHIAF (GL 3)

S E C U R I N E T S C l u b d e l a s é c u r i t é i n f o r m a t i q u e I N S A T. Tutoriel Postfix

VoIP - TPs Etude et implémentation

Haka : un langage orienté réseaux et sécurité

CSI351 Systèmes d exploitation Instructions pour rouler Linux avec Virtual PC dans la salle de labo 2052

Sujet 2 : Interconnexion de réseaux IP (routeurs CISCO). Sujet 3 : Implémentation d un serveur VPN avec OpenVPN.

FORMATION PcVue. Mise en œuvre de WEBVUE. Journées de formation au logiciel de supervision PcVue 8.1. Lieu : Lycée Pablo Neruda Saint Martin d hères

Réalisation d un portail captif d accès authentifié à Internet

TP 1 : LES COMMANDES RESEAUX Matière: RESEAUX LOCAUX

Documentation FOG. 3. Choisir le nom de la machine, le nom d utilisateur et le mot de passe correspondant (par exemple : fog, password)

Linux. Sécuriser un réseau. 3 e édition. l Admin. Cahiers. Bernard Boutherin Benoit Delaunay. Collection dirigée par Nat Makarévitch

Guide SQL Server 2008 pour HYSAS

Serveur d impression CUPS

TP LINUX : MISE EN RÉSEAU D UN SERVEUR LINUX

Welcome. Bienvenue. Willkommen. welkom. yôkoso. Benvenuto. Bienvenida. tervetuloa

Dr.Web Les Fonctionnalités

Installation d un Serveur de Messagerie

Network Scanner Tool R2.7. Guide de l'utilisateur

Sécurisation du réseau

Installation de la messagerie EMWAC IMS Sur Windows NT4 serveur ou Windows 2000 serveur

Procédure d utilisation et de paramétrage (filtrage) avec IPFIRE

TP LINUX : MISE EN PLACE DU SERVEUR DE MESSAGERIE QMAIL

TD4 - Supervision et métrologie des réseaux. 1 Supervision des applications et services réseaux et des ressources locales

Capture, Filtrage et Analyse de trames ETHERNET avec le logiciel Wireshark. Etape 1 : Lancement des machines virtuelles VMWARE et de Wireshark

Fully Automated Nagios

PACK SKeeper Multi = 1 SKeeper et des SKubes

But de cette présentation. Serveur DHCP (Application à CentOS) Cas des machines virtuelles. Schéma de principe. Hainaut P

NetCrunch 6. Superviser

SECURIDAY 2012 Pro Edition

Fonctionnement Kiwi Syslog + WhatsUP Gold

Dans le cadre de SECURIDAY Et sous le thème de Computer Forensics Investigation SECURINETS. Analyse des fichiers LOG. Tarek LABIDI (RT3)

Sécurité des réseaux Les attaques

1 Configuration des Fichiers Hosts, Hostname, Resolv.conf

Les clés d un réseau privé virtuel (VPN) fonctionnel

Détection d'intrusions et analyse forensique

Accès aux ressources informatiques de l ENSEEIHT à distance

Documentation technique Nagios

Guide de démarrage Intellipool Network Monitor

avast! EP: Installer avast! Small Office Administration

Installation de GFI MailEssentials

Installation de GFI MailSecurity en mode passerelle

Linux Firewalling - IPTABLES

Installer un serveur de messagerie sous Linux

Pour les caméras IP de modèles : QSTC201 QSTC211. Surveillance à distance via Internet Guide de démarrage

laposte.net) Ministère de l'éducation nationale Atelier sécurité Rabat RALL 2007

Installation UpdatEngine serveur (CentOs apache2 / MySQL)

Firewall IDS Architecture. Assurer le contrôle des connexions au. Sécurité 1

CATALOGUE DE FORMATION INTERNET BUREAUTIQUE INFORMATIQUE..::NET-INOV.COM::..

But de cette présentation. Proxy filtrant avec Squid et SquidGuard. Serveur proxy. Serveur proxy. Hainaut P

Devoir Surveillé de Sécurité des Réseaux

LANDPARK NETWORK IP LANDPARK NETWORK IP VOUS PERMET D'INVENTORIER FACILEMENT VOS POSTES EN RÉSEAU

Procédure d'installation de SQL Server Express 2005

Présentation du Serveur SME 6000

Mise en place d un serveur Proxy sous Ubuntu / Debian

Formation Iptables : Correction TP

Tous les logiciels cités dans ce document sont des marques déposées de leurs propriétaires respectifs

Guide de l administrateur de mexi

Serveur de partage de documents. Étude et proposition d'une solution afin de mettre en place un serveur de partage de documents.

Chapitre 02. Configuration et Installation

Serveur de messagerie sous Debian 5.0

Nouveaux outils de consolidation de la défense périmétrique

Atelier Le gestionnaire de fichier

But de cette présentation. Contrôleur de domaine avec Samba (rédigé pour Ubuntu Server) Introduction. Samba: principes

Manuel d'installation de GESLAB Client Lourd

1. Présentation du TP

Plan. École Supérieure d Économie Électronique. Plan. Chap 9: Composants et systèmes de sécurité. Rhouma Rhouma. 21 Juillet 2014

Bravo! Vous venez d acquérir un routeur large bande à 4 ports Conceptronic C100BRS4H.

USERGATE PROXY & FIREWALL. Protection exhaustive de réseau corporate, optimisation de trafic Internet, administration flexible

Protection exhaustive de réseau corporate, optimisation de trafic Internet, administration flexible

Assistance à distance sous Windows

Le Client/Serveur avec Enterprise Miner version 4

Atelier : Virtualisation avec Xen

ACTION PROFESSIONNELLE N 4. Fabien SALAMONE BTS INFORMATIQUE DE GESTION. Option Administrateur de Réseaux. Session Sécurité du réseau

BTS SIO Dossier BTS. PURCHLA Romain

Tutoriel compte-rendu Mission 1

Installer un systeme minimal. Exploitation Minimal. (Basé sur Ubuntu et Fluxbox)

Université Pierre Mendès France U.F.R. Sciences de l Homme et de la Société Master IC²A. TP réseau firewall

Procédure pas à pas de découverte de l offre. Service Cloud Cloudwatt

Installation de GFI Network Server Monitor

Retour d expérience sur Prelude

Transport Layer Security (TLS) Guide de mise en œuvre. Version: 1.0

SSH. Romain Vimont. 7 juin Ubuntu-Party

Guide d'utilisation du Serveur USB

Installation d'un serveur sftp avec connexion par login et clé rsa.

Transcription:

SECURINETS CLUB DE LA SECURITE INFORMATIQUE INSAT SECURIDAY 2012 Pro Edition [Application de notification en cas d incident] Roua TOUIHRI (RT3) Nesrine DRIWECH (RT3) Amira ABID(GL3) Chef Atelier : Aymen DRIRA (RT5)

Table des matières 1) Présentation de l atelier... 3 2) Outils utilisés :... 3 3) Topologie du réseau :... 5 4) Configuration des outils.... 5 5) Sénario de test... 8 6) Conclusion... 9 2

1) Présentation de l atelier Cet atelier présente une configuration de l IDS SNORT assisté par un système de surveillance appelé Swatch permettant d alerter un administrateur réseau en temps réel des intrusions qui arrivent. 2) Outils utilisés Snort : Snort est un système de détection d'intrusions réseau en Open Source, capable d'effectuer l'analyse du trafic en temps réel. On l'utilise en général pour détecter une variété d'attaques et de scans tels que des débordements de tampons, des scans de ports furtifs, des attaques CGI, des scans SMB, des tentatives d'identification d'os, et bien plus. Snort permet d analyser le trafic réseau, il peut être configuré pour fonctionner en plusieurs modes : Le mode sniffer : dans ce mode, SNORT lit les paquets circulant sur le réseau et les affiche d une façon continue sur l écran Le mode packet logger : dans ce mode SNORT journalise le trafic réseau dans des répertoires sur le disque. Le mode détecteur d intrusion réseau (NIDS) : dans ce mode, SNORT analyse le trafic du réseau, compare ce trafic à des règles déjà définies par l utilisateur et établi des actions à exécuter. Le mode Prévention des intrusions réseau (IPS) : c est SNORTinline. Fig1 : Architecture de Snort 3

L architecture de SNORT est modulaire, elle est composée de : Un noyau de base : (Packet Decoder) au démarrage, ce noyau charge un ensemble de règles, compile,optimise et classe celles-ci. Durant l exécution, le rôle principal du noyau est la capture de paquets. Une série de pré processeurs : ceux-ci améliorent les possibilités de SNORT en matière d analyse et de recomposition du trafic capturé. Ils reçoivent les paquets directement capturés, éventuellement les retravaillent puis les fournissent au moteur de recherche de signatures. Un ou plusieurs moteurs de détection (Detection Engine) applique une série d analyses aux paquets, ces analyses se composent principalement de comparaisons de différents champs des headers des protocoles (IP, ICMP, TCP et UDP) par rapport à des valeurs précises. Swatch Swatch est un parseur de log, qui va permettre au serveur d envoyer des mails d alertes dès qu une alerte de haute priorité sera détectée dans les logs de Snort POSTFIX Postfix est un serveur mail qui a vu le jour chez IBM en tant qu alternative pour le fameux programme Sendmail. Postfix est rapide, sécurisé et facile à administrer. 4

3) Topologie du réseau Fig 2 : topologie du réseau 4) Configuration des outils Configuration de snort Installation de snort sur Ubuntu 11.04 Aller à : Système administration gestionnaire des paquets synaptics Cocher snort et confirmer On introduit la ligne output alert_full: alert Cette modification configure snort à fin qu il enregistre les alertes générées par les fichiers des règles dans le fichier /var/log/snort/alert Fig2 : Modification du fichier /etc/snort/snort.conf 5

On démarre Snort à l aide de la commande : snort c /etc/snort/snort.conf Configuration de postfix Installation des utilitaires du mail $ sudo apt-get install mailutils Installation de postfix $ sudo apt-get install postfix Acceder au menu de configuration de postfix $ sudo spkg-reconfigure postfix Le deb-installer vous proposera une série de questions pour la configuration 1. Type of mail server : Satellite System 2. Mail Name : example.org (the name you want on your outbound mail) 3. SMTP relay host : smtp.gmail.com (@ du serveur smtp) 4. Postmaster : laisser vide 5. Other destinations : I left this blank 6. Synchronous Queues : votre choix n a pas d impact 7. Network blocks to allow relay :valeur par défault 8. Mailbox size : votre choix n a pas d impact 9. Local address : + 10. Listen Address : all On doit par la suite ajouter les lignes suivantes dans le fichier de config de postfix qui se trouve à /etc/postfix/main.cf pour activer TLS et les mots de passe des connexions sortantes. smtp_use_tls=yes smtp_sasl_auth_enable = yes smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd smtp_sasl_security_options = noanonymous smtp_sasl_tls_security_options = noanonymous On crée par la suite le fichier /etc/postfix/sasl_passwd avec une seule ligne (remplacer le user et le mot de passe par les votre) 6

smtp.gmail.com some.user@gmail.com:password reconstruire le hash: $ postmap /etc/postfix/sasl_passwd redémarrer postfix : $ sudo /etc/init.d/postfix restart Une fois postfix configuré l envoi du mail est désormais possible à l aide de la commande sendmail ou mail Configuration de swatch Installation de swatch $ sudo apt-get install swatch On crée le fichier de configuration de swatch sous /home/ubuntu/swatch $ sudo touch.swatchrc configuration SWATCH / SNORT Si l'on decommente les lignes si dessous: 5 bips (haut parleur PC) se feront entendre puis 'throttle' limite le nombre de fois ou le modele rencontre dans les logs doit apparaitre afin de declencher l'alerte. Ceci est utile en effet si vous ne souhaitez pas que pour chaque paquet recu sur un port specifique, un mail ne soit emis ou une pop?up affichee... watchfor /Priority\: 1/ bell 5 throttle 00:00:10 Si dessous meme syntaxe.. mais on envoie un mail. bold sert a ecrire en gras dans les logs.. watchfor /Priority\: 1/ echo bold exec /home/ubuntu/desktop/s_alert throttle 00:00:10 7

Watchfor : filtre le contenu du fichier alert et lance l exécution de la commande exec si elle rencontre la chaine de caractères passée en paramètre. exec : permet d exécuter un script ou une commande Le script à exécuter s appelle s_alert et il est formé comme suit : Fig2 : script d envoi du mail On démarre ensuite swatch pour surveiller le fichier alert de snort et exécuter le script s_alert $ swatch c /home/ubuntu/swatch/.swatchrc t /var:log/snort/alert Maintenant que tous nos outils sont configurés on passe à un sénario de test 5) Sénario de test On dispose de deux machines : Une machine A (système sur lequel est installé Snort) Une machine B (pirate) On démarre Snort sur la machine A en utilisant la commande : /etc/init.d/snort start On fait un scan fin à partir de la machine B (pirate) sur la machine A et on obtient instantanément une journalisation des alertes au niveau du fichier /var/log/snort/alert au niveau de la machine A 8

Fig3 : détection des alertes au niveau du fichier alert Grace à la configuration de Swatch un mail d alerte est immédiatement envoyé à la boite mail de l administrateur réseau à fin de l alerter qu une intrusion de niveau 2 a été détecté et qu une personne est en train de scanner le réseau Fig4 : capture de la boite mail de l administrateur Conclusion Les systèmes de détection d intrusion sont d une importance majeure dans le monde professionnel et leur interaction avec l administrateur réseau est de nos jours encore plus indispensable pour la sécurité de l entreprise et de ses informations, c est pourquoi il est primordial de s équiper d un tel mécanisme d alerte qui permet aux responsables de sécurité informatique de réagir à temps et d etre au courant des risques ou des tentatives d attaques et de pouvoir s en protéger. 9

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back