Projet Supervision et sécurité Page 1 sur 18
Sommaire Rappel de la demande... Étude de l existant... Architecture réseau... Choix du logiciel de supervision... Qu est ce que la supervision?... Le marché de la supervision aujourd hui... Le choix de l outil, Nagios... Choix du logiciel permettant l utilisation de Nagios à distance... Choix de l IDS... Définition... Spécificités... Choix de l IDS... Choix NIDS... Mise en place de SNORT... PRA/PCA... Analyse des risques... Analyse d impact... Développement du plan... Sauvegarde des données... Priorité, technique... Exercice et Maintenance... Matrice de risques... Conclusion... Annexes... Diagramme de GANTT... Page 2 sur 18
Présentation du projet, rappel de la demande Les besoins concret de votre entreprise se synthétisent en quelques points que voici : Mise en place d une solution de supervision redondée sous LINUX Mise en place d une solution d IDS Envois de notifications diverses en cas d alertes Création d un PCA/PRA Au-delà de la demande concrète, nous pouvons voir a travers ce projet, cette démarche est la base d une refonte totale du système d information. En effet, la supervision permettra de voir précisément quels sont les outils/systèmes/services en place, où, et comment ils fonctionnent. La mise en place d un IDS permettra quand à elle de combler les lacunes sécuritaires du réseau. Notre projet se pose donc comme un premier pas vers la pérennisation de votre système d information. Page 3 sur 18
Étude de l existant Une étude du SI de votre groupe ***** nous a permis de réunir les informations suivantes : Le réseau est constitué de : - Un siège social à Paris, et 6 antennes réparties en France - Chaque centre possède au maximum 100 postes client, et des commutateurs de différentes marques au nombre de 10 tout au plus - Chaque centre possède son serveur DHCP et son relais DNS - Le parc serveur est composé d OS très variés Les points sensibles de votre réseau actuel sont : - Fuites d informations - Inaccessibilité de certains services - Baisse de performances réseau - Panne de serveurs - Ralentissement des connexions Page 4 sur 18
Architecture réseau Ci dessous, l architecture future d un centre type : Dans un premier temps vous pouvez noter la présence d un pare feu, doublé d un IDS dans chaque entité, en effet, la sécurisation nous a semblé être un axe de travail très important. Cependant pour avoir une protection de votre système d information complète, des antivirus devront être installés sur les postes clients. De cette manière vous aurez des protections efficaces à chaque niveau : - Antivirus : Protéger les postes client d attaque type : virus (via mail, clef usb ) - IDS : Détecter les intrusions réseau - Firewall : protège les postes des attaques en provenance de l extérieur Dans un second temps pour optimiser la supervision, nous vous conseillons de mettre en place des serveurs de supervision redondant (voir PCA/PRA). Page 5 sur 18
Choix du logiciel de supervision Qu est ce que la supervision? La supervision c est : - La surveillance du bon fonctionnement d un système ou d une activité - Surveiller, rapporter et alerter les fonctionnements normaux et anormaux. - La fonction qui consiste à indiquer et à commander l'état d'un appel, d'un système ou d'un réseau. Le marché de la supervision aujourd hui Le marché est aujourd hui divisé en plusieurs secteurs, en effet, les outils de supervision ont un périmètre fonctionnel plus ou moins étendu, mais aussi des prix d acquisition allant du néant, à plusieurs milliers d euro, c est ce dernier point qui va nous permettre de scinder notre sélection en deux parties. En effet, le marché de la supervision est divisé en 2 grandes familles, les outils libres, et les outils sous licence commerciale. Quels sont les avantages et inconvénients de ces deux solutions? Outil de supervision libre Sous licence commerciale Avantages -Faible coût d acquisition - Développements additionnels peu coûteux et riches - Solutions globales et éprouvées - Périmètres techniques et fonctionnels étendus - Support Inconvénients - Respect des standards - Développement additionnel restreint et coûteux - Coût d acquisition et de support - Incompatibilités entre fournisseur à choix d un fournisseur unique - Support difficile - Périmètres techniques et fonctionnels encore limités Page 6 sur 18
Lors du choix de l outil que l on va mettre en place, deux cas de figures s offrent à nous : 1- L entreprise n'a pas encore d'outil de supervision, l'open source est alors la solution adaptée pour s'habituer à cette discipline et déterminer les indicateurs à surveiller, le tout, à moindre coûts. 2- L entreprise possède déjà un outil de supervision, et compte en changer car celui dont elle dispose ne correspond plus à ses besoins (prix, efficacité) l adoption de l une des deux grandes catégories de produit est envisageable. Certes, sur le plan fonctionnel, les grands outils de supervision propriétaire BMC, HP, ou encore IBM conservent une légère avance sur les solutions open source les plus performantes. Cependant, les produits propriétaires sont relativement complexes à paramétrer, ce qui induit inévitablement, un nouveau surcoût. Le profil de votre entreprise, jeune, jusqu'à présent dépourvue de supervision, et n exploitant pas plus de 1000 ordinateurs sur le réseau est donc en parfaite adéquation avec les outils open source et gratuits proposée sur le marché actuellement. Le choix de l outil, Nagios De nombreux outils libres existent sur le marché : - JFFNMS - Nagios - CACTI Cependant l un d entre eux à particulièrement retenu notre attention. Nagios, en effet, bien qu il ne dispose pas de cartographie, l auto discovery et de déploiement de configuration, mais pour le reste, l outil Nagios supervise aussi bien les plates-formes matérielles (espace disque, mémoire, taux d'occupation du processeur, matériel réseau, etc) que certaines applications ou services (DNS, DHCP, LDAP, etc). Page 7 sur 18
Voici en trois points la justification de notre choix : 1 - Un bon rapport qualité/prix Nagios est simple à installer. Sa mise en œuvre ne nécessite que deux à trois jours. Il n'est pas indispensable de recourir aux services d'un prestataire pour le faire, pour peu que l'on prenne le temps de lire attentivement la documentation, très détaillée. Il est également facile à utiliser. Il est généralement déployé pour le suivi de quelques centaines de serveurs, mais est capable d'en suivre des milliers (et des dizaines de milliers de services). De plus la solution est 100% open source, elle existe depuis plus de 10ans, et fédère une communauté de plus de 250 000 utilisateurs, et comprend un support professionnel, ce qui garantit des réponses rapides et claires à chaque problème que l on pourrait rencontrer. 2 - Peu gourmand en ressources Loin de nécessiter un serveur puissant, Nagios se contente de ressources matérielles modestes. Cela permet de tirer parti de vieux serveurs, au lieu de devoir investir dans une nouvelle machine. Les seuls prés requis sur le serveur sont Linux (ou un autre Unix) et un compilateur C. De plus il est interopérable 3 - Seulement trois états possibles Pour assurer le suivi en temps réel du fonctionnement des services et matériels surveillés, Nagios utilise trois états : normal, avertissement et critique. Il n'est ainsi pas possible d'affiner la supervision par des états plus granulaires. Des vues de l'état des services, hôtes ou matériels réseau sont présentées au travers d'une interface Web, avec un accès aux informations. Choix du logiciel permettant l utilisation de Nagios à distance L installation de serveur de supervision redondé dans votre siège social à Paris permettra de superviser l ensemble de votre réseau dans vos différents centres. Le principal avantage de nconf sur Centreon, c est l interface web. Grâce à cette interface web, vos différents sites auront accès en temps réel au serveur de supervision à l aide de votre navigateur permettant ainsi un meilleur monitoring et une meilleure réactivité. Contrairement à Centreon ou il faudrait installer un serveur de supervision dans chaque centre. De plus d un point de vue mise en place, Nconf dispose d une interface plus légère et plus ergonomique, permettant ainsi une configuration plus aisée. Page 8 sur 18
En terme de fonctionnalité brute, ces deux plug-in utilisent celles de Nagios donc il y a peu de différences technique. Page 9 sur 18
Choix de l IDS Définition Un système de détection d'intrusion (ou IDS : Intrusion Detection System) est un mécanisme destiné à repérer des activités anormales ou suspectes sur la cible analysée (un réseau ou un hôte). Il permet ainsi d'avoir une connaissance sur les tentatives réussies comme échouées des intrusions. Il existe trois grandes familles distinctes d IDS : Les NIDS (Network Based Intrusion Detection System), qui surveillent l'état de la sécurité au niveau du réseau. Les HIDS (HostBased Intrusion Detection System), qui surveillent l'état de la sécurité au niveau des hôtes. Les IDS hybrides, qui utilisent les NIDS et HIDS pour avoir des alertes plus pertinentes. Spécificités Le HIDS récupère les informations qui lui sont données par le matériel ou le système d'exploitation. Il y a pour cela plusieurs approches : signatures, comportement (statistiques) ou délimitation du périmètre avec un système de liste de contrôle d accès (ACL). Un HIDS se comporte comme un «daemon» ou un service standard sur un système hôte qui détecte une activité suspecte en s appuyant sur une norme. Si les activités s éloignent de la norme, une alerte est générée L objectif d un NIDS est d analyser de manière passive les flux en transit sur le réseau et détecter les intrusions en temps réel. Un NIDS écoute donc tout le trafic réseau, puis l analyse et génère des alertes si des paquets semblent dangereux. Les IDS hybrides quand à eux, récupèrent les alertes d HIDS et de NIDS et permet de faire une corrélation de ces alertes afin de détecter des anomalies qui n'auraient jamais eu lieu sur un analyseur seul. Page 10 sur 18
Choix de l IDS Dans un premier temps nous avons exclu de mettre en place un HIDS, en effet, un simple antivirus le remplacera avantageusement. Dans un second temps, nous aurions pu opter pour un IDS hybride, cependant, les seuls IDS hybrides nécessitent, d une part un HIDS et un NIDS. En effet un IDS hybride se contente de réunir en un seul et même endroit l ensemble des informations. Cependant, cette option nécessite une installation et une configuration très lourde. Celle-ci ne serait pas justifiée pour un réseau comme le votre. Les problèmes informatiques au sein de votre société touchent principalement vos différents serveurs, les services associés, et votre bande passante, c est pourquoi nous avons opté pour un NIDS, logiciel qui s installe et se configure que sur un poste permettant de filtrer le réseau tout en vous avertissant d une quelconque anomalie en temps réels. Choix NIDS Actuellement, il y a peu de logiciel NIDS permettant un scan complet du réseau, et ce en consommant peu de bande passante. Dans notre recherche, 2 NIDS Open source se sont démarqué : Bro - se base sur un ensemble de règles décrivant des signatures d'attaques ou des activités inhabituelles. - Un langage de script propre à Bro permettant d'écrire les règles de détection et d'action - n'est pas destiné aux personnes recherchant une solution prête à l'emploi, mais plutôt à des administrateurs Snort - le système de détection d'intrusions le plus utilisé - version commerciale, plus complète en fonctions de monitoring - analyse du trafic réseau en temps réel - Snort peut détecter de nombreux types d'attaques - doté d'un langage de règles permettant de décrire le trafic qui doit être accepté ou collecté En résumé, Snort est IDS performant, évolutif et facile à utiliser, alors que le logiciel Bro, de part sa conception, favorise l innovation (nouvelles méthodes d analyse) au détriment de la de la facilité de configuration/administration. C est pourquoi nous avons opté pour le NIDS SNORT. Page 11 sur 18
Mise en place de SNORT SNORT a besoin de différents packages pour fonctionner mais aussi pour améliorer son utilisation. Plusieurs possibilités s offrent à vous mais nous vous faisons une liste et un descriptif seulement de ceux que nous avons utilisés. De nombreux logiciels permettent d optimiser les performances de SNORT, voici la liste des logiciels que nous avons sélectionnés pour la surveillance de votre réseau : - Libpcap : offre des fonctions de sniffer - Mysql : Base de données qui permet de stocker/archiver les alertes - Phpmyadmin : Permet de gérer par navigateur une base de données - BASE : application Web écrite en PHP qui interface la base de données dans laquelle Snort stocke ses alerte - Apache : serveur web supportant PHP permettant de ce servir de BASE Page 12 sur 18
PRA/PCA Analyse des risques - Humains : attaque délibérée ou maladresse de la part d un employé, ou d une personne extérieure à l entreprise. - Naturels : En cas de catastrophe naturelle, incendie des locaux, - Matériels : En cas de défaillance des serveurs ou matériel réseau Analyse d impact Financiers, humains... L impact est la durée maximale admissible d une interruption de chaque processus de l entreprise. En d autres termes, le temps maximal après lequel une ressource informatique doit avoir été remise en fonction. Développement du plan Choix des personnes qui vont s occuper du plan de reprise d activité. Ce ne sera pas forcément le PDG ou le Directeur du SI mais des employées sélectionnés qui permettra de gagner du temps pour la reprise d activité de l entreprise. Sauvegarde des données C est une donnée importante du PRA/PCA, ne pas oublié de faire un tri dans les données à sauvegarder en priorités. On ne peut pas tout sauvegarder. Page 13 sur 18
Priorité, technique Pour votre entreprise, il faut que l activité puisse être reprise assez rapidement sans perdre d argent. La mise en place d un bâtiment de secours en cas de sinistre est d une haute importance. Je peux vous donner un exemple de site de secours : Site chaud Site de secours ou l ensemble des serveurs et autres systèmes sont allumés, à jour, interconnectés, paramétrés, alimentés à partir des données sauvegardées et prêt à fonctionner. Le site doit aussi fournir l ensemble des infrastructures pour accueillir l ensemble du personnel à tout moment et permet une reprise d activité dans des délais relativement courts (quelques heures). Ce site sera équipé du même matériel réseau (switch/routeur 3com, hp, cisco) ainsi que des serveurs (Windows 2003, 2008 ou sous linux). Il est possible aussi de pouvoir utilisé d autre site de secours, qui ne sont eux par contre pas du tout à jour au niveau des serveurs ou même de l architecture. Possibilité de recourir à un site secondaire distant relier entre eux pour synchroniser les données des deux sites en quasi temps réel. La mise en place de redondance est tout aussi importante car en cas de défaillance du matériel, la mise en pace de cette redondance permet de continuer à travailler. Voici un exemple pouvant être mise en place dans votre entreprise. Doublement d alimentation des baies des serveurs Redondance des disques en faisant du RAID Redondance de serveur avec des systèmes de load balancing (répartition des requêtes) ou de hearbeat (un serveur demande régulièrement sur le réseau si son homologue est en fonctionnement, lorsque, l autre serveur ne répond pas, le serveur de secours prend le relai). Exercice et Maintenance Faire des tests de manière régulière afin d évaluer la fiabilité du PRA, former les employés en cas de sinistres ou accidents. Après avoir mis en place le PRA/PCA, il faut continuer à le développer, car votre entreprise va continuer à évoluer. Il faut continuer a faire des analyse de risques afin de faire des modifications du PRA/PCA, et à nouveau tester celui la pour voir s il est efficace. Il faut savoir que la mise en place d un PRA/PCA est un gage de sécurité pour vos assurance qui sera la pour vous en cas de sinistre. Page 14 sur 18
Matrice de risques Ce tableau est un exemple de matrice de risque : On fait une évaluation des risques par rapport à deux critères : - L impact - La probabilité de la menace, la probabilité que le risque survienne. Plus la probabilité est faible ainsi que l impact alors le risque sera faible, par contre plus la probabilité augmente plus le risque sera élevé. Page 15 sur 18
Conclusion Pour la réalisation de la maquette, nous n avons pris en compte que les grandes lignes de votre projet, supervision, et sécurité. La solution de supervision que nous vous proposons aujourd hui, répond avec précision à vos besoins. Vous pourrez désormais consulter en temps réel l évolution de vos services (DNS, DHCP ) mais aussi de vos matériels (serveurs, routeurs ) et de votre réseau, grâce à un système linux couplé à l outil Nagios et Nconf. Cependant dans un avenir proche, nous vous conseillons vivement une harmonisation de vos matériels et systèmes d exploitation. Cette démarche vous permettra en effet de simplifier considérablement d une part la supervision, mais aussi plus simplement, l administration de votre SI. La solution de sécurité mise en place et quand à elle parfaitement en phase avec vos attentes. En effet la protection du réseau via 3 couches distinctes (Firewall, NIDS, antivirus) permet de protéger hermétiquement votre réseau de l ensemble des attaques possible actuellement (attaques en provenance d internet, des attaques par virus, mais aussi des attaques par intrusion dans le réseau). Toujours dans l idée d optimiser la sécurité de votre réseau, il serait souhaitable que vous mettiez en place des serveurs redondants, les dénis de service ayant de grave conséquences sur le bon fonctionnement d une société (voir PCA). La solution mise en place par notre équipe vous permettra donc sur le long terme d économiser du temps et de l argent car le projet, une fois en route sera capable prévenir des pannes matérielles et logicielles et d empêcher toute intrusion sur votre réseau, et ainsi protéger vos donnée, et plus largement votre SI de A à Z. Page 16 sur 18
Annexes Diagramme de GANTT Planning Prévisionnel Mercredi Tache/jour Lundi 21 Mardi 22 23 Jeudi 24 Vendredi 25 Réunion début projet Comparatif supervision Comparatif IDS Reunion choix outils Installation Nagios Installation Snort Installation machine Virtuelle Installation des serveurs et services Analyse des risques Configuration Nagios Configuration Snort Configuration utilitaire Snort Installation et Configuration Nconf PCA PRA Test de configuration Test d'attaque Rapport Power Point Maquette Page 17 sur 18
Planning réel Tache/jour Lundi 21 Mardi 22 Réunion début projet Comparatif supervision Comparatif IDS Reunion choix outils Installation Nagios Installation Snort Installation machine Virtuelle Installation des serveurs et services Analyse des risques Configuration Nagios Configuration Snort Configuration utilitaire Snort Installation et Configuration Nconf PCA PRA Test de configuration Test d'attaque Rapport Power Point Maquette Mercredi 23 Jeudi 24 Vendredi 25 Page 18 sur 18