SECURIDAY 2013 Cyber War



Documents pareils
Formation en Sécurité Informatique

Atelier Pivoting KHOULOUD GATTOUSSI (RT3) ASMA LAHBIB (RT3) KHAOULA BLEL (RT3) KARIMA MAALAOUI (RT3)

SECURIDAY 2012 Pro Edition

SECURIDAY 2012 Pro Edition

LINUX - Sécurité. Déroulé de l'action. - 3 jours - Contenu de formation

Serveur FTP. 20 décembre. Windows Server 2008R2

COMMENT AUTORISER LES PARTAGES RESEAUX ET IMPRIMANTE SOUS L ANTIVIRUS FIREWALL V3

SECURINETS CLUB DE LA SECURITE INFORMATIQUE INSAT. SECURIDAY 2012 Pro Edition [Investigation :Digital Forensics]

THEGREENBOW FIREWALL DISTRIBUE TGB::BOB! Pro. Spécifications techniques

Système Principal (hôte) 2008 Enterprise x64

Procédure pas à pas de découverte de l offre. Service Cloud Cloudwatt

PPE GESTION PARC INFORMATIQUE

Capture, Filtrage et Analyse de trames ETHERNET avec le logiciel Wireshark. Etape 1 : Lancement des machines virtuelles VMWARE et de Wireshark

Network Shutdown Module V3 Extension du Manuel Utilisateur pour architecture Virtualisée Virtual Server de Microsoft

Installation d'un serveur DHCP sous Windows 2000 Serveur

Pour configurer le Hitachi Tecom AH4021 afin d'ouvrir les ports pour "chatserv.exe", vous devez suivre la proc

Retour d expérience sur Prelude

Cloud public d Ikoula Documentation de prise en main 2.0

SECURIDAY 2012 Pro Edition

VoIP Sniffing IHSEN BEN SALAH (GL 3) MAHMOUD MAHDI (GL 3) MARIEM JBELI (RT 2) SAFA GALLAH (RT 3) SALAH KHEMIRI (RT 3) YOUSSEF BEN DHIAF (GL 3)

Fonctionnement Kiwi Syslog + WhatsUP Gold

Symantec Protection Suite Enterprise Edition Protection éprouvée pour les terminaux, la messagerie et les environnements Web

Contrôle de la DreamBox à travers un canal SSH

TAGREROUT Seyf Allah TMRIM

1/ Introduction. 2/ Schéma du réseau

Figure 1a. Réseau intranet avec pare feu et NAT.

Table des matières. Date : Version : 29/06/ Objet : OpenVas 6.0

Test d un système de détection d intrusions réseaux (NIDS)

Documentation FOG. 3. Choisir le nom de la machine, le nom d utilisateur et le mot de passe correspondant (par exemple : fog, password)

IPS : Corrélation de vulnérabilités et Prévention des menaces

Topologies et Outils d Alertesd

En ce moment (24/01/2014), Super bon plan: Micro Serveur HP Proliant G7 N54L à 159 ttc Plus d'informations sur dealabs.com

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant.

Tutoriel d'introduction à TOR. v 1.0

Ces deux machines virtuelles seront installées sous VMWARE WORKSTATION.

GUIDE D INSTALLATION DE FIREWALL OPEN SOURCE

Administration Réseau sous Ubuntu SERVER Serveur DHCP

Linux. Sécuriser un réseau. 3 e édition. l Admin. Cahiers. Bernard Boutherin Benoit Delaunay. Collection dirigée par Nat Makarévitch

Assistance à distance sous Windows

2 - VMWARE SERVER.doc

Cours LG : Administration de réseaux et sécurité informatique. Dans les Paramètres Système onglet Processeur, le bouton "Activer PAE/NX"

Le meilleur de l'open source dans votre cyber cafe

UltraVNC, UltraVNC SC réglages et configurations

Sécurisation du réseau

NetCrunch 6. Superviser

Table des matières. Avant-propos... Préface... XIII. Remerciements...

Principaux utilisateurs du Réseau

Network Shutdown Module V3 Extension du Manuel Utilisateur pour architecture Virtualisée VMWare ESX Server

MSP Center Plus. Vue du Produit

Mettre en place un accès sécurisé à travers Internet

11/04/2014 Document Technique des Services Disponibles. 16/04/2014. Document Technique des Services Disponibles.

Installation des caméras IP

Présentation, mise en place, et administration d'ocs Inventory et de GLPI

Comment utiliser mon compte alumni?

Guide SQL Server 2008 pour HYSAS

Situation professionnelle n X

Début de la procédure

Configuration Routeur DSL pour Xbox LIVE ou PlayStation-Network

BTS SIO Dossier BTS. PURCHLA Romain

SYSTEME DE GESTION DES ENERGIES EWTS EMBEDDED WIRELESS TELEMETRY SYSTEM

Réalisation d un portail captif d accès authentifié à Internet

Serveur de messagerie sous Debian 5.0

Network Shutdown Module V3 Extension du Manuel Utilisateur pour architecture Virtualisée VMWare ESX Server 3, 3.5

ETI/Domo. Français. ETI-Domo Config FR

Chapitre 02. Configuration et Installation

FreeNAS Shere. Par THOREZ Nicolas

Guide d installation

Tutoriel sur Retina Network Security Scanner

Surveillance stratégique des programmes malveillants avec Nessus, PVS et LCE

Les possibilités de paramétrage réseau des logiciels de virtualisation sont les suivantes quant à la connexion réseau :

Utilisation des ressources informatiques de l N7 à distance

Pilote KIP certifié pour AutoCAD. Guide de l utilisateur État de l imprimante KIP

Accès aux ressources informatiques de l ENSEEIHT à distance

PROCEDURE ESX & DHCP LINUX

SnomOne / Cloud OpenIP

PACK SKeeper Multi = 1 SKeeper et des SKubes

SECURIDAY 2013 Cyber War

INSTALLER JOOMLA! POUR UN HEBERGEMENT LINUX

MISE EN PLACE DU FIREWALL SHOREWALL

Sécurité et Firewall

Welcome. Bienvenue. Willkommen. welkom. yôkoso. Benvenuto. Bienvenida. tervetuloa

Table des matières 1. Chapitre 1 Introduction à Nagios et la supervision

Installation de Windows 2000 Serveur

Raccordement desmachines Windows 7 à SCRIBE

But de cette présentation

Firewall. Souvent les routeurs incluent une fonction firewall qui permet une première sécurité pour le réseau.

Backup Exec 2014 Management Pack for Microsoft SCOM. - Guide de l'utilisateur

Gestionnaire des services Internet (IIS)

Nmap (Network Mapper) Outil d exploration réseau et scanneur de ports/sécurité

avast! EP: Installer avast! Small Office Administration

CONFIGURATION IP. HESTIA FRANCE S.A.S 2, rue du Zécart TEMPLEUVE +33 (0) (0) Site internet:

Outils d'analyse de la sécurité des réseaux. HADJALI Anis VESA Vlad

SCHMITT Année 2012/2014 Cédric BTS SIO TP SPICEWORKS. SpiceWorks propose un logiciel de gestion de parc informatique aux multiples facettes :

Date : NOM Prénom : TP n /5 DISTANT : CONCEPTS ET DIFFÉRENCES

SOMMAIRE. 01_Installation ESXi Serveur HP.doc. Chapitre 1 Installation ESXi 5.1 2

Arkoon Security Appliances Fast 360

ANSSI PROCEDURES DE REPORTING DES INCIDENTS AVEC LE CIRT RÔLES DES PARTIES PRENANTES 15/02/2014. SEMINAIRE DE Joly Hôtel

INTRUSION SUR INTERNET

Transcription:

Club de la Sécurité Informatique à l INSAT Dans le cadre de la 3ème édition de la journée nationale de la sécurité informatique SECURIDAY 2013 Cyber War SECURINETS Présente Formateurs: 1. Trabelsi NAJET 2. Souid SAWSSEN 3. Nasr AFEF 4. Ben Zineb HENDA 5.Oumaima SALHI

Table des matières 1. Présentation de l atelier :...1 2. Présentation des outils utilisés :...1 3. Topologie du réseau :...1 4. Configuration des outils :...4 5. Un scénario de test...4 6. Conclusion:... 14 Page1

1. Présentation de l atelier : Les logs sont bien souvent les premiers témoins d'un événement sur un équipement du Système d Information. Ils proviennent d'applications, de systèmes d'exploitation, d'équipements réseau ou de sécurité et sont utilisés pour détecter les failles de sécurité, les traces d'activité inhabituelle ainsi que les défaillances matérielles ou logicielles. Ce sont des sources d information qui aident les administrateurs à comprendre les origines d'un événement et à optimiser les systèmes i. Objectif : L objectif est d obtenir un outil dans lequel sont paramétrées des règles de bonne pratique qui déclencheront une alerte lorsque l analyse détectera une action ou une règle non conforme. ii. Présentation générale de la solution adoptée : OSSIM est un projet open source de «management de la sécurité de l information». Cette solution s appuie sur une gestion des logs basés sur la corrélation de ceux-ci ainsi qu une notion d évaluation des risques. Cette solution est née du constat selon lequel il est difficile encore à ce jour d obtenir un instantané de son réseau et des informations qui y transitent avec un niveau d abstraction suffisant pour permettre une surveillance claire et efficace. Le but d OSSIM est donc de combler se vide constaté quotidiennement par les professionnels de la sécurité. 2. Présentation des outils utilisés : iii. Ossim : OSSIM est une solution fédérant d autres produits open-source au sein d une infrastructure complète de supervision de la sécurité (framework) Le framework au sens d OSSIM à pour objectif de centraliser, d organiser et d améliorer la détection et l affichage pour la surveillance des événements liés à la sécurité du système d information d une entreprise. Le framewok est ainsi constitué des éléments de supervision suivants Un panneau de contrôle Des moniteurs de supervision de l activité et des risques. Des moniteurs de supervision réseau et des consoles d investigation Les fonctionnalités d OSSIM peuvent être représentée de manière simple et graphique en un découpage sur 9 niveaux tel que le montre le schéma suivant : Page1

ii-ossec : Ossec est une application de détection d intrusion, et plus précisément un HIDS (Host Intrusion Detection System). Il permet de surveiller l intégrité des fichiers systèmes, aussi bien sur des postes Linux que Windows. De plus, Ossec détecte également des attaques de pirates comme les rootkits, les scans de ports, et analyse les logs du système, des applications et des services. Le logiciel propose également un système de réponses actives, c est-à-dire d actions à réaliser en cas d attaque. iii-snort : Snort est un NIDS (Network Intrusion Detection System). Il a pour rôle d écouter sur le réseau à la recherche d attaques de pirates, qu il détecte grâce à de nombreuses règles disponibles sur le site officiel, également auprès de certaines communautés comme Emerging. L application analyse le réseau, le trafic en temps réel, et peut logger des paquets. Les alertes sont ensuite stockées dans une base données, elles peuvent être également sous forme de logs. Snort peut aussi transmettre, notifier les évènements. Il est basé sur un système de signatures et combine donc l analyse du trafic par signature, protocole et anomalie. iv-backtrack : C est une distribution Linux, basée sur Slackware jusqu'à la version 3 et Ubuntu depuis la version 4, apparue en janvier 2010. Elle est née de la fusion de Whax et Auditor. Son objectif est de fournir une distribution regroupant l'ensemble des outils nécessaires aux tests de sécurité d'un réseau. Backtrack fournit de plus des outils de sécurité tel que le scanner de port jusqu aux crackers de mot de passe. Il inclut plusieurs logiciels commençant par Metasploit, Nmap, Wireshark Page2

V-Tableau comparatif outils utilisées et autres outils : Outils Snort Ntop P0F Tcptrack Fonctionnement -Open source -Detection d intrusion / NIDS -Effectuer en temps réel des analyses de trafic et l analyses de protocole -il analyse le trafic du réseau, compare ce trafic à des règles déjà définies par l utilisateur et établi des actions à exécuter. -Open Source -Supervision du réseau -capturer et analyser les trames d'une interface donnée et observer une majeure partie des caractéristiques du trafic entrant et sortant -La sonde Ntop met en place un serveur Web permettant le son monitoring ainsi que la sa configuration à distance. -permet de faire de la détection de systèmes d exploitation de manière passive, par écoute du réseau. -Il analyse les trames transitant sur le réseau (le segment analyse) et les compare avec une base de données des caractéristiques de chaque OS -TCPTrack est un sniffer -détection passive de connexions TCP -Il permet l affichage des adresses source et destination, de l état de la connexion, du temps de connexion ainsi que de la bande passante utilisée. 3. Topologie du réseau : i. Architecture : Notre architecture est basée sur un NIDS Snort et un HIDS Ossec. Page3

ii. Environnement technique : Au niveau de l environnement de test, notre architecture est composée de trois machines : Serveur OSSIM Machine Windows sur laquelle on a installé un agent Ossec Machine Ubuntu sur laquelle on a installé un agent Snort 4. Configuration des outils : i. Installation d OSSIM : 1) Télécharger le support d'installation : Vous pouvez télécharger la dernière version d AlienVault OSSIM dehttp://communities.alienvault.com 2) Démarrez le système d'installation et sélectionnez le mode "Installation automatique" 3) A ce stade, vous devrez configurer votre carte réseau. Vous devez utiliser une adresse IP avec accès à Internet pendant le processus d'installation. Cette adresse IP sera utilisée par l'interface de gestion. Entrez l'adresse IP et cliquez sur "Continuer". Page4

5) Entrez le masque de réseau et cliquez sur "Continuer". En cas de doute laissez la valeur par défaut de 255.255.255.0. 6) Entrez l'adresse IP de la passerelle par défaut et cliquez sur "Continuer". 7) Partitionnement de disque : Sélectionnez «Guided: Use entiredisk»et cliquez sur "Continuer". 8) Entrez le mot de passe du root et cliquez sur "Continuer". 9) une fois que l installation est terminée, vous entrez votre login et votre mot de passe pour accéder à OSSIM : Page5

10) Maintenant, on active les plugins OSSIM en utilisant la commande : Sélectionner les plugins dont vous voulez les activés : Page6

Pour activer ces plugins il faut choisir l option «Save & Exit» 10) Pour ouvrir l interface graphique, tapez l adresse IP (192.168.1.3) dans le navigateur : 11) Entrez User=admin et Paswword=admin et voici l interface graphique d OSSIM : Page7

ii. Installation d un agent OSSEC : Dans l interface graphique d OSSIM, vous cliquez sur Analysis Detection HIDS Agents Vous allez ajouter un nouvel agent : On configure l agent ossim en effectuant des modifications sur son fichier /etc/ossim/agent/config.cfg Vous allez installer sur votre machine Windows, un agent en utilisant le logiciel Manage OSSEC. Page8

Ensuite, vous allez taper l adresse IP du serveur et la clé d authentification : La clé se trouve dans l ACTIONS du Client2, comme la montre la figure ci-dessous : iii. Installation d un agent Snort : Sur la machine ubuntu on installe l agent Snort à l aide de la commande suivante : Apt-get install snort 5. Un scenario de test: Pour le scénario d attaque on va utiliser BackTrack : metasploit i. Architecture : Page9

On ajoute les machines sur Ossim : ii. BackTrack : 1) Tout d abord, on fait un scan sur la machine cible : Windows : afin de savoir les ports ouverts Page10

2) Ensuite, on utilise la commande search exploits windows: qui permet de trouver les exploits de la machine cible 3) On choisit l'exploit windows/smb/ms04_07_killbill 4) Il est possible d'avoir des informations sur cet exploit avec la commande info. Page11

5) Maintenant il faut choisir le payload que l'on va utiliser. Les payloads disponibles pour cet exploit se trouvent avec la commande show payloads. Une multitude de payloads existent pour cet exploit, je n'en ai donc affiché que quelques uns. La sélection du payload se fait via la commande set PAYLOAD payload_a_utiliser. Enfin comme pour les exploits, les payloads nécessitent parfois une configuration que l'on peut toujours voir avec la commande show options. 6) Le payload windows/vcinject/reverse_tcp ne va pas ouvrir un port sur la machine victime mais va faire une connexion TCP sur l'adresse IP de la machine qui sera pointée par la variable LHOST (la machine qui utilise metasploit). Donc plutôt que la machine metasploit initie la connexion vers la machine victime, c'est la machine victime qui va initier la connexion vers la machine metasploit. Beaucoup plus pratique pour exploiter une machine qui se trouverait derrière un NAT ou un firewall 7) Chaque exploit peut nécessiter une configuration, qu'il est possible de voir avec la commande show options. Ici la variable RHOST doit être précisée. Elle représente l'adresse IP de la machine victime. Les autres variables ont des valeurs par défaut et peuvent être modifiées si besoin. Page12

8) la machine victime a une adresse IP : 192.168.1.5 Avec : Rhost :adresse de la machine victime Lhost :adresse de la machine attaquante 9) Comme on peut le remarquer, l'exploit a fonctionné.le payload windows/vcinject/bind_tcp a ouvert le port 4444 sur la machine victime, et metasploit c'est automatiquement connecté dessus. Page13

On visualise dans le serveur ossim les détails de l événement : 6. Conclusion: Ossim est outil très fiable au niveau de l administration du système d information. Il permet de détecter et analyser les attaques et les menaces à son réseau et hosts. Page14

Bibliographie : Source : http://wiki.monitoring-fr.org http://www.philippe-martinet.info/ossim Page15

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back