SECURINETS Club de la Sécurité Informatique à l’INSAT
Dans le cadre de la 3ème édition de la journée nationale de la sécurité informatique
SECURIDAY 2013 Cyber War SECURINETS
Présente Atelier : Analyse des fichiers logs
Formateurs: 1. Trabelsi NAJET 2. Souid SAWSSEN 3. Nasr AFEF 4. Ben Zineb HENDA 5.Oumaima SALHI
© Copyright 2013 - SECURINETS SECURINETS - Club de la Sécurité Informatique à l’INSAT www.securinets.com
SECURIDAY 2013 - Cyber War SECURINETS
Atelier : Analyse des fichiers logs
Date de création :27/04/2013
Table des matières
1. Présentation de l’atelier :
...................................................................................................1
2. Présentation des outils utilisés : .......................................................................................1 3. Topologie du réseau : ..........................................................................................................1 4. Configuration des outils : ...................................................................................................4 5. Un scénario de test ..............................................................................................................4 6. Conclusion: .........................................................................................................................14
© Copyright 2013 - SECURINETS - Club de la Sécurité Informatique à l’INSAT www.securinets.com
Page1
SECURIDAY 2013 - Cyber War Atelier : Analyse des fichiers logs
SECURINETS
Date de création :27/04/2013
1. Présentation de l’atelier : Les logs sont bien souvent les premiers témoins d'un événement sur un équipement du Système d’Information. Ils proviennent d'applications, de systèmes d'exploitation, d'équipements réseau ou de sécurité et sont utilisés pour détecter les failles de sécurité, les traces d'ac tivité inhabituelle ainsi que les défaillances matérielles ou logici elles. Ce sont des sources d’information qui aident les administrateurs à comprendre les origi nes d'un événement et à optimiser les systèmes
i.
Objectif :
L’objectif est d’obtenir un outil dans l equel sont paramétrées des règles de bonne pratique qui déclencheront une alerte lorsque l’analyse détectera une ac tion ou une règle non conforme.
ii.
Présentation générale de la solution adoptée :
OSSIM est un projet open source de « management de la sécurité de l’information ». Cette solution s’appuie sur une gestion des logs basés sur la corrélation de ceux- ci ainsi qu’une notion d’évaluation des risques. Cette solution est née du constat selon lequel il est difficile encore à ce jour d’obtenir un instantané de son réseau et des informations qui y transitent a vec un niveau d’abstra ction suffisant pour permettre une surveillance claire et efficace. Le but d’OSSIM est donc de c ombler se vide constaté quotidiennement par les professionnels de la sécurité.
2. Présentation des outils utilisés : iii.
Ossim :
OSSIM est une solution fédérant d’autres produits open -source au sein d’une infrastructure complète de supervision de la sécurité (framework) Le framework au sens d’OSSIM à pour o bjectif de centraliser, d’organiser et d’améli orer la détection et l’affichage pour la surveillance des évén ements liés à la sécurité du système d’information d’une entreprise. Le framewok est ainsi constitué des éléments de supervision suivants Un panneau de contrôle Des moniteurs de supervision de l’activité et des risques. Des moniteurs de supervision réseau et des consoles d’investigation Les fonctionnalités d’OSSIM peuvent être représentée de manière simple et graphique en un découpage sur 9 niveaux tel que le montre le schéma suivant :
© Copyright 2013 - SECURINETS - Club de la Sécurité Informatique à l’INSAT www.securinets.com
Page1
SECURIDAY 2013 - Cyber War SECURINETS
Atelier : Analyse des fichiers logs
Date de création :27/04/2013
ii-Ossec :
Ossec est une application de détection d’intrusion, et plus précisément un HIDS (Host Intrusion Detection System). Il permet de surveiller l’intégrité des fichiers systèmes, aussi bien sur des postes Linux que Windows. De plus, Ossec détecte également des attaques de pirates comme les rootkits, les scans de ports, et analyse les logs du système, des applications et des services. Le logiciel propose également un système de réponses actives, c’est -à-dire d’actions à réaliser en cas d’attaque.
iii-Snort : Snort est un NIDS (Network Intrusion Detection System). Il a pour rôle d’écouter sur le réseau à la recherche d’attaques de pirates, qu’il détecte g râce à de nombreuses règles disponibles sur le site officiel, également auprès de certaines communautés comme Emerging. L’application analyse le réseau, le trafic en t emps réel, et peut logger des paquets. Les alertes sont ensuite stockées dans une base données, elles peuvent être également sous forme de logs. Snort peut aussi transmettre, notifier les évènements. Il est basé sur un système de signatures et combine donc l’analyse du trafic par signature, protocole et anomalie.
iV-Backtrack : C’est une distribution Linux, basée sur Slackware jusqu'à la version 3 et Ubuntu depuis la version 4, apparue en janvier 2010. Elle est née de la fusion de Whax et Auditor. Son objectif est de fournir une distribution regroupant l'ensemble des outils nécessaires aux tests de sécurité d'un réseau. Backtrack fournit de plus des outils de sécurité tel que le scanner de port jusq u’aux crackers de mot de passe. Il inclut plusieurs logiciels commençant par Metasploit, Nmap, Wireshark…
© Copyright 2013 - SECURINETS - Club de la Sécurité Informatique à l’INSAT www.securinets.com
Page2
SECURIDAY 2013 - Cyber War SECURINETS
Atelier : Analyse des fichiers logs
Date de création :27/04/2013
V-Tableau comparatif outils utilisées et autres outils :
Outils Snort
Ntop
P0F
Tcptrack
Fonctionnement -Open source -Detection d’intrusion / NIDS -Effectuer en temps réel des analyses de trafic et l’analyses de protocole -il analyse le trafic du réseau, compare ce trafic à des règles déjà définies par l’utilisateur et établi des actions à exécuter. -Open Source -Supervision du réseau -capturer et analyser les trames d'une interface donnée et observer une majeure partie des caractéristiques du trafic entrant et sortant -La sonde Ntop met en place un serveur Web permett ant le son monitoring ainsi que la sa configuration à distance. -permet de faire de la détection de systèmes d’exploitation de manière passive, par écoute du réseau. -Il analyse les trames transitant sur le réseau (le segment analyse) et les compare avec une base de données des caractéristiques de chaque OS -TCPTrack est un sniffer -détection passive de connexions TCP -Il permet l’affichage des adresses source et destination, de l’état de la connexion, du temps de connexion ainsi que de la bande passante utilisée.
3. Topologie du réseau : i.
Architecture :
Notre architecture est basée sur un NIDS Snort et un HIDS Ossec.
© Copyright 2013 - SECURINETS - Club de la Sécurité Informatique à l’INSAT www.securinets.com
Page3
SECURIDAY 2013 - Cyber War SECURINETS
Atelier : Analyse des fichiers logs
ii.
Date de création :27/04/2013
Environnement technique :
Au niveau de l’environnement de test, notre architecture est composée de trois machines :
Serveur OSSIM Machine Windows sur laquelle on a installé un agent Ossec Machine Ubuntu sur laquelle on a installé un agent Snort
4. Configuration des outils : i.
Installation d’OSSIM :
1) Télécharger le support d'installation : Vous pouvez télécharger la dernière version d’AlienVault OSSIM dehttp://communities.alienvault.com 2) Démarrez le système d'installation et sélectionnez l e mode "Installation automatique"
3) A ce stade, vous devrez configurer votre carte réseau. Vous devez utiliser une adresse IP avec accès à Internet pendant le processus d'installation. Cette adresse IP sera utilisée par l'interface de gestion. Entrez l'adresse IP et cliquez sur "Continuer". © Copyright 2013 - SECURINETS - Club de la Sécurité Informatique à l’INSAT www.securinets.com
Page4
SECURIDAY 2013 - Cyber War SECURINETS
Atelier : Analyse des fichiers logs
Date de création :27/04/2013
5) Entrez le masque de réseau et cliquez sur "Continuer". En cas de doute laissez la valeur par défaut de 255.255.255.0. 6) Entrez l'adresse IP de la passerelle par défaut et cliquez sur "Continuer".
7) Partitionnement de disque : Sélectionnez « Guided: Use entiredisk »et cliquez sur "Continuer".
8) Entrez le mot de passe du root et cliquez sur "Continuer". 9) une fois que l’installation est terminée, vous entrez votre login et votre mot de passe pour accéder à OSSIM :
© Copyright 2013 - SECURINETS - Club de la Sécurité Informatique à l’INSAT www.securinets.com
Page5
SECURIDAY 2013 - Cyber War SECURINETS
Atelier : Analyse des fichiers logs
Date de création :27/04/2013
10) Maintenant, on active les plugins OSSIM en utilisant la commande :
Sélectionner les plugins dont vous voulez les activés :
© Copyright 2013 - SECURINETS - Club de la Sécurité Informatique à l’INSAT www.securinets.com
Page6
SECURIDAY 2013 - Cyber War SECURINETS
Atelier : Analyse des fichiers logs
Date de création :27/04/2013
Pour activer ces plugins il faut choisir l’option « Save & Exit »
10) Pour ouvrir l’interface graphique, tapez l’adresse IP (192.168.1.3) dans le navigateur :
11) Entrez User=admin et Paswword=admin et voici l’interface graphique d’OSSIM :
© Copyright 2013 - SECURINETS - Club de la Sécurité Informatique à l’INSAT www.securinets.com
Page7
SECURIDAY 2013 - Cyber War SECURINETS
Atelier : Analyse des fichiers logs
ii.
Date de création :27/04/2013
Installation d’un agent OSSEC :
Dans l’interface graphique d’OSSIM, vous cliquez sur Analysis DetectionHIDS Agents Vous allez ajouter un nouvel agent :
On configure l’agent ossim en effectuant des modifications sur son fi chier /etc/ossim/agent/config.cfg
Vous allez installer sur votre machine Windows, un agent en utilisant le logiciel Manage OSSEC.
© Copyright 2013 - SECURINETS - Club de la Sécurité Informatique à l’INSAT www.securinets.com
Page8
SECURIDAY 2013 - Cyber War SECURINETS
Atelier : Analyse des fichiers logs
Date de création :27/04/2013
Ensuite, vous allez taper l’adresse IP du serveur et l a clé d’authentification : La clé se trouve dans l’ACTIONS du Client2, comme la montre la figure ci -dessous :
iii.
Installation d’un agent Snort :
Sur la machine ubuntu on installe l’agent Snort à l’aide de la commande suivante : Apt-get install snort
5. Un scenario de test: Pour le scénario d’attaque on va utiliser BackTrack : metasploit i.
Architecture :
© Copyright 2013 - SECURINETS - Club de la Sécurité Informatique à l’INSAT www.securinets.com
Page9
SECURIDAY 2013 - Cyber War SECURINETS
Atelier : Analyse des fichiers logs
Date de création :27/04/2013
On ajoute les machines sur Ossim :
ii.
BackTrack :
1) Tout d’abord, on fait un scan sur la machine cible : Windows : afin de savoir les ports ouverts
© Copyright 2013 - SECURINETS - Club de la Sécurité Informatique à l’INSAT www.securinets.com
Page10
SECURIDAY 2013 - Cyber War SECURINETS
Atelier : Analyse des fichiers logs
Date de création :27/04/2013
2) Ensuite, on utilise la commande search exploits windows: qui permet de trouver les exploits de la machine cible
3) On choisit l'exploit windows/smb/ms04_07_killbill
4) Il est possible d'avoir des informations sur cet exploit avec la commande info.
© Copyright 2013 - SECURINETS - Club de la Sécurité Informatique à l’INSAT www.securinets.com
Page11
SECURIDAY 2013 - Cyber War SECURINETS
Atelier : Analyse des fichiers logs
Date de création :27/04/2013
5) Maintenant il faut choisir le payload que l'on va utiliser. Les payloads disponibles pour cet exploit se trouvent avec la commande show payloads. Une multitude de payloads existent pour cet exploit, je n'en ai donc affiché que quelques uns. La sélection du payload se fait via la commande set PAYLOAD payload_a_utiliser . Enfin comme pour les exploits, les payloads nécessitent parfois une configuration que l'on peut toujours voir avec la commande show options.
6) Le payload windows/vcinject/reverse_tcp ne va pas ouvrir un port sur la machine victime mais va faire une connexion TCP sur l'adresse IP de la machine qui sera pointée par la variable LHOST (la machine qui utilise metasploit). Donc plutôt que la machine metasploit initie la connexion vers la machine victime, c'est la machine victime qui va initier la connexion vers la machine metasploit. Beaucoup plus pratique pour exploiter une machine qui se trouverait derrière un NAT ou un firewall
7) Chaque exploit peut nécessiter une configuration, qu'il est possible de voir avec la commande show options. Ici la variable RHOST doit être précisée. Elle représente l'adresse IP de la machine victime. Les autres variables ont des val eurs par défaut et peuvent être modifiées si besoin. © Copyright 2013 - SECURINETS - Club de la Sécurité Informatique à l’INSAT www.securinets.com
Page12
SECURIDAY 2013 - Cyber War SECURINETS
Atelier : Analyse des fichiers logs
Date de création :27/04/2013
8) la machine victime a une adresse IP : 192.168.1.5
Avec :
Rhost :adresse de la machine victime Lhost :adresse de la machine attaquante
9) Comme on peut le remarquer, l'exploit a fonctionné .Le payload windows/vcinject/bind_tcp a ouvert le port 4444 sur la machine victime, et metasploit c'est automatiquement connecté dessus.
© Copyright 2013 - SECURINETS - Club de la Sécurité Informatique à l’INSAT www.securinets.com
Page13
SECURIDAY 2013 - Cyber War SECURINETS
Atelier : Analyse des fichiers logs
Date de création :27/04/2013
On visualise dans le serveur ossim les détails de l’événement :
6. Conclusion: Ossim est outil très fiable au niveau de l’administration du système d’information. Il permet de détecter et analyser les attaques et les menaces à son réseau et hosts.
© Copyright 2013 - SECURINETS - Club de la Sécurité Informatique à l’INSAT www.securinets.com
Page14
SECURIDAY 2013 - Cyber War SECURINETS
Atelier : Analyse des fichiers logs
Date de création :27/04/2013
Bibliographie : Source : http://wiki.monitoring-fr.org http://www.philippe-martinet.info/ossim
© Copyright 2013 - SECURINETS - Club de la Sécurité Informatique à l’INSAT www.securinets.com
Page15