Analyse des logs.pdf

SECURINETS Club de la Sécurité Informatique à l’INSAT

Dans le cadre de la 3ème édition de la journée nationale de la sécurité informatique

SECURIDAY 2013 Cyber War SECURINETS

Présente Atelier : Analyse des fichiers logs

Formateurs: 1. Trabelsi NAJET 2. Souid SAWSSEN 3. Nasr AFEF 4. Ben Zineb HENDA 5.Oumaima SALHI

© Copyright 2013 - SECURINETS SECURINETS - Club de la Sécurité Informatique à l’INSAT www.securinets.com

SECURIDAY 2013 - Cyber War SECURINETS

Atelier : Analyse des fichiers logs

Date de création :27/04/2013

Table des matières

1. Présentation de l’atelier :

...................................................................................................1

2. Présentation des outils utilisés : .......................................................................................1 3. Topologie du réseau : ..........................................................................................................1 4. Configuration des outils : ...................................................................................................4 5. Un scénario de test ..............................................................................................................4 6. Conclusion: .........................................................................................................................14

© Copyright 2013 - SECURINETS - Club de la Sécurité Informatique à l’INSAT www.securinets.com

Page1

SECURIDAY 2013 - Cyber War Atelier : Analyse des fichiers logs

SECURINETS


1. Présentation de l’atelier : Les logs sont bien souvent les premiers témoins d'un événement sur un équipement du Système d’Information. Ils proviennent d'applications, de systèmes d'exploitation, d'équipements réseau ou de sécurité et sont utilisés pour détecter les failles de sécurité, les traces d'ac tivité inhabituelle ainsi que les défaillances matérielles ou logici elles. Ce sont des sources d’information qui aident les administrateurs à comprendre les origi nes d'un événement et à optimiser les systèmes

i.

Objectif :

L’objectif est d’obtenir un outil dans l equel sont paramétrées des règles de bonne pratique qui déclencheront une alerte lorsque l’analyse détectera une ac tion ou une règle non conforme.

ii.

Présentation générale de la solution adoptée :

OSSIM est un projet open source de « management de la sécurité de l’information ». Cette solution s’appuie sur une gestion des logs basés sur la corrélation de ceux- ci ainsi qu’une notion d’évaluation des risques. Cette solution est née du constat selon lequel il est difficile encore à ce jour d’obtenir un instantané de son réseau et des informations qui y transitent a vec un niveau d’abstra ction suffisant pour permettre une surveillance claire et efficace. Le but d’OSSIM est donc de c ombler se vide constaté quotidiennement par les professionnels de la sécurité.

2. Présentation des outils utilisés : iii.

Ossim :

OSSIM est une solution fédérant d’autres produits open -source au sein d’une infrastructure complète de supervision de la sécurité (framework) Le framework au sens d’OSSIM à pour o bjectif de centraliser, d’organiser et d’améli orer la détection et l’affichage pour la surveillance des évén ements liés à la sécurité du système d’information d’une entreprise. Le framewok est ainsi constitué des éléments de supervision suivants  Un panneau de contrôle Des moniteurs de supervision de l’activité et des risques.  Des moniteurs de supervision réseau et des consoles d’investigation  Les fonctionnalités d’OSSIM peuvent être représentée de manière simple et graphique en un découpage sur 9 niveaux tel que le montre le schéma suivant :


Page1




ii-Ossec :

Ossec est une application de détection d’intrusion, et plus précisément un HIDS (Host Intrusion Detection System). Il permet de surveiller l’intégrité des fichiers systèmes, aussi bien sur des postes Linux que Windows. De plus, Ossec détecte également des attaques de pirates comme les rootkits, les scans de ports, et analyse les logs du système, des applications et des services. Le logiciel propose également un système de réponses actives, c’est -à-dire d’actions à réaliser en cas d’attaque.

iii-Snort : Snort est un NIDS (Network Intrusion Detection System). Il a pour rôle d’écouter sur le réseau à la recherche d’attaques de pirates, qu’il détecte g râce à de nombreuses règles disponibles sur le site officiel, également auprès de certaines communautés comme Emerging. L’application analyse le réseau, le trafic en t emps réel, et peut logger des paquets. Les alertes sont ensuite stockées dans une base données, elles peuvent être également sous forme de logs. Snort peut aussi transmettre, notifier les évènements. Il est basé sur un système de signatures et combine donc l’analyse du trafic par signature, protocole et anomalie.

iV-Backtrack : C’est une distribution Linux, basée sur Slackware jusqu'à la version 3 et Ubuntu depuis la version 4, apparue en janvier 2010. Elle est née de la fusion de Whax et Auditor. Son objectif est de fournir une distribution regroupant l'ensemble des outils nécessaires aux tests de sécurité d'un réseau. Backtrack fournit de plus des outils de sécurité tel que le scanner de port jusq u’aux crackers de mot de passe. Il inclut plusieurs logiciels commençant par Metasploit, Nmap, Wireshark…


Page2




V-Tableau comparatif outils utilisées et autres outils :

Outils Snort

Ntop

P0F

Tcptrack

Fonctionnement -Open source -Detection d’intrusion / NIDS -Effectuer en temps réel des analyses de trafic et l’analyses de protocole -il analyse le trafic du réseau, compare ce trafic à des règles déjà définies par l’utilisateur et établi des actions à exécuter. -Open Source -Supervision du réseau -capturer et analyser les trames d'une interface donnée et observer une majeure partie des caractéristiques du trafic entrant et sortant -La sonde Ntop met en place un serveur Web permett ant le son monitoring ainsi que la sa configuration à distance. -permet de faire de la détection de systèmes d’exploitation de manière passive, par écoute du réseau. -Il analyse les trames transitant sur le réseau (le segment analyse) et les compare avec une base de données des caractéristiques de chaque OS -TCPTrack est un sniffer -détection passive de connexions TCP -Il permet l’affichage des adresses source et destination, de l’état de la connexion, du temps de connexion ainsi que de la bande passante utilisée.

3. Topologie du réseau : i.

Architecture :

Notre architecture est basée sur un NIDS Snort et un HIDS Ossec.


Page3



ii.


Environnement technique :

Au niveau de l’environnement de test, notre architecture est composée de trois machines :   

Serveur OSSIM Machine Windows sur laquelle on a installé un agent Ossec Machine Ubuntu sur laquelle on a installé un agent Snort

4. Configuration des outils : i.

Installation d’OSSIM :

1) Télécharger le support d'installation : Vous pouvez télécharger la dernière version d’AlienVault OSSIM dehttp://communities.alienvault.com 2) Démarrez le système d'installation et sélectionnez l e mode "Installation automatique"

3) A ce stade, vous devrez configurer votre carte réseau. Vous devez utiliser une adresse IP avec accès à Internet pendant le processus d'installation. Cette adresse IP sera utilisée par l'interface de gestion. Entrez l'adresse IP et cliquez sur "Continuer". © Copyright 2013 - SECURINETS - Club de la Sécurité Informatique à l’INSAT www.securinets.com

Page4




5) Entrez le masque de réseau et cliquez sur "Continuer". En cas de doute laissez la valeur par défaut de 255.255.255.0. 6) Entrez l'adresse IP de la passerelle par défaut et cliquez sur "Continuer".

7) Partitionnement de disque : Sélectionnez « Guided: Use entiredisk »et cliquez sur "Continuer".

8) Entrez le mot de passe du root et cliquez sur "Continuer". 9) une fois que l’installation est terminée, vous entrez votre login et votre mot de passe pour accéder à OSSIM :


Page5




10) Maintenant, on active les plugins OSSIM en utilisant la commande :

Sélectionner les plugins dont vous voulez les activés :


Page6




Pour activer ces plugins il faut choisir l’option « Save & Exit »

10) Pour ouvrir l’interface graphique, tapez l’adresse IP (192.168.1.3) dans le navigateur :

11) Entrez User=admin et Paswword=admin et voici l’interface graphique d’OSSIM :


Page7



ii.


Installation d’un agent OSSEC :

Dans l’interface graphique d’OSSIM, vous cliquez sur Analysis DetectionHIDS Agents Vous allez ajouter un nouvel agent :

On configure l’agent ossim en effectuant des modifications sur son fi chier /etc/ossim/agent/config.cfg

Vous allez installer sur votre machine Windows, un agent en utilisant le logiciel Manage OSSEC.


Page8




Ensuite, vous allez taper l’adresse IP du serveur et l a clé d’authentification : La clé se trouve dans l’ACTIONS du Client2, comme la montre la figure ci -dessous :

iii.

Installation d’un agent Snort :

Sur la machine ubuntu on installe l’agent Snort à l’aide de la commande suivante : Apt-get install snort

5. Un scenario de test: Pour le scénario d’attaque on va utiliser BackTrack : metasploit i.

Architecture :


Page9




On ajoute les machines sur Ossim :

ii.

BackTrack :

1) Tout d’abord, on fait un scan sur la machine cible : Windows : afin de savoir les ports ouverts


Page10




2) Ensuite, on utilise la commande search exploits windows: qui permet de trouver les exploits de la machine cible

3) On choisit l'exploit windows/smb/ms04_07_killbill

4) Il est possible d'avoir des informations sur cet exploit avec la commande info.


Page11




5) Maintenant il faut choisir le payload que l'on va utiliser. Les payloads disponibles pour cet exploit se trouvent avec la commande show payloads. Une multitude de payloads existent pour cet exploit, je n'en ai donc affiché que quelques uns. La sélection du payload se fait via la commande set PAYLOAD payload_a_utiliser . Enfin comme pour les exploits, les payloads nécessitent parfois une configuration que l'on peut toujours voir avec la commande show options.

6) Le payload windows/vcinject/reverse_tcp ne va pas ouvrir un port sur la machine victime mais va faire une connexion TCP sur l'adresse IP de la machine qui sera pointée par la variable LHOST (la machine qui utilise metasploit). Donc plutôt que la machine metasploit initie la connexion vers la machine victime, c'est la machine victime qui va initier la connexion vers la machine metasploit. Beaucoup plus pratique pour exploiter une machine qui se trouverait derrière un NAT ou un firewall

7) Chaque exploit peut nécessiter une configuration, qu'il est possible de voir avec la commande show options. Ici la variable RHOST doit être précisée. Elle représente l'adresse IP de la machine victime. Les autres variables ont des val eurs par défaut et peuvent être modifiées si besoin. © Copyright 2013 - SECURINETS - Club de la Sécurité Informatique à l’INSAT www.securinets.com

Page12




8) la machine victime a une adresse IP : 192.168.1.5

Avec :

Rhost :adresse de la machine victime Lhost :adresse de la machine attaquante

9) Comme on peut le remarquer, l'exploit a fonctionné .Le payload windows/vcinject/bind_tcp a ouvert le port 4444 sur la machine victime, et metasploit c'est automatiquement connecté dessus.


Page13




On visualise dans le serveur ossim les détails de l’événement :

6. Conclusion: Ossim est outil très fiable au niveau de l’administration du système d’information. Il permet de détecter et analyser les attaques et les menaces à son réseau et hosts.


Page14




Bibliographie : Source : http://wiki.monitoring-fr.org http://www.philippe-martinet.info/ossim


Page15

Analyse des logs.pdf

Recommend Documents