WOW !! MUCH LOVE ! SO WORLD PEACE !
Fond bitcoin pour l'amélioration du site: 1memzGeKS7CB3ECNkzSn2qHwxU6NZoJ8o
  Dogecoin (tips/pourboires): DCLoo9Dd4qECqpMLurdgGnaoqbftj16Nvp


Home | Publier un mémoire | Une page au hasard

 > 

Inspection du trafic pour la détection et la prévention d'intrusions


par Frèse YABOUI
Ecole Supérieure de Technologie et de Management (ESTM) - Licence en Téléinformatique  2018
  

précédent sommaire suivant

Bitcoin is a swarm of cyber hornets serving the goddess of wisdom, feeding on the fire of truth, exponentially growing ever smarter, faster, and stronger behind a wall of encrypted energy

2.4.5.1. Architecture

OSSEC est composé de plusieurs pièces. Il dispose d'un gestionnaire central pour la

surveillance et la réception d'informations provenant d'agents, de syslog, de bases de données et de périphériques sans agent.

2.4.5.1.1. Gestionnaire (ou serveur)

Le manager est la pièce maîtresse du déploiement OSSEC. Il stocke les bases de données de vérification de l'intégrité des fichiers, les journaux, les événements et les entrées d'audit du système. Toutes les règles, décodeurs et principales options de configuration sont stockés de manière centralisée dans le gestionnaire; ce qui facilite l'administration, même d'un grand nombre d'agents.

57

YABOUI Frèse

Inspection du trafic pour la détection et la prévention d'intrusions

Les agents se connectent au serveur sur le port 1514 / udp. La communication vers ce port doit être autorisée pour que les agents puissent communiquer avec le serveur.

Le gestionnaire peut être appelé serveur OSSEC, ou même simplement serveur dans cette documentation.

2.4.5.1.2. Agents

L'agent est un petit programme, ou un ensemble de programmes, installé sur les systèmes à surveiller. L'agent collectera les informations et les transmettra au responsable pour analyse et corrélation. Certaines informations sont collectées en temps réel, d'autres périodiquement. Par défaut, sa mémoire et son encombrement CPU sont très faibles, ce qui n'affecte pas l'utilisation du système.

Sécurité de l'agent: Il s'exécute avec un utilisateur disposant de peu de privilèges (généralement créé lors de l'installation) et dans une prison chroot isolée du système. La majeure partie de la configuration de l'agent peut être poussée du gestionnaire.

OSSEC peut uniquement être installé en tant qu'agent sur les plates-formes Microsoft Windows. Ces systèmes nécessiteront un serveur OSSEC, fonctionnant sous Linux ou un autre système de type Unix.

2.4.5.1.3. Sans agent

Pour les systèmes sur lesquels un agent ne peut pas être installé, le support sans agent

peut permettre d'effectuer des vérifications d'intégrité. Les analyses sans agent peuvent être utilisées pour surveiller les pare-feu, les routeurs et même les systèmes Unix.

2.4.5.1.4. Virtualisation / VMware

OSSEC vous permet d'installer l'agent sur les systèmes d'exploitation invités. Il peut également être installé dans certaines versions de VMWare ESX, mais cela peut entraîner des problèmes de support. Avec l'agent installé dans VMware ESX, vous pouvez recevoir des alertes sur le moment où un invité VM est installé, supprimé, démarré, etc. Il surveille également les connexions, les déconnexions et les erreurs sur le serveur ESX. En plus de cela, OSSEC effectue les vérifications CIS (Center for Internet Security) pour VMware, en avertissant si une option de configuration non sécurisée est activée ou tout autre problème.

58

YABOUI Frèse

Inspection du trafic pour la détection et la prévention d'intrusions

2.4.5.1.5. Pare-feux, commutateurs et routeurs

OSSEC peut recevoir et analyser des événements syslog provenant d'une grande variété de pare-feu, de commutateurs et de routeurs. Il prend en charge tous les routeurs Cisco, Cisco PIX, Cisco FWSM, Cisco ASA, les routeurs Juniper, le pare-feu Netscreen, Checkpoint et bien d'autres.

Figure 20.4: architecture d'OSSEC

Ce diagramme montre le gestionnaire central qui reçoit les événements des agents et les journaux système des périphériques distants. Lorsqu'un élément est détecté, les réponses actives peuvent être exécutées et l'administrateur est averti.

précédent sommaire suivant






Bitcoin is a swarm of cyber hornets serving the goddess of wisdom, feeding on the fire of truth, exponentially growing ever smarter, faster, and stronger behind a wall of encrypted energy








"Piètre disciple, qui ne surpasse pas son maitre !"   Léonard de Vinci