WOW !! MUCH LOVE ! SO WORLD PEACE !
Fond bitcoin pour l'amélioration du site: 1memzGeKS7CB3ECNkzSn2qHwxU6NZoJ8o
  Dogecoin (tips/pourboires): DCLoo9Dd4qECqpMLurdgGnaoqbftj16Nvp


Home | Publier un mémoire | Une page au hasard

 > 

Inspection du trafic pour la détection et la prévention d'intrusions


par Frèse YABOUI
Ecole Supérieure de Technologie et de Management (ESTM) - Licence en Téléinformatique  2018
  

précédent sommaire suivant

Bitcoin is a swarm of cyber hornets serving the goddess of wisdom, feeding on the fire of truth, exponentially growing ever smarter, faster, and stronger behind a wall of encrypted energy

3.6.5. Installation de B.A.S.E

Installez d'abord les conditions préalables :

sudo add-apt-repository ppa:ondrej/php

sudo apt-get update

sudo apt-get install -y apache2 libapache2-mod-php5 php5 php5-mysql php5- common

php5-gd php5-cli php-pear

Installez Pear image Graph: sudo pear install -f - -alldeps Image_Graph

Ensuite installez ADODB :

75

YABOUI Frèse

Inspection du trafic pour la détection et la prévention d'intrusions

cd /snort_src

wget http://sourceforge.net/projects/adodb/files/adodb-php5-only/adodb-520-for-php5/

adodb-5.20.8.tar.gz

tar -xzf adodb-5.20.8.tar.gz

sudo mv adodb5 /var/adodb

sudo chmod -R 755 /var/adodb

Installation de B.A.S.E :

cd /snort_src

wget http://sourceforge.net/projects/secureideas/files/BASE/base 1.4.5/base-1.4.5.tar.gz

tar -xzf base-1.4.5.tar.gz

sudo mv base-1.4.5 /var/www/html/base/

cd /var/www/html/base

sudo cp base_conf.php.dist base_conf.php

sudo chown -R www-data:www-data /var/www/html/base

sudo chmod o-r /var/www/html/base/base_conf.php

sudo nano /var/www/html/base/base_conf.php

La dernière commande va nous permettre d'ouvrir le fichier base_conf.php, insérer les configurations nécessaires :

$BASE_urlpath = '/base'; # ligne 50

$DBlib_path = '/var/adodb/'; #ligne 80

$alert_dbname = 'snort'; # ligne 102

$alert_host = 'localhost'; $alert_port = ";

$alert_user = 'snort';

$alert_password = 'frese'; # ligne 106

Redémarrer le service apache2: sudo service apache2 restart

3.6.6. OSSEC

? Ajout d'un agent OSSEC

Installer l'agent OSSEC sur la machine Ubuntu en choisissant agent :

76

YABOUI Frèse

Inspection du trafic pour la détection et la prévention d'intrusions

sudo apt-get update

sudo apt-get install build-essential

wget https://github.com/ossec/ossec-hids/archive/3.1.0.tar.gz

sudo tar -zxf ossec-hids-3.1.0.tar.gz

cd ossec-hids-3.1.0

sudo ./ install.sh

Figure 30.9: Installation de l'agent OSSEC sur la machine Ubuntu

? Ajout de la machine Ubuntu comme agent du serveur OSSEC

Entrer la commande suivante sur le serveur OSSEC : sudo /var/ossec/bin/manage_agents

Figure 31.10: Ajout de la machine Ubuntu comme agent du serveur OSSEC

77

YABOUI Frèse

Inspection du trafic pour la détection et la prévention d'intrusions

Figure 32.11: Extraction de la clé pour la machine Ubuntu

Entrer la commande ci-dessous sur la machine Ubuntu : sudo /var/manage-agents

Coller la clé extraite :

Figure 33.12: Ajout de la clé sur la machine Ubuntu

Une fois terminer rédémarrer le serveur OSSEC pour que ces modifications prennent effet : systemctl restart ossec-hids

Utilisez la commande suivante pour redémarrer OSSEC sur le client (machine Ubuntu) : sudo /var/ossec/bin/ossec-control restart

Pour vérifier que l'agent est bien connecté au serveur, utilisez la commande suivante sur le serveur OSSEC : sudo /var/ossec/bin/agent_control -lc

78

YABOUI Frèse

Inspection du trafic pour la détection et la prévention d'intrusions

Figure 34.13: Agent connecté

NB : la configuration de la machine cliente Windows XP comme agent du serveur OSSEC est illustrée en annexe. Aussi l'ajout d'un dossier à surveiller en temps réel par le serveur OSSEC est illustré en annexe.

3.6.7. Tests d'intrusions 3.6.7.1. Avec SNORT

Ouvrir le terminal de la machine cliente Windows XP puis faire un ping sur la

machine Ubuntu.

Figure 35.14 : Ping de la machine Windows XP vers la machine Ubuntu

79

YABOUI Frèse

Inspection du trafic pour la détection et la prévention d'intrusions

Figure 36.15 : Détection du ping par la machine Ubuntu

3.6.7.2. Avec OSSEC

Utilisez un client SSH pour se connecter à la machine Ubuntu depuis la machine Windows XP.

Figure 37.16 : Connection SSH à la machine Ubuntu

80

YABOUI Frèse

Inspection du trafic pour la détection et la prévention d'intrusions

Figure 38.17 : Accès au compte root de la machine Ubuntu

Figure 39.18 : Connection SSH détectée par le serveur OSSEC via le Dashboard Kibana

81

YABOUI Frèse

Inspection du trafic pour la détection et la prévention d'intrusions

Figure 40.19 : Connection SSH détectée par le serveur OSSEC via le fichier alerts.log

Dans ce chapitre, nous avons réalisé expérimentalement et de façon manuelle l'installation et la configuration de SNORT, avec la quasi-totalité de ses fonctions et intégré des règles de sécurité qui sont nécessaire pour la détection des attaques afin de renforcer la sécurité au niveau du réseau LAN. Aussi nous avons configuré OSSEC pour la détection d'intrusions au sein des équipements du système d'information.

Cette partie était consacrée à la présentation de l'architecture de notre projet ainsi que les prérequis à considérer. Aussi elle était consacrée à la configuration de notre système de détection et de prévention d'intrusions et à la simulation de quelques tests d'intrusions et la détection de celles-ci.

Conclusion générale

En guise de conclusion, vu la place centrale qu'occupe le système d'information (SI) dans une entreprise, la sécurisation de celui-ci contre les multiples attaques et incidents est devenue une préoccupation de cette dernière. Il est prouvé durant ce travail la possibilité de mettre en place un système de sécurité permettant de détecter et d'y remédier aux intrusions sur le réseau aussi bien que sur les équipements du système d'information.

Afin de mettre en place ce système de sécurité nous avions tout d'abord présenté les concepts liés à la sécurité informatique ainsi que la notion de système de détection d'intrusions puis de système de prévention d'intrusions. Ensuite nous avions fait une étude sur quelques solutions de systèmes de détection d'intrusions basée sur l'hôte (HIDS) et de systèmes de

82

YABOUI Frèse

Inspection du trafic pour la détection et la prévention d'intrusions

détection d'intrusions réseau (NIDS) disponible sur le marché, ce qui nous permis de choisir SNORT comme NIDS et OSSEC comme HIDS. Enfin nous avions configuré SNORT et OSSEC et réalisé différents tests d'évaluation.

De nombreux problèmes ont été rencontrés au cours de la réalisation de ce projet, nous

avons rencontré des difficultés notamment durant la récolte d'informations pour l'implémentation d'OSSEC et son téléchargement.

Ainsi, comme perspective d'amélioration de notre système, la mise en place de SNORT Inline qui est une version modifiée du fameux IDS SNORT pour en faire un IPS, une solution capable de bloquer les intrusions et attaques réseau. Il reçoit les paquets envoyés par le firewall Netfilter avec l'aide de la librairie libipq, les compare avec des règles de signature SNORT et les marque en "drop" s'ils correspondent à une règle, puis finalement les renvoie vers Netfilter où les paquets SNORT Inline marqués sont rejetés. Aussi dans l'optique de pouvoir superviser l'ensemble des évènements générés par ces deux applicatifs (SNORT et OSSEC), il faut pouvoir les centraliser, rendant de cette manière l'administration et la visualisation des alertes plus rapides. C'est ce que permet le logiciel Prelude, un IDS, qui utilise des applications tels qu'OSSEC et SNORT comme des sondes.

83

YABOUI Frèse

précédent sommaire suivant






Bitcoin is a swarm of cyber hornets serving the goddess of wisdom, feeding on the fire of truth, exponentially growing ever smarter, faster, and stronger behind a wall of encrypted energy







© Memoire Online 2000-2023
Pour toute question contactez le webmaster

"Les esprits médiocres condamnent d'ordinaire tout ce qui passe leur portée"   François de la Rochefoucauld