|
Gestion des incidents de sécurité avec Request Trackerpar Mor Thiam Université Cheikh Anta Diop de Dakar - Master 2 en transmission de données et sécurité de l'information 2015 |
IV.1.3.a. Les paquets nécessaires :Avant de procéder à l'installation de RTIR, vérifions si ces deux paquets sont présents ? Il faut avoir la version RT 4.2.9 ou nouvelles versions de la série 4.2 déjà installé ? Net Whois RIPE 1.31 : est un package livré avec l'API RTIR pour s'exécuter sans avertissement sous perl 5.18. Mémoire de M2TDSI | Gestion des incidents de sécurité avec Request Tracker | Mor Thiam IV.1.3.b. Instructions d'installation:1°) On installe la version actuelle de la série RTIR 3.2 .0 en suivant les instructions d'installation régulière de RTIR 3.2.0. On télécharge et décompresse la dernière version de RTIR. Wget https://download.bestpractical.com/pub/rt/release/RT-IR- 3.2.0.tar.gz tar xvf RT-IR-3.2.0.tar.gz -c /tmp 2°) On exécute "perl Makefile.PL" pour générer un fichier makefile pour RTIR. perl Makefile.PL 3°) On Installe les modules Perl supplémentaires de RTIR. La sortie de l'étape précédente va lister de nouveaux modules nécessaires. 4) On tape "make install". make install
71 Figure 13:Installation de RTIR 72 Mémoire de M2TDSI | Gestion des incidents de sécurité avec Request Tracker | Mor Thiam 5) Si on installe RTIR pour la première fois, on doit initialiser la base de données RTIR en tapant : make initdb
Figure 14:Initialisation de la base de données 6) Ensuite on doit activer l'extension RTIR dans le fichier RT_SiteConfig.pm: Plugin («RT :: IR ');
73 Mémoire de M2TDSI | Gestion des incidents de sécurité avec Request Tracker | Mor Thiam Figure 15:Activation du plugin RT::IR 7) Arrêter et démarrer votre serveur web pour apporter les changements et terminer l'installation de RT : /etc/init.d/apache2 restart IV.1.4.Installation et Configuration de postfixPostfix est un serveur de messagerie électronique et un logiciel libre développé par Wietse Venema et plusieurs contributeurs. Il se charge de la livraison de courriers électroniques (courriels) et a été conçu comme une alternative plus rapide, plus facile à administrer et plus sécurisée que Sendmail. Il est le serveur de courriel par défaut dans plusieurs systèmes de type UNIX. Postfix est publié sous licence IBM Public License1.0. C'est une licence libre, mais incompatible avec la GPL. a°) Installation de Postfix Avant d'installer, vérifions le nom de notre machine : $ hostname Cette commande doit vous retourner cert.adie.sn. Si ce n'est pas le cas, éditer le fichier /etc/hosts et vérifier qu'on une ligne comme suit : 127.0.0.1 cert.adie.sn Puis on tape: # hostname cert.adie.sn Il est important que le hostname de votre machine soit le même que celui retourné par la commande host -t MX smtpsn.gouv.sn, sinon Postfix posera des problèmes. Installons postfix : # apt-get install postfix On choisit la configuration Internet Site. On indique ensuite le nom de votre machine : cert.adie.sn Si notre configuration ne nous convient pas on peut toujours recommencer en tapant : # dpkg-reconfigure postfix 74 Mémoire de M2TDSI | Gestion des incidents de sécurité avec Request Tracker | Mor Thiam b°) Configuration Le fichier de configuration de postfix est /etc/postfix/ main.cf. Il est par défaut très bien sécurisé. Nous allons dans un premier temps y ajouter cette ligne :
Cette ligne dit à postfix que les mails des utilisateurs doivent aller dans un répertoire nommé mail. command = procmail -a "$EXTENSION" Commentons (ajoutez un #) la ligne où se trouve mailbox_command pour que procmail ne soit pas utilisé : #mailbox_ Pour que la modification soit prise en compte, redémarrons postfix : # /etc/init.d/postfix restart Pour la création d'un nouveau mail, nous avons notre domaine, notre serveur mail tourne, il faut créer une adresse mail est très simple. Il suffit d'ajouter un utilisateur sur notre machine. # adduser momo Tester l'adresse en local Nous allons envoyer un mail à Momo, vérifions que le paquet mailx est installé : # aptitude install mailx On envoie le mail : # echo "Le contenu du mail" | mail -s "ceci est le sujet" momo@cert.adie.sn Le mail sera automatiquement déposé dans le répertoire mail situé dans le home de momo . S'il n'existe pas, le répertoire mail sera automatiquement créé. # ls /home/momo N'hésitez pas à consulter les logs pour voir tout ce qui se passe sur votre serveur mail : # cat /var/log/mail.log Envoyer des mails, c'est bien mais pouvoir les lire, c'est mieux. Pour que Momo puisse lire ses emails dans un client comme Mozilla Thunderbird, c'est tout simple : Momo veut réceptionner ces mails via POP : # aptitude install dovecot-pop3d On peut maintenant utiliser notre client mail favori pour réceptionner nos mails. Serveur : cert.adie.sn Login : momo Mot de passe : passer123 75 Mémoire de M2TDSI | Gestion des incidents de sécurité avec Request Tracker | Mor Thiam
Figure 16: Visualisations des emails avec Thunderbird c°) Utiliser le SMTP du FAI de l'ADIE Postfix possède son propre service SMTP, mais ce dernier sera généralement bloqué. Pour limiter les envois de SPAMS, les FAI bloquent généralement l'envoi de mails. Pour que notre serveur mail puisse envoyer des mails, il faut lui dire d'utiliser le SMTP de notre FAI. C'est le paramètre relayhost du fichier de configuration /etc/postfix/ main.cf qu'il faut modifier : relayhost = smtpsn.gouv.sn L'ADIE utilise Microsoft Office 365 hébergé sur son Cloud privé, pour la messagerie électronique, mais aussi pour la gestion d'agenda, de contacts et de tâches, qui assure le stockage des informations et permet des accès à partir de clients mobiles (Outlook Mobile Access, Exchange Active Server Sync) et de clients Web (navigateurs tels qu'Internet Explorer, Mozilla Firefox, Safari (Apple)). Pour que notre domaine CERT.ADIE.SN soit accepté et puisse recevoir et envoyer des emails avec le serveur Exchange 2013.Il faudra que notre domaine cert.adie.sn soit accepté dans Exchange et avant de passer à la création des connecteurs. Mémoire de M2TDSI | Gestion des incidents de sécurité avec Request Tracker | Mor Thiam Les types de connecteur les plus couramment utilisés sont les connecteurs d'envoi qui contrôlent les messages sortants et les connecteurs de réception qui contrôlent les messages entrants. d°) Domaines acceptés Un domaine accepté désigne un espace de noms SMTP quelconque pour lequel votre organisation Exchange envoie ou reçoit des courriers électroniques. Parmi les domaines acceptés, on compte ceux pour lesquels l'organisation Exchange fait autorité, ainsi que les domaines de relais internes et externes. Une organisation Exchange fait autorité lorsqu'elle gère la remise des messages pour les destinataires dans le domaine accepté. Parmi les domaines acceptés, on compte également ceux pour lesquels l'organisation Exchange reçoit du courrier électronique, puis le relaie vers un serveur de messagerie en dehors de l'organisation.
76 Figure 17: autorisation du domaine cert.adie.sn 77 Mémoire de M2TDSI | Gestion des incidents de sécurité avec Request Tracker | Mor Thiam d°) Les connecteurs : Les connecteurs sont utilisés pour contrôler le flux de messagerie entrant et sortant dans Microsoft Exchange Server 2013. Grâce aux connecteurs, vous pouvez router et recevoir des messages électroniques vers et depuis des destinataires situés en dehors de votre organisation, un partenaire via un canal sécurisé ou un dispositif de traitement des messages. e°) Créer un connecteur d'envoi pour les messages électroniques envoyés vers Internet :
78 Mémoire de M2TDSI | Gestion des incidents de sécurité avec Request Tracker | Mor Thiam
Figure 19:espaces d'adressage
79 Mémoire de M2TDSI | Gestion des incidents de sécurité avec Request Tracker | Mor Thiam
Figure 20:liste des domaines acceptés IV.2 Envoie d'alertes d'Ossim à RT Pour qu'Ossim Alienvault puisse envoyer des alertes au serveur qui héberge la machine de RT. Il faut apporter des modifications à la configuration Ossim Alienvault en allant au menu configuration, ensuite on clique la rubrique threat intelligent et action pour voir les actions qu'Ossim doit faire s'il détecte une nouvelle alerte. On crée une nouvelle action et on remplit tous les champs du formulaire. Mais au niveau des champs Type et To , mettre respectivement le type d'action : send an email message (envoyer un courriel) et To permet de renseigner l'email du destinataire ici c'est : ticket@ cert.adie.sn.
Figure 21:Configuration de l'envoie d'email sous Ossim 80 Mémoire de M2TDSI | Gestion des incidents de sécurité avec Request Tracker | Mor Thiam IV.3 Test de validation et de recette Dans cette partie nous allons évoquer l'ensemble des tests effectués au cours de la réalisation de ce mémoire. a°) Test n°1 : Cette capture nous montre la réception d'un email envoyé depuis RT à mail.gouv.sn suite à la création de ticket.
Figure 22: réception de message envoyé depuis RT b°) Test n°2 : Cette capture nous montre la réception d'un email envoyé depuis mail.gouv.sn au domaine accepté cert.adie.sn à l'email de test momo@cert.adie.sn. 81 Mémoire de M2TDSI | Gestion des incidents de sécurité avec Request Tracker | Mor Thiam
Figure 23:Reception d'un emaill dans momo@cert.adie.sn c°) Test n°3 : Cette capture nous montre la réception d'un email envoyé depuis la machine qui héberge Ossim Alienvault au domaine accepté cert.adie.sn à l'email ticket@cert.adie.sn. 82 Mémoire de M2TDSI | Gestion des incidents de sécurité avec Request Tracker | Mor Thiam
Figure 24:Format d'email provenant d'Ossim Alien Vault d°) Création d'un utilisateur et de son groupe: Pour créer un utilisateur RT, on doit ouvrir une session RT en tant qu'utilisateur "root". Si tel n'est pas le cas, on doit obligatoirement se reconnecter en tant que root. Une fois connecté on clique sur Configuration ensuite sur Users, puis sur Create . La boîte de dialogue suivante s'affiche à l'écran. Remplissez les champs, et vérifiez que la case "Let this user be granted rights" (accorder des droits à cet utilisateur) est cochée et on clique sur le bouton Create (créer) en bas à droite. 83 Mémoire de M2TDSI | Gestion des incidents de sécurité avec Request Tracker | Mor Thiam
Figure 25: Ajout d'un utilisateur
Figure 26:resultat de la création d'un utlisateur Pour créer un groupe, on clique sur configuration, puis sur groups et cliquons sur create. Mémoire de M2TDSI | Gestion des incidents de sécurité avec Request Tracker | Mor Thiam
Figure 27: Ajout d'un groupe
Figure 28: Résultats de l'ajout d'un groupe Ajoutons à maintenant des membres au groupe netmgmt. Cliquons sur Configuration, puis sur Groups. Cliquons sur "netmgmt" (le groupe que nous venons de créer).Cliquez sur Members (menu supérieur).
84 Figure 29:Ajout des membres du groupe 85 Mémoire de M2TDSI | Gestion des incidents de sécurité avec Request Tracker | Mor Thiam e°) Création d'une file: La file est un objet très important dans le fonctionnement de RT. De ce fait, il est impératif de bien la configurer .Cliquons sur la configuration, puis sur le menu central Queues .On Clique sur Ajouter.
Figure 30: Création d'une file Figure 31: Résultats de la création d'une file Ensuite nous allons attribuer des droits à notre groupe sur la file d'attente net. On cliquez sur configuration, puis sur le menu files. On clique sur "net" (la file d'attente que nous venons juste de créer). On clique sur "droits de groupe", dans le menu supérieur.
Mémoire de M2TDSI | Gestion des incidents de sécurité avec Request Tracker | Mor Thiam Figure 32: ajout des droits de groupe
Figure 33: résultats ajout des droits de groupe f°) Création des observateurs (Watchers): Les observateurs seront notifiés par email quand l'état d'un ticket de la file associée est modifié, commenté ou résolu. Pour créer un observateur, on clique sur configuration, ensuite file et on choisit la file ou veut ajouter des observateurs, on clique sur le menu observateurs et on saisit les noms des utilisateurs ou groupes qu'on veut ajouter.
86 Figure 34: Création des observateurs d'une file
87 Mémoire de M2TDSI | Gestion des incidents de sécurité avec Request Tracker | Mor Thiam g°) Création d'un ticket:
Figure 35: interface pour créer un ticket On peut créer un ticket suite à un appel téléphonique, à un email ou par l'interface web de RT. On clique sur l'onglet créer un ticket dans et choisir une file dans la liste disponible et on remplit le formulaire qui s'affiche. Figure 36: Affecter une file à un ticket Une fois le ticket créé, On peut maintenant répondre à la demande, commenter et transférer. On clique sur commenter pour ajouter un commentaire à la file comme nous le montre l'image. 88 Mémoire de M2TDSI | Gestion des incidents de sécurité avec Request Tracker | Mor Thiam
Figure 37: commentaires sur un ticket On clique sur répondre et on saisit une réponse ; on changer le statut du ticket à résolu dans le menu déroulant en haut à droite, puis on clique sur mettre à jour le ticket:
Figure 38: Réponse et cloture de la résolution d'un incidents 89 Mémoire de M2TDSI | Gestion des incidents de sécurité avec Request Tracker | Mor Thiam |
|
