Memoire Online - Etude et mise en place d'un SIEM (security information and event management) open source: cas de « Bankevi groupe »

Abstract1

Strengthening computer security has become a primary necessity today, given the emergence of various forms of cyber-attacks. As a result, it is the networks of companies, institutions and governments that need this security the most because they are frequently the targets of intrusion

attacks. During the internship carried out at BANKeVI GROUPE, we studied and implemented a network security system.

The objective of the work was to improve the security of the company's IT system through a tool that can manage security information and events. To achieve this goal, a general study of event management and security information systems was carried out. Then, the AlienVault OSSIM solution was chosen among those that exist. Finally, an implementation of the chosen solution was made in a virtual environment.

As a result, we were able to have centralized management of the company's IT equipment, detected in real time system activities, information and events, and alerted in the event of intrusions or anomalies. In short, the implementation of the OSSIM security information and event management system is still in the testing phase in order to be optimally optimized.

¹ Traduit à l'aide de Google Translate

Mémoire de Licence - MRI KUAOVI KOKO E. O. / CIC - UL

Etude et mise en place d'un S.I.E.M. (Security Information and Event Management) Open Source :
cas de « BANKeVI GROUPE »

Table des matières

Pages

Dédicaces i

Remerciements ii

Résumé iii

Abstract iv

Table des matières v

Liste des figures ix

Liste des tableaux xi

Introduction générale 1

Chapitre 1 : Présentation du C.I.C. et de BANKeVI GROUPE 2

Introduction 3

Présentation du C.I.C. 3

1.2.1. Les missions du C.I.C. 4

1.2.2. Organisation administrative du C.I.C. 4

1.2.3. Offres de formation 5

Présentation de BANKeVI GROUPE 6

1.3.1. Organisation structurelle 7

1.3.2. Les Départements de BANKeVI GROUPE 8

1.3.3. Missions de BANKeVI GROUPE 9

Conclusion 10

Chapitre 2 : Etude préalable du sujet 11

2.1. Introduction 12

2.2. Etude et critique de l'existant 12

2.2.1. Etude de l'existant 12

2.2.1.1. Réseau informatique 12

2.2.1.2. Matériel informatique 13

2.2.2. Critique de l'existant 14

2.3. Problématique 15

2.4. Objectifs du projet 16

2.4.1. Objectif général 16

2.4.2. Objectifs spécifiques 16

2.5. Résultats attendus 16

2.6. Périmètre du projet 16

Mémoire de Licence - MRI KUAOVI KOKO E. O. / CIC - UL

Etude et mise en place d'un S.I.E.M. (Security Information and Event Management) Open Source :
cas de « BANKeVI GROUPE »

2.7. Méthodologie 17

2.8. Conclusion 17

Chapitre 3 : Généralités sur les réseaux et la sécurité informatique 18

3.1. Introduction 19

3.2. Les réseaux informatiques 19

3.2.1. Définition 19

3.2.2. Les protocoles réseaux 19

3.2.3. Faiblesses des réseaux 19

3.3. La sécurité informatique 20

3.3.1. Définition 20

3.3.2. Différents aspects de la sécurité 20

3.3.3. Objectifs de la sécurité informatique 21

3.3.4. Les menaces 22

3.4. Les principales attaques 22

3.4.1. Attaque des réseaux 22

3.4.2. Attaques du système d'exploitation 23

3.4.3. Attaques applicatives 24

3.5. Mise en place d'une politique de sécurité réseau 24

3.5.1. Définition 24

3.5.2. Objectif d'une politique de sécurité réseau 25

3.5.3. Les différents types de politiques de sécurité 25

3.6. Les techniques de parade aux attaques 26

3.6.1. La suite de sécurité IPsec 26

3.6.2. Pare-feu ou Firewall 26

3.6.3. Serveur Proxy 27

3.6.4. DMZ (Demilitarized zone) 27

3.6.5. Antivirus 28

3.6.6. Les IPS et IDS 28

3.7. S.I.E.M. (Security Information and Event Management) 30

3.7.1. Historique des S.I.E.M. 30

3.7.2. S.I.M., S.E.M. et S.I.E.M. 30

3.7.3. Rôles et fonctionnement des S.I.E.M. 31

3.7.3.1. Rôles 32

3.7.3.2. Fonctionnement des S.I.E.M. 32

vii

Mémoire de Licence - MRI KUAOVI KOKO E. O. / CIC - UL

Etude et mise en place d'un S.I.E.M. (Security Information and Event Management) Open Source :
cas de « BANKeVI GROUPE »

3.7.4. Avantages et inconvénients des S.I.E.M. 34

3.7.4.1. Avantages 35

3.7.4.2. Inconvénients 36

3.8. Propositions et choix de solutions 37

3.8.1. Présentation de quelques solutions S.I.E.M. 37

3.8.1.1. SPLUNK Enterprise 37

3.8.1.2. IBM QRadar 38

3.8.1.3. ELK 39

3.8.1.4. AlienVault OSSIM/USM 40

3.8.2. Choix de solution 41

3.9. Etude d'AlienVault OSSIM 42

3.9.1. La détection 42

3.9.1.1. Méthodes de détection 43

3.9.2. L'analyse 43

3.9.2.1. Définition de la priorité des alarmes 44

3.9.2.2. Evaluation des risques 45

3.9.2.3. Corrélation 45

3.9.3. Le monitoring 46

3.9.4. Architecture d'OSSIM 46

3.9.5. Mode de fonctionnement d'OSSIM 48

3.10. Conclusion 49

Chapitre 4 : La mise en oeuvre 50

4.1. Introduction 51

4.2. Nouvelle architecture 51

4.2.1. Avantages de l'architecture retenue 52

4.2.2. Inconvénients de l'architecture retenue 52

4.3. Préparation de l'environnement de travail 52

4.4. Configuration de pfsense 53

4.5. Configuration de D.V.W.A. 61

4.6. Configuration de la machine Windows 62

4.6.1. Configuration réseau 62

4.6.2. Configuration d'OSSEC 62

4.7. Configuration d'OSSIM 63

4.8. Les tests 71

viii

Mémoire de Licence - MRI KUAOVI KOKO E. O. / CIC - UL

Etude et mise en place d'un S.I.E.M. (Security Information and Event Management) Open Source :
cas de « BANKeVI GROUPE »

4.9. Résultat final du déploiement 75

4.10. Evaluation financière 76

4.11. Conclusion 78

Conclusion générale 79

Bibliographie 80

Mémoire de Licence - MRI KUAOVI KOKO E. O. / CIC - UL

Etude et mise en place d'un S.I.E.M. (Security Information and Event Management) Open Source :
cas de « BANKeVI GROUPE »

Liste des figures

Pages

Figure 1 : Image satellite du C.I.C. par Google Earth 3

Figure 2 : Organigramme du C.I.C. 5

Figure 3 : Plan de localisation de BANKeVI GROUPE 7

Figure 4 : Structure organisationnelle de la société BANKeVI GROUPE 8

Figure 5 : Architecture réseau actuelle de BANKeVI GROUPE 13

Figure 6 : Pare-feu dans un réseau 27

Figure 7 : Serveur proxy 27

Figure 8 : DMZ 28

Figure 9 : Logo de SPLUNK 38

Figure 10 : Logo d'IBM QRADAR 39

Figure 11 : Logo d'ELK 40

Figure 12 : Logo d'AlienVault 41

Figure 13 : Logo d'AlienVault OSSIM 41

Figure 14 : Architecture d'OSSIM 46

Figure 15 : Flux de données du serveur OSSIM 47

Figure 16 : Représentation du fonctionnement d'OSSIM en environnement de production 49

Figure 17 : Nouvelle architecture de « BANKeVI GROUPE » 51

Figure 18 : Assignation des interfaces de PfSense 54

Figure 19 : Tableau de bord de PfSense 54

Figure 20 : Les Packages installés 55

Figure 21 : Les alias des interfaces et des ports 55

Figure 22 : Les règles de filtrage de l'interface WAN 56

Figure 23 : Les règles de filtrage de l'interface DMZWEB 56

Figure 24 : Les règles de filtrage de l'interface DMZ-Monit 57

Figure 25 : Les règles de filtrage de l'interface interne (INT) 57

Figure 26 : La configuration du paquet Snort 58

Figure 27 : La configuration générale de Snort 59

Figure 28 : La configuration de Barnyard2 60

Figure 29 La configuration de système de Logs 60

Figure 30 : Page d'accueil de DVWA 61

Figure 31 : Interface des attaques de DVWA 61

Figure 32 : Configuration de l'adresse IP de la machine Windows 62

Figure 33 : Configuration d'OSSEC 62

Figure 34 : Interface OSSIM 63

Figure 35 : Interface de configuration de base d'OSSIM 63

Figure 36 : Configuration d'adresse IP de OSSIM 64

Figure 37 : Interface graphique d'OSSIM 64

Figure 38 : Interface web OSSIM 65

Figure 39 : Base de données OSSIM 66

Figure 40 : Statistiques des évènements des agents OSSEC 66

Figure 41 : « Rules » de Snort 67

Figure 42 : Tableau de bord de la supervision « Nagios » 67

Figure 43 : Détection en temps réel d'OSSIM 68

Mémoire de Licence - MRI KUAOVI KOKO E. O. / CIC - UL

Etude et mise en place d'un S.I.E.M. (Security Information and Event Management) Open Source :
cas de « BANKeVI GROUPE »

Figure 44 : Configuration du relais de messagerie d'OSSIM 68

Figure 45 : Spécification des informations des messages mails à envoyer par OSSIM 69

Figure 46 : Résultats d'analyses de vulnérabilités par services et par réseaux 69

Figure 47 : Classement des résultats d'analyse de vulnérabilités par hôtes analysés 70

Figure 48 : Anomalies et vulnérabilités détectées sur le système 70

Figure 49 : Résultat du scan de la machine de la victime 71

Figure 50 : Accès à l'invite de commande de la victime 72

Figure 51 : Détection en temps réel de l'intrusion par OSSIM 72

Figure 52 : Création d'un dossier depuis la machine de l'attaquant vers la machine de la victime

Figure 53 : Création d'un fichier depuis la machine de l'attaquant vers la victime 74

Figure 54 : Vérification de la création du dossier sur la machine de la victime 74

Figure 55 : Vérification de la création du fichier sur la machine de la victime 75

Mémoire de Licence - MRI KUAOVI KOKO E. O. / CIC - UL

Etude et mise en place d'un S.I.E.M. (Security Information and Event Management) Open Source :
cas de « BANKeVI GROUPE »

Liste des tableaux

Pages

Tableau 1 : Serveurs de BANKeVI GROUPE 14

Tableau 2 : Achat des matériels 76

Tableau 3 : Coût de l'implémentation 77

Tableau 4 : Coûts de la formation de l'administrateur système 77

Tableau 5 : Coût d'entretien du serveur 77

Mémoire de Licence - MRI KUAOVI KOKO E. O. / CIC - UL

Etude et mise en place d'un S.I.E.M. (Security Information and Event Management) Open Source :
cas de « BANKeVI GROUPE »