Analyse des logs.pdf

SECURINETS Club de la Scurit Informatique lINSAT

Copyright 2013 - SECURINETS - Club de la Scurit Informatique lINSAT www.securinets.com

Dans le cadre de la 3me dition de la journe nationale de la scurit informatique

SECURINETS

Prsente

Atelier : Analyse des fichiers logs

Formateurs: 1. Trabelsi NAJET 2. Souid SAWSSEN 3. Nasr AFEF 4. Ben Zineb HENDA

5.Oumaima SALHI

SECURIDAY 2013 Cyber War

SECURINETS

SECURIDAY 2013 - Cyber War

Atelier : Analyse des fichiers logs Date de cration :27/04/2013


Page1

Table des matires

1. Prsentation de latelier : ...................................................................................................1

2. Prsentation des outils utiliss : .......................................................................................1

3. Topologie du rseau : ..........................................................................................................1

4. Configuration des outils : ...................................................................................................4

5. Un scnario de test ..............................................................................................................4

6. Conclusion: ......................................................................................................................... 14

SECURINETS




Page1

1. Prsentation de latelier : Les logs sont bien souvent les premiers tmoins d'un vnement sur un quipement

du Systme dInformation. Ils proviennent d'applications, de systmes d'exploitation, d'quipements rseau ou de scurit et sont utiliss pour dtecter les failles de scurit, les traces d'activit inhabituelle ainsi que les dfaillances matrielles ou logicielles. Ce sont des sources dinformation qui aident les administrateurs comprendre les origines d'un vnement et optimiser les systmes

i. Objectif : Lobjectif est dobtenir un outil dans lequel sont paramtres des rgles de bonne pratique

qui dclencheront une alerte lorsque lanalyse dtectera une action ou une rgle non conforme.

ii. Prsentation gnrale de la solution adopte : OSSIM est un projet open source de management de la scurit de linformation . Cette

solution sappuie sur une gestion des logs bass sur la corrlation de ceux-ci ainsi quune notion dvaluation des risques. Cette solution est ne du constat selon lequel il est difficile encore ce jour dobtenir un instantan de son rseau et des informations qui y transitent avec un niveau dabstraction suffisant pour permettre une surveillance claire et efficace. Le but dOSSIM est donc de combler se vide constat quotidiennement par les professionnels de la scurit.

2. Prsentation des outils utiliss :

iii. Ossim :

OSSIM est une solution fdrant dautres produits open-source au sein dune infrastructure complte de supervision de la scurit (framework)

Le framework au sens dOSSIM pour objectif de centraliser, dorganiser et damliorer la dtection et laffichage pour la surveillance des vnements lis la scurit du systme dinformation dune entreprise. Le framewok est ainsi constitu des lments de supervision suivants

Un panneau de contrle Des moniteurs de supervision de lactivit et des risques. Des moniteurs de supervision rseau et des consoles dinvestigation

Les fonctionnalits dOSSIM peuvent tre reprsente de manire simple et graphique en un dcoupage sur 9 niveaux tel que le montre le schma suivant :

SECURINETS




Page2

ii-Ossec : Ossec est une application de dtection dintrusion, et plus prcisment un HIDS (Host

Intrusion Detection System). Il permet de surveiller lintgrit des fichiers systmes, aussi bien sur

des postes Linux que Windows.

De plus, Ossec dtecte galement des attaques de pirates comme les rootkits, les scans de ports, et

analyse les logs du systme, des applications et des services. Le logiciel propose galement un

systme de rponses actives, cest--dire dactions raliser en cas dattaque.

iii-Snort : Snort est un NIDS (Network Intrusion Detection System). Il a pour rle dcouter sur le rseau

la recherche dattaques de pirates, quil dtecte grce de nombreuses rgles disponibles sur le

site officiel, galement auprs de certaines communauts comme Emerging.

Lapplication analyse le rseau, le trafic en temps rel, et peut logger des paquets. Les alertes sont

ensuite stockes dans une base donnes, elles peuvent tre galement sous forme de logs. Snort

peut aussi transmettre, notifier les vnements. Il est bas sur un systme de signatures et combine

donc lanalyse du trafic par signature, protocole et anomalie.

iV-Backtrack : Cest une distribution Linux, base sur Slackware jusqu' la version 3 et Ubuntu depuis la

version 4, apparue en janvier 2010. Elle est ne de la fusion de Whax et Auditor. Son objectif est de fournir une distribution regroupant l'ensemble des outils ncessaires aux tests de scurit d'un rseau.

Backtrack fournit de plus des outils de scurit tel que le scanner de port jusquaux crackers de mot de passe. Il inclut plusieurs logiciels commenant par Metasploit, Nmap, Wireshark

SECURINETS




Page3

V-Tableau comparatif outils utilises et autres outils :

Outils Fonctionnement

Snort -Open source

-Detection dintrusion / NIDS -Effectuer en temps rel des analyses de trafic et lanalyses de protocole -il analyse le trafic du rseau, compare ce trafic des rgles dj dfinies par

lutilisateur et tabli des actions excuter.

Ntop -Open Source

-Supervision du rseau

-capturer et analyser les trames d'une interface donne et observer une majeure

partie des caractristiques du trafic entrant et sortant

-La sonde Ntop met en place un serveur Web permettant le son monitoring

ainsi que la sa configuration distance.

P0F -permet de faire de la dtection de systmes dexploitation de manire passive, par coute du rseau.

-Il analyse les trames transitant sur le rseau (le segment analyse) et les

compare avec une base de donnes des caractristiques de chaque OS

Tcptrack -TCPTrack est un sniffer

-dtection passive de connexions TCP

-Il permet laffichage des adresses source et destination, de ltat de la connexion, du temps de connexion

ainsi que de la bande passante utilise.

3. Topologie du rseau :

i. Architecture : Notre architecture est base sur un NIDS Snort et un HIDS Ossec.

SECURINETS




Page4

ii. Environnement technique : Au niveau de lenvironnement de test, notre architecture est compose de trois machines :

Serveur OSSIM Machine Windows sur laquelle on a install un agent Ossec Machine Ubuntu sur laquelle on a install un agent Snort

4. Configuration des outils :

i. Installation dOSSIM : 1) Tlcharger le support d'installation : Vous pouvez tlcharger la dernire version

dAlienVault OSSIM dehttp://communities.alienvault.com

2) Dmarrez le systme d'installation et slectionnez le mode "Installation automatique"

3) A ce stade, vous devrez configurer votre carte rseau. Vous devez utiliser une adresse IP avec accs Internet pendant le processus d'installation. Cette adresse IP sera utilise par l'interface de gestion. Entrez l'adresse IP et cliquez sur "Continuer".

SECURINETS




Page5

5) Entrez le masque de rseau et cliquez sur "Continuer". En cas de doute laissez la valeur par

dfaut de 255.255.255.0. 6) Entrez l'adresse IP de la passerelle par dfaut et cliquez sur "Continuer".

7) Partitionnement de disque : Slectionnez Guided: Use entiredisk et cliquez sur

"Continuer".

8) Entrez le mot de passe du root et cliquez sur "Continuer". 9) une fois que linstallation est termine, vous entrez votre login et votre mot de passe pour

accder OSSIM :

SECURINETS




Page6

10) Maintenant, on active les plugins OSSIM en utilisant la commande :

Slectionner les plugins dont vous voulez les activs :

SECURINETS




Page7

Pour activer ces plugins il faut choisir loption Save & Exit

10) Pour ouvrir linterface graphique, tapez ladresse IP (192.168.1.3) dans le navigateur :

11) Entrez User=admin et Paswword=admin et voici linterface graphique dOSSIM :

SECURINETS




Page8

ii. Installation dun agent OSSEC :

Dans linterface graphique dOSSIM, vous cliquez sur AnalysisDetectionHIDS Agents Vous allez ajouter un nouvel agent :

On configure lagent ossim en effectuant des modifications sur son fichier /etc/ossim/agent/config.cfg

Vous allez installer sur votre machine Windows, un agent en utilisant le logiciel Manage OSSEC.

SECURINETS




Page9

Ensuite, vous allez taper ladresse IP du serveur et la cl dauthentification : La cl se trouve dans lACTIONS du Client2, comme la montre la figure ci-dessous :

iii. Installation dun agent Snort :

Sur la machine ubuntu on installe lagent Snort laide de la commande suivante :

Apt-get install snort

5. Un scenario de test: Pour le scnario dattaque on va utiliser BackTrack : metasploit

i. Architecture :

SECURINETS




Page10

On ajoute les machines sur Ossim :

ii. BackTrack :

1) Tout dabord, on fait un scan sur la machine cible : Windows : afin de savoir les ports ouverts

SECURINETS




Page11

2) Ensuite, on utilise la commande search exploits windows: qui permet de trouver les

exploits de la machine cible

3) On choisit l'exploit windows/smb/ms04_07_killbill

4) Il est possible d'avoir des informations sur cet exploit avec la commande info.

SECURINETS




Page12

5) Maintenant il faut choisir le payload que l'on va utiliser. Les payloads disponibles pour cet

exploit se trouvent avec la commande show payloads. Une multitude de payloads existent pour cet exploit, je n'en ai donc affich que quelques uns. La slection du payload se fait via la commande set PAYLOAD payload_a_utiliser. Enfin comme pour les exploits, les payloads ncessitent parfois une configuration que l'on peut toujours voir avec la commande show options.

6) Le payload windows/vcinject/reverse_tcp ne va pas ouvrir un port sur la machine victime

mais va faire une connexion TCP sur l'adresse IP de la machine qui sera pointe par la variable LHOST (la machine qui utilise metasploit). Donc plutt que la machine metasploit initie la connexion vers la machine victime, c'est la machine victime qui va initier la connexion vers la machine metasploit. Beaucoup plus pratique pour exploiter une machine qui se trouverait derrire un NAT ou un firewall

7) Chaque exploit peut ncessiter une configuration, qu'il est possible de voir avec la

commande show options. Ici la variable RHOST doit tre prcise. Elle reprsente l'adresse IP de la machine victime. Les autres variables ont des valeurs par dfaut et peuvent tre modifies si besoin.

SECURINETS




Page13

8) la machine victime a une adresse IP : 192.168.1.5

Avec : Rhost :adresse de la machine victime

Lhost :adresse de la machine attaquante 9) Comme on peut le remarquer, l'exploit a fonctionn .Le

payload windows/vcinject/bind_tcp a ouvert le port 4444 sur la machine victime, et metasploit c'est automatiquement connect dessus.

SECURINETS




Page14

On visualise dans le serveur ossim les dtails de lvnement :

6. Conclusion: Ossim est outil trs fiable au niveau de ladministration du systme dinformation. Il permet

de dtecter et analyser les attaques et les menaces son rseau et hosts.

SECURINETS




Page15

Bibliographie :

Source : http://wiki.monitoring-fr.org

http://www.philippe-martinet.info/ossim

Analyse des logs.pdf

Documents

Transcript of Analyse des logs.pdf