Loading presentation...

Present Remotely

Send the link below via email or IM

Copy

Present to your audience

Start remote presentation

  • Invited audience members will follow you as you navigate and present
  • People invited to a presentation do not need a Prezi account
  • This link expires 10 minutes after you close the presentation
  • A maximum of 30 users can follow your presentation
  • Learn more about this feature in our knowledge base article

Do you really want to delete this prezi?

Neither you, nor the coeditors you shared it with will be able to recover it again.

DeleteCancel

Make your likes visible on Facebook?

Connect your Facebook account to Prezi and let your likes appear on your timeline.
You can change this under Settings & Account at any time.

No, thanks

pfe

pfe
by

hamza ouerghi

on 14 March 2014

Comments (0)

Please log in to add your comment.

Report abuse

Transcript of pfe

République Tunisienne Ministère de l’enseignement Supérieur et de la recherche scientifique de Tunisie
Introduction génèrale

Étude Préalable

Etude théorique

Etude pratique

Faculté de Sciences de Tunis

Projet de fin d’étude:
Mise en place d’un outil de supervision Ossim

Encadré par : M. METHNI Ramzi
Elaboré par : M. OUERGHI Hamza

Organisme d’accueil:
Plan:
- Introduction génèrale

-Étude préalable

-Étude théorique

-Étude Pratique

-Conclusion & Perspective

Présentation de la société

Démarche à suivre

Etude de l’existant

Analyse des besoins

Les attaques réseaux

Architecture de la solution

Présentation de la solution

Architecture de la solution

Procédure d‘installation

La démarche de l’installation 

Configuration Graphique

Installation de l'Agent OSSEC

Scénario d’attaque

Evolution du système informatique

L’ obligation de sécuriser les données


Du nombre important d’attaque qui subit
le réseaux

L’obligation d’implémenter un outil
de supervision

Entraine

À cause

D’où

Présentation de la solution

Aujourd’hui, Tunisie Télécom, opérateur historique, est le leader sur le marché des télécommunications en Tunisie du fait de sa présence sur les segments du fixe, du mobile et de l'internet.

Ses directions sont situés comme suites:
Démarche à suivre

Mon démarche sera articulé autours de trois lignes directrices:

-L’étude de la solution se basant sur une analyse fonctionnelle
-La réalisation d’un prototype permettant une évaluation des fonctionnalités par rapport aux besoins

-Implémenter la solution et la mettre en épreuve via un scénario d’attaque

Étude de l’existant

L’architecture existante dans TUNISIE TELECOM est basé sur deux outils de securités
IDS/IPS :
-Contrôler le trafic réseau à la recherche
de signatures d’attaques

-Protèger les serveurs stratégiques par
l'analyse des événements
FIREWALL:
Autorise ou interdire l’ouverture d’un service
Autorise ou banir une adresse IP source/destination
Verfier /insepecter la conformité du trafic.

Analyse des besoins

+
un plan d'action efficace
la collete
des données
corrélation
des données
Une architecture de surveillance répartie rend difficile cette tâche et par conséquent nuire à l’efficacité des actions à entreprendre
D’où le besoin d’un outil permettant de centraliser
la collecte et l’analyse
des données.
Tableau comparatif entre les outils de supervision
Les attaques réseaux
Perturber le bon fonctionnement
d'un service, et de le rendre
indisponible ou inaccessible.
Dénis de service:
Une tierce personne se positionne entre
les deux tiers et intercepte les échanges.
De cette façon, il procède à un échange
de clé avec chaque tiers
Les attaques d'authentification SSH
Présentation de la solution
A travers les besoins de la société étudiés,
notre choix porte sur :
Open Source Security Information Management
Objectifs

Fournir une interface graphique d’administration
Donner accès à une plate forme remontant des événements de sécurité.
Effectuer une analyse de corrélation afin de créer des alarmes de sécurités à partir de plusieurs évènements.

Avantages

La modularité du panneau de control qui s'adapte aux besoins des clients.
Solution basée sur des outils de sécurité open-source.
Fonction d'apprentissage qui permet à la solution d'accroire la fiabilité des ses remontées d'information.
Architecture de la solution
Procédure de l'instalation
Le choix de l’OS s’est porté sur une installation basée sur Debian GNU/Linux 5.0 pour trois raisons:
-->Les fichier sources sont disponible sur le site officiel d’Ossim
-->Stabilité des packages au niveau de mise a jours
-->Facilité d’installation et de configuration
Les packages installés dans l’Ossim :
-->OSSIM a été parfaitement porté sous Debian et propose des packages spécifiques à chacune de ses briques.
Configuration du fichier sources.list pour
définir le dépôt officiel OSSIM pour
une installation via APT.
[-- /etc/apt/sources.list--]
deb http://ftp.debian.org/debian/ testing main
deb http:// secure-testing.debian.net/debian-secure-testing
testing/security-updates main
deb http://ww.ossim.net/download/debian/

Installation des bases de données
#apt-get install ossim-mysql
#mysqladmin –u root password mon_mot_passe
#mysql –u root -p


Création des bases
mysql>create database ossim;
mysql>create database ossim_acl;
mysql>create database snort;
mysql>exit;

Installation de la partie « Server »
#apt-get install ossim-server

Installation de l’agent OSSIM
# apt-get install ossim-agent
Le fichier de configuration d’OSSIM server se trouve dans /etc/ossim/server/config.xml
Installation de la partie « Framework »
la partie phpgacl qui permet la gestion des contrôles d’accès à OSSIM
#apt-get install phpgacl
#apt-get install apach2 ossim-framework

Lors de l’installation du framework OSSIM, nous avons rencontré l’erreur suivante:
dpkg: error processing ossim-framework (--configure)
subprocess post-installation script returned error exit status 1


Le problème est lié au package ossim-framework-daemon.deb,
le package a été corrigé mais il n’a pas encore été mis à jour
dans sa dernière version.

Pour contourner ce problème,
télécharger l’image iso du site :

http://www.alienvault.com/opensourcesim.php?section=Downloads

La démarche de l’installation 


l'adresse IP 192.168.140.10
la passerelle.192.168.140.1
le nom d'hôte pour le système « Opensourcesim »
le nom de domaine « Alienvault »
stockage de tous les fichiers dans une partition.
Configuration Graphique

ÉCRAN DE CONNEXION PRINCIPALE (MAIN LOGIN SCREEN)
MAIN DASHBOARD
MISE EN PLACE LE PREMIER RESEAU DE NUMERISATION
MISE EN PLACE DU 1ER HOTE
l'ajout deux hôtes à notre réseau : PC1 : 192.168.140.129 /24, PC2 ,192.168.140.132 /24
NAGIOS TRAVAILLE SOUS LE CAPOT
Installation de l'Agent OSSEC

PAGE DOWNLOAD DE GESTION L’OSSIM
PUTTY CONFIGURATION
démarra dege l'agent:
/var/ossec/bin/ossec-control start

DEMARAGE DE L'AGENT OSSEC
sélection A pour ajouter un agent
ajout de l'adresse IP du serveur OSSIM
et affectation à l'agent un ID unique
en tapant Y pour confirmer l'ajout de l'agent
L’AJOUT D’UN AGENT
exécution de la commande
locale manage_agents ,
la sélection "E" pour importer
la clé unique.
L’IMPORTATION DE LA CLE
LE REDEMARRAGE DE L’AGENT
pour ajouter l’agent client vers le serveur OSSEC:
/var/ossec/bin/manage_agents
redémarrage de l'agent en exécutant la commande: /var/ossec/bin/ossec-control restart


pour commencer à recevoir des événements OSSEC dans OSSIM, l'ouverture de fichier /etc/ossim/ossim_setup.conf sur le serveur OSSIM dans la section [sensor] et l'ajout d'OSSEC à la fin de la ligne qui commence par les détecteurs de mot.
L’AJOUT DE L’OSSEC DANS LE FICHIER OSSIM_SETUP.CONF
LES EVENEMENTS OSSEC APPARAISSENT DANS OSSIM
LES EVENEMENTS OSSEC APPARAISSENT DANS OSSIM
Scénario d’attaque
REGLAGE DE LA FIABILITE DES PIECES NOTRE PLUGIN
LA PREMIERE REGLE DE LA DIRECTIVE TEST
LES SCANS A PARTIR DE NMAP
L’APPARITION DES ATTAQUES
TEST DIRECTIVE DECLENCHER UNE ALARME
Conclusion
La mise en place de l’outil de supervision Ossim permet à l’administrateur d’un réseau d’obtenir rapidement un état de la sécurité et de porter à son attention les alertes des différentes sondes.

Cette solution offre une grande modularité de part sa capacité à s’appuyer sur des outils de sécurité open-source.

OSSIM est en quelque sorte le chef d’orchestre des différentes solutions déjà existante et permet de fédérer, d’agréger, d’analyser et de stocker les informations de manière centralisée .








Perspective
TUNISIE TELECOM est une grande organisation où généralement la supervision est une tâche répartie de part sa conception.

Se contenter d’une seule interface faisant office de tableau de bord pour l’ensemble des utilisateurs du système peut amener à une désorientation de supervision sur certains indicateurs jugés important pour lui, mais ne le sont pas pour les autres.

Pour rendre l’outil Ossim efficace pour ce genre d’organisation, nous recommandons le lancement d’une étude sur la conception d’interface homme-machine personnalisées par profil d’utilisateur, d’autant d’Ossim prévoit ce genre de solution.

Merci pour votre attention

Mais pour compléter cette politique de sécurité,
il est nécessaire, d'avoir des outils de surveillance
pour auditer le système d'information et détecter d'éventuelles intrusions.
Full transcript