Mémoire mastère ips

  • View
    216

  • Download
    2

Embed Size (px)

DESCRIPTION

Dveloppement d'un IPS personnalis dans un systme d'information

Transcript

  • Dveloppement et Intgration dun IPSpersonnalis dans un Systme dInformation

    18 juin 2013

  • Ralis par : RAOUAFI Ayoub & SMII Mondher

    Au sein de : AXELARIS

    Encadr par : BEN STA Hatem & AMOR Achraf

    smii.mondher@gmail.com

    raouafiayoub@gmail.com

  • Table des matires

    1 Introduction gnrale 2

    2 Prsentation de lorganisme 62.1 Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62.2 Donnes gnrales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62.3 Contexte technologique . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72.4 Offres commerciales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8

    2.4.1 Cloud priv, public ou hybride . . . . . . . . . . . . . . . . . . . . 82.4.2 Offre service SaaS . . . . . . . . . . . . . . . . . . . . . . . . . . . 92.4.3 Offre des services manags . . . . . . . . . . . . . . . . . . . . . . . 9

    2.5 Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9

    3 tude dAlienVault 113.1 Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113.2 Prsentation gnrale de la solution dAlienVault . . . . . . . . . . . . . . 113.3 Principe technique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113.4 Architecture . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12

    3.4.1 Pr-processing (Alienvault agent) . . . . . . . . . . . . . . . . . . . 123.4.2 Post-processing (Alienvault server) . . . . . . . . . . . . . . . . . . 133.4.3 Le flux de fonctionnement dAlienvault . . . . . . . . . . . . . . . . 13

    3.5 Principe de fonctionnement . . . . . . . . . . . . . . . . . . . . . . . . . . 153.5.1 La dtection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15

    3.5.1.1 Mthodes de dtection . . . . . . . . . . . . . . . . . . . . 163.5.2 Lanalyse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16

    3.5.2.1 Dfinition de la priorit des alarmes . . . . . . . . . . . . 173.5.2.2 valuation des risques . . . . . . . . . . . . . . . . . . . . 183.5.2.3 Corrlation . . . . . . . . . . . . . . . . . . . . . . . . . . 18

    3.5.3 Le monitoring . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 203.5.3.1 Moniteur de risque . . . . . . . . . . . . . . . . . . . . . . 203.5.3.2 Console lgale . . . . . . . . . . . . . . . . . . . . . . . . 203.5.3.3 Panneau de contrle . . . . . . . . . . . . . . . . . . . . . 20

    3.6 Avantages et inconvnients majeurs dAlienvault . . . . . . . . . . . . . . 213.7 Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21

    4 Spcification et conception 234.1 Spcification . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23

    4.1.1 Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23

    1

  • 4.1.2 Besoins fonctionnels . . . . . . . . . . . . . . . . . . . . . . . . . . 234.1.3 Besoins non fonctionnels . . . . . . . . . . . . . . . . . . . . . . . . 234.1.4 Diagramme de cas dutilisation . . . . . . . . . . . . . . . . . . . . 24

    4.1.4.1 Diagramme de cas dutilisation gnral . . . . . . . . . . 244.1.4.2 Diagramme de cas dutilisation de linterface web . . . . 25

    4.1.5 Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 254.2 Conception . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26

    4.2.1 Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 264.2.2 Conception globale . . . . . . . . . . . . . . . . . . . . . . . . . . . 264.2.3 Diagramme de classes . . . . . . . . . . . . . . . . . . . . . . . . . 27

    4.2.3.1 Diagramme de classes : coeur du module . . . . . . . . . 284.2.3.2 Diagramme de classes : interface web . . . . . . . . . . . 30

    4.2.4 Schma physique de la base de donnes . . . . . . . . . . . . . . . 314.2.5 Diagramme dactivits . . . . . . . . . . . . . . . . . . . . . . . . . 31

    4.2.5.1 Diagramme dactivits : coeur du module . . . . . . . . . 324.2.5.2 Diagramme dactivits : Interface web . . . . . . . . . . . 35

    4.2.6 Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37

    5 Ralisation 395.1 Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 395.2 Environnement de travail . . . . . . . . . . . . . . . . . . . . . . . . . . . 39

    5.2.1 Environnement matriel . . . . . . . . . . . . . . . . . . . . . . . . 395.2.2 Environnement logiciel . . . . . . . . . . . . . . . . . . . . . . . . . 39

    5.3 Principe de fonctionnement du module . . . . . . . . . . . . . . . . . . . . 405.3.1 Serveur IPS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40

    5.3.1.1 Phase de rcupration . . . . . . . . . . . . . . . . . . . . 405.3.1.2 Phase de synchronisation . . . . . . . . . . . . . . . . . . 40

    5.3.2 Agent IPS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 415.3.2.1 Phase dauto identification . . . . . . . . . . . . . . . . . 425.3.2.2 Phase dexcution des ordres . . . . . . . . . . . . . . . . 425.3.2.3 Phase de sauvegarde . . . . . . . . . . . . . . . . . . . . . 43

    5.3.3 Interface web : Menu RS IPS . . . . . . . . . . . . . . . . . . . . . 435.3.3.1 Arborescence du menu . . . . . . . . . . . . . . . . . . . 435.3.3.2 Architecture du menu . . . . . . . . . . . . . . . . . . . . 44

    5.4 Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49

    6 Conclusion et perspectives 51

    7 Annexe 537.1 Intgration du module IPS . . . . . . . . . . . . . . . . . . . . . . . . . . . 537.2 Bibliothque . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58

  • Table des figures

    2.1 Acces Model . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72.2 Stack de service . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82.3 Service SaaS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9

    3.1 Architecture dAlienvault . . . . . . . . . . . . . . . . . . . . . . . . . . . 123.2 Cheminement du flux dinformations . . . . . . . . . . . . . . . . . . . . . 143.3 Principe de la corrlation . . . . . . . . . . . . . . . . . . . . . . . . . . . 19

    4.1 Diagramme de cas dutilisation gnral . . . . . . . . . . . . . . . . . . . . 244.2 Diagramme de cas dutilisation de linterface Web . . . . . . . . . . . . . . 254.3 Interaction du module IPS avec le systme . . . . . . . . . . . . . . . . . . 274.4 Diagramme de classes : coeur du module . . . . . . . . . . . . . . . . . . . 294.5 Diagramme de classes : Interface web ( Menu ) . . . . . . . . . . . . . . . 304.6 Schma physique de la BD . . . . . . . . . . . . . . . . . . . . . . . . . . . 314.7 Diagramme dactivits : Serveur IPS . . . . . . . . . . . . . . . . . . . . . 334.8 Diagramme dactivits : Agent IPS . . . . . . . . . . . . . . . . . . . . . . 344.9 Diagramme dactivits : interface web . . . . . . . . . . . . . . . . . . . . 36

    5.1 Arborescence du menu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 435.2 White list . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 445.3 Black list . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 445.4 Ajout adresse IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 455.5 Generate report . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 455.6 Extrait du rapport . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 465.7 Graphique du nombre des agents et des adresses bloques, acceptes . . . 475.8 Pourcentage des services . . . . . . . . . . . . . . . . . . . . . . . . . . . 475.9 Top 10 Events . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 485.10 Top 10 Alarms . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49

    7.1 Organigramme des fichiers du Serveur IPS . . . . . . . . . . . . . . . . . . 547.2 Organigramme des fichiers du Agent IPS . . . . . . . . . . . . . . . . . . . 557.3 Organigramme des fichiers du menu RS IPS . . . . . . . . . . . . . . . . . 567.4 Interface web : Menu RS IPS . . . . . . . . . . . . . . . . . . . . . . . . . 57

  • Liste des tableaux

    3.1 Avanatges/inconvnients Alienvault . . . . . . . . . . . . . . . . . . . . . . 21

  • INTRODUCTION GENERALE

    1

  • 1 Introduction gnrale

    IntroductionDe nos jours, le Systme dInformation S.I est devenu vital pour la majorit des

    entreprises. Garant de lactivit de lentreprise pour certaine ou simple garant des don-nes confidentielles pour dautres, une interruption de service du S.I induirait des risquesmajeurs pour lentreprise :

    Risque de perte financire, Risque de petre dimage de marque, Risque dimpact juridique.

    Ces risques augmentent lors de lutilisation dun systme dinformation existantdans un environnement du cloud computing.

    La scurit du cloud est un sous domaine du cloud computing en relation avec lascurit informatique. Assurer la scurit de cet environnement revient garantir lascurit des rseaux, du matriel et les stratgies de contrles dployes afin de protgerles donnes, les applications et linfrastructure associe au cloud computing.

    Etat de lexistantUn aspect important du cloud est la notion dinterconnexion avec divers matriels

    qui rend difficile et ncessaire la scurisation de ces environnements. Un problme descurit dans une plateforme sur le cloud peut engendrer une perte conomique maisgalement une mauvaise rputation si toutefois cette plateforme est oriente au grandpublic.

    Tout systme informatique peut tre la cible dune menace qui cherchera exploiter sesvulnrabilits. Pour attnuer cette menace, les intervenants du cloud devraient investirmassivement dans lvaluation des risques informatiques afin de sassure