You are on page 1of 9

S E C U R I N E T S

C lu b d e la s c u r it in f o r m a t iq u e I N S A T

Dans le cadre de SECURIDAY 2009

SECURINETS

Prsente

Atelier : OSSIM

Formateurs:
1. 2. 3. 4.

BOUCHRIHA Aymen BOURGUIBA Mouna EL GARES Afef OUERGHI Manel

S E C U R I N E T S Club de la scurit informatique I N S A T www.securinets.com Tel : 23 579 379

S E C U R I N E T S
C lu b d e la s c u r it in f o r m a t iq u e I N S A T

1. Prsentation :
OSSIM est une solution offrant une infrastructure pour le monitoring de la scurit rseau. Ses objectifs consistent : Fournir un cadre centralis Fournir une console dorganisation Amliorer la dtection et laffichage des alarmes de scurit

2. Outils utiliss :
Les outils utiliss sont : un serveur OSSIM version 1.0.6 tlchargeable partir du site : http://www.ossim.net/docs/INSTALL.Debian.quick.html Lagent PADS Lagent TCPTRACK Lagent P0F Lagent SNORT Lagent NTOP Les dernires versions de ces agents peuvent tre installes laide de la commande : atpget install. 3. Architecture OSSIM : Larchitecture dOSSIM est divise en 2 principaux tages : Pr-processing : remonte dvnements des moniteurs et dtecteurs dans une base de donnes commune. Post- processing : analyse centralise. La figure ci-dessous illustre le fonctionnement en 2 tages. Nous remarquons que ces deux tages disposent de diffrentes bases de donnes permettant la sauvegarde des informations intermdiaires (corrles).

Figure 1 : Architucture OSSIM


S E C U R I N E T S Club de la scurit informatique I N S A T www.securinets.com Tel : 23 579 379

S E C U R I N E T S
C lu b d e la s c u r it in f o r m a t iq u e I N S A T

Dfinitions des bases de donnes : EDB : La base de donnes des vnements (la plus grande), stockant toutes les alarmes individuelles. KDB : La base de donnes des connaissances, sauvegardant les configurations tablies par ladministrateur en charge de la scurit. UDB : La base de donnes des profils, stockant toutes les informations du moniteur de profile. Nous dtaillons lacheminement dune alarme dans larchitecture dfinie par la figure ci-dessus.

Figure 2. Data flow du serveur OSSIM

1. Dtection dun vnement suspect par un dtecteur (par signatures ou par lheuristique). 2. Si ncessaire, des alarmes seront regroupes (par le dtecteur) afin de diminuer le trafic rseau. 3. Le collecteur reoit la/les alarme(s) via diffrents protocoles de communications ouverts. 4. Le parser normalise et sauve les alarmes dans la base de donnes dvnements (EDB). 5. Le parser assigne une priorit aux alarmes reues en fonction de la configuration des polices de scurits dfinies par ladministrateur scurit. 6. Le parser value le risque immdiat reprsent par lalarme et envoie si ncessaire une alarme interne au Control panel 7. Lalerte est maintenant envoye tous les processus de corrlation qui mettent jour leurs tats et envoient ventuellement une alerte interne plus prcise (groupe dalerte provenant de la corrlation) au module de centralisation. 8. Le moniteur de risque affiche priodiquement ltat de chaque risque calcul par CALM.

S E C U R I N E T S Club de la scurit informatique I N S A T www.securinets.com Tel : 23 579 379

S E C U R I N E T S
C lu b d e la s c u r it in f o r m a t iq u e I N S A T

9. Le panneau de contrle affiche les alarmes les plus rcentes et met jour les indices des tats qui sont compars aux seuils dfinis par ladministrateur. Si les indices sont suprieurs aux seuils configurs, une alarme interne est mise. 10. Depuis le panneau de contrle, ladministrateur a la possibilit de visualiser et rechercher des liens entre les diffrentes alarmes laide de la console forensic.

4. Fonctionnement logiciel de larchitecture : a. Les applications Ossim-server et Ossim-agent :


Ossim-agent : rcupre simplement les informations des fichiers de logs des plugins et les envoie directement au serveur Ossim permettant ainsi le traitement temps rel de celles-ci. De plus, lagent Ossim soccupera de la mise en marche et de larrt des diffrentes sondes qui lui sont connectes. Ossim-server : constitue le noyau de larchitecture. En effet, celui-ci comporte les modules danalyse et de corrlation des donnes ainsi quun serveur Web permettant linteraction avec lutilisateur (administrateur rseau).

b. Fonctionnement avec une sonde Ntop :


Ce logiciel analyse en temps rel le trafic rseau et met disposition une liste de compteurs, permettant le monitoring ainsi que le calcul de statistiques. La sonde Ntop met en place un serveur Web permettant le son monitoring ainsi que la sa configuration distance. Le plugin de sortie RRD est ncessaire pour lintgration de Ntop dans Ossim. Celui-ci permet lenregistrement des donnes sous forme de tourniquet. Le principe de communication dune sonde Ntop avec le serveur OSSIM est illustr par la figure ci dessous.

Figure 3 : Principe de communication entre une sonde Ntop et le serveur dOSSIM

S E C U R I N E T S Club de la scurit informatique I N S A T www.securinets.com Tel : 23 579 379

S E C U R I N E T S
C lu b d e la s c u r it in f o r m a t iq u e I N S A T

Le script Perl rrd plugin.pl effectue la liaison entre Ntop et lagent Ossim. Celui-ci interroge priodiquement la base de donne RRD laide de loutil RRDtool. Il rcupre les seuils des compteurs dfinis par ladministrateur rseau laide du framework de configuration et les compare aux donnes prcdemment rcupres. Les ventuels dpassements des seuils sont ensuite stocks dans un fichier de log (/var/log/ossim/rrd plugin.log) qui sera rcupr par lagent Ossim afin de permettre lenvoi temps rel des informations au serveur. La corrlation des ces informations peut ensuite tre effectue sur le serveur.

c. Fonctionnement de larchitecture avec une sonde PADS :


PADS va permettre didentifier les machines (adresses IP et MAC) ainsi que leurs services uniquement en sniffant le rseau. Il permettra laffichage des services dune machine sans avoir oprer un scan actif. Il permettra laffichage des services dune machine configure sur Ossim sans oprer un scan actif. Le principe de communication dune sonde PADS avec le serveur OSSIM est illustr par la figure ci-dessous.

Figure4 : Principe de communication entre une sonde PADS et le serveur dOSSIM

Le logiciel PADS reportera simplement toutes les informations rcoltes dans le fichier de log /var/log/ossim/pads.csv (indiqu dans la configuration du plugin, fichier /etc/ossim/agent/plugins/pad.xml). Lagent Ossim se chargera ensuite de les rcolter et de les envoyer de manire temps rel au serveur.

d. Fonctionnement avec une sonde P0f :


P0f est un logiciel de dtection de systme dexploitation passif. Il analyse les trames transitant sur le rseau (le segment analys) et les compare avec une base de donnes des caractristiques de chaque OS (prise dempreintes) afin den retrouver lOS correspondant. P0f est totalement passif. Il ne gnre aucun trafic rseau supplmentaire.

S E C U R I N E T S Club de la scurit informatique I N S A T www.securinets.com Tel : 23 579 379

S E C U R I N E T S
C lu b d e la s c u r it in f o r m a t iq u e I N S A T

Le principe de communication dune sonde P0f avec le serveur OSSIM est illustr par la figure ci-dessous.

Figure 5 : Principe de communication entre une sonde P0f et le serveur dOSSIM

Celui-ci est assez simple. P0f crit ses logs dans le fichier /var/log/ossim/p0f.log (chemin fournit P0f par lagent Ossim lors du lancement de P0f). Ce chemin se trouve donc dans la configuration du plugin P0f (/etc/ossim/agent/plugins/p0f.xml) de lagent. Le daemon agent (ossim-agent) soccupera ensuite de les rcuprer afin de les envoyer au serveur Ossim pour une analyse temps rel.

e. Fonctionnement avec une sonde TCPTrack :


TCPTrack est un sniffer affichant des informations sur les connexions TCP quil rencontre sur une interface. Il dtecte passivement les connexions TCP sur linterface analyser et affiche les informations. Il permet laffichage des adresses source et destination, de ltat de la connexion, du temps de connexion ainsi que de la bande passante utilise.

Le principe de communication dune sonde TCPTrack avec le serveur OSSIM est illustr par la figure ci-dessous.

Figure 6 : Principe de communication entre une sonde TCPTrack et le serveur dOSSIM


S E C U R I N E T S Club de la scurit informatique I N S A T www.securinets.com Tel : 23 579 379

S E C U R I N E T S
C lu b d e la s c u r it in f o r m a t iq u e I N S A T

TCPTrack fonctionne dune manire similaire laffichage Web des informations de Ntop. En effet, aucune information nest spontanment envoye vers le serveur Ossim. TcpTrack ouvre simplement un port serveur sur la loopback de lagent. Cest ensuite le serveur Ossim, qui lors du procd de corrlation, interrogera si ncessaire lagent afin quil interroge son tour TCPTrack). Une fois les informations rcoltes par lagent, celui-ci ce chargera de les remettre au serveur qui les utilisera pour la corrlation. Lagent joue donc un rle dintermdiaire entre le serveur et le sonde TCPTrack.

f. Fonctionnement de larchitecture avec une sonde Snort :


Snort est un systme de dtection d'intrusions rseau en Open Source, capable d'effectuer l'analyse du trafic en temps rel. On l'utilise en gnral pour dtecter une varit d'attaques et de scans. Il peut tre configur pour fonctionner en plusieurs modes. Dans la cadre de larchitecture dOSSIM, Snort fonctionne en mode NIDS. En effet, il analyse le trafic du rseau, compare ce trafic des rgles dj dfinies par lutilisateur et tabli des actions excuter. Le principe de communication dune sonde Snort avec le serveur OSSIM est illustr par la figure ci-dessous :

Figure 7 : Principe de communication entre une sonde SNORT et le serveur dOSSIM

Nous remarquons que lIDS Snort est indpendant du programme client dOSSIM (nomm : ossim-agent) et que deux flux dinformations sont mis en direction du serveur.

S E C U R I N E T S Club de la scurit informatique I N S A T www.securinets.com Tel : 23 579 379

S E C U R I N E T S
C lu b d e la s c u r it in f o r m a t iq u e I N S A T

5. Installation et configuration
a. Server OSSIM : On tlcharge et on installe le serveur OSSIM partir du site officiel d'OSSIM
http://www.ossim.org/OSSIM/Downloads.html

b. Agent OSSIM: On install avec apt-get install ossim-agent: # apt-get install ossim-agent On configure lagent ossim en effectuant des modifications sur son fichier /etc/ossim/agent/config.cfg: # vi /etc/ossim/agent/config.cfg

sensor = 127.0.0.1 interface = eth0 # interface from where the event has come date_format = %Y-%m-%d %H:%M:%S ; format, not date itself ossim_dsn=mysql:localhost:ossim:root:yoursecretpassword

enable = True ip = 127.0.0.1 port = 40001 GRANT ALL PRIVILEGES ON *.* TO 'snort_database_user'@sensor_ip identified by 'mysql_password';

c. Outils supplmentaires :
NTOP : # apt-get install librrd2 ntop # ntop -u ntop >> Please enter the password for the admin user: # ^C # /etc/init.d/ntop start

S E C U R I N E T S Club de la scurit informatique I N S A T www.securinets.com Tel : 23 579 379

S E C U R I N E T S
C lu b d e la s c u r it in f o r m a t iq u e I N S A T

PADS : # apt-get install pads

P0F : # apt-get install p0f

TCPTRACK : # apt-get install tcptrack

Aprs chaque installation on utilise la commande suivante pour activer loutil chez lagent : # dpkg-reconfigure ossim-agent

Pour plus de renseignement veuillez consulter notre site :


http://securinets.souayeh.com/index.php?option=com_docman&task=cat_view&gid=90&Itemid=56

S E C U R I N E T S Club de la scurit informatique I N S A T www.securinets.com Tel : 23 579 379

You might also like