Mémoire DANSI Francine Zinhoué - Compressed

REPUBLIQUE DU BENIN
¤¤¤¤¤¤¤¤¤¤
UNIVERSITÉ D’ABOMEY - CALAVI (UAC)
¤¤¤¤¤¤¤¤¤¤
ECOLE POLYTECHNIQUE D’ABOMEY-CALAVI (EPAC)
¤¤¤¤¤¤¤¤¤¤
DEPARTEMENT DE GENIE INFORMATIQUE ET
TELECOMMUNICATIONS (GIT)
Option: Réseaux Informatiques et Internet (RII)
MEMOIRE DE FIN DE FORMATION

POUR L’OBTENTION DU
DIPLOME D’INGENIEUR DE CONCEPTION
SUPERVISION DE LA STRATEGIE DE SECURITE

D’UN RESEAU INFORMATIQUE : CAS DE L’EPAC
Rédigé et présenté par : Francine Zinhoué DANSI
Sous la supervision de : Ir. Bidossessi Rodrigue ALAHASSA

Maître de mémoire, Capitaine au Camp Ghézo
Année Académique: 2015 – 2016
9ème Promotion
Supervision de la stratégie de sécurité d’un réseau informatique : cas de l’EPAC
SOMMAIRE
SOMMAIRE………………………................................................................................ i
DEDICACES……………….. .......................................................................................iii
REMERCIEMENTS ..................................................................................................... iv
LISTE DES SIGLES ET ACRONYMES ..................................................................... vi
LISTE DES FIGURES ................................................................................................viii
RESUME……………….. .............................................................................................. x
ABSTRACT………… .................................................................................................. xi
INTRODUCTION .......................................................................................................... 2
ETAT DE L’ART ................................................................................... 5
CHAPITRE 1 : STRATÉGIE DE SECURITE D'UN RESEAU ................................. 6
CHAPITRE 2 : SUPERVISION DE LA STRATEGIE DE SECURITE D’UN

RESEAU INFORMATIQUE ..........................................Erreur ! Signet non défini.11
APPROCHE METHODOLOGIQUE ................................................... 24
CHAPITRE 3 : PROPOSITION D’UNE STRATEGIE DE DE SECURITE .......... 25
CHAPITRE 4: CHOIX ET RECOMMANDATIONS DU LOGICIEL DE

SUPERVISION……… ................................................................................................ 39
CHAPITRE 5 : INSTALLATION ET CONFIGURATION DU LOGICIEL DE

SUPERVISION…………………................................................................................52
RESULTATS - ANALYSES - DISCUSSIONS .................................. 56
CHAPITRE 6 : SIMULATION - RESULTATS - ANALYSES ............................... 57
Réalisé par Francine DANSI i

CHAPITRE 7 : DISCUSION ..................................................................................... 66
CONCLUSIONS ET PERSPECTIVES ....................................................................... 68
REFERENCES BIBLIOGRAPHIQUES ..................................................................... 69
SUMMARY…….......................................................................................................... 72
TABLE DES MATIERES ............................................................................................ 82
Réalisé par Francine DANSI ii

DEDICACES
 mon père DANSI Jean-Marie,

 ma mère WADOTCHEDOHOUN Marie-Madeleine,
 mes frères et sœurs ainsi que toute ma famille,
Réalisé par Francine DANSI iii

REMERCIEMENTS
Au terme de la rédaction de ce mémoire, je voudrais exprimer ma gratitude :
 Au Pr. Mohamed SOUMANOU, Directeur de l’EPAC, à son adjoint Pr.

Clément AHOUANNOU et, à travers eux, à tout le corps professoral ainsi qu'à
tout le personnel administratif pour avoir créé et/ou entretenu les conditions
propices à l'acquisition du savoir durant la période de ma formation ;
 Au Dr. Léopold DJOGBE, chef du département de GIT et à tous les enseignants
qui ont assuré mon encadrement tout au long de mon cycle de formation ;
 A mon maître de mémoire, Ir. Bidossessi Rodrigue ALAHASSA, pour avoir,
malgré la distance, accepté de superviser ce travail et y avoir, en dépit de ses
multiples charges, investi une partie non négligeable de son précieux temps ;
 A mon maître de stage, Sandra DOSSOU, pour l'attention dont j'ai été l'objet de sa
part, sa rigueur, son ouverture d'esprit, sa disponibilité, sa patience et son sens du
partage pour m'avoir facilité l'accès à des informations utiles et à des outils
nécessaires à la rédaction de mon projet ;
 Toutes les personnes qui, de près ou de loin, ont contribué à l’élaboration de ce
mémoire à travers leur soutien, leurs encouragements et leurs conseils. Je pense
particulièrement :
 A Arthur BIO SIKA et à Cadnel BOSAVI ;
 Au Docteur Thierry Oscar EDOH ;
 Aux ingénieurs Moustapha SALIMANE, Steaven CHEDE, Cosme
DOTONOU et Charbel BOCO;
Réalisé par Francine DANSI iv

 A tous mes camarades du département de GIT et de la 9ème promotion du

Secteur Industriel, en particulier Prosper DOKO, Augustin ZOUNMENOU et
Laurenda AGBO ;
 A toute l’équipe de TEKXL.
Réalisé par Francine DANSI v

LISTE DES SIGLES ET ACRONYMES
ARP : Address Resolution Protocol

DMZ : Demilitarized Zone
DoS : Denial of Service attack
EPAC : Ecole Polytechnique d’Abomey-Calavi
FTP : File Transfer Protocol
HIDS : Host-Based Intrusion Detection Systems
HTTP : HyperText Transfer Protocol
HTTPS : HyperText Transfer Protocol Secure

ICMP : Internet Control Message Protocol
IDS : Intrusion Detection System
IP : Internet Protocol
IPv6 : Internet Protocol version 6
IRC : Internet Relay Chat
IPS : Intrusion Prevention System
KIDS : Kernel Intrusion Detection Systems
KIPS : Kernel Intrusion Prevention Systems
NIDS : Network Intrusion Detection Systems
OS : Operating System
OSI : Open Systems Interconnection
POP : Post Office Protocol
POPS : Post Office Protocol Secure
Réalisé par Francine DANSI vi

RFC : Request For Comments
SMTP : Simple Mail Transfer Protocol

SMTPS : Simple Mail Transfer Protocol Secure
SSL : Secure Sockets Layer
SSH : Secure Shell
SFTP : SSH File Transfer Protocol
TCP : Transmission Control Protocol
UDP : User Datagram Protocol
Réalisé par Francine DANSI vii

LISTE DES FIGURES
Figure 1 : Topologie d’un IDS ..................................................................................... 17
Figure 2 : Illustration d’une détection d’intrusion par anormalies ............................... 19
Figure 3 : Illustration d’une détection d’intrusion par signatures ................................ 20
Figure 4: Placement d’un IDS ...................................................................................... 22
Figure 5 : Architecture d’un cluster .............................................................................. 50
Figure 6 : Aperçcu du fichier node.cfg du manager ................................................... 507
Figure 7: Fichier broctl.cfg ......................................................................................... 508
Figure 8 : Environnement de travail virtualbox ........................................................... 60
Figure 9 : Résultat de la commande ifconfig................................................................ 61
Figure 10 : Installation des dépendances de Bro .......................................................... 59
Figure 11 : Résultats de la commande make install ..................................................... 63
Figure 12: Installation de client ssh .............................................................................. 63
Figure 13 : Vérification du status de ssh ...................................................................... 64
Figure 14: Résultat de la commande scp ...................................................................... 64
Figure 15: Fichier node.cfg du manager....................................................................... 61
Figure 16: Résultat de la commande install de broctl .................................................. 61
Figure 17: Vérification de l’état des différents composants du cluster ...................... 616
Figure 18: Démarrage des différents composants du cluster ....................................... 66
Figure 19: Status des machines du cluster .................................................................... 67
Réalisé par Francine DANSI vii

i
Figure 20: Statistique des transmissions ...................................................................... 67
Figure 21: Résultat de l’analyse protocolaire du réseau ............................................... 61
Réalisé par Francine DANSI ix

RESUME
L’actuel réseau informatique de l'EPAC vise à numériser le système éducatif et

administratif de l’école. La protection de ce réseau passe par la mise en place de divers
mécanismes de sécurité. Dans notre travail, nous nous sommes intéressés à la
supervision de la stratégie de sécurité du réseau informatique de l’EPAC. Pour les
besoins de supervision de ce réseau, une stratégie performante de sécurité a été pensée
et proposée. Pour ce faire, les étapes suivantes de supervision ont été prises en compte :
choix d’une stratégie de sécurité, centralisation des alertes provenant des Systèmes de
Détection d’Intrusion (IDS) de notre choix et la gestion des équipements réseaux. Pour
atteindre notre objectif, nous nous sommes servis de Bro qui est un système de détection
d'intrusion réseau.
Mots clés : supervision, stratégie, sécurité, réseau informatique.
Réalisé par Francine DANSI x

ABSTRACT
The current computer network of EPAC aims to digitize the educational and
administrative system of the school. Protection of this network requires the
implementation of various security mechanisms. In our work, we were interested in
supervising the security strategy of this network. For monitoring purposes, a successful
monitoring strategy was conceived and proposed. In order to do this, the following
monitoring steps were taken into account: choice of a security policy, centralization of
alerts from the Intrusion Detection Systems (IDS) of our choice and management of
network equipment. To achieve our goal, we used Bro which is a network intrusion
detection system.
Keywords: supervision, strategy, security, computer network
Réalisé par Francine DANSI xi

INTRODUCTION
Le réseau informatique, qu'il soit ouvert ou non sur internet, est de plus en plus un
élément clé dans le bon fonctionnement d’une organisation, parce qu’il permet une
communication rapide et efficace à l’interne et avec l’extérieur. Ainsi, une
indisponibilité prolongée d’un tel réseau peut entraîner le ralentissement voire la
paralysie de l'activité de celle-ci. Concrètement, une attaque réussie sur le réseau d'une
organisation pourra entraîner une perte financière (liée à l'indisponibilité des ressources
ou à la destruction de données), une perte de crédibilité ou d'image de marque, et enfin
un risque juridique, si les ressources de l'organisation sont utilisées à des fins illicites
Ainsi, pour être certain de la sécurité du réseau, il faut nécessairement l’accompagner

d’une stratégie de sécurité. La stratégie de sécurité est là pour assurer l’intégrité, la
confidentialité, la disponibilité, et la non répudiation de l’information [6].
Afin de maintenir cette sécurité, une stratégie de supervision s’avère indispensable. Ce

qui permettra de vérifier le dynamisme, l’efficacité et la proactivité de la stratégie de
sécurité établie. La supervision permettra aussi à une organisation d'identifier et de
répondre à de nouvelles vulnérabilités et à des menaces en constante évolution.
1. Contexte, justification et problématique
Les dommages occasionnés par les attaques réseaux prennent de jour en jour
d’ampleur. Ceci est une preuve que le renforcement de la sécurité d'un réseau n'est plus
chose à négliger. Étant donné que les menaces réseau s'accroissent tous les jours, les
stratégies de sécurité des réseaux doivent être accompagnées de moyens de supervision.
Pour ce faire, les entreprises, établissements, etc. ont besoin d’une protection complète
de leurs réseaux informatiques.
En effet, beaucoup, sinon la totalité, des fonctions essentielles à la mission d'une

organisation dépendent de la technologie de l’information. La capacité à gérer cette
technologie et assurer la confidentialité, l'intégrité et la disponibilité de l’information
Réalisé par Francine DANSI 2

est maintenant indispensable [6]. Dans la conception de l'architecture d'un réseau et de

l’architecture de sécurité correspondante, une université doit chercher à répondre en
toute sécurité à ses besoins ainsi qu’aux moyens d'accroître son rendement. La sécurité
de l’information est un processus dynamique qui doit être efficace et proactif, géré de
manière à permettre à une organisation d'identifier et de répondre à de nouvelles
vulnérabilités et à des menaces en constante évolution. La mise en place d’une stratégie
de sécurité autour de son réseau est donc primordiale.
Outre la mise en place d’une stratégie de sécurité, il est nécessaire d'avoir des outils de
supervision pour auditer le réseau et détecter d'éventuelles intrusions. L’EPAC étant
une école polytechnique, ce projet pourra l’aider à bien maintenir la sécurité de son
réseau.
2. Objectifs
L’objectif principal de ce sujet est de proposer une stratégie de supervision continue

de la sécurité du réseau informatique de l’EPAC.
Pour atteindre cet objectif principal, les objectifs spécifiques identifiés sont :
 Faire l’état de l’art, des stratégies de sécurité généralement utilisées dans

l’univers informatique, et des méthodes de supervision de la sécurité d’un
réseau ;
 Choisir une stratégie de supervision et définir un mode de déploiement ;
 Simuler, la solution choisie.
3. Structure du document
Le développement du sujet objet du présent mémoire est structuré en trois parties.

Après un état de l’art sur la supervision de la sécurité d’un réseau dans la première
partie, nous allons faire une approche méthodologique du sujet dans la deuxième partie
puis, dans la dernière partie, nous allons faire une analyse d’un système de notre choix,
ce qui nous permettra de discuter autour des résultats obtenus.

ETAT DE L’ART

CHAPITRE 1 : STRATÉGIE DE SECURITE D'UN RESEAU
Dans ce chapitre, nous allons parler des objectifs de la sécurité, des types d’attaques
existantes et enfin des outils de sécurités existants.
Définition
La sécurité d'un réseau est un niveau de garantie que l'ensemble des machines du réseau
fonctionnent de façon optimale et que les utilisateurs desdites machines possèdent
uniquement les droits qui leur ont été octroyés.
Il peut s'agir :
 d’empêcher des personnes non autorisées d'agir sur le système de façon

malveillante ;
 d’empêcher les utilisateurs d'effectuer des opérations involontaires capables de
nuire au système ;
 de sécuriser les données en prévoyant les pannes ;
 de garantir la non-interruption d'un service. [1]
Une stratégie de sécurité réseau est un document générique qui définit des règles à
suivre pour les accès au réseau informatique et pour les flux autorisés ou non, détermine
comment les stratégies sont appliquées et présente une partie de l'architecture de base
de l'environnement de sécurité du réseau.
La stratégie de sécurité réseau est un des éléments de la stratégie de sécurité
informatique, qui est elle-même un des éléments de la stratégie de sécurité du système
d'information.
Cette stratégie est mise en place techniquement par un administrateur en sécurité.

Figure n°1 : Stratégie de sécurité réseau
Stratégie de sécurité
réseau
Stratégie de sécurité
informatique
Stratégie de sécurité du système

d’information
1.2. But
Le but d’une stratégie de sécurité est d’éviter que le système d’information ne devienne
une cible et qu'il ne se transforme pas en un acteur d'attaques par prise de contrôle à
distance. La tendance actuelle est de mettre en place des mécanismes de
contrôle d'accès et des protocoles sécurisés qui apportent plusieurs services :
 Authentification : consiste à demander à un utilisateur de prouver son identité

(en fournissant un mot de passe ou des données biométriques, par exemple) ;
 Confidentialité : garantit aux utilisateurs que les données ne doivent être visibles
que par des personnes habilitées à y accéder ;
 Intégrité : garantit que les données protégées n’ont pas été modifiées par une
personne non autorisée ;
 Non répudiation : empêche un utilisateur de nier la réalité d'un échange de
données.
Plusieurs outils sont utilisés pour assurer la sécurité d’un réseau.

1.2.1. Procédé des pirates

Les pirates ne manquent pas d’idées pour s’en prendre à un réseau informatique. Ils
prennent souvent le contrôle d'une machine afin de pouvoir réaliser les actions telles
que :
 L'obtention d'informations utiles pour effectuer des attaques ;

 Vols de mot de passe ;
 Utilisation de faux réseaux wifi ;
 L’utilisation des failles d'un système ;
 L'utilisation de certains programmes pour démonter un système.
1.3. Les différents types d’attaques

1.3.1. Anatomie d’une attaque
Fréquemment appelés « les 5 P », ces cinq verbes anglophones constituent le squelette
de toute attaque informatique : Probe, Penetrate, Persist, Propagate, Paralyze.
Observons le détail de chacune de ces étapes :
Probe: consiste en la collecte d’informations par le biais d’outils comme whois, Arin,
DNS lookup. La collecte d’informations sur le système cible peut s’effectuer de
plusieurs manières, comme par exemple un scan de ports grâce au programme Nmap
pour déterminer la version des logiciels utilisés, ou encore un scan de vulnérabilités à
l’aide du programme Nessus.
Pour les serveurs web, il existe des outils comme Nikto qui permet de rechercher les
failles connues ou les problèmes de sécurité.
Des outils comme hping ou SNMP Walk permettent quant à eux de découvrir la nature
d’un réseau.
Penetrate : utilisation des informations collectées pour pénétrer un réseau. Des

techniques comme le brute force ou les attaques par dictionnaires peuvent être utilisées

pour outrepasser les protections par mot de passe. Une autre alternative pour s’infiltrer
dans un système est d’utiliser vulnérabilités du système.
Persist: création d’un compte avec des droits de super utilisateur pour pouvoir se
réinfiltrer ultérieurement. Une autre technique consiste à installer une application de
contrôle à distance capable de résister à un reboot (ex : un cheval de Troie).
Propagate : cette étape consiste à observer ce qui est accessible et disponible sur le
réseau local.
Paralyze : cette étape peut consister en plusieurs actions. Le pirate peut utiliser le
serveur pour mener une attaque sur une autre machine, détruire des données ou encore
endommager le système d’exploitation dans le but de planter le serveur. Après ces cinq
étapes, le pirate peut éventuellement tenter d’effacer ses traces, bien que cela ne soit
rarement utile.
1.3.2. Les attaques réseaux

Ces attaques se basent principalement sur des failles liées aux protocoles ou à leur
implémentation. Les Request For Comments(RFC) ne sont parfois pas assez
spécifiques, et un choix particulier d’implémentation dans les différents services ou
clients peut entraîner un problème de sécurité.
1.4. Quelques outils de sécurité réseau

Pour assurer une bonne protection des données d’une organisation, différents outils sont
disponibles. Ils sont en général utilisés ensemble, de façon à sécuriser les différentes
failles existantes dans un système.
Comme outils de sécurité nous avons :

 Nmap (« Network Mapper”) qui est un outil d’analyse du réseau et de

détection au niveau de l’hôte, il peut être utile au cours de plusieurs étapes des
tests d’intrusion. Peut être utilisé comme détecteur de vulnérabilités ou comme
analyseur de sécurité ;
 Wireshark Network Protocol Analyzer qui est un analyseur de protocole
réseau open source permettant aux utilisateurs de parcourir de manière
interactive le trafic de données dans un réseau informatique ;
 Spiceworks Network Monitor : Cet outil assure une supervision en temps réel
de vos serveurs et périphériques réseau compatibles SNMP et fournit des
statistiques sur ceux-ci ; etc.

CHAPITRE 2 : Supervision de la stratégie de la sécurité d’un

réseau
Définition.
La supervision de la stratégie de la sécurité d’un réseau est définie comme le maintien
de la sécurité permanente du réseau contre les vulnérabilités et les menaces à l'appui
des décisions de gestion des risques organisationnels. Elle commence avec la définition
d’une stratégie globale de sécurité. Cette stratégie :
 Doit être fondée sur une compréhension claire de la tolérance au risque

organisationnel ;
 Comprend des paramètres qui donnent des indications significatives de l'état de
la sécurité du réseau;
 Assure l'efficacité continue de tous les contrôles de sécurité;
 Est informée par tous les actifs informatiques de l'organisation et contribue à
maintenir la visibilité dans la sécurité des actifs;
 Assure la connaissance et le contrôle des changements apportés au réseau de
l’organisation et d'environnements; et
 Permet de surveiller, de contrôler le réseau et de détecter les éventuelles menaces
et vulnérabilités.
Une stratégie de supervision de sécurité est établie pour recueillir des informations en
conformité avec des règles de sécurité préétablies, en utilisant des informations
facilement accessibles, en partie, grâce à des contrôles de sécurité mis en œuvre. Les
données sont régulièrement recueillies et analysées aussi souvent que nécessaire pour
maintenir la sécurité.
La supervision peut se faire de deux manières : de façon automatisée et de façon

manuelle. Lorsque les processus manuels sont utilisés, ils sont reproductibles et
vérifiables pour permettre la mise en œuvre cohérente. Les processus automatisés, y

compris l'utilisation d'outils automatisés de supervision (par exemple, des outils

d'analyse de la vulnérabilité, des dispositifs de numérisation en réseau), peut rendre le
processus de supervision plus rentable, cohérente et efficace. Les techniques de
supervision mises en œuvre à l’aide d’outils automatisés peuvent fournir une vue
beaucoup plus dynamique de l'efficacité de ces contrôles. Malgré la stratégie de sécurité
complète de l’information et les contrôles de sécurité mis en œuvre, il faut une
évaluation régulière pour l'efficacité, même si ces contrôles ne peuvent pas être
automatisés ou non facilement automatisé. La sécurité contre les attaques distantes se
renforce, notamment par le biais d'équipements réseau plus puissants (comme des
firewalls plus intelligents), mais les attaques locales restent toutefois encore fort
efficaces: l'ARP Spoofing, le vol de session… restent souvent possibles.
Les attaques distribuées seront toujours redoutables si la plupart des machines

personnelles ne sont pas protégées et s’il n’y a pas un contrôle continu de la sécurité du
réseau. Ce qui nous amène à notre seconde partie: comment détecter et empêcher ces
attaques ?
2.2.Quelques outils de supervision réseau
2.2.1. Détection d’attaques : les IDS
Afin de détecter les attaques que peut subir un réseau, il est nécessaire d'avoir un logiciel
spécialisé dont le rôle serait de surveiller les données qui transitent sur ce réseau, et qui
serait capable de réagir si des données semblent suspectes, de détecter les techniques de
sondage (balayages de ports), les tentatives de compromission de systèmes, des activités
suspectes internes, des activités virales ou encore audit des fichiers de journaux (logs).
Plus communément appelés IDS (Intrusion Detection System), les systèmes de

détection d'intrusions conviennent parfaitement pour réaliser cette tâche.
À l'origine, les premiers systèmes de détection d'intrusions ont été initiés par l'armée
américaine, puis par des entreprises. Plus tard, des projets open source ont été lancés et

certains furent couronnés de succès 3]. Parmi les solutions commerciales, on retrouve
les produits des entreprises spécialisées en sécurité informatique telles qu’Internet
Security Systems, Symantec, Cisco Systems…
Un IDS est essentiellement un sniffer (outil consistant simplement à capturer une

image du trafic qui circule sur un brin d'un réseau) couplé avec un moteur qui analyse
le trafic selon des règles. Ces règles décrivent un trafic à signaler.
Il existe des outils de filtrage très intéressants qui nous permettent de faire du contrôle
par protocole (icmp, tcp, udp), par adresse IP, jusqu'à du suivi de connexion (couches
3 et 4). Même si cela écarte la plupart des attaques, cela est insuffisant pour se
protéger des attaques passant par des flux autorisés. Si cela est assez marginal, car
difficile à mettre en place, l'ouverture de l'informatique au grand public et
l'augmentation de ce type de connaissances font qu'il faudra un jour savoir s'en
protéger efficacement.
Certains termes sont souvent employés quand on parle d'IDS :
 Faux positif : une alerte provenant d'un IDS, mais qui ne correspond pas à une
attaque réelle ;
 Faux négatif : une intrusion réelle qui n'a pas été détectée par l'IDS ;
 Evasion : technique utilisée pour dissimuler une attaque et faire en sorte qu’elle
ne soit pas décelée par l’IDS ;
 Sonde : Composant de l’architecture IDS qui collecte les informations brutes.
Il existe différents types d’IDS : Les systèmes de détection d’intrusion réseau appelés
NIDS (Network Intrusion Detection System) les systèmes de détection d’intrusion hôtes
(Host Intrusions Detection Systems)
2.2.2. Les systèmes de détection d'intrusions « réseau » (NIDS)
Ils analysent de manière passive les flux en transit sur le réseau et détectent les
intrusions en temps réel. Un NIDS écoute donc tout le trafic réseau, puis l'analyse et
génère des alertes, si des paquets semblent dangereux. Les NIDS sont les IDS les plus

intéressants et les plus utiles du fait de l'omniprésence des réseaux dans notre vie
quotidienne [2]. Placés en différents points, ils peuvent permettre une bonne supervision
de l'ensemble d'un réseau. Comme exemple de NIDS, nous avons SNORT qui est un
outil capable d'effectuer aussi en temps réel des analyses de trafic et de logger les
paquets sur un réseau IP. Il peut effectuer des analyses de protocole,
recherche/correspondance de contenu et peut être utilisé pour détecter une grande
variété d'attaques et de sondes comme des dépassements de buffers, scans, attaques sur
sondes et bien plus. Dans la suite de notre travail, nous nous intéresserons au NIDS.
2.2.3. Les systèmes de détection d'intrusions de type hôte (HIDS)
Les HIDS (Host-Based IDS) : ceux-ci sont configurés sur une machine et analyse toute
l'activité s'y déroulant (pas d'analyse du réseau); il peut surveiller l'activité de
l'utilisateur (programmes et commandes utilisées, horaires et durées d'utilisation, etc.),
l'activité de la machine (sa consommation en ressources, son nombre de processus, etc.),
et toute autre forme d'activité jugée malicieuse (virus, cheval de Troie, etc.). Son
avantage est d'avoir peu de faux-positifs, et son inconvénient principal est qu'il faut
configurer un HIDS par machine, et suivant les systèmes et sous-configurations des
systèmes utilisés
Comme exemple de HIDS, nous avons OSSEC qui est un HIDS Open Source.
Développé initialement dans le but d'analyser quelques fichiers journaux de différents
serveurs, il est devenu aujourd'hui bien plus puissant qu'un simple analyseur de logs
capable d'analyser différents formats de journalisation tels que ceux d'Apache, syslog,
Snort, et intégrant un analyseur d'intégrité système, il est devenu aujourd'hui un logiciel
de détection d'intrusions à part entière.
2.2.4. Les systèmes de détection d'intrusions « hybrides »
Généralement utilisés dans un environnement décentralisé, ils permettent de réunir les

informations de diverses sondes placées sur le réseau. Leur appellation « hybride »
provient du fait qu'ils sont capables de réunir aussi bien des informations provenant d'un

HIDS qu'un NIDS. L'exemple le plus connu dans le monde Open-Source est Prelude
[2]. Ce Framework permet de stocker dans une base de données des alertes provenant
de différents systèmes relativement variés. Utilisant Snort comme NIDS, et d'autres
logiciels tels que Samhain en tant que HIDS, il permet de combiner des outils puissants
tous ensemble pour permettre une visualisation centralisée des attaques. [2]
2.2.5. Les systèmes de prévention d'intrusions « kernel » (KIDS/KIPS)
Nous l'évoquions précédemment dans le cadre du HIDS, l'utilisation d'un détecteur

d'intrusions au niveau noyau peut s'avérer parfois nécessaire pour sécuriser une station.
Prenons l'exemple d'un serveur web, sur lequel il serait dangereux qu'un accès en
lecture/écriture dans d'autres répertoires que celui consultable via HTTP, soit autorisé.
En effet, cela pourrait nuire à l'intégrité du système. Grâce à un KIPS, tout accès suspect
peut être bloqué directement par le noyau, empêchant ainsi toute modification
dangereuse pour le système.
Le KIPS peut reconnaître des motifs caractéristiques du débordement de mémoire, et

peut ainsi interdire l'exécution du code. Le KIPS peut également interdire à l'OS
d'exécuter un appel système qui ouvrirait un shell de commandes.
Puisqu'un KIPS analyse les appels systèmes, il ralentit l'exécution. C'est pourquoi ce
sont des solutions rarement utilisées sur des serveurs souvent sollicités.
2.2.6. Les firewalls

Les firewalls ne sont pas des IDS à proprement parler, mais ils permettent également de
stopper des attaques. Nous ne pouvions donc pas les ignorer. Les firewalls sont basés
sur des règles statiques afin de contrôler l'accès des flux. Ils travaillent en général au
niveau des couches basses du modèle OSI (jusqu'au niveau 4), ce qui est insuffisant
pour stopper une intrusion dans le réseau. Par exemple, lors de l'exploitation d'une faille
d'un serveur Web, le flux HTTP sera autorisé par le firewall puisqu'il n'est pas capable
de vérifier ce que contiennent les paquets.

Il existe trois types de firewalls :
 Les systèmes à filtrage de paquets sans état : analysent les paquets les uns
après les autres, de manière totalement indépendante ;
 Les systèmes à maintien d'état (stateful) : vérifient que les paquets
appartiennent à une session régulière. Ce type de firewall possède une table
d'états où est stocké un suivi de chaque connexion établie, ce qui permet au
firewall de prendre des décisions adaptées à la situation. Ces firewalls peuvent
cependant être outrepassés en faisant croire que les paquets appartiennent à une
session déjà établie ;
 Les firewalls de type proxy : le firewall s'intercale dans la session et analyse
l'information afin de vérifier que les échanges protocolaires sont conformes aux
normes.
2.3. Topologie d’un IDS

Ce modèle définit les composants d'un IDS :
 Générateur d'événements : Ebox ;

 Analyseur d'événements : Abox ;
 Stockage d'information : Dbox;
 Contremesure: Cbox.

Figure2 : Topologie d’un IDS
2.4. Fonctionnement d’un IDS

Pour bien gérer un système de détection d'intrusions, il est important de comprendre
comment fonctionne celui-ci. Une question simple se pose alors : comment une
intrusion est-elle détectée par un tel système ? Quel critère différencie un flux contenant
une attaque d'un flux normal ?
Ces questions nous ont permis d’étudier le fonctionnement interne d'un IDS. De là,
nous en avons déduit deux approches mises en place dans la détection d'attaques :
l'approche comportementale et l'approche par scénarios [5]. On peut citer aussi d'autres
critères de classification des IDS : la fréquence d'utilisation, les sources de données à
analyser, le comportement de l'IDS après intrusion.
2.4.1. Approche comportementale

L'approche comportementale est fondée sur une description statistique des sujets.
L'objectif est de détecter les actions anormales effectuées par ces sujets (par exemple,
des heures de connexion anormales, un nombre anormal de fichiers supprimés ou un
nombre anormal de mots de passe incorrects fournis au cours d'une connexion). Le
comportement normal des sujets est appris en observant le système pendant une période
donnée appelée phase d’apprentissage (par exemple, un mois). Le comportement

normal, appelé comportement sur le long terme, est enregistré dans la base de données
et comparé avec le comportement présent des sujets, appelé comportement à court
terme. Une alerte est générée si une déviation entre ces comportements est observée.
Dans cette approche, le comportement sur le long terme est, en général, mis à jour
périodiquement pour prendre en compte les évolutions possibles des comportements
des sujets. Nous ne considérons traditionnellement que l'avantage principal de
l'approche comportementale soit de pouvoir être utilisée pour détecter de nouvelles
attaques. Autrement dit, en signalant toute déviation par rapport au profil, il est possible
de détecter a priori toute attaque qui viole ce profil, même dans le cas où cette attaque
n'était pas connue au moment de la construction du profil. Cependant, cette approche
présente également plusieurs inconvénients. Tout d'abord, le diagnostic fournit par une
alerte est souvent flou et nécessite une analyse complémentaire.
Ensuite, cette approche génère souvent de nombreux faux positifs [5] car une déviation
du comportement normal ne correspond pas toujours à l'occurrence d'une attaque.
Citons à titre d’exemples, en cas de modifications subites de l'environnement de l'entité
modélisée, cette entité changera sans doute brutalement de comportement. Des alarmes
seront donc déclenchées. Pour autant, ce n'est peut‐être qu'une réaction normale à la
modification de l'environnement.
En outre, les données utilisées en apprentissage doivent être exemptes d'attaques, ce qui
n’est pas toujours le cas. Enfin, un utilisateur malicieux peut habituer le système (soit
pendant la phase d'apprentissage, soit en exploitation si l'apprentissage est continu) à
des actions malveillantes, qui ne donneront donc plus lieu à des alertes. Le problème de
la détection d'intrusions est couramment approché d'une façon radicalement différente
qui est l’approche par scénario.

Apprentissage: Définition Utilisation: Calcul du

d’un profil de référence profil courant
Comparaison
des profils
Figure 1 : Illustration d’une détection d’intrusion par anomalies

Source: [3]
2.4.2. Approche par scénario

La détection d'intrusions peut également s'effectuer selon une approche par scénario. Il
s'agit de recueillir des scénarios d'attaques pour alimenter une base d'attaques. Le
principe commun à toutes les techniques de cette classe consiste à utiliser une base de
données, contenant des spécifications de scénarios d'attaques (on parle de signatures
d'attaque et de base de signatures). Le détecteur d'intrusions compare le comportement
observé du système à cette base et remonte une alerte si ce comportement correspond à
une signature prédéfinie. Le principal avantage d'une approche par scénario est la
précision des diagnostics qu'elle fournit par rapport à ceux avancés par l'approche
comportementale. Il est bien entendu que l'inconvénient majeur de cette approche est
qu'elle ne peut détecter que des attaques dont elle dispose les signatures. Or, définir de
façon exhaustive la base de signatures est une des principales difficultés à laquelle se
heurte cette approche. La génération de faux négatifs est à craindre en présence des
nouvelles attaques. En effet, contrairement à un système de détection d'anomalies, ce
type de détecteur d'intrusions nécessite une maintenance active : puisque par nature il
ne peut détecter que les attaques dont les signatures sont dans sa base de données, cette
base doit être régulièrement (sans doute quotidiennement) mise à jour en fonction de la

découverte de nouvelles attaques. Aucune nouvelle attaque ne peut par définition être
détectée.
D’autre part, il existe de nombreuses attaques difficiles à détecter car elles nécessitent
de corréler plusieurs événements. Dans la plupart des produits commerciaux, ces
attaques élaborées sont décomposées en plusieurs signatures élémentaires. Cette
décomposition peut générer de nombreux faux positifs si un mécanisme plus global
n'est pas développé pour corréler les alertes correspondant à ces différentes signatures
élémentaires. Chacune de ces deux approches peut conduire à des faux‐positifs
(détection d’attaque en absence d’attaque) ou à des faux‐négatifs (absence de détection
en présence d’attaque) [5].
Signatures
Capture Analyse
Alertes
Figure 3 : Illustration d’une détection d’intrusion par signatures

Source: [3]
2.4.3. Autres critères

Parmi les autres critères de classification existants, nous pouvons citer entre autres :
 Les sources de données à analyser :
Les sources possibles de données à analyser sont une caractéristique essentielle des
systèmes de détection d'intrusions. Les données proviennent, soit d'informations
obtenues en écoutant le trafic sur le réseau, soit de fichiers générés par le système
d'exploitation, soit encore de fichiers générés par des applications.
 Le comportement de l’IDS après intrusion :

Une autre façon de classer les systèmes de détection d'intrusions, consiste à voir quelle
est leur réaction lorsqu'une attaque est détectée se contentant ainsi de déclencher une
alarme qui est une réponse passive.
 La fréquence d’utilisation :
Une autre caractéristique des systèmes de détection d'intrusions est leur fréquence
d'utilisation : périodique ou continue. Certains systèmes de détection d'intrusions
analysent périodiquement les traces d’audit à la recherche d'une éventuelle intrusion ou
anomalie passée. Cela peut être suffisant dans des contextes peu sensibles.
La plupart des systèmes de détection d'intrusions récents effectuent leur analyse des
traces d’audit ou des paquets réseau de manière continue afin de proposer une détection
en quasi temps réel. Cela est nécessaire dans des contextes sensibles (confidentialité,
disponibilité). C'est toutefois un processus coûteux en temps de calcul car il faut
analyser, à la volée, tout ce qui se passe sur le système.

2.5. Placement des IDS

Le placement des IDS dépend de la stratégie de sécurité menée. Mais il serait
intéressant de placer des IDS :
 Dans la zone démilitarisée (attaques contre les systèmes publics) ;

 Dans le (ou les) réseau(x) privé(s) (intrusions vers ou depuis le réseau interne),
Juste après un firewall (détection de signes d'attaques dans tout le trafic entrant et
sortant, avant que n'importe quelle protection n’intervienne).
La figure ci-dessous illustre bien les emplacements possibles d’IDS dans l’architecture
d’un réseau
Figure 4: Placements possibles d’un IDS

Source: [3]

2.6. Conclusion partielle

Bien que répandus dans les organisations aujourd'hui, les systèmes de détection
d'intrusions ne représentent qu'un maillon d'une stratégie de sécurité. En effet, même si
ceux-ci permettent la détection, parfois l'arrêt, des intrusions, ils restent néanmoins
vulnérables eux aussi face aux attaques externes.
C'est pourquoi, pour une sécurité optimale, ces outils doivent être couplés à d'autres,
comme l'indispensable pare-feu. Mais ils doivent aussi être mis à jour, aussi bien le
cœur du logiciel comme la base de signatures, qui constitue la base d'une détection
efficace. Il faut également coupler les systèmes de détection entre eux : c'est-à-dire ne
pas hésiter à placer des NIDS, HIDS et KIDS dans le même réseau. Leurs rôles sont
différents, et chacun apporte ses fonctionnalités.
L'efficacité des détections passe aussi par une bonne implémentation des algorithmes
de recherche. Toutefois, et nous terminerons par ceci, même si une certaine maturité
dans ce domaine commence à se sentir, le plus important reste de savoir de quoi il faut
se protéger.

APPROCHE
METHODOLOGIQUE

CHAPITRE 3 : PROPOSITION D’UNE STRATEGIE DE

SECURITE
Cadre de la stratégie
L’EPAC est un établissement qui, aujourd’hui doit faire face au défi d’assurer la
sécurité de son réseau informatique afin de protéger les données confidentielles ou non
de l’établissement ainsi que la réputation de ce dernier.
Étant donné le caractère changeant de la technologie, le personnel administratif, les

enseignants et les étudiants de l’EPAC jouent le rôle d’acteurs de la sécurité de son
réseau informatique. La stratégie de sécurité du réseau de l’EPAC constitue un cadre
sur lequel les étudiants, enseignants et personnels de l'EPAC peuvent et doivent se baser
lorsqu’ils souhaitent accéder aux données qui y sont stockées.
3.2. Introduction
La stratégie de sécurité du réseau de l’EPAC a pour objet de protéger le réseau de

l'EPAC, de mettre en garde, de recommander et d’informer les utilisateurs du réseau
(personnels, étudiants, civils) et autres personnes associées contre les dégâts qui
peuvent être causés par l’usage intentionnel ou accidentel de ses données de façon
déplacée. Le non-respect des conditions d’utilisation du réseau peut avoir d’importantes
répercussions. Les dégâts potentiels peuvent inclure les, sans se limiter aux, infections
par malwares (par ex. les virus), les pénalités légales et financières découlant d’une fuite
de données, et une perte de productivité résultant d’un temps d’inactivité du réseau.
Tous les utilisateurs, sans exception, sont responsables de la sécurité du réseau et des
données qui y sont stockées. Par conséquent, tous ces utilisateurs doivent adhérer
strictement aux lignes directives énoncées cette présente stratégie à tout moment. En
cas d’hésitations quant au contenu de cette présente stratégie, l’utilisateur est invité à
s’adresser au responsable de la sécurité informatique.

3.3. Terminologies
 Utilisateur : C’est quelqu’un qui utilise quelque chose. Dans le cas d’un réseau,
l’utilisateur ne désigne que toute personne ayant accès au réseau et à ses
ressources.
 Système: désigne tout équipement informatique qui se connecte à un réseau ou
qui a accès aux services d’un réseau. Ceci inclut les, sans se limiter aux,
ordinateurs fixes et portables, Smartphones, tablettes, imprimantes, réseaux voix
et données, appareils en réseau, logiciels, données informatisées, périphériques
de stockage amovibles, appareils téléphoniques, ainsi que toute autre technologie
susceptible de s’appliquer à cette description.
 Propriétaire : désigne une direction, un service ou une unité administrative qui
est le principal utilisateur d’une application et dont il est l’ultime responsable
(imputable) de son utilisation et du traitement de l’information y découlant.
3.4. Champ d’application de la présente stratégie
La stratégie de sécurité du réseau de l’EPAC s’applique sans exception au personnel,

aux étudiants, enseignants et à tous les tiers utilisant le réseau de l'EPAC. La stratégie
énonce les principes qui permettent aux utilisateurs d’obtenir les accès requis pour leur
permettre d’effectuer leurs travaux. La sécurité informatique du réseau de l'EPAC
reposera sur une bonne connaissance des règles par les employés, grâce à des actions
de formation et de sensibilisation auprès des utilisateurs, mais elle ira au-delà et
notamment couvrira les champs suivants :
 Un dispositif de sécurité physique et logique, adapté aux besoins de l'EPAC et

aux usages des utilisateurs ;
 Une procédure de management des mises à jour ;
 Une stratégie de sauvegarde correctement planifiée ;
 Un système documenté à jour.

3.5. Objectifs
La stratégie de sécurité de l’EPAC vise les objectifs suivants :
 Assurer que les utilisateurs observent les bonnes pratiques et les règles quant à
l’utilisation du réseau de l’EPAC;
 Assurer que les normes en matière de sécurité réseau soient dûment mises en
application ;
 Réviser périodiquement les résultats des contrôles, notamment pour y relever les
anomalies et autres incidents ;
 Recommander les actions à prendre pour corriger les situations anormales ou
dangereuses, notamment, les processus opérationnels et les grandes stratégies en
matière informatique.
3.6. Documents à l’appui de la stratégie

3.6.1. Administration et organisation de la sécurité
L'EPAC doit mettre en place une stratégie de sécurité qui garantit la bonne exécution
des mesures de sécurité qu’il impose. L’EPAC doit tenir à ce que son organisation et
son administration soient parfaitement définies et connues de tout le personnel de
l'école. Dépendant étroitement de l’organisation de l'EPAC, cette stratégie de sécurité
doit remplir les fonctions ci-après.
3.6.1.1. Les partenaires de la sécurité et leurs rôles
 L’utilisateur
Appelé encore utilisateur d’un poste de travail, l’utilisateur est responsable vis-à-vis de
son autorité hiérarchique de l’utilisation globale du poste de travail qui lui a été confié.
Il doit respecter les règles de sécurité édictées par l’autorité hiérarchique et se tenir en
relation permanente avec le correspondant local de sécurité.

 L’administrateur système et le gestionnaire du réseau
Appelés encore responsable d’exploitation, l’administrateur système et le gestionnaire

de réseau sont des utilisateurs particuliers. Ils sont responsables du bon fonctionnement
du réseau, des serveurs de fichiers, qui y sont connectés. Ils doivent avoir une bonne
compétence en informatique et présenter un haut degré de confiance.
3.6.1.2. Les procédures
Tout nouvel utilisateur d’un poste de travail doit lire, approuver et signer un engagement
de responsabilité avant d’avoir le droit d’accès aux ressources informatiques de l'EPAC.
Ainsi, l’utilisateur qui s’expose en enfreignant les règles de cet engagement sera soumis
aux sanctions qui lui seront prononcées par seul l'administrateur réseau.
3.6.2. La sécurité physique
La sécurité du système de contrôle des accès aux réseaux est souvent critique pour la
sécurité d’une structure. En effet, dès lors qu’un pirate parvient à obtenir un accès au
réseau interne de l'EPAC, les mesures de sécurité périmétriques mises en place
deviennent inefficaces. Des mesures de sécurité physique doivent être prises pour
empêcher l’accès non autorisé à des informations sensibles.
3.6.2.1. Installation du matériel informatique
En l’absence du personnel, les locaux où se trouvent les postes de travail doivent être
fermés à clé. Les locaux de plus grande vulnérabilité doivent être contrôlés par un
système anti-intrusion et éventuellement équipés d’un système d’alarme.
3.6.2.2. Contrôle des accès du personnel aux matériels

 Afin d’éviter le vol, les claviers doivent être verrouillés en cas de non utilisation,
les postes de travail doivent être fixés à la table et mis sous tension verrouillée.
 Certains micro-ordinateurs sont maintenant équipés de cadenas incorporés qui
permettent d’éviter une ouverture frauduleuse du boîtier de l’unité centrale, c’est

un élément à prendre en considération lors du choix d’un matériel. Ces mesures

prennent davantage d’importance si un disque non amovible est utilisé.
 Un inventaire complet des matériels doit être fait au moins une fois par an.
Indépendamment des inventaires, si un matériel disparaît, il convient d’en avertir
immédiatement l’autorité responsable.
 Les supports d’information sensibles, non en cours d’utilisation telles les disques
de logiciel de base ou les sauvegardes, doivent être conservés dans une armoire
fermée à clé.
 Les supports amovibles sont un moyen privilégié de propagation des codes
malveillants et d’exfiltration de données. Étant donné qu’il ne sera pas réaliste
d’interdire complètement la connexion de supports amovibles sur l’ensemble des
machines de l'EPAC, il convient donc d’essayer d’en limiter au maximum
l’usage. Nous proposons ici que l’administrateur identifie les machines sur
lesquelles la connexion de support amovibles est nécessaire, de n’autoriser la
connexion que sur celles-ci et de reprendre fréquemment cette liste dans une
optique de minimisation du nombre de machines qui y figurent. Aussi, ces
supports doivent faire l’objet de contrôle et d’analyse réguliers par le personnel
de sécurité avant toute utilisation.
 L’installation, le branchement et la première mise en route d’un équipement dans
le réseau de l’EPAC doivent s’effectuer en présence du correspondant local de
sécurité afin de s’assurer de l’état des équipements connectés au réseau et de leur
effet sur le réseau. A défaut, un compte-rendu doit lui être adressé.
3.6.2.4. Le contrôle d’accès

 Chaque poste de travail du réseau doit être pourvu d’un contrôle d’accès logique.
Les techniques à utiliser sont principalement l’identification et l’authentification.
L’identification permet de reconnaître et d’enregistrer l’identité sous laquelle se
présente l’utilisateur dans une population préalablement recensée. Cette identité
est généralement connue mais peut être facilement usurpée. L’authentification

permet de garantir que la personne ayant décliné une identité est bien celle
qu’elle prétend être. C’est pour cela que même s’il est concevable d’utiliser un
même identifiant pour un groupe de personnes, l’administrateur doit veiller à ce
que l’authentification ne concerne qu’un et un seul individu.
 Juste une authentification en début de session ne suffit pas pour garantir
l’absence d’intrusions dans son réseau. Un utilisateur amené à quitter son poste
de travail peut oublier de clore la session, laissant l’accès à une tierce personne.
L’attaquant peut également se mettre à l’écoute sur la ligne d’un utilisateur
autorisé, attendre que celui-ci s’authentifie puis lui coupe la ligne pour se
l’approprier. Il peut encore se mettre en coupure sur la ligne pour ajouter aux
informations transmises par l’utilisateur des commandes parasites sans que celui-
ci s’en aperçoive. Pour couvrir le risque de l’utilisateur quittant son poste sans
clore la session, on peut prévoir une déconnexion automatique après
temporisation, détecter l’arrachage éventuel du support d’authentification et
éventuellement ré-authentifier périodiquement le support afin de procéder à une
authentification continue.
 Dans le cas où un poste de travail est connecté à un réseau, en cas de demande
d’accès à des ressources distantes, il est nécessaire d’authentifier les deux
interlocuteurs, même si l’un des deux est un serveur. En effet, interlocuteur ici
est utilisé au sens large, ce peut être un individu, un logiciel, un matériel, un
serveur ... Dans ce cas, une authentification mutuelle doit être garantie de bout
en bout à travers le réseau.
 La protection par mots de passe est d’une efficacité limitée puisqu’un individu
mal intentionné peut toujours par une attaque passive, par exemple par écoute
sur la ligne, se les procurer. Elle ne doit pas moins être utilisée dans l’attente de
solutions plus sûres car elle est préférable à l’absence de protection. Les mots de
passe doivent comporter au moins huit caractères alphanumériques et doivent
être changés régulièrement, une périodicité de trois mois est acceptable. Ils ne
doivent pas être divulgués, ni réutilisés.

3.6.3. Inventaire exhaustif des comptes privilégiés et sa mise à

jour
Pour tout administrateur d’un réseau notamment celui du responsable du réseau de
l'EPAC, il est important de disposer de la liste :
 Des utilisateurs qui disposent d’un compte administrateur (ou de privilèges
supérieurs à ceux d’un simple utilisateur) sur le réseau;
 Des utilisateurs qui disposent de privilèges suffisants pour accéder aux
répertoires de travail des autorités administratives ou, à fortiori, de l’ensemble
des utilisateurs ;
 Des utilisateurs qui disposent d’un poste non administré par le service
informatique et donc non géré selon la stratégie de sécurité générale de
l’organisation.
3.6.3.1. Procédures d’arrivée et de départ des utilisateurs

Garantir les droits octroyés sur le réseau de l’EPAC est très important. L’administrateur
du réseau de l’EPAC doit à cet effet veiller à ce que l’ensemble des droits affectés à une
personne soient révoqués lors de son départ. Il lui incombe donc :
 La gestion (création / destruction) des comptes informatiques (et des boîtes à
lettres associées) et l’attribution des droits associés à ces comptes sur le réseau,
y compris pour les partenaires et les prestataires externes ;
 La gestion des accès aux locaux (perception et restitution des cartes d’accès aux
locaux de l’EPAC notamment) ;
 La gestion des équipements mobiles ;

3.7. La maîtrise du réseau

 Le réseau, assurant le transfert d’informations sensibles ou non doit être protégé
contre tout accès qui porterait atteinte à la disponibilité, l’intégrité, la
confidentialité des données.
3.8. Authentification de l’utilisateur
3.8.1. Actualisation des comptes utilisateurs
Afin de maîtriser le trafic entrant et sortant de son réseau côté utilisateur,

l’administrateur du réseau de l’EPAC doit veiller à :
 La suppression ou la désactivation, sur la plateforme de l’EPAC des comptes ou

enseignants rendus inutiles par le départ d’un utilisateur ;
 La modification de tous les mots de passe connus par un administrateur lors de
son départ, d’un changement de fonction, ou d’un départ pour une mission ;
 La vérification régulière des comptes présents sur le réseau, et de leurs
privilèges.
3.8.2. Les règles de choix et de dimensionnement des mots de passe
Nous attirons ici l’attention des utilisateurs aux risques qui sont liés au choix d’un mot
de passe qui puisse se deviner trop facilement, et à la réutilisation de mots de passe, en
particulier entre messageries personnelles et professionnelles. La création d’une
stratégie de mots de passe complexes pour le service informatique va permettre
d’utiliser une série de combinaisons de majuscules, de minuscules et de numéros. Il est
conseillé de suivre les quelques règles suivantes :
 Tout d'abord votre mot de passe est personnel et ne doit être divulgué à aucun
tiers. Il est aussi personnel que votre numéro de carte bancaire. Pourquoi? Parce
qu'il permet de lire votre courrier électronique d'envoyer des messages
électroniques sous votre nom et de consulter vos informations personnelles,

d'usurper votre identité sur le réseau informatique. Un bon mot de passe contient
des majuscules, des minuscules, au moins 1 chiffre et au moins un caractère non
alpha numérique;
 La durée de validité du mot de passe doit être limitée à 3 mois pour les accès aux
comptes (messagerie, etc.), afin de s’assurer que les mots de passe soient
régulièrement changés. L’administrateur doit donc se forcer à encourager et
inciter les utilisateurs à créer des méthodes de définition de mot de passe
robustes. Une méthode très simple mais autant efficace faisant appel à la
mnémotechnique est généralement conseillée. Il s’agit de traduire des phrases en
mots de passe, en utilisant les premières lettres de chaque mot pour constituer le
mot de passe. L’on pourrait inclure des chiffres, caractère spéciaux et lettres
majuscules, afin de d’augmenter le niveau de complexité du mot de passe.
3.9. Les procédures de secours
3.9.1. Serveurs de secours et de test

 En cas de dysfonctionnement du serveur de production, une solution de secours
devrait exister en fonction des besoins de disponibilité du réseau. Pour un serveur,
la solution la plus classique consiste à disposer de matériel de remplacement. Ce
matériel doit évoluer de la même manière que le composant qu’il est censé
remplacer (même version de système d’exploitation, composants internes cohérents
comme mémoire, carte vidéo, capacité disque, logiciels, etc...). Une pièce modifiée
sur le serveur de production doit également être changée au plus vite sur le serveur
secours. Cette machine de secours doit donc disposer des mêmes contrats de
maintenance que celle de production et être testée périodiquement.
 En cas des attaques logiques
Les premières mesures à prendre en cas de pannes d’attaques logiques sont les
suivantes:
o Déconnecter le poste de travail et ses périphériques immédiats de toutes liaisons
depuis et vers l’extérieur, sans couper l’alimentation électrique ;

o Alerter au plus tôt le correspondant de sécurité et une compétence informatique,

ainsi qu’éventuellement le gestionnaire. Eux seuls sont aptes à décider des
actions appropriées ;
o Faire impérativement contrôler les sauvegardes qui ont été réalisées sur ce poste
de travail.
Le travail ne devra reprendre sur le poste qu’après l’accord du correspondant de sécurité

au vu des résultats acquis par les compétences en informatique et, éventuellement par
le gestionnaire.
 En cas des catastrophes
Lorsque se produisent des situations dont la maîtrise échappe aux possibilités ou aux
moyens de l’utilisateur, comme par exemple les catastrophes sans préavis: inondation,
incendie, explosion, attentat à la bombe, séisme, ... et les catastrophes avec préavis :
ouragan, menace de subversion, d’émeute, de grève, ..., les préavis sont à utiliser pour
effectuer la sauvegarde des fichiers et la mise en sécurité des fichiers et logiciels
originaux.
Dans tous les cas, les conditions ultérieures de remise en route dépendent de l’état
constaté des installations. Elles comprennent le contrôle des sauvegardes préalablement
à la reconstitution du système à partir des logiciels et fichiers de données déclarés bons.
3.10. Exploitation des journaux
La définition d’une procédure explicitant les tâches à réaliser en termes d’exploitation

des journaux est nécessaire. Chacune des tâches unitaires devant être décrite et son
déroulement précisé. Cette procédure doit préciser, pour chaque système et application
:
 La périodicité de l’analyse des journaux et ses modalités (qui fait quoi, quand,
etc.) ;
 Où trouver les journaux à analyser (serveur, station de travail, etc.) ;

 Quelles informations doivent être recherchées (accès successifs refusés,

utilisation inhabituelle d’un serveur, journaux des antivirus, des caches HTTP,
FTP, etc.).
 L’usage de fichiers journaux tournants qui est d’un grand intérêt pour la
disponibilité du serveur. Il n’est, en effet, pas nécessaire dans ce cas de gérer la
saturation du disque où sont stockés les journaux, disque dédié de préférence, et
les exceptions qui en découlent. Ce dispositif est par contre attaquable par
saturation : les traces réelles de l’attaque pourront être masquées par des
messages sans valeur. Il convient donc de sauvegarder les journaux avant de les
écraser.
 Des audits de sécurité : la réalisation d’audits réguliers de la sécurité permet de
vérifier l’adéquation entre le niveau de sécurité attendu et celui effectivement
réalisé. Ces audits permettent également l’analyse des vulnérabilités résiduelles
d’un équipement réseau, car la configuration des équipements évolue, et des
failles apparaissent. Même si la maintenance du réseau est réalisée, elle peut
laisser passer un paramètre dangereux, une faille qui ne paraissait pas dangereuse
car trop complexe, ou encore une réinstallation de logiciel.
 Le fichier journal a toujours la même taille et s’auto-écrase si nécessaire sans
réinstaller les correctifs. Un audit périodique permettra donc de prendre du recul
et de contrôler le maintien du niveau de sécurité :
o audits réguliers du système via une entité interne ou externe ;
o audits réguliers du système via des scanners de vulnérabilités (Nessus,
etc.) ;
o mise en place d’un système de contrôle d’intégrité (tripwire, etc.).
3.11. Sécurité de l’intérieur du réseau
Il est important de ne pas se contenter de mettre en place des mesures périmétriques

(pare-feu, serveurs mandataires). En effet, si ces dernières sont indispensables, il existe
de nombreux moyens pour un attaquant de les contourner. Il est donc indispensable que

le réseau de l’EPAC soit protégé contre un attaquant qui aurait déjà contourné ces
mesures de défense périmétriques. Les services permettant d’attribuer à chaque
utilisateur des droits sur un réseau sont par ailleurs des éléments cruciaux qui constituent
une cible de choix pour les attaquants et dont il convient de vérifier fréquemment
l’intégrité.
Il est aussi important d’opter pour l’utilisation systématique des applications et des
protocoles sécurisés. En effet, l’utilisation de protocoles sécurisés, y compris sur le
réseau interne, contribue à la défense en profondeur et complique la tâche à un attaquant
qui aurait déjà compromis une machine sur le réseau et qui chercherait à étendre son
emprise sur ce dernier.
Les protocoles non sécurisés (Telnet, FTP, POP, SMTP, HTTP) sont en règle générale
à proscrire sur le réseau, et à remplacer par leurs équivalents sécurisés (SSH, SFTP,
POPS, SMTPS, HTTPS, etc.).
3.12. Surveiller le réseau
La mise en place de mesures préventives ne dispense pas d’une supervision du réseau

lors de son exploitation. Cette supervision doit respecter quelques règles.
3.12.1. Objectifs de supervision
Dans la majeure partie des cas, les évènements suivants doivent générer une alerte qui
doit impérativement être traitée dans un délai de 24 heures. Il s’agit de :
 La connexion d’un utilisateur hors de ses horaires habituels de travail ou pendant

une période d’absence déclarée ;
 Le transfert massif de données vers l’extérieur de l’EPAC ;
 Les tentatives de connexions successives ou répétées sur un service ;
 Les tentatives de connexion sur un compte non actif ;
 Toute tentative de contournement de la stratégie de sécurité

3.12.2. Modalités d’analyse des évènements journalisés
La définition également des procédures de vérification des journaux qui permettront de

générer une alerte dès lors que l’un des objectifs identifiés n’est pas rempli est
importante. Ces procédures devront garantir que les journaux sont fréquemment
analysés. L’analyse des journaux pourra notamment se concentrer sur quelques points
comme :
 L’analyse de la liste des accès aux comptes de messagerie des personnes-clé ;

 L’analyse des accès aux machines ou aux ressources sensibles.
Afin de faciliter la vérification des journaux, une synchronisation des machines sur la
même horloge est nécessaire.
3.12.3. Sécuriser l’administration du réseau
Les attaquants prennent souvent le contrôle complet d’un système via Internet, des
postes des administrateurs ou de comptes d’administration afin de bénéficier des
privilèges les plus élevés sur le réseau. Pour éviter cela, Tout accès à Internet depuis les
comptes d’administration doit être interdit : l’interdiction de tout accès à Internet depuis
n’importe quel compte d’administration doit être strictement proscrite. Cette
interdiction s’applique en particulier aux machines des administrateurs du système.
C’est une contrainte qui peut être généralement mal acceptée par les utilisateurs pour
des contraintes d’exploitation par exemple l’obligation d’utiliser des comptes distincts
en fonction des actions réalisées, mais son poids peut être notablement allégé en
équipant les administrateurs de deux postes distincts, afin de leur permettre par exemple
de consulter la documentation sur le site d’un constructeur avec un poste (en utilisant
leur compte non privilégié) tout en administrant l’équipement concerné sur l’autre (avec
leur compte d’administrateur).
Aucun utilisateur, sans exception ne doit avoir un privilège d’administration. Il n’est

pas rare de constater que de nombreux utilisateurs, y compris au sommet des
hiérarchies, qui sont tentés de demander à leur service informatique de pouvoir disposer

de privilèges plus importants sur leurs machines (pouvoir installer des logiciels, pouvoir
connecter des équipements personnels, etc.). De tels usages sont cependant
excessivement dangereux et sont susceptibles de mettre en danger le réseau dans son
ensemble. Ces manières doivent donc être bannies des habitudes.
Les accès à distance au réseau, y compris pour l’administration du réseau, ne doivent

être autorisés que depuis des postes qui mettent en œuvre des mécanismes
d’authentification forte et protégeant l’intégrité et la confidentialité des échanges à
l’aide de moyens robustes.
3.12.4. Formation et sensibilisation
L’EPAC doit disposer d’au moins un administrateur de son réseau informatique. De

plus, un éclairage particulier devrait être apporté sur la sécurité, au niveau du réseau.
En effet, chaque application a ses propres fonctionnalités de sécurité. Une mauvaise
configuration d’une de ces fonctionnalités peut compromettre la sécurité de tout le
réseau. Une évolution des produits utilisés nécessite une nouvelle formation des
administrateurs. Plusieurs personnes doivent donc être formées pour garantir une
disponibilité adéquate.

CHAPITRE 4 : CHOIX ET RECOMMANDATIONS DU

LOGICIEL DE SUPERVISION
En complément des mesures de protection appliquées sur un réseau, il est classique de

déployer un système de supervision. Ce système a pour but d’observer en temps réel les
communications afin de détecter non seulement des tentatives de compromission des
équipements connectés au réseau supervisé, mais également les compromissions
réussies de ces équipements. Dans ce chapitre, nous allons parler du déploiement du
logiciel de supervision que nous aurons choisi.
4.1. Critères de choix d’un NIDS
Lors de la mise en place d'un IDS, il est nécessaire de prendre en considération plusieurs
critères qui permettront de choisir au mieux le NIDS.
Tester un IDS avec des scanners de vulnérabilité est une mesure nécessaire pour évaluer
un IDS, mais est loin d'être suffisante. Les critères ci-dessous doivent être pris en
compte :
 Méthodes et capacités de détection : estimer le taux de faux positifs et la qualité

d'information fournie par l'IDS ;
 Rapidité : tester l'IDS en condition de charge élevée. Il est important de tester
cela de manière réaliste, et non pas en utilisant des générateurs de paquets ;
 Ouverture : il faut que l'IDS permette de modifier les signatures afin d'éviter
certains faux positifs, mais aussi d'ajouter de nouvelles signatures spécifiques à
l'environnement ;
 Exploitabilité des données : il faut disposer d'outils permettant de retrouver et
analyser facilement les événements suspects, car le volume généré par les IDS
est important. Afin de centraliser les données, il peut être intéressant de disposer
de tableaux de bord.
 Ergonomie : on retrouve différents types d'interfaces dans les IDS. Tout d'abord,
les interfaces graphiques qui sont adaptées aux particuliers. Ensuite, les
interfaces de type Web ou encore les interfaces en ligne de commandes réservées

aux spécialistes. Dans tous les cas, l'interface doit offrir de nombreuses
fonctionnalités.
D'autres critères, comme la réactivité de l'éditeur (mises à jour des signatures,

correctifs…), ou le prix (solution libre ou non) rentrent en jeu. Pour évaluer un IDS, il
est intéressant de tenir compte de chacun de ces critères selon l'importance qu'on leur
attribue, et donner une note à l'IDS pour chaque critère.
4.2. Choix d’un NIDS à utiliser
Plusieurs systèmes de détections d’intrusions réseau sont utilisés dans la supervision

continue de la sécurité d’un réseau. Toutefois, les NIDS les plus utilisés sont Bro et
Snort.
Snort est un NIDS provenant du monde Open Source. Avec plus de 2 millions de
téléchargements [2], il s'est imposé comme le système de détection d'intrusions le plus
utilisé. Sa version commerciale, plus complète en fonctions de monitoring, lui a donné
une bonne réputation auprès des entreprises. Snort est capable d'effectuer une analyse
du trafic réseau en temps réel et est doté de différentes technologies de détection
d'intrusions telles que l'analyse protocolaire et le pattern matching. Snort peut détecter
de nombreux types d'attaques. Snort est doté d'un langage de règles permettant de
décrire le trafic qui doit être accepté ou collecté. De plus, son moteur de détection utilise
une architecture modulaire de plugins. Snort utilise la méthode de détection par
signature d’attaques, ce qui nécessite la mise à jour régulière de la base de signature et
le limite dans son fonctionnement.
Tout en se concentrant sur la supervision de la sécurité d’un réseau, Bro, quant à lui,
fournit une plateforme complète pour une plus analyse générale de trafic de réseau.
Pendant plus de 15 ans de recherche, depuis son commencement, Bro a, avec succès,
établi le lien traditionnel entre le milieu universitaire et les opérations. Aujourd'hui, on
le compte particulièrement du point de vue fonctionnement dans beaucoup

d'environnements scientifiques pour fixer leur cyber infrastructure. La communauté

d'utilisateur de Bro inclut les universités principales, les laboratoires de recherches, les
centres informatiques, etc.
Bro est un Framework destiné à la détection d’intrusion sur des réseaux Gbps à fort
trafic. C’est un projet lancé en 1998 par Vern Paxson [8]. Il est conçu pour :
 Minimiser sinon éviter toute perte de paquet ;

 Minimiser sinon éviter tout faux-positif ;
 Résister aux attaques dirigées contre la sonde ;
 Permettre une remontée d'alerte en temps réel ;
 Accepter facilement l'ajout de nouvelles fonctionnalités
Initialement, le projet Bro a été créé dans un but de la recherche pour la détection
d'intrusions et l'analyse de trafic réseau. Il est actuellement un puissant complément de
Snort. Compte tenu de sa grande ouverture, nous l'avons choisir pour notre étude.
4.2.2.1. Fonctionnalités de Bro
L’architecture de Bro s’appuie sur deux éléments majeurs, une couche Event Engine
(permettant la capture des éléments du réseau) et une couche Policy Script Interpreter
(permettant une réaction du logiciel). Pour cela, Bro utilise son propre langage de script
(appelé langage Bro) pour le traitement des évènements. Au niveau analyses, le logiciel
permet tout d’abord de comprendre la nature d’échange au sein du réseau, incluant
l’analyse des fichiers transportés et des tunnels. Il supporte une large gamme de couches
protocolaires (incluant DNS, FTP, HTTP, IRC, SMTP, SSH, SSL, etc) et IPV6. Il peut
également stocker sa connaissance des échanges passés pour analyser les suivants (suivi
des transactions, demande de connexion répétées ou non, protocoles, et autres). Il
permet ainsi un contrôle d’intégrité des packets ET de contexte des packets. Bro possède
en outre un package SumStat lui conférant une riche palette d’outils d’analyses
statistiques du réseau. Il permet ensuite de comparer les motifs de trames passant dans

le réseau à des signatures d’attaques préétablies dans sa base de données (selon le

principe d’algorithme par scénarios). Cela permet ainsi de détecter en temps réel des
tentatives d’attaques ou des comportements suspects (selon l’approche
comportementale, en mesurant des écarts à des profils types d’échange). Sa base de
données très riche permet ainsi de détecter un très grand nombre d’attaques connues à
ce jour. Celle-ci repose par défaut sur la base de signatures de Snort, mais permet des
ajouts personnalisés, sur les signatures comme sur son fonctionnement, ce qui nous
amène à un autre avantage de Bro : son extensivité. En effet, le logiciel propose des
interfaces permettant de le personnaliser et d’accepter facilement l’ajout de nouvelles
fonctionnalités. On peut utiliser pour cela les scripts en langage Bro. On peut ainsi
ajouter des nouvelles signatures à comparer avec celles des trames passant par Bro, pour
les surveiller. Les scripts permettent de configurer des réactions par rapport aux
observations du logiciel, par exemple de bloquer l’accès au réseau à des adresses
particulières, ou alerter par email l’administrateur en cas de comportements anormaux
définis. Les scripts permettent aussi d’obtenir tous types de statistiques désirés à partir
des logs. On voit ainsi que ce logiciel est hautement personnalisable dans son utilisation.
4.2.2.2. Utilisation
La partie suivante sera consacrée aux tests des fonctions explicitées dans la description
de Bro afin de montrer les possibilités offertes par ce NIDS. Nous allons principalement
analyser les scripts déjà présents au sein de Bro, ceux-ci servant d’exemples aux
possibilités offertes par Bro.
4.3. La prise des logs
La première fonctionnalité de Bro et la plus rudimentaire est la génération de logs

représentant le trafic capturé. La capture du trafic se base sur la librairie libpcap, la
même utilisée par Wireshark et tcpdump. Ainsi, Bro peut aussi être utilisé sur des
fichiers .pcap afin d’effectuer des analyses de trafic en différé. Cependant, ce n’est pas
le principal intérêt de Bro qui sera généralement utilisé en analyse temps réels. Cette

première partie sera concentrée sur l’analyse des .log générés par Bro lors de sa capture
du trafic, on utilisera pour cela des .pcap, le fonctionnement étant le même qu’en capture
temps réel. Bro peut se lancer en capture tout comme en analyse, on peut donc appliquer
Bro en lecture sur un fichier .pcap. bro -r capture.pcap
Cette commande va lire les données grâce à la librairie libpcap et va produire des
fichiers .log. Ces fichiers, par exemple conn.log, files.log ou http.log, contiennent des
signes contenant les informations rangées par colonne, chaque colonne séparé par une
tabulation. Chaque fichier n’a pas les mêmes colonnes car .log correspond à des paquets
différents analysés et rangés. Par exemple http.log va regrouper les paquets HTTP alors
que le fichier files.log regroupera les paquets liés au transfert de fichiers. Cependant, la
présence du champ id permet de retrouver un paquet qui serait présent dans plusieurs
.logs. Voici par exemple le début de l’en-tête de conn.log : ts uid id.orig_h id.orig_p
id.resp_h id.resp_p proto. On a ts qui est le temps de capture du paquet, uid l’id unique
du paquet, et ensuite les adresses de l’origine du paquet id.orig_h:id.orig_p et les
addresses du destinataire id.resp_h:id.resp_p. On a enfin le protocole dans le champ
proto. Il y a cependant plus de champ contenant toute les informations pertinentes
concernant les connexions. On a par exemple des paquets présentant le protocole TCP
ou UDP. On peut ensuite appliquer des traitements sur les informations recueillis. Ces
informations sont rangées et ligne et colonne, on peut donc traiter ces .log comme des
tableaux pour récupérer ou comparer les données intéressantes. On utilise donc des
fonctions bash pour parcourir ces .log et extraire les informations requises. Voici
quelques exemples des informations que l’on peut extraire :
Pour afficher les 3 sites les plus visités:
bro-cut host < http.log \
| sort | uniq -c | sort -n | tail -n 3
Pour afficher les 10 ports les plus accédés, dans l’ordre décroissant :
bro-cut id.resp_p < conn.log \| sort | uniq -c | sort -rn | head -n 10

Pour affiche tous les serveurs qui ont envoyé plus de 1 KB au client :
bro-cut service resp_bytes id.resp_h < conn.log \
| awk ’$1 == "http" && $2 > 1000000 {print $3}’ \
| sort -u
L’analyse des logs grâce à la commande bro-cut est fastidieuse et ne permet pas
d’analyser complétement le trafic. Bro possède donc son propre langage, basé sur le
C++, qui va nous permettre de créer des scripts utilisables en temps réel afin de créer
des analyses statistiques ou encore de détecter des attaques.
4.4. Outils de statistiques
Bro possède des outils très puissants pour analyser le trafic. Un des plus important est
le Summary Statistics Framework, ou Sumstat. Ce Framework est utilisé pour créer un
modèle statistique du réseau et permet de comparé ce modèle au flux de paquets afin de
détecter les anomalies ou les changements, menant parfois à des détections d’attaques.
Sumstat se décompose en trois blocs d’analyse :
 Observation
L’objet Observation est un point fixe dans les données à traiter. C’est l’entrée du
Framework, il récupère le contexte ou les informations d’un événement et créé un objet
unique que caractérise ce que l’on souhaite mesurer.
 Reducer
L’objet Reducer récupère les observations et applique les calculs statistiques afin de lier
toutes les observations ensembles et de monter le modèle.
 Sumstat
L’objet Sumstat est l’objet final qui donne une durée de vie au Reducer durant lesquelles
ils exécutent leurs calculs en renvoyant le résultat à la fin de leur durée de vie. Afin
d’utiliser ces objets, il faut créer un script Bro qui sera executer lors de la capture ou de

l’analyse d’un .log. Pour utiliser ce framework, il faut initialiser les Reducer nécessaires
dans la fonction event bro_init() afin de pouvoir les remplir avec les Observation. Les
objets Sumstat sont aussi créés dans la fonction d’initialisation en lui injectant les
Reducer initialisé avant. On fixe les champs du Sumstat à l’initialisation, tel que
l’intervalle de temps des Reducer ou les résultats à retourner. Les Observation sont eux
initialisé dans la fonction appelée par le script et seront utilisé automatiquement.
L’initialisation de ces différents objets est simple et courte.
Voici le modèle général d’initialisation de ces objets :
Initialisation d’un Reducer :
local r1 = SumStats::Reducer($stream="conn established",

$apply=set(SumStats::SUM));
Initialisation d’un Sumstat :
SumStats::create([$name = "name of the Sumstat",
$epoch = 1min,
$reducers = set(r1),
$epoch_result(ts: time,
key: SumStats::Key,
result: SumStats::Result) =
{print fmt("Value of the result: %.0f",
result["name of the Sumstat"]$sum);
}]);
SumStats::create([$name=
"ftp-detect-bruteforcing",
$epoch=bruteforce_measurement_interval,
$reducers=set(r1),

$threshold_val(key: SumStats::Key,
return result["ftp.failed_auth"]
$num+0.0;
},
$threshold=bruteforce_threshold,
$threshold_crossed(key: SumStats::Key,
local r = result["ftp.failed_auth"];
local dur = duration_to_mins_secs
(r$end-r$begin);
local plural = r$unique>1 ? "s" : "";
local message = fmt("%s had %d failed
logins on %d FTP server%s in %s",
key$host,
r$num, r$unique, plural, dur);
NOTICE([$note=FTP::Bruteforcing,
$src=key$host,
$msg=message,
$identifier=cat(key$host)]);
}]);

Initialisation d’une Observation :
SumStats::observe("conn established",
SumStats::Key(),
SumStats::Observation($num=1));
Pour utiliser ces scripts, il suffit de lancer le script lors de l’analyse de Bro ou, s’il s’agit
de l’analyse d’un fichier déjà capturé, de lancer la commande suivante :
# bro -r capture.trace script.bro Value of the result: 15. On se base sur les objets de
Sumstat ci-dessus, mais la complexité du Framework permet d’afficher des
informations plus complètes ou plus spécialisées, comme par exemple le nombre de
connexions établie en TCP, de calculer combien de connexions une adresse a tenté sur
un port précis ou encore de faire un résumé des fichiers téléchargés par un client.
4.5. Détection d’attaque
Comme nous avons vu, les scripts Bro permettent d’extraire des données de la capture
et d’effectuer des traitements très variés permettant ainsi de détecter des comportements
anormaux ou malveillants. Grâce à la description des paquets dans les .log, triés en
fonction de leur protocole et des contextes dans lesquels ils sont capturés, ainsi que des
calculs statistiques effectués sur les données recueillies, on peut créer des scripts
intelligents qui peuvent notifier ou réagir en cas d’attaque. Par exemple, on peut
compter le nombre de connexions effectuées sur un client, ou détecter quels ports sont
sollicités. On pourrait alors détecter un scan de nmap si l’on remarque que tous les ports
sont sollicités. On peut même imaginer détecter une attaque très discrète de nmap
choisissant des seuils de détection dans le script très bas, au risque de voir apparaitre
des faux positifs. La force de Bro est la facilité d’ajouter des scripts personnalisés à son
éxecution, en utilisant des Framework pertinent pour l’analyse de données. En utilisant
Sumstat, on peut créer des Observation sur un aspect particulier ou un champ particulier
des paquets dont on veut analyser la fréquence d’apparition d’un client ou d’autre
information à l’aide d’un Reducer. On peut décider de faire cette action toutes les

minutes et obtenir ainsi une notification si, à une certaine minute, un nombre de
connexion important a été effectué. Si ce script n’existe pas à la base dans les fichiers
de Bro, la facilité d’ajout de script permet à l’utilisateur de créer et implanter ce script
sans problèmes. Par exemple, Bro inclut de base un script pour détecter les attaques de
force brute sur FTP. Voici ci-dessous les caractéristiques Sumstat :
 Reducer :
local r1: SumStats::Reducer=
[$stream="ftp.failed_auth",
$apply=set(SumStats::UNIQUE),
$unique_max=double_to_count
(bruteforce_threshold+2)];
 Sumstat :
 Observation :
SumStats::observe("ftp.failed_auth",
[$host=c$id$orig_h],
[$str=cat(c$id$resp_h)]);
On remarque que l’observateur récupère les informations sur l’id et sur orig_h d’une
part et sur resp_h d’autre part. On récupère donc les adresses d’origine et de destination
des paquets. Ensuite, on remarque que le reducer s’applique sur notre Observation et va
récupérer les duos uniques d’origine/destination. On lui ajoute un seuil aussi qui va
déterminer quand on détecte une attaque de force brute. L’objet Observation va ensuite
récupérer ce reducer avec un intervalle particulier (qui est une valable que l’on peut
modifier) et va renvoyer un chaîne de caractère incluant le nombre de connexions
échouées effectuée ainsi que le serveur concerné. On utilise ce script via la commande
: # bro -r capture.pcap protocols/ftp/detect-bruteforcing.bro

protocols/ftp/detect-bruteforcing.bro est le chemin du fichier .bro déjà présent dans les

fichiers de Bro.
4.6. Déploiement de Bro
Il y a deux modes de déploiement de Bro : le mode standalone et le mode cluster.
4.6.1. Mode standalone
On dit que Bro est déployé en mode standalone lorsqu’il est configuré sur une seule
machine, soit un serveur. Donc c’est une seule sonde qui écoutera tout le réseau,
capturera et analysera tous les paquets. Ce mode à des limites parce que lorsque le
processeur atteint ses limites, l’analyse devient difficile et pénible. Ainsi, une fois que
les limitations d'un noyau de processeur unique sont atteintes, la seule option
actuellement est de répartir la charge de travail sur plusieurs noyaux, voire sur de
nombreux ordinateurs physiques. C’est là qu’intervient le mode cluster, mode que nous
utiliserons pour notre simulation.
4.6.2. Mode cluster
Le scénario de déploiement de cluster pour Bro est la solution actuelle pour construire
de grands systèmes. Les outils et les scripts qui accompagnent Bro fournissent la
structure pour gérer facilement beaucoup de processus de Bro examinant des paquets et
faisant des activités de corrélation mais agissant comme une entité singulière, cohésive.
La figure ci-dessous illustre les principaux composants d'un cluster Bro.

Figure 5 : Architecture d’un cluster
 Tap
Le Tap est un mécanisme qui divise le flux de paquets afin de rendre une copie
disponible pour l'inspection. Les exemples comprennent le port de supervision sur un
commutateur et un répartiteur optique sur les réseaux de fibres.
 Frontend
Le frontend est un périphérique matériel discret ou une technique sur hôte qui divise le
trafic en plusieurs flux ou flux. Le binaire Bro ne fait pas ce travail
 Manager
Le gestionnaire est un processus de Bro qui a deux emplois principaux. Il reçoit des
messages de journalisation et des avis du reste des nœuds du cluster en utilisant le
protocole de communication de Bro. Le résultat est un seul journal au lieu de plusieurs
journaux distincts que vous devez combiner d'une certaine manière avec le post-

traitement. Le gestionnaire a également la possibilité de dupliquer les avis, et il a la

capacité de le faire car il agit comme le point d'étranglement pour les avis et montre
comment les avis peuvent être traités en actions (par exemple, l'envoi par courrier
électronique, la pagination ou le blocage).
 Logger
L'enregistreur est un processus Bro facultatif qui reçoit des messages de journalisation
du reste des nœuds du cluster en utilisant le protocole de communication Bro. Le but
d'avoir un logger pour recevoir des journaux au lieu du gestionnaire est de réduire la
charge sur le gestionnaire. Si aucun enregistreur n'est nécessaire, le gestionnaire recevra
des journaux à la place.
Le processus d'enregistrement est lancé en premier par BroControl et il n'ouvre que son
port désigné et attend les connexions, il n'initie aucune connexion au reste du cluster.
Une fois que le reste du cluster est démarré et se connecte au logger, les journaux
commenceront à arriver au processus d'enregistreur.
 Proxy
Le proxy est un processus Bro qui gère l'état synchronisé. Les variables peuvent être
synchronisées automatiquement entre les processus Bro connectés. Le proxy aide les
travailleurs en allégeant la nécessité pour eux à se connecter directement à l'autre.
 Worker
Le travailleur est le processus Bro qui renifle le trafic réseau et effectue une analyse de
protocole sur les flux de trafic réassemblés. La plupart des travaux d'un cluster actif ont
lieu sur les travailleurs et, en tant que tels, les travailleurs représentent généralement la
majeure partie des processus Bro qui fonctionnent dans un cluster. La mémoire la plus
rapide et la vitesse du processeur centrale que vous pouvez vous permettre est
recommandée, car tous les protocoles d'analyse et la plupart des analyses auront lieu ici.

CHAPITRE 5 : INSTALLATION ET CONFIGURATION DU

LOGICIEL DE SUPERVISION
5.1. Installation de Bro
Concernant l’installation de Bro, deux choix s’offrent à nous : l’utilisation de fichier

binaire (.deb/.rpm) ou l’installation depuis les sources. Pour une utilisation en
production, une installation depuis les fichiers sources est préconisée en raison de la
prise en compte des particularités propres à chaque système d’exploitation ou au
matériel lors de la compilation. Disponible sur le site officiel de Bro (bro.org), on
obtient un paquet de la forme « bro-(version).tar.gz ».
De la décompression de l’archive à son installation, on a les commandes suivantes:
$ tarxz f bro− (version).tar.gz
$ cd bro−(version )
# . / configure −−p r e fi x=/$chemin
# make
# make install
# make install−aux
Si le paramètre « prefix » n’est pas spécifié, l’installation s’effectue par défaut dans le
dossier /usr/local/bro.
Il est à noter que, pour permettre à Bro de marcher, certaines dépendances doivent être
installées avant l’installation proprement dite de Bro. Voici, cidessous la commande à
exécuter dans le bash de notre linux pour l’installation de ces paquets :
sudo apt-get install cmake make gcc g++ flex bison libpcap-dev libssl-
dev python-dev swig zlib1g-dev



5.2. Configuration
Pour faciliter l’exécution des tâches, nous allons utiliser Brocontrol, un outil pour
l’exploitation des installations bro.[7]
Etant dit que nous voulons utiliser Bro en mode cluster, nous avons exécuté 5 nœuds
Bro (deux workers, un proxy, un logger et un manager) sur un cluster composé de trois
machines virtuelles.
5.2.1 Préliminaires
BroControl nécessite les conditions préalables suivantes: Un système Unix. FreeBSD,

Linux et Mac OS X sont pris en charge et devraient fonctionner hors de la boîte. D'autres
systèmes Unix nécessiteront probablement quelques ajustements. Une version de
Python> = 2.6 (sur FreeBSD, le paquet "py27-sqlite3" doit également être installé). Un
bash pour l’exécution des lignes de commandes (notez que sur FreeBSD, bash n'est pas
installé par défaut). Si sendmail est installé, BroControl peut envoyer un courrier (pour
une configuration de cluster, il serait nécessaire sur le gestionnaire uniquement). Sinon,
BroControl n'essaiera pas d'envoyer un courrier. Si gdb est installé et si Bro est bloqué
avec une sauvegarde de base, BroControl peut inclure un backtrace dans son rapport
d'incident (qui peut être utile pour déboguer des problèmes avec Bro). Sinon, les
rapports d'incident n'incluent pas de backtrace. Pour une configuration de cluster qui
couvre plus d'une machine, il existe des exigences supplémentaires: Toutes les
machines de la grappe doivent fonctionner exactement dans le même système
d'exploitation (même la version doit être la même). Chaque hôte du cluster doit avoir
installé rsync. L'hôte du gestionnaire doit avoir installé ssh, et tous les autres hôtes du
cluster doivent avoir installé et exécuté sshd. Il est important de choisir le compte
d'utilisateur qui exécutera BroControl, puis de s’assurer que ce compte d'utilisateur est
configuré sur tous les hôtes de notre cluster. Notons que si nous prévoyons d'exécuter
broctl en utilisant sudo (c.-à-d., "Sudo Broctl"), l'utilisateur exécutant broctl sera "root"
(et dans ce cas, l'utilisateur qui exécute sudo n'a pas besoin d'exister sur les autres hôtes
de notre cluster). Assurez-vous que l'utilisateur qui exécute BroControl peut, à partir de

l'hôte du gestionnaire, échanger avec chacun des autres hôtes de notre cluster, ce qui
doit fonctionner sans n’être invité à rien (une façon d'y parvenir est d'utiliser
l'authentification par clé publique ssh). Nous devrons essayer cela manuellement avant
d'essayer d'exécuter broctl, car broctl utilise ssh pour se connecter à d'autres hôtes dans
le cluster.
5.2.1 Configuration du manager
Certains fichiers ont été modifiés pour une adaptation à notre environnement. Nous
avons modifié le fichier de configuration BroControl, <prefix> /etc/broctl.cfg, et
modifié la valeur des options de BroControl pour les adapter à notre environnement.
Nous avons Modifié aussi le fichier de configuration du nœud BroControl, <préfixe>
/etc/node.cfg pour définir où le journal, le manager, les proxies et les workers doivent
s'exécuter. Pour une configuration de cluster, nous avons supprimé le nœud standalone
et ajouté des entrées de nœud pour chaque nœud de notre cluster. Retenons que cette
configuration se fait dans le fichier /bro/etc/nodes.cfg du manager. Dans celui des
workers, nous n’aurons qu’à mettre cet exemple de configuration selon le nom,
l’adresse IP de ces derniers. Voici, ci-dessous un extrait de ce fichier :
Figure 6 : Aperçu du fichier node du manager.
Nous pouvons modifier aussi les fichiers network.cfg, broctl.cfg et network.cfg

Voici un extrait du fichier broctl.cfg:
Figure 7 : Aperçu di fichier broctl.cfg du manager
Dans ce fichier, nous pouvons modifier l’adresse de destination Mailto.

Chapitre 7 : Discussions
RESULTATS -
ANALYSES - DISCUSSIONS
CHAPITRE 6 : SIMULATION - RESULTATS - ANALYSES
Dans ce chapitre, nous allons vous donner quelques résultats de la simulation de notre
projet.
6.1. Environnement de travail
Pour pourvoir créer les machines virtuelles et les mettre en réseau local ou leur
permettre d’accéder à l’internet, nous avons utilisé le générateur de machines virtuelles
«Ooracle VM virtualbox »
Figure 8 : Environnement de travail virtualbox
Comme vous pouvez le constacter, nous avons le manager et les deux workers .Sur
chaque machine, est installée la distribution ubuntu 16.04 du système d’exploitation
linux. Nous l’avons choisi parce qu’elle est une version mise à jour.

Pour que chaque machine puisse avoir une adresse IP personnelle et communiquer entre
elles, nous avons configuré le réseau NAT sur chacune d’elles. Voici, ci-dessous ce que
la commande ifconfig donne sur chaque machine enp0s3 qui est l’interface réseau Nat
de notre machine. L’adresse IP ici c’est le 10.0.2.5.
Figure 9 : Résultat de la commande ifconfig
6.2. Installation de Bro
Nous avions dit plus haut que Bro sera uniquement installé sur notre manager
Avant l’installation, nous avons installé sur chaque machine les dépendances dont Bro
a besoin pour fonctionner. Voici, ci-dessous une capture de l’exécution de la
commande :

Figure 10 : Installation des dépendances de Bro
Notons que le logiciel rsync est installé par défaut dans les dépendances et donc sur
chaque machine du cluster. rsync (remote synchronization ou synchronisation à
distance), est un logiciel de synchronisation de fichiers. Il est fréquemment utilisé pour
mettre en place des systèmes de sauvegarde distante.
rsync travaille de manière unidirectionnelle c'est-à-dire qu'il synchronise, copie ou
actualise les données d'une source (locale ou distante) vers une destination (locale ou
distante) en ne transférant que les octets des fichiers qui ont été modifiés. [8]
Sans rsync, les worker ne pourront sauvegarder les données sur le manager.
Ensuite, nous avons, en mode root, cloner le projet Bro sur le dépôt git en utilisant la
commande « git clone --recursive bro » puis utiliser les commandes «./configure »
« make » « make install » pour effectuer l’installation de Bro.
Voici une capture de l’exécution de la commande « make install » dans le bash du

manageur
Figure 11: Résultat de la commande make install
6.3 Installation et configuration de openssh
OpenSSH est une version libre de la suite de protocole de SSH, des outils de
connectivité de réseau. [9] OpenSSH chiffre tout le trafic (mots de passe y compris),
via une combinaison astucieuse de chiffrement symétrique et asymétrique. OpenSSH

fournit également d'autres méthodes d'authentification alternatives au traditionnel mot

de passe. Nous l’avons utilisé pour remplacer les protocoles Telnet et FTP, à cause de
leurs failles de sécurité.
La clé sshd doit être installée sur tous les autres hôtes du Cluster. En effet, le serveur
Open-SSH, sshd, attend en permanence des connexions depuis des clients. Quand une
requête de connexion a lieu, sshd établit la connexion correcte en fonction du type de
client. Par exemple, si un client se connecte avec le client ssh, le serveur OpenSSH va
établir une connexion sécurisée après une authentification. Voici, ci-dessous les lignes
de commandes pour l’installation de OpenSSH et sshd :
sudo apt install openssh-client
Figure 12 : Dépendances bro

Pour installer le serveur OpenSSH et les fichiers nécessaires, nous avons utilisé cette
commande dans un terminal :
sudo apt install openssh-server
Figure 13 : Installation du serveur ssh
Notons que le service SSH doit être activé dans notre système. Nous avons donc vérifié
son status en exécutant la commande :
sudo service ssh status
Figure 14 : Vérification du status de ssh

Pour autoriser l’accès root de l’utilisateur de chaque machine, nous avons mis la ligne
de code « permitrootlogin » du fichier /etc/ssh/sshd à « yes ».
Il faut ensuite copier la clé publique sur les machines de travail afin que SSH négocie
avec l'authentification par clé publique. La commande ci-dessous permet de le faire :
scp /root/.ssh/id_rsa.pub: adresse hôte~/.ssh/authorized_keys2
Figure 15 : Résultat de la commande scp

Maintenant, nous devons dire au gestionnaire quelles machines sont les travailleurs.
Nous le faisons en éditant le fichier de configuration du noeud, node.cfg. Il se trouve à
/usr/local/bro/etc / node.cfg.

Figure 16 : fichier nodes.sfg

Les adresses des workers sont respectivement 10.0.2.8 et 10.0.2.9. L’adresse du
manager est 10.0.2.10. Sur le manager, nous avons lancé l'outil broctl en mode shell
interactif. Pour lancer brocontol, nous avons tapé dans le terminal la commande
« /usr/local/bro/bin/broctl » la commande install copiera la configuration aux

autres workers.
Figure17 : Résultat de la commande install de broctl

Pour nous assurer que la configuration ne comporte aucune erreur lorsque nous
effectuons des changements futurs de configuration, nous avons utilisé la commande
« check »
Figure 18 : Etat des différents composants du cluster

Maintenant, commençons le cluster. Si nous ne souhaitons pas utiliser le mode
interactif Broctl, nous pouvons émettre les commandes de la manière suivante :

Figure 19 : Démarrage des différents composants du cluster
Vérifions le statut de tous les processus Bro. Tout semble bien ici. Si vous voyez
"bloqué" sous la colonne État, consultez les journaux sur la machine qui a eu un
processus bloqué, par exemple Devrait-t-il faire un crash de processus de Bro du
travailleur-1 en essayant de trouver plus d’informations : worker-1 $ cat
/usr/local/bro/spool/worker-1/stderr.log.
Figure 20: Status des différents composants du cluster
Vérifiez les statistiques sur le gestionnaire pour vous assurer que les paquets ont été
reçus.
Figure 21 : statistiques de transmission des différents workers du cluster
Bro écrit des journaux dans des dossiers par date. Le lien symbolique, courant, indique
le répertoire où les journaux sont stockés jusqu'à ce qu'ils soient tournés. Les journaux
rotatifs sont compressés avec gzip et doivent être décompressés ou lus avec zcat, zgrep,
etc. Quand Bro voit un type de trafic spécifique, il écrira des fichiers journaux qui

correspondent à ses analyseurs de protocole. Il le fait dans un format facilement

séparable (colonne) séparé par des espaces dans ASCII. Ces fichiers journaux peuvent
être piratés avec le jeu d'outils Unix standard, par ex. Grep, awk, sort, uniq, etc. à la
mine pour des informations utiles.
Examinons un échantillon des journaux ASCII générés par Bro. Ici, nous utilisons bro-
cut, un script gawk inclus, pour lire deux journaux de flux de connexion afin que nous
puissions convertir l'horodatage d'époque unix au format de temps local plus lisible par
l'utilisateur avec l'option -d.
Figure 22: Résultats de l’analyse protocolaire du réseau

CHAPITRE 7 : DISCUSION
Au terme de notre travail, nous avons proposé à l’EPAC une stratégie de supervision
continue de la sécurité de son réseau. Cette stratégie prend en compte la proposition
d’une stratégie de sécurité du réseau, la gestion des équipements réseau et de ses
utilisateurs et enfin, une prise en main du système de détection d’intrusions Bro.
Nous avons ensuite procédé à une simulation du fonctionnement de ce système de

détection en considérant des machines dans un réseau local et ayant un accès à l’internet.
Les captures de traﬁc effectuées sur le réseau nous ont permis d’observer les différents
messages de requête et de réponse envoyés par les machines du réseau internes.
Ces résultats viennent confirmer l’efficacité de ce système de détection.
Les principaux avantages de ce système, une fois mis en œuvre seraient les suivants :
 faire connaître la situation du statut de sécurité du réseau de l’EPAC en fonction

des informations recueillies à partir des fichiers générés par l’IDS ;
 identifier, prévenir et faire face aux différentes menaces qui pourraient subvenir
à n’importe quel moment ;
 identification des activités inhabituelles et production d'informations permettant
de détecter les tentatives d'intrusion précédant une attaque ;
 création et protection d'informations d'audit de sécurité pour améliorer l'analyse
des dommages, dans un souci de conformité aux réglementations en vigueur et
de limitation de l'impact des attaques éventuelles ;
 contribution aux efforts d'analyse du niveau de sécurité afin de renforcer la
sécurité globale ;

 détection des activités, volontaires ou accidentelles, qui n'entrent pas dans le

cadre des processus de l'organisation ;
 identification des systèmes non gérés du réseau et protection des périphériques
vulnérables.

CONCLUSIONS ET PERSPECTIVES
La supervision de la sécurité d’un réseau constitue un élément supplémentaire

indispensable au sein d’un concept de sécurité informatique. Ce concept doit aller au-
delà de l’utilisation de pare-feu et de scanners de virus. Pour s’assurer que l’ensemble
du réseau d’une organisation est protégé efficacement des attaques ou menaces en
perpétuelle croissance, Cette dernière devra renforcer la sécurité de son réseau en
utilisant une stratégie de supervision continue de son réseau. Dans notre étude, nous
avons proposé le déploiement du système de détection d’intrusion réseau (NIDS) appelé
Bro. Parce que ce dernier inclut également un rôle d‘avertissement précoce. Il justifie
par conséquent une extension du concept de sécurité et aide à créer la sécurité et le
contrôle souhaités par l’organisation.
Ce travail nous a permis de mieux comprendre les avantages incontournables de Bro de

par son vaste champ d’action.
En perspectives, nous proposons
 L’intégration de PF-RING. En effet, ce dernier permet d'accélérer le processus

de capture de paquets en installant un nouveau type de socket dans les systèmes
Linux. Il prend en charge le filtrage de paquets de matériel 10Gbit à l'aide
d'adaptateurs réseau standard et l'ADN de l'espace utilisateur (Direct NIC
Access) pour une capture et une transmission rapide de paquets.
 L’utilisation de la méthode de virtualisation que Docker offre, en vue d’une
sécurité complète.

REFERENCES BIBLIOGRAPHIQUES
[1] J.-F. PILLOU, «Protection - Introduction à la sécurité des réseaux,» [En ligne].
Available: www.commentcamarche.net. [Accès le Décembre 2015].
[2] D. Burgermeister et J. Krier, «Les systèmes de détection d'intrusion,» 22 Juillet

2006. [En ligne]. Available: http://dbprog.developpez.com.
[3] A. Martin et J. Briffaut, «Les IDS et IPS Open Source,» Master2 informatique.
[4] G. Arcas, S. Kadhi, J. Luiggi et F. Debieve, Réunion du groupe SUR/OSSIR :

Bro, un NIDS pas comme les autres, 2007.
[5] C. Jabou, M. Schillings et A. Hantach, Détection d'anomalies sur le réseau, Paris:

Université Paris Descates, 2009.
[8] J.-F. PILLOU, «Protection - Introduction à la sécurité des réseaux,» [En

ligne]. Available: www.commentcamarche.net. [Accès le Décembre 2015].
[9] D. Burgermeister et J. Krier, «Les systèmes de détection d'intrusion,» 22

Juillet 2006. [En ligne]. Available: http://dbprog.developpez.com.
[10] A. Martin et J. Briffaut, «Les IDS et IPS Open Source,» Master2

informatique.

[4] G. Arcas, S. Kadhi, J. Luiggi et F. Debieve, Réunion du groupe SUR/OSSIR

: Bro, un NIDS pas comme les autres, 2007.
[5] C. Jabou, M. Schillings et A. Hantach, Détection d'anomalies sur le réseau,

Paris: Université Paris Dercates, 2009.
[6] Kelley Dempsey, Nirali Shah Chawla, Arnold Johnson, Ronald

Johnston, Alicia Clay Jones, Angela Orebaugh, Matthew Scholl,
Kevin Stine , «NIST Special Publication,» 2011. [En ligne]. [Accès le 28
mai 2016].
[7] David Burgermeister, Jonathan Krier, «les systems de

detections d’intrusion,» 2006. [En ligne]. Available:
http://dbprog.developpez.com. [Accès le 20 juin 2016].
[8] http://igm.univ-mlv.fr/~dr/XPOSE:
Sonde_de_securite_IDS_IPS/IDS.html,2009.
[11] Communauté francophone d'utilisateurs d'Ubuntu: https://doc.ubuntu-

fr.org/ssh_avance.
[14] Louis PEQUIGNOT, Timothee BAMBADE: Network intrusions detections

systems, Grenoble-INP:Phelma .
[26] Alexandre MARTIN et Jonathan BRIFFAUT: Les IDS et les IPS open
source, Paris (France): Master2 informatique.
[27] Nicolas Baudoin& Marion Karle, NT Réseaux, Ingénieurs 2000, 2003-

2004.


SUMMARY

Introduction
Whether it is open or not on the Internet, the computer network is more and more often
a key element in the proper functioning of an organization because it allows rapid and
effective communication within the organization, outside. Thus, a prolonged
unavailability of this one can lead to the slowing down or even the paralysis of the
activity of the latter. In concrete terms, a successful attack on an organization's network
can result in a financial loss (linked to unavailability of resources or destruction of data),
loss of credibility or brand image, and finally a legal, if the resources of the organization
are used for illicit purposes
Thus, for the security of the network, it must necessarily be accompanied by a security
policy. The security strategy is there to ensure the integrity, confidentiality, availability,
and non-repudiation of information.
In order to maintain this safety, a supervision strategy is essential. This will make it
possible to verify the dynamism, efficiency and proactivity of the established security
policy. Monitoring will also allow an organization to identify and respond to new
vulnerabilities and evolving threats.
1. Context, justification and problems
The damage caused by the attacks network takes day at the day of width.This is a proof
that the reinforcement of the safety of a network is not any more thing to be
neglected.Since the threats network increase tous.les.jours, the strategies of safety of
the networks must be accompanied by means of monitorings.With this intention, the
companies need a complete protection.Indeed, much, if not totality, on the functions
essential with the mission of an organization depend on the technology of the
information(I).The capacity to manage this technology and to ensure the confidentiality,
the integrity and the availability of information is now essential thing.In the design of
the architecture of a network and architecture of corresponding safety, a university must
seek to answer in full safety with its needs thus that the means of increasing its

output.The safety of information is a dynamic process which must effective and

proactive, be managed so as to make it possible an organization to identify and to answer
new vulnerabilities and threats in constant evolution.The installation of a policy of
safety around its network is thus of primary importance.
In addition to the installation of a strategy of safety, it is necessary to have tools for

monitoring for auditer the network and to detect possible intrusions.The EPAC being a
polytechnic school, this project will be able to help it with maintaining the safety of its
network well.
2. Goals
The main goal of this research is to propose a strategy of continuous monitoring of the
safety of a network for the EPAC.
 To achieve this principal goal, the identified specific objectives are:

 To make the method and, strategy state of the art of safety generally used in the
data processing universe, of monitoring of the safety of a network.
 To choose a strategy of monitoring and to define a mode of deployment;
 To simulate, in a defined environment, the selected solution
3. Policy of safety of a network
A policy of safety network is a generic document which defines rules to be

followed for the accesses to the data-processing network and flows authorized
or not, determines how the policies are applied and presents part of the basic
architecture of the environment of safety of the network.

The goal of a policy of safety is to prevent that the information system does not
become a target and that it is not transformed into an actor of attacks by remote
takeover.
The goals of a policy of safety are to guarantee the safety of information and the
network of an organization.These requirements can be defined in several levels:
Availability:the data must remain accessible to the users (an attack of the DoS
type, for example, aims at preventing the normal users of a service from reaching
it);
Confidentiality:the data should be visible only by people entitled to reach it;
Integrity:it is necessary to be able to guarantee that the protected data were not
modified by an unauthorized person;
Not repudiation:one must be able to certify, when a file underwent

modifications, the person who modified it.
4. Monitoring of the safety of a network
The monitoring continues safety of a network is defined like the maintenance of

the permanent safety of the network against the vulnerabilities and the threats
with the support of the decisions of organisational risk management [2].It starts
with the definition of a total strategy of safety.
The monitoring can be automated or manual.The tools most used in the

monitoring of the safety of a network are the systems of detection of intrusion
(IDS).
Ids is primarily a sniffer coupled with an engine which analyzes the traffic
according to rules'.These rules describe a traffic to be announced.Ids can analyze:

The layer Network (IP, ICMP);
The layer Transport (TCP, UDP);
The layer Application (HTTP, telnet).[ 3 ]
Certain terms are often employed when one speaks about IDS:
Positive forgery:an alarm coming from IDS, but which does not correspond to
a real attack;
Negative forgery:a real intrusion which was not detected by IDS;
Escape:technique used to dissimulate an attack and to make so that it is not

detected by IDS;
Probe:Component of the architecture IDS which collects rough information.[3]
There are various types of IDS:Systems of detection of intrusion network called NESTS
(Network Intrusion System Detection) systems of detection of intrusion hosts (Host
Intrusions Systems Detection).The NESTS analyze in a passive way flows in transit on
the network and detect the intrusions in real time whereas the HIDS are configured on
a machine and analyzes all the activity being held there (not analysis of the
network).Like example of HIDS, we have OSSEC who is a HIDS Open Source.THERE
are also the systems of detection of hybrid intrusions which are a whole of NESTS and
HIDS and the systems of prevention of intrusions (IPS) Dans the continuation of our
work, we will be interested in the NESTS.
4.1. Topology of IDS
This model defines the components of IDS:
Generator of events:Ebox;
Analyzer of events:Abox;
Storage of information:Dbox;

Countermeasure: Cbox.
4.2. OQperation of IDS
Two approaches are installation in the detection of attacks:behavioral approach

and approach by scenarios
5. Choice of the software of monitoring
Selection criteria of NESTS
At the time of the installation of IDS, it is necessary to take into account several criteria
which will make it possible to choose the NESTS as well as possible.
To test IDS with scanners of vulnerability is a measurement necessary to evaluate IDS,

but is far from being sufficient.The criteria below must be taken into account:
Methods and capacities of detection:to estimate the rate of positive forgeries

and the quality of information provided by IDS;
Speed:to test IDS in condition of high load.It is significant to test that in a
realistic way, and not by using generators of packages;
Opening:it is necessary that IDS makes it possible to modify the signatures in
order to avoid certain positive forgeries, but also to add new signatures specific
to the environment;

Exploitability of the data:it is necessary to have tools making it possible to find

and analyze easily the suspect events, because the volume generated by IDS is
significant.In order to centralize the data, it can be interesting to have
dashboards.
Ergonomics:one First of all finds various types of interfaces in IDS., the graphic
interfaces which are adapted to the private individuals.Then, interfaces of the
Web type or interfaces in line of orders reserved to the specialists.In all the cases,
the interface must offer many functionalities.
Several systems of detections of intrusions network are used in the monitoring continues
safety of a network.However, the most used NESTS are Bro and Snort.
Bro being currently a powerful complement of Snort and taking into account its large
opening, we have to choose it for our study
5.1. Functionalities of Bro
The architecture of Bro is pressed on two major elements, a layer Event Engine
(allowing the capture of the elements of the network) and a layer Policy Script
Interpreter (allowing a reaction of the software).For that, Bro uses its own language of
script (called Bro language) for the treatment of the events.The level analyses, the
software first of all makes it possible to include/understand the nature of exchange
within the network, including the analysis of the transported files and the tunnels.It
supports a broad range of protocolar layers (including DNS, ftp, HTTP, IRC, smtp,
SSH, SSL, etc) and IPV6.It can also store its knowledge of the exchanges passed to
analyze the following (followed transactions, or not asks connection repeated,
protocols, and others).It thus allows a control of integrity of the packets and context of
the packets.Bro has moreover a SumStat package conferring a rich person to him pallets
tools for statistical analyses of the network.

5.3. Deployment
There are two modes of deployment of Bro:the standalone mode and the cluster mode.
It is said that Bro is deployed in standalone mode when it is configured on only one
machine, that is to say a waiter.Thus it is only one probe which will listen to all the
network, will capture and analyze all the packages.This mode with limits because when
the processor reaches its limits, the analysis becomes difficult and painful.Thus, once
that the limitations of a single core of processor are reached, the only option currently
is to distribute the workload on several cores, even on many physical computers.It is
there that intervenes the cluster mode, mode which we will use for our simulation.

La configuration se fait surtout au niveau du manager. Le fichier principal à modifier

est le fichier prefix/bro/etc/ node.cfg

Conclusion and outlook
The monitoring of the safety of a network constitutes an essential additional element

within a concept of computer security.This concept must go beyond the use of fire wall
and scanners of virus.To make sure that the whole of the network of an organization is
protected effectively from the attacks or threats in perpetual growth, The latter will have
to reinforce the safety of its network by using a strategy of continuous monitoring of its
network.In our study, we proposed the deployment of the system of detection of
intrusion network (NESTS) called Bro. Because this last also includes a role
d`avertissement early.It justifies consequently an extension of the concept of safety and
assistance to create the safety and control desired by the organization.
This work enabled us to better include/understand the advantages impossible to

circumvent of Bro of share its vast sphere of activity.
In prospects, we propose :
 The integration of PF-BOXING ring.Indeed, this last makes it possible to

accelerate the process of capture of packages by installing a new type of socket
in the Linux systems.It deals with the filtering of packages of material 10Gbit
using adapters standard network and the ADN of space user (Direct NIC Access)
for a capture and a fast transmission of packages.
 The use of the method of virtualisation that Docker offers, for a complete safety.

TABLE DES MATIERES
SOMMAIRE……. ........................................................................................................... i
DEDICACES……. ........................................................................................................iii
REMERCIEMENTS ..................................................................................................... iv
LISTE DES SIGLES ET ACRONYMES ..................................................................... vi
LISTE DES FIGURES ................................................................................................viii
RESUME……. ............................................................................................................... x
ABSTRACT……. ......................................................................................................... xi
INTRODUCTION .......................................................................................................... 2
1. Contexte, justification et problématique ................................................................................... 2

2. Objectifs…….............................................................................................................. 3
3. Structure du document .............................................................................................................. 3

ETAT DE L’ART ................................................................................... 5
CHAPITRE 1 : STRATÉGIE DE SECURITE D'UN RESEAU ................................. 6
Définition .................................................................................................................................. 6
1.2. But............................................................................................................................................. 7
1.2.1. Procédé des pirates .......................................................................................................... 8
1.3. Les différents types d’attaques.................................................................................................. 8
1.3.1. Anatomie d’une attaque .................................................................................................. 8
1.3.2. Les attaques réseaux........................................................................................................ 9
1.4. Quelques outils de sécurité réseau ............................................................................................ 9
CHAPITRE 2 : Supervision de la stratégie de la sécurité d’un réseau ...................... 11
Définition. ............................................................................................................................... 11
2.2. Quelques outils de supervision réseau .................................................................................... 12

2.2.1. Détection d’attaques : les IDS ....................................................................................... 12

2.2.2. Les systèmes de détection d'intrusions « réseau » (NIDS) ........................................... 13
2.2.3. Les systèmes de détection d'intrusions de type hôte (HIDS) ........................................ 14
2.2.4. Les systèmes de détection d'intrusions « hybrides » ..................................................... 14
2.2.5. Les systèmes de prévention d'intrusions « kernel » (KIDS/KIPS) ............................... 15
2.2.6. Les firewalls .................................................................................................................. 15
2.3. Topologie d’un IDS ................................................................................................................ 16
2.4. Fonctionnement d’un IDS ....................................................................................................... 17
2.4.1. Approche comportementale .......................................................................................... 17
2.4.2. Approche par scénario .................................................................................................. 19
2.4.3. Autres critères ............................................................................................................... 20
2.5. Placement des IDS .................................................................................................................. 22
2.6. Conclusion partielle ................................................................................................................ 23
APPROCHE METHODOLOGIQUE ................................................... 24
CHAPITRE 3 : PROPOSITION D’UNE STRATEGIE DE SECURITE ................. 25
Cadre de la stratégie................................................................................................................ 25
3.2. Introduction............................................................................................................................. 25
3.3. Terminologies ......................................................................................................................... 26
3.4. Champ d’application de la présente stratégie ......................................................................... 26
3.5. Objectifs .................................................................................................................................. 27
3.6. Documents à l’appui de la stratégie ........................................................................................ 27
3.6.1. Administration et organisation de la sécurité ................................................................ 27
3.6.1.1. Les partenaires de la sécurité et leurs rôles ....................................... 27
3.6.1.2. Les procédures .................................................................................. 28
3.6.2. La sécurité physique...................................................................................................... 28

3.6.2.1. Installation du matériel informatique ................................................ 28
3.6.2.2. Contrôle des accès du personnel aux matériels ................................. 28
3.6.2.4. Le contrôle d’accès ........................................................................... 29
3.6.3. Inventaire exhaustif des comptes privilégiés et sa mise à jour ..................................... 31

3.6.3.1. Procédures d’arrivée et de départ des utilisateurs ............................. 31
3.7. La maîtrise du réseau .............................................................................................................. 32

3.8. Authentification de l’utilisateur .............................................................................................. 32
3.8.1. Actualisation des comptes utilisateurs .......................................................................... 32
3.8.2. Les règles de choix et de dimensionnement des mots de passe .................................... 32
3.9. Les procédures de secours ...................................................................................................... 33
3.9.1. Serveurs de secours et de test ........................................................................................ 33
3.10. Exploitation des journaux ............................................................................................. 34
3.11. Sécurité de l’intérieur du réseau ......................................................................................... 35
3.12. Surveiller le réseau ............................................................................................................. 36
3.12.1. Objectifs de supervision ................................................................................................ 36
3.12.2. Modalités d’analyse des évènements journalisés .......................................................... 37
3.12.3. Sécuriser l’administration du réseau ............................................................................. 37
3.12.4. Formation et sensibilisation .......................................................................................... 38
CHAPITRE 4 : CHOIX ET RECOMMANDATIONS DU LOGICIEL DE

SUPERVISION……. ................................................................................................... 39
4.1. Critères de choix d’un NIDS .................................................................................................. 39

4.2. Choix d’un NIDS à utiliser ..................................................................................................... 40
4.2.2.1. Fonctionnalités de Bro ...................................................................... 41
4.2.2.2. Utilisation .......................................................................................... 42
4.3. La prise des logs ..................................................................................................................... 42

4.4. Outils de statistiques ............................................................................................................... 44
4.5. Détection d’attaque ................................................................................................................. 47
4.6. Déploiement de Bro ................................................................................................................ 49
4.6.1. Mode standalone ........................................................................................................... 49
4.6.2. Mode cluster.................................................................................................................. 49
CHAPITRE 5 : INSTALLATION ET CONFIGURATION DU LOGICIEL DE

SUPERVISION………. ............................................................................................... 52
5.1. Installation de Bro................................................................................................................... 52

5.2. Configuration .......................................................................................................................... 53

RESULTATS - ANALYSES - DISCUSSIONS .................................. 56
CHAPITRE 6 : SIMULATION - RESULTATS - ANALYSES ............................... 57
6.1. Environnement de travail ........................................................................................................ 57

6.2. Installation de Bro ................................................................................................. 58
CHAPITRE 7 : DISCUSION ..................................................................................... 66
CONCLUSIONS ET PERSPECTIVES ....................................................................... 68
REFERENCES BIBLIOGRAPHIQUES ..................................................................... 69
SUMMARY ………………………………………………………………………...72
Introduction ....................................................................................................................................... 73
1. Context, justification and problems .................................................................................... 73
4.1. Topology of IDS ................................................................................................................ 76
Selection criteria of NESTS .............................................................................................................. 77
5.1. Functionalities of Bro ................................................................................ 78
Conclusion and outlook .................................................................................................................... 81

TABLE DES MATIERES ............................................................................................ 82

Mémoire DANSI Francine Zinhoué - Compressed

Transféré par

Droits d'auteur :

Formats disponibles

Mémoire DANSI Francine Zinhoué - Compressed

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Mémoire DANSI Francine Zinhoué - Compressed

Transféré par

Droits d'auteur :

Formats disponibles

REPUBLIQUE DU BENIN

MEMOIRE DE FIN DE FORMATION

DIPLOME D’INGENIEUR DE CONCEPTION

SUPERVISION DE LA STRATEGIE DE SECURITE

Rédigé et présenté par : Francine Zinhoué DANSI

Sous la supervision de : Ir. Bidossessi Rodrigue ALAHASSA

Année Académique: 2015 – 2016

LISTE DES SIGLES ET ACRONYMES ..................................................................... vi

LISTE DES FIGURES ................................................................................................viii

ETAT DE L’ART ................................................................................... 5

CHAPITRE 1 : STRATÉGIE DE SECURITE D'UN RESEAU ................................. 6

CHAPITRE 2 : SUPERVISION DE LA STRATEGIE DE SECURITE D’UN

APPROCHE METHODOLOGIQUE ................................................... 24

CHAPITRE 3 : PROPOSITION D’UNE STRATEGIE DE DE SECURITE .......... 25

CHAPITRE 4: CHOIX ET RECOMMANDATIONS DU LOGICIEL DE

CHAPITRE 5 : INSTALLATION ET CONFIGURATION DU LOGICIEL DE

RESULTATS - ANALYSES - DISCUSSIONS .................................. 56

CHAPITRE 6 : SIMULATION - RESULTATS - ANALYSES ............................... 57

Réalisé par Francine DANSI i

CHAPITRE 7 : DISCUSION ..................................................................................... 66

CONCLUSIONS ET PERSPECTIVES ....................................................................... 68

REFERENCES BIBLIOGRAPHIQUES ..................................................................... 69

TABLE DES MATIERES ............................................................................................ 82

Réalisé par Francine DANSI ii

 mon père DANSI Jean-Marie,

Réalisé par Francine DANSI iii

Au terme de la rédaction de ce mémoire, je voudrais exprimer ma gratitude :

 Au Pr. Mohamed SOUMANOU, Directeur de l’EPAC, à son adjoint Pr.

Réalisé par Francine DANSI iv

 A tous mes camarades du département de GIT et de la 9ème promotion du

Réalisé par Francine DANSI v

LISTE DES SIGLES ET ACRONYMES

ARP : Address Resolution Protocol

DoS : Denial of Service attack

EPAC : Ecole Polytechnique d’Abomey-Calavi

FTP : File Transfer Protocol

HIDS : Host-Based Intrusion Detection Systems

HTTP : HyperText Transfer Protocol

HTTPS : HyperText Transfer Protocol Secure

IPS : Intrusion Prevention System

KIDS : Kernel Intrusion Detection Systems

KIPS : Kernel Intrusion Prevention Systems

NIDS : Network Intrusion Detection Systems

OSI : Open Systems Interconnection

POP : Post Office Protocol

POPS : Post Office Protocol Secure

Réalisé par Francine DANSI vi

RFC : Request For Comments

SMTP : Simple Mail Transfer Protocol

Réalisé par Francine DANSI vii

LISTE DES FIGURES

Figure 1 : Topologie d’un IDS ..................................................................................... 17

Figure 2 : Illustration d’une détection d’intrusion par anormalies ............................... 19

Figure 3 : Illustration d’une détection d’intrusion par signatures ................................ 20

Figure 4: Placement d’un IDS ...................................................................................... 22

Figure 5 : Architecture d’un cluster .............................................................................. 50

Figure 6 : Aperçcu du fichier node.cfg du manager ................................................... 507

Figure 7: Fichier broctl.cfg ......................................................................................... 508

Figure 8 : Environnement de travail virtualbox ........................................................... 60