SIMS - Security Intrusion Manager System - Jo ̈el Winteregg

B.4 Test de fonctionnement

Maintenant que l’agent Ossim est configur ́e et que la base de donn ́ee snort est accessible
depuis celui-ci,
nous pouvons tester le fonctionnement de l’agent (le serveur doit ˆetre en marche).
Il est maintenant possible de d ́emarrer l’agent Ossim (en mode de debug afin de contrˆoler
son bon fonc-
tionnement) `a l’aide de la commande suivante :
# ossim-agent -v -f
Les logs suivants doivent alors apparaˆıtre sur la console :
(->) pyossim.Agent (2005-04-27 11:38:04): Waiting for server...
(->) pyossim.Agent (2005-04-27 11:38:04): Waiting for server...
(<-) pyossim.Agent (2005-04-27 11:38:04): Server connected
(<-) pyossim.Agent (2005-04-27 11:38:04): Server connected
(=>) pyossim.Agent (2005-04-27 11:38:04): Apending plugins...
(--) pyossim.Watchdog (2005-04-27 11:38:04): monitor started
Starting Network Intrusion Detection System: snort(eth0)No
/etc/snort/snort.eth0.conf,
(--) pyossim.ParserSnort (2005-04-27 11:38:04): plugin started
(fast)...
.
(=>) pyossim.Agent (2005-04-27 11:38:05): plugin-start
plugin_id="1001"
Vous pouvez maintenant ex ́ecuter l’agent Ossim en tˆache de fond :
# ossim-agent -d
Votre nouvelle sonde Snort est prˆete `a l’emploi !
B.4.1 Erreur de d ́emarrage de l’agent Ossim
Il se peut que l’erreur suivante apparaisse `a la console :
[Errno 2] No such file or directory: ’/var/log/snort/alert’
Celle-ci signifie que le fichier de log de Snort que r ́ecup`ere l’agent (pour l’envoi temps r ́eel
des infor-
mations au serveur), n’a pas ́et ́e trouv ́e. Il est alors n ́ecessaire de modifier la configuration
du plugin
Snort afin d’y indiquer le bon chemin (le bon fichier de log). Celle-ci est d ́ecrite dans le
fichier XML
/etc/ossim/agent/plugins/snort.xml. Il est indispensable de modifier la balise location afin d’y
indiquer
l’emplacement r ́eel du fichier de log de Snort (g ́en ́er ́e par le plugin fast.log de Snort),
comme illustr ́e
ci-dessous :
18
SIMS - Security Intrusion Manager System - Jo ̈el Winteregg
<plugin id="1001" process="snort" type="detector" start="yes"
enable="yes">
.......... balises de configuration ...........
<location>/var/log/snort/fast.log</location>
</plugin>
19
Annexe C
Ajout et configuration de Ntop
Les manipulations d ́ecrites ci-dessous requi`erent un serveur Ossim op ́erationnel, ainsi qu’un
agent Ossim
install ́e sur la machine qui h ́ebergera Ntop (l’installation de l’agent est d ́ecrite dans la
section B.1.2
puisqu’il s’agˆıt, dans notre cas, du mˆeme agent que pour la sonde Snort).
C.1 Installation
C.1.1 Ntop
Installation de Ntop et des librairies n ́ecessaires :
# apt-get install librrd0 ntop
Installation du paquetage ossim-utils fournissant le script d’analyse des informations de Ntop
(/usr/share/ossim/scripts/rrd plugin.pl) ainsi que le fichier de configuration n ́ecessaire pour
l’interroga-
tion de la base de donn ́ee Ossim par rrd plugin.pl (permettant la r ́ecup ́eration de la
configuration des
seuils d ́efini par l’administrateur r ́eseau sur le framework) :
# apt-get install ossim-utils
Pour les d ́etails de la configuration de ce paquetage consultez la section C.2.2.
Installation des outils utilis ́es par le script rrd plugin.pl pour la r ́ecup ́eration des
informations dans la
base de donn ́ee RRD :
# apt-get install rrdtool librrd0 librrd0-dev librrdp-perl
librrds-perl
20
SIMS - Security Intrusion Manager System - Jo ̈el Winteregg
C.2 Configuration
C.2.1 Ntop
Configuration du mot de passe admin pour Ntop :
# ntop -u ntop
>> Please enter the password for the admin user:
#
Comme mentionn ́e dans la section 1.3.1, Ntop dispose d’une interface Web pour le
monitoring ainsi que
pour sa configuration. Le serveur Web s’installe par d ́efaut sur le port 3000. Il est maintenant
n ́ecessaire
de configurer le format des logs de sortie (plugin RRD) afin que le script rrd plugin.pl soit
capable de les
r ́ecup ́erer via l’outil RRDtool. Pour ce faire il suffit de se rendre `a l’URL suivante : http
://yourhost :3000/
et d’activer le rrdPlugin dans Admin - plugins. En cliquant sur rrdPlugin le menu de
configuration de
celui-ci devient ́editable. Vous pouvez maintenant cliquer sur Host dans le menu Data to
Dump puis
entrer votre masque de sous-r ́eseau dans Hosts Filter. Il est encore n ́ecessaire de contrˆoler
que le RRD
Files Path soit le mˆeme que celui fournit dans le framework de configuration (Configuration
- Main -
rrdpath ntop). En effet le script Perl rrd plugin.pl r ́ecup`ere la configuration des seuils sur le
framework,
ainsi que les chemins d’acc`es aux fichiers de logs.
Il est ensuite n ́ecessaire de modifier le fichier /etc/default/ntop afin d’y mettre –no-mac
comme GE-
TOPT :
GETOPT="--no-mac"
Le script d’analye et de comparaison des seuils (rrd plugin) sera maintenant capable de r ́ecup
́erer les
donn ́ees de la base de donn ́ee tourniquet afin de les analyser.
C.2.2 L’agent Ossim
Ossim-utils
Ce paquetage contenant le script rrd plugin.pl met `a disposition le module perl
/usr/lib/perl5/config.pm
permettant de r ́ecup ́erer la configuration ́etablie dans le framework (configuration ́etablie
dans Configu-
ration - main). Il est n ́ecessaire de configurer correctement ce paquetage afin que ce module
soit capable
de se connecter `a la base de donn ́ee distante. Il faudra lui indiquer un utilisateur Mysql,
capable de se
connecter depuis l’agent Ossim. Dans notre cas, nous indiquerons l’utilisateur snort pr ́ec
́edemment confi-
gur ́e (cf. section B.3). ́Edit ́ee `a la main (/etc/ossim/framework/ossim.conf) cette
configuration ressemble
`a ceci :
################
# OSSIM db configuration
################
21
SIMS - Security Intrusion Manager System - Jo ̈el Winteregg
ossim_type=mysql
ossim_base=ossim
ossim_user=snort
ossim_pass=E1ephant
ossim_host=10.192.72.172
ossim_port=3306
Celle-ci peut aussi ˆetre ais ́ement ́edit ́ee `a l’aide de dpkg via la commande suivante :
# dpkg-reconfigure ossim-utils
Ossim-agent
Le script rrd plugin.pl r ́ecup`ere de lui mˆeme (sans appel `a config.pm) les informations
relatives `a la
configuration des seuils dans la base de donn ́ee Ossim distante. Il est donc n ́ecessaire de lui
indiquer
correctement les mˆemes informations que ci-dessus. Celles-ci sont visibles comme ”variables
globales”
dans la configuration de l’agent (/etc/ossim/agent/config.xml) et sont ensuite utilis ́ees par
certains plugins
(dont le plugin RRD). La d ́efinition de l’ENTITY suivant avec les bon param`etres de
connexion est
n ́ecessaire :
<!ENTITY ossim_db "mysql:10.192.72.172:ossim:snort:E1ephant" >
Il faut ensuite reconfiguer l’agent Ossim afin de pr ́eciser que Ntop est activ ́e sur cet agent.
́Etant donn ́e
que rrd plugin.pl est utilis ́e pour l’analyse des donn ́ees, il est n ́ecessaire d’indiquer que le
plugin RRD
est aussi en fonction. La figure C.1 illustre cette nouvelle configuration ex ́ecut ́ee `a l’aide de
la commande
suivante :
# dpkg-reconfigure ossim-agent
FIG. C.1 – Interface de configuration (dpkg) des plugins `a activer sur l’agent Ossim
22
SIMS - Security Intrusion Manager System - Jo ̈el Winteregg
C.3 Configuration d’Ossim-server pour une nouvelle sonde Ntop
Si l’ajout de cette sonde a ́et ́e effectu ́ee sur un sensor existant (comme dans notre cas), il ne
sera pas
n ́ecessaire d’enregistrer un nouvel agent sur l’interface Web du serveur. L’agent existant
transmettra de
lui mˆeme l’existance d’une nouvelle sonde au serveur. Dans le cas contraire (mise en place
de cette sonde
sur un nouvel agent), il sera n ́ecessaire de proc ́eder `a l’enregistrement du nouvel agent,
comme expliqu ́e
dans le manuel disponnible `a l’URL suivante : http ://www.ossim.net/docs/User-Manual.pdf
Il est aussi indispensable d’ajouter les droits suffisants `a l’utilisateur utilis ́e lors de la
connexion `a la base
de donn ́ee, afin que celui-ci soit capable de r ́ecup ́erer la configuration sur le serveur :
# mysql -u root
mysql> use ossim;
Requˆetes SQL `a entrer pour l’ajout d’un nouvel utilisateur et pour la mise en place de son
mot de passe :
mysql> GRANT ALL ON ossim.* TO snort@sensorIP;
mysql> UPDATE user SET Password =
PASSWORD(’passwordDeSnort@sensorIP’)
-> WHERE Host = ’sensorIP’ AND User = ’snort’;
Ceci peut aussi ˆetre effectu ́e via phpMyAdmin.
23
Annexe D
Ajout et configuration de P0f
Les manipulations d ́ecrites ci-dessous requi`erent un serveur Ossim op ́erationnel (installation
d ́ecrite dans
la section A), ainsi qu’un agent Ossim install ́e sur la machine qui h ́ebergera P0f
(l’installation de l’agent
est d ́ecrite dans la section B.1.2 puisqu’il s’agˆıt, dans notre cas, du mˆeme agent que pour la
sonde Snort).
D.1 Installation
Son installation n ́ecessite uniquement l’installation du paquetage P0f :
# apt-get install p0f
D.2 Configuration
D.2.1 P0f
P0f ne n ́ecessite aucune configuration suppl ́ementaire puisque le chemin de son fichier de
log lui est
fourni par l’agent Ossim lors de son ex ́ecution.
D.2.2 L’agent Ossim
Il est n ́ecessaire de reconfiguer l’agent Ossim afin de pr ́eciser que P0f est activ ́e sur cet
agent. Celle-ci
s’op`ere `a l’aide de la commande suivante :
# dpkg-reconfigure ossim-agent
24
Annexe E
Ajout et configuration de TCPTrack
Les manipulations d ́ecrites ci-dessous requi`erent un serveur Ossim op ́erationnel (installation
d ́ecrite dans
la section A), ainsi qu’un agent Ossim install ́e sur la machine qui h ́ebergera TCPTrack
(l’installation de
l’agent est d ́ecrite dans la section B.1.2 puisqu’il s’agˆıt, dans notre cas, du mˆeme agent que
pour la sonde
Snort).
E.1 Installation
Celle-ci est vraiment tr`es simple puisqu’il suffira de r ́ecup ́erer le paquetage Debian de
TCPTrack sur le
serveur Web d’Ossim1 via la commande suivante :
# apt-get install tcptrack
E.2 Configuration
Aucune configuration sp ́ecifique n’est n ́ecessaire pour TCPTrack puisque c’est le serveur
Ossim qui
s’occupera d’interoger TCPTrack. Il sera par contre indispensable d’indiquer `a l’agent
qu’une nouvelle
sonde lui a ́et ́e ajout ́ee. Ceci s’op`erera via le menu de configuration offert par la commande
suivante :
# dpkg-reconfigure ossim-agent
1Il est donc indispensable d’avoir configur ́e aptitude afin qu’il r ́ecup`ere directement les
paquetages chez Ossim (cf. Section
B.1.1). En effet, la version de TCPTrack utilis ́ee dans l’architecture d’Ossim est une version
modifi ́ee de la version originale.
25
Annexe F
Ajout et configuration d’une sonde HIDS
Syslog
Les manipulations d ́ecrites ci-dessous requi`erent un serveur Ossim op ́erationnel (installation
d ́ecrite dans
la section A), ainsi qu’un agent Ossim install ́e sur la machine qui h ́ebergera cette sonde
HIDS Syslog
(l’installation de l’agent est d ́ecrite dans la section B.1.2 puisqu’il s’agˆıt, dans notre cas, du
mˆeme agent
que pour la sonde Snort).
F.1 Installation
Aucune installation n’est requise puisque le parser de fichiers de log Syslog et directement pr
́esent sur
tous les agents (fichier /usr/share/ossim-agent/pyossim/ParserSyslog.py).
F.2 Configuration
Il suffira d’activer le plugin voulu afin que celui-ci soit automatiquement ex ́ecut ́e par
l’agent. Pour ce
faire, il vous suffira de l’activer `a l’aide du menu de configuration offert par la commande
suivante :
# dpkg-reconfigure ossim-agent
La configuration du fichier `a contrˆoler peut ˆetre directement faite en modifiant la balise
location du fi-
chier /etc/ossim/agent/plugins/syslog.xml. Par d ́efaut celui-ci est /var/log/auth.log.
Sous Debian il sera en plus n ́ecessaire de modifier (dans le mˆeme fichier de configuration) le
nom du
daemon de logging puisque celui-ci se nomme sysklogd et non pas syslog.
L’ajout de nouvelles r`egles n ́ecessitera malheureusement la modification du code du
parseur /usr/share/ossim-
agent/pyossim/ParserSyslog.py puisque celles-ci s’y trouvent directement int ́egr ́ees. Aucun
fichier de
configuration des r`egles n’est pour le moment disponnible.
26
Annexe G
Ajout et configuration de PADS
Les manipulations d ́ecrites ci-dessous requi`erent un serveur Ossim op ́erationnel (installation
d ́ecrite dans
la section A), ainsi qu’un agent Ossim install ́e sur la machine qui h ́ebergera PADS
(l’installation de
l’agent est d ́ecrite dans la section B.1.2 puisqu’il s’agˆıt, dans notre cas, du mˆeme agent que
pour la sonde
Snort).
G.1 Installation
Celle-ci est vraiment tr`es simple puisqu’il suffira de r ́ecup ́erer le paquetage Debian de
PADS, via la
commande suivante :
# apt-get install pads
G.2 Configuration
Aucune configuration sp ́ecifique n’est n ́ecessaire pour PADS puisque le chemin de ses logs
de sortie est
directement fourni par l’agent Ossim (param`etre lors de son ex ́ecution). Il sera par contre
indispensable
d’indiquer `a l’agent qu’une nouvelle sonde lui a ́et ́e ajout ́ee. Ceci s’op`erera via le menu de
configuration
offert par la commande suivante :
# dpkg-reconfigure ossim-agent