CCNA Security

2012/2013

Intégration de Compétence

ECOLE POLYTECHNIQUE DE NIAMEY

CCNA SECURITY

INTEGRATION DE COMPETENCE

GROUPE 8303 Présenté
Par :
Les étudiants de GRI2

A Mr. :
NAMALKA Oumarou

04/02/2013

1

CCNA Security

2012/2013

Intégration de Compétence

2

CCNA Security

2012/2013

Intégration de Compétence

Introduction Générale
De nos jours, la plupart des réseaux informatiques sont multiplateformes. L’objectif de ce projet est de mettre en place des serveurs sous Windows (ADDS ; DNS ; Antivirus ; Mail) et Linux (DNS ; Web ; Voip ; Nagios ; Prelude ; Snort ; OSSEC et PFSense) , de les administrer et de les surveiller.

3

CCNA Security

2012/2013

Intégration de Compétence

Présentation de la topologie
Supervision

Nagios

Ossec Prelude Snort

Projet

172.16.1.4 172.16.1.6

172.16.1.7

172.16.1.8

Parefeu
172.16.1.10 Réseau Externe 192.168.1.10

Internet

Réseau Interne

172.16.1.0/24

DMZ
192.168.1.0/24

PDC

Backup SDC Antivirus

MAil

DNS

Web

VOIP

DNS ADDS

172.16.1.1 172.16.1.2

DNS ADDS

172.16.1.3 172.16.1.5

192.168.1.3 192.168.1.1

192.168.1.2

192.168.1.4

Raid

Exchange2010

Bind9

Apache

Asterisk

Raid Tolérance de panne des disques

Cette topologie est constituée de 3 zones qui sont :

 La zone INTERNE qui comprend la supervision (Nagios, Ossec, Prélude, Snort) et les serveurs internes (PDC, SDC, Antivirus, Backup)  La zone EXTERNE  La zone DMZ qui comprend (Pare-feu,Mail, Dns, Web, Voip)

4

CCNA Security

2012/2013

Intégration de Compétence

Mise en place de la zone Interne

5

CCNA Security

2012/2013

Intégration de Compétence

I. Mise en place du PDC

6

CCNA Security

2012/2013

Intégration de Compétence

Introduction Un serveur informatique hébergeant l'annuaire Active Directory est appelé « contrôleur de domaine>>Le premier contrôleur de domaine d’une forêt doit être un serveur de catalogue global et ne peut pas être un contrôleur de domaine en lecture seule (RODC). L'objectif principal d'Active Directory est de fournir des services centralisés d'identification et d'authentification à un réseau d'ordinateurs utilisant le système Windows. Il permet également l'attribution et l'application de stratégies, la distribution de logiciels, et l'installation de mises à jour critiques par les administrateurs. Active Directory répertorie les éléments d'un réseau administré tels que les comptes des utilisateurs, les serveurs, les postes de travail, les dossiers partagés, les imprimantes.

7

CCNA Security

2012/2013

Intégration de Compétence

 Procédure d’installation Pour faire de notre Windows Server 2008 R2 un contrôleur de domaine, il suffit de lancer la commande dcpromo

Créons notre nouveau Domain d’un une nouvelle forêt

8

CCNA Security

2012/2013

Intégration de Compétence

Tapons le nom du Domain

9

CCNA Security

2012/2013

Intégration de Compétence

Nous allons choisir le niveau fonctionnel

10

CCNA Security

2012/2013

Intégration de Compétence

11

CCNA Security

2012/2013

Intégration de Compétence

12

CCNA Security

2012/2013

Intégration de Compétence

Tapons un mot de passe pour le Domain

13

CCNA Security

2012/2013

Intégration de Compétence

Vérification

14

CCNA Security

2012/2013

Intégration de Compétence

Ici prend fin l’installation de notre Domain : Vérification des entités de sécurité :

security.com

La console Utilisateurs et ordinateurs Active Directory est probablement la plus utile : c'est celle qui vous permettra de gérer les comptes des utilisateurs et des ordinateurs. Dans notre exemple nous avons les utilisateurs lala toto et toto.c Nous avons aussi un groupe de sécurité global nommé gri2 et une unité ‘organisation nommée epn

15

CCNA Security

2012/2013

Intégration de Compétence

16

CCNA Security

2012/2013

Intégration de Compétence

 Configuration de la zone inverse Passons maintenant à la configuration da la zone inverse du DNS car la zone direct est configurée par défaut On fait Outils d’administration DNS puis double click sur DNS

Click droit sur zone inverse

17

CCNA Security

2012/2013

Intégration de Compétence

Suivre l’assistant

18

CCNA Security

2012/2013

Intégration de Compétence

19

CCNA Security

2012/2013

Intégration de Compétence

Tapons notre adresse réseau

20

CCNA Security

2012/2013

Intégration de Compétence

Terminé

Ici prend fin la configuration de la zone inverse

21

CCNA Security

2012/2013

Intégration de Compétence

Conclusion Active Directory est un service d'annuaire utilisé pour stocker des informations relatives aux ressources réseau sur un domaine. Une structure Active Directory (AD) est une organisation hiérarchisée d'objets. Les objets sont classés en trois grandes catégories : les ressources (par exemple les imprimantes), les services (par exemple le courrier électronique) et les utilisateurs (comptes utilisateurs et groupes). L'AD fournit des informations sur les objets, il les organise et contrôle les accès et la sécurité Ici prend fin l’installation et la configuration de notre contrôleur de Domain.

22

CCNA Security

2012/2013

Intégration de Compétence

II. Mise en place du SDC

23

CCNA Security

2012/2013

Intégration de Compétence

Introduction Nous allons voir à travers cet article l’intégration d’un contrôleur supplémentaire au sein d’un domaine Active Directory. On parle en général d’un contrôleur secondaire cependant ceci est une fausse appellation car une architecture Active Directory est multi-maître. La réalisation est rapide et simple avec une implication limitée dans un milieu de productif. Il faut toutefois veiller à disposer de sauvegardes fiables et en particulier concernant votre Active Directory.

24

CCNA Security

2012/2013

Intégration de Compétence

Configuration Tout d’abord on tape dcpromo en ligne de commande ou dans « rechercher » du menu démarrer. L’assistant suivant s’affichera et on coche utiliser l’installation en mode avancé Ensuite on clique sur suivant

Puisqu’il s’agit d’un DC secondaire dans notre cas, on clique sur foret existante On spécifie ajouter un DC à un domaine existant comme illustré dans la figure ci-dessous. Ensuite on clique sur suivant

25

CCNA Security

2012/2013

Intégration de Compétence

On spécifie le nom du domaine qui est security.com. Ensuite on clique sur définir

26

CCNA Security

2012/2013

Intégration de Compétence

La console suivante s’affiche, on met le login et le mot de passe de l’utilisateur créé sur le DC primaire et on clique sur OK

27

CCNA Security

2012/2013

Intégration de Compétence

L’assistant nous signale que n’ayant pas préparé l’annuaire avec l’option « /rodcprep », il ne sera pas possible d’intégrer un contrôleur en lecture seule.

On spécifie le site sur lequel sera hébergé le contrôleur de domaine.

On sélectionne ensuite les options « Serveur DNS » et « Catalogue global ».
28

CCNA Security

2012/2013

Intégration de Compétence

Un autre avertissement apparaît concernant un problème de délégation avec la zone parente (.local).

29

CCNA Security

2012/2013

Intégration de Compétence

L’assistant vous laisse la possibilité de choisir la provenance des données Active Directory existantes à répliquer. Soit directement par le biais du réseau en contactant le contrôleur de domaine existant, soit à partir d’une sauvegarde.

Suite à la sélection précédente, nous devons choisir le contrôleur à contacter. Dans notre cas il s’agit de security.com.

Ensuite on définit la location des fichiers liés à l’annuaire.

30

CCNA Security

2012/2013

Intégration de Compétence

Enfin on va devoir rentrer un mot de passe de restauration.

31

CCNA Security

2012/2013

Intégration de Compétence

32

CCNA Security

2012/2013

Intégration de Compétence

Conclusion
Une fois redémarré, le serveur est désormais promu en tant que contrôleur de domaine secondaire.

33

CCNA Security

2012/2013

Intégration de Compétence

III. Mise en place du serveur d’Antivirus

34

CCNA Security

2012/2013

Intégration de Compétence

 Presention
Symantec Endpoint Protection offre une protection simple, rapide et efficace contre les virus et les programmes malveillants. Il s'installe en quelques minutes sans matériel supplémentaire. La protection de votre entreprise devient simple et rapide. Grâce aux mises à jour automatiques, vous bénéficiez des toutes dernières fonctions de sécurité disponibles.

Avantages clés

Des analyses rapides et efficaces offrent une protection contre les virus, les vers, les chevaux de Troie et les logiciels espions. Elles ne ralentissent pas vos systèmes et vous pouvez donc vous concentrer totalement sur votre activité. Profitez de cette flexibilité et bénéficiez de la puissance et de la commodité d'un service géré via le Cloud avec une protection permanente, ou d'un service géré sur site sur un serveur local. L'installation se fait en quelques minutes, sans matériel supplémentaire, ce qui vous permet de gagner du temps et de l'énergie. Pas besoin de personnel ou de formation spécifique. Les technologies Insight et SONAR détectent et bloquent les programmes malveillants nouveaux et en mutation, même s'il s'agit de nouvelles menaces ou de menaces inconnues Abonnement simple, qui couvre les coûts d'exploitation et de maintenance, les mises à niveau et le support 24h/24 et 7j/7, que vous choisissiez la gestion via le cloud ou la gestion sur site.

35

CCNA Security

2012/2013

Intégration de Compétence

 Installation et Configuration
Vous pouvez telecharger la version d essai sur : https://www4.symantec.com/Vrt/offer?a_id=117140&inid=fr_bt_flyout_trialwar e_endpt_prot

Installation Executons le steup puis cliquons sur executer

Choisissons le point d’extraction puis cliquons sur extract

Attendons la fin d’extraction

36

CCNA Security

2012/2013

Intégration de Compétence

Ouvrons le ficher puis executons

37

CCNA Security

2012/2013

Intégration de Compétence

Choisissons le deuxième point (Install Symentec Endpoint Protection)

Choisissons le premier point(Install Symentec Endpoint Protection Manager)

38

CCNA Security

2012/2013

Intégration de Compétence

Cliquons sur Next

Acceptons le contrat de licence puis cliquons sur Next

39

CCNA Security

2012/2013

Intégration de Compétence

Cliquons sur Next

Cliquons sur Install

40

CCNA Security

2012/2013

Intégration de Compétence

Attendons la fin

Cliquons sur Next

41

CCNA Security

2012/2013

Intégration de Compétence

Attendons la fin

42

CCNA Security

2012/2013

Intégration de Compétence

Cliquons sur Next

Renseignons les différents champs puis cliquons sur NEXT

43

CCNA Security

2012/2013

Intégration de Compétence

cliquons sur NEXT

44

CCNA Security

2012/2013

Intégration de Compétence

Attendons la fin Cette étape met fin au processus d’installation

45

CCNA Security

2012/2013

Intégration de Compétence

Configuration Nous allons configurer le déploiement sur les machines clientes Cliquons sur Client Deployment

46

CCNA Security

2012/2013

Intégration de Compétence

Cliquons sur Next

47

CCNA Security

2012/2013

Intégration de Compétence

Cliquons sur NEXT sur Next

Cliquons sur Next

48

CCNA Security

2012/2013

Intégration de Compétence

Cliquons sur Next

49

CCNA Security

2012/2013

Intégration de Compétence

Attendons la fin de la recherche des réseaux .Dans le cas où il en trouve pas faisons une recherche en cliquant sur Search Network et en définissant la plage d’adresse

50

CCNA Security

2012/2013

Intégration de Compétence

Renseignons les champs puis cliquons sur ok

Attendons la fin

51

CCNA Security

2012/2013

Intégration de Compétence

Cliquons sur Next

52

CCNA Security

2012/2013

Intégration de Compétence

Cliquons sur Send

53

CCNA Security

2012/2013

Intégration de Compétence

Attendons la fin

54

CCNA Security

2012/2013

Intégration de Compétence

Cliquons sur Next

55

CCNA Security

2012/2013

Intégration de Compétence

56

CCNA Security

2012/2013

Intégration de Compétence

Cliquons sur Finish Cette étape mais fin au déploiement. Rendons nous sur le client pour suivre l’installation

Laissons le client allume jusqu’à l’affichage de ce assistant puis cliquons sur Restart Now

57

CCNA Security

2012/2013

Intégration de Compétence

Exécutons l’application

Attendons

58

CCNA Security

2012/2013

Intégration de Compétence

Ci fin

Ceci met fin au déploiement

59

CCNA Security

2012/2013

Intégration de Compétence

 Conclusion
Nous vous recommandons Symantec Endpoint Protection pour les raisons suivantes :
    

Protection simple, rapide et efficace contre les virus et les programmes malveillants Disponible sous la forme d'un service géré via le cloud ou comme application de gestion sur site Installation facile et gestion via le Web Technologies de sécurité puissantes développées par le leader mondial des technologies de sécurité Tarification simple par abonnement qui couvre les deux choix de gestion

60

CCNA Security

2012/2013

Intégration de Compétence

IV. Mise en place du serveur de Backup

61

CCNA Security

2012/2013

Intégration de Compétence

 Présentation
Bacula est un jeu de programmes qui permet à l'administrateur système de faire des sauvegardes, restaurations, et vérifications des données d'un ordinateur sur un réseau hétérogène. Bacula peut fonctionner complètement sur un seul ordinateur. Il est capable de sauvegarder sur des supports variés, y compris disques et cartouches. Il s'agit d'un programme de sauvegarde Client/serveur. Bacula est relativement facile d'utilisation et efficace, tout en offrant de nombreuses fonctions avancées de gestion de stockage qui facilitent la recherche et la restauration de fichiers perdus ou endommagés. Grâce à sa conception modulaire, Bacula est échelonnable depuis le simple système constitué d'un ordinateur, jusqu'au système de plusieurs centaines d'ordinateurs disséminés sur un vaste réseau.

62

CCNA Security

2012/2013

Intégration de Compétence

 Mise en place du Raid5
Le RAID désigne les techniques permettant de répartir des données sur plusieurs disques durs afin d'améliorer soit la tolérance aux pannes, soit la sécurité, soit les performances de l'ensemble, ou une répartition de tout cela. Le RAID 5 écrit donc simultanément les données sur plusieurs disques ce qui améliore les performances en lecture et en écriture et la tolérance aux pannes. Installations le paquet mdadm

Commençons par installer les paquets suivant : Apt-get install debconf-utils dpkg-dev debhelper build-essential kernel-package libncurses5-dev

et

Chargeons le module dans le noyau

Make menuconfig

63

CCNA Security

2012/2013

Intégration de Compétence

Choisissons Device Drivers

Choisissons, puis espace et enter

64

CCNA Security

2012/2013

Intégration de Compétence

Choisissons YES Listons les disques
65

CCNA Security

2012/2013

Intégration de Compétence

On retrouve les 3disques.Creons les partitions

Entrons n (pour créer une nouvelle partition)

Entrons p (pour partition primaire)

66

CCNA Security

2012/2013

Intégration de Compétence

Entrons 1(pour partition1)

Entrons t (pour modifier l’ID du système de fichier) puis fd

Entrons w (pour enregistrer et quitter)

Répéter la même action pour les deux autres disques (sdc et sdd) Créons le volume raid à partir de la commande suivante : mdadm --create --verbose /dev/md0 --level=5 --raid-devices=3 /dev/sdb1 /dev/sdc1 /dev/sdd1

Enregistrons ce volume : echo "DEVICE partitions" > /etc/mdadm/mdadm.conf

Ensuite on appelle mdadm une nouvelle fois pour scanner les volumes RAID existants et les inscrire dans ce fichier : mdadm --detail --scan >> /etc/mdadm/mdadm.conf

Créon le système de fichiers
67

CCNA Security

2012/2013

Intégration de Compétence

Nous allons monter le volume dans /opt/SAUVEGARDE mount /dev/md0 /opt/SAUVEGARDE

Editons le fichier /etc/fstab et inserons la ligne suivante : /dev/md0 /opt/SAUVEGARDE auto defaults 0 3

Enregistrons et quittons Ceci mais fin à la mise en place du raid5

68

CCNA Security

2012/2013

Intégration de Compétence

 Installation et configuration
Installation
Commençons par installer mysql et les dépendances qui vont nous permettre de compiler bacula apt-get install mysql-server-5.0 gcc libmysqlclient15-dev g++ make libncurses5dev php-pear

Décompressons la dernière version de bacula récupérer sur le site officiel tar –xvzf bacula-5.0.2.tar.gz

On se place dans le dossier et on check les dépendances et la vérification de la configuration prés installation cd bacula-5.0.2 ./configure --with-mysql On lance la compilation make && make install Lancement des scripts de création de la bases le mot de passe de la base mysql sera demandé cd src/cats ./create_mysql_database -p ./make_mysql_tables -p ./grant_mysql_privileges -p Création et installation des services cp /etc/bacula/bacula-ctl-fd /etc/init.d/bacula-fd cp /etc/bacula/bacula-ctl-dir /etc/init.d/bacula-director cp /etc/bacula/bacula-ctl-sd /etc/init.d/bacula-sd cp /etc/bacula/bacula /etc/init.d/bacula chmod 755 /etc/init.d/bacula-sd chmod 755 /etc/init.d/bacula-fd
69

CCNA Security

2012/2013

Intégration de Compétence

chmod 755 /etc/init.d/bacula-director chmod 755 /etc/init.d/bacula-sd update-rc.d bacula-sd defaults 90 update-rc.d bacula-fd defaults 91 update-rc.d bacula-director defaults 92 On redémarre tous les services /etc/init.d/bacula start

Ceci mais fin à l’installation

70

CCNA Security

2012/2013

Intégration de Compétence

Configuration

Editons le fichier bacula-dir.conf Éditons-le comme suit :

71

CCNA Security

2012/2013

Intégration de Compétence

72

CCNA Security

2012/2013

Intégration de Compétence

73

CCNA Security

2012/2013

Intégration de Compétence

74

CCNA Security

2012/2013

Intégration de Compétence

75

CCNA Security

2012/2013

Intégration de Compétence

Enregistrons et redémarrons le service
76

CCNA Security

2012/2013

Intégration de Compétence

Editons le fichier bacula-sd.conf Modifions-le comme suit :

Ceci mais fin à la configuration de bacula

77

CCNA Security

2012/2013

Intégration de Compétence

78

CCNA Security

2012/2013

Intégration de Compétence

Enregistrons et redémarrons le service

Redémarrons bacula

Ceci met fin à la configuration Nous allons nous connecter à la console et faire uns sauvegarde

79

CCNA Security

2012/2013

Intégration de Compétence

Sélectionnons 1

80

CCNA Security

2012/2013

Intégration de Compétence

Conclusion
Bacula dispose de très nombreuses fonctionnalités. Utilisé correctement vous serez toujours certain de pouvoir restaurer n'importe quel fichier, à n'importe quelle date (retrouver un texte par exemple tel qu'il était rédigé il y a deux mois, sachant que vous l'avez modifié 10 fois depuis, etc.) MAIS SA CONFIGURATION FINE NÉCESSITE DE NOMBREUSES CONNAISSANCES PROPRES AU MONDE DE LA SAUVEGARDE.

81

CCNA Security

2012/2013

Intégration de Compétence

V. Mise en place du serveur Nagios

82

CCNA Security

2012/2013

Intégration de Compétence

Introduction

Présentation du serveur NAGIOS

NAGIOS est un outil open source qui nous permet de superviser des machines (Windows, linux, BSD, MAC os) compatible SNMP (simple network management Protocol) sur un réseau TCP/IP, On peut toutefois surveiller des machines incompatible SNMP a l’aide des scripts qui nous permettrons de faire des Ping ou simuler des requête http etc.…

83

CCNA Security

2012/2013

Intégration de Compétence

Installation

Prérequis -Une machine Linux sous UBUNTU 10.04 LTS -Internet -Apache version2

84

CCNA Security

2012/2013

Intégration de Compétence

Configuration

-Avant de commencer l’installation de NAGIOS CORE nous allons effectuer la mise à jour à l’aide de la commande # SUDO : super-utilisateur # aptitude update # aptitude safe-update -Télécharger le BUILD-ESSENTIAL

-Installation du serveur WEB APACHE2

NB : les paramétrages du serveur NAGIOS se font via une interface web d’où la nécessité d’installer APACHE -Installer les librairies suivantes : # apt-get install bind9-host dnsutils libbind9-60 libisc60 libisccc60 libisccfg60 libradius qstat radiusclient1 snmp snmpd # apt-get install libd2-noxpm-dev libpng12-dev libjpeg62 libjpeg62-dev -Puis lancer le serveur APACHE2 à l’aide de la commande : # apache2ctl start

-Vérifier le bon fonctionnement du server WEB en tapant l’adresse de la machine dans un navigateur WEB

85

CCNA Security

2012/2013

Intégration de Compétence

- Pour des raisons évidentes de sécurité, le processus Nagios ne sera pas lancé en root (droit administrateur). Nous allons créer un utilisateur système nommé nagios et un groupe associé également nommé nagios. Le groupe nagios comprendra les utilisateurs nagios et www-data (utilisateur avec lequel le serveur Apache est lancé par défaut).

-Création de l’utilisateur NAGIOS # useradd nagios -Création du group NAGIOS # groupadd nagios -Ajout de l’utilisateur NAGIOS dans le group NAGIOS # usermod –G nagios nagios -Ajout de l’utilisateur www-data dans le group NAGIOS # usermod –G www-data nagios -Téléchargement de NAGIOS depuis les sources dans le répertoire /usr/src # cd /usr/src # wget 3.2.3.tar.gz http://prdownloads.sourceforge.net/sourceforge/nagios/nagios-

-Par défaut NAGIOS vient sans plugins ( extension) pour les télécharger tapez la commande : # wget http://prdownloads.sourceforge.net/sourceforge/nagiosplug/nagiosplugins-1.4.15.tar.gz Compilation de NAGIOS depuis les sources : -Décompresser le fichier à l’aide la commande :
86

CCNA Security

2012/2013

Intégration de Compétence

# tar –xzf nagios-3.2.3.tar.gz # cd nagios-3.2.3 -Ensuite lance le processus d’installation # ./configure

# make all # make install

# make install-commandmode

# make install-config

# make install-init

87

CCNA Security

2012/2013

Intégration de Compétence

# make install-webconf

-Création d’un lien symbolique # ln –s /etc/init.d/nagios /etc/rcS.d/S99nagios -activé le mot de passe pour l’interface de gestion web de nagios # htpasswd -c /usr/local/nagios/etc/htpasswd.users nagiosadmin -Puis saisir le mot de passe

-Redémarrer le service APACHE à l’aide de la commande # apache2ctl restart Compilation des plugins NAGIOS depuis les sources : De base, NAGIOS est livré sans aucune extension (plugin). Il faut donc installer les plugins standards permettant de surveiller les machines de son réseau. #aptitude install fping libnet-snmp-perl libldap-devlibmysqlclient-dev libgnutlsdev libradiusclient-ng-dev php5 -Puis décompresser les les plugins NAGIOS # cd /usr/src # tar –xzf nagios-plugins-1.4.15.tar.gz # cd nagios-plugins-1.4.15 -Puis tapez la suite commande pour les compiler avec NAGIOS

# make
88

CCNA Security

2012/2013

Intégration de Compétence

# make install -Nous allons effectuer un teste

-Ensuite nous allons lancer le serveur NAGIOS # /etc/init.d/nagios start

89

CCNA Security

2012/2013

Intégration de Compétence

Test du serveur NAGIOS
-Tapez dans un navigateur WEB l’adresse suivante :

Surveillance à distance
Surveillance de machine Windows

-Dans un premier temps nous allons éditez le fichier de configuration des machines Windows qui se localiser dans /usr/local/nagios/etc/objects/windows.cfg # gedit /usr/local/nagios/etc/objects/windows.cfg

-Ensuite renseigner le champ hostname par le nom de votre machine Windows et adresse par l’adresse IP dans notre le nom est WIN-SERVER et 172.16.1.3 comme IP

90

CCNA Security

2012/2013

Intégration de Compétence

-Saisir le même nom au niveau de la section services define

-Enregistré puis quitter Faite un test de configuration avec la commande de vérification # /usr/local/nagios/bin/nagios –v /usr/local/nagios/etc/nagios.cfg
91

CCNA Security

2012/2013

Intégration de Compétence

-Avant de redémarrer le service NAGIOS nous allons installer NSClient++ qui est le plugin charge de renseigne notre serveur de supervision -Pour télécharger NSClient++ tapez le lien suivant dans un navigateur Web http://sourceforge.net/projects/nscplus/files/nscplus/NSClient%2B%2B%200.3.8/ Télécharger la dernière version disponible en format .MSI -Puis installer sur la machine Windows à surveiller

-Cliquez sur typical puis sur NEXT

92

CCNA Security

2012/2013

Intégration de Compétence

-renseigner l’adresse IP du serveur NAGIOS et cocher les deux cases Check_nt et check_nrpe puis NEXT

-Ensuite cliquez sur install -Allez dans le menu démarrer dans exécuter tapez services.msc puis OK

93

CCNA Security

2012/2013

Intégration de Compétence

-Localiser NSClient++

-Faite un cliquez droit et allez dans propriétés dans l’onglet connexion cochez la case Autoriser le service à interagir avec le bureau

-Appliquer et OK -Retourner sur le serveur NAGIOS puis recharge le deamon du serveur #/etc/init.d/nagios restart

-Tapez l’adresse du serveur NAGIOS dans un navigateur suivi du /nagios
94

CCNA Security

2012/2013

Intégration de Compétence

Renseigner le login et le mot de passe pour accéder à l’interface de gestion

-Cliquez sur hosts group

-Le tableau encadré en rouge représenter notre serveur Windows -Cliquez sur WIN-SERVER pour voir les vérification de notre serveur

95

CCNA Security

2012/2013

Intégration de Compétence

Webographie :

www.nicolargo.com www.developez.com

96

CCNA Security

2012/2013

Intégration de Compétence

VI. Mise en place Ossec

97

CCNA Security

2012/2013

Intégration de Compétence

Introduction
OSSEC est un HIDS (Host-based Intrusion Detection System). Il s’agit en quelque sorte d’une sonde qui travaille sur une machine en particulier et analyse les éléments propres à cette machine. OSSEC dispose de fonctionnalités adaptées à son utilisation, comme l’analyse de logs, la détection de rootkit, les alertes en temps réel et les réponses actives. OSSEC fonctionne sur la plupart des OS communément rencontrés : Windows, Linux, Mac OS, HP-UX, solaris, … Il s’appuie sur un schéma client / Serveur : d’une part le Manager, qui met à disposition les éléments permettant d’évaluer les clients et stocke les informations renvoyées par ces clients d’autre part un agent, qui se charge de récupérer les éléments nécessaires aux analyses et pousse le tout au Manager

98

CCNA Security

2012/2013

Intégration de Compétence

Installation et configuration d'Ossec sur Ubuntu
Ossec est un détecteur d'intrusion du type HIDS (Host-based Intrusion Détection System). Il est l'un des HIDS des plus utilisés, très facile d'accès tant pour l'installation que pour l'utilisation. Mais que fait Ossec exactement :
    

Vérification de l'intégrité des fichiers systèmes. Analyse des logs et remontée Détection des rootkits Mécanisme de prévention actif (lancement de règle iptables par exemple) Sévérité des alertes classés de 0 à 15

Prérequis Avant de passer à l’installation d’Ossec, il faut au préalable installer certains paquets, à adapter selon vos besoins. $ sudo apt-get update $ sudo apt-get upgrade $ sudo apt-get install wget man ssh build-essential libgnutls-dev check install Téléchargement Pour installer Ossec, il faut tout d’abord télécharger et décompresser la dernière version

wget http://www.ossec.net/files/ossec-hids-2.7.tar.gz tar xzvf ossec-hids-2.7.tar.gz cd ossec-hids-2.7.

99

CCNA Security

2012/2013

Intégration de Compétence

Installation d’ossec avec la commande ./install.sh

Choix du role: serveur

100

CCNA Security

2012/2013

Intégration de Compétence

Pour démarrer ossec on utilisera la commande : # /var/ossec/bin/ossec-control start et pour stopper #/var/ossec/bin/ossec-control stop

101

CCNA Security

2012/2013

Intégration de Compétence

Installation de l’interface web d’ossec cd /var/www wget http://www.ossec.net/files/ui/ossec-wui-0.3.tar.gz tar xvzf ossec-wui-0.3.tar.gz mv ossec-wui-0.3 ossec chown -R user-apache: ossec cd ossec ./setup Ajouter un agent de surveillance sur un autre serveur : Lancez cette commande sur le serveur ossec et suivez les instructions : /opt/ossec-server/bin/manage_agents Ensuite utilisez la commande suivante pour importer la clef que vous aurez copier, sur le client, ce qui lui permettra de faire ces remontées au serveur ossec. /opt/ossec-agent/bin/manage_agents Ces commandes sont à adapter selon votre installation. Maintenant rendez-vous à l'url qu’on a choisi pour l'interface : Elle doit être de la forme : http://ossec.domain.fr ou http://ip-serveur/ossec Si au lancement de l'interface web vous obtenez une erreur de type opendir failed (/var/ossec) dans vos logs ou Unable to access ossec directory et que vous avez modifié le répertoire d'ossec à l'installation (/opt/ossec... par exemple, il faut éditer le fichier /var/www/ossec/ossec_conf.php et faire le changement adéquate : /* Ossec directory */ $ossec_dir="/home/ossec"; Parfois il faut attendre quelques minutes avant d'avoir les premières remontées. Administration et commandes: Pour afficher la liste des agents actifs on tape : /opt/ossec-server/bin/agent_control -lc Enlevez le c pour avoir la liste de tous les agents meme ceux qui ne sont pas encore actif. Pour interroger le status d'un agent le 002 par exemple on tape : /opt/ossec-server/bin/agent_control -i 002
102

CCNA Security Screenshots : Voici un petit aperçu de l'interface :

2012/2013

Intégration de Compétence

103

CCNA Security

2012/2013

Intégration de Compétence

Conclusion
Il est indéniable qu’OSSEC dispose de fonctionnalités clé qui permettent d’avoir un état en temps réel de votre infrastructure. En cela, il devient un des outils nécessaires à tout administrateur voulant contrôler un peu plus ce qui se passe sur son parc. Cependant, comme pour tous les outils puissants, il reste maintenant à faire un peu de tri dans les informations renvoyées, afin de distinguer celles qui sont vraiment importantes de celles qui relèvent plus de l’anecdote. Car c’est un risque identifié : plus il y a de bruit, et moins on voit le problème…

104

CCNA Security

2012/2013

Intégration de Compétence

VII. Mise en place Prelude

105

CCNA Security

2012/2013

Intégration de Compétence

Introduction
Prelude-IDS est un système de détection d'intrusions et d'anomalies distribué sous licence GPL, il est composé des types de détecteurs hétérogènes : un NIDS : Network Intrusion Detection System : Snort un HIDS : Host based Intrusion Detection System : OSSEC un LML : Log Monitoring Lackey. Module de prelude : prelude-lml Un tel système vient compléter la panoplie des équipements et logiciels de sécurité (routeurs filtrants, serveurs proxy, pare-feu...) et offre à l’exploitant Sécurité et/ou l’analyste un outil de contrôle des activités suspectes ou illicites (internes comme externes). L’intérêt de Prelude est de pouvoir centraliser les alertes dans sa base de données et de les normaliser au format IDMEF (Intrusion Detection Message Exchange Format), puis visualisable dans une interface web Pré-requis Une bonne connexion Internet Une machine Ubuntu version 8.04 Apt-get update Apt-get upgrade Puis ces paquets afin d’éviter certains problèmes lors de la configuration : Apt-get install man wget ssh build-essential checkinstall libpcap-dev flex byacc gtk-doc-tools libssl-dev libxml-dev libpcre3-dev libfam-dev gnutls-bin libgcrypt11-dev libgnutls-dev libgpg-error-dev libopencdk10-dev libxmlsec1 libxmlsec1-gnutls

106

CCNA Security

2012/2013

Intégration de Compétence

Installation et Configuration
Prelude fonctionne avec plusieurs modules qui sont: Libprelude LibpreludeDB Pelude-Manager Prelude-correlator Prelude-LML Prewikka Libprelude Libprelude est une bibliothèque permettant une communication sécurisée entre différentes sondes et un serveur Prelude (Prelude-Manager). Pour l’installer il faut télécharger ce paquet : Wget http://www.prelude-ids.com/download/releases/libprelude/libprelude-0.9.24.1.tar.gz Apres on décompresse le paquet avec tar zxf libprelude-0.9.24.1 puis ./configure ; make et make install. Puis ajouter la ligne /usr/local/lib tout en éditant le fichier /etc/ld.so.conf. Voir figure1

figure1 Cette partie correspond à la configuration de Prelude en général, c’est-à-dire à Libprelude installé sur un poste client ou serveur. En effet, quel que soit l’usage, et l’installation étant la même sur les deux types de postes, la configuration de base de Prelude se trouve par défaut dans le répertoire /usr/local/etc/prelude/default. Ce dossier contient plusieurs fichiers de configuration tels que: client.conf : il permet de configurer l’agent ou la sonde (prelude-correlator) mais aussi d’indiquer l’adresse du serveur prelude-manager global.conf : il est permet de paramétrer certaines options pour gérer des champs à remplir lors de l’envoi d’alerte, ou encore pour préciser les informations sur le poste serveur ou client (multiples adresses ip, nom du vlan, …etc). idmef-client.conf : Quant à ce fichier, idmef-client.conf, il contient les liens vers les deux fichiers précédents, à savoir client.conf et global.conf. tls.conf : Afin de paramétrer la génération des certificats, comme la durée de vie ou la valeur de la clé de cryptage (par défaut 1024), il faut éditer le fichier tls.conf

LibpreludeDB
107

CCNA Security

2012/2013

Intégration de Compétence

La librairie LibpreludeDB permet la gestion du type et du format de la base de données utilisée pour stocker les alertes au format IDMEF. Elle offre aussi la possibilité de gérer la base de données sans utiliser du SQL, grâce à l’usage de commandes, spécialement développées pour interagir depuis un terminal Linux. Installer d’abord le paquet avec Apt-get install mysql-server puis télécharger la librairie dans : Wget http://www.prelude-ids.com/download/releases/libpreludedb/libpreludedb-0.9.15.3.tar.g On décompresse avec tar zxf, ./configure, make et make install puis éditer /etc/ld.so/conf le fichier pour inclure les lignes suivantes. Voir figure2

figure2 Pour la configuration, il faut créer une base de données qui nous permettra de stocker les alertes : il faut d’abord se connecter en tant root avec un mot de passe ici passe= pass=2. La commande est : mysql -u root –p. voir figure3

figure3 : connexion au server SQL Puis créer la base et l’utilisateur qui va se connecter dans mysql-server. Voir figure4

108

CCNA Security

2012/2013

Intégration de Compétence

figure4 : création d’une base de données La connexion d’utilisateur au serveur mysql. Voir figure5

figure5 : connexion d’un user de la base

Prelude-Manager Prelude-Manager est le composant principal de Prelude, il joue le rôle de serveur. En effet, il réceptionne les alertes IDMEF provenant de ses sondes ou de ses composants (PreludeCorrelator). Pour l’installation on télécharge le paquet avec : Wget http://www.prelude-ids.com/download/releases/prelude-manager/prelude-manager0.9.15.tar.gz puis on décompresse avec tar zxf, ./configure, make et make install Apres éditer le fichier /etc/ld.so.conf pour inclure les lignes suivantes. Voir figure6

figure6 Pour la configuration de base il faut éditer le fichier suivant : prelude-manager.conf qui se trouve dans /usr/local/etc/prelude-manager/prelude-manager.conf Puis spécifier l’adresse sur laquelle prelude-manager doit écouter. Ici elle est globale donc 0.0.0.0. Voir figure

109

CCNA Security

2012/2013

Intégration de Compétence

Puis indiquer les paramètres de la base de données, ce qui permettra à prelude-manager d’être prêt à démarrer et à fonctionner. Voir figure7

figure7 : paramètres de DB dans prelude-manager Prelude-Correlator C’est un outil de corrélation multiflux, utilisant des règles écrites en Python pour corréler les alertes IDMEF reçues par Prelude-Manager. Pour l’installation d’abord préparer l’environnement Python avec Apt-get install python puis télécharger le paquet de corrélation avec : wget http://www.prelude-ids.com/download/releases/prelude-correlator/preludecorrelator-0.9.0-beta6.tar.gz. Décompressez avec le tar zxf, ./configure, make et make install. Puis inclure la ligne « include /usr/local/lib/prelude-correlator » dans le fichier /etc/ld.so.conf Pour la configuration c’est simple car y a pas grande chose à faire, il suffit d’éditer le fichier client.conf qui se trouve dans /usr/local/etc/prelude/default, pour inclure l’adresse du server (ici 172.16.1.2). On peut implémenter des règles mais ce n’est pas le cas ici. Prelude-LML Prelude-LML est un analyseur de fichiers de logs. En agissant comme sonde auprès de Prelude-Manager, il collecte et analyse les informations issues de tous types d’applications émettant des évènements sous forme de journaux systèmes, de massages syslog, …etc. Il détecte des activités suspectes lors de ses analyses, puis génère des alertes au format IDMEF et les transmet au serveur Prelude. Télécharger le paquet sur wget http://www.prelude-ids.com/download/releases/preludelml/prelude-lml-0.9.15.tar.gz puis installer et inclure la ligne suivante : Include /usr/local/lib/prelude-lml dans /etc/ld.so.conf Pour configurer éditer le fichier /usr/local/etc/prelude-lml/prelude-lml.conf Prelude-Prewikka Interface web de Prelude. Prewikka permet de visualiser les alertes reçues par PreludeManager. La mise en place de l’interface web nécessite d’installer quelques paquets supplémentaires : Apt-get install apache2 libapache2-mod-python mysql-server python python-dev pythonsetuptools. Puis on télécharge le paquet avec wget http://www.preludeids.com/download/releases/prewikka/prewikka-0.9.17.tar.gz. Apres on décompresse avec tar zxf, ./configure, make et make install. Il y a des paquets pour l’interface qu’il faut installer : Apt-get install cheetah
110

CCNA Security

2012/2013

Intégration de Compétence

Python setup.py build

Python setup.py install Pour la configuration, il faut d’abord, pour l’interface Prewikka, il faut créer une base de données. Voir figure

figure8 : création d’une base de données prewikka Pour la configuration de base il faut éditer le fichier prewikka.conf qui se trouve dans le répertoire prewikka pour ajouter la base de Manager et celle de prewikka. Voir figure9

figure9 : fichier prewikka.conf
111

CCNA Security

2012/2013

Intégration de Compétence

Pour la configuration de apache2 on crée d’abord un site pour notre prewikka ici /etc/apache2/sites-available/prewikka puis on édite ce dernier pour le configurer. Voir figure10

figure10 : fichier apache2 de prewikka Il faut inclure le fichier prewikka dans /etc/apache2/apache2.conf Puis redémarrer apache2 pour que la configuration faite soit prise en compte avec /etc/init.d/apache2 restart NB : N’oubliez pas d’inclure l’adresse du serveur prelude-manager dans le fichier client.conf qui se trouve dans /usr/local/etc/prelude/default

Test Apres l’installation et configuration de ces services, Prelude doit marcher mais ce qui n’est pas le cas ici car il y a certains paquets qui ne s’installent pas donc aucun résultat.

112

CCNA Security

2012/2013

Intégration de Compétence

Conclusion
L’application Prelude est disponible uniquement sous Linux, bien qu’il ait une offre payante (support, fonctionnalités supplémentaires, …), le logiciel est gratuit. Prelude est un SIM Universel. Prelude collecte, normalise, catégorise, agrège, corrèle et présente tous les événements sécurité. Visualisez en temps réel l'ensemble de vos données sécurité, exporter des rapports : transformer vos données brutes en information utile

113

CCNA Security

2012/2013

Intégration de Compétence

VIII. Mise en place Snort

114

CCNA Security

2012/2013

Intégration de Compétence

Introduction
En anglais, Snort signifie «renifler ». Snort est un système de détection d'intrusion libre (ou NIDS) publié sous licence GNU GPL (Licence définissant le mode d’utilisation et de distribution des logiciels libres). À l'origine écrit par Martin Roesch, il appartient actuellement à Sourcefire. Des versions commerciales intégrant du matériel et des services de supports sont vendues par Sourcefire. Snort est un des NIDS les plus performants. Il est soutenu par une importante communauté qui contribue à son succès. Modes d’utilisation de Snort Il existe 4 modes d’exécutions de Snort : Mode sniffer C’est un snif de réseau classique. Inutile de s’y attarder, d’autres logiciels comme wireshark le font très bien, et la valeur réelle de Snort n’est pas là. Mode Packet logger De même que le mode sniffer, sauf qu’il écrit le résultat de son observation dans un fichier log. Je ne m’y attarderai pas plus. Mode NIDS (Network Intrusion Detection System) Cela devient plus intéressant. Ce mode fait l’objet de mon stage. Il s’agit de l’utilisation de Snort avec analyse du trafic aux vues de règles de sécurités actualisées. Snort en NIDS a une valeur d’observation. Mode IPS (IPS= Intrusion Prevention System) ou Snort inline Le mode IPS n’est plus Snort à proprement parler. Il s’agit d’une autre version basée sur Snort 2.6 appelée Snort inline. Cette version permet de modifier ou de rejeter des paquets. Je décrirai rapidement sa mise en place en fin de rapport.

w

115

CCNA Security

2012/2013

Intégration de Compétence

Installation
L’installation se fera une station Ubuntu 10.4 avec les fonctionnalités indispensables à la bonne réalisation de Snort. Pour installer ces paquets nous allons utiliser ces commandes suivantes :

sudo apt-get install nmap sudo apt-get install nbtscan sudo apt-get install apache2 sudo apt-get install php5 sudo apt-get install php5-mysql sudo apt-get install php5-gd sudo apt-get install libpcap0.8-dev sudo apt-get install libpcre3-dev sudo apt-get install g++ sudo apt-get install bison sudo apt-get install flex sudo apt-get install libpcap-ruby sudo apt-get install mysql-server sudo apt-get install libmysqlclient16-dev

Data acquisition API Indispensable pour les versions de Snort après la 2.9.0. Ce composant permet d’acquérir des paquets sur le réseau.

Sudo tar zxvf daq-0.6.2.tar.gz Cd daq-0.6.2 Sudo. /configure Sudo make Sudo make install

Libnet

116

CCNA Security

2012/2013

Intégration de Compétence

Libnet, est une bibliothèque opensource. Elle permet de fabriquer et d'injecter facilement des paquets sur un réseau.

sudo tar zxvf libnet-1.12 cd libnet-1.12/ sudo make sudo make install sudo ln –s /usr/local/lib/libnet.1.0.1 /usr/lib/ libnet.1

Installation de Snort NIDS

Une fois le fichier téléchargé, ouvrir un terminal et exécuter les commandes suivantes : Sudo tar zxvf snort-2.9.2.tar.gz cd snort-2.9.2 sudo ./configure --prefix=/usr/local/snort --enable-sourcefire sudo make sudo make install sudo mkdir /var/log/snort sudo mkdir /var/snort sudo groupadd snort sudo useradd -g snort snort sudo chown snort:snort /var/log/snort

117

CCNA Security

2012/2013

Intégration de Compétence

A cause d’un problème de connexion on du télécharger les paquets via navigateur, et donc avec les commandes notées ci-dessus.

Les paquets étant téléchargées nous passons à la configuration de snort avec le fichier snort.conf qui le grand problème de ce rapport parce de dernier est sensé se trouvé dans etc/snort/snort.conf ce qui n’est pas le cas car quand on debute les configurations

118

CCNA Security

2012/2013

Intégration de Compétence

On ne peut enregistrer la config vu que le fichier n’existe pas

Et donc nous avons vérifié dans etc et là nous ne trouvons pas le dossier snort

119

CCNA Security

2012/2013

Intégration de Compétence

Ce fichier étant indispensable au fonctionnement de snort notre installation s’arrêtera ici. Toutefois nous allons expliquer comment se fais une bonne config snort. On comment par notre fichier snort.conf dans lequel nous feront les modifications suivantes

Interfaces réseau

Afin d’utiliser Snort, il nous faut donc 2 interfaces réseau. La première reliée à la console de management, et la seconde au réseau à sniffer. Modification du fichier « interfaces »: Sudo gedit /etc/network/interfaces Et on remplace les lignes : auto eth1 iface eth1 inet dhcp Par : auto eth1 iface eth1 inet static address 172.16.1.3

120

CCNA Security Netmask 255.255.255.0 Network 172.16.1.0 Broadcast xxx.xxx.xxx.xxx Gateway 172.16.1.10

2012/2013

Intégration de Compétence

On ajoute maintenant ces lignes qui permettront de démarrer l’interface avec son IP : auto eth1 iface eth1 inet manual ifconfig eth1 up On enregistre et on relance : sudo /etc/init.d/networking restart Afin de lancer Snort automatiquement sur notre machine, on peut éditer le fichier rc.local : sudo vi /etc/rc.local On colle les lignes suivantes après « exit 0 » : ifconfig eth1 up /usr/local/snort/bin/snort -D -u snort -g snort \ -c /usr/local/snort/etc/snort.conf -i eth1 /usr/local/bin/barnyard2 -c /usr/local/snort/etc/barnyard2.conf \ -G /usr/local/snort/etc/gen-msg.map \ -S /usr/local/snort/etc/sid-msg.map \ -d /var/log/snort \ -f snort.u2 \ -w /var/log/snort/barnyard2.waldo \ -D On enregistre et on quitte le fichier. Désormais, en redémarrant ou en utilisant la commande ci-dessous, on lance Snort : sudo /etc/init.d/rc.local start

Test de la configuration de Snort

Création d’une règle locale de test

Editer le fichier local.rules, ou bien le créer s’il n’existe pas.
121

CCNA Security

2012/2013

Intégration de Compétence

$ sudo gedit /etc/snort/rules/local.rules Puis y ajouter cette ligne de test, qui sert à envoyer des alertes lorsque Snort sniffe et détecte des pings sur le réseau : alert icmp any any -> any any (msg:"test ICMP";sid:10000001;) Lancement de Snort

Démarrage de Snort: $ sudo /usr/local/snort/bin/snort -c /etc/snort/snort.conf Test Lancement du test de la règle local.rules : $ sudo ping x.x.x.x Vérification Puis vérification de la présence des alertes générées, normalement, après le test, dans la base de données, et dans le fichier de logs : $ sudo gedit /var/log/snort/alert Et/ou $ sudo mysql –u snort –p –D snort –e “select count(*) from event”

Administration de Snort Snort ne possède qu’une seule commande, snort, cette dernière regroupe toutes les options nécessaires pour le fonctionnement de l’application. Usage : /usr/local/snort/bin/snort [-options] <filter options> Pour plus d’informations sur les options de la commande : /usr/local/snort/bin/snort --h Démarrage de Snort

Pour démarrer Snort, il faut entrer cette commande : $ sudo /usr/local/snort/bin/snort -c /etc/snort/snort.conf La visualisation des alertes se fait dans le fichier alert : $ sudo gedit /var/log/snort/alert
122

CCNA Security

2012/2013

Intégration de Compétence

Conclusion
Snort est outil puissant de sécurité réseau qui a pour rôle d’écouter sur le réseau à la recherche d’attaques de pirates, qu’il détecte grâce à de nombreuses règles. Dans notre projet snort n’a pas marché en virtuel mais dans une implémentation parallèle sur machine physiquement ce dernier est fonctionnel à 100 % et ça sera cette machine qu’on utilisera dans la mise en place du projet.

123

CCNA Security

2012/2013

Intégration de Compétence

Mise en place zone DMZ

124

CCNA Security

2012/2013

Intégration de Compétence

A. Mise en place Pare-feu

125

CCNA Security

2012/2013

Intégration de Compétence

Introduction
Pfsense, ou ≪ Packet Filter Sense ≫ est un Firewall / routeur propose en Live CD d’environ 50Mo (installable a la manière d’Ubuntu par exemple). Pfsense est base sur un système d’exploitation BSD, réputé pour sa stabilité et sur m0n0wall qui est aussi un Firewall / Routeur Open Source mais conduit par un autre projet.

126

CCNA Security

2012/2013

Intégration de Compétence

Installation
D’abord l’installation s’est effectuée sur Virtual Box avant d’être implémenté physiquement L’installation se fait comme suite : Premièrement insérer le CD dans le lecteur ou le monter dans lecteur virtuel

Choix du lecteur sur lequel vous voulez qui boot dans mon cas j’ai choisi le <<H :>> ensuite de ça appuyer sur démarrer

127

CCNA Security

2012/2013

Intégration de Compétence

128

CCNA Security

2012/2013

Intégration de Compétence

Entre temps à vous de faire votre choix ; pour cette installation j’ai choisi l’option 1 qui est l’option par défaut Pour installer appuyer sur (I) Pour installer en live CD appuyer sur (C)

Dans ce cas on choisit I et attendez une interface bleu

Appuyez sur Accept these settings
129

CCNA Security

2012/2013

Intégration de Compétence

De mon coter j’ai choisi la première option qui est Quick/Easy Install c’est plus flexible et facile et appuyer sur OK

130

CCNA Security

2012/2013

Intégration de Compétence

Vous avez un message affiché qui vous de dit redémarrer et après redémarrage retirer le CD

Et voilà votre système qui redémarre

131

CCNA Security

2012/2013

Intégration de Compétence

Configuration

La configuration du pare-feu comprend trois cartes réseaux d’où la : Première est externe Deuxième est interne Troisième est le Dmz Vous êtes invités à entrer le nom de chaque cartes réseaux

La question vous ait posée, voulez-vous procéder oui ou non ? Vous devez dire oui si vous voulez que le changement de nom de vos trois interfaces puisse prendre effet. Pour attribuer d’adresse ip à différentes interfaces, appuyez sur (2)

132

CCNA Security

2012/2013

Intégration de Compétence

Suivez les instructions et faites de même pour tous les autres Nous allons essayer de configurer les règles mais bien avant, nous prendrons une machine avec laquelle nous tenterons d’accéder à l’interface graphique du serveur pare-feu pfsense. Vous verrez une interface graphique après avoir mis l’adresse ip de votre choix dans l’URL ensuite un login et un mot de passe par défaut vous ait demandé qui est : Login : admin Password : pfsense

133

CCNA Security

2012/2013

Intégration de Compétence

Pour configurer tous ce qu’il nous faut pour le pare-feu appuyer sur settings-setup wizard

Ici vous observerez les différents champs à remplir

-INTERNE
134

CCNA Security

2012/2013

Intégration de Compétence

Voici la configuration de l’interne

Pour configurer les règles il faut cliquer sur firewall-rules

135

CCNA Security

2012/2013

Intégration de Compétence

Ensuite vous faites Save et apply changes

136

CCNA Security

2012/2013

Intégration de Compétence

La première règle permet à ceux de l’interne d’atteindre l’externe. La deuxième permet à ceux de l’interne d’échanger entre eux. -DMZ Remarquez comme je vous l’avais dit précédemment qu’il faut sauvegarder et appliquer les changements Vous faites les mêmes choses que celui de l’interne

137

CCNA Security

2012/2013

Intégration de Compétence

C’est aussi la même règle appliquée pour le DMZ

-EXTERNE

138

CCNA Security

2012/2013

Intégration de Compétence

Conclusion
Une conclusion voudrait que le travail soit achevé, or nous venons d’initier un document Poussé à évoluer. En effet vous avez surement remarqué que certains services proposés par Pfsense ne sont pas traités. Or pour ainsi dire que le travail à fonctionner il faudrait y arriver au test, d’où l’application pfsense est un logiciel linux permettant d’administrer un réseau entier comme par exemple configurer un proxy, vpn, etc… Elle permet d’accomplir plein de taches.

139

CCNA Security

2012/2013

Intégration de Compétence

B. Mise en place DNS

140

CCNA Security

2012/2013

Intégration de Compétence

Introduction
Un serveur de nom fait la résolution des noms en adresses IP. Il est l’un des composantes les plus critiques dans un réseau. La nécessité de mettre en place un serveur de nom dans un réseau vient du fait que le serveur principal pourrai être non disponible.cette installation de DNS sera suivit de l’installation d’un raid5 sur le serveur dans le but d’améliorer les performances et augmenter la fiabilité en apportant la tolérance de panne. (Redundant Array of Independant Disks )

141

CCNA Security

2012/2013

Intégration de Compétence

I.

etape1 : configuration du DNS

Afin d’installer un D N S sous linux nous avons besoin d’insttaller bind9,pour cela ouvrons le terminal et tapons : #apt-get install Bind9

Apres l’installation des paquets position nous sous /etc /bind et faisons cp –r bind bindold

Editons le fichier name.conf.local en ajoutant les parametres ZONE pour cela taponst #gedit name.conf .local

Copions ensuite notre fichier db.local dans security.zone qui est un répertoire qu’ on crée (mkdir #cp db.local security.zone et éditons security.zone
142

CCNA Security #gedit security.zone

2012/2013

Intégration de Compétence

Puis copions security.zone dans security.local #cp security.zone security.local

Editons aussi security.local #gedit security.local

143

CCNA Security

2012/2013

Intégration de Compétence

Editons le fichier rsolv.conf après nous être positionné sur le répertoire /etc #gedit resolv.conf

Inserer le parameter :nameserver 192.168.1.1(adrresse de votre serveur DNS)

Et enfin editer le dernier fichier qui est HOSTS #gedit hosts

144

CCNA Security

2012/2013

Intégration de Compétence

ajoutons ce parametre dans le fichier hosts :192.168.1.1 DNS security.com DNS.security.com

Redemarons le service avec /etc/init.d/bind9 restart

Verifons si notre DNS marche avec la commande dig security.com

145

CCNA Security

2012/2013

Intégration de Compétence

146

CCNA Security

2012/2013

Intégration de Compétence

I.

etape2 : configuration d’un raid5

Configuration d’un raid 5 Installons d’abord le paquet mdadm#apt-get install mdadm

Puis installons le paquet ncurses #apt-get install libncurses5-dev

et installons :

Positionons nous sur /usr/src/linux-headers-2.6.32-21 Et faisons #make menuconfig et choisissons Device drivers(entrer pour selectionner)

147

CCNA Security

2012/2013

Intégration de Compétence

Selectionner la ligne multiple driver support

148

CCNA Security

2012/2013

Intégration de Compétence

Chageons l’etat modulaire des raids en static(M en etoile)

Sortons du noyau et entre YES pour valider nos changements

149

CCNA Security

2012/2013

Intégration de Compétence

Creons nos partitions de nos trois disque Commençons par le disque sdb qui est le premier disque qui ne possede pas encore de partition

Commande(m pour l’aide) : n

(tapons n)

Commande d’action : tapons P pour une partion primaire Numero de partition (1-4) : 1 (tapons 1)

Laissons le premier cylindre et le der nier cylindre sur la valeur par defaut qui est 1 , qu’ on vient de choisir precedement Pour le code hexa :tapons la valeur Fd Commande(m pour l’aide) : W (tapons W pour finaliser la partition du disque notre )

150

CCNA Security

2012/2013

Intégration de Compétence

Ces etapes de partition doivent etre repeter pour les deux autres disque sdc et sdd Tapons la commande suivante pour créer un volime raid5 : mdadm --create /dev/md0 -level=5 --raid-devices=3 /dev/sdb1 /dev/sdc1 /dev/sdd1

Enregistrons le volume raid 5

Scannons ensuite le volume raid et inscrivons le dans fichier mdadm.conf

Creation d’un system de fichier

151

CCNA Security

2012/2013

Intégration de Compétence

Montons ensuite le volume dans un fichier raid5 que nous créons .

Editons le fichier /etc/fstab et inserons la ligne suivante : /dev/md0 /mnt/raid5 auto defaults 0 3

Enfin enre

Enfin enregistrons et quittons ce fichier. Lancer un redémarrage de votre machine et lister vos disque vous verrez qu’ils sont partitionner.

152

CCNA Security

2012/2013

Intégration de Compétence

Conclusion
grâce au système (Domain Name System) il est possible d'associer des noms en langage courant aux adresses numériques. Le système DNS nous propose donc :
  

un espace de noms hiérarchique permettant de garantir l'unicité d'un nom dans une structure arborescente, à la manière des systèmes de fichier Unix. un système de serveurs distribués permettant de rendre disponible l'espace de noms. un système de clients permettant de « résoudre » les noms de domaines, c'est-à-dire interroger les serveurs afin de connaître l'adresse IP correspondant à un nom.

153

CCNA Security

2012/2013

Intégration de Compétence

C. Mise en place serveur Mail

154

CCNA Security

2012/2013

Intégration de Compétence

Introduction
Exchange est un produit qui a commencé sa carrière en 1996. À l'époque, Active Directory n'existait pas. Depuis l'apparition d'Active Directory en 1999, Exchange se base dessus. Les versions avant Exchange 2000 embarquaient donc leur propre annuaire pour gérer les utilisateurs. Aujourd'hui, nous sommes à la version 2010. Cette version apporte de nombreux changements par rapport à la version 2007, notamment sur la partie haute disponibilité et les besoins matériels (revus à la "baisse). Je ne vais pas présenter ces nouveautés en tant que telles. De nombreux webcasts sont disponibles sur le site de Microsoft pour découvrir les nouveautés entre Exchange 2007 et 2010. Dans ce tutoriel, je vais présenter les différents composants et technologies d'Exchange puis je commencerai par créer une architecture simple. Ensuite, nous verrons comment implémenter cette architecture. Nous n'allons pas voir les services de messagerie unifiée qui feront l'objet d'un autre article ni la mise en place d'une architecture en haute disponibilité.

155

CCNA Security

2012/2013

Intégration de Compétence

Installation
Exchange Server à besoin d'Active Directory (au minimum sur Windows Server 2003) pour fonctionner. Active Directory va servir à stocker différentes données et également les comptes utilisateurs activés pour la messagerie. Plusieurs rôles et fonctionnalités sont requis pour l'installation d'Exchange. Exchange est fourni avec plusieurs fichiers de configuration selon les rôles à installer. Ces fichiers, au format XML, se trouvent dans le répertoire Scripts du DVD. Pour installer les prérequis d'une installation typique d'Exchange, lancez : POWER SHELL ServerManagerCmd -ip E:\Scripts\Exchange-Typical.xml Import-Module ServerManager Add-WindowsFeature NET-Framework,NET-HTTP-Activation,Web-Server,Web-ISAPIExt,Web-Basic-Auth,Web-Digest-Auth,Web-Windows-Auth,Web-Dyn-Compression,WebMetabase,Web-Net-Ext,Web-Lgcy-Mgmt-Console,WAS-Process-Model,RSATADDS,RSAT-Clustering,RSAT-Web-Server,RPC-Over-HTTP-proxy Set-Service NetTcpPortSharing -StartupType Automatic

               

NET-Framework : Fonctionnalités du .NET Framework 3.5.1 ; NET-HTTP-Activation : Activation HTTP ; Web-Server : Serveur Web (IIS) ; Web-ISAPI-Ext : Extensions ISAPI ; Web-Basic-Auth : Authentification de base ; Web-Digest-Auth : Authentification Digest ; Web-Windows-Auth : Authentification Windows ; Web-Dyn-Compression : Compression de contenu dynamique ; Web-Metabase : Compatibilité avec la métabase de données ; Web-Net-Ext : Extensibilité .NET ; Web-Lgcy-Mgmt-Console : Outils de gestion IIS 6 ; WAS-Process-Model : Modèle de processus ; RSAT-ADDS : Outils AD DS ; RSAT-Clustering : Outils de clustering avec basculement ; RSAT-Web-Server : Outils du serveur Web (IIS) ; RPC-Over-HTTP-proxy : Proxy RPC sur HTTP.

Enfin, il vous faudra installer le Filter Pack d'Office 2010 64 bits (FilterPackx64.exe). Ce pack est utilisé pour l'indexation et le scan des fichiers Office.

156

CCNA Security

2012/2013

Intégration de Compétence

Déploiement
L’installation débute donc avec l’option de langue (français), vu qu’on a NET FRAMEWORK 3.5 sp1 et power Shell v2 installés

L’option de langue étant sélectionnée ainsi que ceux du contrat Microsoft, on passe aux rôles exchange

157

CCNA Security

2012/2013

Intégration de Compétence

Dans la partie des rôles exchange 2010 nous choisirons l’installation personnalisée vu qu’on n’aura pas à utiliser le rôle transport EDGE, lui seulement.

158

CCNA Security

2012/2013

Intégration de Compétence

Ici on a sélectionné tous les autres rôles et on passe au prochain stade ou on s’assurera prendre l’option «NON» vu qu’on pas Outlook 2003 dans notre infrastructure.

Ensuite nous le test de préparation ou nos configurations antérieures seront examinées, après quoi si le test est concluant ce qui notre cas on débutera l’installation proprement dite

159

CCNA Security

2012/2013

Intégration de Compétence

Nous venons d’installer avec succès exchange 2010 avec tous ses rôles.

160

CCNA Security

2012/2013

Intégration de Compétence

L’installation étant terminée, nous allons lancer exchange afin de créer les nos boites aux lettres

161

CCNA Security

2012/2013

Intégration de Compétence

Configuration

Dans la création des boites aux lettres, nous allons utiliser la console Shell Exchange pour sa rapidité avec la syntaxe suivante :

New-Mailbox -Name 'testmail' -Alias 'mail' -OrganizationalUnit 'UO' UserPrincipalName'mail' -SamAccountName 'test' -MAIL '' -Initials '' -test''

Ainsi nous créeront toutes nos boites

162

CCNA Security

2012/2013

Intégration de Compétence

Conclusion
Avec Microsoft Exchange Server 2010, nous atteignons vos objectifs tout en maîtrisant les coûts de déploiement, d’administration et de conformité. Exchange propose un vaste éventail d’options de déploiement, nous protège contre les pertes d’informations et vous aide à respecter les contraintes réglementaires. C’est sans conteste la solution de messagerie et de collaboration la plus efficace du moment.

163

CCNA Security

2012/2013

Intégration de Compétence

D. Mise en place Apache

164

CCNA Security

2012/2013

Intégration de Compétence

Introduction
Apache est le serveur web le plus répandu sur Internet permettant à des clients d'accéder à des pages web, c'est-à-dire en réalité des fichiers au format HTML à partir d'un navigateur installé sur leur ordinateur distant. Il s'agit d'une application fonctionnant à la base sur les systèmes d'exploitation de type Unix, mais il a désormais été porté sur de nombreux systèmes, dont Microsoft Windows.

165

CCNA Security

2012/2013

Intégration de Compétence

I.

Création de la page web avec apache2

Tout d’abord installons le Packet apache2 avec la commande apt-get install apache2 Ensuite créons un fichier vhost.conf dans /etc/apache2 grâce à la commande : touch vhost.conf

Copions le fichier default se trouvant dans /etc/apche2/sites-availlable dans /etc/vhost.conf puis éditons comme suit :

Une fois cette étape passée, créons un dossier site, puis un fichier index.html dans le dossier site. Donc tapons mkdir site puis touch index.html. Ensuite éditons notre fichier index.html

166

CCNA Security

2012/2013

Intégration de Compétence

Enfin nous devrons inclure notre fichier vhost.conf en faisant gedit /etc/apache2/apache2.conf

167

CCNA Security

2012/2013

Intégration de Compétence

II.

Sécurisation de la page web

Pour que le protocole SSL puisse fonctionner avec le Serveur HTTP Apache2, il faut activer le module ssl avec la commande : a2enmod ssl

Ensuite Activons la configuration du site ssl avec la commande a2ensite default-ssl

Enfin redémarrons le service apache2

Dans le navigateur, vérifions si notre page web est bien sécurisée en tapant l’adresse de notre site qui est de 192.168.1.2 .une page apparait nous indiquant que cette connexion n’est pas certifiée. Cliquons ensuite sur je comprends les risques

puis sur ajouter une exception

168

CCNA Security

2012/2013

Intégration de Compétence

Enfin confirmons l’exception de sécurité

Ici s’affiche notre page web sécurisée.

169

CCNA Security

2012/2013

Intégration de Compétence

Cliquons sur l’adresse pour voir les détails de la connexion sécurisée https

170

CCNA Security

2012/2013

Intégration de Compétence

171

CCNA Security

2012/2013

Intégration de Compétence

III.

Mise en place du raid 5

Le R.A.I.D 5 aussi appelé agrégat par bandes avec parité, est un système permettant de mettre en place une tolérance de panne au niveau des disques. Un R.A.I.D 5 se constitue au minimum avec 3 disques avec un système de parité permettant de récupérer les données même dans le cas d'une panne d'un des disques. Pour commencer installons les paquets suivant : apt-get install mdadm. apt-get install debconf-utils build-essential kernel-package libncurses5-dev. Ensuite on fait cd /usr/src/linux-headers-2.6.32-21. Tapons make menuconfig pour rentrer dans le noyau. Une fois dans le noyau, choisissons Device Drivers

Dans Device Drivers sélectionnons Multiple Devices Driver support (RAID and LVM)

172

CCNA Security

2012/2013

Intégration de Compétence

Sélectionnons les éléments comme suit :

Enregistrons et quittons

173

CCNA Security

2012/2013

Intégration de Compétence

Listons les disques avec fdisk -l

Créons les partitions pour les trois disques. Pour /dev/sdb tapons fdisk /dev/sdb

Tapons n pour créer une nouvelle partition
174

CCNA Security

2012/2013

Intégration de Compétence

P pour la partition primaire

1 pour le numéro de la partition

t pour modifier l’ID du système de fichier ensuite fd

W pour enregistrer et quitter

Pour les deux autres disques (sdc et sdd) faire la même chose que le premier disque. Création du volume raid 5 grâce a la commande mdadm --create --verbose /dev/md0 --level=5 --raid-devices=3 /dev/sdb1 /dev/sdc1 /dev/sdd1

175

CCNA Security

2012/2013

Intégration de Compétence

Enregistrons le volume en tapant la commande ci-dessous :

Créons le système de fichiers

Mottons le volume dans /opt/SAUVEGARDE.SAUVEGARDE étant un dossier préalablement crée

Dans le fichier fstab insérons la ligne suivante mount /dev/md0 /opt/SAUVEGARDE 0 3

176

CCNA Security

2012/2013

Intégration de Compétence

Conclusion Ici mais fin à la configuration de notre serveur web apache2. Pour accéder au site web il faut utiliser un client web. Notre raid5 quand à lui nous permettra de prévenir en cas de panne d’un disque.

177

CCNA Security

2012/2013

Intégration de Compétence

E.

Mise en place Asterisk

178

CCNA Security

2012/2013

Intégration de Compétence

Introduction
L’administrateur de réseaux doit comprendre différentes technologies liées de près à son champ d’expertise. Dans ce contexte, la téléphonie IP devient un incontournable. Cette technologie, relativement nouvelle, est de plus en plus présente dans nos organisations.

179

CCNA Security

2012/2013

Intégration de Compétence

I)

Configuration d’Asterisk

Configuration de notre fichier sip.conf pour l’enregistrement de nos utilisateurs

Configuration de notre fichier extensions.conf

180

CCNA Security

2012/2013

Intégration de Compétence

Configuration de nos téléphones Xlite pour passer les appels Entrons les paramètres de configurations des utilisateurs

181

CCNA Security

2012/2013

Intégration de Compétence

182

CCNA Security

2012/2013

Intégration de Compétence

183

CCNA Security

2012/2013

Intégration de Compétence

184

CCNA Security

2012/2013

Intégration de Compétence

II)

Mise en place du RAID

Mise en place du Raide 5 : Créons tout d’abord trois disk qui prendront en charge notre RAID

Pour la création du Raid, il faut tout d’abord :  Se placer dans le fichier  Après tapez la commande make menuconfig pour se positionner dans le noyau afin d’activez le paramètre du RAID choisit

185

CCNA Security Voyons no différents disk

2012/2013

Intégration de Compétence

Sur chaque disque entrons la commande suivante : Fdisk /dev/sdb N pour crée une table de partition P pour choisir le type de partition (primaire(1)) T pour changer ID du disk Fd pour changer en hexadécimal

186

CCNA Security

2012/2013

Intégration de Compétence

Création du RAID de niveau 5 (RAID5)

Il faut ensuite enregistrer ce nouveau volume auprès de mdadm et le déclarer actif. Si le fichier mdadm.conf n’existe pas, on le crée puis on y écrit la ligne :

Ensuite on appelle mdadm une nouvelle fois pour scanner les volumes RAID existants et les inscrire dans ce fichier :

Création du système de fichiers du volume RAID

Puis pour monter le volume dans, par exemple, le dossier /mnt/mount

187

CCNA Security

2012/2013

Intégration de Compétence

Il peut être pratique de toujours monter le volume RAID5 au démarrage du système, pour cela ajoutons dans le fichier /etc/fstab la ligne :

188

CCNA Security

2012/2013

Intégration de Compétence

Conclusion
Le RAID5 permet de sécuriser ses données, certes, cependant il est faux de croire qu’il est infaillible. Ce système permet de récupérer les données si un disque est défaillant, mais dans le cas où les deux disques lâchent en même temps alors toutes les données sont perdues. En résumé le RAID5 permet de sécuriser ses données dans une certaine mesure ; mais il ne dispense pas de faire des sauvegardes sur d’autres supports : CD/DVD, disques externes, voire si les données sont vraiment sensibles (en entreprise par exemple), redondance sur un autre serveur placé sur un site différent et/ ou archivage sur bandes magnétiques.

189

CCNA Security

2012/2013

Intégration de Compétence

Mise en place zone EXTERNE

190

CCNA Security

2012/2013

Intégration de Compétence

Pour cette zone il nous suffit de configurer le carte du réseau EXTERNE pour qu’elle reçoit les adresses dynamiquement

191

CCNA Security

2012/2013

Intégration de Compétence

Conclusion Générale
Dans ce projet, nous avons mis nos compétences techniques en œuvre malgré que la réussite a été partielle. Mais avec le temps nous y remédions à ces problèmes dans la mesure du possible.

192