Professional Documents
Culture Documents
Sujet :
Etude et mise en place d’un Système de Prévention D’intrusion
Elaboré par :
Mohamed Tabari
Encadré par :
Karim Aloui
Remerciement
Tout d’abord je souhaite adresser mes remerciements à Mr Tahar Bayahi, PDG du groupe Magasin General, pour
m’avoir accueilli au sein de son entreprise.
Je remercie de même, mon encadreur à « Université International de Rabat » Mr Larbi Alaoui qui m’a encouragé
encadré tout au long du projet.
Je tiens à exprimer ma gratitude à Mr Karim Aloui, directeur de la direction des systèmes d’information. Qu’il soit
remercié pour son contact chaleureux, ses conseils, ses encouragements, et son soutien permanent. Je le remercie de
m’avoir accordé le temps nécessaire pour s’entretenir avec moi et m’orienté vers le bon chemin.
Comme je tiens à remercier vivement tous le personnel de la direction des systèmes d’information, et particulièrement
Mr Zoubeir Dahman, Mr Ahmed Harsi pour leurs disponibilités, aides, leurs précieuses directives et conseils tout au
long de mon stage.
Il m’est aussi agréable de m’acquitter d’une dette de reconnaissance envers mon université « Université International
de Rabat » pour la formation qui m’a été dispensée.
Merci également aux membres du jury qui ont accepté d’évaluer mon travail.
Finalement je remercie tous ceux qui n’ont épargné aucun effort, de près ou de loin, pour me permettre d’accomplir
mon travail.
Table des matières
1
I. PRESENTATION DE L’ORGANISME D’ACCUEIL
Présentation de la société
La Société Magasin Général (MG) est une société anonyme au capital de 8 350 000 DT,
spécialisée dans la grande distribution. Cette chaine de grande surface existe en Tunisie depuis
les années 20. Suite à une décision de l’État, elle est devenue au début des années 60 une
division de la STIL (Société Tunisienne de l’Industrie Laitière). La scission de cette dernière en
1988 a fait naitre la MG en tant que la société juridiquement indépendante. En 1989, une
fusion qui a été réalisée avec la Société de Distribution des Magasins Modernes (SDMM).
En juin 2007, la Société Magasin Général a été privatisée et achetée par le groupe
BAYAHI et le groupe PAULINA. De nombreuses étapes ont été franchies dans la modernisation
et la progression de l’enseigne Magasin Général.
En novembre 2008, Magasin Général rachète les parts des groupes Mabrouk (35%) et
Harmouni (34%) dans la société BHM Promogro pour un montant de 75.273 millions de
dinars ; le groupe BAYAHI détenait déjà 20% de cette société.
Le 13 mars 2012, Auchan acquiert 10% du capital. L’accord inclut une assistance
technique et la formation des employés de Magasin général (MG). A partir de juin 2013, la
chaine est connue sous les initiales MG.
Magasin Général est le leadeur national dans son domaine d’activité avec un chiffre
d’affaire de plus de 800MD, son réseau commercial compte 76 magasins, la chaine surclasse
toutefois la concurrence par sa couverture géographique (22 gouvernorats sur 24).
2
Présentation de la DSI
Le system d’information joue un rôle primordial dans le support des activités du groupe
Magasin Général, en effet la quasi-totalité des processus de productions sont informatisés.
Protéger se system est une des préoccupations principales de l’entreprise, vu que ce dernier
est de plus en plus exposé aux risques en provenance de plusieurs sources qui représentent
un grand danger. Ces risques proviennent de 2 sources :
Les risques externes qui proviennent d’internet, et des liens avec les
fournisseurs.
Les risques internes qui proviennent du réseau interne de Magasin
Général, et comme le groupe compte un grand nombre d’employés et de points de
vente, ce risque est considéré comme important.
3
Bien que MG dispose de plusieurs dispositifs de sécurité, L’entreprise fait sans cesse
l’effort pour améliorer son système de sécurité.
Firewall
Switch CORE
4
Ce modelé de conception est divisé en trois couches comme suit :
La couche accès permet de connecter les terminaux tels que les ordinateurs, les
imprimantes et les différents périphériques utilisés par les employés de MG au réseau.
Couche EDGE
Son rôle principal est de filtrer, router, autoriser ou non les paquets échangés entre le
siège de MG et l’extérieur (points de vente, banques …).
La couche cœur réseau est la colonne vertébrale (Backbone). Cette couche est
essentielle pour l’inter-connectivité entre les dispositifs informatiques. EN effet tous les
serveurs du Datacenter sont liés physiquement à ce niveau. Ce qui nécessite une bande
passante suffisante pour l’échange d’importante quantité d’informations.
Liens Intersites
Pour connecter ses points de vente à son siège ou se trouve son Datacenter, plusieurs
technologies et types de supports sont déployés:
MPLS (multiple Protocol Label Switching) : Elle relise le siège social aux différents
points de vente via deux interfaces fibres Channel supportant un débit allons jusqu’à 60 Mbps.
Frame Relay : Permet d’interconnecter les points de vente et les banques en passant
par le siège.
5
ADSL (Asymétrique digital subscriber line) : Relie le siège à l’internet (réseaux externe).
Nous détaillons par la suite les différents moyens de protections utilisées par la MG.
Le firewall est un system de protection conçu pour protéger les données d’un réseau
contre d’éventuel menaces. Il permet d’assurer la sécurité des informations d’un réseau en
filtrant les entrées et en contrôlant les sorties selon des règles définies par l’administrateur.
Il s’agit de deux Appliance logicielles. La passerelle SMTP analyse le flux mail entrant
contre les spams, les pièces jointes infectées, le contenu actif ou non approprié. Le mécanisme
d’analyse est basé sur la comparaison entre le contenu du mail et la base de signature du virus
de la passerelle. La passerelle web utilise le même mécanisme pour le filtrage du trafic web,
avec en plus un moteur de vérification de la réputation des sites web demandés. Les sites
dont la réputation est mauvaise seront bloqués.
Le réseau utilisateurs de MG est segmenté en VLAN, cette segmentation est basée sur
des profils prédéfinis. En utilisant la technologie 802.x chaque utilisateur aura accès aux
ressources informatiques dont il a besoin uniquement. Cette solution limite les accès aux
6
ressources informatiques à des populations bien identifiées, ce qui réduit en conséquence les
risques liés aux accès non contrôlés.
d) Antivirus
Un client antivirus est installé sur tous les postes de travails et les serveurs avec un
système de gestion centralisé.
De ce fait, si une attaque est dissimulée dans un trafic légitime, elle pourra dépasser le
firewall sans être détecté.
Le périmètre de protection des passerelles est limité aux flux mail et WEB (http, https,
et FTP) provenant de l’externe, le reste des protocoles demeurent sans vérification.
Malgré le rôle important que joue ce système, ce dernier n’est pas capable d’examiner
le contenu du trafic échangé avec le Datacenter de MG.
d) Antivirus :
L’antivirus ne peut assurer la protection que de la machine sur laquelle il est installé. Il
se base sur un fichier de signature pour arrêter les différentes menaces.
7
Pour faire face à ces différents risque et menaces, un system de sécurité pouvant
couvrir ces parties la reste indispensable afin de pouvoir procurer une protection complète et
optimale.
8
Chapitre 2 : PRESENTATION DES IPS
9
I. GENERALITE
NIPS : Le NIPS est place sur un segment réseaux et a pour rôle de surveiller et analyse
ce dernier afin de le protéger contre les différents types de menaces
HIPS : Le HIPS effectue la même tache que le NIPS sauf que celui si opère sur une seule
machine
Types de détections
a) Approche par scénario
10
Cependant il existe plusieurs approches.
C’est la méthode la plus connue et la plus à facile à comprendre. Elle se base sur la
recherche de motifs (chaînes de caractères ou suite d'octets) au sein du flux de données. L'IPS
comporte une base de signatures où chaque signature contient les protocoles et port utilisés
par l'attaque ainsi que le motif qui permettra de reconnaître les paquets suspects.
Le but de cette méthode est de détecter une activité suspecte ou toute autre anomalie
en effectuant des analyses intelligentes fréquemment
Par exemple : une analyse heuristique permet de générer une alarme quand le
nombre de sessions à destination d'un port donné dépasse un seuil dans un intervalle de
temps prédéfini.
Analyse de protocoles
Cette méthode se base sur une vérification de la conformité des flux, ainsi que sur
l'observation des champs et paramètres suspects dans les paquets. L'analyse protocolaire
utilise des préprocesseurs dont le rôle est d’analyser chacun un protocole particulier (FTP,
HTTP, ICMP…).
11
Le principale intérêt de l’analyse protocolaire est de détecter des attaques inconnue,
contrairement au paterne qui doit connaitre l’attaque pour pouvoir la détecté. L'intérêt fort
de l'analyse protocolaire est qu'elle permet de détecter des attaques inconnues.
Recherches Génériques :
Adaptée pour les virus. Vérifie dans le code exécutable de celui-ci les commandes qui
peuvent être potentiellement dangereuses. Par exemple, une commande DOS non référencée
est détectée, des émissions de mails.
Contrôle D’intégrité :
Effectue une sauvegarde de tous les fichiers d’un système et génère une alerte en cas
d’altération ou modification de l’un des fichiers
b) Approche comportementale
Analyse probabiliste :
On prévoit quelle est la probabilité d’avoir un évènement après un autre Par exemple,
dans le cas d'une connexion sur le port 80 d'une machine, on aura une probabilité de 0,9
d'avoir un GET, ainsi qu'une probabilité de 0.8 que la réponse à ce GET soit un HTTP 200 OK.
Si ce n’est pas le cas, l’IPS en déduit que c’est une attaque et le signale.
Analyse statistique :
Le deuxième rôle d’un IPS est la prévention des attaques avant qu’elles atteignent leurs
destinations. Les IPS sont programmés prendre plusieurs actions contre les menaces
détectées. Ces réponses sont paramétrées par les administrateurs de sécurité selon la gravité
et l’impact des risques repérés. Voici les différents types d’actions :
Suppression des paquets : supprime le paquet qui contenait une signature qui a été
détecté
Reset de la connexion : forcer la fin d’une connexion TCP
Empêcher la connexion : Interdire la connexion de l’IP source de la menace en utilisant
une liste noir dynamique
Envoi d’un e-mail à un ou plusieurs utilisateurs : Envoi d’un e-mail à une ou plusieurs
boîtes aux lettres pour notifier d’une intrusion sérieuse.
Journalisation (log) de l’attaque : Sauvegarde des détails de l’alerte dans une base de
données centrale comme avec les informations nécessaires pour le diagnostic
Sauvegarde des paquets suspicieux : Sauvegarde de l’ensemble des paquets qui ont
déclenchés une alerte
Notification visuelle de l’alerte : Affichage de l’alerte dans une ou plusieurs consoles
de management
Plusieurs solutions IPS sont disponibles sur le marché. Cependant il y’a 2 critères
important par rapport au choix d’un IPS, est qui sont :
La capacité de protection
13
La capacité de détecter et de réagir face au risque inconnu (risque non présent
dans les bases de signatures), via l’approche comportemental à titre
d’exemple.
Le nombre de sensor géré par l’IPS, ce critère définit le périmètre pouvant être
contrôlé.
La capacité de traitement
Au-delà des capacités de protection, les IPS sont se caractérisent par un potentiel de
traitement. Ce dernier est lié à la configuration physique de l’équipement. La capacité de
traitement des IPS est déterminé par :
Plus ils sont performant, plus la capacité de traitement de l’IPS sera meilleure, mais
cela dépendra essentiellement des besoins de l’entreprise
14
Chapitre 3 : MISE EN PLACE
15
I. ETUDE DES SCENARIOS DE MISE EN PLACE
Mode de déploiement
Le déploiement d’un IPS peut se faire selon différente méthodes selon le besoins et les
contraintes. Chacune présentant des avantages et des inconvénients
a) Promiscuous Mode
Dans ce mode-là, l’IPS reçoit une copie du trafic réseaux qu’il scanne et analyse afin de
déterminer s’ils contiennent des signes d’activité suspecte. En plus d’être simple à déployer,
il n’impacte généralement pas les performances du réseau car le capteur ne voit qu’une copie
du trafic en transit.
16
b) Inline Mode
A la différence du suspiscious mode, dans ce mode-là, tout le trafic passe par l’IPS,
capture les paquets en temps réel et les scannes. Si l’un d’eux contient une information qui
déclenche une signature, il sera rejeté et logué.
De ce fait, l’IPS réagis instantanément afin d’arrêter une attaque ou intrusion avant
qu’elle ne puisse atteindre le system.
Malgré ces aspects attrayants, ce mode d’interface en ligne a ses avantages et ses
limites.
Avantages de ce mode :
Inconvénient de ce mode :
Un impact majeur sur les performances du réseau (surtout s’il n’est pas correctement
dimensionné).
Un impact sur la fiabilité du réseau car en cas de panne de capteur, s’il n’y a pas de
dispositif de redondance, il n’y aura aucune possibilité d’utilisation du réseau.
17
Scenario D’intégration
a) Choix du mode :
100 µs, ce dernier est jugé négligeable par rapport au niveau de protection apporté.
b) Emplacement de sondes
Dans notre architecture l’élément concentrateur de tout le trafic réseau est le firewall Core.
De ce fait tous les serveurs, trafic de la couche EDGE et le flux en prevenance des utilisateurs internes
transitent par ce firewall.
Afin de protéger tout le trafic vers la partie serveur, on a décidé de mettre l’IPS sur les deux
segments externes et interne du firewall. Avec cette mise en place le flux, émanant de la couche EDGE
ainsi que celui des utilisateurs internes, sera inspecté et contrôlé.
18
Figure 6: Architecture réseau MG avec emplacement des sondes
Afin de procéder à la mise en place de l’IPS McAfee m-2850 plusieurs prérequis doivent
être préparé. Dans notre cas, on a eu à préparer les prérequis suivants :
19
Une machine virtuelle : Installer la console de gestion (Manager) de l’IPS McAfee
m-2850
Configuration de l’interface management: pour connecter l’interface management
de l’IPS
Préparation des Vlans: afin d’y connecter les interfaces du McAfee m-2850
Branchement
Pour intégrer l’IPS dans le réseau, on doit créer deux nouveaux Vlan Niveau 2. Avec ces
deux Vlans, on pourra faire connecter les deux interfaces à inspecter du Firewall Core avec les
deux paires d’interface de l’IPS McAfee M-2850 (interface IN, interface OUT).
En premier lieu, on doit procéder à l’installation du logiciel McAfee NSP Manager sur
la machine virtuelle.
20
Figure 7: Lancement de l’installation du NSP Network Manager
21
Figure 9: Installation de la base de données MySQL
22
La configuration du Sensor c’est passer sur quatre phase :
Changement du mot de passe par default
Affectation de l’adresse Ip
Configuration de la passerelle par default
Renseignement de l’adresse du NSP Network Manager pour le sensor
Mode apprentissage
Selon les bonnes pratiques, il est fortement recommander de faire fonctionner l’IPS en
mode apprentissage (Learning) pour une période d’un mois, avant d’activer le mode
protection. Cette étape a pour but d’éviter d’éventuel blocage de trafic légitime.
23
a) Tableau de bord IPS
1 2 3
4 5
24
b) Analyse d’une menace
Nous avons commencé par l’analyse de l’alerte la plus dangereuse afin d’avoir plus d’informations sur
celle-ci. Dans la fenêtre d’analyse, l’IPS nous fournit des informations concernant la menace, sa
description, son type, sa sévérité, probabilité de blocage, catégorie, sous-catégorie, effet possible et la
plateforme affectée, ainsi que le mécanisme de détection employé comme le montre la figure
suivante :
25
Figure 14: Sources et destination de la menace
Dans la figure ci-dessus, l’IPS nous affiche des informations relatives à la source et les
destinations concernant les terminaux concerné par cette alerte :
Source : une machine se trouvant sur le réseau dont le rôle est la supervision des
imprimantes. Cette machine est utilisée par le service informatique afin d’assurer le
monitoring du service d’impression.
Cette analyse met la lumière sur deux aspects. Le premier est la présence d’une faille
de sécurité dans l’un des protocoles (au niveau du client d’impression Novell), du coup il faut
mettre à jour le client d’impression sur les machines de destination. Le deuxième est le
comportement de l’IP source (dépassement du seuil normal du nombre de paquets envoyés),
en prenant en compte le rôle de la machine source nous considérons que ce comportement
est normal puisqu’elle vérifie en permanence le service d’impression. Cette information doit
être prise en compte lors de la définition de la politique de défense afin de ne pas bloquer le
fonctionnement de ce service.
26
Mise en place de la politique
Etant arrivé en fin de la phase d’apprentissage et ayant mis au point une politique, la
phase qui suivra sera l’activation de la protection conformément à la politique déjà établie
auparavant.
27