Université international de rabat

Projet de fin d’études

Pour l’obtention de la licence en

Génie Informatique

Sujet :
Etude et mise en place d’un Système de Prévention D’intrusion

Elaboré par :
Mohamed Tabari

Encadré par :
Karim Aloui
 Remerciement

Tout d’abord je souhaite adresser mes remerciements à Mr Tahar Bayahi, PDG du groupe Magasin General, pour
m’avoir accueilli au sein de son entreprise.
Je remercie de même, mon encadreur à « Université International de Rabat » Mr Larbi Alaoui qui m’a encouragé
encadré tout au long du projet.
Je tiens à exprimer ma gratitude à Mr Karim Aloui, directeur de la direction des systèmes d’information. Qu’il soit
remercié pour son contact chaleureux, ses conseils, ses encouragements, et son soutien permanent. Je le remercie de
m’avoir accordé le temps nécessaire pour s’entretenir avec moi et m’orienté vers le bon chemin.

Comme je tiens à remercier vivement tous le personnel de la direction des systèmes d’information, et particulièrement
Mr Zoubeir Dahman, Mr Ahmed Harsi pour leurs disponibilités, aides, leurs précieuses directives et conseils tout au
long de mon stage.
Il m’est aussi agréable de m’acquitter d’une dette de reconnaissance envers mon université « Université International
de Rabat » pour la formation qui m’a été dispensée.
Merci également aux membres du jury qui ont accepté d’évaluer mon travail.
Finalement je remercie tous ceux qui n’ont épargné aucun effort, de près ou de loin, pour me permettre d’accomplir
mon travail.
 Table des matières

Chapitre 1 : PRESENTATION GENERALE .................................................................................................. 1

I. Présentation de l’organisme d’accueil ........................................................................................ 2
Présentation de la société ........................................................................................................... 2
Présentation de la dsi .................................................................................................................. 3
II. Cadre du projet............................................................................................................................ 3
III. Etude de l’existant ................................................................................................................... 4
IV. Etat des lieux de la sécurité MG .............................................................................................. 6
Prestation des systèmes de sécurité déployés............................................................................ 6
a) Firewall .................................................................................................................................... 6
b) Passerelles SMTP et WEB ........................................................................................................ 6
c) Segmentation réseau (802.x) .................................................................................................. 6
d) Antivirus................................................................................................................................... 7
Limites des systèmes existants .................................................................................................... 7
a) Firewall : .................................................................................................................................. 7
b) Passerelles SMTP et web : ....................................................................................................... 7
c) Segmentation réseau (802.x): ................................................................................................. 7
d) Antivirus :................................................................................................................................. 7
Points faible dans l’architecture existante .................................................................................. 7
Chapitre 2 : PRESENTATION DES IPS ....................................................................................................... 9
I. Généralité .................................................................................................................................. 10
II. Rôle détection des intrusions .................................................................................................... 10
Types de détections................................................................................................................... 10
a) Approche par scénario .......................................................................................................... 10
b) Approche comportementale ................................................................................................. 12
III. Rôle protection des intrusions .............................................................................................. 13
IV. Critères de choix d’un IPS ...................................................................................................... 13
La capacité de protection .......................................................................................................... 13
La capacité de traitement.......................................................................................................... 14
Chapitre 3 : MISE EN PLACE................................................................................................................... 15
I. Etude des scénarios de mise en place ....................................................................................... 16
Mode de déploiement ............................................................................................................... 16
 a) Promiscuous Mode ................................................................................................................ 16
b) Inline Mode ........................................................................................................................... 17
Scenario D’intégration ............................................................................................................... 18
a) Choix du mode :..................................................................................................................... 18
b) Emplacement de sondes ....................................................................................................... 18
II. Installation de l’IPS .................................................................................................................... 19
Préparation des prérequis ......................................................................................................... 19
Branchement ............................................................................................................................. 20
Installation du McAfee NSP manager software ........................................................................ 20
Configuration du sensor McAfee M-2850 ................................................................................. 22
III. Mise en exploitation .............................................................................................................. 23
Mode apprentissage .................................................................................................................. 23
Récolte et analyse des logs........................................................................................................ 23
a) Tableau de bord IPS ............................................................................................................... 24
b) Analyse d’une menace .......................................................................................................... 25
Mise en place de la politique..................................................................................................... 27
 Liste des figures

Figure 1: Organisation DSI ....................................................................................................................... 3

Figure 2: Architecture réseau de MG ...................................................................................................... 4
Figure 3: Recherche de motifs............................................................................................................... 11
Figure 4: IPS en mode Promiscuous ...................................................................................................... 16
Figure 5: IPS en mode Inline .................................................................................................................. 17
Figure 6: Architecture réseau MG avec emplacement des sondes ....................................................... 19
Figure 7: Lancement de l’installation du NSP Network Manager ......................................................... 21
Figure 8: Choix du Network Security Manager...................................................................................... 21
Figure 9: Installation de la base de données MySQL............................................................................. 22
Figure 10: Configuration du sensor ....................................................................................................... 22
Figure 11: Tableaux de bord IPS ............................................................................................................ 24
Figure 12: Détails d’une menace ........................................................................................................... 25
Figure 13: Mécanisme de détection déployé ........................................................................................ 25
Figure 14: Sources et destination de la menace ................................................................................... 26
Chapitre 1 : PRESENTATION GENERALE

1
 I. PRESENTATION DE L’ORGANISME D’ACCUEIL

Présentation de la société

La Société Magasin Général (MG) est une société anonyme au capital de 8 350 000 DT,
spécialisée dans la grande distribution. Cette chaine de grande surface existe en Tunisie depuis
les années 20. Suite à une décision de l’État, elle est devenue au début des années 60 une
division de la STIL (Société Tunisienne de l’Industrie Laitière). La scission de cette dernière en
1988 a fait naitre la MG en tant que la société juridiquement indépendante. En 1989, une
fusion qui a été réalisée avec la Société de Distribution des Magasins Modernes (SDMM).

En juin 2007, la Société Magasin Général a été privatisée et achetée par le groupe
BAYAHI et le groupe PAULINA. De nombreuses étapes ont été franchies dans la modernisation
et la progression de l’enseigne Magasin Général.

En novembre 2008, Magasin Général rachète les parts des groupes Mabrouk (35%) et
Harmouni (34%) dans la société BHM Promogro pour un montant de 75.273 millions de
dinars ; le groupe BAYAHI détenait déjà 20% de cette société.

Le 13 mars 2012, Auchan acquiert 10% du capital. L’accord inclut une assistance
technique et la formation des employés de Magasin général (MG). A partir de juin 2013, la
chaine est connue sous les initiales MG.

Magasin Général est le leadeur national dans son domaine d’activité avec un chiffre
d’affaire de plus de 800MD, son réseau commercial compte 76 magasins, la chaine surclasse
toutefois la concurrence par sa couverture géographique (22 gouvernorats sur 24).

2
 Présentation de la DSI

Figure 1: Organisation DSI

II. CADRE DU PROJET

Le system d’information joue un rôle primordial dans le support des activités du groupe
Magasin Général, en effet la quasi-totalité des processus de productions sont informatisés.
Protéger se system est une des préoccupations principales de l’entreprise, vu que ce dernier
est de plus en plus exposé aux risques en provenance de plusieurs sources qui représentent
un grand danger. Ces risques proviennent de 2 sources :

 Les risques externes qui proviennent d’internet, et des liens avec les
fournisseurs.
 Les risques internes qui proviennent du réseau interne de Magasin
Général, et comme le groupe compte un grand nombre d’employés et de points de
vente, ce risque est considéré comme important.

Ayant subis auparavant des incidents de sécurité, nous citons à titre

d’exemple l’attaque virale de l’année 2008 qui a touchée dans les environs de 400 postes de
travail, ce qui a causé un arrêt partiel de la production.

3
 Bien que MG dispose de plusieurs dispositifs de sécurité, L’entreprise fait sans cesse
l’effort pour améliorer son système de sécurité.

III. ETUDE DE L’EXISTANT

Dans ce qui suit, nous présenteront l’environnement informatique de l’entreprise, en

mettant l’accent sur la description du réseau informatique.

Magasin Général adopte l’architecture réseau hiérarchique selon le standard CISCO et

en tire les avantages suivants :

 Évolutivité : la conception autorise un développement facile à mettre en œuvre.

 Sécurité : contrôle des périphériques connectés au réseau.
 Performance : équilibrage des charges dans les agrégations.
 Redondance : augmentation considérable de la disponibilité à travers des
implémentations redondantes.

Firewall

Switch CORE

Figure 2: Architecture réseau de MG

4
 Ce modelé de conception est divisé en trois couches comme suit :

Couche accès « acces layer »

La couche accès permet de connecter les terminaux tels que les ordinateurs, les
imprimantes et les différents périphériques utilisés par les employés de MG au réseau.

Couche EDGE

Cette couche de model de conception hiérarchique contrôle le flux du trafic réseau et

délimite les domaines de diffusion à l’aide des fonctions de routage entre les Virtual Local Area
Network « VLANS ».

Son rôle principal est de filtrer, router, autoriser ou non les paquets échangés entre le
siège de MG et l’extérieur (points de vente, banques …).

Couche cœur réseau « core layer »

La couche cœur réseau est la colonne vertébrale (Backbone). Cette couche est
essentielle pour l’inter-connectivité entre les dispositifs informatiques. EN effet tous les
serveurs du Datacenter sont liés physiquement à ce niveau. Ce qui nécessite une bande
passante suffisante pour l’échange d’importante quantité d’informations.

Liens Intersites

Pour connecter ses points de vente à son siège ou se trouve son Datacenter, plusieurs
technologies et types de supports sont déployés:

MPLS (multiple Protocol Label Switching) : Elle relise le siège social aux différents
points de vente via deux interfaces fibres Channel supportant un débit allons jusqu’à 60 Mbps.

WIMAX (Wolrdwide Interoperability For Microwave Access) : Permet l’interconnexion

des points de vente et des banques en passant par le siège.

Frame Relay : Permet d’interconnecter les points de vente et les banques en passant
par le siège.

5
 ADSL (Asymétrique digital subscriber line) : Relie le siège à l’internet (réseaux externe).

IV. ETAT DES LIEUX DE LA SECURITE MG

Soucieuse de la protection de son système d’information, la MG a intégré dans son

architecture informatique plusieurs dispositifs de défenses afin de garantir le meilleur niveau
de sécurité.

Nous détaillons par la suite les différents moyens de protections utilisées par la MG.

Prestation des systèmes de sécurité déployés

a) Firewall

Le firewall est un system de protection conçu pour protéger les données d’un réseau
contre d’éventuel menaces. Il permet d’assurer la sécurité des informations d’un réseau en
filtrant les entrées et en contrôlant les sorties selon des règles définies par l’administrateur.

Les firewalls de la MG sont déployés au niveau du point d’entrée de la connexion

internet, et aussi au niveau de la couche serveur. Le rôle du firewall internet est d’empêché
les accès non autorisés aux réseaux internes de MG. Tandis que le firewall de la couche
serveur examine tout le trafic entrant ou sortant de cette zone et bloque ce qui ne répond pas
aux règles de sécurité spécifiées.

b) Passerelles SMTP et WEB

Il s’agit de deux Appliance logicielles. La passerelle SMTP analyse le flux mail entrant
contre les spams, les pièces jointes infectées, le contenu actif ou non approprié. Le mécanisme
d’analyse est basé sur la comparaison entre le contenu du mail et la base de signature du virus
de la passerelle. La passerelle web utilise le même mécanisme pour le filtrage du trafic web,
avec en plus un moteur de vérification de la réputation des sites web demandés. Les sites
dont la réputation est mauvaise seront bloqués.

c) Segmentation réseau (802.x)

Le réseau utilisateurs de MG est segmenté en VLAN, cette segmentation est basée sur
des profils prédéfinis. En utilisant la technologie 802.x chaque utilisateur aura accès aux
ressources informatiques dont il a besoin uniquement. Cette solution limite les accès aux

6
ressources informatiques à des populations bien identifiées, ce qui réduit en conséquence les
risques liés aux accès non contrôlés.

d) Antivirus

Un client antivirus est installé sur tous les postes de travails et les serveurs avec un
système de gestion centralisé.

Limites des systèmes existants

a) Firewall :

Malgré le fait de pouvoir analysé plusieurs couches réseaux notamment la 3ème et la

4ème, ce dernier est incapable de contrôler les couches réseau supérieures du modèle OSI.

De ce fait, si une attaque est dissimulée dans un trafic légitime, elle pourra dépasser le
firewall sans être détecté.

b) Passerelles SMTP et web :

Le périmètre de protection des passerelles est limité aux flux mail et WEB (http, https,
et FTP) provenant de l’externe, le reste des protocoles demeurent sans vérification.

c) Segmentation réseau (802.x):

Malgré le rôle important que joue ce système, ce dernier n’est pas capable d’examiner
le contenu du trafic échangé avec le Datacenter de MG.

d) Antivirus :

L’antivirus ne peut assurer la protection que de la machine sur laquelle il est installé. Il
se base sur un fichier de signature pour arrêter les différentes menaces.

Points faible dans l’architecture existante

Les dispositifs de sécurité ne permettent pas de couvrir certains risques auxquels le

system pourra être exposé. Le système de sécurité présent actuellement ne permet pas une
analyse profonde du trafic interne, ce qui fait que si une intrusion a eu lieu, il n’y a aucun
moyen pour y faire face, de plus il n’y a aucun moyen de détecter les trafics suspects qui
pourraient se manifester par la suite sous forme d’intrusion.

7
 Pour faire face à ces différents risque et menaces, un system de sécurité pouvant
couvrir ces parties la reste indispensable afin de pouvoir procurer une protection complète et
optimale.

8
Chapitre 2 : PRESENTATION DES IPS

9
I. GENERALITE

L’IPS (intrusion prévention/protection security) est un mécanisme écoutant le trafic

réseau de manière active afin de repérer et bloquer des activités anormales. Une action de
prévention, peut-être par exemple, le blocage du flux suspect.

Nous distinguons essentiellement deux types d’IPS :

NIPS : Le NIPS est place sur un segment réseaux et a pour rôle de surveiller et analyse
ce dernier afin de le protéger contre les différents types de menaces

HIPS : Le HIPS effectue la même tache que le NIPS sauf que celui si opère sur une seule
machine

L’IPS a deux fonctionnalités principales qui sont : la détection et la protection.

II. ROLE DETECTION DES INTRUSIONS

La Détection d’instruction et le rôle principale d’un IPS, puisque avant de pouvoir

arrêter ou stopper une attaque, l’IPS doit t’abord la détecté, c’est pourquoi l’IPS emplois
différentes méthodes de détections afin de pouvoir détecter les attaque les plus complexe et
les plus furtif.

Et cette détection peut se faire faire de plusieurs manières.

Types de détections
a) Approche par scénario

L’approche par scenario consiste à comparer le comportement observé du système

avec la base de signature de l’IPS et remonte une alerte si ce comportement correspond à une
signature prédéfinie.

10
 Cependant il existe plusieurs approches.

Recherche de motifs (pattern matching)

C’est la méthode la plus connue et la plus à facile à comprendre. Elle se base sur la
recherche de motifs (chaînes de caractères ou suite d'octets) au sein du flux de données. L'IPS
comporte une base de signatures où chaque signature contient les protocoles et port utilisés
par l'attaque ainsi que le motif qui permettra de reconnaître les paquets suspects.

Figure 3: Recherche de motifs

Analyse heuristique et détection d'anomalies

Le but de cette méthode est de détecter une activité suspecte ou toute autre anomalie
en effectuant des analyses intelligentes fréquemment

Par exemple : une analyse heuristique permet de générer une alarme quand le
nombre de sessions à destination d'un port donné dépasse un seuil dans un intervalle de
temps prédéfini.

Analyse de protocoles

Cette méthode se base sur une vérification de la conformité des flux, ainsi que sur
l'observation des champs et paramètres suspects dans les paquets. L'analyse protocolaire
utilise des préprocesseurs dont le rôle est d’analyser chacun un protocole particulier (FTP,
HTTP, ICMP…).

11
 Le principale intérêt de l’analyse protocolaire est de détecter des attaques inconnue,
contrairement au paterne qui doit connaitre l’attaque pour pouvoir la détecté. L'intérêt fort
de l'analyse protocolaire est qu'elle permet de détecter des attaques inconnues.

Recherches Génériques :

Adaptée pour les virus. Vérifie dans le code exécutable de celui-ci les commandes qui
peuvent être potentiellement dangereuses. Par exemple, une commande DOS non référencée
est détectée, des émissions de mails.

Contrôle D’intégrité :

Effectue une sauvegarde de tous les fichiers d’un système et génère une alerte en cas
d’altération ou modification de l’un des fichiers

b) Approche comportementale

L’Approche comportementale consiste à détecter une intrusion en fonction du

comportement passé de l'utilisateur. L'idée sous-jacente est de parvenir à dresser un profil
utilisateur établi selon ses habitudes de travail et à déclencher des alertes lorsque des
évènements hors gabarit se produisent.

Il existe deux techniques principales pour repérer les attaques :

Analyse probabiliste :

On prévoit quelle est la probabilité d’avoir un évènement après un autre Par exemple,
dans le cas d'une connexion sur le port 80 d'une machine, on aura une probabilité de 0,9
d'avoir un GET, ainsi qu'une probabilité de 0.8 que la réponse à ce GET soit un HTTP 200 OK.
Si ce n’est pas le cas, l’IPS en déduit que c’est une attaque et le signale.

Analyse statistique :

Effectue des tests sur d’autres éléments concernant l’utilisateur :

 La valeur de la charge réseau
 le nombre d’acces a l’intranet par jour
12
 L’avantage avec cette méthode c’est qu’elle n’a pas besoin d’une base de données. Elle
permet donc, de détecter des attaques inconnues.

III. ROLE PROTECTION DES INTRUSIONS

Le deuxième rôle d’un IPS est la prévention des attaques avant qu’elles atteignent leurs
destinations. Les IPS sont programmés prendre plusieurs actions contre les menaces
détectées. Ces réponses sont paramétrées par les administrateurs de sécurité selon la gravité
et l’impact des risques repérés. Voici les différents types d’actions :

 Suppression des paquets : supprime le paquet qui contenait une signature qui a été
détecté
 Reset de la connexion : forcer la fin d’une connexion TCP
 Empêcher la connexion : Interdire la connexion de l’IP source de la menace en utilisant
une liste noir dynamique
 Envoi d’un e-mail à un ou plusieurs utilisateurs : Envoi d’un e-mail à une ou plusieurs
boîtes aux lettres pour notifier d’une intrusion sérieuse.
 Journalisation (log) de l’attaque : Sauvegarde des détails de l’alerte dans une base de
données centrale comme avec les informations nécessaires pour le diagnostic
 Sauvegarde des paquets suspicieux : Sauvegarde de l’ensemble des paquets qui ont
déclenchés une alerte
 Notification visuelle de l’alerte : Affichage de l’alerte dans une ou plusieurs consoles
de management

IV. CRITERES DE CHOIX D’UN IPS

Plusieurs solutions IPS sont disponibles sur le marché. Cependant il y’a 2 critères
important par rapport au choix d’un IPS, est qui sont :

La capacité de protection

La capacité de protection d’un IPS se traduit par :

 Une base de signature qui couvre le maximum de menaces connues

13
  La capacité de détecter et de réagir face au risque inconnu (risque non présent
dans les bases de signatures), via l’approche comportemental à titre
d’exemple.
 Le nombre de sensor géré par l’IPS, ce critère définit le périmètre pouvant être
contrôlé.

La capacité de traitement

Au-delà des capacités de protection, les IPS sont se caractérisent par un potentiel de
traitement. Ce dernier est lié à la configuration physique de l’équipement. La capacité de
traitement des IPS est déterminé par :

 Le nombre de connexion supportée

 La quantité de bande passante pouvant être analysée
 Le moins de latence causée

Plus ils sont performant, plus la capacité de traitement de l’IPS sera meilleure, mais
cela dépendra essentiellement des besoins de l’entreprise

14
Chapitre 3 : MISE EN PLACE

15
I. ETUDE DES SCENARIOS DE MISE EN PLACE

Afin de pouvoir mettre en place l’IPS, on a effectué

Mode de déploiement

Le déploiement d’un IPS peut se faire selon différente méthodes selon le besoins et les
contraintes. Chacune présentant des avantages et des inconvénients

Jusqu’maintenant, il existe 2 principaux modes de déploiement

a) Promiscuous Mode

Figure 4: IPS en mode Promiscuous

Dans ce mode-là, l’IPS reçoit une copie du trafic réseaux qu’il scanne et analyse afin de
déterminer s’ils contiennent des signes d’activité suspecte. En plus d’être simple à déployer,
il n’impacte généralement pas les performances du réseau car le capteur ne voit qu’une copie
du trafic en transit.

16
 b) Inline Mode

Figure 5: IPS en mode Inline

A la différence du suspiscious mode, dans ce mode-là, tout le trafic passe par l’IPS,
capture les paquets en temps réel et les scannes. Si l’un d’eux contient une information qui
déclenche une signature, il sera rejeté et logué.

De ce fait, l’IPS réagis instantanément afin d’arrêter une attaque ou intrusion avant
qu’elle ne puisse atteindre le system.

Malgré ces aspects attrayants, ce mode d’interface en ligne a ses avantages et ses
limites.

Avantages de ce mode :

 Une amélioration de la précision et une meilleure protection avec la possibilité d’agir

sur le trafic en temps réel.
 Une réponse préventive riche disponible avec le capteur dans ce mode qui achemine
le trafic
 De meilleures statistiques qui ne laissent que très peu de faux négatifs.

Inconvénient de ce mode :

 Un impact majeur sur les performances du réseau (surtout s’il n’est pas correctement
dimensionné).
 Un impact sur la fiabilité du réseau car en cas de panne de capteur, s’il n’y a pas de
dispositif de redondance, il n’y aura aucune possibilité d’utilisation du réseau.

17
 Scenario D’intégration
a) Choix du mode :

La protection de l’information étant d’une grande importance pour la société, nous

avons opté pour le choix du mode de déploiement « inline », offrant une protection proactif
face aux attaques qui visent nos serveurs. Dans ce mode, l’IPS traite le trafic en temps réel et
pourra agir instantanément afin de bloquer tout ce qui paraît suspect.

Malgré que ce mode de déploiement présente un risque de production de latence sur

le trafic, ce risque est accepté sachant que la valeur de la latence nominale de notre IPS est
de l’ordre de

100 µs, ce dernier est jugé négligeable par rapport au niveau de protection apporté.

b) Emplacement de sondes

Dans notre architecture l’élément concentrateur de tout le trafic réseau est le firewall Core.
De ce fait tous les serveurs, trafic de la couche EDGE et le flux en prevenance des utilisateurs internes
transitent par ce firewall.

Afin de protéger tout le trafic vers la partie serveur, on a décidé de mettre l’IPS sur les deux
segments externes et interne du firewall. Avec cette mise en place le flux, émanant de la couche EDGE
ainsi que celui des utilisateurs internes, sera inspecté et contrôlé.

Le schéma ci-dessous représente la mise en place de l’IPS au sein de l’architecture réseau de

MG.

18
 Figure 6: Architecture réseau MG avec emplacement des sondes

II. INSTALLATION DE L’IPS

Préparation des prérequis

Afin de procéder à la mise en place de l’IPS McAfee m-2850 plusieurs prérequis doivent
être préparé. Dans notre cas, on a eu à préparer les prérequis suivants :

19
  Une machine virtuelle : Installer la console de gestion (Manager) de l’IPS McAfee
m-2850
 Configuration de l’interface management: pour connecter l’interface management
de l’IPS
 Préparation des Vlans: afin d’y connecter les interfaces du McAfee m-2850

Branchement

Pour intégrer l’IPS dans le réseau, on doit créer deux nouveaux Vlan Niveau 2. Avec ces
deux Vlans, on pourra faire connecter les deux interfaces à inspecter du Firewall Core avec les
deux paires d’interface de l’IPS McAfee M-2850 (interface IN, interface OUT).

 Interface Inside du FW : avant le branchement cette interface est affectée au VLAN 10

niveau 3
 Créer le VLAN 30 niveau 2
 Affecter l’interface Inside du FW et l’interface IN du l’IPS à ce Vlan 30 N2
 Affecter l’interface OUT de l’IPS au VLAN 10 niveau 3
 Interface Outside du FW: avant le branchement cette interface est affectée au VLAN 15
niveau 3
 Créer le VLAN 31 niveau 2
 Affecter l’interface Outside du FW et l’interface IN du l’IPS à ce Vlan 31 N2
 Affecter l’interface OUT de l’IPS au VLAN 15 niveau 3

Installation du McAfee NSP manager software

En premier lieu, on doit procéder à l’installation du logiciel McAfee NSP Manager sur
la machine virtuelle.

L’installation c’est effectué comme ci-dessous :

20
Figure 7: Lancement de l’installation du NSP Network Manager

Figure 8: Choix du Network Security Manager

21
 Figure 9: Installation de la base de données MySQL

Configuration du sensor McAfee M-2850

Après l’installation du logiciel dans la machine virtuel, On doit configurer le

sensor afin que ce dernier puisse communiquer avec le manager.

Figure 10: Configuration du sensor

22
 La configuration du Sensor c’est passer sur quatre phase :
 Changement du mot de passe par default
 Affectation de l’adresse Ip
 Configuration de la passerelle par default
 Renseignement de l’adresse du NSP Network Manager pour le sensor

III. MISE EN EXPLOITATION

Mode apprentissage

Selon les bonnes pratiques, il est fortement recommander de faire fonctionner l’IPS en
mode apprentissage (Learning) pour une période d’un mois, avant d’activer le mode
protection. Cette étape a pour but d’éviter d’éventuel blocage de trafic légitime.

Récolte et analyse des logs

Durant la période d’apprentissage, l’IPS commence à superviser le trafic, et à générer

des Logs. Ces derniers vont nous permettre d’analyser le trafic afin d’avoir une idée sur les
types de flux transitant dans notre réseau. Les informations récoltées par l’IPS durant cette
période représentent une base de données importante qui nous aidera à identifier les risques
auxquels nos systèmes sont soumis, et à l’élaboration de notre politique de défense contre
ces menaces. Cependant, en analysant les logs, il faut prendre en compte les spécificités
reliées à nos systèmes d’information et différencier entre trafic légitime et trafic malicieux.

23
a) Tableau de bord IPS

Ci-dessous des logs obtenus par notre IPS

1 2 3

4 5

Figure 11: Tableaux de bord IPS

Présentations des cadrans du tableau de bord:

1 : « Top High-Risk Endpoints » Représente les terminaux qui constituent un

danger.

2 : « Top Attackers » Montre les adresses IP qui attaquent notre système.

3: « Top Target » Affiche les adresses IP ciblées.

4: « Top Attacks » Illustre les types de menaces les plus récurrentes.

5 : « System Health » Indique l’état global du système.

24
 b) Analyse d’une menace

Figure 12: Détails d’une menace

Nous avons commencé par l’analyse de l’alerte la plus dangereuse afin d’avoir plus d’informations sur
celle-ci. Dans la fenêtre d’analyse, l’IPS nous fournit des informations concernant la menace, sa
description, son type, sa sévérité, probabilité de blocage, catégorie, sous-catégorie, effet possible et la
plateforme affectée, ainsi que le mécanisme de détection employé comme le montre la figure
suivante :

Figure 13: Mécanisme de détection déployé

25
 Figure 14: Sources et destination de la menace

Dans la figure ci-dessus, l’IPS nous affiche des informations relatives à la source et les
destinations concernant les terminaux concerné par cette alerte :

Destinations : Des serveurs d’applications ou sont installés des imprimantes réseau.

Source : une machine se trouvant sur le réseau dont le rôle est la supervision des
imprimantes. Cette machine est utilisée par le service informatique afin d’assurer le
monitoring du service d’impression.

Cette analyse met la lumière sur deux aspects. Le premier est la présence d’une faille
de sécurité dans l’un des protocoles (au niveau du client d’impression Novell), du coup il faut
mettre à jour le client d’impression sur les machines de destination. Le deuxième est le
comportement de l’IP source (dépassement du seuil normal du nombre de paquets envoyés),
en prenant en compte le rôle de la machine source nous considérons que ce comportement
est normal puisqu’elle vérifie en permanence le service d’impression. Cette information doit
être prise en compte lors de la définition de la politique de défense afin de ne pas bloquer le
fonctionnement de ce service.

26
 Mise en place de la politique

Etant arrivé en fin de la phase d’apprentissage et ayant mis au point une politique, la
phase qui suivra sera l’activation de la protection conformément à la politique déjà établie
auparavant.

27