Fonctionnement d’OSSIM Dans le cadre de SIMS - Security Intrusion Management System (http ://www.tcom.ch/Tcom/Projets/SIMS/sims.html) Auteur : Joel¨ Winteregg ([email protected]) Chef de projet : Cyril Friche Professeur : Stefano Ventura Ecole´ : Swiss University of Applied Sciences (EIVD) Tcom institut (http ://www.tcom.ch) Date : 31 mai 2005 Table des matieres` 1 Fonctionnement logiciel d’OSSIM 3 1.1 Les applications Ossim-server et Ossim-agent ....................... 3 1.2 Fonctionnement de l’architecture avec une sonde Snort .................. 3 1.2.1 Pourquoi deux flux d’informations ? ........................ 3 1.3 Fonctionnement de l’architecture avec une sonde Ntop .................. 5 1.3.1 Ntop c’est quoi ? .................................. 5 1.3.2 Fonctionnement ................................... 6 1.4 Fonctionnement de l’architecture avec une sonde P0f ................... 6 1.4.1 P0f c’est quoi ? ................................... 7 1.4.2 Fonctionnement ................................... 7 1.5 Fonctionnement de l’architecture avec une sonde TCPTrack ............... 7 1.5.1 TCPTrack c’est quoi ? ............................... 7 1.5.2 Fonctionnement ................................... 7 1.6 Fonctionnement de l’architecture avec une sonde PADS .................. 8 1.6.1 PADS c’est quoi ? .................................. 8 1.6.2 Fonctionnement ................................... 9 1.7 Fonctionnement de l’architecture avec une sonde Syslog ................. 9 1.7.1 Qu’est-ce qu’une sonde HIDS ........................... 9 1.7.2 Fonctionnement ................................... 10 A Installation et configuration d’Ossim-server 11 A.1 Prerequis´ .......................................... 11 A.2 Installation ......................................... 11 A.3 Configuration ........................................ 12 A.3.1 Configuration du serveur Web ........................... 13 B Ajout et configuration d’une sonde Snort 14 B.1 Installation ......................................... 14 B.1.1 Snort ........................................ 14 B.1.2 Ossim-agent .................................... 15 B.2 Configuration ........................................ 15 B.2.1 Snort ........................................ 15 1 SIMS - Security Intrusion Manager System - Joel¨ Winteregg B.2.2 Ossim-agent .................................... 16 B.3 Configuration d’Ossim-server pour une nouvelle sonde Snort ............... 16 B.4 Test de fonctionnement ................................... 18 B.4.1 Erreur de demarrage´ de l’agent Ossim ....................... 18 C Ajout et configuration de Ntop 20 C.1 Installation ......................................... 20 C.1.1 Ntop ........................................ 20 C.2 Configuration ........................................ 21 C.2.1 Ntop ........................................ 21 C.2.2 L’agent Ossim ................................... 21 C.3 Configuration d’Ossim-server pour une nouvelle sonde Ntop ............... 23 D Ajout et configuration de P0f 24 D.1 Installation ......................................... 24 D.2 Configuration ........................................ 24 D.2.1 P0f ......................................... 24 D.2.2 L’agent Ossim ................................... 24 E Ajout et configuration de TCPTrack 25 E.1 Installation ......................................... 25 E.2 Configuration ........................................ 25 F Ajout et configuration d’une sonde HIDS Syslog 26 F.1 Installation ......................................... 26 F.2 Configuration ........................................ 26 G Ajout et configuration de PADS 27 G.1 Installation ......................................... 27 G.2 Configuration ........................................ 27 2 Chapitre 1 Fonctionnement logiciel d’OSSIM Des informations relatives a` l’installation sont disponibles dans les annexes ou sur le site officiel d’Ossim (http ://www.ossim.net/docs.php) 1.1 Les applications Ossim-server et Ossim-agent Ossim-agent recup´ ere` simplement les informations des fichiers de logs des plugins (fichier fast.log pour Snort) et les envoie directement au serveur Ossim permettant ainsi le traitement temps reel´ de celles-ci. De plus, l’agent Ossim s’occupera de la mise en marche et de l’arretˆ des differentes´ sondes qui lui sont connectees.´ Il ne sera ainsi pas necessaire´ de demarrer´ la sonde Snort ”a` la main” puisque son activation sera effectuee´ depuis la console de management offerte par Ossim- server. Ossim-server constitue le noyau de l’architecture. En effet, celui-ci comporte les modules d’analyse et de correlation´ des donnees´ ainsi qu’un serveur Web permettant l’interaction avec l’utilisateur (administrateur reseau).´ 1.2 Fonctionnement de l’architecture avec une sonde Snort Le principe de communication d’une sonde Snort avec le serveur OSSIM est illustre´ par la figure 1.1. Nous remarquons que l’IDS1 Snort est independant´ du programme client d’OSSIM (nomme´ : ossim- agent) et que deux flux d’informations sont emis´ en direction du serveur. 1.2.1 Pourquoi deux flux d’informations ? Le flux nomme´ ”Requetesˆ SQL pour depos´ des alertes” est utilise´ afin de deposer´ directement les alertes dans la base de donnee´ ”Snort BD” du serveur. Ceci permettra l’archivage de celles-ci et 1Intrusion Detection System 3 SIMS - Security Intrusion Manager System - Joel¨ Winteregg FIG. 1.1 – Principe de communication entre une sonde Snort et le serveur d’OSSIM leur conslutation via ACID2, permettant ainsi l’analyse precise´ de chaque alertes. Le flux nomme´ ”Envoi des alertes pour l’anayse temps reel´ (TCP et protocole applicatif propre a` OSSIM” est quant a` lui necessaire´ pour le proced´ e´ d’analye et de correlation´ temps reel´ oper´ e´ sur le serveur d’OSSIM. Ces deux flux d’informations redondants sont indispensables si l’on ne veut pas redefinir´ le protocole d’envoi des informations dans la base de donnee´ ”Snort BD”. En effet, le plugin de sortie Mysql ne serait pas suffisant pour un traitement temps reel´ puisque le stockage des informations dans une base de donnes´ ”casse” le proced´ e´ temps reel.´ Un tel fonctionnement impliquerait l’interrogation continuelle de la base de donnee´ afin de decouvrir´ les nouvelles donnees´ inser´ ees.´ Les concepteurs d’OSSIM ont donc pref´ er´ e´ utiliser deux flux d’informations plutotˆ que de creer´ un nouveau plugin de sortie pour Snort permettant d’envoyer les alertes dans un seul flux structure´ au serveur. Dans ce mode de fonctionnement, c’est le serveur qui se chargerait ensuite du traitement temps reel´ et de l’insertion des informations dans une base de donnee.´ Pour l’analyse et la correlation,´ le serveur Ossim utilise uniquement les alertes provenant de l’agent Os- sim, alors que les alertes directement stockees´ dans la base de donnees´ sont uniquement utilisees´ pour la 2Analysis Console for Intrusion Databases, interface Web integr´ ee´ a` OSSIM permettant l’interrogation d’une base de donne´ Snort (developp´ e´ dans le cadre du projet Open Source Snort) 4 SIMS - Security Intrusion Manager System - Joel¨ Winteregg consultation. 1.3 Fonctionnement de l’architecture avec une sonde Ntop Le principe de communication d’une sonde Ntop avec le serveur OSSIM est illustre´ par la figure 1.2. FIG. 1.2 – Principe de communication entre une sonde Ntop et le serveur d’OSSIM 1.3.1 Ntop c’est quoi ? Ce logiciel analyse de maniere` temps reel´ le trafic reseau´ et met a` disposition une liste de compteurs (par exemple : IP DNSBytes, IP HTTPBytes), permettant le monitoring ainsi que le calcul de statistiques. La sonde Ntop met en place un serveur Web permettant le monitoring ainsi que la configuration de celle-ci a` distance. Le plugin de sortie RRD3 est necessaire´ pour l’integration´ de Ntop dans Ossim. Celui-ci permet l’enregis- trement des donnees´ sous forme de tourniquet (les plus vieilles donnees´ sont ecras´ ees´ par les nouvelles). 3Round Robin Database 5 SIMS - Security Intrusion Manager System - Joel¨ Winteregg L’interrogation de la base de donnee´ RRD est ensuite facilite´ a` l’aide de l’outil RRDtool4. 1.3.2 Fonctionnement Le script Perl rrd plugin.pl effectue la liaison entre Ntop et l’agent Ossim. Celui-ci interroge periodiquement´ la ”base de donnee”´ RRD (illustree´ par Ntop/rrd log file) a` l’aide de l’outil RRDtool. Il recup´ ere` (via des requetesˆ SQL sur le serveur) les seuils des compteurs defini´ par l’administrateur reseau´ a` l’aide du frame- work de configuration5 et les compare aux des donnees´ prec´ edemment´ recup´ er´ ees´ (a` l’aide de RRDtool). Les eventuels´ depassement´ des seuils sont ensuitre stocke´ dans un fichier de log (/var/log/ossim/rrd plugin.log) qui sera recup´ er´ e´ par l’agent Ossim afin de permettre l’envoi temps reel´ des informations au serveur. La correlation´ des ces informations peut ensuite etreˆ effectuee´ sur le serveur. 1.4 Fonctionnement de l’architecture avec une sonde P0f Le principe de communication d’une sonde P0f avec le serveur OSSIM est illustre´ par la figure 1.3. FIG. 1.3 – Principe de communication entre une sonde P0f et le serveur d’OSSIM 4http ://people.ee.ethz.ch/ oetiker/webtools/rrdtool/ 5interface Web offerte par le serveur. Menu : Configuration - RRD config 6 SIMS - Security Intrusion Manager System - Joel¨ Winteregg 1.4.1 P0f c’est quoi ? P0f est un logiciel de detection´ de systemes` d’exploitations6 passif. Il analyse les trames transitant sur le reseau´ (le segment analyse)´ et les compare avec une base de donnees´ des caracteristiques´ de chaque OS (prise d’empreintes) afin d’en retrouver l’OS correspondant.