Projet OSSIM

Recherches au ralenti

2005-11-28T16:28:00.000-05:00

Comme vous l’avez sans doute remarquer je n’est pas fait beaucoup de mise a jours ces derniers temps. Je suis occupé à chercher du travail donc mes recherches et documentations d’OSSIM se font au ralenti.

J’ai encore un problème avec le message « ERROR:the RRD does not contain an RRA matching the chosen CF » que je ne suis toujours pas capable de régler. Ce message apparaît une vingtaine de fois au démarrage. Si il y’a quelqu’un qui a réussi a résoudre ce problème j’apprécierais de l’aide.

HoneyMonkey

2005-11-09T14:59:00.000-05:00

Pour ceux qui sont intéressé au Honeypot et d'autre aspect de sécurité, je vous pris de suivre ce lien.
Il parle de HoneyMonkey qui est un projet Microsoft pour trouver de sites Web qui porte des virus et trojans et les transferts aux visiteurs. Une bonne façon proactive de se défendre contre les méchants.

Voici aussi le lien offciel de la recherche de Microsoft.
http://research.microsoft.com/HoneyMonkey/

Article de Snort et Nessus

2005-11-09T14:56:00.000-05:00

Voici un lien que mon ami Salim m'a envoyer d'un article sur SNORT et NESSUS.

2005-11-04T12:29:00.000-05:00

Documentation d'OSSIM

Les deux dernières semaines j’ai passé beaucoup de temps à documenter une version française de l’installation de OSSIM sur Fedora Core 3. Même si tous les bogues ne sont pas réglés du fonctionnement, l’installation se passe bien.

Merci a Joël.W pour les conseilles et sa documentation qui m’on aider a mieux comprendre le fonctionnement d’OSSIM.

J’aimerais aussi inviter les gens intéressés au projet d’OSSIM à joindre ce blog et d’écrire des articles et des commentaires pour s’entraider dans nos missions d’utiliser cette suite de sécurité.

2005-10-21T10:49:00.000-04:00

NTOP, RRD et MRTG
J'ai réaliser qu'il y a un lien important entre NTOP, RRD et MRTG. À l'installation de NTOP sans OSSIM j'ai eu des problèmes de permission. En les corrigeant j'ai réaliser que je pourait utiliser ses solutions pour m'aider à en résoudre dans le projet d'ossim de RRD et MRTG...à suivre

2005-10-06T22:22:00.000-04:00

J'ai corrigé l'url a andy et j'ajoute un autre lien qui parle de la version 3. Il est a noté qu'elle seras encore gratuite et que la 2 continura d'exister et auras des MAJ de bug.

LIEN

2005-10-06T15:35:00.000-04:00

Logiciel : La version 3 de Nessus sera propriétaire !!!???

http://linuxfr.org/pub/
http://mail.nessus.org/pipermail/nessus/2005-January/msg00185.html

andy

2005-10-03T13:52:00.000-04:00

Problème SNORT régler

Après plusieurs installation et problème de permission j’ai finalement trouvé moyen de démarrer Snort avec MySql pour sur OSSIM.

Plusieurs messages CRON mon donner l’indice de vérifier les fichiers dans le dossier /etc/cron.d.

Deux fichier s’y retrouve : mrtg et ossim-framework. J’ai changé l’usager root pour ossim dans ces fichiers. Aussitôt les messages d’erreurs on arrêter et Snort a démarrer normalement.

2005-09-29T11:27:00.000-04:00

SNORT et MySQL

Après plusieurs jours d’installation, il y a toujours des problèmes de démarrage de snort avec la base de donnée MySQL "snort dead but subsys locked". Si il y a des gens qui ont déjà eu se problème et ont trouver une solution ne vous gêner pas de nous lancer une petit courriel ou nous laisser des commentaires. Nous serions aussi heureux de vous inclure parmi nos membres si vous le désirer.

2005-09-29T11:22:00.000-04:00

Expo Linux

Voici un lien pour un expo Linux qui aura lieu le 26 et 27 octobre à Montréal au Palais des Congrès. Pour les amateurs de Linux et de logiciel Open Source sa risque d'être interessant et je crois que c'est gratuit. Il faut par contre s'inscrire.

http://www.expolinux.ca/index.php?id=14&L=0

2005-09-28T13:31:00.000-04:00

Probleme FC3 X64
J’ai essayé d’installer OSSIM sur FC3 version X64 et j’ai eu beaucoup de problème. Je recommence avec une version x32 minimal pour ne pas perdre de temps avec des problèmes de dépendances et de manque de paquets.

Installation sur FC3 X64
Je fais une re-installation minimal de Fedora Core 3 avec la version 64 bit. Sa va me permetre d’installer les composant d’OSSIM a neuf et de m’assurer d’avoir MySql 4.x sur le système.

Pour installation de MySql 4.x les RPM suivant sont nécessaires :

MySQL-bench-4.0.20-0.i386.rpm

MySQL-embedded-4.0.20-0.i386.rpm

MySQL-client-4.0.20-0.i386.rpm

MySQL-server-4.0.20-0.i386.rpm

MySQL-devel-4.0.20-0.i386.rpm

MySQL-shared-4.0.20-0.i386.rpm

MySQL-Max-4.0.20-0.i386.rpm

2005-09-28T09:47:00.000-04:00

MySql 4.x
D’après la doc du site web www.mybizguard.com/linux/ossim/index.html, l'installation sur FC3 de ossim fonctionne seulement avec MySql 4.x et non la 3.x. Pour ne pas avoir des problèmes d’installation, il est mieux de partir d’un système minimal sans MySql pour par la suite installer la version 4.x.

2005-09-27T18:08:00.000-04:00

Merci beaucoup à toutes et à tous ceux qui ont contribués leur temps précieux !

Voici quelques liens intéressants qui relient à notre projet :

Pour le RPMs paquets, yum et apt
http://freshrpms.net/

OSSIM rpm installation 0.9.8.1 sur FC3
http://www.mybizguard.com/linux/ossim/index.html

Explication sur les PGP key
http://freshrpms.net/packages/

Bonne lecture!

Andy

2005-09-26T14:30:00.000-04:00

Qu'est-ce qu'un packet sniffer?

Les Packet sniffers (aussi connus sous le nom de Renifleurs) sont des logiciels qui peuvent récupérer les données transitant par le biais d'un réseau local. Ils permettent une consultation aisée des données transmisent sur le réseau et peuvent servir à voler des mots de passes
non-encryptés ou toute autres informations.

Ce sont des sondes que l'on place sur un réseau pour l'écouter, sans que
les utilisateurs ou les administrateurs du réseau ne puisse s'en rendent compte. (Il existe des méthodes de détection de sniffers, mais ces méthodes ne sont pas toujours utilisés sur les réseaux.)

Le renifleur peut être un équipement matériel ou un logiciel, mais le
premier est bien plus puissant et efficace que le second.

Lorsqu'une machine veut communiquer avec une autre, elle envoie ses
paquets ou messages par sa connection réseau.

En utilisant la méthode du sniffing, il est possible d'écouter le trafic
passant par un adaptateur réseau (carte réseau, carte réseau sans fil, etc.)

Pour pouvoir écouter tout le trafic sur une interface réseau, celle-ci
doit être configurée dans un mode spécifique. ie: le mode « promiscuous ».

Ce mode permet d'écouter tous les paquets passant par l'interface du
sniffer, alors que dans le mode normal, la carte réseau élimine les
paquets ne lui étant pas destiné directement.

La solution à ce problème d'indiscretion est d'utiliser des protocoles
de communication sécurisés, tel que SSH ou SSL.

Le « Packet sniffer » décompose ces messages et les rassembles, ainsi
les informations peuvent être analysées pour détecter des noms
d'utilisateurs, des mots de passes, des courriels, ou bien simplement
analyser un problème réseau.

« Sniffer » C'est une technique qui peut être malhonnête et indiscrète,
mais pratique lorsque l'on est un technicien recherchant les causes d'un
problème.

Packet sniffer

2005-09-21T11:44:00.000-04:00

logiciel qui font du « sniffing » :

tcpdump

ethereal

snort (bien plus qu'un sniffer)

ntop

ipgrab

nstreams

smbsnif

tcpflow

sniffit

dsniff

windump (tcpdump pour windows)

ngrep

2005-09-19T11:50:00.000-04:00

Les commentaires sont maintenant ouvert a tous.
Si vous avez des ajouts, envoyer nous les par courriel a l’adresse gv.ossim@gmail.com.

2005-09-19T09:52:00.000-04:00

Faux positifs et faux négatifs

Lorsqu’une alerte est generee à la suite d’une activité normale, elle est appelée faux positif. Les faux positifs exaspèrents les analystes d’IDS parce qu’ils font perdre des ressources et un temps précieux. En réglant l’IDS sur le comportement du réseau, vous réduisez leur nombre à un taux raisonnable.

Un IDS doit normalement générer un nombre raisonnable de faux positifs. S’il n’en génère aucun, il y a de bonnes chances pour que de faux positifs. S’il n’en génère aucun, il y a de bonnes chances que de faux négatifs se produisent. Un faux négatif est l’inverse d’un faux positif; dans ce cas, l’IDS n’a pas détecte une attaque réelle. Il est préférable qu’un IDS génère du « bruit » en arrière-plan à cause de faux positifs plutôt qu’il ne détecte pas de faux négatifs C’est pour désactiver il est préférables de pêcher par excès de prudence et de régler l’IDS pour désactiver certains faux positifs afin d’être averti des faux négatifs.

2005-09-16T14:39:00.000-04:00

Sommaires de quelques fonctionnalités d'OSSIM (Open Source Security Information)

Utilisation d'outils de nouveau « capabilities » développer en post-traitement de SIM (Security Infrastructure Monitor) avec l’objectif d’améliorer la fiabilité et sensibilité de la détection.

Corrélation
Prioritization
Évaluation des risques

Corrélation :

L’habileté de voir tous événements sur tous systèmes dans une place et sous le même format et sous se point vue privilégier comparer et évaluer l’information. Ceci nous donne l’avantage de pouvoir détecter les capacités, priorisé les événements par rapport au contexte dans le quel il se sont produit et surveiller le réseau.

Évaluation des risques :

Dans chaque cas, pour nous aider à décider si nous devons ou non réagir, nous évaluons la menace représenter par un événement en relation a certain capitaux, sans oublié la fiabilité de nos données et la probabilité que l’événement va se reproduire.

Avec l'intégration de multiple produit de surveillance de sécurité Open Source le système inclus ces outils qui divise en trois le niveau de visibilité :

Paneau de configuration pour affichage de haut niveau
Moniteurs d’activité et de menace pour surveillance de moyen niveau
Console légale et moniteur de réseau pour surveillance de bas niveau

2005-09-16T10:56:00.000-04:00

Mise à jour du BLOG :

Traduction du texte anglais en texte français;
Ajout du logo de OSSIM;
Ajout d’un compteur de visite.

2005-09-15T14:59:00.000-04:00

Définition importante de la journée

IDS est l'acronyme pour Intrusion Détection Système qui se traduit en "Système de détection d'intrusion".
Un IDS est un ensemble d'outils, de logiciel et de processus permettant de détecter les attaques et intrusions logique d'un réseau informatique.
Tel que par exemple un anti-virus est une composante d'un système de détection d'intrusion, celui-ci vérifie les fichiers reçu sur un ordinateur et les compares à une listes de fichier dangeureux afin de détecter les attaques.

Intégrité: L'intégrité est très subjectif, puisqu'un fichier peux être modifié sans toutefois mettre en cause son intégrité (Par exemple corriger les fautes de ce documents ne remets pas en cause l'intégrité de celui-ci) Mais modifier un fichier critique de mon système, d'un site web informatif est très domageable.

L'intégrité des fichiers peuvent être mis en causes par différents moyens. Un utilisateur valide fait une erreure de frappe, un pirates modifie les fichiers de paies etc.

N-IDS: Les N-IDS (Network Based Intrusion Detection System), qui surveillent l'état de la sécurité au niveau du réseau.

H-IDS: Les H-IDS (HostBased Intrusion Detection System), qui surveillent l'état de la sécurité au niveau des hôtes.

H-IPS: Un système de prévention d'intrusion (ou IPS : Intrusion Prevention System) est nouveau dans les outils des spécialiste en sécurité, il est similaire aux IDS, sauf que ce système peux prendre des mesures afin de diminuer les risques d'impacts d'une attaque. (C'est un IDS actifs, il détect un balayage automatisé, le IPS peux bloquer les ports automatiquement)

Les tâches courantes d'un HIDS consiste à analyser et rapporter les informations contenus dans les journaux d'évènement d'un système. L'analyse se fait au niveau des changements apporté au système ou simplement regarder les symptomes d'une intrusions (CPU fonctionnant à plein régime, espace disque réduit, accès réseau très lent, des ports TCP/UDP s'ouvre etc). De plus le HIDS est beaucoup plus proche du systeme que peuvent l'être les NIDS, de cette façons le HIDS fournis l'information sur qui à accèder à quel information et quand.

Vérification de l'intégrité des fichiers: Cette outils vérifie tous les fichiers afin de détecter les changements. Il fonctionne en prenant des "photos" des fichiers du système et le comparer avec les autres photos.

Administration du système: Suivis des mises à jours du système et des vulnérabilités présentes. Par exemple le HIDS vérifie les mises à jours chez microsoft.com et compare avec les mises à jours sur le systèmes. En plus le HIDS peux vérifier si les logiciels utilisé sur le systèmes comportes des failles de sécurité.

Gestion des changements: Similaire aux vérifications des fichiers, la gestion des changements se charge de suivre ceux-ci pour s'assurer que les modifications apporter aux fichiers sont conforme à une politique ou à des normes. (Par exemple une liste de numéros de téléphone ne devrait que contenir des numéros de téléphone, ou encore, un utilisateur ne devrait pas écrire ou conservé de documents ailleur que dans son répertoire personnel)

Sécurité réseau: tout ordinateur étant membre d'un groupe d'ordinateur devrait communiqué avec les autres. Ceci permets une gestion centralisé des systèmes et une corrélations des informations obtenu d'un système.

2005-09-15T12:16:00.000-04:00

Andy Journal de bord 15 Sep 05

Installer de -apt-
installer de ossim-mysql
installer de serveur MySQL
installer de OSSIM serveur
installer OSSIM-Agent
installer les plugins

SNORT
NTOP
P0F
ARPWATCH

installer OSSIM framework
tester OSSIM

Remarque :

Bien sur que chaque étape a des sous étapes comme configuration, modification et installation des dépendances... et bien sur un océan de lecture...
Le HOWTO de l'installation va être publié un peu plus tard !

========###########========

2005-09-14T16:33:00.000-04:00

L'objectif de OSSIM est d'unifier plusieurs outils en logiciel libre, des outils de gestion réseau, de sécurité, de corrélation et de qualifications des informations.

Voici une liste des outils fournissant de l'information à OSSIM

SNORT, http://www.snort.org/
Snort est un système de détection d'intrusion open source, capable d'effectuer en temps réel des analyses de trafic et de logger les paquets sur un réseau IP. Il peut effectuer des analyses de protocole, recherche/correspondance de contenu et peut être utilisé pour détecter une grande variété d'attaques et de problèmes comme des dépassements de buffers, scans, attaques sur des CGI, balayages SMB, et bien plus.

ACID: http://acidlab.sourceforge.net/
l'acronyme pour "Analysis Console for Intrusion Databases". Engin d'analyse et de recherche d'évènement généré par divers IDS, coupe-feu ou autre outils de surveillance. Les capacités du systèmes sont:
- Crée des requetes dans une base de donnée.
- Voir les paquets et les décodés. (un paquet TCP complet)
- Gestion des alertes
- Généré des statistiques et des graphiques.

MRTG: http://people.ee.ethz.ch/~oetiker/webtools/mrtg/
pour Multi Router Trafic Grapher est un outils de surveillance du trafic réseau. L'outils génères des pages HTML contenant des images graphiques du trafic réseau en temps réel.

NTOP: http://www.ntop.org/
NTOP est un outils de suivis du traffics d'un réseau. Afin de naviger dans le logiciel, l'utilisateur s'y connect par navigateur Internet. Cela fournis différente statistique réseau

OpenNMS: http://www.opennms.org/wiki/
Offre les services suivants
Surveillance de service - Détermine la disponibilité des services
Collection de donnée - Obtiens l'information, la conserve et fournis des rapports d'évènements.
Appele de service - en cas d'évènement le système offre la possibilité de faire de l'escalade de problème. Si un service ne fonctionne plus, le système envoi un messages sur le telephone d'un technicien. Si celui-ci ne réponds pas dans les délais, un nouveau message est envoyé à un superviseur.

nmap: http://www.insecure.org/nmap/
Outils permettant de balayer rapidement plusieurs système sur un réseau pour découvrir les services disponible (Port ouvert)

Nessus: http://www.nessus.org/
Balayeur automatisé de vulnérabilité. Permets de découvrir les failles et faiblesses dans les services disponible d'un système.

rrdtool: http://people.ee.ethz.ch/~oetiker/webtools/rrdtool/
L'accronyme de Round Robin Database, permets de stocker de l'information de facons très compacts et de fournir des graphiqus basé sur cette information.

2005-09-13T11:50:00.000-04:00

Debut de projet 12/09/2005