WEBVTT 00:00.270 --> 00:01.103 - : Dans cette leçon, 00:01.103 --> 00:03.690 nous allons nous concentrer sur la surveillance et l'audit. 00:03.690 --> 00:05.343 Commençons par le contrôle. 00:05.343 --> 00:06.930 Lorsque nous parlons de surveillance, 00:06.930 --> 00:09.090 l'une des principales tâches d'un analyste de la sécurité 00:09.090 --> 00:11.130 consiste à surveiller le réseau. 00:11.130 --> 00:12.150 Nous sommes comme des détectives. 00:12.150 --> 00:13.350 Nous essayons d'éliminer 00:13.350 --> 00:14.970 tout ce qui ne semble pas correct, ce 00:14.970 --> 00:18.180 qui peut être fait manuellement ou par des moyens automatisés. 00:18.180 --> 00:21.150 Aujourd'hui, syslog est un protocole permettant à différents appareils 00:21.150 --> 00:23.820 et applications logicielles de transmettre leurs journaux ou 00:23.820 --> 00:26.520 enregistrements d'événements à un serveur centralisé. 00:26.520 --> 00:30.300 Maintenant, syslog va suivre un modèle client-serveur standard. 00:30.300 --> 00:33.030 Il s'agit de la norme de facto pour l'enregistrement d'événements 00:33.030 --> 00:35.490 provenant de systèmes distribués sur un réseau. 00:35.490 --> 00:38.820 Vous verrez que syslog est utilisé dans un grand nombre de systèmes sur lesquels 00:38.820 --> 00:40.950 vous travaillerez quotidiennement. 00:40.950 --> 00:43.590 Aujourd'hui, syslog fonctionne sur la plupart des systèmes d'exploitation 00:43.590 --> 00:45.270 et sur la plupart des équipements de réseau. 00:45.270 --> 00:47.310 Ainsi, que vous utilisiez un routeur Cisco, 00:47.310 --> 00:49.920 une machine Windows ou un serveur Linux, tous peuvent 00:49.920 --> 00:51.630 utiliser syslog. 00:51.630 --> 00:53.490 Lorsque nous renvoyons ces messages, 00:53.490 --> 00:55.920 à quoi ressemble un message syslog ? 00:55.920 --> 00:58.860 Un message syslog contient plusieurs éléments. 00:58.860 --> 01:01.530 Il contient un code PRI, qui est un code de priorité. 01:01.530 --> 01:04.410 Il contient un en-tête et une partie du message. 01:04.410 --> 01:05.610 Parlons de chacun d'entre eux. 01:05.610 --> 01:08.040 Tout d'abord, nous avons ce code PRI, cette priorité, 01:08.040 --> 01:10.200 qui sera calculée en fonction de l'établissement 01:10.200 --> 01:12.450 et du niveau de gravité des données. 01:12.450 --> 01:13.710 Ensuite, nous avons un en-tête 01:13.710 --> 01:15.570 qui va contenir l'horodatage de l'événement 01:15.570 --> 01:17.190 et le nom de l'hôte. 01:17.190 --> 01:20.160 Nous savons donc d'où il vient et à quelle heure il est arrivé. 01:20.160 --> 01:22.230 Enfin, nous avons la partie message, qui contient 01:22.230 --> 01:24.360 le processus source de l'événement et le contenu 01:24.360 --> 01:27.330 connexe, c'est-à-dire les données qui se sont produites et ce dont vous 01:27.330 --> 01:28.560 voulez nous parler. 01:28.560 --> 01:30.570 C'est l'idée de la partie message. 01:30.570 --> 01:33.390 C'est la viande et les pommes de terre de ce message. 01:33.390 --> 01:34.800 Lorsque nous avons abordé la question 01:34.800 --> 01:37.770 de syslog, il y a quelques inconvénients dans la version originale. 01:37.770 --> 01:40.230 Le protocole d'origine reposait sur le protocole UDP. 01:40.230 --> 01:42.990 Cela peut entraîner des problèmes de livraison dans les réseaux 01:42.990 --> 01:45.510 encombrés, car UDP est un protocole "feu et oubli". 01:45.510 --> 01:46.920 Il l'envoie et n'attend pas de réponse 01:46.920 --> 01:48.270 ni d'accusé de réception. 01:48.270 --> 01:50.250 Il suppose donc qu'il est arrivé là. 01:50.250 --> 01:51.420 Si votre réseau est encombré, il 01:51.420 --> 01:53.051 se peut que des données soient perdues et que, 01:53.051 --> 01:55.500 par conséquent, vos informations ne parviennent pas au serveur 01:55.500 --> 01:57.630 d'enregistrement et ne soient pas enregistrées. 01:57.630 --> 01:59.760 Au début, cela pouvait être acceptable, car les gens supposaient 01:59.760 --> 02:00.930 que tous les membres du réseau étaient 02:00.930 --> 02:02.520 dignes de confiance, mais aujourd'hui, ce 02:02.520 --> 02:04.080 n'est plus le cas. 02:04.080 --> 02:05.760 Nous voulons nous assurer que nos données y parviennent. 02:05.760 --> 02:07.920 Nous allons donc devoir trouver une solution à ce problème. 02:07.920 --> 02:09.690 Deuxièmement, il n'y a pas beaucoup 02:09.690 --> 02:11.640 de contrôles de sécurité de base. 02:11.640 --> 02:14.070 Il n'y avait rien de tel que le cryptage ou l'authentification 02:14.070 --> 02:16.080 inclus par défaut avec syslog. 02:16.080 --> 02:17.850 Et c'est là encore un autre inconvénient. 02:17.850 --> 02:20.250 Dans les implémentations modernes de syslog, nous avons 02:20.250 --> 02:21.750 donc corrigé ces problèmes. 02:21.750 --> 02:23.220 Aujourd'hui, en raison de ces problèmes de 02:23.220 --> 02:25.590 sécurité, nos nouvelles implémentations syslog ont ajouté de nombreuses 02:25.590 --> 02:27.510 fonctionnalités et capacités différentes. 02:27.510 --> 02:29.400 Nous allons en évoquer quelques-uns ici. 02:29.400 --> 02:32.460 Tout d'abord, les implémentations les plus récentes utilisent le protocole 02:32.460 --> 02:34.170 TCP pour une distribution cohérente. 02:34.170 --> 02:36.360 Ainsi, si le réseau est encombré et que le message 02:36.360 --> 02:37.770 n'arrive pas à destination, il 02:37.770 --> 02:39.600 le transmettra à nouveau, encore et encore, 02:39.600 --> 02:41.220 parce qu'il utilise TCP. 02:41.220 --> 02:43.470 La deuxième amélioration, les implémentations les 02:43.470 --> 02:46.230 plus récentes, peut utiliser TLS, ou sécurité de la couche transport, 02:46.230 --> 02:49.050 pour crypter vos messages envoyés aux serveurs. 02:49.050 --> 02:50.760 De cette manière, les données en transit ne peuvent 02:50.760 --> 02:52.580 pas être lues par quelqu'un d'autre sur le réseau. 02:52.580 --> 02:55.200 Il ne peut être lu que par le point de terminaison 02:55.200 --> 02:57.510 qui l'a envoyé et le serveur qui le reçoit. 02:57.510 --> 02:58.343 Enfin, les implémentations 02:58.343 --> 03:02.130 les plus récentes utilisent également MD5 et SHA1 pour assurer l'authentification 03:02.130 --> 03:04.950 et l'intégrité. 03:04.950 --> 03:07.770 De cette manière, les messages peuvent être authentifiés et intègres 03:07.770 --> 03:10.080 lorsqu'ils transitent sur votre réseau, afin de s'assurer 03:10.080 --> 03:12.930 qu'ils ne sont pas manipulés par quelqu'un d'autre. 03:12.930 --> 03:14.730 Là encore, de nombreuses autres fonctionnalités sont disponibles. 03:14.730 --> 03:16.920 Je ne me concentre pas trop sur cet ensemble, car les trois 03:16.920 --> 03:19.290 principaux éléments qui nous intéressent sont les suivants 03:19.290 --> 03:21.900 : nous sommes passés à TCP pour une livraison cohérente. 03:21.900 --> 03:23.910 Nous sommes passés à TLS pour le cryptage et 03:23.910 --> 03:26.130 nous avons commencé à utiliser MD5 et SHA1 pour 03:26.130 --> 03:28.050 l'authentification et l'intégrité. 03:28.050 --> 03:30.090 Cette nouvelle version du serveur 03:30.090 --> 03:33.810 est généralement appelée syslog-ng, pour syslog next generation, 03:33.810 --> 03:35.490 ou rsyslog. 03:35.490 --> 03:37.470 La dernière chose que je voudrais mentionner à propos 03:37.470 --> 03:40.560 de syslog est que syslog est souvent utilisé pour signifier trois choses. 03:40.560 --> 03:43.380 Il peut s'agir du protocole par lequel nous envoyons les données. 03:43.380 --> 03:46.410 Il peut faire référence au serveur, comme dans le cas d'un serveur 03:46.410 --> 03:48.690 syslog, ou aux entrées de journal elles-mêmes, comme 03:48.690 --> 03:50.430 dans le cas des données syslog. 03:50.430 --> 03:51.990 Souvent, les gens disent simplement "syslog" 03:51.990 --> 03:54.090 alors qu'ils veulent dire les trois, ou l'un des trois, 03:54.090 --> 03:55.470 selon le contexte. 03:55.470 --> 03:56.700 Il faut donc faire attention 03:56.700 --> 03:58.530 lorsque l'on entend les gens parler de 03:58.530 --> 03:59.790 l'industrie et s'assurer 03:59.790 --> 04:01.860 que l'on comprend bien de laquelle des trois 04:01.860 --> 04:03.810 il s'agit : SNMP est la prochaine. 04:03.810 --> 04:06.900 SNMP est le protocole de gestion de réseau simple. 04:06.900 --> 04:09.480 Il s'agit d'un protocole TCP qui facilite la surveillance 04:09.480 --> 04:12.000 des appareils et des ordinateurs connectés au réseau. 04:12.000 --> 04:14.520 SNMP est incorporé dans les systèmes de gestion et de surveillance 04:14.520 --> 04:16.830 des réseaux et est largement utilisé dans le concept 04:16.830 --> 04:18.840 de gestion et de surveillance. 04:18.840 --> 04:21.870 SNMP se décompose en trois éléments. 04:21.870 --> 04:24.030 Il y a les appareils gérés, l'agent et les 04:24.030 --> 04:26.370 systèmes de gestion de réseau eux-mêmes. 04:26.370 --> 04:28.020 Nous parlons de dispositifs gérés. 04:28.020 --> 04:30.510 Il s'agit d'ordinateurs et d'autres dispositifs reliés 04:30.510 --> 04:32.400 au réseau qui sont surveillés par un système 04:32.400 --> 04:34.380 de gestion de réseau au moyen d'agents. 04:34.380 --> 04:37.560 Les agents sont des logiciels chargés sur un appareil géré. 04:37.560 --> 04:39.450 Cela nous permet de rediriger les informations 04:39.450 --> 04:41.040 vers le système de gestion du réseau qui 04:41.040 --> 04:42.510 assurera la surveillance. 04:42.510 --> 04:44.700 Un système de gestion de réseau, ou NMS, est 04:44.700 --> 04:47.100 le logiciel exécuté sur un ou plusieurs serveurs 04:47.100 --> 04:48.120 qui contrôle la surveillance 04:48.120 --> 04:50.760 de tous les appareils et ordinateurs connectés au 04:50.760 --> 04:52.230 réseau. 04:52.230 --> 04:54.840 SNMP est la colle qui permet à ces trois éléments 04:54.840 --> 04:58.080 de communiquer entre eux, en utilisant le protocole SNMP. 04:58.080 --> 05:00.570 À quoi cela ressemble-t-il à l'intérieur du réseau ? 05:00.570 --> 05:03.180 Ici, à l'écran, vous pouvez voir un bref diagramme. 05:03.180 --> 05:05.910 Nous avons à gauche notre station de gestion du réseau, 05:05.910 --> 05:09.000 ou NMS, qui fait partie de notre système de gestion du réseau. 05:09.000 --> 05:10.830 Il va agir en tant que gestionnaire et va 05:10.830 --> 05:12.630 envoyer et recevoir des messages à tous 05:12.630 --> 05:15.060 les dispositifs gérés à travers le réseau, vos routeurs, 05:15.060 --> 05:17.850 vos commutateurs et vos serveurs, n'est-ce pas ? 05:17.850 --> 05:19.290 Lorsqu'il souhaite obtenir des 05:19.290 --> 05:20.860 informations, il envoie une requête 05:20.860 --> 05:23.970 "get", et les appareils concernés renvoient les informations 05:23.970 --> 05:25.890 à l'aide d'une requête "set". 05:25.890 --> 05:27.960 Il existe également ce que l'on appelle une demande de piège, 05:27.960 --> 05:29.910 qui va recevoir des informations non sollicitées de la part 05:29.910 --> 05:31.320 de ces dispositifs de gestion, qui envoient 05:31.320 --> 05:32.970 simplement des informations en fonction des besoins, 05:32.970 --> 05:34.440 à intervalles périodiques. 05:34.440 --> 05:38.070 Ainsi, lorsque vous gérez votre réseau à l'aide de SNMP, vous disposez 05:38.070 --> 05:40.620 de deux options pour l'envoi des données. 05:40.620 --> 05:42.690 Vous pouvez l'envoyer sur le réseau que vous utilisez, 05:42.690 --> 05:44.670 ce qui est connu sous le nom de communication intra-bande, 05:44.670 --> 05:46.830 ou vous pouvez l'envoyer hors bande. 05:46.830 --> 05:47.940 Lorsque l'on parle de bande passante, 05:47.940 --> 05:49.890 cela signifie que l'on va envoyer ces données de gestion 05:49.890 --> 05:51.810 sur le même réseau que celui qui transporte les informations 05:51.810 --> 05:54.120 et les données normales de l'entreprise. 05:54.120 --> 05:57.600 C'est moins cher, plus facile, mais moins sûr. 05:57.600 --> 05:58.710 Pour plus de sécurité, 05:58.710 --> 06:00.930 vous devez créer un réseau hors bande. 06:00.930 --> 06:02.760 Il s'agit d'un réseau secondaire sur lequel 06:02.760 --> 06:04.560 s'effectue toute la gestion, mais vous disposez 06:04.560 --> 06:06.780 toujours du réseau primaire en bande sur lequel s'effectuent 06:06.780 --> 06:10.050 toutes les données que les utilisateurs vont recevoir. 06:10.050 --> 06:11.610 La gestion devrait toujours être effectuée 06:11.610 --> 06:14.490 sur un réseau hors bande, car cela augmente la sécurité et retire 06:14.490 --> 06:17.160 la fonction de gestion de l'endroit où les utilisateurs peuvent 06:17.160 --> 06:18.993 la toucher ou la voir.