IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

supervision système générale


Sujet :

Sécurité

  1. #1
    Membre à l'essai
    Profil pro
    Inscrit en
    Février 2006
    Messages
    35
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Février 2006
    Messages : 35
    Points : 12
    Points
    12
    Par défaut supervision système générale
    Bonjour,

    Je dois faire de la supervision de système dans un réseau, c'est à dire que je voudrais pouvoir analyser les logs de chacun de mes poste(faire le flic en gros ! ) Je sais qu'il existe des logiciels performants pour analyser les logs mais j'aimerais savoir ce qu'on peut analyser. Par exemple j'aimerais savoir si avec syslog je peux savoir :
    -Si un poste s'est authentifié ou non(ça c'est oui d'après ce que je sais)
    -Si je peux savoir si un fichier est créer, modifier ou supprimer(j'aimerais aussi pouvoir conaitre la taille de cees fichiers manipulés)
    -si une application est executé(et ensuite quand elle se ferme), et la durée d'utilisation
    -gérer l'impression, savoir si qqun imprime souvent par exemple

    Peut-on gérer ça similairement sous windows ?

    J'espère que j'ai été assez clair.

    Merci d'avance

    Rodolphe

  2. #2
    Membre éprouvé
    Avatar de _solo
    Profil pro
    Inscrit en
    Juin 2006
    Messages
    889
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Juin 2006
    Messages : 889
    Points : 1 228
    Points
    1 228
    Par défaut
    Il y a un bien NAGIOS qui est bien comme outils de supervision coupler avec ocsinventory il doit pouvoir faire ce que tu cherche a faire , via le devellopement de 2,3 plugins perso.

  3. #3
    Membre à l'essai
    Profil pro
    Inscrit en
    Février 2006
    Messages
    35
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Février 2006
    Messages : 35
    Points : 12
    Points
    12
    Par défaut
    Ok merci je vais regarder ça mais en fait je voulais déjà juste savoir si dans les logs de syslog je pouvais "voir" ce genre de chose.

  4. #4
    Membre éprouvé
    Avatar de _solo
    Profil pro
    Inscrit en
    Juin 2006
    Messages
    889
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Juin 2006
    Messages : 889
    Points : 1 228
    Points
    1 228
    Par défaut
    Citation Envoyé par Albator5151
    Ok merci je vais regarder ça mais en fait je voulais déjà juste savoir si dans les logs de syslog je pouvais "voir" ce genre de chose.
    alors la je sais pas ùais tu fait une remonter de .history qui te permettras de voir toutes les commandes qu'a taper les utilisateurs mais ce fichier peut etre vider par celui a qui appartiens le repertoire home en question.
    pour l'auth c'est sure mais le reste ??????

  5. #5
    Membre chevronné

    Profil pro
    Inscrit en
    Mars 2004
    Messages
    1 296
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Mars 2004
    Messages : 1 296
    Points : 1 803
    Points
    1 803
    Par défaut
    Effectivement un produit comme Nagios me sembe indiqué compte enu de la variété de ce que tu entend superviser.

    Toutefois ATTENTION, il me semble comprendre que quand tu evoque
    "chacun de mes postes
    et plus loin
    savoir si qqun imprime souvent

    que ta collecte va être a caractere "indivuduelle et personnel" donc tombe sous le coup des loies vis a vis de la CNIL !
    (déclaration sur la constitution de fichier contenent des informations a caracteres personnel et indivuduelle )

    Si dans le cas de supervision de serveur il n'y a pas ou peut de probleme dans le cas de "personnal computer" la c'est tres different !

    Cela peut aller jusqu' a ta responsablité civil voir même pénal dans le pire des cas !

    Dans le cas d'ordinateur personnel fait trés attention a l'usage et a l'accessibilité des informations ainsi collectées !
    Marc
    Slackware for ever ......
    BASH - KSH ( http://marcg.developpez.com/ksh/ )

  6. #6
    Membre à l'essai
    Profil pro
    Inscrit en
    Février 2006
    Messages
    35
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Février 2006
    Messages : 35
    Points : 12
    Points
    12
    Par défaut
    Bonjour,

    Ok merci pour vos réponse.
    En ce qui concerne la partie juridique, je suis au courant et cela sera fait dans les règles, il n'y a pas de problème.
    En fait, mon problème s'inscrit dans la mise en place d'une politique de sécurité portée sur la supervision. Voilà ce que j'ai répertorié :

    -Analyse des logs de messagerie
    -Analyse des logs windows/linux
    -Analyse des logs Internet
    -Analyse des logs routeurs/firewall/IDS
    -Analyse des logs d'une base SAM
    -Analyse des logs d'une base Oracle
    -Analyse des logs PABX(enfin là je sais pas trop)

    Mon but sera de centraliser tous ces logs sur un serveur puis de pouvoir ensuite trier et analyser. Tout d'abord, je cherche ce que je peux récupérer dans chacun des cas. Puis il faudra aussi que je fasse une liste des comportement anormax par rapport à ces éléments et ensuite je chercherai des logiciels me permettant d'analyser et de me prévenir de ces comportements anormaux.

    Si vous avez des idées sur le sujet ou des remarques sur ma démarche n'hésitez pas.

    Merci d'avance.

  7. #7
    Membre à l'essai
    Profil pro
    Inscrit en
    Février 2006
    Messages
    35
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Février 2006
    Messages : 35
    Points : 12
    Points
    12
    Par défaut
    Bonjour,

    Je continue mes recherches mais j'avoue que j'ai du mal à trouver des choses concrètes. Voilà ce que j'ai pu trouver concernant chacun des logs :

    -Analyse des logs de messagerie je parle en interne, en externe je sais pas trop encore)
    -heure du message, objet, personne qui l'envoie, pièce jointe ou non et son type, personne qui reçoit, taille du message, taille de la pièce jointe

    -Analyse des logs windows/linux :
    -voir syslog et eventLog

    -Analyse des logs Internet
    -durée, sites parcourus, mots clés sur les sites

    -Analyse des logs routeurs/firewall/IDS :
    -là ça dépend du matériel donc je sais pas trop

    -Analyse des logs d'une base SAM :
    -j'ai eu du mal à trouver mais j'imagine qu'on doit pouvoir savoir quand les droits sont modifiés, et qu'est-ce qui est modifié

    -Analyse des logs d'une base Oracle
    -j'ai pas encore trop regardé en détails mais on doit pouvoir avoi tous ceux qu'on veut

    -Analyse des logs PABX(enfin là je sais pas trop) : là si yen a qu'on des tutoriel la dessus je suis preneur parce que je vois pas trop comment fonctionne déjà.

    Je regarde aussi ce qu'est un comportement anormaux pour chacun, j'ai fait une liste pour la messagerie, l'internet,windows/linux, pour les autres je ne sais pas trop encore.

    Si vous avez des idées sur le sujet ou des remarques sur ma démarche n'hésitez pas.

    Merci d'avance.

  8. #8
    Membre éprouvé
    Avatar de _solo
    Profil pro
    Inscrit en
    Juin 2006
    Messages
    889
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Juin 2006
    Messages : 889
    Points : 1 228
    Points
    1 228
    Par défaut
    je crois que certains truc peuvent etre factoriser.

    -Analyse des logs Internet
    -Analyse des logs routeurs/firewall/IDS
    pour ca sufit de tious loger dans le FW/IDS/Routeurs que tu utilise ou alors comme la plupart de ses trucs sont configurable indiquer ton serveur de log distant
    -Analyse des logs d'une base SAM
    -Analyse des logs windows/linux
    syslog , ntsyslog , snare
    -Analyse des logs d'une base Oracle
    je suis pas un specialiste de BDD mais je crois qu'on sauver les logs sur n serveur distant.
    Pour les pabx : http://www.pabx-fr.com/ , TOIP , VOIP , ou le groupe de discussion dedier.

    Sinon comme je l'ai dit il y a possibilite de configurer un serveur de log qui recevra tous les logs .

  9. #9
    Membre à l'essai
    Profil pro
    Inscrit en
    Février 2006
    Messages
    35
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Février 2006
    Messages : 35
    Points : 12
    Points
    12
    Par défaut
    Bonjour,

    Citation Envoyé par _solo
    Sinon comme je l'ai dit il y a possibilite de configurer un serveur de log qui recevra tous les logs .
    oui il y a déjà un serveur qui reçoit un certain nombre de log, mais ça c'est de l'organisation, je cherche plutot à savoir ce que je vais pouvoir faire de tous ces logs qui arrivent car suivant les comportements il y en a que je vais archiver por une utilisation furure et d'autre que je n'archiverai pas.

    Je sais aussi qu'il existe des solutions déjà toute faite mais je n'en suis pas là dans mon approche.

    Merci de vos commentaires pour les factorisations. à propos de la base SAM, syslog me permet de savoir si on touche à la base SAM ?

    Merci encore. je continue mes recherches.

    Rodolphe

  10. #10
    Membre éprouvé
    Avatar de _solo
    Profil pro
    Inscrit en
    Juin 2006
    Messages
    889
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Juin 2006
    Messages : 889
    Points : 1 228
    Points
    1 228
    Par défaut
    pour win32 c'est plutot ntsyslog qui repond a la RFC 3164 mais avec snare aussi ca peut se faire .
    J'avais oublier kiwi enterprise farique aussi des logiciels pour loger tout et n'importe quoi et pour beaucoup de chose routeur , os etc... ca peut aider lors de la manipulation des dits logs car il repondront tous a un certains standard.

    Pour le quoi en faire , tout ca repond a un besoin de faire du monitoring sur la securite du reseaux et systeme.
    La il faut des NIDS , HIDS qui detecteront des anomalies et a partir de la faire de la correlation avec toutes ses datas.

  11. #11
    Membre éprouvé Avatar de cubitus91
    Homme Profil pro
    Consultant informatique
    Inscrit en
    Mai 2004
    Messages
    726
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 42
    Localisation : France

    Informations professionnelles :
    Activité : Consultant informatique
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Mai 2004
    Messages : 726
    Points : 933
    Points
    933
    Par défaut
    Salut,
    Y a je crois aussi cacti qui est pas mal.
    http://cacti.net
    cdt
    Le tag est bien utile, alors pensez y !

  12. #12
    Membre à l'essai
    Profil pro
    Inscrit en
    Février 2006
    Messages
    35
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Février 2006
    Messages : 35
    Points : 12
    Points
    12
    Par défaut
    Bonjour,

    Je vais vous donner les comportements ou évènements anormaux auxquel j'ai pu réfléchir pour chaque domaine et j'aimerais savoie ce que vous en pensez. Je vais commencer pour ce post avec la messagerie.

    Horaire d'envoi anormal et/ou grosse pièce jointe et/ou grosse taille de message : Archiver
    Si Frequence d'envoi de ce type > Seuil(à définir) alors alerter

    Envoi domaine inconnu : Archiver
    Si Frequence > seuil alors alerter

    Envoi domaine ennemi : Alerter(mais là c'est plus du filtrage je pense)

    Si vous voyez autres choses, je suis preneur.

    Merci.

    Rodolphe

  13. #13
    Membre éprouvé
    Avatar de _solo
    Profil pro
    Inscrit en
    Juin 2006
    Messages
    889
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Juin 2006
    Messages : 889
    Points : 1 228
    Points
    1 228
    Par défaut
    PLus simple la plupart des serveurs de mails ont la possibilite de limiter la taille du fichier en attachement , mais quoi qu'il arrive cela ne resout rien car il suffit alors de couper le fichier en plusieurs parties et hop ni vu ni connu jtembrouille.

  14. #14
    Membre à l'essai
    Profil pro
    Inscrit en
    Février 2006
    Messages
    35
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Février 2006
    Messages : 35
    Points : 12
    Points
    12
    Par défaut
    Bonjour,

    Est-ce que vous auriez(à tout hasard ) un exemple de log qui concerne une modification(ou autre) sur la base SAM ?

    Merci d'avance.

    Rodolphe

  15. #15
    Membre éprouvé
    Avatar de _solo
    Profil pro
    Inscrit en
    Juin 2006
    Messages
    889
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Juin 2006
    Messages : 889
    Points : 1 228
    Points
    1 228
    Par défaut
    le prends pas mal mais dans un des liens que j'ai donner il y en a un qui fait exactement ca et meme plus

  16. #16
    Membre à l'essai
    Profil pro
    Inscrit en
    Février 2006
    Messages
    35
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Février 2006
    Messages : 35
    Points : 12
    Points
    12
    Par défaut
    Bonjour,

    Ok désolé faudra que je regarde ça plus attentivement alors.
    Question un peu hors-sujet(mais pas tant que ça !) Y-a-t-il un moyen de savoir combien de temps passe un utilisateur de mon réseau sr un site web ? par analyse de log ou avec un logiciel ?

    Sinon connaissez-vous le logiciel Lire ?

    Merci encore.

    Rodolphe

    Edit 1: Je voulais savoir pour nagios, est-ce que si je lui donne un par exemple 10 mo de log que j'ai récupéré il pourra me les analyser ?
    Edit 2: Connaissez-vous le logiciel logwatch ?(désolé je pose bcp de question..)

    Edit 3 :
    Désolé je continue mon post en me demandant que type de log je vais voir sur chacun de mes équipements :

    Windows/Unix/base SAM/NIS : syslog ou ntsyslog(voir récupérer les event log et les formaliser)
    Serveur de messagerie : syslog ??
    switch et Routeur cisco : syslog ??
    Firewall divers : syslog ??? W3C ???(ça peut etre les deux !)
    Proxy divers : W3C ??
    log d'authentification : syslog ??
    PABX : faut que je vois le matos...
    Internet : à voir...

    Je pense que j'ai fait le tour de tous les équipements.

    Désolé encore pour toutes ces questions, j'espère que je serais plus en forme demain...

    Au revoir

    Rodolphe

  17. #17
    Membre à l'essai
    Profil pro
    Inscrit en
    Février 2006
    Messages
    35
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Février 2006
    Messages : 35
    Points : 12
    Points
    12
    Par défaut
    Bonjour,

    Juste un petit up si jamais vous avez des idées...

    Merci.

    Rodolphe

  18. #18
    Membre à l'essai
    Profil pro
    Inscrit en
    Février 2006
    Messages
    35
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Février 2006
    Messages : 35
    Points : 12
    Points
    12
    Par défaut
    Bonjour,

    Puis-je savoir la taille du message ainsi que d'un fichier joint dans un log de messagerie ? Est-ce possible aussi de savoir si un message est crypté ou pas ?

    Merci d'avance.

    Rodolphe

  19. #19
    Membre habitué Avatar de tretsois
    Profil pro
    Inscrit en
    Avril 2004
    Messages
    181
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Avril 2004
    Messages : 181
    Points : 196
    Points
    196
    Par défaut
    Bonsoir Albator5151,
    Je pense que toutes les infos t'ont déjà été données et qu'il te faut envisager un budget temps pour coder ce qu'il te manqueras ou l'analyse de certains logs .
    Apres relecture de tous les post de cette discution, je pense ( et celà n'engage que moi ) que ton boulot de flic commence à approcher de trop les libertés individuelles ( cf post de MarcG qui as clairement mit les limites a ton boulot de flic :/ en citant la CNIL je pense qu'il t'invitais à y faire un tour ) les mails peuvent être d'ordre privés! S'ils sont cryptés connaître leur taille ne t'apporteras rien elle ne sera en aucun cas le reflet de la réalité ( attention dans ce cas les "objet du mail " peuvent etre cryptés et reconnu comme spam -> seul échapatoire pour justifier la connaissance ou pas du cryptage ou non du mail pour son traitement par l'anti-spam ).
    J'espère pour toi que tu travail dans une société ayant des accréditations CD ( confidentiel défense ) ou que l'ensemble des employés à signé une clause de confidentialité stipulant clairement le droit de regard sur les fichiers contenu sur leur PC .
    Dans tous les cas tu doit te prémunir d'une demande officielle de ta hiérarchie te demandant clairement la mise en place d'ESPIONS INFORMATIQUES sur les activités de tes collègues car tu vas au devant de gros ennuis en mettant en place de telles choses ( regard sur imprimante, mails, sites visités etc... ) car l'ip du " Personnal Computer " est attribué à un poste de travail donc à une personne.
    la vie est belle

  20. #20
    Membre à l'essai
    Profil pro
    Inscrit en
    Février 2006
    Messages
    35
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Février 2006
    Messages : 35
    Points : 12
    Points
    12
    Par défaut
    Bonjour,

    Tout d'abord, en ce qui concerne les libertés individuelles, il n'y a pas de problème je le répète, je suis au courant de tous les problèmes juridiques engendrés par ce que je fais et tout sera fait dans un cadre légal.

    Ensuite, je peux comprendre qu'on m'ai donné toutes les infos mais c'est juste que j'aurais voulu avoir votre avis sur certains comportements ou évènements anormaux sur les système d'information et qui pourraient engendrer des problèmes de sécurité comme par exemple de la divulgation d'information.

    C'est pourquoi au fil de mes recherches je complèterai ce post afin d'obtenir votre avis sur mes idées, qui pourront en amnener d'autres, etc...

    Merci en tout cas de vos remarques.

    Rodolphe

Discussions similaires

  1. Quel outil de supervision système utilisez-vous ?
    Par cyberzoide dans le forum Linux
    Réponses: 0
    Dernier message: 08/02/2013, 12h09
  2. Supervision : Quel système avez vous pour quel environnement?
    Par Katyucha dans le forum Administration
    Réponses: 8
    Dernier message: 13/06/2012, 15h37
  3. Réponses: 3
    Dernier message: 04/08/2010, 16h27
  4. Réponses: 2
    Dernier message: 26/03/2010, 11h52
  5. Réponses: 4
    Dernier message: 02/11/2008, 02h59

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo