Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

République Tunisienne ***** Ministère de l’Enseignement Supérieur et de la Rech

République Tunisienne ***** Ministère de l’Enseignement Supérieur et de la Recherche Scientifique ***** Université Virtuelle de Tunis RAPPORT DU PROJET DE FIN D’ÉTUDES Pour l’obtention du diplôme de Mastère Professionnel en Nouvelles Technologies des Télécommunications et Réseaux (N2TR) Etude et développement d’une plateforme d’analyse des fichiers logs Réalisé par : Basma Mezni Encadrants Mr Imed Jabri Mr Nabil Hosni Année Universitaire 2014-2015 Dédicaces A mes parents, Pour tout leur soutien, pour tous leurs sacrifices, pour leur amour et pour tout l’enseignement qu’ils m’ont transmis. A mes frères et mes sœurs, Avec tous les souhaits d’un grand succès dans leur vie. A mon fiancé Pour leurs encouragements incessants. A mes amis et mes collègues, Qui ont contribué à mon épanouissement .Merci d’être toujours près de moi, merci de m’avoir aidé chaque jour à avancer. MEZNI Basma Remerciements Je tiens à exprimer toute ma grande reconnaissance à l’endroit de mes encadreurs M. Imed JABRI, maître de conférence à Ecole Nationale Supérieure d'Ingénieurs de Tunis (ENSIT) et M. Nabil HOSNI, chef service à l’Agence Nationale de la Sécurité Informatique (ANSI) qui n’ont cessé de suivre chacun de mes pas tout au long de ce projet, pour ses encouragements, ses conseils ses rigueurs dans le travail et surtout ses qualités humaines qui nous ont permis de travailler avec confiance dans un climat détendu. Tous mes remerciements à tout le corps enseignant d’UVT pour leurs multiples efforts et sacrifices déployés pour nous garantir une bonne formation. Enfin, je témoigne ici à tous les membres du jury, toute ma reconnaissance et le respect que j’ai pour eux pour avoir accepté d’évaluer mon travail. Sommaire Introduction générale .................................................................................................................. 1 Chapitre 1 : Etat de l’art ............................................................................................................. 3 I. Présentation de l’organisme d’accueil ................................................................................ 3 II. Etude théorique ................................................................................................................... 4 1. Les fichiers journaux ....................................................................................................... 4 2. Les types de fichiers journaux ......................................................................................... 4 3. Format de fichier journal ................................................................................................. 4 4. Code de réponse de serveur ............................................................................................. 5 5. Dictionnaire d’attaques ................................................................................................... 7 III. Présentation de projet ...................................................................................................... 7 1. Problématique .................................................................................................................. 7 2. Etude de l’existant ........................................................................................................... 8 3. Critique de l’existant ....................................................................................................... 9 4. Solution proposée ............................................................................................................ 9 IV. Méthodologie à adopter ................................................................................................. 11 V. Choix de méthodologie à adopter ..................................................................................... 12 VI. Choix de langage de modélisation ................................................................................ 13 Analyse et spécification des besoins ........................................................................................ 14 I. Spécification des besoins .................................................................................................. 14 1. Les besoins fonctionnels ............................................................................................... 14 2. Les besoins non fonctionnels ........................................................................................ 15 3. Les besoins architecturaux ............................................................................................ 15 a. Architecture centralisée ............................................................................................. 15 b. Architecture client/serveur ........................................................................................ 16 II. Modélisation des besoins .................................................................................................. 18 1. Les acteurs ..................................................................................................................... 18 2. Diagramme de cas d’utilisation ..................................................................................... 19 a. Cas d’utilisation «gérer investigateur » pour administrateur ..................................... 20 b. Cas d’utilisation «gérer incident » pour administrateur ............................................ 21 c. Cas d’utilisation «gérer profil » pour utilisateur ....................................................... 22 d. Cas d’utilisation «analyser incident » pour investigateur .......................................... 23 e. Cas d’utilisation «gérer rapport » pour investigateur ................................................ 23 1. Description des cas d’utilisation ................................................................................... 24 a. Description du cas d’utilisation : « S’authentifier » .................................................. 24 b. Description du cas d’utilisation : « Afficher les statistiques des attaques » .............. 25 c. Description du cas d’utilisation : « Inscrire à la plateforme » ................................... 25 d. Description du cas d’utilisation : «Affecter investigateur à un incident » ................ 26 e. Description du cas d’utilisation : « Analyser incident » ............................................ 27 f. Description du cas d’utilisation : « Déclarer incident » ............................................ 28 Conception ............................................................................................................................... 30 I. Architecture de système .................................................................................................... 30 II. Déploiement ...................................................................................................................... 31 III. Conception .................................................................................................................... 31 1. Diagramme de classe ..................................................................................................... 31 a. Représentation des classes ......................................................................................... 31 b. Conception de la base de données ............................................................................. 32 2. Diagramme de séquence ................................................................................................ 33 a. Diagramme de séquence de cas d’utilisation « s’authentifier » ................................ 33 b. Diagramme de séquence de cas d’utilisation «inscrire à la plateforme » .................. 34 c. Diagramme de séquence de cas d’utilisation «Déclarer incident » ........................... 34 d. Diagramme de séquence de cas d’utilisation «affecter investigateur à un incident » 35 e. Diagramme de séquence de cas d’utilisation «analyser incident » ........................... 36 f. Diagramme de séquence de cas d’utilisation « afficher statistiques des attaques » .. 36 Réalisation ................................................................................................................................ 38 I. Environnement matériel .................................................................................................... 38 II. Environnement logiciel ..................................................................................................... 38 III. Présentation des interfaces ............................................................................................ 38 1. Interface d’inscription ................................................................................................... 39 2. Interface d’authentification ........................................................................................... 39 3. Interface de déclaration ................................................................................................. 40 4. Interface de travail ......................................................................................................... 42 5. Interface de gestion des incidents .................................................................................. 42 6. Interface d’affectation un investigateur à un incident ................................................... 43 7. Interface de consultation un dictionnaire d’attaque ...................................................... 43 8. Interface de statistique ................................................................................................... 44 Conclusion générale ................................................................................................................. 46 Webographie ............................................................................................................................ 47 Liste des figures Figure 1:Extrait d’un fichier log de format ELF ........................................................................ 5 Figure 2:Extrait d’un fichier log de format CLF ........................................................................ 5 Figure 3: Les phases du traitement des fichiers logs ................................................................ 10 Figure 4: Le processus 2TUP ................................................................................................... 12 Figure 5: Architecture 2-tiers ................................................................................................... 16 Figure 6: Architecture 3-tiers ................................................................................................... 17 Figure 7: Diagramme de cas d’utilisation général.................................................................... 20 Figure 8: Diagramme de cas d'utilisation "gérer investigateur" ............................................... 21 Figure 9: Diagramme de cas d'utilisation "gérer incident"....................................................... 22 Figure 10: Diagramme de cas d’utilisation « gérer profil » ..................................................... 22 Figure 11: Diagramme de cas d’utilisation « analyser incident » ............................................ 23 Figure 12: Diagramme de cas d’utilisation « gérer rapport » .................................................. 23 Figure 13: Architecture de système .......................................................................................... 30 Figure 14 : Diagramme de déploiement ................................................................................... 31 Figure 15: Diagramme de classe .............................................................................................. 32 Figure 16 : Diagramme de séquence de cas d’utilisation « s’authentifier »............................. 33 Figure 17: Diagramme de séquence de cas d’utilisation «inscrire à la plateforme » ............... 34 Figure 18: Diagramme de séquence de cas d’utilisation «Déclarer incident » ........................ 35 Figure 19: Diagramme de séquence de cas d’utilisation «affecter investigateur » .................. 35 Figure 20: Diagramme de séquence de cas d’utilisation «analyser incident » ......................... 36 Figure 21:Diagramme de séquence de cas d’utilisation « afficher statistiques» ...................... 37 Figure 22 : Interface d’inscription ............................................................................................ 39 Figure 23 : Interface d’authentification .................................................................................... 40 Figure 24 : Interface de déclaration un incident (information générale) .................................. 40 Figure 25: Interface de déclaration un incident (type de l’incident) ........................................ 41 Figure 26: Interface espace de travail de l’administrateur ....................................................... 42 Figure 27: Interface de gestion des incidents ........................................................................... 43 Figure 28: Interface d’affectation ............................................................................................. 43 Figure 29: Interface de consultation dictionnaire d’attaque ..................................................... 44 Figure 30: Interface de statistique ............................................................................................ 44 Liste des tableaux Tableau 1:Liste des codes de réponse de serveur [2] ............................................................................. 7 Tableau 2: Comparaison entre les principales méthodologies de développement [8] ........................ 12 Tableau 3 : Comparaison entre les différentes architectures ............................................................... 18 Tableau 4 : Description du cas d’utilisation « authentifier utilisateur » ............................................... 24 Tableau 5: description du cas d’utilisation « consulter les statistiques». ............................................. 25 Tableau 6: Description du cas d’utilisation « inscrire à la plateforme » ............................................... 26 Tableau 7: Description du cas d’utilisation : «Affecter investigateur à un incident » .......................... 27 Tableau 8: Description du cas d’utilisation : « Analyser incident » ....................................................... 28 Tableau 9: Description du cas d’utilisation : « Déclarer incident » ....................................................... 29 Page 1 Introduction générale La pérennité de l’entreprise passe par une disponibilité permanente de son système d’information. Cette réalité influe de nos jours le comportement des entreprises qui devient de plus en plus mature dans les investissements de la sécurité du système d’information qui est un élément absolument vital. Les efforts de sécurisation ne peuvent pas être efficaces que si ces investissements sont correctement étudiés et ciblés, en mettant en place les moyens de protection qui apportent un niveau de sécurité favorable adapté aux enjeux de l’entreprise. Généralement, et pour des besoins d’optimisation, certaines entreprises utilisent un service appelé « SYSLOG » afin de centraliser les journaux d’évènements du réseau qui sont envoyés par des imprimantes, serveurs, routeurs, firewalls, IDS et IPS dans un serveur SYSLOG. Ce dernier facilite la consultation de l’ensemble des fichiers de journalisation dans une mission d’audit. Le contexte de notre projet est de réaliser une plateforme qui permet d’investiguer sur un incident afin de déterminer les responsables et les scénarios d’attaques en partant les traces (preuves ou logs) nécessaires. Ce rapport présente l’ensemble des étapes suivies pour développer la solution. Il contient quatre chapitres organisés. Le premier chapitre sera dédié à la présentation de l’état de l’art. Nous allons tout d’abord présenter l’organisme d’accueil et le projet. Ensuite nous passerons à l’étude et à la critique de l’existant pour enfin proposer une solution adéquate. La méthodologie utilisée y sera également définie pour nous permettre de réaliser convenablement notre travail. Le second chapitre sera consacré sur l’analyse des besoins fonctionnels et non fonctionnels. Nous modéliserons les besoins des utilisateurs via les diagrammes de cas d’utilisation. Le troisième chapitre sera intitulé conception et fera dans un premier temps une étude préliminaire en présentant l’architecture de la solution proposée précédemment. Dans un Page 2 second temps, en se référant à la méthodologie de travail choisie, elle illustrera la plupart des diagrammes de uploads/Ingenierie_Lourd/ plateforme-analyse-fichiers-logs.pdf