roure christophe ? tsrit 26
Contents
1. Heartpeat Top 15 Attackers Tog 15 Attacks States Page 35 38 Tripwire Prelude Top 15 Attackers Ten 15 Attacks Statistics Q13 11 160 Q 1 281 59 60 jetrer_lvpe ip 20485 Source Gandalf Data Limited 00 00 F 3 11 0F E0 Target 00 C128 01 55 60 Upper Layer NTrampon Protocol 2048 ip 192 16824 84 gt 172 1619 10 hi 20 versioned tos 0 Jens 36 0 41291 t1 127 prot 1 apjesis e i Hanopipepap 14 p o8 pepopspnspeop2rjzz zs zajes 2e 27 25 es an 51 we P t Total Lengin 36 can FE 32 bn Destration Addrese172 16 19 10 Options 0 to 10 Words of 32 Bits b type 8 code 0 us 00 00 00 00 00 00 00 M me alerte avec l option Packet Juin 2003 Roure Christophe TSRIT 26 Page 36 38 Tripwire Prelude LAN LABO 4 192 168 24 0 24 EE Routeur GANDALF LT Sonde IDS PRELUDE Firewall Proxy CHECKPOINT m a Streaming video Serveur Serveur WEB FTP LS backup A Backbone Routeur ZEBRA leur ZERI FRAME RELAY Switch FR oo CES o Cisco 2600 x Switch ATM __ ___ o FORE MS Pont ATM Ethernet lt a BE Firewall Proxy CENSORNET Routeur ZEBRA IPV6 IPV4 WIN 2K Active Directory Streaming video Client dl EE Station ADMIN HP Open View Ciscoworks 2000 Switch Allied Telesyn VLAN niveau Ill f Firewall Proxy ASTARO A2. C Installation du syst me d exploitation Installez le syst me linux sur une machine non reli e au r seau pour ne pas tre en contact avec une source de pollution potentielle D Installation de Tripwire D compresser l archive par exemple sous usr local tripwire avec la commande tar xzvf tripwire 2 3 47 bin tar gz puis installer l outil install sh Apr s avoir lu la licence tapez accept confirmer l installation avec y Le logiciel rappelle qu un bon mot de passe contient des majuscules et des minuscules des chiffres des caract res de ponctuation et d une longueur de 8 caract res minimum Pour la manip uniquement j utilise des mots simples Vous obtenez ensuite les messages suivants Enter the site keyfile passphrase entrez une pass phrase pour le site ici infanterie Juin 2003 Roure Christophe TSRIT 26 Page 4 38 Tripwire Prelude La pass phrase du site va permettre de cr er la cl pour faire une signature des fichiers de config et des r gles Enter the local keyfile passphrase entrez une pass phrase locale ici tripwire La pass phrase locale sert pour g n rer la cl utilis e pour signer la base de donn es et les rapports Apr s avoir cr er les cl s tripwire proc de au cryptage et la signature du fichier de configuration tw cfg Creating signed configuration file Please enter your site passphrase rentrez la pass phrase du site infanterie W
3. Prelude I suffit alors de modifier le fichier etc tripwire twcfg txt puis de relancer une initialisation de la base de donn es Pensez effacer ensuite le fichier txt J Automatisation Par email I est possible d envoyer un email quand un rapport est effectu en ajoutant la ligne emailto login8nomdedomaine dans le fichier twpo1 txt Ce processus se fait par sendmail par d faut mais peut tre configur par le fichier twcfg txt la ligne MarLMETHOD Cela donne pour l envoi par email rulename Networking Programs severity SIG HI emailto login nomdedomaine Par crontab La fonction crontab du syst me linux apporte une fonction compl mentaire qui permet par exemple de lancer la v rification automatiquement a une frequence donn e Par exemple pour faire une v rification chaque jour et recevoir un email avec le contenu du rapport il suffit de rajouter un script dans le r pertoire etc cron daily le script pourrait tre le suivant bin bash HOST_NAME uname n if e var lib tripwire HOST_NAME twd then echo Erreur Base de donn e pour HOST_NAME non trouv e echo Executez etc tripwire install sh et ou tripwire init else test f etc tripwire tw cfg amp amp usr sbin tripwire check fi Ce fichier v rifie l existence d une base de donn e tripwire si elle est pr sente il ex cute la fonction tripwire chec
4. 100 0 0 0 on Programs 100 0 0 0 100 0 0 0 100 0 0 0 100 0 0 0 100 0 0 0 100 0 0 0 100 0 0 0 100 0 0 0 100 0 0 0 100 0 0 0 100 0 0 0 100 0 0 0 100 0 0 0 100 0 0 0 Page 28 38 Tripwire Prelude Operating System Utilities 100 Root config files 100 Total objects scanned 8950 Total violations found 3 o Object Summary Section Unix File System Rule Name Tripwire Data Files var lib tripwire Severity Level 100 Added var lib tripwire IDS twd Rule Name Root config files root Severity Level 100 Modified root kde share config root kde share config konquerorrc Error Report O errors End of report Juin 2003 Roure Christophe TSRIT 26 Page 29 38 Tripwire Prelude Annexe 2 Copie d cran du module Piwi Rubrique Alert List B righ Ononrg E mediun s wee a EMI O selected sens lou RER alerts matched by nter Group by Order Since Process E Onmin M cissencation Nanc i Ga Sidi aln Bl Source Addrass Asc WO alris matched by fiter mise isi None AN GJ by program Donne la liste de toutes les alertes enregistr es dans la base Juin 2003 Roure Christophe TSRIT 26 Page 30 38 Tripwire Prelude Rubrique HeartBeat Top 15 Attacks Statistics ee tne ation teres Heartteatii Cum A ines m TIT NuLL E os el 132358 Unike
5. Human being having a sraigh line is good Le vou Pra lada Log Peniba Los Loches 05 LLODADFP LOG LE Pra lands MIDE OOUREREETI INTER gt Tee Jes 16 CTEMIAA DER Yos dan id amp Sent ee 20 x pa gt E E M R 3 g i Tra Jes 12 M n nn 2905 Tha Jes 12 22055128 206 Mes du Fourni les d tails sur l tat des capteurs et permet de voir si il y a eu interruption dans les remont s d alertes Juin 2003 Roure Christophe TSRIT 26 Page 31 38 Rubrique Top 15 Attackers EXEIENSE AA EN Tripwire Prelude AttackNb Attack TypeNb TargetNb Score Host name 15665 E 49 B 106 12244867959 TIR FR a ca 1 4 E 51765 PL Ina J 53 1 Ezi 53 r z 195 9243 FR 15 238 clubartomet fr n 1 n 1 15315241 re m walls ASte Genm Bos 112 1 B w amp e y y 3 13123128 R dapes eds ann 5 2 2 125 65 177 6 235 sar a3p CC0tx Nous P235 dials print net 5 1 3 5 l212 122 16 182 LT nia 4 4 E9 Birsarto iT hosttO0 87 pooiB 73 Imerbueinees e a 1 1 a 243 36 128 173 FR agre2 13 351 28 173 ppp scat n 3 1 1 3 43 4217 FR Grecia ai veo 3 1 1 3 217 82 102 82 DE pLO52553E dip t dialn nel 3 l 1 3 65 32 37 222 ucer 11208eu dsl mindeprrig com 3 1 1 3 65 245 51 87 vs us fuser 1 feecri del mrndspring com 2 EA 2 122948322 CA nia 2 Ea 2 jp 133 127 144 DE pSUGST FSO dip t dialin net 2 1 2 F
6. compte car dans une petite entreprise les cr dits ne permettent pas toujours de s offrir des produits payants Localement pour permettre de connaitre quels sont les fichiers prot ger le choix du logiciel est port sur Tripwire L ger et simple il peut permettre de v rifier tout mouvement de fichiers que l on aura pr alablement s lectionn s En v rifiant les rapports on peut tablir rapidement un tat des lieux sur les donn es locales sensibles Au niveau r seau la mise en place d une sonde de d tection d intrusion Prelude va donner la possibilit de lister toutes les trames risques qui entre et qui sortent du r seau Les informations relev es par Prelude montrent d o vient le danger quelles sont les ressources sensibles du domaine A mon sens il y a deux raisons pour mettre en place ce type de logiciels Tout d abord ils peuvent tre install s avant l achat d un mat riel de protection d di et ou payant afin de mieux d terminer les caract ristiques n cessaires et permettront d opter pour un produit plut t qu un autre Ensuite sur un r seau avec une politique de s curit existante l installation de ces moyens d audit vient en soutien et permet de v rifier que la configuration actuelle reste efficace Juin 2003 Roure Christophe TSRIT 26 Page 26 38 Tripwire Prelude ANNEXES Juin 2003 Roure Christophe TSRIT 26 Page 27 38 Tripwire Prelude Annexe 1 Exemple de r
7. elle tait souvent d crite dans les archives trouv es D roulement du test L installation du logiciel en lui m me ne pose pas de probl me le lancement de la sonde se fait correctement et j obtiens un fichier de log comportant les alertes var 109 prelude 1og Le fichier de log grossissant vu d oeil je d cide de couper la sonde et d installer le module frontend php qui permet d acc der la base de donn es contenant les alertes Ce module permet d avoir une interface graphique plus conviviale des fichiers de log L encore l installation de l interface se fait conform ment aux documents r cup r s cit en annexe 4 1 probl me Monter un serveur web avec prise en charge de php4 et MySQL qui fonctionne N ayant pas install les modules n cessaires d s l installation du syst me j ai du monter ces modules manuellement Apr s plusieurs essais j ai eu des probl mes de d pendance entre ces 3 modules et les trois services ne fonctionnaient pas correctement R solution J ai donc r install le syst me en incluant d s le d part Apache php4 et MySQL Juin 2003 Roure Christophe TSRIT 26 Page 24 38 Tripwire Prelude 2 probl me Lorsque j acc de la base de donn es par l interface php j obtiens un message d erreur d acc s la base SQL du type Warning Unable to jump to row 0 on MySQL result index 11 in var www prelude frontend php index php on line 8 R solution I
8. ne m tendrais pas dans une explication rubrique par rubrique je laisse en annexe 2 des captures d cran qui parlent d elles m mes L utilit et l utilisation principales restent dans l exploitation des alertes et la mise en place de parades La difficult est donc de s impr gner de la documentation de se tenir jour sur les types d attaques et les parades Dans ce domaine la veille technologique est tr s importante car les attaques voluent aussi rapidement que la technique Note Sylvain Loeuillet qui a contribu la r alisation du module frontend perl met votre disposition une interface de d monstration sur l url suivante http www leroutier net Projects PreludelDS Demo Filters pl Localisation des fichiers utiles Prelude manager Fichier de config usr local etc prelude manager prelude manager conf Prelude nids Fichier de config usr local etc prelude nids prelude nids conf R pertoire des r gles de filtrages usr local etc prelude nids ruleset Prelude Iml Fichier de config usr local etc prelude 1m1 prelude 1m1 conf Juin 2003 Roure Christophe TSRIT 26 Page 20 38 Tripwire Prelude R pertoire des r gles de filtrages usr local etc prelude lml ruleset Fichiers d alertes var log perlude log var log mysql log requetes SQL effectu es Script permettant de convertir les r gles SNORT pour Prelude http www prelude ids org download contribs convert_ru
9. rer cette base SQL gr ce une interface web Pour le d tail du fonctionnement de Prelude je vous renvoi au document de Guillaume Arcas et au magazine M I S C voir ressources en annexe 4 Bien que le but du projet Prelude soit une architecture distribu e pour le mini projet tous les modules ont t install s sur la m me machine L esprit la fonctionnalit et la technique restant les m mes B Fonctionnement de base La sonde se compose de 4 modules principaux 1 interface web Libprelude El ment de base de tous les modules elle contient toutes les fonctionnalit s C est elle qui assure la communication entre les capteurs et le manager Elle permet de n gocier si la connexion peut s tablir en SSL cl s publiques certificats Prelude manager C est l l ment qui re oit les messages des capteurs et les transforme en alertes Ces alertes sont ensuite stock es dans une base de donn es SQL pour tre exploit es ensuite par l interface web frontend Prelude NIDS C est l l ment qui permet la capture de trames en temps r el Il se base sur une version de la librairie pcap Il est capable de d coder des requ tes HTTP FTP et TELNET d analyser des trames en fonction des signatures SNORT de d tecter les scans ArpSpoof Arp en Unicast et d autres encore Prelude LML Il peut servir a recueillir les logs de diverses plates formes comme des machines Unix Firewalls etc Installer en local il
10. s av re que cette erreur est un bug du programme qui ne permet pas d acc der aux valeurs de la base si la sonde n est pas en fonctionnement 3 probl me ou plut t inconv nient L interface ne nous donne une liste des alertes class es par date Impossibilit de choisir tel OU tel type d attaque adresse port La base devient alors aussi complexe consulter que le fichier de log en mode texte R solution Le module frontend php ne permet en fait pas plus que lister les alertes D apr s St phane Loeuillet qui a contribu au projet Perl le concepteur a abandonn l interface php I faut donc installer le module frontend perl Entre temps n ayant pas encore eu les r ponses aux probl mes et ayant modifi pas mal de fichiers pour tenter de r soudre ce probl me je d cide de repartir sur une base plus saine et de r installer le syst me sous Debian Cette version de linux tant celle utilis e sur les documentations d installation trouv es De plus elle est plus conviviale et permet les installations de librairies plus facilement Je r installe prelude et l interface perl en suivant les instructions 4 probl me En acc dant l interface web par l url http 192 168 1 20 piwi index pl j obtiens une page me demandant un login et un mot de passe Apr s avoir essay diff rentes possibilit s impossible de se logger R solution Cette page par d faut n est en fait pas n cessaire mai
11. sur le manager Une fois tous les capteurs enregistr s on lance l coute du manager prelude manager ou sans avoir renseign le fichier de configuration prelude manager mysql dbhost localhost dbname perlud dbuser prelud 7 dbpass 1ri2ch Lancement de la sonde r seau prelude nids i eth0 u root Cette commande d marre l coute des trames et donc l envoi de messages d alertes si une anomalie est d tect e Lancement de la sonde Iml prelude lml i eth0 u root Cette commande d marre la surveillance des fichiers de log Lancement du module piwi Sur votre navigateur web tapez l url http 192 168 1 20 piwi Filters pl Vous avez alors acc s au module de management web en tant que guest Juin 2003 Roure Christophe TSRIT 26 Page 19 38 Tripwire Prelude Vous pourrez uniquement avoir le r le de spectateur Pour avoir la possibilit d effacer les logs il faut modifier les droits de guest dans le fichier var www piwi Profiles guest user Et remplacer les valeurs none par all Il est possible de supprimer ce fichier guest user et de renommer le fichier admin user en guest user G Utilisation Pratique L utilisation da la sonde en elle m me se limite au choix des r gles de filtrages et la mise en marche des capteurs NIDS et LML La partie la plus importante reste dans l utilisation l interface web Elle est tr s intuitive il suffit de suivre les liens Je
12. 006 06 17 11 26 24 0002997980 Db 34800 Classification Informalbiens Mane ICMP seperscan echo Description Attempted Information Leak Serem madum Conpietion Type recon 4 38398095825 c S Mitacted br Analyzer ID 5498 Model Prelude N Varsion 0 0 1 Manufacturer The Prelude Taam Hip prol ude song Class Network Intusion Derecton Syster OS Type Linux OS Varsion ZZ Z0 Idepci Source informations Spooted unknewr Protocol unknown Address typa pr addr Address 192 168 24 84 Target mfonmatinns Spooted Protocol unknown Address dype predador Address 172 16 19 10 Snor nde revision 1 Sred nde D 474 Dataction Plugin Description Snor signatum parser Detection Plugin Contact praiuds devsl praluce t s org Detection Plugin Athor The Prelude Team Detection Plugin Mame SnorRules Payload header siress bytes Pod Hexadacimal Dump 00 00 00 00 00 O0 00 00 Padosd ASCII oriy Dump icmp header type 8 codeel Ip header 132 16524 64 gt 172 16 19 10 hl Z0 varsioned Jose Jan 36 14 41231 M 127 prot 1 Ethernet header DOM 1 THO r Oct 28 5360 ethe ypsi 20433 Sowce Carra Date Leeted 00 00 F3 gt 17 DF EO Terget 00 01 20 01 7820 Upper Laver NTrxtapart Protocol 2049 ip Ici Alerte d un scan de port on peut noter la richesse des informations obtenues Date IP MAC source IP MAC destination payload Juin 2003 Roure Christophe TSRIT 26 puer Ust
13. R Ima 2 1 2 FR dyr 213 35 124 2 3 ppp fiscal f 2 1 2 US coe 35 E2 53 R co sonnthbd ret 2 1 2 FR Ine 1 1 1 US cpe 85 87 18 184 ut sprrtbbd net Donne la liste des 15 adresses IP sources les plus fr quentes avec leur localisation si le module Geo IP est pr sent Juin 2003 Roure Christophe TSRIT 26 Page 32 38 Tripwire Prelude Rubrique Top 15 Attacks Search Plant Ust JBeartBeat Top 15 Attackers Top 15 ottacks Statstics e e AftackNb Attack name 810 ICMP redirect host 500 ICMP PING NMAP 316 HTTP escape sequence hide another sequence 38 SCAM Proxy attempt 61 invalid Urecode String detected IMP L3retriever Pm ICMP vediirect net Unknown Unicode bagging INFO Possis Send Scan Pap address mismatch WEB BS view source via transtate heater ICMP superscam echo Pronuscueus mode detected IRETBIOS ninwa AICHED20 DLL METDIOS HT NULL session Donne le nombre et le type des 15 alertes les plus fr quentes Juin 2003 Roure Christophe TSRIT 26 Page 33 38 Tripwire Prelude Rubrique Statistics Alert List heartbeat Ten 15 Attackers ren 15 Attacks Statistics Filter Factory Time Unit From Output format rad iie TERA vaar Month YN Vear vvv m EE Month 04M we DS EI Howe HH If graph do not match what you asked itis s
14. Tripwire Prelude I Sommaire O ee 1 Il introduction generales ciertas me mn nn on 2 l PU e O 4 Ar LE LEE LG LE 81 110 RER EE ati 4 Be PIT Susto A o 4 C Installation du syst me d exploitation 4 D gt installation de Tripwire EE nee dir Qr Mea en lab ent 4 E Initialisation d une base de donn es 5 F Mise jour d une base de donn es 6 Gx Greation d un A Cm 7 Regles de SEGUI oA Ene re A DL n dep oon Ode Ll dec dena ped 7 L Fichier de ConfIgurallOD sn est tate andes cen RR Ein e a EU Um a ue pedet 8 J oUtomalisa OE s noci tore teste aei oue a ia 9 K Utilisation pratique da o epp un a oh date Ita Moi els 9 bin AF ONIGHIS ION C fei Tot tet oi cuta aaa 10 LUE 1 de O6 LS E N E E E N 12 Be INTOdUCIO sac E oan ETE E ad ala 12 B Fonctionnement de bas eiii 12 A rm nn me en nn a een aon eer de 13 D Instalada iaa dar 14 E V ONIOUPANONM oa 15 E Misc EN Marcha 18 G Utilisation A A AN 20 H Un mot sur l emplacement de la sonde sese 21 A oup ec mtu den ee anion LEE 2 22 de CONCUSSION eoo cii aem stes fe es a ben E ees 23 MV Problemes rencontr ES aa r tee 24 Vi Conclusi n generales tardara acta ai 26 ANNEXE tar oe ce 28 AUDLOXO La A AA A As 30 ANOS c E EE EE A A AA nm 37 ANNEXE A T 38 Juin 2003 Roure Christophe TSRIT 26 Page 1 38 Tripwire Prelude Il Intr
15. WI TII MASS VOI IDE EEES Wireless 802 11 Tunnel IPsec Page 3738 Juin 2003 Roure Christophe TSRIT 26 Tripwire Prelude Annexe 4 Ressources Tripwire Site officiel http www tripwire org Prelude Pr sentation de G Arcas http www ossir org fto supports 2002 S5UR20020611 GArcas pdf Site officiel http www prelude ids org Anciennes versions http www prelude ids org download releases Interface perl Prelude frontend perl ou Piwi http www leroutier net Projects Installation http lehmann free fr Prelude html 2 documents Manuel d installation et de configuration de PRELUDE nids hids manager frontend php frontend perl Rapport Final du Travail d tude et de Recherche Pr sentation fonctionnement Magazine M I S C N 3 Multi system amp Internet Security Cookbook Infos sur les signatures SNORT htto www snort org snort db Libsafe http www research avayalabs com project libsafe Pour une base de connaissance sur les failles et les parades courantes support papier je recommande Hacking Exposed de S McClure J Scambray G Kurtz Juin 2003 Roure Christophe TSRIT 26 Page 38 38
16. ais d acc s fr quent SEC_LOG Growing Fichier changeant mais de propri taire fixe SEC_INVARIANT tpug R pertoire ne changeant pas de permission ni de propri taire SIG_LOW 33 Fichier non critique avec un niveau de s curit faibl SIG_MED 66 Fichier non critique avec un niveau de s curit important SIG_HI 100 Fichier vuln rable avec un niveau de s curit tres important Tous les param tres sont disponibles dans le fichier usr doc tripwire policyguide txt Une fois les modifications appliqu es au fichier de r gles il faut r initialiser h base de donn es avec la commande tripwire init Pensez a effacer ensuite le fichier txt L Fichier de Configuration Le fichier de configuration tw cfg contient entre autres les param tres suivants localisation du r pertoire root de tripwire localisation du r pertoire de r gles de s curit localisation du r pertoire de la BdD localisation du r pertoire des rapports localisation du r pertoire des cl s localisation du r pertoire de l editeur de texte vi Pour s curiser un peu plus l application Tripwire il est conseill de modifier les chemins par d faut de ces fichiers Le fichier tw crg est la encore un fichier crypt Pour recr er un quivalent en format texte il suffit de lancer twadmin create cfgfil S site key etc tripwire twcfg txt Juin 2003 Roure Christophe TSRIT 26 Page 8 38 Tripwire
17. apport de v rification Tripwire Parsing policy file etc tripwire tw pol Processing Unix File System Performing integrity check Wrote report file var lib tripwire report IDS 20030611 143616 twr Tripwire R 2 3 0 Integrity Check Report Report generated by root Report created on Wed Jun 11 14 36 16 2003 Database last updated on Never Report Summary Host rame IDS Host IP address 192 168 24 20 Host ID None Policy file used Configuration file used Database file used Command line used etc var etc tripwire tw pol tripwire tw cfg lib tripwire IDS twd tripwire check Rule Summary Section Unix File System Rule Name Invariant Directories Temporary directories Tripwire Data Files Critical devices User binaries Tripwire Binaries Critical configuration files Libraries Shell Binaries File System and Disk Administrat Kernel Administration Programs Networking Programs System Administration Programs Hardware and Device Control Programs System Information Programs Application Information Programs Shell Releated Programs Critical Utility Sym Links Critical system boot files System boot changes OS executables and libraries Security Control Login Scripts Juin 2003 Roure Christophe TSRIT 26 Severity Level Added Removed Modified 66 0 0 0 33 0 0 0 100 1 0 0 100 0 0 0 66 0 0 0 100 0 0 0 100 0 0 0 66 0 0 0
18. bprelude est la base du logiciel Il doit tre install en bin me avec le manager le capteur NIDS et le capteur Local car ces trois derniers puisent leurs fonctions dans ce module Exemple d installation en architecture distribu e Sur la machine Alpha sonde r seau j installe libprelude et prelude nids Sur la machine Bravo sonde locale j installe libprelude et prelude Iml Sur la machine Charlie station de management j installe libprelude le manager et frontend Sur la machine locale Les modules librelude le manager un ou les deux capteurs et le frontend L installation se fait partir du r pertoire d compress Pour les options de configuration passez la commande configure help configur nable openssl installe la librairie avec prise en charge du module SSL make make install Le SSL permet aux sondes dispers es a travers le r seau de communiquer au moyen d un protocole d authentification Les cl s et le certificat se trouvent dans usr local etc prelude sensor Juin 2003 Roure Christophe TSRIT 26 Page 14 38 Tripwire Prelude Module prelude manager Pour son installation on lui rajoute l option de prise en charge de base de donn es MySQL car cette base sert pour le gestion d alertes par l interface web configure enable mysql enable openssl make make install On peut noter que la base PostgreSQL peut aussi tre utilis e en remplacant l op
19. e Sconf dbport 3306 default mysql port is 3306 Sconf dblogin prelude Login user de la Base de donn es Sconf dbpasswd 1lri2ch Pass user de la base Modification dans le fichier de configuration d apache etc apache httpd conf Pour que le serveur prenne en charge le langage perl il faut modifier son fichier de configuration Listen 192 168 1 20 DirectoryIndex index pl index html index thm ServerName localhost DocumentRoot var www Puis modifier les lignes suivantes If the perl module is installed this will be enabled lt IfModule mod_perl c gt Alias perl var www perl lt Location perl gt SetHandler perl script PerlHandler Apache Registry Juin 2003 Roure Christophe TSRIT 26 Page 17 38 Tripwire Prelude Options ExecCGI lt Location gt IfModule en If the perl module is installed this will be enabled IfModule mod perl c Alias perl var www piwi Location var www piwi gt SetHandler perl script PerlHandler Apache Registry Options ExecCGI Location lt IfModule gt Puis apr s les lignes PerlModule Apache DBI do do Ajouter Directory var www piwi Options ExecCGI AddHandler cgi script pl Directory Note Une fois tout install il est possible de tester la mise en place de l interface perl en allant sur l url http 192 1 68 1 20 piwi test test pl Les modul
20. elude a bien d tect le scan et remonte une alerte ICMP Superscan Une parade possible est de coup les trames ICMP partir du firewall Sur le capteur HIDS Je n ai pas approfondi l utilisation du capteur local pour plusieurs raisons manque de connaissances et de moyens d attaques n cessaires pour tester l efficacit des r gles de s curit appliqu e aux fichiers de logs manque de temps la sonde Tripwire tant install e je me suis appuy sur ces rapports pour la s curit locale malgr le fait qu elle ne se base pas sur les m mes principes de r gles En revanche j ai pu remarquer que la sonde se basait sur les fichiers de log var log messages t var log auth 1og pour le niveau local lui permettant de conna tre Juin 2003 Roure Christophe TSRIT 26 Page 22 38 Tripwire Prelude chaque identit qui logu e sur la machine et si ces connexions ont r ussi ou chou Ce que ne permet pas directement Tripwire J Conclusion Prelude est une bonne approche concernant l adoption d une solution de s curit Compar a du mat riel d di lorsque les performances sont proches ce projet peut mettre en avant sa licence GPL qui reste a mon sens un de ces plus gros atouts face a Putilisation d un tel moyen en entreprise Le fait que ces capteurs HIDS surveillent galement d autres types de fichiers de logs peut appara tre l aussi comme un avantage Son point faible restant dans l utilisat
21. es apparaissant en vert sont fonctionnels ceux en rouge sont absents F Mise en marche Enregistrement des capteurs dans prelude manager Afin d enregistrer un capteur aupr s du manager il faut passer par une proc dure d authentification On commence par lancer la proc dure du cot manager il donne un mot de passe servant l authentification et il se met en attente d un capteur manager adduser retenez le mot de passe qui vous est donn Enregistrement de la sonde r seau Ensuite il faut lancer l enregistrement du c t du capteur sensor adduser s prelude nids m 192 168 1 20 u 0 S pour le nom du capteur m pour l adresse du manager u pour l uid utilis par le capteur root Juin 2003 Roure Christophe TSRIT 26 Page 18 38 Tripwire Prelude pour les autres options tapez sensor adduser help Entrez le mot de passe fourni l tape pr c dente Puis entrer le nom d user et le pass de la base SQL user prelude pass 1ri2ch Enregistrement de la sonde locale Lancement de l enregistrement du capteur local sensor adduser s perlude lml m 192 168 1 20 u 0 S pour le nom du capteur m pour l adresse du manager u pour l uid utilis par le capteur root pour les autres options tapez sensor adduser help Entrez le mot de passe fourni l tape pr c dente Puis entrer le nom d user et le pass de la base SQL user prelude pass 1ri2ch Lancement de l coute
22. es sur le logiciel sous licence GPL ou sur tout logiciel en d rivant Ces libert s sont les suivantes libert d ex cuter le logiciel et ce pour n importe quel usage libert de modifier le logiciel pour l adapter ses besoins dans la pratique cela n cessite l acc s au code source libert de redistribuer des copies soit gratuitement soit contre r mun ration libert de distribuer des versions modifi es afin que la communaut du logiciel libre puisse en profiter htip www net in com Juin 2003 Roure Christophe TSRIT 26 Page 2 38 Tripwire Prelude Juin 2003 Roure Christophe TSRIT 26 Page 3 38 Tripwire Prelude lll Tripwire A Introduction Tripwire est un outil de d tection d intrusion qui permet de v rifier l int grit de fichiers grace une prise d empreinte effectu e d s l installation du syst me Cette empreinte est bas e sur la taille la date et le contenu des fichiers Il suffit donc de lancer une v rification de ces fichiers au moment o vous le demandez ou bien chaque fois que vous l avez programm B Pr requis Il est important de souligner que l installation de Tripwire doit se faire sur un syst me propre car il serait inutile de s curiser un syst me d j infect R cup rer les sources de Tripwire http www tripwire org downloads index php au format RPM ou tarball La version utilis e ici tant tripwire 2 3 47 bin tar gz
23. his object Modified x root kde share config x root kde share config konquerorrc Laissez les marques devant les fichiers que vous voulez ajouter la base Sortez de l diteur avec la commande Esc wq Vous devez entrer la pass phrase locale pour enregistrer les modifications Juin 2003 Roure Christophe TSRIT 26 Page 6 38 Tripwire Prelude G Cr ation d un rapport voir annexe 1 La cr ation d un rapport se fait avec la commande tripwire check Le rapport cr dans var 1ib tripwire et sous la forme nomdemachine date heure twr la date et l heure sont celles de la g n ration du rapport On peut voir les modifications dans la partie Rule Summary une marque les r gles ayant fait tat d un changement ajout suppression ou modification Puis dans la partie Object Summary on voit le d tail des fichiers signal s Les rapports g n r s sont crypt s pour les visualiser il faut donc taper la commande twprint m r r var lib tripwire report nomdurapport twr H Regles de s curit Le fichier etc tripwire tw po1 Contient les r gles de s curit appliquer Ce fichier est crypt Il est possible de recr er ce fichier au format txt avec la commande suivante twadmin create polfil S site key etc tripwire twpol txt Vous devrez entrer la pass phrase du site Sous cette forme vous pourrez alors le modifier pour l adapter votre configuration Voic
24. i quelques param tres utiles etc passwd pingus V rifier le fichier passwd selon les attributs p i n g u et s etc passwd Ne pas v rifier le fichier passwd etc ug recurse false V rifier etc mais pas le contenu etc ug emailto admin domain com Envoi un email l adresse indiqu e si l user ou le groupe est modifi Quelques attributs etc passwd g File owner s group ID etc passwd gt i Inode number etc passwd gt m Modification timestamp etc passwd gt p Permissions and file mode bits etc passwd gt r Device Number etc passwd gt s File size etc passwd t File Type etc passwd u File owner s user ID etc passwd gt 1 File is increasing in size etc passwd gt C CRC 32 hash value etc passwd M MD5 hash value Juin 2003 Roure Christophe TSRIT 26 Page 7 38 Tripwire Prelude Dans le fichier par d faut certaines variables sont pr d finies IgnoreAl1 ignore les attributs p i n u s g l a m c t d b C M S H IgnoreNone quivaut aux attributs pinusgamctdbCMSH Dynamic quivaut aux attributs pinugtd SEC_CRIT IgnoreNone SHa Fichiers critiques qui ne peuvent pas changer SEC_SUID IgnoreNone SHa Binaire avec le bit SUID ou SGID positionn SEC BIN ReadOnly Binaire qui ne doit pas changer SEC CONFIG Dynamic Fichier de config qui change peu m
25. ion de contre mesures qui est encore a l tat de projet On pourrait attendre une am lioration de l interactivit avec l utilisateur et ou d autres logiciels mat riels en apportant des remont es d alertes importantes instantan es la mani re des trap SNMP afin d agir directement sur un firewall un switch Mais je pense que ce n est qu une question de patience car le projet Prelude et en constante volution Juin 2003 Roure Christophe TSRIT 26 Page 23 38 Tripwire Prelude V Problemes rencontr s Pour Tripwire Pas de difficult s majeures La remarque la plus importante reste qu il faut modifier le fichier de config tw pol pour ne pas avoir de messages d erreur En effet par d faut ce fichier contient des r pertoires et des fichiers qui ne se trouve pas sur votre systeme Quand tripwire lance une initialisation ou une v rification il ne les trouve pas et g n re des erreurs dans le rapport Ces erreurs ne sont pas importantes mais polluent inutilement le rapport I a fallu faire un choix sur les fichiers syst mes auditer et sur quelles r gles Ce travail est assez long mais il est n cessaire si l on veut tre efficace Pour Prelude Ma configuration de d part tait une version RedHat 7 2 Advanced Server avec serveur Web Apache et serveur MySQL Les modules de Prelude tant ceux d crits dans la manip J ai opt pour une interface web en php prelude frontend php car
26. k sinon il g n re un message d erreur K Utilisation pratique En fait sous un syst me UNIX l utilisation des r pertoires nous facilite un peu le travail car chacun de ces r pertoires regroupe souvent un ensemble de commandes bien d finies Juin 2003 Roure Christophe TSRIT 26 Page 9 38 Tripwire Prelude Il convient donc de sp cifier dans le fichier tw po1 les fichiers se trouvant sous bin contenant l ensemble des commandes de base communes a tous les utilisateurs et donc les fichiers absolument invariables sbin contenant les commandes syst me La encore des fichiers absolument invariables dev fichiers sp ciaux relatifs aux p riph riques etc commande de maintenance et configuration syst me Ensuite on peut y ajouter Nib les librairies de base Ivar fichiers syst mes variables fichiers de log usr bin commandes utilisateur suppl mentaires lusr sbin commandes syst me suppl mentaires Attention positionner les attributs sur un fichier en fonction de ses propri t s car le rapport de v rification risquerait de contenir des avertissements inutiles si par exemple vous choisissez un attribut de v rification sur la taille un fichier de log L Conclusion Tripwire constitue un des premiers l ments de protection passive pour une station ou un serveur ll n est qu une petite partie d un processus de s curisation et doit tre utilis avec d autres logiciels permettant de met
27. leset Prelude perl frontend Fichiers de documentation piwi Docs Fichiers de test piwi test Important Prelude est lui aussi soumise des attaques notamment de types DoS IP Soofing Elle est d ailleurs vuln rable et il existe un patch pour viter l IP Spoofing Ce patch se trouve ici http sylvain detilly free fr ids download prelude nids address spoof plugin patch La librairie libsafe peut tre rajout e pour prot ger un processus des vuln rabilit s sur les d bordements de tampon Si une tentative de d bordement est d tect il envoi une alerte la sonde Je ne l ai pas test pas manque de temps H Un mot sur l emplacement de la sonde Il est important de placer les sondes r seau et les sondes locales des endroits strat giques Pour le mini projet la localisation par rapport au r seau global en annexe 3 peut s expliquer de la sorte La sonde r seau est plac e sur le segment faisant la jonction entre le r seau local et le r seau externe afin de surveiller le trafic global entrant et sortant Elle se place aussi entre l ext rieur source potentiellement dangereuse et les serveurs Web et FTP victimes potentiellement vuln rables car on peut estimer qu il faut accroitre la surveillance ce niveau pr cis L installation de capteurs NIDS ou LML entre autre au niveau des firewalls Astaro et Censornet aurait pu venir compl ter la surveillance Ces firewall
28. oduction g n rale Ce document d crit la mise en place et l utilisation du logiciel Tripwire et de la sonde de d tection d intrusion Prelude IDS Intrusion Detection System sur une machine implant e au sein d un r seau voir plan en annexe 3 Le but de la sonde est d observer toutes les anomalies et les tentatives d attaques afin d identifier la source et le but des attaques pour prendre des mesures pr ventives et ou r pressives En plus du fait qu ils soient gratuits sous licence GPL leur installation et leur utilisation sont relativement faciles si l on poss de tous les l ments pr requis ce qui permet l int gration rapide d un tel syst me au sein d un r seau d entreprise lls offrent une bonne solution pour des r seaux dont la confidentialit et la s curit restent relatives car ce sont des outils passifs qui n agissent pas dynamiquement face une tentative d attaque Ce sont des outils de d tection d intrusion et ils ne sont utiles que si quelqu un exploite continuellement les fichiers d audit g n r s Sans cela les logiciels seuls deviennent inutiles La licence GPL GNU General Public License est une licence de logiciel libre licence de logiciel car elle d finit un cadre d utilisation fix par un programmeur sur son logiciel libre car le cadre d utilisation d fini par cette licence est contrairement aux licences classiques de s assurer qu un certain nombre de libert s seront respect
29. permet d analyser des fichiers de log locaux afin de v rifier les acc s par login par exemple Juin 2003 Roure Christophe TSRIT 26 Page 12 38 Tripwire Prelude Frontend C est l interface web d administration de la sonde Il existe plusieurs types d interfaces en Php abandonn e et une en Perl offre plus de possibilit s Prelude fonctionne de la mani re suivante Les capteurs NIDS plac s soit en local soit dispers s sur des machines du r seau capturent les trames douteuses analysent leur contenu et s il y a anomalie envoie une alerte contenant les informations de la trame incrimin es au manager Les capteurs LML locaux ou distribu s v rifies les fichiers de log afin de d celer l encore toute anomalie Si quelque chose est d tect les capteurs communique au manager les infos en questions Le manager traite ces alertes en remplissant des tables dans une base de donn es en fonction du type des adresses du contenu et de toutes autres infos importantes L interface permet d afficher les alertes contenues dans la base de mani re conviviale en proposant quelques fonctions de base Lister effacer utilisation de filtres statistiques C Pr requis Un systeme d exploitation Linux avec un serveur web et un serveur SQL Ici Debian 3 0r0 choisi pour la facilit d utilisation surtout au niveau des packages ou les d pendances s installent automatiquement avec la commande apt get Se
30. r et renseigner les lignes suivantes sensors srvr 192 168 1 20 pour l adresse d coute des sondes MySQL Host the database is listening on dbhost localhost Name of the database dbname prelude Username to be used to connect the database dbuser prelude Password used to connect the database dbpass 1ri2ch Configuration nids Dans le fichier usr local etc prelude nids prelude nids conf D commenter et renseigner manager addr 192 168 1 20 adresse du manager user prelude utilisateur de la base Juin 2003 Roure Christophe TSRIT 26 Page 16 38 Tripwire Prelude Configuration Iml Dans le fichier usr local etc prelude nids prelude nids conf D commenter et renseigner manager addr 192 168 1 20 adresse du manager Configuration du module Piwi Dans le fichier httpd conf on trouve le profil d utilisateur d apache Sous debian User www data Group www data Pour que le serveur puisse acc der aux fichiers et ex cuter les requ tes il faut donner aux fichiers et au r pertoire piwi les acc s n cessaires chown R www data www data var www piwi chmod R u x var www piwi Prise en charge de MySQL Dans le fichier var www piwi Functions config pl Renseigner les lignes suivantes conf dbtype j mysql type de la base de donn es Sconf dbname prelude Nom de la base Sconf dbhost localhost Nom de la machine h t
31. rote configuration file etc tripwire tw cfg Tripwire crit donc un fichier de configuration etc tripwire tw cfg dont un exemplaire en format texte est crit dans etc tripwire twcfg txt ll est recommand d effacer ce fichier texte apr s l avoir examin car il contient les chemins vers vos fichiers tripwire dont ceux contenant les mots de passe Ensuite processus de cryptage et de signature du fichier de r gles tw pol Please enter your site passphrase rentrez la pass phrase du site infanterie Wrote policy file etc tripwire tw pol Comme pour le fichier de config un exemplaire du fichier etc tripwire tw pol existe en format texte ici etc tripwire twpol txt Important Ce fichier de configuration tw po1 est un fichier par d faut il n est pas forcement adapt tous les types de configuration Vous pouvez choisir votre configuration en ditant le fichier etc tripwire twpol txt voir plus bas L encore il est recommander de supprimer ce fichier apr s l avoir examin E Initialisation d une base de donn es La base de donn es va servir de r f rence pour la comparaison Elle contient l image des fichiers originaux Pour l initialiser il suffit de tapez la commande tripwire init Le syst me vous demande alors la pass phrase locale pour crypter le fichier de r gles Si vous voulez utiliser les fichiers de config par d faut cela n est pas d conseill mais vous risquez d avoir des messages d e
32. rreur car certains fichiers ne sont pas pr sents sur votre syst me en connaissance de cause il n est pas n cessaire d en tenir compte Juin 2003 Roure Christophe TSRIT 26 Page 5 38 Tripwire Prelude Le fichier cr er var 1ib tripwire 1Ds twa est l image de vos fichiers sensibles IDS tant remplacer par votre nom de machine Copiez le afin d en r aliser une sauvegarde Vous pouvez cr er un checksum de ce fichier avec la commande md5sum var lib tripwire IDS twd Ce checksum pourra vous aider si par la suite vous souhaitez v rifier l int grit de votre sauvegarde F Mise jour d une base de donn es Si vous installez ou si vous modifiez volontairement des fichiers de votre base vous risquez d avoir des alertes et ou des erreurs dans les rapports Pour viter cela il suffit de mettre jour votre base avec 4 tripwire update twrfile var lib tripwire report nomdurapport twr Cette commande ouvre l diteur de texte vi avec votre rapport en ajoutant le symbole x devant les modifications Object Summary Section Unix File System Rule Name Tripwire Data Files var lib tripwire Severity Level 100 Remove the x from the adjacent box to prevent updating the database with the new values for this object Added x var lib tripwire IDS twd Rule Name Root config files root Remove the x from the adjacent box to prevent updating the database with the new values for t
33. rveur web Apache 1 3 26 Owoody3 et serveur SQL MySQL 3 23 49 8 4 Librairies installer pour la sonde libssl dev pour permettre l acc s s curis n cessaire libprelude prelude manager et prelude nids Iml mysql server pour le serveur de base de donn e libmysqlclientiO dev pour le client mysql pour prelude manager libpcre3 librairie perl pour prelude Iml libfam pour prelude Iml Librairie a installer pour le manager Piwi Apache ssl serveur web avec prise en charge SSL libdbi perl librairie n cessaire pour l acc s MySQL libgd graph perl librairie graphique pour perl libgd graph3d perl librairie 3D pour perl libdate calc perl interface perl pour le calendrier Geo IP interface de localisation d adresse IP Juin 2003 Roure Christophe TSRIT 26 Page 13 38 Tripwire Prelude Modules Prelude utilis s libprelude 0 8 5 prelude manager 0 8 7 prelude nids 0 8 1 NIDS Network IDS prelude Iml 0 8 3 LML Log Monitoring Lackey encore appel e HIDS Host IDS Piwi ou frontend perl P erl relude IDS Web Interface Les modules sont disponibles sur le site Prelude http www prelude ids org Les anciennes versions sont disponibles sur http www prelude ids org download Le module piwi est disponible sur http www leroutier net Projects D Installation L installation des modules se fait en d compressant les archives tar tar xzvf nomdumodule tar gz Module libprelude Le module li
34. s bas s sur une architecture UNIX auraient sans doute accept l installation de ce type de capteur Juin 2003 Roure Christophe TSRIT 26 Page 21 38 Tripwire Prelude L Tests effectu s Sur le capteur NIDS Une fois les outils install s j ai effectu 2 tests simples afin de v rifier les r actions de la sonde Disposant d un serveur WEB FTP dans la DMZ du firewall CHECKPOINT ce serveur offrait une cible potentielle Pour ces tests je me suis plac sur une station hors du r seau du mini projet Cette station avait pour adresse 192 168 24 84 24 1 test Tentative d attaque en utilisant la faille Microsoft IIS Unicode Exploit exploitable lorsque le site web garde ces param tres par d faut notamment les fichiers et r pertoires Sur le navigateur de la station test j entre l url suivante http 172 16 19 10 scripts c0 af winnt system32 cmd exe c dir cA qui va tenter de lister le contenu du disque du serveur sur mon navigateur La sonde a d tect la trame contenant l url et remonte une alerte WEB IIS cmd exe acces L attaque a chou car le serveur a supprim les r pertoires par d faut 2 test Utilisation d un scanner de port Superscan Toujours partir de la station test je lance un scan sur l adresse du serveur 172 16 16 10 26 en testant les num ros de ports ouverts entre 1 et 1024 J obtiens une liste de port sur le scanner dont les ports 80 et 21 La sonde pr
35. s donne un exemple de page de pr sentation et d authentification L acc s peut se faire directement sur la page http 192 168 1 20 piwi Filters pl qui est la page d acc s la liste des alertes 5 probl me Une fois sur l interface on a acc s tous les onglets liste des alertes classement par date types d attaques adresses sources dest localisation des adresses mais aucun onglet pour pouvoir effacer les alertes Ce probl me peut s av rer assez important car sur un r seau comme celui du labo on peut compter sur plus de 100 Mo de donn es par jour dans la base R solution Une des solutions consiste modifier le fichier var www piwi Profiles guest user afin de lui donner les droits n cessaires pour effacer les alertes Juin 2003 Roure Christophe TSRIT 26 Page 25 38 Tripwire Prelude VI Conclusion g n rale Pourquoi un tel choix de logiciel Une strat gie de s curit est un choix difficile sur plusieurs points Que faut il s curiser Contre quoi qui Avec quels moyens en mat riels Avec quels moyens financiers Sans compter le fait que bien souvent les deux derniers points d pendent des deux premiers I faut donc trouver une solution qui permette de mat rialiser les besoins Le monde Open source permet de disposer de nombreux logiciels dans plusieurs domaines et le fait qu il n y ai pas besoin d acquitter des droits de licence est un choix que l on peut prendre en
36. tion par nable postgresql Module r seau prelude nids On continue toujours configure make make install Module local prelude Imi Et enfin on rajoute l option FAM File Alteration Monitor qui permet au capteur local de g rer le changement de propri t s d un fichier configure enable fam make make install Module de management piwi Une fois d compress il faut installer le module a la racine de votre site web Sur apache var www piwi par exemple E Configuration Configuration Mysql Il faut lancer le serveur mysql etc init d mysql start Puis cr er la base de donn es Prelude mysql mysql gt create database prelude quit Juin 2003 Roure Christophe TSRIT 26 Page 15 38 Tripwire Prelude Il faut maintenant changer les propri t s du script qui va cr er les tables dans la base On lui attribut ces propri t s pour qu il soit ex cutable par root chmod 550 usr local bin prelude manager prelude manager db create sh puis lancer le script usr local bin prelude manager db create sh R pondre aux tapes suivantes 0 7 gt y 1 7 gt mysql 2 7 gt localhost 3 7 gt 3306 4 7 gt prelude 5 7 gt root attention ne pas entrer de mot de passe 6 7 gt perlude mot de passe 1ri2ch 7 7 yes Configuration du manager Dans le fichier usr local etc prelude manager prelude manager conf D commente
37. tre en oeuvre une protection plus importante des login password utilisateur logiciel npasswd mise en place d un Firewall etc Sa mise en place et son fonctionnement sont simples et son mode de fonctionnement de type une r gle par fichier permet de cibler exactement les besoins Sa configuration s adresse des utilisateurs ayant connaissance des principes de fonctionnement d un syst me UNIX au moins pour le choix des r gles de s curit Juin 2003 Roure Christophe TSRIT 26 Page 10 38 Tripwire Prelude Juin 2003 Roure Christophe TSRIT 26 Page 11 38 Tripwire Prelude IV Prelude A Introduction A l origine le but du projet Prelude tait de cr er un outil modulaire de d tection d intrusion Puis de nouvelles recherches ont transform la sonde d intrusion r seau NIDS en projet Hybride portant la fois sur une sonde r seau et une sonde locale host based Aujourd hui Prelude IDS est devenu un outil modulaire distribu robuste et rapide tout en gardant son aspect hybride Local R seau Son fonctionnement s appuie sur la comparaison de trames circulant sur un r seau avec une base de signatures de tentatives d intrusions et d autres anomalies Ces signatures sont bas e sur celles d un autre projet d IDS S N O R T Chaque trame anormale est stock e avec tous ses renseignements dans un fichier de logs et dans une base de donn e SQL Un module additionnel permet de g
38. urelly because your browser is Gumb and cid not see that the image charged So press Shit while reloading the page under IE 2003 06 04 2003 06 10 2003 n8 11 2005 06 12 2003 06 14 2003 06 14 2003 06 15 2003 06 16 unftereco O 206 EE ta28 p ju Jo Jo Statistiques sur les alertes Rubrique Filter Factory Rima TE E 16 Classification neme LOMP redirect net D MSSOL e B det T WormAltak Prote Trafic Edonkey suspect Service Port gal 80 Target Service port is a privileged port 1 gt 1024 o Jinvalid filter E is a sample filler to show what ha s when a fiber is nal valid ji qe i nessus 81 31 66 90 tcp 110 Ress fe AE O TARPS TAO INFO Al popa server wrring on tis port D nessus tH 91 56 90 tcp 113 Hessus found service on port 113 tcp te host 81 91 66 90 INFO The echo part is open This port is not of any use nowadays ard may be source of problens since it can be used along wih other ports to perom a denial Cette rubrique permet de lister tous les filtres du modules Perl pour permettre une s l ction plus pr cise des alertes Juin 2003 Roure Christophe TSRIT 26 Page 34 38 Tripwire Prelude D tails sur une alerte os A Standard XML Packet Alert 53616 gt ICMP supersca echu Detect tine 2003 06 17 11 26 24 02937960 0 2030000 Create Ime 2
Download Pdf Manuals
Related Search