SNORT

Réalisé par :  Bachar Ahmed  EZ-ZAROUALY Ahlam

Introduction :
Devant la complexité croissante des réseaux qui a devenu de plus en plus gi-gantesque et étendue, on se trouvera devant le défi de se contribuer à la re-cherche des solutions répondant à la question suivante : Comment protéger mon réseau contre les pirates et les malware ? Dans le cadre de cette présentation, nous nous intéréssons à concevoir et implémenter un système de détection d'Intrusion :

ils permettent (comme leurnom l’indique) de détecter les tentatives d’intrusions. donc leur fonctionnement est semblable à celui des anti-virus .IDS : Système de Détection d‘Intrusions Les systèmes de détection d’intrusion ou IDS (Intrusion Detection System)sont indispensables pour la sécurité du réseau. et ceci en se basant sur une base de signatures des différentes attaques connues.

. nous distinguons trois grandes familles distinctes d’IDS : NIDS: formés par les détecteurs d’intrusion réseau. ces derniers analysent et contrô lent uniquement l’activité et les informations de l’hô te sur lequel est installé le HIDS et assurent ainsi seulement la sé curité de l’hô te en question.IDS:Système de Détection d‘Intrusions Principalement. ces derniers observentet analysent le trafic réseau. cherchent des indicateurs d’attaques etenvoient des alertes. HIDS: formé par les détecteurs d’intrusion basé s sur l’hô te.

Exemple d’IDS : SNORT .IDS:Système de Détection d‘Intrusions IDS hybrides: qui utilisent les NIDS et HIDS pour avoir d es alertes plus pertinentes.

il appartient actuellement à Sourcefire. .Snort :  Snort : système de détection d’intrusion libre publié sous licence GNU GPL. À l’origine écrit par Martin Roesch.

recherche/correspondance de contenu et peut être utilisé pour détecter une grande variété d'attaques et de sondes comme des dépassements de buffers.Snort  Snort est capable d'effectuer en temps réel des analyses de trafic et de logger les paquets sur un réseau IP. Il peut effectuer des analyses de protocole. scans bien plus. .

Snort n'est pas infaillible et demande donc une mise à jour régulière. Celles-ci sont écrites par Sourcefire ou bien fournies par la communauté. comme tout logiciel.Snort  Snort pour effectuer ces analyses se fonde sur des règles. . Snort est fourni avec certaines règles de base mais cependant.

conf : Il contient le chemin de la base de donnes des règles qu’on va utilisés. /etc/snort/rules : C’est la base de donnes des regles que snort utilise . .Installation Pour installer snort on utilise la commande suivante : Apt-get install snort snort-rules-default Le fichier de configuration : /etc/snort/snort.

Lancement du SNORT Pour Lancer Snort on utilise la commande suivante : /etc/init.d/snort start Pour lancer le snifing sur un interface on lance la commande suivante : root@ubuntu:/etc/snort# Snort –c snort.conf –A console –i (interface) .

conf : .Configuration de Snort On modifier le fichier /etc/snort/snort.

les ports source et destination sur lesquels il faudra vérifier les paquets. le protocole qui est utilisé pour la transmission des données (snort en considère trois: TCP. . les options de la règle(entre parenthèse) qui contiennent le message d'alerte. UDP et ICMP). les conditions qui déterminent l'envoi de l'alerte en fonction du paquet inspecté. les adresses IP source et destination et leur masque.Les règles de Snort        Les règles de snort sont décrites dans un langage qui suit le schéma suivant : l'en-tête de règle qui contient l'action de la règle (la réaction de snort).

Les règles de Snort Les regles par defaut de Snort sont stocke dans le fichier /etc/snort/rules : .

Les règles de Snort On peut télécharger les nouvelles règles de Snort à partir du site emergingthreats on suit les etapes suivantes : 1) On lance la commande suivante : sudo oinkmaster -o /etc/snort/rules Oinkmaster va alors se charger de télécharger les règles depuis le site emergingthreats vers /etc/snort/rules. .

Les règles de Snort 2) Lancez la commande: crontab -e et on ajouter la ligne suivante : 55 13 * * 6 /usr/sbin/oinkmaster -o /etc/snort/rules 3) on exécute la commande suivante pour ajouter ldes liens vers les nouvelles regles dans le fichiers snort.conf .net Rules" >> /etc/snort/snort.conf echo "#EmergingThreats.

Les règles de Snort .

Les règles de Snort  On peut créer  Exemple : nos propres règles .

Les commandes de Snort  Pour lire et afficher les paquet TCP/IP circulant sur le reseau on utilise la commande : snort –v .

Les commandes de Snort  Pour executer et afficher les entetes des paquets on utilise la commande : snort –vd .

com ) .Test Machine linux qui contient Snort et la regles de detection de connexio n google Lancer une alerte sur snort Machine normale (lancer www.go ogle.

Sign up to vote on this title
UsefulNot useful