SNORT

Réalisé par :  Bachar Ahmed  EZ-ZAROUALY Ahlam

Introduction :
Devant la complexité croissante des réseaux qui a devenu de plus en plus gi-gantesque et étendue, on se trouvera devant le défi de se contribuer à la re-cherche des solutions répondant à la question suivante : Comment protéger mon réseau contre les pirates et les malware ? Dans le cadre de cette présentation, nous nous intéréssons à concevoir et implémenter un système de détection d'Intrusion :

IDS : Système de Détection d‘Intrusions Les systèmes de détection d’intrusion ou IDS (Intrusion Detection System)sont indispensables pour la sécurité du réseau. ils permettent (comme leurnom l’indique) de détecter les tentatives d’intrusions. et ceci en se basant sur une base de signatures des différentes attaques connues. donc leur fonctionnement est semblable à celui des anti-virus .

. cherchent des indicateurs d’attaques etenvoient des alertes. HIDS: formé par les détecteurs d’intrusion basé s sur l’hô te. ces derniers analysent et contrô lent uniquement l’activité et les informations de l’hô te sur lequel est installé le HIDS et assurent ainsi seulement l a sé curité de l’hô te en question. nous distinguons trois grandes familles distinctes d’IDS : NIDS: formés par les détecteurs d’intrusion réseau.IDS:Système de Détection d‘Intrusions Principalement. ces derniers observentet analysent le trafic réseau.

Exemple d’IDS : SNORT .IDS:Système de Détection d‘Intrusions IDS hybrides: qui utilisent les NIDS et HIDS pour avoir des alertes plus pertinentes.

. À l’origine écrit par Martin Roesch.Snort :  Snort : système de détection d’intrusion libre publié sous licence GNU GPL. il appartient actuellement à Sourcefire.

.Snort  Snort est capable d'effectuer en temps réel des analyses de trafic et de logger les paquets sur un réseau IP. recherche/correspondance de contenu et peut être utilisé pour détecter une grande variété d'attaques et de sondes comme des dépassements de buffers. scans bien plus. Il peut effectuer des analyses de protocole.

Snort est fourni avec certaines règles de base mais cependant. Snort n'est pas infaillible et demande donc une mise à jour régulière. comme tout logiciel. .Snort  Snort pour effectuer ces analyses se fonde sur des règles. Celles-ci sont écrites par Sourcefire ou bien fournies par la communauté.

.conf : Il contient le chemin de la base de donnes des règles qu’on va utilisés. /etc/snort/rules : C’est la base de donnes des regles que snort utilise .Installation Pour installer snort on utilise la commande suivante : Apt-get install snort snort-rules-default Le fichier de configuration : /etc/snort/snort.

d/snort start Pour lancer le snifing sur un interface on lance la commande suivante : root@ubuntu:/etc/snort# Snort –c snort.Lancement du SNORT Pour Lancer Snort on utilise la commande suivante : /etc/init.conf –A console –i (interface) .

conf : .Configuration de Snort On modifier le fichier /etc/snort/snort.

Les règles de Snort        Les règles de snort sont décrites dans un langage qui suit le schéma suivant : l'en-tête de règle qui contient l'action de la règle (la réaction de snort). les options de la règle(entre parenthèse) qui contiennent le message d'alerte. les conditions qui déterminent l'envoi de l'alerte en fonction du paquet inspecté. . les adresses IP source et destination et leur masque. le protocole qui est utilisé pour la transmission des données (snort en considère trois: TCP. les ports source et destination sur lesquels il faudra vérifier les paquets. UDP et ICMP).

Les règles de Snort Les regles par defaut de Snort sont stocke dans le fichier /etc/snort/rules : .

.Les règles de Snort On peut télécharger les nouvelles règles de Snort à partir du site emergingthreats on suit les etapes suivantes : 1) On lance la commande suivante : sudo oinkmaster -o /etc/snort/rules Oinkmaster va alors se charger de télécharger les règles depuis le site emergingthreats vers /etc/snort/rules.

conf echo "#EmergingThreats.Les règles de Snort 2) Lancez la commande: crontab -e et on ajouter la ligne suivante : 55 13 * * 6 /usr/sbin/oinkmaster -o /etc/snort/rules 3) on exécute la commande suivante pour ajouter ldes liens vers les nouvelles regles dans le fichiers snort.conf .net Rules" >> /etc/snort/snort.

Les règles de Snort .

Les règles de Snort  On peut créer nos propres règles  Exemple : .

Les commandes de Snort  Pour lire et afficher les paquet TCP/IP circulant sur le reseau on utilise la commande : snort –v .

Les commandes de Snort  Pour executer et afficher les entetes des paquets on utilise la commande : snort –vd .

com) .Test Machine linux qui contient Snort et la regles de detection de connexion google Lancer une alerte sur snort Machine normale (lancer www.googl e.

Sign up to vote on this title
UsefulNot useful