SNORT

Ralis par : Bachar Ahmed EZ-ZAROUALY Ahlam

Introduction :
Devant la complexit croissante des rseaux qui a devenu de plus en plus gi-gantesque et tendue, on se trouvera devant le dfi de se contribuer la re-cherche des solutions rpondant la question suivante : Comment protger mon rseau contre les pirates et les malware ? Dans le cadre de cette prsentation, nous nous intrssons concevoir et implmenter un systme de dtection d'Intrusion :

IDS : Systme de Dtection dIntrusions

Les systmes de dtection dintrusion ou IDS (Intrusion Detection System)sont indispensables pour la scurit du rseau, ils permettent (comme leurnom lindique) de dtecter les tentatives dintrusions, et ceci en se basant sur une base de signatures des diffrentes attaques connues, donc leur fonctionnement est semblable celui des anti-virus

IDS:Systme de Dtection dIntrusions

Principalement, nous distinguons trois grandes familles distinctes dIDS : NIDS: forms par les dtecteurs dintrusion rseau, ces derniers observentet analysent le trafic rseau, cherchent des indicateurs dattaques etenvoient des alertes. HIDS: form par les dtecteurs dintrusion bas s sur lh te, ces derniers analysent et contr lent uniquement lactivit et les informations de lh te sur lequel est install le HIDS et assurent ainsi seulement l a s curit de lh te en question.

IDS:Systme de Dtection dIntrusions

IDS hybrides: qui utilisent les NIDS et HIDS pour avoir des alertes plus pertinentes. Exemple dIDS : SNORT

Snort :

Snort : systme de dtection dintrusion libre publi sous licence GNU GPL. lorigine crit par Martin Roesch, il appartient actuellement Sourcere.

Snort

Snort est capable d'effectuer en temps rel des analyses de trafic et de logger les paquets sur un rseau IP. Il peut effectuer des analyses de protocole, recherche/correspondance de contenu et peut tre utilis pour dtecter une grande varit d'attaques et de sondes comme des dpassements de buffers, scans bien plus.

Snort

Snort pour effectuer ces analyses se fonde sur des rgles. Celles-ci sont crites par Sourcefire ou bien fournies par la communaut. Snort est fourni avec certaines rgles de base mais cependant, comme tout logiciel, Snort n'est pas infaillible et demande donc une mise jour rgulire.

Installation
Pour installer snort on utilise la commande suivante : Apt-get install snort snort-rules-default Le fichier de configuration : /etc/snort/snort.conf : Il contient le chemin de la base de donnes des rgles quon va utiliss. /etc/snort/rules : Cest la base de donnes des regles que snort utilise .

Lancement du SNORT
Pour Lancer Snort on utilise la commande suivante : /etc/init.d/snort start Pour lancer le snifing sur un interface on lance la commande suivante : root@ubuntu:/etc/snort# Snort c snort.conf A console i (interface)

Configuration de Snort
On modifier le fichier /etc/snort/snort.conf :

Les rgles de Snort

Les rgles de snort sont dcrites dans un langage qui suit le schma suivant : l'en-tte de rgle qui contient l'action de la rgle (la raction de snort); le protocole qui est utilis pour la transmission des donnes (snort en considre trois: TCP, UDP et ICMP); les adresses IP source et destination et leur masque; les ports source et destination sur lesquels il faudra vrifier les paquets. les options de la rgle(entre parenthse) qui contiennent le message d'alerte; les conditions qui dterminent l'envoi de l'alerte en fonction du paquet inspect.

Les rgles de Snort

Les regles par defaut de Snort sont stocke dans le fichier /etc/snort/rules :

Les rgles de Snort

On peut tlcharger les nouvelles rgles de Snort partir du site emergingthreats on suit les etapes suivantes : 1) On lance la commande suivante :

sudo oinkmaster -o /etc/snort/rules

Oinkmaster va alors se charger de tlcharger les rgles depuis le site emergingthreats vers /etc/snort/rules.

Les rgles de Snort

2) Lancez la commande: crontab -e et on ajouter la ligne suivante :

55 13 * * 6 /usr/sbin/oinkmaster -o /etc/snort/rules
3) on excute la commande suivante pour ajouter ldes liens vers les nouvelles regles dans le fichiers snort.conf

echo "#EmergingThreats.net Rules" >> /etc/snort/snort.conf

Les rgles de Snort

Les rgles de Snort

On peut crer nos propres rgles Exemple :

Les commandes de Snort

Pour lire et afficher les paquet TCP/IP circulant sur le reseau on utilise la commande : snort v

Les commandes de Snort

Pour executer et afficher les entetes des paquets on utilise la commande : snort vd

Test

Machine linux qui contient Snort et la regles de detection de connexion google

Lancer une alerte sur snort

Machine normale (lancer www.googl e.com)