Documente Academic
Documente Profesional
Documente Cultură
Introduction :
Devant la complexit croissante des rseaux qui a devenu de plus en plus gi-gantesque et tendue, on se trouvera devant le dfi de se contribuer la re-cherche des solutions rpondant la question suivante : Comment protger mon rseau contre les pirates et les malware ? Dans le cadre de cette prsentation, nous nous intrssons concevoir et implmenter un systme de dtection d'Intrusion :
Snort :
Snort : systme de dtection dintrusion libre publi sous licence GNU GPL. lorigine crit par Martin Roesch, il appartient actuellement Sourcere.
Snort
Snort est capable d'effectuer en temps rel des analyses de trafic et de logger les paquets sur un rseau IP. Il peut effectuer des analyses de protocole, recherche/correspondance de contenu et peut tre utilis pour dtecter une grande varit d'attaques et de sondes comme des dpassements de buffers, scans bien plus.
Snort
Snort pour effectuer ces analyses se fonde sur des rgles. Celles-ci sont crites par Sourcefire ou bien fournies par la communaut. Snort est fourni avec certaines rgles de base mais cependant, comme tout logiciel, Snort n'est pas infaillible et demande donc une mise jour rgulire.
Installation
Pour installer snort on utilise la commande suivante : Apt-get install snort snort-rules-default Le fichier de configuration : /etc/snort/snort.conf : Il contient le chemin de la base de donnes des rgles quon va utiliss. /etc/snort/rules : Cest la base de donnes des regles que snort utilise .
Lancement du SNORT
Pour Lancer Snort on utilise la commande suivante : /etc/init.d/snort start Pour lancer le snifing sur un interface on lance la commande suivante : root@ubuntu:/etc/snort# Snort c snort.conf A console i (interface)
Configuration de Snort
On modifier le fichier /etc/snort/snort.conf :
Les rgles de snort sont dcrites dans un langage qui suit le schma suivant : l'en-tte de rgle qui contient l'action de la rgle (la raction de snort); le protocole qui est utilis pour la transmission des donnes (snort en considre trois: TCP, UDP et ICMP); les adresses IP source et destination et leur masque; les ports source et destination sur lesquels il faudra vrifier les paquets. les options de la rgle(entre parenthse) qui contiennent le message d'alerte; les conditions qui dterminent l'envoi de l'alerte en fonction du paquet inspect.
55 13 * * 6 /usr/sbin/oinkmaster -o /etc/snort/rules
3) on excute la commande suivante pour ajouter ldes liens vers les nouvelles regles dans le fichiers snort.conf
Pour lire et afficher les paquet TCP/IP circulant sur le reseau on utilise la commande : snort v
Pour executer et afficher les entetes des paquets on utilise la commande : snort vd
Test