Académique Documents
Professionnel Documents
Culture Documents
Howto Snort - Mysql - Base - Nessus
Howto Snort - Mysql - Base - Nessus
Auteurs : Armel LOSBAR - armel.losbar@free.fr Fabien DESBRUERES - fabien.desbrueres@netys.org Pascal DUPEYRE - pascal.dupeyre@netasr.net Sylvain GARCIA - sylvain.garcia@isynet.org Cours : Scurit des Rseaux M Marc ROZENBERG MASTER 2 ASR 2006-2007 Universit d'Evry Val d'Essonne
Copyright Armel LOSBAR - Fabien DESBRUERES - Pascal DUPEYRE - Sylvain GARCIA - Dcembre 2006 1/9
1 PLATEFORME DE TEST
Windows 2000 Server SNORT SP4 Linux Debian 2.4 Windows XP SP2 NESSUS Client audit
Apache, MySQL, PHP, 192.168.1.60 BASE 192.168.1.61 Apache, MySQL, PHP, 192.168.1.62 Emule, Skype
Copyright Armel LOSBAR - Fabien DESBRUERES - Pascal DUPEYRE - Sylvain GARCIA - Dcembre 2006 2/9
var HOME_NET any Nous lavons remplac par : var HOME_NET 192.168.1.0/24 Avec cette ligne la sonde va couter entirement le rseau 192.168.1.0. Section Rules settings Snort peut dtecter des attaques et nous alerter quand lune dentre elle surgit, cependant pour savoir que faire en cas dattaque, il doit savoir o se trouvent les rgles sur le systme de fichier. Pour ce faire, il faut modifier le fichier de configuration et remplacer la ligne suivante : Var RULE_PATH SnortPath\rules O Snortpath correspond lemplacement du rpertoire dinstallation de Snort savoir pour nous C:\Snort. La ligne ajouter sera donc : Var RULE_PATH C:\Snort\rules
Section Output settings Cette section, est trs importante, car elle permet de dfinir comment Snort nous restituera linformation. Dans cette section, il y a deux sous sections importantes, savoir : - alert outputs - database output On sest intress la deuxime sous section car on souhaite gnrer les logs et les crire dans une base de donnes MySql. Pour ce faire, il faut modifier la ligne suivante : # output database: log, mysql, user=root password=test dbname=db host=localhost Et la remplacer par: output database: log, mysql, user=snort password=snort dbname=snort host=127.0.0.1 port=3306 sensor_name=sensor_lea Remarque: Dans cette ligne on prcise lemplacement de la base de donnes mysql (la machine mme) ainsi que son port dcoute, lutilisateur autoris crire dans la BD, ainsi que le nom de la sonde pour lidentifier. Ce nom est trs important dans le cas ou lon dispose de plusieurs sondes. Section Include settings Il y a deux fichiers standard de configuration qui doivent tre rfrencs pour snort pour classifier correctement les attaques et fournir les alertes de rfrences quil gnre.
Copyright Armel LOSBAR - Fabien DESBRUERES - Pascal DUPEYRE - Sylvain GARCIA - Dcembre 2006 4/9
Ces fichiers sont les suivants : - classification.config - reference.config Fichier classification.config Pour modifier le classification.config dans le fichier snort.conf il faut faire comme suit : 1- Trouver cette ligne : Include classification.config 2- Insrer le chemin actuel du fichier classification.config la place de ligne prcdente : include Snortpath\etc\classification.config Dans notre configuration, cela quivaut : include C:\snort\etc\classification.config Fichier reference.config Il faut ensuite faire la mme chose pour pour le deuxime fichier reference.config. 1- Trouver cette ligne : Include reference.config 2- Insrer le chemin actuel du fichier reference.config la place de ligne prcdente : include Snortpath\etc\reference.config Dans notre configuration, cela quivaut : include C:\snort\etc\reference.config Il faut maintenant sauvegarder le fichier et tester SNORT. 3.1.4 FONCTIONNEMENT DE SNORT.
Dans une console dos, il faut se placer dans le dossier Snort\bin ou se trouve lexcutable de snort pour le lancer. La commande : snort -W permet de voir si winpcap est correctement install et si snort fonctionne correctement car elle doit nous afficher une liste exhaustive des interfaces sur lesquelles on peut sniffer le rseau.
Copyright Armel LOSBAR - Fabien DESBRUERES - Pascal DUPEYRE - Sylvain GARCIA - Dcembre 2006 5/9
Ensuite pour lancer Snort sur une des interfaces listes, il faut lancer la commande : snort -v ix Cela va lancer snort dans un mode verbeux (-v) sur une interface spcifiques (-ix). Le x spcifie linterface sur laquelle on souhaite sniffer le rseau. Voici un exemple de capture :
snort -ix -c c:\snort\etc\snort.conf -K ascii Cela va lancer la capture et enregistrer les logs dans notre base de donnes MySQL. On remarquera le format choisi pour l'enregistrement des logs : ascii. 3.1.5 CRATION DE LA BASE DE DONNES MYSQL Tout se passe par la console d'administration phpmyadmin http://localhost/phpmyadmin. Cration de la base de donnes snort :
Copyright Armel LOSBAR - Fabien DESBRUERES - Pascal DUPEYRE - Sylvain GARCIA - Dcembre 2006 6/9
Importation du script de cration des tables MySQL fournit par SNORT disponible dans c:\snort\schemas\create_mysql :
Copyright Armel LOSBAR - Fabien DESBRUERES - Pascal DUPEYRE - Sylvain GARCIA - Dcembre 2006 7/9
Cration d'un utilisateur nomm snort , avec comme password snort , pour la table snort ayant les droits de cration , d'insertion, de slection, de suppression et de modification: grant CREATE, INSERT, SELECT, DELETE, UPDATE on snort.* to snort@localhost; set password for snort@localhost = password(snort); A partir de ce moment votre base de donnes est configure et utilisable par SNORT. 3.1.6 CONFIGURATION DE BASE BASE est un ensemble de script PHP capable d'analyser et synthtiser les alertes remontes par SNORT au sein d'une base SQL. Il est disponible l'adresse http://sourceforge.net/projects/secureideas Pour l'installer il suffit de placer le dossier tlcharg dans votre rpertoire www d'Apache. Ensuite il suffit d'y accder depuis votre navigateur Internet et de vous laissez guider dans les tapes de configuration. Pour la gnration de graphique il est indispensable que la librairie gd2 soit charge au sein de PHP. Pour l'activer, il faut diter votre fichier php.ini et dcommenter la ligne extension=php_gd2.dll . Interface de gestion :
Copyright Armel LOSBAR - Fabien DESBRUERES - Pascal DUPEYRE - Sylvain GARCIA - Dcembre 2006 8/9
Copyright Armel LOSBAR - Fabien DESBRUERES - Pascal DUPEYRE - Sylvain GARCIA - Dcembre 2006 9/9