Guide d'installation d'une architecture SNORT / MYSQL / BASE / NESSUS

Auteurs : Armel LOSBAR - armel.losbar@free.fr Fabien DESBRUERES - fabien.desbrueres@netys.org Pascal DUPEYRE - pascal.dupeyre@netasr.net Sylvain GARCIA - sylvain.garcia@isynet.org Cours : Scurit des Rseaux M Marc ROZENBERG MASTER 2 ASR 2006-2007 Universit d'Evry Val d'Essonne

Copyright Armel LOSBAR - Fabien DESBRUERES - Pascal DUPEYRE - Sylvain GARCIA - Dcembre 2006 1/9

1 PLATEFORME DE TEST

2 DESCRIPTION DES STATIONS

TYPE FONCTION SERVICES ADRESSE IP

Windows 2000 Server SNORT SP4 Linux Debian 2.4 Windows XP SP2 NESSUS Client audit

Apache, MySQL, PHP, 192.168.1.60 BASE 192.168.1.61 Apache, MySQL, PHP, 192.168.1.62 Emule, Skype

Copyright Armel LOSBAR - Fabien DESBRUERES - Pascal DUPEYRE - Sylvain GARCIA - Dcembre 2006 2/9

3 PRPARATION DES STATIONS

3.1 STATION WINDOWS 2000 SERVER
3.1.1 INSTALLATION DE WAMP5 Installation du serveur WAMP5 1.6.6. Il intgre les serveurs Apache 2.0.59, MySQL 5.0.24a, PHP phpmyadmin 2.8.2.4 pour Windows. Ce serveur est tlchargeable a l'adresse http://www.wampserver.com/. Les serveurs Apache et MySQL seront utiliss afin de centraliser les logs gnrs par SNORT dans une base de donnes MySQL. Ces logs seront ensuite analyss par le biais de BASE (Basic Analysis and Security Engine) BASE est un ensemble de script PHP capable d'analyser et synthtiser les alertes remontes par SNORT au sein d'une base SQL. BASE supporte les bases SQL MySQL, PostgreSQL et MSSQL. Grce ses scripts il est possible d'effectuer des recherches sur les alertes, mais aussi de les visualiser par type d'alertes, par protocole, par date et heure, et de gnrer des graphiques. 3.1.2 INSTALLATION DE WINPCAP 3.1 WinPcap est une API utilise pour la capture des paquets. Il est ncessaire de l'installer pour l'utilisation de SNORT. WinPcap est disponible l'adresse http://www.winpcap.org/. 3.1.3 INSTALLATION DE SNORT SNORT est disponible l'adresse http://www.snort.org. Pour configurer Snort il faut diter le fichier Snortpath\etc\snort.conf o Snortpath correspond au rpertoire dinstallation du logiciel. Dans notre configuration le chemin est le suivant : C:\Snort\etc\snort.conf Dans ce fichier nous allons nous intresser quatre sections : - Network settings - Rules settings - Output settings - Include settings Section Network settings Cette section nous permet dindiquer Snort les rseaux, les sous rseaux sur lesquels il doit tre lcoute. Il peut notamment surveiller une seule adresse IP ou un groupe dadresse IP associs aux machines sur le rseau. Dans notre rseau 192.168.1.0/24, notre sonde snort sniffe la totalit. Pour ce faire nous avons modifi la ligne du fichier de configuration par dfaut :
Copyright Armel LOSBAR - Fabien DESBRUERES - Pascal DUPEYRE - Sylvain GARCIA - Dcembre 2006 3/9

var HOME_NET any Nous lavons remplac par : var HOME_NET 192.168.1.0/24 Avec cette ligne la sonde va couter entirement le rseau 192.168.1.0. Section Rules settings Snort peut dtecter des attaques et nous alerter quand lune dentre elle surgit, cependant pour savoir que faire en cas dattaque, il doit savoir o se trouvent les rgles sur le systme de fichier. Pour ce faire, il faut modifier le fichier de configuration et remplacer la ligne suivante : Var RULE_PATH SnortPath\rules O Snortpath correspond lemplacement du rpertoire dinstallation de Snort savoir pour nous C:\Snort. La ligne ajouter sera donc : Var RULE_PATH C:\Snort\rules

Section Output settings Cette section, est trs importante, car elle permet de dfinir comment Snort nous restituera linformation. Dans cette section, il y a deux sous sections importantes, savoir : - alert outputs - database output On sest intress la deuxime sous section car on souhaite gnrer les logs et les crire dans une base de donnes MySql. Pour ce faire, il faut modifier la ligne suivante : # output database: log, mysql, user=root password=test dbname=db host=localhost Et la remplacer par: output database: log, mysql, user=snort password=snort dbname=snort host=127.0.0.1 port=3306 sensor_name=sensor_lea Remarque: Dans cette ligne on prcise lemplacement de la base de donnes mysql (la machine mme) ainsi que son port dcoute, lutilisateur autoris crire dans la BD, ainsi que le nom de la sonde pour lidentifier. Ce nom est trs important dans le cas ou lon dispose de plusieurs sondes. Section Include settings Il y a deux fichiers standard de configuration qui doivent tre rfrencs pour snort pour classifier correctement les attaques et fournir les alertes de rfrences quil gnre.
Copyright Armel LOSBAR - Fabien DESBRUERES - Pascal DUPEYRE - Sylvain GARCIA - Dcembre 2006 4/9

Ces fichiers sont les suivants : - classification.config - reference.config Fichier classification.config Pour modifier le classification.config dans le fichier snort.conf il faut faire comme suit : 1- Trouver cette ligne : Include classification.config 2- Insrer le chemin actuel du fichier classification.config la place de ligne prcdente : include Snortpath\etc\classification.config Dans notre configuration, cela quivaut : include C:\snort\etc\classification.config Fichier reference.config Il faut ensuite faire la mme chose pour pour le deuxime fichier reference.config. 1- Trouver cette ligne : Include reference.config 2- Insrer le chemin actuel du fichier reference.config la place de ligne prcdente : include Snortpath\etc\reference.config Dans notre configuration, cela quivaut : include C:\snort\etc\reference.config Il faut maintenant sauvegarder le fichier et tester SNORT. 3.1.4 FONCTIONNEMENT DE SNORT.

Dans une console dos, il faut se placer dans le dossier Snort\bin ou se trouve lexcutable de snort pour le lancer. La commande : snort -W permet de voir si winpcap est correctement install et si snort fonctionne correctement car elle doit nous afficher une liste exhaustive des interfaces sur lesquelles on peut sniffer le rseau.

Copyright Armel LOSBAR - Fabien DESBRUERES - Pascal DUPEYRE - Sylvain GARCIA - Dcembre 2006 5/9

Ensuite pour lancer Snort sur une des interfaces listes, il faut lancer la commande : snort -v ix Cela va lancer snort dans un mode verbeux (-v) sur une interface spcifiques (-ix). Le x spcifie linterface sur laquelle on souhaite sniffer le rseau. Voici un exemple de capture :

snort -ix -c c:\snort\etc\snort.conf -K ascii Cela va lancer la capture et enregistrer les logs dans notre base de donnes MySQL. On remarquera le format choisi pour l'enregistrement des logs : ascii. 3.1.5 CRATION DE LA BASE DE DONNES MYSQL Tout se passe par la console d'administration phpmyadmin http://localhost/phpmyadmin. Cration de la base de donnes snort :

Copyright Armel LOSBAR - Fabien DESBRUERES - Pascal DUPEYRE - Sylvain GARCIA - Dcembre 2006 6/9

Importation du script de cration des tables MySQL fournit par SNORT disponible dans c:\snort\schemas\create_mysql :

Copyright Armel LOSBAR - Fabien DESBRUERES - Pascal DUPEYRE - Sylvain GARCIA - Dcembre 2006 7/9

Cration d'un utilisateur nomm snort , avec comme password snort , pour la table snort ayant les droits de cration , d'insertion, de slection, de suppression et de modification: grant CREATE, INSERT, SELECT, DELETE, UPDATE on snort.* to snort@localhost; set password for snort@localhost = password(snort); A partir de ce moment votre base de donnes est configure et utilisable par SNORT. 3.1.6 CONFIGURATION DE BASE BASE est un ensemble de script PHP capable d'analyser et synthtiser les alertes remontes par SNORT au sein d'une base SQL. Il est disponible l'adresse http://sourceforge.net/projects/secureideas Pour l'installer il suffit de placer le dossier tlcharg dans votre rpertoire www d'Apache. Ensuite il suffit d'y accder depuis votre navigateur Internet et de vous laissez guider dans les tapes de configuration. Pour la gnration de graphique il est indispensable que la librairie gd2 soit charge au sein de PHP. Pour l'activer, il faut diter votre fichier php.ini et dcommenter la ligne extension=php_gd2.dll . Interface de gestion :

Copyright Armel LOSBAR - Fabien DESBRUERES - Pascal DUPEYRE - Sylvain GARCIA - Dcembre 2006 8/9

3.2 STATION LINUX DEBIAN

3.2.1 PRSENTATION DE NESSUS Nessus est un scanner de vulnrabilits. Dans notre architecture nous allons l'utiliser afin de gnrer du trafic d'attaque destination de la machine Windows XP, et ainsi avoir des remontes d'attaques par la machine SNORT. Nessus est disponible l'adresse http://www.nessus.org.

3.3 STATION WINDOWS XP

C'est destination de cette machine que seront lances toutes les attaques. Diffrents services tournent dessus afin d'offrir d'ventuelles failles de scurit. Services disponibles: apache skype emule

Copyright Armel LOSBAR - Fabien DESBRUERES - Pascal DUPEYRE - Sylvain GARCIA - Dcembre 2006 9/9