Académique Documents
Professionnel Documents
Culture Documents
Auteurs :
Armel LOSBAR - armel.losbar@free.fr
Fabien DESBRUERES - fabien.desbrueres@netys.org
Pascal DUPEYRE - pascal.dupeyre@netasr.net
Sylvain GARCIA - sylvain.garcia@isynet.org
Copyright Armel LOSBAR - Fabien DESBRUERES - Pascal DUPEYRE - Sylvain GARCIA - Décembre 2006
1/9
1 PLATEFORME DE TEST
Copyright Armel LOSBAR - Fabien DESBRUERES - Pascal DUPEYRE - Sylvain GARCIA - Décembre 2006
2/9
3 PRÉPARATION DES STATIONS
Installation du serveur WAMP5 1.6.6. Il intègre les serveurs Apache 2.0.59, MySQL 5.0.24a,
PHP phpmyadmin 2.8.2.4 pour Windows. Ce serveur est téléchargeable a l'adresse
http://www.wampserver.com/.
Les serveurs Apache et MySQL seront utilisés afin de centraliser les logs générés par SNORT
dans une base de données MySQL.
Ces logs seront ensuite analysés par le biais de BASE (Basic Analysis and Security Engine)
BASE est un ensemble de script PHP capable d'analyser et synthétiser les alertes remontées
par SNORT au sein d'une base SQL.
BASE supporte les bases SQL MySQL, PostgreSQL et MSSQL. Grâce à ses scripts il est
possible d'effectuer des recherches sur les alertes, mais aussi de les visualiser par type d'alertes,
par protocole, par date et heure, et de générer des graphiques.
WinPcap est une API utilisée pour la capture des paquets. Il est nécessaire de l'installer pour
l'utilisation de SNORT. WinPcap est disponible à l'adresse http://www.winpcap.org/.
Cette section nous permet d’indiquer à Snort les réseaux, les sous réseaux sur lesquels il doit
être à l’écoute. Il peut notamment surveiller une seule adresse IP ou un groupe d’adresse IP
associés aux machines sur le réseau.
Dans notre réseau 192.168.1.0/24, notre sonde snort sniffe la totalité. Pour ce faire nous avons
modifié la ligne du fichier de configuration par défaut :
Copyright Armel LOSBAR - Fabien DESBRUERES - Pascal DUPEYRE - Sylvain GARCIA - Décembre 2006
3/9
var HOME_NET any
Snort peut détecter des attaques et nous alerter quand l’une d’entre elle surgit, cependant pour
savoir que faire en cas d’attaque, il doit savoir où se trouvent les règles sur le système de fichier.
Pour ce faire, il faut modifier le fichier de configuration et remplacer la ligne suivante :
Cette section, est très importante, car elle permet de définir comment Snort nous restituera
l’information.
Dans cette section, il y a deux sous sections importantes, à savoir :
- alert outputs
- database output
On s’est intéressé à la deuxième sous section car on souhaite générer les logs et les écrire
dans une base de données MySql.
Pour ce faire, il faut modifier la ligne suivante :
Et la remplacer par:
Remarque:
Dans cette ligne on précise l’emplacement de la base de données mysql (la machine même)
ainsi que son port d’écoute, l’utilisateur autorisé à écrire dans la BD, ainsi que le nom de la sonde
pour l’identifier. Ce nom est très important dans le cas ou l’on dispose de plusieurs sondes.
Il y a deux fichiers standard de configuration qui doivent être référencés pour snort pour
classifier correctement les attaques et fournir les alertes de références qu’il génère.
Copyright Armel LOSBAR - Fabien DESBRUERES - Pascal DUPEYRE - Sylvain GARCIA - Décembre 2006
4/9
Ces fichiers sont les suivants :
- classification.config
- reference.config
Fichier classification.config
Pour modifier le classification.config dans le fichier snort.conf il faut faire comme suit :
include Snortpath\etc\classification.config
include C:\snort\etc\classification.config
Fichier reference.config
Il faut ensuite faire la même chose pour pour le deuxième fichier reference.config.
1- Trouver cette ligne : Include reference.config
2- Insérer le chemin actuel du fichier reference.config à la place de ligne précédente :
include Snortpath\etc\reference.config
include C:\snort\etc\reference.config
Dans une console dos, il faut se placer dans le dossier Snort\bin ou se trouve l’exécutable de
snort pour le lancer.
La commande : snort -W permet de voir si winpcap est correctement installé et si snort
fonctionne correctement car elle doit nous afficher une liste exhaustive des interfaces sur
lesquelles on peut sniffer le réseau.
Copyright Armel LOSBAR - Fabien DESBRUERES - Pascal DUPEYRE - Sylvain GARCIA - Décembre 2006
5/9
Ensuite pour lancer Snort sur une des interfaces listées, il faut lancer la commande :
snort -v –ix
Cela va lancer snort dans un mode verbeux (-v) sur une interface spécifiques (-ix). Le x spécifie
l’interface sur laquelle on souhaite sniffer le réseau.
Voici un exemple de capture :
Cela va lancer la capture et enregistrer les logs dans notre base de données MySQL.
On remarquera le format choisi pour l'enregistrement des logs : ascii.
Copyright Armel LOSBAR - Fabien DESBRUERES - Pascal DUPEYRE - Sylvain GARCIA - Décembre 2006
6/9
Importation du script de création des tables MySQL fournit par SNORT disponible dans
« c:\snort\schemas\create_mysql »:
Copyright Armel LOSBAR - Fabien DESBRUERES - Pascal DUPEYRE - Sylvain GARCIA - Décembre 2006
7/9
Création d'un utilisateur nommé « snort », avec comme password « snort », pour la table
« snort » ayant les droits de création , d'insertion, de sélection, de suppression et de modification:
A partir de ce moment votre base de données est configurée et utilisable par SNORT.
BASE est un ensemble de script PHP capable d'analyser et synthétiser les alertes remontées
par SNORT au sein d'une base SQL.
Il est disponible à l'adresse http://sourceforge.net/projects/secureideas
Pour l'installer il suffit de placer le dossier téléchargé dans votre répertoire www d'Apache.
Ensuite il suffit d'y accéder depuis votre navigateur Internet et de vous laissez guider dans les
étapes de configuration.
Pour la génération de graphique il est indispensable que la librairie gd2 soit chargée au sein de
PHP. Pour l'activer, il faut éditer votre fichier php.ini et décommenter la ligne
« extension=php_gd2.dll ».
Interface de gestion :
Copyright Armel LOSBAR - Fabien DESBRUERES - Pascal DUPEYRE - Sylvain GARCIA - Décembre 2006
8/9
3.2 STATION LINUX DEBIAN
Nessus est un scanner de vulnérabilités. Dans notre architecture nous allons l'utiliser afin de
générer du trafic d'attaque à destination de la machine Windows XP, et ainsi avoir des remontées
d'attaques par la machine SNORT. Nessus est disponible à l'adresse http://www.nessus.org.
C'est à destination de cette machine que seront lancées toutes les attaques.
Différents services tournent dessus afin d'offrir d'éventuelles failles de sécurité.
Services disponibles:
● apache
● skype
● emule
Copyright Armel LOSBAR - Fabien DESBRUERES - Pascal DUPEYRE - Sylvain GARCIA - Décembre 2006
9/9