SNORT est un logiciel libre (Open Source) et il est mis jour
rgulirement sous la limite de GNU.
SNORT adapte bien plusieurs exploitations du systme (Windows,
Linux, FreeBSD, Solaris).
Un outil pour analyser les attaques, le trafic sur le rseau.
On peut dfinir des signatures pour dtecter des tentatives, le trafic
du rseau.
Il est disponible une ensemble des rgles dfinies par plusieurs organisations et par plusieurs personnes.
Toutes donnes sont sauvegardes dans la base de donnes (MYSQL,
ORACLE, POSTGRESQL)
Les inconvnients de SNORT :
En fait, Cest pas facile pour manipuler SNORT par ce quil y a beaucoup de commandes pour excuter. Cest ainsi quon a ajout les autres outils pour faciliter grer. Alors les tapes dinstallation sont compliques.
Les fonctionnalits de SNORT :
SNORT emploie une langue flexible de rgles pour dcrire le trafic qu'elle devrait se rassembler ou passer, aussi bien qu'un moteur de dtection qui utilise une architecture plug-in modulaire. SNORT a des possibilits en temps rel d'alerter aussi bien, incorporant alertant des mcanismes pour le systme dvnement, un dossier indiqu par utilisateur, un socket de Unix, ou des messages de WinPopup aux clients de Windows en utilisant la smbclient. SNORT a trois utilisations primaires. Il peut tre employ en tant qu'un renifleur de paquet comme tcpdump(1), un enregistreur de paquet (utile pour le trafic de rseau corrigeant, etc), ou comme plein systme souffl de dtection d'intrusion de rseau.
Les outils de SNORT :
a) Snort report
Fonctionne avec MYSQL et POSTGRESQL.
Utiliser la bibliothque Jpgraph pour dessiner la charte
Visualiser une charte ronde (TCP, UDP, ICMP, Portscan) dans le snort.
Afficher les dernires alertes (timeframe) Ou des alertes hebdomadaires
(daily)
Le rapport indique les liens des sites webs pour exprimer des alertes.
b) Snort-Rep
Snort-rep est un outil rapporter le snort par deux formats (texte et
HTML). Chaque rapport contient :
Rsum le balayage de port (port-scan)
Rsum les alertes par ID
Rsum les alertes par host loign et ID
Rsum les alertes par host local et ID
Rsum les alertes par port local et ID
c) Acid ACID est un moteur danalyse de base de PHP pour chercher et traiter une base de donnes des incidents de scurit qui sont gnrs par le logiciel de la scurit comme IDS. Pourtant, nous pouvons considrer ACID comme un outil exportant les rapports parce quil affiche les statiques des alertes comme les graphes et les chartes. Pourqoui le choix de linstallation de snort en mode ligne :
Nous avons choisit de dcrire l'installation et la configuration de snort en mode ligne de
commandes pour deux raisons : i) Pour scuriser un systme il faut le faire ds le dbut et l'installation d'une interface graphique sur un systme qui servira uniquement de dtecteur
d'intrusions ne peut que le rendre plus vulnrable aux attaques, en lui ajoutant les failles des paquetages graphiques X. ii) Il y a plusieurs distributions Linux sur le march, chacune avec une interface graphique personnalise et surtout des outils d'administration et de manipulation des paquetages diffrents et qui ne cessent d'tre amliors, donc Modifis, au cours des diffrentes versions. La ligne de commande est toujours la mme et invariable.
Inclusions de fichiers :
La dernire directive utilise dans un fichier snort.conf est include. Elle
permet comme son nom lindique dinclure le contenu de fichiers prsents sur le disque du systme qui excute Snort. Syntaxe :
include: <rpertoire/nom du fichier include>
Notez qu'il n'y a pas de point-virgule la fin de la ligne. Les fichiers inclus substitueront toute valeur de variable prdfinie dans le fichier de rgles de Snort.
Exemple de fichiers que jai inclus dans mon fichier Snort :
(donner des exemple rel : Inlude $RULE_PATH / .Rules
Le fichier de configuration de Snort :
Snort utilise un fichier de configuration au dmarrage, une simple configuration de fichier snort.conf est ajoute dans la distribution SNORT. On peut utiliser
nimporte quel nom pour ce fichier de configuration, mais le nom conventionnel
est SNORT.CONF. Ce fichier contient six sections de base :
Dfinition des variables, o on dfinit les diffrentes variables qui sont
utiliss dans les rgles de Snort ainsi que pour d'autres fins.
configuration des paramtres.
Configuration de Prprocesseur
Configuration des modules de sorties.
Dfinition de nouveaux types daction
Configuration des rgles et inclusions des fichiers.
Les variables : var HOME_NET 192.168.1.0/24
Ou une liste des rseaux :
var HOME_NET [192.168.1.0/24,192.168.10.0/24] nom dinterface : varHOME_NET$eth0_ADDRESS
varEXTERNAL_NET$eth1_ADDRESS ...
Mode dEnregistrement des donnes de snort en format texte:
On peut enregistrer les donnes de snort en mode texte en ajoutant -l <nom_dosier> dans une commande. snortdevl/var/log/snort:cette commande permet de stocker tous les donnes capturer par snort dans le dossier/var/log/snort
Le mode dtecteur dintrusion rseau (NIDS) : dans ce mode,
SNORT analyse le trafic du rseau, compare ce trafic des rgles dj dfinies par lutilisateur et tabli des actions executer
snortc/opt/snort/etc/snort.conf Lorsquon dmarre cette commande, Snort va lire le fichier de configuration / opt / snort / etc / snort.conf et tous les autres fichiers inclus dans ce fichier. Aussi dans ce cas on peut stocker les paquets capturs par snort en ajoutant dautres options.
snortdevl/var/log/snortc/etc/snort/snort.conf cette commande va enregistrer les donnes dans le dossier /var/log/snort et les afficher aussi dans la console : capture.
