Vous êtes sur la page 1sur 5

Les avantages de SNORT :

SNORT est un logiciel libre (Open Source) et il est mis jour


rgulirement sous la limite de GNU.

SNORT adapte bien plusieurs exploitations du systme (Windows,


Linux, FreeBSD, Solaris).

Un outil pour analyser les attaques, le trafic sur le rseau.

On peut dfinir des signatures pour dtecter des tentatives, le trafic


du rseau.

Il est disponible une ensemble des rgles dfinies par plusieurs organisations
et par plusieurs personnes.

Toutes donnes sont sauvegardes dans la base de donnes (MYSQL,


ORACLE, POSTGRESQL)

Les inconvnients de SNORT :

En fait, Cest pas facile pour manipuler SNORT par ce quil y a beaucoup de
commandes pour excuter. Cest ainsi quon a ajout les autres outils pour faciliter
grer. Alors les tapes dinstallation sont compliques.

Les fonctionnalits de SNORT :

SNORT emploie une langue flexible de rgles pour dcrire le trafic qu'elle devrait se
rassembler ou passer, aussi bien qu'un moteur de dtection qui utilise une
architecture plug-in modulaire. SNORT a des possibilits en temps rel d'alerter aussi
bien, incorporant alertant des mcanismes pour le systme dvnement, un dossier
indiqu par utilisateur, un socket de Unix, ou des messages de WinPopup aux clients
de Windows en utilisant la smbclient.
SNORT a trois utilisations primaires. Il peut tre employ en tant qu'un renifleur de
paquet comme tcpdump(1), un enregistreur de paquet (utile pour le trafic de rseau
corrigeant, etc), ou comme plein systme souffl de dtection d'intrusion de
rseau.

Les outils de SNORT :

a) Snort report

Fonctionne avec MYSQL et POSTGRESQL.

Utiliser la bibliothque Jpgraph pour dessiner la charte

Visualiser une charte ronde (TCP, UDP, ICMP, Portscan) dans le snort.

Afficher les dernires alertes (timeframe) Ou des alertes hebdomadaires


(daily)

Le rapport indique les liens des sites webs pour exprimer des alertes.

b) Snort-Rep

Snort-rep est un outil rapporter le snort par deux formats (texte et


HTML). Chaque rapport contient :

Rsum le balayage de port (port-scan)

Rsum les alertes par ID

Rsum les alertes par host loign et ID

Rsum les alertes par host local et ID

Rsum les alertes par port local et ID

c) Acid
ACID est un moteur danalyse de base de PHP pour chercher et traiter une base
de donnes des incidents de scurit qui sont gnrs par le logiciel de la
scurit comme IDS.
Pourtant, nous pouvons considrer ACID comme un outil exportant les
rapports parce quil affiche les statiques des alertes comme les graphes et les
chartes.
Pourqoui le choix de linstallation de snort en mode ligne :

Nous avons choisit de dcrire l'installation et la configuration de snort en mode ligne de


commandes pour deux raisons :
i) Pour scuriser un systme il faut le faire ds le dbut et l'installation d'une
interface graphique sur un systme qui servira uniquement de dtecteur

d'intrusions ne peut que le rendre plus vulnrable aux attaques, en lui ajoutant
les failles des paquetages graphiques X.
ii) Il y a plusieurs distributions Linux sur le march, chacune avec une interface
graphique personnalise et surtout des outils d'administration et de manipulation des
paquetages diffrents et qui ne cessent d'tre amliors, donc Modifis, au cours des
diffrentes versions. La ligne de commande est toujours la mme et invariable.

Inclusions de fichiers :

La dernire directive utilise dans un fichier snort.conf est include. Elle


permet comme son nom lindique dinclure le contenu de fichiers prsents
sur le disque du systme qui excute Snort.
Syntaxe :

include: <rpertoire/nom du fichier include>


Notez qu'il n'y a pas de point-virgule la fin de la ligne. Les fichiers inclus substitueront
toute valeur de variable prdfinie dans le fichier de rgles de Snort.

Exemple de fichiers que jai inclus dans mon fichier Snort :


(donner des exemple rel :
Inlude $RULE_PATH / .Rules

Le fichier de configuration de Snort :


Snort utilise un fichier de configuration au dmarrage, une simple configuration
de fichier snort.conf est ajoute dans la distribution SNORT. On peut utiliser

nimporte quel nom pour ce fichier de configuration, mais le nom conventionnel


est SNORT.CONF.
Ce fichier contient six sections de base :

Dfinition des variables, o on dfinit les diffrentes variables qui sont


utiliss dans les rgles de Snort ainsi que pour d'autres fins.

configuration des paramtres.

Configuration de Prprocesseur

Configuration des modules de sorties.

Dfinition de nouveaux types daction

Configuration des rgles et inclusions des fichiers.

Les variables :
var HOME_NET 192.168.1.0/24

Ou une liste des rseaux :


var HOME_NET [192.168.1.0/24,192.168.10.0/24]
nom dinterface :
varHOME_NET$eth0_ADDRESS

varEXTERNAL_NET$eth1_ADDRESS
...

Mode dEnregistrement des donnes de snort en format texte:


On peut enregistrer les donnes de snort en mode texte en ajoutant -l
<nom_dosier> dans une commande.
snortdevl/var/log/snort:cette commande permet de stocker tous les
donnes capturer par snort dans le dossier/var/log/snort

Pouraccderaufichier,onutiliselescommandessuivantes:
Cd/var/log/snort
Capturedcran

Leafpad
Vi
Wireshark
capture dcran

Mode de dtection dintrusion (NIDS):

Le mode dtecteur dintrusion rseau (NIDS) : dans ce mode,


SNORT analyse le trafic du rseau, compare ce trafic des
rgles dj dfinies par lutilisateur et tabli des actions
executer

snortc/opt/snort/etc/snort.conf
Lorsquon dmarre cette commande, Snort va lire le fichier de configuration
/ opt / snort / etc / snort.conf et tous les autres fichiers inclus dans ce fichier.
Aussi dans ce cas on peut stocker les paquets capturs par snort en ajoutant
dautres options.

snortdevl/var/log/snortc/etc/snort/snort.conf
cette commande va enregistrer les donnes dans le dossier /var/log/snort
et les afficher aussi dans la console :
capture.