Vous êtes sur la page 1sur 65

ETUDE ET MISE EN PLACE D’UN SYSTEME DE DETECTION D’INTRUSION AVEC SNORT

DEDICACE

DEDICACE

REMERCIEMENTS

TABLE DES
MATIERESREMERCIEMENTSDEDICACE

DEDICACE
A
REMERCIEMENTS
Mes très Chers Parents
TABLE DES MATIERESREMERCIEMENTS

TABLE DES MATIERES

LISTE DES ABREVIATIONSTABLE DES


MATIERESREMERCIEMENTS

TABLE DES
MATIERESREMERCIEMENTSDEDICACE

DEDICACE

Rédigé et présenté Par : AGUEKENG Clorine


REMERCIEMENTS I
ETUDE ET MISE EN PLACE D’UN SYSTEME DE DETECTION D’INTRUSION AVEC SNORT

REMERCIEMENTS

Ce travail est l’aboutissement d’une somme d’efforts, d’encouragements et d’un soutien


TABLE DES MATIERESREMERCIEMENTS
permanent de ceux qui de près et de loin y ont contribué. Nous remercions ainsi :

 L’Eternel DIEU Tout puissant qui ne cesse de nous combler de grâce, nous donne
TABLE DES MATIERES
l’esprit de discernement, nous protège tous les jours et pour nous avoir guidés dans la
réalisation de ce rapport ;

LISTE DES ABREVIATIONSTABLE DES


 M. Le Directeur d’ISESTMA pour nous avoir acceptés dans son institut et nous offrir
ce stage académique ;
MATIERESREMERCIEMENTS
 Monsieur KOUTANG Thierry, Directeur Général d’INFOGENIE
TECHNOLOGIES, ainsi qu’à tout son personnel ;
TABLE DES MATIERESREMERCIEMENTS
 M. TEMDEMNOU NGUE OTTO Simphorin, son encadrement, sa disponibilité et
son dévouement durant la rédaction et l’implémentation de ma solution proposée ;
 M. NKUETE TAGO Brilland pour ses enseignements et son suivi indispensable pour
TABLE DES MATIERES
l’élaboration de ce projet ;
 Le personnel et le corps enseignant de l’Institut Supérieur d’Etudes Scientifiques

LISTE DESet Managériales


Technologiques pour l’effort fourni pour le progrèsDES
ABREVIATIONSTABLE de la jeunesse
estudiantine, plus particulièrement nos enseignants pour tous ce qu’ils nous ont appris ;
MATIERES
 Monsieur et Madame TINDO pour leurs soutiens inconditionnels ;
 Mon papa M. NGOUANA Marcel et Ma maman Mme. MAFOPA Ether pour leurs
LISTE DES
amours et leurs ABREVIATIONSTABLE
soutiens inconditionnels ; DES
 Mon camarade NOUBISSI NEGUEM Wilfried pour son soutien inconditionnel et sa
MATIERES
contribution tout le long du stage ;
 Ma famille en guise de reconnaissances consentis. Puissiez-vous trouver ici
LISTE
l’expressionDES
de notreABREVIATIONSTABLE
profonde gratitude, que le travail soit autant DES
une source de

MATIERESREMERCIEMENTS
satisfaction que de joie, nous ferons toujours tout pour que vous soyez fiers de nous ;

A tous ceux que nous avons oublié de citer, qu’ils trouvent ici l’expression de notre profonde
reconnaissance.
TABLE DES MATIERESREMERCIEMENTS

TABLE DES MATIERES


Rédigé et présenté Par : AGUEKENG Clorine II

LISTE DES ABREVIATIONSTABLE DES


ETUDE ET MISE EN PLACE D’UN SYSTEME DE DETECTION D’INTRUSION AVEC SNORT

TABLE DES MATIERES

LISTE DES ABREVIATIONSTABLE DES


MATIERES
DEDICACE ................................................................................................................................. i

REMERCIEMENTS .................................................................................................................. ii

TABLE DES MATIERES ......................................................................................................... ii


LISTE DES ABREVIATIONSTABLE DES
LISTE DES ABREVIATIONS ................................................................................................. vi
MATIERES
LISTE DES TABLEAUX ....................................................................................................... viii

LISTE DES FIGURES .............................................................................................................. ix


LISTE DES ABREVIATIONSTABLE DES
AVANT-PROPOS ................................................................................................................... xii
MATIERES
RESUME .................................................................................................................................. xii

ABSTRACT ............................................................................................................................ xiii


LISTE DES ABREVIATIONSTABLE DES
INTRODUCTION GENERALE ................................................................................................ 1
MATIERES
CHAPITRE I : PRESENTATION DE LA STRUCTURE D’ACCUEIL.................................. 2

Introduction ............................................................................................................................ 3
LISTE DES ABREVIATIONSTABLE DES
I.1. Présentation d’INFOGENIE TECHNOLOGIES ............................................................. 3
MATIERES
I.1.1. Présentation Géographique ........................................................................................ 3

I.1.2. Présentation Administrative....................................................................................... 4


LISTE DES ABREVIATIONSTABLE DES
I.2. L’informatique dans INFOGENIE TECHNOLOGIES ................................................... 5
MATIERES
I.2.1. Présentation du département technique ..................................................................... 5

I.2.2. Architecture réseau d’INFOGENIE TECHNOLOGIES ........................................... 7

LISTE DES ABREVIATIONSTABLE DES


I.3. Déroulement du stage ....................................................................................................... 7

MATIERES
I.3.1. Taches effectuées ....................................................................................................... 7

I.3.2 Problème ..................................................................................................................... 8

LISTE DES ABREVIATIONSTABLE DES


I.3.3. Objectifs..................................................................................................................... 9

MATIERES
Rédigé et présenté Par : AGUEKENG Clorine III

LISTE DES ABREVIATIONSTABLE DES


ETUDE ET MISE EN PLACE D’UN SYSTEME DE DETECTION D’INTRUSION AVEC SNORT

Conclusion .............................................................................................................................. 9

CHAPITRE II : GENERALITES SUR LES RESEAUX ET LA SECURITE


INFORMATIQUE ................................................................................................................... 10

Introduction .......................................................................................................................... 11

II.1. Les réseaux informatiques ............................................................................................ 11

II.1.1. La norme OSI ......................................................................................................... 11

II.1.2. Le protocole TCP/IP ............................................................................................... 13

II.2. La sécurité informatique ............................................................................................... 15

II.2.1. Étude des risques .................................................................................................... 15

II.2.2. Différents aspects de la sécurité informatique ....................................................... 15

II.2.3. Objectifs de la sécurité informatique...................................................................... 16

II.2.4. Les principaux défauts de la sécurité informatique ................................................ 16

II.2.5. Attaques informatiques........................................................................................... 17

II.2.6. Les dispositifs de protections ................................................................................. 19

Conclusion ............................................................................................................................ 22

CHAPITRE III : SYSTEME DE DETECTION D’INTRUSIONS ......................................... 23

Introduction .......................................................................................................................... 24

III.1. Système de détection d’intrusions ............................................................................... 24

III.1.1. Différents types d’IDS .......................................................................................... 24

III.1.2. Comparaison des IDS ........................................................................................... 26

III.1.3. Architecture fonctionnelle des IDS ....................................................................... 27

III.1.4. Classification des systèmes de détections d’intrusions ......................................... 28

III.1.5. Limite des IDS ...................................................................................................... 31

III.1.6. Efficacité des systèmes de détection d’intrusions ................................................. 32

III.2. Quelques exemples d’outils de détections d’intrusions ............................................... 32

III.2.1. L’outil Snort .......................................................................................................... 32

III.2.2. L’outil Suricata ..................................................................................................... 33

Rédigé et présenté Par : AGUEKENG Clorine IV


ETUDE ET MISE EN PLACE D’UN SYSTEME DE DETECTION D’INTRUSION AVEC SNORT

III.2.3. L’outil Bro ............................................................................................................ 34

Conclusion ............................................................................................................................ 35

CHAPITRE IV : MISE EN ŒUVRE D’UN IDS (SNORT) ................................................... 36

Introduction .......................................................................................................................... 37

IV.1. Présentation générale de Snort .................................................................................... 37

IV.1.1. Fonctionnement .................................................................................................... 37

IV.1.2. Positionnement de Snort dans un réseau .............................................................. 37

IV.1.3. Architecture de Snort ............................................................................................ 39

IV.1.4. Environnement ...................................................................................................... 40

IV.1.5. Installation de Snort .............................................................................................. 40

IV.1.6. Mode de fonctionnement ...................................................................................... 42

IV.1.7. Paramètres de Snort .............................................................................................. 43

IV.2. Mise en place de Barnyard2 ........................................................................................ 46

IV.2.1. Le plugin « unified2 »........................................................................................... 46

IV.3. La console B.A.S.E ..................................................................................................... 47

IV.4. Mise en place de PulledPork ....................................................................................... 49

Conclusion ............................................................................................................................ 50

CONCLUSION GENERALE .................................................................................................. 51

REFERENCES BIBIOGRAPHIQUES .................................................................................... 51

Rédigé et présenté Par : AGUEKENG Clorine V


ETUDE ET MISE EN PLACE D’UN SYSTEME DE DETECTION D’INTRUSION AVEC SNORT

LISTE DES ABREVIATIONS

Sigles Significations

IGT InfoGénie Technologies

IP Internet Protocol

VPN Virtual Private Network

VoIP Voice Over IP

IDS Intrusion Detection System

OSI Open System Interconnexion

ISO International Organization for


Standardization

DOD Department of Defense

TCP/IP Transmission Control Protocol / Internet


Protocol

TCP Transmission Control Protocol

UDP User Datagram Protocol

FTP File Transfert Protocol

DDOS Distributed Denial of Service

DNS Domain Name Server

NIDS Network Intrusion Detection System

Rédigé et présenté Par : AGUEKENG Clorine VI


ETUDE ET MISE EN PLACE D’UN SYSTEME DE DETECTION D’INTRUSION AVEC SNORT

HIDS Host Intrusion Detection System

IP PBX Internet Protocol Private Branch eXchange

HTTP Hypertext Transfer Protocol

SMS Short Message Service

DMZ Demilitarized Zone

B.A.S.E Basic Analysis and Security Engine

DAQ Data AcQuisition

DHCP Dynamic Host Configuration Protocol

LAN Local Area Network

WAN Wide Area Network

SQL Structured Query Language

TTL Time To Live

TOS Type Of Service

SGBD Système de Gestion de Base de Données

Rédigé et présenté Par : AGUEKENG Clorine VII


ETUDE ET MISE EN PLACE D’UN SYSTEME DE DETECTION D’INTRUSION AVEC SNORT

LISTE DES TABLEAUX

Tableau 1 : Tableau des tâches effectuées.................................................................................. 8


Tableau 2 : Modèle OSI .......................................................................................................... 12
Tableau 3 : Modèle OSI et modèle TCP .................................................................................. 14
Tableau 4 : Comparaison entre types d’IDS ............................................................................ 27
Tableau 5 : Les différents champs d’une règle Snort ............................................................... 44

Rédigé et présenté Par : AGUEKENG Clorine VIII


ETUDE ET MISE EN PLACE D’UN SYSTEME DE DETECTION D’INTRUSION AVEC SNORT

LISTE DES FIGURES

Figure 1 : Plan de localisation d’Infogénie Technologies. ......................................................... 3


Figure 2 : Organigramme d’Infogénie Technologies. ................................................................ 4
Figure 3 : Architecture réseau d’Infogénie Technologies. ......................................................... 7
Figure 4 : Attaque par IP Spoofing .......................................................................................... 18
Figure 5 : Principe de DDOS ................................................................................................... 18
Figure 6 : L’emplacement d’un pare-feu dans un réseau ......................................................... 20
Figure 7 : Emplacement d’un serveur proxy ............................................................................ 21
Figure 8 : DMZ entre LAN et WAN ........................................................................................ 21
Figure 9 : Exemple d’HIDS ..................................................................................................... 25
Figure 10 : Exemple de NIDS .................................................................................................. 25
Figure 11 : Exemple d’IDS hybride ......................................................................................... 26
Figure 12 : Architecture fonctionnelle d’un IDS ..................................................................... 27
Figure 13 : Classification d’un IDS.......................................................................................... 29
Figure 14 : Illustration de l’approche par scenario................................................................... 29
Figure 15 : Illustration de l’approche comportementale .......................................................... 30
Figure 16 : Les différentes positions de Snort dans un réseau ................................................. 38
Figure 17 : Architecture réseau de l’entreprise incluant l’IDS Snort. ...................................... 39
Figure 18 : Architecture logique de Snort ................................................................................ 39
Figure 19 : Logo du système d’exploitation Ubuntu................................................................ 40
Figure 20 : Commandes nécessaires pour installer snort ......................................................... 41
Figure 21 : Vérification de l’installation de snort. ................................................................... 42
Figure 22 : Commandes nécessaires à la configuration de snort ............................................. 43
Figure 23 : Services de snort .................................................................................................... 46
Figure 24 : Commandes nécessaires pour installer Barnyard2 ................................................ 48
Figure 25 : Vérification de l’installation de Barnyard 2 .......................................................... 48
Figure 26 : Services de Barnyard2 ........................................................................................... 49
Figure 26 : Interface web de Barnyard ..................................................................................... 49
Figure 27 : Commandes nécessaires pour installer PulledPork ............................................... 50
Figure 28 : Vérification de l’installation et de configuration de PulledPork ........................... 50

Rédigé et présenté Par : AGUEKENG Clorine IX


ETUDE ET MISE EN PLACE D’UN SYSTEME DE DETECTION D’INTRUSION AVEC SNORT

AVANT-PROPOS

Dans l’objectif d’associer la théorie à la pratique chaque étudiant est appelé à effectuer un stage
académique dans une entreprise d’une période de trois mois. C’est dans l’optique de respecter
cette exigence que nous avons effectué le nôtre à Infogénie Technologies SARL. Le
gouvernement a apporté certaines réformes qui font apparaitre sur son territoire de multiples
universités parmi lesquelles l’université de DSCHANG qui assure le parrainage de plusieurs
institutions parmi lesquels l’Institut Supérieur d’Études Scientifiques, Technologiques et
Managériales (ISESTMA) située à Yaoundé plus précisément à Nkoabang.
Crée par l’arrêté N012/0666/MINESUP/SG/DDES du 23/11/2012, ISESTMA a pour but
d’offrir aux bacheliers de diverses spécialités une formation professionnelle afin qu’ils soient
mieux préparés pour affronter le monde socio-professionnel. Elle forme des techniciens et des
ingénieurs dans les trois (02) cursus suivants :
 BTS (Brevet de Technicien Supérieur) où l’entrée se fait sur étude du dossier puis
entretien avec le candidat.
 Électrotechnique (ELT) ;

 Maintenance Après-Vente Automobile (MAVA) ;

 Informatique Industrielle (II) ;

 Electronique (EL) ;

 Maintenance des Systèmes Informatiques(MSI) ;

 Gestion Logistique et Transport (GLT) ;

 Communication d’Entreprise(CE) ;

 Génie Informatique (GI) ;

 Banque (BQ) ;

 Télécommunication et Réseaux (TR) ;

 Gestion des Ressources Humaines, Finances et Comptabilité(FC)

 Licence technologique et commerciale dans les filières suivantes :


 Finance-Comptabilité ;

Rédigé et présenté Par : AGUEKENG Clorine X


ETUDE ET MISE EN PLACE D’UN SYSTEME DE DETECTION D’INTRUSION AVEC SNORT

 Gestion des Ressources Humaines(GRH) ;


 Transport et logistique (TL) ;
 Banque-Assurance ;
 Marketing ;
 Génie Informatique ;
 Génie Electrique ;
 Génie des Télécommunications et Réseaux (GTR).

Rédigé et présenté Par : AGUEKENG Clorine XI


ETUDE ET MISE EN PLACE D’UN SYSTEME DE DETECTION D’INTRUSION AVEC SNORT

RESUME

En vue de l’obtention du diplôme de licence, chaque étudiant de ce cycle est appelé à effectuer
un stage académique obligatoire dans une entreprise de son choix. Ceci dans le but de lier la
théorie faite en classe à la pratique effectuée en entreprise tout en prenant connaissance du
terrain. Au bout de ce stage, l’étudiant doit rédiger et présenter un rapport de fin de stage. C’est
au respect de cette tradition que nous avons effectué le nôtre du 20 Janvier au 20 Avril 2020 à
INFOGENIE TECHNOLOGIES.

L’Equipe INFOGENIE TECHNOLOGIES travaille sur l’accès et services internet, ingénierie


informatique et les réseaux et télécoms. Notre position au sein de cette structure était celle de
stagiaire. Tout au long du stage, nous avons été amené à effectuer des diverses tâches dans les
différents établissements de l’entreprise.

Suite à notre étude sur la sécurité dans les réseaux informatiques, on se rend compte que ce
n’est pas facile d’assurer la sécurité d’un réseau informatique et de le protéger contre
d’éventuelles intrusions.

L’évolution des outils permettant de réaliser des attaques informatiques a mis les différents
réseaux des entreprises en danger. Avoir un réseau complètement sécurisé est pratiquement
irréalisable. Par conséquent, il est nécessaire de pouvoir détecter les violations de sécurité
lorsqu’elles se produisent. Cela est rendu possible grâce aux mécanismes de détection et de
prévention des intrusions avec snort par exemple. La détection d’intrusion consiste à découvrir
l’utilisation d’un système informatique à des fins non légales, tandis que les systèmes de
prévention des intrusions tentent de les stopper en prévenant le firewall de l’existence d’une
tentative d’intrusion.

Snort est un outil utilisé pour détecter les intrusions, plus réputé en termes d’efficacité et
présente une souplesse en termes de personnalisation.

Rédigé et présenté Par : AGUEKENG Clorine XII


ETUDE ET MISE EN PLACE D’UN SYSTEME DE DETECTION D’INTRUSION AVEC SNORT

ABSTRACT

In order to obtain the bachelor's degree, every student of this cycle is required to complete an
obligatory academic internship in a company of his choice. This is done in order to link the
theory made in the class room with the practice carried out in the company while learning the
ground. At the end of this internship, the student must write and submit a report at the end of
the internship. It is to the respect of this tradition that we carried out ours from 20 January to
20 April 2020 at INFOGENIE TECHNOLOGIE.

The INFOGENIE TECHNOLOGIE team works on Internet access & services, IT


engineering and networks & telecoms. Our position within this structure was that of trainee.
Throughout the internship, we carried out various tasks in the various establishments of the
company.

Following our study on computer network security, we realize that it is not easy to ensure the
security of a computer network and protect it against possible intrusions.

The evolution of the tools allowing to carry out computer attacks put the various networks of
the companies in danger. Having a completely secure network is practically impossible.
Therefore, it is necessary to be able to detect security breaches as they occur. This is made
possible by intrusion detection and prevention mechanisms with snort for example. Intrusion
detection involves discovering the use of a computer system for non-legal purposes, while
intrusion prevention systems attempt to stop them by warning the firewall of the existence of
an intrusion attempt.

Snort is a tool used to detect intrusions, more renowned for its efficiency and flexibility in terms
of customization.

Rédigé et présenté Par : AGUEKENG Clorine XIII


ETUDE ET MISE EN PLACE D’UN SYSTEME DE DETECTION D’INTRUSION AVEC SNORT

INTRODUCTION GENERALE

Les systèmes et réseaux informatiques contiennent diverses formes de vulnérabilité, donc la


sécurité est, de nos jours devenue un problème majeur dans la gestion des réseaux d’entreprise.
Pour faire face à ces problèmes de sécurité informatique, différents mécanismes comme les par-
feux, les antivirus ont été mis en place pour prévenir toutes sortes d’attaques, qui s’avèrent
limités face au développement rapide des techniques de piratage. D’où la nécessité de mettre
en place un système de détection d’intrusions qui est une méthode de surveillance permanente
du système afin de détecter toute violation de la politique de sécurité, et signaler les attaques
portant atteinte à la sécurité du réseau informatique. L’objectif de notre travail est de configurer
un système de détection d’intrusions et sa mise en place dans l’architecture réseau. Dans
l’optique de mener à bien notre projet, nous avons subdivisé et organisé notre travail en quatre
chapitres dont le premier présente la structure d’accueil qui nous a pris en charge durant toute
la période de notre stage, le second présente des différents concepts relatifs aux réseaux d’une
manière générale, ainsi que les aspects de la sécurité informatique, le troisième présente les
systèmes de détections d’intrusions (différents types, principes de fonctionnement, architecture
et position dans le réseau) et le quatrième présente la mise en œuvre d’un NIDS (Snort) .

Rédigé et présenté Par : AGUEKENG Clorine 1


ETUDE ET MISE EN PLACE D’UN SYSTEME DE DETECTION D’INTRUSION AVEC SNORT

CHAPITRE I : PRESENTATION DE
LA STRUCTURE D’ACCUEIL

Rédigé et présenté Par : AGUEKENG Clorine 2


ETUDE ET MISE EN PLACE D’UN SYSTEME DE DETECTION D’INTRUSION AVEC SNORT

Introduction
INFOGENIE TECHNOLOGIES est une entreprise Camerounaise de Services et
d’Ingénierie Informatique et Télécoms fondée en 2002 dont le siège est à Yaoundé.
L’organisme INFOGENIE est également le seul revendeur agrée des équipements
MIKROTIK pour la zone CEMAC. Elle dispose de 15 années d’expérience sur le terrain dans
les diverses activités qu’elle déploie et qui recouvre les pôles suivants :

 L’Accès et les Services Internet (IP)


 Les Réseaux et Télécommunications
 L’Ingénierie Informatique
 La Formation et le Conseil
 Les Prestations de Services

I.1. Présentation d’INFOGENIE TECHNOLOGIES


I.1.1. Présentation Géographique

Le siège d’INFOGENIE TECHNOLOGIES est situé à Yaoundé, quartier Nlongkak, au 1er et


au 3ieme étage de l’immeuble SM en face de la Banque des Petites et Moyennes Entreprises.
Sa Direction commerciale et le Showroom sont situés au quartier Elig-Essono, à la station
Oilybia.

Figure 1 : Plan de localisation d’Infogénie Technologies.

Rédigé et présenté Par : AGUEKENG Clorine 3


ETUDE ET MISE EN PLACE D’UN SYSTEME DE DETECTION D’INTRUSION AVEC SNORT

I.1.2. Présentation Administrative

I.1.2.1. Organigramme
INFOGENIE TECHNOLOGIES est une entreprise bien hiérarchisée et bien organisée
comme le décrit l’organigramme ci-dessous :

Figure 2 : Organigramme d’Infogénie Technologies.

I.1.2.2. Objectifs et missions


L’objectif premier d’INFOGENIE TECNOLOGIES est de faire de la technologie un outil
maximal de productivité, un outil qui accompagne la création de richesse et catalyse le
développement des hommes, des entreprises et même de l’Afrique. Que les besoins du client

Rédigé et présenté Par : AGUEKENG Clorine 4


ETUDE ET MISE EN PLACE D’UN SYSTEME DE DETECTION D’INTRUSION AVEC SNORT

soient clairement identifiés ou non, INFOGENIE TECHNOLOGIES réalise l’ambition de


les comprendre, les analyser et de les combler en apportant la meilleure combinaison de son
savoir-faire et de ce que la technologie peut offrir, aux meilleurs couts du marché.

INFOGENIE TECHNOLOGIES est engagé dans la fourniture de services à travers une


liaison fibre optique, des liaisons satellites redondantes et des liaisons radio sans fil (Wireless)
fiables et performantes a des couts compétitifs.

Les missions d’INFOGENIE TECHNOLOGIES reposent principalement sur les points


suivants :

 L’internet (Accès Internet professionnel et résidentiel, Accès Internet grand public à


travers des cybercafés, Réseaux Privés Virtuels (VPN), Routage et Sécurité IP, VoIP) ;
 Les réseaux & Télécommunications (câblage structure, Boucle locale radio, wifi et
liaisons Point à Point, Téléphonie IP d’entreprise (IP-PBX), Web SMS, Centres
d’appels, vidéosurveillance IP, Identification et gestion de présence (biométrique,
magnétique, a code), Vente/Formation/Certification sur les matériels et technologie
MIKROTIK (revendeur agrée)) ;
 Le TRACKING GPS INFOGENIE qui est un service de géolocalisation à travers des
boitiers GPS/GSM qui peuvent être mobiles et portatifs pour la sécurisation des biens
et/ou automobiles ;
 La formation et le conseil ;
 La prestation de services.

I.2. L’informatique dans INFOGENIE TECHNOLOGIES


INFOGENIE TECHNOLOGIES fait partie des entreprises possédant un département
informatique, et donne une grande importance au domaine de l’informatique.

I.2.1. Présentation du département technique

Le département technique est comme le cœur de cette entreprise.

Il comporte 5 services à savoir :

 Le support : qui est le socle de ce département. Il a pour rôle de garantir l’offre de la


qualité de service aux clients afin de le fidéliser ; de plus ce service assure le monitoring

Rédigé et présenté Par : AGUEKENG Clorine 5


ETUDE ET MISE EN PLACE D’UN SYSTEME DE DETECTION D’INTRUSION AVEC SNORT

et la supervision de l’ensemble du réseau pour y intervenir en cas de problème sur ce


dernier et veille à la permanence et la qualité du réseau chez le client ;
 Le service Software System and Design (SSD) : ce service a pour principal rôle
d’étudier les systèmes d’informations des organisations en vue de la conception, du
développement et de la mise en place des logiciels sur mesure dont auront besoins ces
organisations ;
 Le service de maintenance : il veille au bon fonctionnement des équipements
informatiques, électronique et même énergétiques et à leur maintenance de façon à
assurer leur pérennité et leur longévité ;
 Le service de Tracking et sécurité : ce service a pour fonction de configurer et installer
les balises sur les véhicules des clients et les monitorer en temps réel mais également de
protéger et sécuriser les actifs de leur client ; ce service est également chargé de l’étude
et l’installation des équipements de sécurité tels que les alarmes, les droits d’accès, la
biométrie pour la gestion des présences, la sécurité incendie et la vidéosurveillance ;
 Le service Network et Telecom : ce service est chargé de la mise en place, de la
maintenance et du suivi des infrastructures réseaux et télécom, de l’installation de
l’accès internet ainsi que tous les services qui vont avec. Elle est aussi chargée de la
maintenance curative sur les infrastructures en cas de problème liée au PoP, à la fibre
optique, ou aux installations des clients. Elle étudie aussi et prévoit l’évolution et
l’extension future de leurs équipements réseaux filaire et sans fils et aussi la fibre
optique.

Rédigé et présenté Par : AGUEKENG Clorine 6


ETUDE ET MISE EN PLACE D’UN SYSTEME DE DETECTION D’INTRUSION AVEC SNORT

I.2.2. Architecture réseau d’INFOGENIE TECHNOLOGIES

Figure 3 : Architecture réseau d’Infogénie Technologies.


L’architecture présente dans la structure INFOGENIE TECHNOLOGIES se résume à un
échange principal entre 3 routeurs.

Un routeur d’extrémité qui reçoit la connexion internet venant de plusieurs sources notamment
la fibre optique de CAMTEL ; Un routeur cœur relié directement aux équipements de la
direction de Nlongkak et aux serveurs qui hébergent les services ; et pour finir un second routeur
relié aux différents POPS de l’entreprise et qui gère l’authentification et l’enregistrement au
réseau d’accès.

I.3. Déroulement du stage


I.3.1. Taches effectuées

Durant ce stage, notre activité stagiaire consistait à travailler avec les professionnelles. Les
principales tâches que nous avons effectuées se résument au tableau suivant :

Rédigé et présenté Par : AGUEKENG Clorine 7


ETUDE ET MISE EN PLACE D’UN SYSTEME DE DETECTION D’INTRUSION AVEC SNORT

Période Description de la tache

28/01/2020 Installation et configuration des radios pour la connexion internet a


ESSOS

04/02/2020 Déploiement de la fibre optique à Nlongkak

13/02/2020 Service client au support d’ Infogénie Nlongkak

14/02/2020 Déploiement de la fibre optique au niveau de l’UE(Union Européenne)

20/02/2020 Déploiement de la fibre optique au niveau de TEBELA

22/02/2020 Installation des Access point au Palais des congrès

13/03/2020 Configuration des radios au support d’ Infogénie Technologies

14/03/2020 Réaménagement du cyber café à Bonas

15/03/2020 Fixation du support pour installer l’antenne au PALAIS DES


CONGRES

16/03/2020 Configuration des routeurs mikrotik au support technique d’Infogénie

20/03/2020 Service client au support d’infogénie

Tableau 1 : Tableau des tâches effectuées.

I.3.2 Problème

Le système informatique en dépit de son déploiement dans tous les secteurs professionnels et
son développement phénoménal, s’avère accompagné par une croissance frappante
d’utilisateurs qui ne révèle pas forcement de bonnes intentions vis-à-vis des systèmes

Rédigé et présenté Par : AGUEKENG Clorine 8


ETUDE ET MISE EN PLACE D’UN SYSTEME DE DETECTION D’INTRUSION AVEC SNORT

informatiques. Vu que les firewall et d’autres antivirus ne suffisent point à garantir la sécurité
des réseaux informatiques, des systèmes de détections d’intrusions sont mis en place.

De ce fait, durant notre stage au sein de l’entreprise INFOGENIE TECHNONLOGIES nous


avons remarqué l’absence d’un mécanisme de détection d’intrusions.

I.3.3. Objectifs

La configuration d’un IDS augmente le degré de sécurité informatique, étant donné qu’il permet
de détecter des attaques venant d’intrus, il joue donc de ce fait un rôle complémentaire pour le
pare-feu (firewall) en lui permettant de faire une analyse plus intelligente du trafic.

Pour apporter une solution au problème traite dans la problématique nous avons choisis de
mettre en place un IDS (Snort) sous le système d’exploitation UBUNTU.

Pour cela on a suivi ces quatre étapes :

 Étude du réseau existant et identification des besoins ;


 Installation et mise en place de l’IDS ;
 Configuration de l’IDS ;
 Test de la configuration de système de détection d’intrusions.

Conclusion
Ce chapitre a été consacré à la présentation de l’entreprise où nous avons effectué notre stage,
ce qui nous a permis de mieux comprendre et d’apprécier le travail abattu par l’ensemble du
groupe INFOGENIE TECHNOLOGIES, ainsi l’étude du réseau de la structure nous a permis
de bien comprendre son architecture et les stratégies utilisées pour sa sécurisation.

Rédigé et présenté Par : AGUEKENG Clorine 9


ETUDE ET MISE EN PLACE D’UN SYSTEME DE DETECTION D’INTRUSION AVEC SNORT

CHAPITRE II : GENERALITES SUR


LES RESEAUX ET LA SECURITE
INFORMATIQUE

Rédigé et présenté Par : AGUEKENG Clorine 10


ETUDE ET MISE EN PLACE D’UN SYSTEME DE DETECTION D’INTRUSION AVEC SNORT

Introduction
Les systèmes d’informations sont de plus en plus ouverts aux internautes. Bien qu’ayant
certains avantages, cette ouverture pose néanmoins un sérieux problème, à savoir la sécurisation
de l’information. De ce dernier découle un nombre croissant d’attaques. Mettre en place une
politique de sécurité autour des systèmes devient donc une pratique primordiale.

Au cours de ce chapitre nous verrons comment se protéger des intrusions, et aussi les problèmes
techniques déduits des outils utilisés. Mais avant cela il est important pour comprendre le rôle
précis de ces systèmes, de faire un rappel des principales attaques connues actuellement.

II.1. Les réseaux informatiques


II.1.1. La norme OSI

II.1.1.1. Définition
Le modèle OSI est une norme établie par l’ISO, afin de permettre aux systèmes ouverts
(ordinateur, terminal, …) d’échanger des informations avec d’autres équipements. Cette norme
est constituée de 7 couches, dont les 4 premières sont dites basses et les 3 couches restantes
sont dites hautes. Le principe est assez simple, la couche la plus basse (directement au-dessus
du support physique) ne peut communiquer directement avec une couche n+1 : chaque couche
est composée d’éléments matériels et /ou logiciels chargés de transporter le message à la couche
supérieure. La mise en évidence de ces différentes couches se base sur les caractéristiques
suivantes qui étaient recherchées par l’ISO :

o Création d’une couche lorsqu’un niveau d’abstraction est nécessaire ;


o Définition précise des services et opérations de chaque couche ;
o Définition des opérations de chaque couche en s’appuyant sur des protocoles
normalisés ;
o Choix des frontières entre couches de manière à minimiser le flux d’information aux
interfaces ;
o Définition d’une couche supplémentaire lorsque des opérations d’ordre différent
doivent être réalisées.

II.1.1.2. Les différentes couches du modèle OSI


Dans le découpage en 7 couches, on distingue :

Rédigé et présenté Par : AGUEKENG Clorine 11


ETUDE ET MISE EN PLACE D’UN SYSTEME DE DETECTION D’INTRUSION AVEC SNORT

Les couches basses (1-4) : transfert de l’information par les différents services de
transport.
Les couches hautes (5-7) : traitement de l’information par les différents services
applicatifs.

7 Application

6 Présentation

5 Session

4 Transport

3 Réseau

2 Liaison

1 Physique

Tableau 2 : Modèle OSI


 La couche Physique : elle s’occupe de la connexion physique sur le réseau ; de la
transmission de bits à l’état brut sur un canal de transmission.
 La couche Liaison : elle a pour but de transmettre les données sans erreur ; elle
décompose les données de l’émetteur en trames de données puis les envois de façon
séquentielle. Différentes méthodes permettant de protéger les données contre les erreurs
sont utilisés, comme le codage de détection et de correction d’erreur.
 La couche Réseau : assure la communication et le routage des paquets entre les nœuds
du réseau. Pour le modèle OSI, il existe deux méthodes principales d’acheminement (la
communication de circuit et la communication de paquets). C’est cette couche qui gère
la congestion sur les nœuds du réseau.
 La couche Transport : celle-ci permet l’établissement ; le maintien et la rupture des
connexions. L’une des tâches principales de cette couche est d’accepter des données de
la couche supérieure et de les diviser en unités plus petites (il s’agit de l’opération de
fragmentation) ; elle offre un service réel de bout en bout de la source a la destination,
indépendant du chemin effectif utilise entre les machines.
 La couche Session : permet d’établir une connexion logique entre deux applications.
Elle assure l’organisation t la synchronisation du dialogue.

Rédigé et présenté Par : AGUEKENG Clorine 12


ETUDE ET MISE EN PLACE D’UN SYSTEME DE DETECTION D’INTRUSION AVEC SNORT

 La couche Présentation : s’occupe de la syntaxe des donnés. Cette couche permet à


deux machines de communiquer même lorsqu’elles utilisent des représentations de
données différentes. Elle gère des structures de données de haut niveau pour accomplir
cette tâche.
 La couche Application : fournit les services et interfaces de communication aux
utilisateurs.

II.1.2. Le protocole TCP/IP

II.1.2.1. Définition
Le protocole TCP/IP, développé originellement par le ministère de la défense américain en
1981, propose l’évolution des concepts déjà utilisés en partie pour le réseau historique Arpanet
(1972), et est employé en très forte promotion sur le réseau internet. Au-delà de son aspect
historique, le protocole TCP/IP doit aussi son succès à son indépendance vis-à-vis de tout
constructeur informatique.

En réalité́ , TCP/IP définit une suite de divers protocoles probabilistes, appelé́ aussi modèle
DOD (Department of Defense), pour la communication sur un réseau informatique, notamment
le protocole TCP et le protocole IP qui sont parmi les principaux protocoles de ce modèle.

II.1.2.2. Découpage en couches


Le protocole TCP/IP étant antérieur au modèle OSI, il ne respecte pas réellement celui-ci.
Cependant, on peut faire une correspondance entre les différents services utilises et proposes
par TCP/IP avec le modèle OSI, et obtenir ainsi un modèle à 4 couches.

Rédigé et présenté Par : AGUEKENG Clorine 13


ETUDE ET MISE EN PLACE D’UN SYSTEME DE DETECTION D’INTRUSION AVEC SNORT

Modèle OSI Modèle


TCP/IP

7 Application 4 Application

6 Présentation

Session

4 Transport 3 Transport

(TCP)

3 Réseaux 2 Internet

(IP)

2 Liaison de 1 Accès
donnée réseau

1 Physique

Tableau 3 : Modèle OSI et modèle TCP


Les services de la couche 1 et 2 (Physique et liaison) du modèle OSI sont intégrés dans une
seule couche (hôte - réseau) ; les couches 5 et 6 (Session et Présentation) n’existent pas dans le
modèle TCP/IP et leurs services sont réalisés par la couche Application.

 La couche Hôte – réseau : elle regroupe tous les éléments nécessaires pour accéder à
un réseau physique, quel qu’il soit. Elle contient en particulier les spécifications
concernant la transmission de données sur le réseau physique, tout comme la première
couche du modèle OSI.
 La couche Internet : elle permet aux hôtes d’envoyer des paquets élémentaires
indépendants les uns des autres, sans se préoccuper des détails concernant leur
acheminement vers l’hôte destinataire.
 La couche Transport : permet aux applications d’échanger des données
indépendamment du réseau utilise, grâce aux protocoles TCP et UDP.

Rédigé et présenté Par : AGUEKENG Clorine 14


ETUDE ET MISE EN PLACE D’UN SYSTEME DE DETECTION D’INTRUSION AVEC SNORT

 La couche Application : contient entre autres tous les protocoles de haut niveau,
comme Telnet ou FTP.

II.2. La sécurité informatique


La sécurité informatique est une discipline qui se veut de protéger l’intégrité et la confidentialité
des informations stockées dans un système informatique.

II.2.1. Étude des risques

Il est nécessaire de réaliser une analyse de risque en prenant soin d’identifier les problèmes
potentiels avec les solutions et les couts associés. L’ensemble des solutions retenues doit être
organisé sous forme d’une politique de sécurité cohérant, fonction du niveau de tolérance au
risque. Il faut cependant prendre conscience que les principaux risques restent : « câble arraché
», « coupure d’énergie », « crash de disque » …

Voici quelques éléments pouvant servir de base à une étude de risque :

Quelle est la valeur des équipements, des logiciels et surtout des informations ?
Quel est le coût et le délai de remplacement ?
Faire une analyse de vulnérabilité des informations contenues sur les ordinateurs en
réseau (programmes d’analyse des paquets, logs …)
Quel serait l’impact sur la clientèle d’une information publique concernant des
intrusions sur les ordinateurs de la société ?

II.2.2. Différents aspects de la sécurité informatique

Une politique de sécurité s’élabore à plusieurs niveaux :

 Il faut d’abord sécuriser l’accès aux données de façon logicielle (authentification,


contrôle d’intégrité).
 Il faut également sécuriser l’accès physique aux données : serveurs places dans des
salles blindées (qui empêchent les ondes électromagnétiques d’être captées) avec badge
d’accès…
 Un aspect très important pour assurer la sécurité des données d’une entreprise est de
sensibiliser les utilisateurs aux notions de sécurités, de façon à limiter les
comportements à risque. De même, si les utilisateurs laissent leur mot de passe écrit a
cote de leur ordinateur, son utilité est limitée…

Rédigé et présenté Par : AGUEKENG Clorine 15


ETUDE ET MISE EN PLACE D’UN SYSTEME DE DETECTION D’INTRUSION AVEC SNORT

 Enfin, il est essentiel pour un responsable de sécurité de s’informer continuellement,


des nouvelles attaques existantes, des outils disponibles… de façon à pouvoir maintenir
à jour son système de sécurité et à combler les brèches de sécurité qui pourraient exister.

II.2.3. Objectifs de la sécurité informatique

Les systèmes d’information représentent l’ensemble des données de l’entreprise et les


infrastructures matérielles et logicielles. La sécurité informatique d’une manière générale,
consiste à assurer que les ressources d’une organisation, soient uniquement utilisées dans le
cadre prévu.

 La confidentialité : les données ne doivent être visibles que pour les personnes
autorisées.
 L’authentification : consiste à assurer l’identité d’un utilisateur, c’est-à-dire garantir à
chacun des correspondants que son partenaire est bien celui qu’il croit être.
 L’intégrité : il faut pouvoir garantir que les données protégées n’ont pas été modifiées
par une personne non autorisée. Le but étant de ne pas altérer les informations sensibles
de l’entreprise.
 La non répudiation : il s’agit de garantir qu’aucun des correspondants ne pourra nier
la transaction effectuée.
 La disponibilité : les données doivent restées accessibles aux utilisateurs. C’est la
capacité à délivrer un service permanent à l’entreprise.

II.2.4. Les principaux défauts de la sécurité informatique

Les défauts de sécurité les plus rencontrés dans un système d’information sont :

 Installation des logiciels et matériels par défaut ;


 Mise à jour non effectuées ;
 Mot de passe inexistant ou par défaut. ;
 Service inutiles conservés ;
 Traces inexploitées ;
 Pas de séparation des flux opérationnels des flux d’administration de systèmes ;
 Procédure de sécurité obsolètes ;
 Authentification faible ;

Rédigé et présenté Par : AGUEKENG Clorine 16


ETUDE ET MISE EN PLACE D’UN SYSTEME DE DETECTION D’INTRUSION AVEC SNORT

II.2.5. Attaques informatiques

Tout ordinateur connecté à un réseau informatique, est potentiellement vulnérable à une attaque.
L’attaque informatique peut se définir comme étant l'exploitation d'une faille d'un système
informatique (système d'exploitation, logiciel ou bien même de l'utilisateur) par un pirate à des
fins non connues par l'exploitant du système afin de mettre en péril l’intégrité ou la disponibilité
du système d’information.

II.2.5.1. Anatomie d’une attaque


Fréquemment appelés « les 5 P » dans la littérature, ces cinq verbes anglophones constituent le
squelette de tout attaque informatique : Probe, Penetrate, Persist, Propagate, Paralyse.

o Probe (Analyser) : Dans un premier temps, une personne mal intentionnée va chercher
les failles pour pénétrer le réseau.
o Penetrate (Pénétrer) : Une fois une ou plusieurs failles identifiées, le pirate va chercher
à les exploiter afin de pénétrer au sein du SI.
o Persist (Persister) : Une fois le réseau infiltré, le pirate cherchera à y revenir
facilement. Pour cela, il installera par exemple des back doors(se traduit en français par
« porte dérobée » qui est une fonctionnalité inconnue de l'utilisateur légitime, qui donne

un accès secret au logiciel) qui est un cheval de Troie caché dans un logiciel . De
manière générale, le pirate corrigera la faille par laquelle il s’est introduit afin de
s’assurer qu’aucun autre pirate n’exploitera sa cible.
o Propagate (Propager) : Le réseau est infiltré, l’accès est facile. Le pirate pourra alors
explorer le réseau et trouver de nouvelles cibles qui l’intéresseraient.
o Paralyze (Paralyser) : Une fois les cibles identifiées, le pirate va agir et nuire au sein
du SI.

II.2.5.2. Cyber-attaques
Les organismes étatiques se sont cantonnés à un rôle de veille, d’alerte, de recueil et de
renseignements. Aujourd’hui, un rôle défensif leur est officiellement assigné. Cela signifie
qu’ils doivent coordonner l’action des services de l’État pour la mise en œuvre de leur
cyberdéfense. On peut cependant imaginer qu’en cas d’attaque contre des infrastructures vitales
avec des conséquences humaines, un État pourrait considérer cela comme un acte de guerre, et
agir en conséquence : c’est-à-dire riposter. Cependant aucun État n’a, pour le moment, révélé
l’existence d’un programme de cyber-contre-attaque.

Rédigé et présenté Par : AGUEKENG Clorine 17


ETUDE ET MISE EN PLACE D’UN SYSTEME DE DETECTION D’INTRUSION AVEC SNORT

II.2.5.3. Différents types d’attaques


Il existe deux types d’attaques et plusieurs attaques courantes pour chaque type :

 Les attaques réseaux : ce type d’attaque se base principalement sur des failles liées
aux protocoles ou à leur implémentation.
 IP Spoofing ; consiste à se faire passer pour un autre système en falsifiant son
adresse IP.

Figure 4 : Attaque par IP Spoofing


 ARP Spoofing ; son but est de rediriger le trafic d’une machine vers une autre,
de plus l’attaquant peut router les paquets qu’il reçoit vers le véritable
destinataire.
 DNS Spoofing ; l’objectif ici est de fournir de fausses réponses aux requêtes
DNS, c’est-à-dire rediriger, à leur insu, les internautes vers des sites pirates.
 Denis de service : Cette attaque n’est pas pour rattraper les informations sur une
machine à distance mais de paralyser un service ou un réseau complet de
manière à ce que l’utilisateur ne peut plus accéder au ressources. Les deux
exemples principaux, sont le " Ping flood" (envoi massif de Ping pour paralyser
un réseau) ou l’envoi massif de courrier électroniques pour saturer une boîte aux
lettre (mailbombing).

Figure 5 : Principe de DDOS.

Rédigé et présenté Par : AGUEKENG Clorine 18


ETUDE ET MISE EN PLACE D’UN SYSTEME DE DETECTION D’INTRUSION AVEC SNORT

 TCP Hijacking ; le but de cette attaque est de rediriger un flux TCP, afin de
pouvoir outrepasser une protection par mot de passe, le controle d’authentification
s’effectuant uniquement à l’ouverture de la session, l’attaquant réussissant cette
attaque peut alors prendre possession de la connexion pendant toute la durée de la
session.
 Les attaques applicatives : elles se basent sur des failles dans les programmes utilisés,
ou encore des erreurs de configuration.
 Les bogues ; ils sont liés à un problème dans le code source, et peuvent amener à
l’exploitation des failles.
 Buffers overflows ; ou encore dépassement de pile, c’est une catégorie de bogue
particulière, issu d’une erreur de programmation, il permet l’exploitation d’un
Shell code à distance.
 Les scripts ; principalement web, ils s’exécutent sur un serveur et renvoie le
résultat au client. Cependant, lorsqu’ils sont dynamiques, les failles peuvent
apparaitre si les entrées ne sont pas correctement contrôlées.
 Les injections SQL ; Tout comme les attaques de scripts, les injections SQL
profitent des paramètres d’entrées non vérifiées. Comme leur nom l’indique le but
des injections SQL est d’injecter du code SQL dans une requête de base de
données. Ainsi il est possible de récupérer des informations se trouvant dans la
base de données ou encore de les détruire.
 Man in the middle ; cette attaque permet de détourner le trafic entre deux stations.
Imaginons un client C communiquant avec un serveur S, un pirate peut détourner
le trafic du client en faisant passer les requêtes de C vers S par sa machine P, puis
transmettre les requêtes de P vers S. et inversement pour les réponses de S vers C.
totalement transparente pour le client, la machine P accèdera à toutes les
communications et pourra obtenir les informations sans que l’utilisateurs ne s’en
rende compte.

II.2.6. Les dispositifs de protections

La variété et la disponibilité des outils d’attaques augmentent le risque des intrusions. Par
conséquent les administrateurs s’appuient sur diverses solutions dans le but de maintenir la
protection du réseau informatique.

Rédigé et présenté Par : AGUEKENG Clorine 19


ETUDE ET MISE EN PLACE D’UN SYSTEME DE DETECTION D’INTRUSION AVEC SNORT

Voici quelques solutions proposées :

II.2.6.1. Antivirus
Un antivirus est un logiciel censé protéger un ordinateur contre les logiciels (ou fichiers
potentiellement exécutables) néfastes. Ne protège pas contre un intrus qui emploie un logiciel
légitime, ou contre un utilisateur légitime qui accède à une ressource alors qu’il n’est pas
autorisé à le faire.

II.2.6.2. Pare-feu
Un pare-feu est un logiciel et/ou matériel qui filtre et protège un système en bloquant les
connexions venant de l’extérieur (entrées) ou de l’intérieur (sorties) pour empêcher ou autoriser
l’accès à des services web.

Il permet aussi de faire de la translation d’adresse pour servir de routeur.

Figure 6 : L’emplacement d’un pare-feu dans un réseau

II.2.6.3. Serveur proxy


Un serveur proxy appelé́ aussi serveur mandataire, est un composant logiciel informatique qui
joue le rôle de l’intermédiaire entre deux machines pour surveiller leurs échanges.

La plupart du temps le serveur proxy est utilisé́ pour le web, il s’agit alors d’un proxy HTTP.
Toutefois il peut exister des serveurs proxy pour chaque protocole applicatif (FTP, ...etc.).

Rédigé et présenté Par : AGUEKENG Clorine 20


ETUDE ET MISE EN PLACE D’UN SYSTEME DE DETECTION D’INTRUSION AVEC SNORT

Figure 7 : Emplacement d’un serveur proxy


II.2.6.4. DMZ
Une DMZ (Demilitarized zone) est une zone tampon d’un réseau d’entreprise, située entre le
réseau local et Internet, derrière le pare-feu.

Il s’agit d’un réseau intermédiaire regroupant des serveurs publics (HTTP, DHCP, mails, DNS,
...etc.). Ces serveurs devront être accessibles depuis le réseau interne de l’entreprise et, pour
certains, depuis les réseaux externes. Le but est ainsi d’éviter toute connexion directe au réseau
interne.

- - :

Figure 8 : DMZ entre LAN et WAN


II.2.6.5. VPN
Virtual Private Network, est une technique permettant à un ou plusieurs postes distants de
communiquer de manière sûre, tout en empruntant les infrastructures publiques. Ce type de
liaison est apparu suite à un besoin croissant des entreprises de relier les différents sites, ceci

Rédigé et présenté Par : AGUEKENG Clorine 21


ETUDE ET MISE EN PLACE D’UN SYSTEME DE DETECTION D’INTRUSION AVEC SNORT

de façon simple et économique. Jusqu’à l’avènement des VPN, les sociétés devaient utiliser des
liaisons Transpac, ou des lignes louées. Les VPN ont permis de démocratiser ce type de liaison.

II.2.6.6. Système de détection d’intrusions


La détection d’intrusions consiste à analyser les informations collectées par les mécanismes
d’audit de sécurité́ , à la recherche d’éventuelles attaques. Bien qu’il soit possible d’entendre le
principe, nous concentrerons sur les systèmes informatiques. Les méthodes de détection
d’intrusions diffèrent sur la manière d’analyser le journal d’audits.

Conclusion
Au cours de ce chapitre, nous avons pris connaissance des différents aspects liés à la sécurité
des réseaux informatiques, les attaques qui menacent cette dernière et comment se protéger. La
sécurité des systèmes informatiques est vitale à son bon fonctionnement. Il est donc nécessaire
d’assurer sa protection, nous allons décrire dans le chapitre suivant les systèmes de détection
d’intrusions.

Rédigé et présenté Par : AGUEKENG Clorine 22


ETUDE ET MISE EN PLACE D’UN SYSTEME DE DETECTION D’INTRUSION AVEC SNORT

CHAPITRE III : SYSTEME DE


DETECTION D’INTRUSIONS

Rédigé et présenté Par : AGUEKENG Clorine 23


ETUDE ET MISE EN PLACE D’UN SYSTEME DE DETECTION D’INTRUSION AVEC SNORT

Introduction
De nos jours, les attaques sont plus rapides qu’avant, et tout le monde est exposé aux pertes des
données essentielles. Malheureusement, les systèmes antivirus ou les pares-feux sont la plupart
du temps inefficaces face à ces nouvelles menaces. C’est pour pallier à ce manque que sont
apparus récemment des nouveaux composants de sécurité́ appelés systèmes de détection
d’intrusions.

En effet, le but de ce chapitre est tout d’abord, de présenter la notion de système de détection
d’intrusions, et par la suite le système de prévention d’intrusions.

III.1. Système de détection d’intrusions


Le premier modèle de détection d’intrusions est développé́ en 1984 par Dorothy Denning et
Peter Neuman, qui s’appuie sur des règles d’approche comportementale. Ce système appelé́
IDES (Intrusions Detection Expert System), en 1988 Il est développé́ à un IDS (système de
détection d’intrusions).

Ce dernier est un ensemble de composants logiciels et/ou matériels destinés à repérer des
activités anormales ou suspectes sur la cible analysée, un réseau ou un hôte, son rôle est de
surveiller les données qui transitent sur ce système. Il permet ainsi d’avoir une action
d’intervention sur les risques d’intrusions. Afin de détecter les attaques que peut subir un
système ou réseau informatique.

III.1.1. Différents types d’IDS

Les différents IDS connus se caractérisent par leur domaine de surveillance. Il existe trois
grandes familles distinctes d’IDS :

III.1.1.1. La détection d’intrusions basée sur l’hôte


L’HIDS (Host Based IDS) surveille le trafic sur une seule machine. Il analyse les journaux
systèmes, les appels, et enfin vérifié l’intégrité́ des fichiers. Un HIDS a besoin d’un système
sain pour vérifier l’intégrité́ des données. Si le système a été́ compromis par un pirate, le HIDS
ne sera plus efficace.

Rédigé et présenté Par : AGUEKENG Clorine 24


ETUDE ET MISE EN PLACE D’UN SYSTEME DE DETECTION D’INTRUSION AVEC SNORT

Figure 9 : Exemple d’HIDS

III.1.1.2. La détection d’intrusions réseau NIDS


Les NIDS sont des IDS utilisés pour protéger un réseau. Ils comportent généralement une sonde
(machine par exemple) qui écoute et surveille en temps réel tout le trafic réseau, puis analyse
et génère des alertes s’il détecte des intrusions ou des paquets semblent dangereux.

Figure 10 : Exemple de NIDS

III.1.1.3. Les systèmes de détections d’intrusions hybride


IDS hybrides rassemblent les caractéristiques des NIDS et HIDS. Ils permettent, de surveiller
le réseau et les terminaux. Les sondes sont placées en des points stratégiques, et agissent comme
NIDS et/ou HIDS suivant leurs emplacements. Toutes ces sondes remontent alors les alertes à
une machine qui va centraliser le tout, et lier les informations d’origines multiples. Ainsi, on
comprend que les IDS hybrides sont basés sur une architecture distribuée, ou chaque composant
unifie son format d’envoi. Cela permet de communiquer et d’extraire des alertes plus exactes.

Rédigé et présenté Par : AGUEKENG Clorine 25


ETUDE ET MISE EN PLACE D’UN SYSTEME DE DETECTION D’INTRUSION AVEC SNORT

Figure 11 : Exemple d’IDS hybride


III.1.2. Comparaison des IDS

Avantages Inconvénients

NIDS -La probabilité de faux négatifs


(attaques non détectées) est élevée

-Les capteurs peuvent être bien sécurisés et il est difficile de contrôler le

puisqu’ils se contentent d’observer le réseau entier. -Ils doivent

trafic. principalement fonctionner de


manière cryptée d’où une
-Détecter plus facilement les scans grâce
complication de l’analyse des
aux signatures.
paquets.
-Filtrage de trafic.
-A l’opposé des IDS basés sur
-assurer la sécurité contre les attaques l’hôte, ils ne voient pas les
puisqu’il est invisible. impacts d’une attaque.

Rédigé et présenté Par : AGUEKENG Clorine 26


ETUDE ET MISE EN PLACE D’UN SYSTEME DE DETECTION D’INTRUSION AVEC SNORT

HIDS -Découvrir plus facilement un Cheval de -Ils ont moins de facilité à détecter
Troie puisque les informations et les les scans.
possibilités sont très étendues.
-Ils sont plus vulnérables aux
-Détecter des attaques impossibles à attaques de type DoS.
détecter avec des IDS réseau puisque le
-Ils consomment beaucoup
trafic est souvent crypté.
de ressources CPU.
-Observer les activités sur l’hôte avec
précision.

Hybrides -moins de faux positifs. -taux élevé de faux positifs.

-meilleure corrélation (la corrélation


permet de générer de nouvelles alertes à
partir de celles existantes).

-possibilité de réaction sur les analyseurs.

Tableau 4 : Comparaison entre types d’IDS.

III.1.3. Architecture fonctionnelle des IDS

Nous décrivons dans cette section les trois composants qui constituent classiquement un
système de détection d’intrusions. La Figure ci-dessous illustre les interactions entre ces trois
composants.

Figure 12 : Architecture fonctionnelle d’un IDS

Rédigé et présenté Par : AGUEKENG Clorine 27


ETUDE ET MISE EN PLACE D’UN SYSTEME DE DETECTION D’INTRUSION AVEC SNORT

III.1.3.1. Capteur
Le capteur observe l’activité́ du système par le biais d’une source de donnée et fournit à
l’analyseur une séquence d’évènements qui renseignent de l’évolution de l’état du système.

Le capteur peut se contenter de transmettre directement ces données brutes, mais en général un
prétraitement est effectué́ . Et pour cela on distingue trois types de capteurs en fonction des
sources de données utilisées pour observer l’activité́ du système : les capteurs système, les
capteurs réseau et les capteurs applicatifs.

III.1.3.2. Analyseur
L’objectif de l’analyseur est de déterminer si le flux d’évènements fourni par le capteur contient
des éléments caractéristiques d’une activité́ malveillante.

III.1.3.3. Manager
Le manager collecte les alertes produites par le capteur, les met en forme et les présente à
l’opérateur. Éventuellement, le manager est chargé de la réaction à adopter qui peut être :

 Isolement de l’attaque, qui a pour but de limiter les effets de l’attaque.


 Suppression d’attaque, qui tente d’arrêter l’attaque.
 Recouvrement, qui est l’étape de restauration du système dans un état sain.
 Diagnostic, qui est la phase d’identification du problème.

III.1.4. Classification des systèmes de détections d’intrusions

Les différents systèmes de détection d’intrusions disponibles peuvent être classés selon
plusieurs critères qui sont :

 La méthode de détection.
 Le comportement du système après la détection.
 La source des données.
 La fréquence d’utilisation.

La figure ci-dessous illustre les détails de chaque critère.

Rédigé et présenté Par : AGUEKENG Clorine 28


ETUDE ET MISE EN PLACE D’UN SYSTEME DE DETECTION D’INTRUSION AVEC SNORT

Figure 13 : Classification d’un IDS


III.1.4.1. Méthodes de détection des IDS
Il existe deux méthodes de détection :

 Approche par scenario ou par signature : Cette technique s’appuie sur les
connaissances des techniques utilisées par les attaquants contenus dans la base de
données, elle compare l’activité́ de l’utilisateur à partir de la base de données, ensuite
elle déclenche une alerte lorsque des évènements hors profil se produisent.

Figure 14 : Illustration de l’approche par scenario


 L’approche comportementale : Cette technique consiste à détecter une intrusion en
fonction du comportement de l’utilisateur ou d’une application, autrement dit c’est créer
un modèle basé sur le comportement habituel du système et surveiller toute déviation
de ce comportement. Plusieurs paramètres sont possibles : la charge CPU, le volume de

Rédigé et présenté Par : AGUEKENG Clorine 29


ETUDE ET MISE EN PLACE D’UN SYSTEME DE DETECTION D’INTRUSION AVEC SNORT

données échangées, la durée et l’heure de connexion sur des ressources, la répartition


statistique des protocoles et applications utilisés...etc.

Figure 15 : Illustration de l’approche comportementale

III.1.4.2. Comportement après la détection d’intrusions


Il existe deux types de réponses, suivant les IDS utilisés. La réponse passive est disponible pour
tous les IDS, la réponse active est plus ou moins implémentée :

 Réponse passive : Lorsqu’une attaque est détectée, le système d’intrusions ne prend


aucune action, il génère seulement une alarme en direction de l’administrateur système
sous forme d’une alerte lisible qui contient les informations à propos de chaque attaque.
Les réponses passives se traduisent la plupart du temps par des opérations de
reconfiguration automatique d’un firewall afin de bloquer les adresses IP source
impliquées dans les intrusions. Mais si le pirate prend une adresse IP sensible telle qu’un
routeur d’accès ou un serveur DNS, l’entreprise qui implémente une reconfiguration
systématique d’un firewall risque tout simplement de se couper du monde extérieur.
 Réponse active : La réponse active consiste à répondre directement à une attaque, elle
implique des actions automatisées prises par un IDS qui permet de couper rapidement
Une connexion suspecte quand le système détecte une intrusion. Par exemple
interrompre le progrès d’une attaque pour bloquer ensuite l’accès suivant de l’attaquant.
Mais cela risque de se voir exposer à une contrattaque part le pirate.

III.1.4.3. La nature des données analysées


La nature des données analysées sont composées de :

Rédigé et présenté Par : AGUEKENG Clorine 30


ETUDE ET MISE EN PLACE D’UN SYSTEME DE DETECTION D’INTRUSION AVEC SNORT

 Les audits systèmes : Les audits systèmes sont produits par le système
d’exploitation d’un hôte. Ces données permettent à un IDS de contrôler les activités
d’un utilisateur sur un hôte.
 Les audits applicatifs : Les données à analyser sont produites directement par une
application, par exemple des fichiers logs générés par les serveurs FTP et les serveurs
Web. L’avantage de cette catégorie est que les données produites sont très synthétiques,
elles sont riches et leur volume est modéré́ . Ces types d’informations sont généralement
intégrés dans les IDS basés sur l’hôte.
 Les sources d’informations réseau : Ce sont des données du trafic réseau. Cette source
d’informations est prometteuse car elle permet de rassembler et analyser les paquets de
données circulant sur le réseau. Les IDS qui exploitent ces sources de données sont
appelés : Les IDS basés réseau NIDS.

III.1.4.4. La fréquence d’utilisation


La fréquence d’utilisation d’un système de détection d’intrusions peut exister selon deux formes
:

o Surveillance périodique : Ce type de système de détection d’intrusions analyse


périodiquement les différentes sources de données à la recherche d’une éventuelle
intrusion ou une anomalie passée.
o Surveillance en temps réel : Les systèmes de détection d’intrusions en temps réel
fonctionnent sur le traitement et l’analyse continue des informations pro- duites par les
différentes sources de données. Elle limite les dégâts produits par une attaque car elle
permet de prendre des mesures qui réduisent le progrès de l’attaque détectée.

III.1.5. Limite des IDS

 N-IDS : Ils sont basés sur une bibliothèque de signatures d’attaques connues, cette
bibliothèque devra être mise à jour à chaque nouvelle attaque sera affichée. Si l’attaque
ne contient pas la signature d’une attaque spécifique et récente, cette dernière passera
au travers des mailles du filet et la sécurité́ des données et le réseau en général sera
menacé.
 H-IDS : Il génère une alerte si une activité́ sur l’hôte s’éloigne de la norme, mais si dans
un cas exceptionnel une requête justifiée mais non prévue par le système venait à arriver
en masse, cette méthode de protection risquerait de générer des alertes infondées. Dans

Rédigé et présenté Par : AGUEKENG Clorine 31


ETUDE ET MISE EN PLACE D’UN SYSTEME DE DETECTION D’INTRUSION AVEC SNORT

ce cas les H-IDS ne sont pas fiables car ils ne font que générer des alertes, et ce sera à
un administrateur en charge de la sécurité́ du réseau de dire si telle ou telle requête est
valable ou pas.

III.1.6. Efficacité des systèmes de détection d’intrusions

L’efficacité́ d’un système de détection d’intrusions est déterminée par les mesures suivantes :

Exactitude : Le système de détection d’intrusions n’est pas exact s’il considère les
actions légitimes des utilisateurs comme atypiques ou intrusives (faux positif).
Performance : Effectuer une détection en temps réel
Tolérance aux pannes : Un système de détection d’intrusions doit être résistant aux
attaques.
Rapidité́ : Un système de détection d’intrusions doit exécuter et propager son analyse
d’une manière prompte pour permettre une réaction rapide dans le cas d’existence d’une
attaque pour permettre à l’agent de sécurité́ de réagir.
La complétude : La complétude est la capacité́ d’un système de détection d’intrusions
de détecter toutes les attaques.

III.2. Quelques exemples d’outils de détections d’intrusions


III.2.1. L’outil Snort

III.2.1.1. Présentation
Snort est un système de détection d'intrusion ( IDS ) open source développé à l'origine en 1998
capable d'effectuer l'analyse du trafic en temps réel. Snort a rendu incroyablement simple
l'utilisation de nouvelles informations sur les menaces pour écrire ses règles qui détecteraient
les menaces émergentes.
 On l'utilise en général pour détecter une variété d'attaques et de scans tels que des
débordements de tampons, des scans de ports furtifs, des attaques CGI, des scans SMB,
des tentatives d'identification d'OS, et bien plus. Snort permet d’analyser le trafic réseau,
il peut être configuré pour fonctionner en plusieurs modes :
Le mode sniffer : dans ce mode, SNORT lit les paquets circulant sur le réseau et les
affiche d’une façon continue sur l’écran
 Le mode packet logger : dans ce mode SNORT journalise le trafic réseau dans des
répertoires sur le disque.

Rédigé et présenté Par : AGUEKENG Clorine 32


ETUDE ET MISE EN PLACE D’UN SYSTEME DE DETECTION D’INTRUSION AVEC SNORT

 Le mode détecteur d’intrusion réseau (NIDS) : dans ce mode, SNORT analyse le trafic
du réseau, compare ce trafic à des règles déjà définies par l’utilisateur et établi des
actions à exécuter.

III.2.1.2. Avantages et inconvénients


 Avantages
 Gratuit (Open Source)
 Large communauté d’utilisateurs (Beaucoup de contributions &
documentations)
 Mise en œuvre basique rapide
 Beaucoup de documentations
 Bonne base de signatures (mise à jour & modifiable)
 La technologie bénéficie d'un taux d'adoption assez large qui se prête à des
remèdes rapides aux menaces émergentes
 Inconvénients
 Configuration essentiellement par édition de fichiers texte
 Les vraies attaques menées par exemple sur cgi-bin (répertoire permettant de
stocké les programmes perl), ne sont pas toujours détectées…

III.2.2. L’outil Suricata

III.2.2.1. Présentation
Suricata est un logiciel open source de détection d'intrusion qui a été introduit en 2009 dans le
but de répondre aux exigences des infrastructures modernes. Il est développé par la fondation
OISF (Open Information Security Foundation) et permet l'inspection des Paquets en
Profondeur. Comme Snort, Suricata est basé sur des règles et, bien qu'il offre une compatibilité
avec les règles Snort, il a également introduit le multi-threading, qui offre la capacité théorique
de traiter plus de règles sur des réseaux plus rapides, avec des volumes de trafic plus importants,
sur le même matériel. Suricata a également incorporé le langage de script Lua qui a fourni une
plus grande flexibilité pour créer des règles qui identifient les conditions qui seraient difficiles
ou impossibles avec une règle de Snort héritée. En termes simples, cela permet aux utilisateurs
d'adapter Suricata aux menaces complexes auxquelles l'entreprise est généralement confrontée.

Rédigé et présenté Par : AGUEKENG Clorine 33


ETUDE ET MISE EN PLACE D’UN SYSTEME DE DETECTION D’INTRUSION AVEC SNORT

III.2.2.2. Avantages et inconvénients


 Avantages
 Gratuit (Open Source)
 Accélération matérielle intégrée
 Haute performance
 Inconvénients
 Installation complexe
 Petite communautés utilisateurs

III.2.3. L’outil Bro

III.2.3.1. Présentation
Bro est un logiciel libre de détection d'intrusion orientée réseau conçu et maintenu par des
centres de recherches. Il a été renommé Zeek en fin 2018 et est parfois appelé Bro-IDS ou
maintenant Zeek-IDS, est un peu différent de Snort et Suricata. D'une certaine manière, Bro est
à la fois un IDS basé sur une signature et une anomalie. Son moteur d'analyse convertira le
trafic capturé en une série d'événements. Un événement peut être une connexion d'utilisateur
au FTP, une connexion à un site Web ou pratiquement n'importe quoi. La puissance du système
est ce qui vient après le moteur d'événements et c'est l'interpréteur de script de stratégie. Ce
moteur de politique a son propre langage (Bro-Script) et il peut effectuer des tâches très
puissantes et polyvalentes. Ce logiciel est programmé de façon totalement différente de Snort,
il s'appuie sur les mêmes bases théoriques (filtrage par motif, formatage aux normes RFC, etc.),
mais il intègre un atout majeur : l'analyse de flux réseau. Cette analyse permet de concevoir
une cartographie du réseau et d'en générer un modèle. Ce modèle est comparé en temps réel au
flux de données et toute déviance lève une alerte.

III.2.3.2. Avantages et inconvénients


 Avantages
 Langage de script puissant
 Configuration très simple grâce à un script interactif
 IDS très difficile à détecter par un pirate
 Inconvénients
 Fichiers d'alertes pas très compréhensibles

Rédigé et présenté Par : AGUEKENG Clorine 34


ETUDE ET MISE EN PLACE D’UN SYSTEME DE DETECTION D’INTRUSION AVEC SNORT

 Peu d'informations dans les rapports d'alertes


 Aucune interface graphique
 Documentation incomplète

Conclusion
Dans ce chapitre, nous avons présenté les notions des systèmes de détection d’intrusions, leurs
architectures, ainsi que leurs fonctionnements et quelques exemples d’outils d’IDS. Ils
complètent les taches des autres équipements de sécurité́ comme les par-feux et VPN, anti-virus
etc... Il en ressort de ce qui précède que Snort est le meilleur IDS ; il a une énorme communauté
d'utilisateurs et un nombre encore plus grand d'abonnés aux règles de Snort qui ne cessent
d’augmenter.

Nous allons voir dans le chapitre suivant comment réussir une configuration de ce dernier afin
de mieux sécuriser le réseau.

Rédigé et présenté Par : AGUEKENG Clorine 35


ETUDE ET MISE EN PLACE D’UN SYSTEME DE DETECTION D’INTRUSION AVEC SNORT

CHAPITRE IV : MISE EN ŒUVRE


D’UN IDS (SNORT)

Rédigé et présenté Par : AGUEKENG Clorine 36


ETUDE ET MISE EN PLACE D’UN SYSTEME DE DETECTION D’INTRUSION AVEC SNORT

Introduction
Dans les précédents chapitres, nous avons vu que les IDS sont utile à la sécurisation des
réseaux informatique. Dans ce chapitre nous allons voir un cas pratique concernant Snort.

Nous commencerons d’abord par une description générale de l’outil Snort. Ensuite nous
discuterons de l’environnement utilisé pour l’implémentation de la solution, ainsi que son
emplacement dans le réseau. Enfin nous terminerons avec la présentation des différentes
manipulations (installations, configurations et fonctionnalités).

IV.1. Présentation générale de Snort


En anglais, Snort signifie « renifler ». Snort est un système de détection d'intrusions libre (ou
NIDS) publié sous licence GNU GPL. À l'origine écrit par Martin Roesch, il appartient
actuellement à Sourcefire. Des versions commerciales intégrant du matériel et des services de
supports sont vendues par Sourcefire. Snort est un des NIDS les plus performants. Il est soutenu
par une importante communauté qui contribue à son succès.

IV.1.1. Fonctionnement

Snort capture des paquets sur un point d’un réseau IP, analyse le flux obtenu en temps réel, et
compare le trafic réseau à une base de données d’attaques connues. Les attaques connues sont
répertoriées dans des librairies de règles mises à jour par plusieurs communautés très actives.

Snort peut également être utilisé avec d'autres modules compatibles (tels que des interfaces
graphiques, des actualisateurs de librairies d’attaques indépendants, etc.)

Snort est compatible avec la plupart des OS. Windows, Mac, Linux Ubuntu, CentOS…

IV.1.2. Positionnement de Snort dans un réseau

L’emplacement physique de la sonde Snort sur le réseau a un impact considérable sur son
efficacité. Dans le cas d’une architecture classique, composée d’un Firewall et d’une DMZ,
trois positions sont généralement envisageables :

Rédigé et présenté Par : AGUEKENG Clorine 37


ETUDE ET MISE EN PLACE D’UN SYSTEME DE DETECTION D’INTRUSION AVEC SNORT

Figure 16 : Les différentes positions de Snort dans un réseau


 Avant le Firewall ou le routeur filtrant : dans cette position, la sonde occupe une
place de premier choix dans la détection des attaques de sources extérieures visant
l’entreprise. Snort pourra alors analyser le trafic qui sera éventuellement bloqué par le
Firewall. Les deux inconvénients de cette position du NIDS sont :

Le risque engendré par un trafic très important qui pourrait entraîner une perte de fiabilité.

Étant situé hors du domaine de protection du firewall, le NIDS est alors exposé à d'éventuelles
attaques pouvant le rendre inefficace.

 Sur la DMZ : dans cette position, la sonde peut détecter tout le trafic filtré par le
Firewall et qui a atteint la zone DMZ. Cette position de la sonde permet de surveiller
les attaques dirigées vers les différents serveurs de l’entreprise accessibles de
l’extérieur.
 Sur le réseau interne : le positionnement du NIDS à cet endroit nous permet d’observer
les tentatives d’intrusions parvenues à l’intérieur du réseau d’entreprise ainsi que les
tentatives d’attaques à partir de l'intérieur. Dans le cas d’entreprises utilisant largement
l'outil informatique pour la gestion de leurs activités ou des Réseaux fournissant un
accès à des personnes peu soucieuses de la sécurité (réseaux d’écoles et d’universités),
cette position peut revêtir un intérêt primordial.

IV.1.2.1. La position de Snort choisie


Vue que l’entreprise INFOGENIE TECHNOLOGIES s’intéresse aux menaces externes
provenant du réseau internet, nous avons opté pour la deuxième position (sur la DMZ), ayant
une caractéristique qui répond aux besoins de l’entreprise.

Rédigé et présenté Par : AGUEKENG Clorine 38


ETUDE ET MISE EN PLACE D’UN SYSTEME DE DETECTION D’INTRUSION AVEC SNORT

Figure 17 : Architecture réseau de l’entreprise incluant l’IDS Snort.

IV.1.3. Architecture de Snort

Figure 18 : Architecture logique de Snort.

L’architecture de Snort (Fig. 18) est modulaire, elle est décomposée de :

• Un noyau de base : (Packet Decoder) au démarrage, ce noyau charge un ensemble de


règles, compile, optimise et classe celles-ci. Durant l’exécution, le rôle principal du
noyau est la capture de paquets.
• Une série de pré – processeurs : ceux-ci améliorent les possibilités de SNORT en
matière d’analyse et de recomposition du trafic capturé. Ils reçoivent les paquets

Rédigé et présenté Par : AGUEKENG Clorine 39


ETUDE ET MISE EN PLACE D’UN SYSTEME DE DETECTION D’INTRUSION AVEC SNORT

directement capturés, éventuellement les retravaillent puis les fournissent au moteur de


recherche de signatures.
• Un ou plusieurs moteurs de détection (Detection Engine) applique une série
d’analyses aux paquets, ces analyses se composent principalement de comparaisons de
différents champs des headers des protocoles (IP, ICMP, TCP et UDP) par rapport à des
valeurs précises.

Après la détection d’intrusions, une série de « output plugins » permet de traiter cette intrusion
de plusieurs manières : envoie vers un fichier log, envoie d’un message d’alerte vers un serveur
syslog, stocker cette intrusion dans une base de données SQL.

IV.1.4. Environnement

L’entreprise nous a exigé de travailler dans un environnement Linux, plus précisément :

Ubuntu, car il nous fournit un espace de travail unique et nous assure une fiabilité de résultats.

Ubuntu est un système d’exploitation GNU/Linux basé sur la distribution Linux Debian. Sa
variante serveur est extrêmement compétitive, dans le classement des meilleures distributions
serveurs de Linux.

Figure 19 : Logo du système d’exploitation Ubuntu


IV.1.5. Installation de Snort

Pour installer SNORT sous Ubuntu, nous devons d’abord installer les outils de compilations et
les dépendances de Snort :

 Libpcap (Packet CAPture) : Librairie utilisée par Snort pour capturer les paquets.
 Libnet : c’est une bibliothèque logicielle open source. Elle permet de fabriquer et
d’injecter facilement des paquets sur un réseau.

Rédigé et présenté Par : AGUEKENG Clorine 40


ETUDE ET MISE EN PLACE D’UN SYSTEME DE DETECTION D’INTRUSION AVEC SNORT

 GCC (GNU Compiler Collection) : un compilateur sous linux permettant de compiler


du c, du c++, du java… indispensable pour compiler les sources de Snort.
 Libpcre : est une librairie de fonctions utilisant la même syntaxe et sémantique que Perl
5.
 Daq : permet d’acquérir des paquets sur le réseau. Indispensable pour les versions de
Snort après la 2.9.16
 Zlib : bibliothèque logicielle de compression de données.

Figure 20 : Commandes nécessaires pour installer snort


Testez l’installation de snort avec la commande “snort –V” et vous avez cette image :

Rédigé et présenté Par : AGUEKENG Clorine 41


ETUDE ET MISE EN PLACE D’UN SYSTEME DE DETECTION D’INTRUSION AVEC SNORT

Figure 21 : Vérification de l’installation de snort.


IV.1.6. Mode de fonctionnement

Il peut être configuré pour fonctionner en plusieurs modes :

Le mode sniffer : dans ce mode, Snort lit les paquets circulant sur le réseau et les
affiche d’une façon continue sur l’écran ;
Le mode « packet logger » : dans ce mode Snort journalise le trafic réseau dans des
répertoires sur le disque ;
Le mode détecteur d’intrusions réseau (NIDS) : ce mode fait l’objet de notre stage.
Dans ce mode, Snort analyse le trafic du réseau, compare ce trafic à des règles déjà
définies par l’utilisateur et établi des actions à exécuter.

Rédigé et présenté Par : AGUEKENG Clorine 42


ETUDE ET MISE EN PLACE D’UN SYSTEME DE DETECTION D’INTRUSION AVEC SNORT

Figure 22 : Commandes nécessaires à la configuration de snort.

IV.1.7. Paramètres de Snort

IV.1.7.1. Préprocesseurs
Les préprocesseurs permettent d’étendre les fonctionnalités de SNORT. Ils sont exécutés avant
le lancement du moteur de détection et après le décodage du paquet IP. Le paquet IP peut être
modifié ou analysé de plusieurs manières en utilisant le mécanisme de préprocesseur. Les
préprocesseurs sont chargés et configurés avec le mot-clé préprocesseur. Le format de la
directive préprocesseur dans les règles de SNORT est : Préprocesseur <nom> : <options>.
Exemple : Preprocessor minfrag : 128.

IV.1.7.2. Les plugins de sortie


Les plugins de sortie ont été introduits dans la version 1.6. Ils permettent à Snort d’être plus
souple dans la mise en forme et la présentation de la sortie aux utilisateurs. Les modules de
sortie fonctionnent lorsque les sous-systèmes d’alerte ou de logging de Snort sont appelés,

Rédigé et présenté Par : AGUEKENG Clorine 43


ETUDE ET MISE EN PLACE D’UN SYSTEME DE DETECTION D’INTRUSION AVEC SNORT

après les préprocesseurs et l’engin de détection. Comme les systèmes standards de logs et
d’alertes, les modules de sortie envoient leurs données dans /var/log/snort par défaut ou un
répertoire utilisateur spécifié avec l’option –l en ligne de commande.

Les modules de sortie sont chargés lors de l’exécution en spécifiant le mot clef de sortie : output
<name> : <options>.

IV.1.7. 3. Les règles de snort


IV.1.7.3.1 Création des règles
Les règles de Snort sont composées de deux parties distinctes : le header et les options.

Le header permet de spécifier le type d’alerte à générer (alert, log et pass) et d’indiquer les
champs de base nécessaires au filtrage : le protocole ainsi que les adresses IP et ports sources
et destination.

Les options, spécifiées entre parenthèses, permettent d’affiner l’analyse, en décomposant la


signature en différentes valeurs à observer parmi certains champs du header ou parmi les
données.

Options (msg,
Action Protocole Adresse1 Port1 Direction Adresse2 Port2
content...)

Tableau 5 : Les différents champs d’une règle Snort


Header

 Le champ « action » : il peut prendre plusieurs valeurs selon l’action à mener par
Snort en détectant des paquets réseaux répondant au critère défini dans la règle. Ces
valeurs sont les suivantes :
o Alert : génère une alerte et log le paquet.
o Log : log le paquet
o pass : ignore le paquet
o Activate : active une règle dynamique
o Dynamic : définie une règle dynamique…etc
 Le champ « Protocole » : décrit le protocole utilisé pour la communication. Snort
supporte les protocoles TCP, UDP, ICMP et IP.

Rédigé et présenté Par : AGUEKENG Clorine 44


ETUDE ET MISE EN PLACE D’UN SYSTEME DE DETECTION D’INTRUSION AVEC SNORT

 Les champs « Direction » : renseignent Snort sur la direction des échanges réseau
(>, <-, <->).
 Les champs « Adress/Port » : décrivent les adresses IP et les ports des machines qui
échangent des données sur le réseau.

Options

Pour chaque option le format est nom (option), ci-dessous les options utilisées dans la création
des règles :

 msg : affiche un message dans les alertes et journalise les paquets.


 Logto : journalise le paquet dans un fichier nommé par l’utilisateur au lieu de la
sortie standard.
 Ttl : teste la valeur du champ TTL de l’entête IP.
 Tos : teste la valeur du champ TOS de l’entête.
 Id : teste le champ ID de fragment de l’entête IP pour une valeur spécifiée.
 Ipoption : regarde les champs des options IP pour des codes spécifiques
 Fragbits : teste les bits de fragmentation de l’entête IP.
 Dsize : teste la taille de la charge du paquet contre une valeur.
 Flags : teste les drapeaux TCP pour certaines valeurs.
 Seq : teste le champ TCP de numéro de séquence pour une valeur spécifique.
 Ack : teste le champ TCP d’acquittement pour une valeur spécifiée.
 Itype : teste le champ type ICMP contre une valeur spécifiée.
 Icode : teste le champ code ICMP contre
 Icmp_id : teste le champ ICMP ECHO ID contre une valeur spécifiée.
 Icmp_seq : teste le numéro de séquence ECHO ICMP contre une valeur spécifiée.
 Content : recherche un motif dans la charge d’un paquet.
 Content-list : recherche un ensemble de motifs dans la charge d’un paquet.
 Offset : modifie l’option contente, fixe le décalage du début de la tentative de
correspondance de motif.
 Depth : modifie l’option content, fixe la profondeur maximale de recherche pour la
tentative de correspondance de motif.
 Nocase : correspond à la procédure de chaine de contenu sans sensibilité aux
différences majuscules/minuscules

Rédigé et présenté Par : AGUEKENG Clorine 45


ETUDE ET MISE EN PLACE D’UN SYSTEME DE DETECTION D’INTRUSION AVEC SNORT

 Session : affiche l’information de la couche applicative pour la session donnée.


 Rpc : regarde les services RPC pour des appels à des applications/procédures
spécifiques.
 Resp : réponse active (exemple : ferme les connexions).

IV.1.7.3.2. Mise à jour des règles


Les mises à jour des règles de Snort sont disponibles sur le site officiel http://www.Snort.org.
Grace à un script écrit en Perl appelé PulledPork. Cependant, une inscription annuelle est
requise. Vérifiez que les services snort sont démarrés :

Figure 23 : Services de snort

IV.2. Mise en place de Barnyard2


Barnyard2 est interpréteur open-source pour les fichiers binaires de sortie de Snort de
format unified2. Barnyard permet de prendre en charge l’inscription des événements en base de
données et libère donc des ressources à Snort qui peut davantage se concentrer sur la détection
des intrusions, ainsi Snort inscrira les événements dans des logs au format unifié (Fast Unified
Logging) et ses derniers seront exploités par Barnyard pour une inscription en base de données.

IV.2.1. Le plugin « unified2 »

Le plugin de sortie unifié est conçu pour être la méthode la plus rapide possible de la
journalisation des événements de Snort. Il enregistre les événements dans un format binaire ce
qui permet encore d’alléger le mécanisme sur les alertes des événements.

Le nom unifié est un terme impropre, puisque le plugin de sortie unifié crée deux fichiers
différents, un fichier d’alerte, et un fichier journal.

Rédigé et présenté Par : AGUEKENG Clorine 46


ETUDE ET MISE EN PLACE D’UN SYSTEME DE DETECTION D’INTRUSION AVEC SNORT

 Le fichier d’alerte : contient les détails de haut niveau d’un événement (par exemple :
IP, Protocole, Port, identifiant de message).
 Le fichier journal : contient les informations de paquets détaillés (un dump paquet avec
l’ID d’événement associé).

Les deux types de fichiers sont écrits dans un format binaire.

IV.3. La console B.A.S.E


Par défaut, les alertes de Snort sont enregistrées dans un simple fichier texte. L’analyse de ce
fichier n’est pas aisée, même en utilisant des outils de filtre et de tri. C’est pour cette raison
qu’il est vivement conseillé d’utiliser des outils de monitoring. Parmi ceux-ci, le plus en vogue
actuellement est BASE (Basic Analysis and Security Engine), un projet open- source basé sur
ACID ‘Analysis Console for Instruction Databases).

La console BASE est une application Web écrite en PHP qui est comme l’interface de la base
de données dans laquelle Snort stocke ses alertes. Pour fonctionner, BASE a besoin d’un certain
nombre de dépendances :

 Un SGBD installé, par exemple MySQL.


 Snort compilé avec le support de ce SGBD.
 Un serveur http, par exemple Apache.
 PHP5 : module PHP.
 PHP-MySQL : interface PHP/MYSQL.
 La bibliothèque ADODB (Active Data Object Data Base), destinée à communiquer
avec différents systèmes de gestion de base de données (SGBD) comme MySQL, SQL
server, …etc. Écrite au début en PHP, il existe également une version en Python.
 PHP-Mail : extension PHP.

Rédigé et présenté Par : AGUEKENG Clorine 47


ETUDE ET MISE EN PLACE D’UN SYSTEME DE DETECTION D’INTRUSION AVEC SNORT

Figure 24 : Commandes nécessaires pour installer Barnyard2


Testez Barnyard2 pour vous assurer qu'il est correctement installé :

Figure 25 : Vérification de l’installation de Barnyard 2


Vérifiez que les services de Barnyard2 sont démarrés :

Rédigé et présenté Par : AGUEKENG Clorine 48


ETUDE ET MISE EN PLACE D’UN SYSTEME DE DETECTION D’INTRUSION AVEC SNORT

Figure 26 : Services de Barnyard2


Accédez à l’interface web de Barnyard2 en utilisant ce lien : « 192.168.4.2/base/base-
main.php ». Et nous avons cette image :

Figure 26 : Interface web de Barnyard

IV.4. Mise en place de PulledPork


PulledPork est un script Perl qui va télécharger, combiner et installer / mettre à jour des
ensembles de règles Snort de divers emplacements à utiliser par snort. Il se définit à travers un
fichier de configuration qui va indiquer les liens URL qui amène à des fichiers téléchargeables,
contenant des règles à jour, et remplaçant les anciens fichiers de règles par ces nouvelles règles.

Rédigé et présenté Par : AGUEKENG Clorine 49


ETUDE ET MISE EN PLACE D’UN SYSTEME DE DETECTION D’INTRUSION AVEC SNORT

Figure 27 : Commandes nécessaires pour installer PulledPork


Exécutez la commande suivante pour vérifier que PulledPork a été bien installer et configurer
: « sudo /usr/local/bin/pulledpork.pl -c /etc/snort/pulledpork.conf –l »

Figure 28 : Vérification de l’installation et de configuration de PulledPork

Conclusion
Snort est un outil très intéressant dans la mise en place d’une sécurité réseau. Grace aux
communautés très actives qui créent les librairies d’attaque, Snort permet de voir avec une
bonne acuité de quoi il faut se protéger. Il est à souligner l’importance d’une bonne mise à jour
de ces librairies. De plus Snort placé dans l’enceinte d’un réseau permet de détecter les failles
les plus répandus qui proviennent généralement de l’extérieur.

Snort est un outil Open source, donc gratuit est accessible à n’importe quel utilisateur, il est
surtout conseillé aux petites entreprises qui n’ont pas les moyens ou les besoins de procurer des
solutions hardwares qui sont très chères, et qui offre le moindre service ou mise à jour avec des
tarifs exorbitant.

Rédigé et présenté Par : AGUEKENG Clorine 50


ETUDE ET MISE EN PLACE D’UN SYSTEME DE DETECTION D’INTRUSION AVEC SNORT

CONCLUSION GENERALE

En définitive, la sécurité des réseaux informatiques demeure encore un sujet très sensible voir
REFERENCES
complexe, pour les acteurs du monde informatique, car les variables qui tournent autour de ce

BIBIOGRAPHIQUESCONCLUSION
sujet sont souvent difficiles à maitriser. Il est de nos jours nécessaire de mettre en place un
système de détection d’intrusion puisque la mise en place des pares- feux et des systèmes
GENERALE
d’authentification ne sont plus suffisants. Nous avons étudié le fonctionnement de ces IDS, en
particulier nous avons pris comme exemple l’outil Open Source Snort qui est le plus réputé en
termes d’efficacité et présente une souplesse en termes de personnalisation. Ce qui nous a offert
l’occasion de travailler sous l’environnement Ubuntu, découvrir et enrichir nos connaissances,
REFERENCES BIBIOGRAPHIQUES
à savoir les réseaux informatiques, leurs sécurités en générale et les systèmes de détection
d’intrusion en particulier. Grâce à notre étude nous avons aussi constaté qu’on ne peut pas avoir
un réseau absolument sécurisé. Malgré les difficultés rencontrées au cours de la réalisation de
ce projet, nos perspectives d’amélioration restent toujours envisageables.

REFERENCES
BIBIOGRAPHIQUESCONCLUSION
GENERALE

REFERENCES
BIBIOGRAPHIQUESCONCLUSION
GENERALE

Rédigé et présenté Par : AGUEKENG Clorine 51

REFERENCES BIBIOGRAPHIQUES
ETUDE ET MISE EN PLACE D’UN SYSTEME DE DETECTION D’INTRUSION AVEC SNORT

REFERENCES BIBIOGRAPHIQUES

 Http://www.snort.org (page consultée le 16/04/2020) ;


 Https://en.wikipedia.org/wiki/Snort_(software) ( page consultée le 25 /04 /2020 ) ;
REFERENCES BIBIOGRAPHIQUES
 Http://lea-linux.org/documentations/Reseau-secu-SNORT( page consultée le 06/05/2020
);
 Https://wiki.monitoring-fr.org/securite/snort/snort-ubuntu-install ( page consultée le
18/05/2020) ;

REFERENCES BIBIOGRAPHIQUES
 Https://www.supinfo.com/articles/single/4920-mise-place-snort-299x-ubuntu(page
consultée le 12/06/2020) ;
 S. Durand, “UV libre Réseau : Système de Détection d ’ Intrusions SNORT Sujet de l ’ UV
: ” 2003 ‘’ ;
 P. Guy, Les réseaux, EYROLLES. 2020 ;
REFERENCES BIBIOGRAPHIQUES
 C. Dracoulides, “La sécurité informatique To cite this version : HAL Id : dumas01556858
par,” 2017 ;
 D. Burgermeister and J. Krier, “Les systèmes de détection d ’ intrusions,” 2006 ;

 V. B. Oistuaud, “Conception d ’ une Zone Démilitarisée (DMZ), ” 2007 ;


REFERENCES BIBIOGRAPHIQUES
 B. Mezni, “Etude et développement d’une plateforme d’analyse des fichiers logs,”
Univ.Virtuelle Tunis Rapp., 2015 ;

 F. Eric, “‫ تربص تقریر‬Rapport de stage,” vol. 1, p. 19.


REFERENCES BIBIOGRAPHIQUES

REFERENCES BIBIOGRAPHIQUES

Rédigé et présenté Par : AGUEKENG Clorine 52

REFERENCES BIBIOGRAPHIQUES

Vous aimerez peut-être aussi