Académique Documents
Professionnel Documents
Culture Documents
ENSA de Tanger
2022-2023
Atelier IDS SNORT
Responsable : S. Lazaar
Objectif de l’atelier
L’objectif de ce TP est d'installer un détecteur d’intrusion IDS, et de le tester afin de comprendre son
mécanisme. On se focalisera sur un IDS libre appelé SNORT qui est un système de détection et de prévention
des intrusions de type NIDS (voir support de cours). Il détecte les intrusions sur le réseau et il est capable
d'effectuer une analyse du trafic en temps réel et une journalisation de paquets sur des réseaux IP (Internet
Protocol).
Description de SNORT
SNORT est un IDS gratuit disponible sur www.snort.org. A l'origine, il fut un sniffer ; il a connu une
grande évolution et il a été adopté et utilisé dans le monde de la détection d'intrusion en s'appuyant sur une
base de signature régulièrement enrichie par le "monde du libre".
Sous Linux (comme sous windows) son installation est simple et se résume (pour linux) par des commandes
simples, une fois l'archive téléchargée dans le répertoire « /usr/local/SNORT ».
Outils de l’atelier IDS:
• Une machine attaquant pour le test (Kali Linux).
• Machine linux ou Windows pour installer SNORT (ex. metasploitable ou Ubuntu).
• NMAP
1
1-Préparation de la machine :
Avant d'installer SNORT, nous devons installer tous les logiciels requis.
SNORT lui-même utilise une bibliothèque d'acquisition de données (DAQ) pour faire des appels abstraits aux
bibliothèques de capture de paquets.
Exécuter le script de configuration en utilisant ses valeurs par défaut, puis compilez le programme avec make et
enfin installez DAQ.
Ensuite, après avoir téléchargé le code source de SNORT, nous commençons l’installation sur notre machine.
2
3-Installation des règles :
Nous avons ici la possibilité d’utiliser les règles de la communauté pour des tests simples ou d’obtenir des règles
d’utilisateur enregistrées. Pour ce TP, nous allons utiliser des règles de communauté.
Dans l’étape suivante, on donne le fichier des règles installées dans notre machine.
3
5-Validation des paramètres :
6-Test de la configuration :
Pour cette étape, nous lançons la machine de l'attaquant et nous utilisons des outils pour voir si SNORT
fonctionne bien.
6-1 NMAP :
NMAP est utilisé pour découvrir des hôtes et des services sur un réseau informatique en envoyant des paquets
et en analysant les réponses.
On lance SNORT pour faire l’écoute sur notre réseau :
4
Nous allons vérifier que notre alerte fonctionne bien. Lancez l’outil Snort avec la commande suivante
(pensez à adapter le nom de l’interface si elle est différente de eth0):
Le terminal affiche un avertissement pour chaque appel ICMP avec les adresses IP source et de destination,
l'heure et la date, ainsi que des informations supplémentaires, comme indiqué dans l'exemple ci-dessous :
5
6-2 : Lancement de ping depuis la machine attaquante
Lancez un ping à partir de n’importe quelle machine de votre réseau, comme expliqué précédemment
Snort est un sniffer réseau, il va aspirer l’ensemble du trafic de votre réseau.
192.168.121.137->192.168.121.136
Appuyez sur Ctrl + C pour stopper Snort. L’ensemble des alertes/logs de l’outil sont stockés dans
/var/log/snort. Pour accéder à un fichier de log, exécutez la commande suivante:
snort -r /var/log/snort/snort.log.XXXXXX
Conclusion :
Pour résumer, l’installation d’un IDS est essentielle pour la détection des menaces réseaux et par
conséquent pour la protection d’un SSI.
D’ailleurs, il existe une gamme de solutions de sécurité complémentaires les unes des autres, telles que les anti-
malware, les scanneurs de failles, les pare feux (firewall) et IDS. Ces solutions permettent d'obtenir une sécurité
presque convenable face aux attaques les plus courantes. Ces dernières sont d'ailleurs en évolution
permanente, et de nombreuses failles sont découvertes et exploitées régulièrement.