Scribd Logo
Importer

Bienvenue sur Scribd !

  • Atelier SNORT GSTR3 2022-2023

    Transféré par

    Fatima Laqbiti
    41 vues7 pages

    Titre original

    atelier SNORT GSTR3 2022-2023

    Copyright

    © © All Rights Reserved

    Formats disponibles

    PDF, TXT ou lisez en ligne sur Scribd

    Avez-vous trouvé ce document utile ?

    Ce contenu est-il inapproprié ?

    Signaler ce document

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
    Signaler comme contenu inapproprié
    41 vues7 pages

    Atelier SNORT GSTR3 2022-2023

    Transféré par

    Fatima Laqbiti

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
    Signaler comme contenu inapproprié
    sur 7

    DCESS Cybersécurité

    ENSA de Tanger
    2022-2023
    Atelier IDS SNORT
    Responsable : S. Lazaar

    Objectif de l’atelier

    L’objectif de ce TP est d'installer un détecteur d’intrusion IDS, et de le tester afin de comprendre son
    mécanisme. On se focalisera sur un IDS libre appelé SNORT qui est un système de détection et de prévention
    des intrusions de type NIDS (voir support de cours). Il détecte les intrusions sur le réseau et il est capable
    d'effectuer une analyse du trafic en temps réel et une journalisation de paquets sur des réseaux IP (Internet
    Protocol).

    Description de SNORT

    SNORT est un IDS gratuit disponible sur www.snort.org. A l'origine, il fut un sniffer ; il a connu une
    grande évolution et il a été adopté et utilisé dans le monde de la détection d'intrusion en s'appuyant sur une
    base de signature régulièrement enrichie par le "monde du libre".

    Sous Linux (comme sous windows) son installation est simple et se résume (pour linux) par des commandes
    simples, une fois l'archive téléchargée dans le répertoire « /usr/local/SNORT ».
    Outils de l’atelier IDS:
    • Une machine attaquant pour le test (Kali Linux).
    • Machine linux ou Windows pour installer SNORT (ex. metasploitable ou Ubuntu).
    • NMAP

    1
    1-Préparation de la machine :

    Avant d'installer SNORT, nous devons installer tous les logiciels requis.

    1-2 Installation et configuration de DAQ :

    SNORT lui-même utilise une bibliothèque d'acquisition de données (DAQ) pour faire des appels abstraits aux
    bibliothèques de capture de paquets.

    Exécuter le script de configuration en utilisant ses valeurs par défaut, puis compilez le programme avec make et
    enfin installez DAQ.

    2-Installation et configuration de SNORT :

    Ensuite, après avoir téléchargé le code source de SNORT, nous commençons l’installation sur notre machine.

    2
    3-Installation des règles :

    Nous avons ici la possibilité d’utiliser les règles de la communauté pour des tests simples ou d’obtenir des règles
    d’utilisateur enregistrées. Pour ce TP, nous allons utiliser des règles de communauté.

    Poster les règles dans le fichier /etc/SNORT/rules.

    4- Configuration du réseau et des ensembles de règles :

    Dans cette partie on spécifie l’adresse IP de réseau qu’ on veut le sécuriser :

    Ensuite, on peut spécifier le réseau externe ou bien laisser ‘any’:

    Dans l’étape suivante, on donne le fichier des règles installées dans notre machine.

    3
    5-Validation des paramètres :

    On teste la configuration en utilisant le paramètre -T pour activer le mode test.

    6-Test de la configuration :

    Pour cette étape, nous lançons la machine de l'attaquant et nous utilisons des outils pour voir si SNORT
    fonctionne bien.

    6-1 NMAP :

    NMAP est utilisé pour découvrir des hôtes et des services sur un réseau informatique en envoyant des paquets
    et en analysant les réponses.
    On lance SNORT pour faire l’écoute sur notre réseau :

    4
    Nous allons vérifier que notre alerte fonctionne bien. Lancez l’outil Snort avec la commande suivante
    (pensez à adapter le nom de l’interface si elle est différente de eth0):

    snort -A console -i eth0 -u snort -c /etc/snort/snort.conf

    On lance NMAP sur la machine attaquante :

    Le terminal affiche un avertissement pour chaque appel ICMP avec les adresses IP source et de destination,
    l'heure et la date, ainsi que des informations supplémentaires, comme indiqué dans l'exemple ci-dessous :

    5
    6-2 : Lancement de ping depuis la machine attaquante

    Lancez un ping à partir de n’importe quelle machine de votre réseau, comme expliqué précédemment
    Snort est un sniffer réseau, il va aspirer l’ensemble du trafic de votre réseau.

    Vous devriez voir l’alerte que nous venons de créer:

    192.168.121.137->192.168.121.136

    Appuyez sur Ctrl + C pour stopper Snort. L’ensemble des alertes/logs de l’outil sont stockés dans
    /var/log/snort. Pour accéder à un fichier de log, exécutez la commande suivante:

    snort -r /var/log/snort/snort.log.XXXXXX

    Conclusion :
    Pour résumer, l’installation d’un IDS est essentielle pour la détection des menaces réseaux et par
    conséquent pour la protection d’un SSI.
    D’ailleurs, il existe une gamme de solutions de sécurité complémentaires les unes des autres, telles que les anti-
    malware, les scanneurs de failles, les pare feux (firewall) et IDS. Ces solutions permettent d'obtenir une sécurité
    presque convenable face aux attaques les plus courantes. Ces dernières sont d'ailleurs en évolution
    permanente, et de nombreuses failles sont découvertes et exploitées régulièrement.

    Vous aimerez peut-être aussi