Mise en Place D'Une Sonde Ids: Soufiane Tazarine at Cybersecurity 1

TP Mise en place d'une sonde IDS
08/11/2022 Soufiane TAZARINE @ CyberSecurity 1

1 Mise en place d'une sonde IDS : 2h30
Introduc)on
Mise en œuvre et configura1on du système de détec1on d’intrusion Snort
Snort est un logiciel de détec0on d'intrusion qui se base sur des signatures pour repérer les intrusions. Il peut
fonc0onner en mode sniffer (capture le trafic et l'affiche), packet logger (capture le trafic et le stocke), NIDS (en
temps réel).
• Appar0ent actuellement à Sourcefire

• L’un des plus ac0fs NIDS Open Source
• Détec0on basée sur les signatures
• Dernière Snort 2.9.15.1
• hJps://www.snort.org/
• Publié sous licence GNU GPL
• Doc : hJps://www.snort.org/#documents

Objec)fs du TP
q Comprendre le rôle d’un système de détec0on d’intrusion dans un réseau

q Installer Snort et effectuer les configura0ons nécessaires au bon fonc0onnement du système
q Effectuer des tests avec Snort dans ses différents modes
q Lancer des aJaques simples et analyser les alertes générées par Snort
q Apprendre à écrire de nouvelles règles personnalisées

VM victime
VM Debian en mode NAT
Prérequis Protégée par SNORT
q Une machine hôte 192.168.230.6
q U0liser une VM de type Debian en mode NAT
q L’ou0l snort eth0
q L’ou0l nmap Flux d’a)aques

bridge100
q Dans ce TP, voici l’environnement u0lisé : Attaquant
Machine hôte
192.168.230.1

Posi)onnement de l’IDS dans une
Ques1on 0
a) Qu’est ce qu’un NIDS et comment fonctionne-t-il ?
b) Quelle est la différence entre un IDS et IPS ?
c) Dans le schéma ci-contre, quel NIDS générera la plus

d’alerte : External NIDS ou Internal-NIDS ? Justifier la
réponse
08/11/2022 Soufiane TAZARINE @ CyberSecurity 5

TP Prise en main de Snort

Installation
q Nous allons installer l’outil snort avec la commande suivante
apt-get install snort
q La commande « snort » permet de lancer l’outil et les options permettent des spécifier le mode de
lancement

Par)e 1 : Modes de fonc)onnement
q Nous allons nous intéresser aux trois modes :

1. Mode Sniffer,
2. Mode Packet logger
3. Mode NIDS
Exercice demandé :
q Lancer Snort dans les différents modes et analyser les résultats :

Remarques importantes :
- Si Snort n’affiche rien, il faudrait générer un flux. Exemple : naviguer sur un site web avec le
navigateur pour générer un flux HTTP
- Pour arrêter le monitoring : ctrl+c ou ctrl+z
- Les captures d’écran demandées dans le rapport ne doivent pas être très longues, merci de capture
seulement un extrait.
- Veuillez adapter les commandes du TP à votre environnement : adressage réseau, nom de

l’interface, commande debian vs autres distribu[on,…Etc.

1) Mode Sniffer (ou Dump Mode) : op)on -v
q Nous allons lancer le mode sniffer afin de

capturer de paquets et les visualiser
snort -v
q -v : verbose Question 1
Choisir un packet détecté par snort et le décrire, en citant :

• l’IP et port source
• l’IP et port destination
• le protocol couche transport
1) Mode Sniffer (ou Dump Mode) :

op)on -vd
q Le mode Dump permet d’afficher

jusqu'aux paquets IP
snort -vd
q -vd : verbose Dump Question 2
Décrire la différence entre le mode (-v) et (-vd). Que

voyons-nous de plus ?

1) Mode Sniffer (ou Dump Mode) : op)on -

vde
q Le mode Dump permet d’afficher

l’intégralité des paquets reçus
snort -vde
q -vde => e : affichage de la couche 2 Question 3
Décrire la différence entre le mode (-vd) et (-

vde). Que voyons-nous de plus ?

2) Mode packet logger
q Le mode Packet Logger permet la capture puis

le stockage de la capture dans le fichier test.log
et y rajoutera une suite de chiffre dans le nom
snort -de -L /var/log/test.log
q Pour lire les fichiers, nous u[lisons également Question 4

snort (Agen[on : adapter le nom du fichier)
Pour quelle raison les adresses MAC sont
snort -de -r /var/log/test.log.xxxxxxxxxxxx affichées dans les échanges logés par snort ?

2) Mode packet logger
q Le mode Packet Logger permet la capture puis

le stockage de la capture dans le fichier
today.log avec spécifica[on du réseau concerné
snort -de -L /var/log/today.log -h 192.168.230.
q AMen)on : penser à adapter le paramètre

« 192.168.230. » avec votre réseau local

3) Mode NIDS « Network Intrusion Detec)on System Mode »

Attention : changer le
q Le mode NIDS permet de détecter les intrusions grâce à snort
nom de l’interface si
celle-ci est différente
snort -i eth0 -dve -c /etc/snort/snort.conf -A fast de eth0
q -i eth0 : interface où Snort doit écouter
q -c /etc/snort/snort.conf : le fichier de configuraJon de Snort qui doit contenir les

règles de détecJon
Ques1on 5
Qu’est ce que c’est qu’un scan de
q -A mode d’alerte (fast, full et none)
q -A fast : mode d'alerte rapide, affiche l'alerte dans un format simple avec port sur un réseau ?
l'horaire, le message d'alerte, les adresses IP et les ports sources et
desJnaJons Comment se déroule cette activité
q -A full : mode d'alerte par défaut, si vous ne spécifiez rien ceci sera de scan ?
automaJquement uJlisé
q -A none : ne remonte aucune alertes

4 Configuration des régles de détection

Configuration de l’environnement 192.168.230.1 192.168.230.6
Ma machine vic[me doit être en

mode NAT
Pour ce TP, le réseau NAT est

192.168.230.0/24

Configura)on de l’environnement
Il faudrait configurer snort pour la prise en

compte de ces éléments :
• HOME_NET => machine à superviser
• EXTERNAL_NET => machine aMaquante
nano /etc/snort/snort.conf

Par$e 2 : Ajout de nouvelles règles
Les règles de Snort sont

composées de deux par[es
dis[nctes :
• le header
• les op)ons.
Le header permet de spécifier le type d’alerte à générer (alert, log...) et d’indiquer les champs de
base nécessaires au filtrage : le protocole (TCP, UDP ou ICMP), l'orienta[on du trafic auquel la
règle s'applique (Unidirec[onnel ou Bidirec[onnel) ainsi que les adresses IP et ports sources et
des[na[on.

Les op)ons, spécifiées entre parenthèses, permegent d’affiner l’analyse, en

décomposant la signature en différentes valeurs à observer parmi certains champs du
header ou parmi les données.
Les op[ons de règle forment le cœur du moteur de détec[on d'intrusion de Snort.

Toutes les op[ons de règle de Snort sont séparées les unes des autres par un caractère
point-virgule " ; »

Les mots clés des op)ons de règle sont séparés de leurs arguments avec un caractère deux points "
: " . Ci- dessous les différentes op[ons de règle disponibles dans Snort :
q msg - affiche un message dans les alertes et journalise les paquets

q Ml - teste la valeur du champ TTL de l'entête IP
q ipop)on - regarde les champs des op[ons IP pour des codes spécifiques
q fragbits - teste les bits de fragmenta[on de l'entête IP
q dsize - teste la taille de la charge du paquet contre une valeur
q flags - teste les drapeaux TCP pour certaines valeurs
q seq - teste le champ TCP de numéro de séquence pour une valeur spécifique
q ack - teste le champ TCP d'acquigement pour une valeur spécifiée
q itype - teste le champ type ICMP contre une valeur spécifiée

q icode - teste le champ code ICMP contre une valeur spécifiée

q icmp_id - teste la champ ICMP ECHO ID contre une valeur spécifiée
q icmp_seq - teste le numéro de séquence ECHO ICMP contre une valeur spécifique
q content - recherche un mo[f dans la charge d'un paquet
q content-list - recherche un ensemble de mo[fs dans la charge d'un paquet
q offset - modifie l'op[on content, fixe le décalage du début de la tenta[ve de correspondance de
mo[f
q session - affiche l'informa[on de la couche applica[ve pour la session donnée
q sid – iden[fiant de signature contenue dans la base de signature
ac)on protocole SourceIP SourcePort -> des)na)onIP des)na)on port (op[on1 ; op[on2 ;)

1/ Ajout d’une règle pour détecter le ping
nous allons une nouvelle règle qui génère une Ques1on 6

alerte si une machine dans votre réseau reçoit un a) Que signifie le mot « flooding » dans le
ping echo (type 8, code 0). domaine de la cybersécurité ?
b) A quoi sert le protocole ICMP ? Et de
Pour ajouter la règle, créer un fichier MyRule.rules
quelle couche du modèle TCP/IP fait-il
dans le répertoire /etc/snort/rules/ :
partie ?
alert icmp $EXTERNAL_NET any -> $HOME_NET any c) Décrire l’attaque « ICMP » flooding ?
(msg: "aMen)on requête echo"; sid: 10000002; rev: 1;
itype: 8; icode: 0;) d) Connaissez-vous d’autres attaques de
flooding ?

Ajout d’une règle pour détecter le ICMP flooding
Sauvegardez le fichier, ouvrez /etc/snort/snort.conf

et ajouter la ligne (la dernière ligne des includes)
include $RULE_PATH/MyRule.rules
Question 7
Snort inclus déjà plusieurs fichiers, comme
par exemple : include $RULE_PATH/web-
php.rules
D’où viennent ces fichiers et à quoi
servent-ils pour snort ?

1/ Ajout d’une règle pour détecter le ping ECHO
Relancer Snort (commande pou Debian)
Systemctl restart snort.service

De la même manière que l’agaque de scan de réseau précédente, nous allons lancer trois
terminaux :
1) Lancer la détection snort (sur la Machine snort -i eth0 -dve -c /etc/snort/snort.conf -A full
cible)
2) Visualiser les alertes en temps réel (sur la tail -f /var/log/snort/alert

Machine cible aussi)
3) Lancer l’attaque (depuis la machine ping -i 0 -s 10000 192.168.230.6

attaquante)

Machine cible
Machine attaque
Terminal 1
Terminal 2
Terminal 2

Terminal 1 Terminal 3
Terminal 2

Ques1on 8
Décrire ce qui s’est passé durant cette
attaque.
D’où vient le message : « attention
requete echo » ?
Qui est à l’orgine de l’attaque ?
(Adresse IP)

Pour informa)on, il est possible de générer des alertes en spécifiant le type de

la machine agaquante.
Par exemple : machine agaquante de type windows :
alert icmp $EXTERNAL_NET any -> $HOME_NET any (msg:"PING from Windows"; content:"|
61 62 63 64 65 66 67 68 69 6a 6b 6c 6d 6e 6f 70|";itype:8;depth:32;sid:1000001;)
Règle pour détecter si le ping est généré par un système linux :
alert icmp $EXTERNAL_NET any -> $HOME_NET any (msg:" Ping OpenBSD-Linux ";
content: "|10 11 12 13 14 15 16 17 18 19 1a 1b 1c 1d 1e 1f |"; itype: 8; depth: 32; sid :
1000002 ;)

2/ Ajout d’une règle pour détecter l’ICMP Flooding
U[liser le paramètre detec[on_Filter pour détecter les ICMP Flooding
alert icmp any any -> $HOME_NET any (msg:"aMaque de ICMP flood"; sid:1000006;
rev:1; classtype:icmp-event; detec)on_filter:track by_dst, count 100 , seconds 5;)
Nous allons filtrer l’agaque

• count : spécifie le nombre d’occurrences provoquant l’alerte, le seuil de détec[on
(toutes les 100 requêtes ici)
• Seconds : spécifie l’intervalle de temps, dans lequel on comptabilise : (toutes les
secondes, si plus de 100 requêtes)
• track by_dst : vérifie le nombre de paquet pour chaque des[na[on

Retestons avec une nouvelle aMaque de ping flooding !
Dans le fichier MyRules, commencer par commenter l’ancienne règle d’alerte et ajouter la
nouvelle règle.

1) Lancer la détection snort snort -i eth0 -dve -c /etc/snort/snort.conf -A full

2) Visualiser les alertes en temps réel
tail -f /var/log/snort/alert
3) Lancer l’attaque (depuis la machine ping -f 192.168.230.6

attaquante)

Résultat de détec[on :
Visualiser le fichier d’alerte
Ques1on 9
a) Décrire ce qui s’est passé durant cette attaque.
b) En quoi cette attaque est différente de la première
(ping echo)
c) Pourquoi cette attaque est plus dangereuse que la
première ?

3/ Ajout d’une règle pour détecter l’AMaque Syn-Flooding
D’abord, ajouter cege règle à votre fichier MyRules.rules
alert TCP any any -> $HOME_NET any (msg:"TCP SYN flood attaque detectée"; flags:S;
threshold: type threshold, track by_dst, count 1000 , seconds 60; sid: 5000002;)
1) Lancer la détec[on snort snort -i eth0 -dve -c /etc/snort/snort.conf -A full

3) Lancer l’agaque (depuis la machine agaquante) nmap -sS 192.168.230.6

Résultat du TCP Syn Flooding
Question 10
a) Rappeler le déroulement de l’initiation d’une session TCP, avec les flags
utilisés ?
b) Comment une attaque TCP SYN Flooding peut elle impacter un serveur ?
c) Décrire ce qui s’est passé durant cette attaque de TCP SYN Flooding

3/ Détec)on de scan NMAP
q Terminal 1 : Nous allons lancer snort en mode sniffer
snort -i eth0 -dve -c /etc/snort/snort.conf -A full

A'en(on : vous devez
scanner votre réseau
(dans l’environnement
q Terminal 2 :Analysons le fichier alert de snort (commande tail
pour voir les alerts en temps réel pendant le scan) du TP : pour cet
exemple c’est
192.168.230.0/24)

3/ Détec)on de scan NMAP
D’abord, ajouter cege règle à votre fichier MyRules.rules
alert ip any any -> $HOME_NET any (msg: "scanner NMAP en cours ";sid:10000005; rev:2; )
1) Lancer la détec[on snort snort -i eth0 -dve -c /etc/snort/snort.conf -A full

3) Lancer l’agaque (depuis la machine agaquante) nmap -sV -p- 192.168.230.6

3) Mode NIDS
q Analysons le fichier alert de snort (commande tail pour voir les alerts en temps réel pendant
le scan)
Question 11
Expliquer le déroulement de ce scan de ports.
Quel protocole a été détecté ? TCP ou UDP ?
Exercice 1 :
Ecrire et tester une règle snort pour la détection de l’attaque UDP Flooding
- Le message d’alerte doit être : « détection attaque UDP flooding »
- Astuce : pour réaliser l’attaque, utiliser l’option -sU de nmap

Mise en Place D'Une Sonde Ids: Soufiane Tazarine at Cybersecurity 1

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Mise en Place D'Une Sonde Ids: Soufiane Tazarine at Cybersecurity 1

Transféré par

Droits d'auteur :

Formats disponibles

TP Mise en place d'une sonde IDS

08/11/2022 Souﬁane TAZARINE @ CyberSecurity 1

Mise en œuvre et conﬁgura1on du système de détec1on d’intrusion Snort

• Appar0ent actuellement à Sourceﬁre

08/11/2022 Souﬁane TAZARINE @ CyberSecurity 2

q Comprendre le rôle d’un système de détec0on d’intrusion dans un réseau

08/11/2022 Souﬁane TAZARINE @ CyberSecurity 3

q Une machine hôte 192.168.230.6

q U0liser une VM de type Debian en mode NAT

q L’ou0l snort eth0

q L’ou0l nmap Flux d’a)aques

08/11/2022 Souﬁane TAZARINE @ CyberSecurity 4

Posi)onnement de l’IDS dans une

a) Qu’est ce qu’un NIDS et comment fonctionne-t-il ?

b) Quelle est la différence entre un IDS et IPS ?

c) Dans le schéma ci-contre, quel NIDS générera la plus

08/11/2022 Soufiane TAZARINE @ CyberSecurity 5

08/11/2022 Souﬁane TAZARINE @ CyberSecurity 6

q Nous allons installer l’outil snort avec la commande suivante

apt-get install snort

08/11/2022 Souﬁane TAZARINE @ CyberSecurity 7

Par)e 1 : Modes de fonc)onnement

q Nous allons nous intéresser aux trois modes :

q Lancer Snort dans les diﬀérents modes et analyser les résultats :

08/11/2022 Souﬁane TAZARINE @ CyberSecurity 8

- Pour arrêter le monitoring : ctrl+c ou ctrl+z

- Veuillez adapter les commandes du TP à votre environnement : adressage réseau, nom de

08/11/2022 Soufiane TAZARINE @ CyberSecurity 9

1) Mode Sniﬀer (ou Dump Mode) : op)on -v

q Nous allons lancer le mode sniﬀer aﬁn de

Choisir un packet détecté par snort et le décrire, en citant :

1) Mode Sniﬀer (ou Dump Mode) :

q Le mode Dump permet d’aﬃcher

q -vd : verbose Dump Question 2

Décrire la différence entre le mode (-v) et (-vd). Que

08/11/2022 Soufiane TAZARINE @ CyberSecurity 11

1) Mode Sniﬀer (ou Dump Mode) : op)on -

q Le mode Dump permet d’aﬃcher

q -vde => e : aﬃchage de la couche 2 Question 3

Décrire la différence entre le mode (-vd) et (-

08/11/2022 Soufiane TAZARINE @ CyberSecurity 12

2) Mode packet logger

q Le mode Packet Logger permet la capture puis

snort -de -L /var/log/test.log

q Pour lire les ﬁchiers, nous u[lisons également Question 4

08/11/2022 Soufiane TAZARINE @ CyberSecurity 13

2) Mode packet logger

q Le mode Packet Logger permet la capture puis

snort -de -L /var/log/today.log -h 192.168.230.

q AMen)on : penser à adapter le paramètre

08/11/2022 Soufiane TAZARINE @ CyberSecurity 14

3) Mode NIDS « Network Intrusion Detec)on System Mode »

q -c /etc/snort/snort.conf : le ﬁchier de conﬁguraJon de Snort qui doit contenir les

08/11/2022 Soufiane TAZARINE @ CyberSecurity 15

08/11/2022 Souﬁane TAZARINE @ CyberSecurity 16

Configuration de l’environnement 192.168.230.1 192.168.230.6

Ma machine vic[me doit être en

Pour ce TP, le réseau NAT est

08/11/2022 Souﬁane TAZARINE @ CyberSecurity 17

Il faudrait conﬁgurer snort pour la prise en

• HOME_NET => machine à superviser

• EXTERNAL_NET => machine aMaquante

08/11/2022 Souﬁane TAZARINE @ CyberSecurity 18