TP : installation et configuration du Snort sur Kali Linux

Objectif du TP : détecter l'indétectable

Pour mener une attaque, le pirate doit collecter le maximum d’informations sur le système
cible et découvrir ces vulnérabilités et ces faiblesses

L’objectif de ce TP est de détecter et prévenir toute sorte de tentative d’intrusion à l’aide de la

technologie IDPS le plus largement utilisée dans le monde entier qui est « Snort »

Nous allons donc ce TP apprendre à installer snort, rédiger des règles et effectuer des tests de
base.

Qu’est-ce que Snort

Snort est un logiciel de sécurité open source. C’est un système de détection et de prévention
des intrusions (IDS/IPS) qui examine le trafic réseau en temps réel et enregistre les paquets
pour effectuer une analyse détaillée utilisée pour faciliter les efforts de sécurité et
d'authentification. Snort est conçu pour détecter différents types de piratage et utilise un
langage de règles flexible pour déterminer les types de trafic réseau à collecter.

Installation de Snort

#apt-get update
#apt-get install snort

Vérification de l’installation de Snort

#snort –version

Fichier de configuration
Ouvrez le fichier de configuration de Snort et vérifier si les règles icmp sont incluses ou non

#nano /etc/snort/snort.conf

Si les règles ICMP ne sont pas incluses, ajoutez les avec la ligne suivante :

include /etc/snort/rules/icmp.rules

Enregistrer puis sortir

Ouvrez le fichier de règles icmp et incluez la règle suivante

#nano /etc/snort/rules/icmp.rules

Ajouter l’alerte suivante dans le fichier :

Alert icmp any any -> any any (msg “pinging”; sid= 471;)

Si un paquet coïncide avec cette règle, le paquet est alors enregistrer ou une alerte est
déclenchée (un ping vers la machine cible (paquet ICMP))
Exécution du Snort à partir machine locale
Pour exécuter Snort et enregistrer le résultat des paquets dans des fichiers, tapez la ligne de
commande suivante

Snort -c /etc/snort/snort.conf -l ./log

Pour exécuter Snort et afficher le resulat dans la console , tapez la ligne de commande
suivante

Snort -c /etc/snort/snort.conf -A console

Exécution du Snort à partir machine distante

Appliquer la configuration sur l’interface réseau de la machine distante

Snort -T -c /etc/snort/snort.conf -i @ipHost

Pour exécuter Snort et afficher le resulat dans la console , tapez la ligne de commande
suivante

Snort -i eth0 -c /etc/snort/snort.conf -A console

Affichage à l’écran

SNORT capture et affiche les paquets selon différents niveaux de détails. Aucun fichier de
configuration n’est requis :
snort -v : Imprimer les informations contenues dans les entêtes TCP/IP
snort -dv : Imprimer les informations contenues dans les entêtes IP/UDP/TCP/ICMP
snort -edv : Imprimer les informations des entêtes MAC
snort -edv proto : Imprime uniquement les messages du protocole PROTO (i.e. ip,
tcp, udp, icmp)
snort -h : aide
snort -i permet de spécifier l’interface d’écoute
Ctrl-C : Arrêter SNORT

Enregistrement dans un fichier

snort -dev -l ./log : enregistre les paquets dans des fichiers en mode texte. (il faut créer un
répertoire log dans votre répertoire courant).
snort -l ./log -b : Enregistrer les données dans un fichier binaire
snort -dev -r /temp/snort.log.xxxxxxx : Lire les données dans un fichier au format binaire