Vous êtes sur la page 1sur 19

Intrusion Detection

System
z
Etude de SNORT
M. Lassana DOUCOURE
M. Florent Kouméabalo BAKA
z
PLAN

 INTRODUCTION

 Présentation de SNORT

 Architecture de SNORT

 Mode de fonctionnement

 Les règles de SNORT

 Configuration de SNORT

 CONCLUSION
z
Introduction

Dans un système, afin de détecter les attaques, il est


nécessaire de disposer d’un logiciel spécialisé dont le rôle
est de surveiller les données qui transitent et qui serait
capable de réagir si des données semblent suspectes.

(IDS : Intrusion Detection System) mécanisme qui


permet d’identifier les flux anormales ou suspectes sur un
reseau ou un hôte.
z

Présentation de SNORT

 Système de Détection d'Intrusion de réseau Open Source


 Il fait l’analyse en temps réel du trafic sur les réseaux IP et la
journalisation des paquets
 Il utile des règles qui déterminent la manière dont les paquets du
réseau sont analysés pour détecter les intrusions et les intentions
malveillantes.
Architecture de SNORT

 Un noyau de base : (PacketDecoder) : Durant l’exécution, son rôle


principal est la capture des paquets.

 Une série de pré–processeurs: (Détection Engine) : Ils reçoivent


les paquets directement capturés et décodés, éventuellement les
retravaillent puis les fournissent au moteur de recherche de signatures pour
les comparer avec la base des signatures .
z
Architecture de SNORT

 Une série de « Detection plugins » : Elle fait la comparaison entre


les différents champs des headers des protocoles (IP, ICMP, TCP et
UDP) par rapport à des valeurs précises
 Une série de « output plugins » : Permet de traiter cette intrusion
de plusieurs manières, à savoir : l’envoie d’alertes vers un fichier log,
l’envoie d’un message d’alerte vers un serveur syslog, le stockage
de cette intrusion dans une base de données SQL.
z
Mode de fonctionnement
SNORT peut fonctionner en 3 modes:

- Mode sniffer : Dans ce mode, SNORT lit les paquets circulant sur le réseau
et les affiche d’une façon continue sur l’écran

- Mode « packetlogger » : fonctionne comme le mode sniffer avec une


journalisation des logs dans un répertoire sur le disque à savoir le fichier de
log.

- Mode détecteur d’intrusion réseau (NIDS) : SNORT analyse le trafic du


réseau, le compare à des règles déjà définie par l’utilisateur et établit des
actions à exécuter.
z
Configuration de SNORT

Les étapes de la configuration de SNORT:


z
Configuration de SNORT

 Configuration des variables réseaux :


z
Configuration de SNORT
 RULE_PATH permet ensuite de définir le chemin des
fichiers rules contenant les règles de déclenchement des
différentes alertes
z
Configuration de SNORT

 Créer les fichiers de règles de liste blanche et de liste


noire référencé :
z
Configuration de SNORT

 Configuration du décodeur : Le décodeur a la tâche de


déterminer quels sont les protocoles sous-jacents qui
sont utilisés dans le paquet

Paramétrer le répertoire de journalisation :


z
Configuration de SNORT

 Configuration des bibliothèques chargées dynamiquement :


Préciser le chemin absolu des bibliothèques
z
Configuration de SNORT
Créons maintenant les fichiers white.list et black.list dans le
répertoire référencé dans le fichier de configuration
z
Configuration de SNORT

 Test de la configuration de Snort


z
Configuration de SNORT : les règles
Les règles de SNORT sont constituées de deux parties distinctes le header
et les options.
Le header de la règle contient:
• L’action de la règle (la réaction de SNORT)
• Le protocole qui est utilisé pour la transmission des données (TCP, UDP, ICMP
et IP)
• Les adresses IP source et destination et leur masque
• Les ports source et destination sur lesquels il faudra vérifier les paquets

Les options de la règle contient :


• le message d'alerte;
• les conditions qui déterminent l'envoi de l'alerte en fonction du paquet
inspecté.
z
Configuration de SNORT : les règles
 Création de règles permettant de surveiller notre réseau
z
Configuration de SNORT : les règles

Le programme doit commencer à imprimer des alertes a l’écran


pour chaque message ICMP, UDP et TCP envoyés a l’ordinateur.
z
CONCLUSION

SNORT est un outil important pour la détection d’intrusion. Nous


avons présenté SNORT et donnés toutes les étapes
configuration de cet outil.
Les systèmes de détection d’intrusion, en particuliers Snort,
peuvent être assimilés à de simples alarmes qui se déclenchent
une fois qu’ils découvrent une intrusion.