Master 2 2017/2018

R&T

TP n° 3
Mise en place d’un IDS Snort

Objectifs :

L’objectif de ce TP est de mettre en place un système de détection d’intrusion en

se basant sur le logiciel libre Snort. C’est un système de détection d'intrusion
libre qui est capable d'effectuer en temps réel des analyses de trafic et de logger
les paquets sur un réseau IP. Il peut effectuer des analyses de protocoles, recherche/correspondance de
contenu et peut être utilisé pour détecter une grande variété d'attaques.
Dans le cadre de ce TP, nous nous intéressons essentiellement aux aspects
suivants :
 Comprendre et assimiler le rôle d’un système de détection d’intrusion dans
la sécurité des réseaux ;
 Installer du logiciel Snort et les logiciels requis ;
 Effectuer les configurations nécessaires au bon fonctionnement de Snort ;
 Effectuer des tests avec Snort dans ses différents modes.
- Utilisation de SNORT comme un simple sniffer :
- Utilisation comme outil d'enregistrement de trafic réseau
- Utilisation de SNORT comme un IDS
 Apprendre à écrire de nouvelles règles personnalisées.

Construction d'une règle

Dans cette section, nous expliquons la construction d'une règle snort. La syntaxe des règles Snort est
relativement simple et flexible, et permet de construire des règles assez puissantes. Une règle s'écrit
totalement sur une seule ligne (Snort ne gère pas les sauts de ligne) et elle se divise en 2 parties
principales:
Sécurité Réseau

L’en-tête de règle
qui contient comme informations
l'action de la règle, c'est à dire la réaction de snort en fonction des paquets inspectés;
le protocole qui est utilisé pour la transmission des données (snort en considère trois: TCP,
UDP et ICMP);
les adresses IP source et destination et leur masque ;

et les ports source et destination sur lesquels il faudra vérifier les paquets.

Les options de la règle qui contient comme informations

le message d’alerte ;

les informations permettant de dire si oui ou non il faut déclencher une alerte en fonction du
paquet inspecté. Toutes les conditions permettant d'accepter ou de rejeter le paquet doivent
Master 2 2017/2018
R&T

être vraies pour que le paquet vérifie la règle et que l'action correspondante soit enclenchée.
L'en-tête de règle
C'est donc ici qu'on définit l'action à prendre et les paquets que l'on veut inspecter selon leur type, leur
provenance et leur destination. On définit par action ce que Snort fera lorsqu'il découvrira un paquet
qui correspond aux critères de la règle fournie. Il existe 5 actions dans Snort:
alert : génère une alerte définie et journalise le paquet ;

log : journalise le paquet ;

pass : ignore le paquet ;

activate : fait une alerte et active une règle dynamique ;

dynamic : reste passif jusqu'à avoir été activé par une règle activate et puis agit comme une
règle log.
On peut analyser 3 protocoles au moyen de Snort
tcp;
udp;
icmp
On lui passe ensuite l'adresse ip ou une liste d'adresses ip avec un masque de sous-réseau si cela est
nécessaire. On peut également utiliser un opérateur de négation « ! » qui dit à Snort de considérer
toutes les adresses ip sauf celles-là. On peut également lui passer « any » qui dit de considérer toutes
les adresses ip. Ensuite vient le port qui peut être défini précisément ou sur un intervalle. Par exemple
« 1:1024 » veut dire que l'on scanne tous les ports de 1 à 1024. Si l'on utilise un numéro de port seul
avec les « : » on spécifie de vérifier tout les ports plus grand ou égaux ou plus petit ou égaux au port
donné selon que les « : » se trouvent devant ou derrière le numéro de port. Les opérateurs « ! » et
« any » peuvent également être utilisés. La direction du trafic auquel les règles s'appliquent est indiqué
par un des opérateurs : « -> », « <- » ou « <> ». Le dernier étant l'opérateur bidirectionel.

Les options de la règle

Ce sont ces options qui sont le coeur même de la détection. Les diverses options peuvent être
combinées à souhait pour former la règle la plus adéquate pour repérer les paquets qui nous
intéressent. Deux options consécutives sont séparées par des ``;''. Voici une liste des options existantes
dans Snort ainsi qu'un brève description.
affiche un message dans les alertes et journalise les paquets

journalise le paquet dans un fichier nommé par l'utilisateur au lieu de la sortie standard

recherche un motif dans la charge d'un paquet

modifie l'option content, fixe le décalage du début de la tentative de correspondance de motif

modifie l'option content, fixe la profondeur maximale de recherche pour la tentative de correspondance
de motif
correspond à la procédure de chaîne de contenu sans sensibilité aux différences
majuscules/minuscules
affiche l'information de la couche applicative pour la session donnée

permet de définir un protocole au-dessus de IP

assigne une classification à l’attaque (virus, cheval de troie, …)

Master 2 2017/2018
R&T

permet de fixer le sens d’un flux, l’état de la connexion, …

réponse active (bloque les sites web) Les options varient suivant les versions de snort. Plus
d’informations sur le manuel de snort2.8.5 (il faut le lire pour connaître les paramètres des option).

Manipulation

 détecter un ping avec un TTL de 255 ;

 détecter quand les adresses IP source et destination d'un paquet sont les même ;
 détecter une attaque DOS de type UDP chargen utilisant les ports echo et/ou chargen ;
 détecter des messages TCP contenant à la fois les drapeaux SYN et FIN ;
 détecter une connexion telnet en tant que root sur une machine du réseau local ;
 détecter une connexion telnet en tant que root sur une machine du réseau local ;

Toute les manipulations reposent sur le logiciel d’attaques « LOIC ».

Expliquez le résultat de la détection des attaques sur Snort (Base).