Intrusion Detection

System
z
Etude de SNORT
M. Lassana DOUCOURE
M. Florent Kouméabalo BAKA
z
PLAN

 INTRODUCTION

 Présentation de SNORT

 Architecture de SNORT

 Mode de fonctionnement

 Les règles de SNORT

 Configuration de SNORT

 CONCLUSION
 z
Introduction

Dans un système, afin de détecter les attaques, il est

nécessaire de disposer d’un logiciel spécialisé dont le rôle
est de surveiller les données qui transitent et qui serait
capable de réagir si des données semblent suspectes.

(IDS : Intrusion Detection System) un mécanisme qui

permet d’identifier les flux anormales ou suspectes sur un
reseau ou un hôte.
 z

Présentation de SNORT

SNORT est un Système de Détection d'Intrusion de réseau

Open Source, capable d'analyser en temps réel le trafic sur
les réseaux IP et est doté de différentes technologies de
détection d’intrusions telle que l’analyse protocolaire.
 Architecture de SNORT

 Un noyau de base : (PacketDecoder) : Durant l’exécution, son rôle

principal est la capture des paquets.

 Une série de pré–processeurs: (Détection Engine) : Ils reçoivent

les paquets directement capturés et décodés, éventuellement les
retravaillent puis les fournissent au moteur de recherche de signatures pour
les comparer avec la base des signatures .
 z
Architecture de SNORT

 Une série de « Detection plugins » : Elle fait la comparaison entre

les différents champs des headers des protocoles (IP, ICMP, TCP et
UDP) par rapport à des valeurs précises
 Une série de « output plugins » : Permet de traiter cette intrusion
de plusieurs manières, à savoir : l’envoie d’alertes vers un fichier log,
l’envoie d’un message d’alerte vers un serveur syslog, le stockage
de cette intrusion dans une base de données SQL.
 z
Mode de fonctionnement
SNORT peut fonctionner en 3 modes:

- Mode sniffer : Dans ce mode, SNORT lit les paquets circulant sur le réseau
et les affiche d’une façon continue sur l’écran

- Mode « packetlogger » : fonctionne comme le mode sniffer avec une

journalisation des logs dans un répertoire sur le disque à savoir le fichier de
log (/var/log/snort/).

- Mode détecteur d’intrusion réseau (NIDS) : SNORT analyse le trafic du

réseau, le compare à des règles déjà définie par l’utilisateur et établit des
actions à exécuter.
 z
Les règles de SNORT
Les règles de SNORT sont constituées de deux parties distinctes le header
et les options.
Le header de la règle contient:
• L’action de la règle (la réaction de SNORT)
• Le protocole qui est utilisé pour la transmission des données (TCP, UDP, ICMP
et IP)
• Les adresses IP source et destination et leur masque
• Les ports source et destination sur lesquels il faudra vérifier les paquets

Les options de la règle contient :

• le message d'alerte;
• les conditions qui déterminent l'envoi de l'alerte en fonction du paquet
inspecté.
 z
Configuration de SNORT

Les étapes de la configuration de SNORT:

 z
Configuration de SNORT

 Configuration des variables réseaux :

 z
Configuration de SNORT
 RULE_PATH permet ensuite de définir le chemin des
fichiers rules contenant les règles de déclenchement des
différentes alertes
 z
Configuration de SNORT

 Créer les fichiers de règles de liste blanche et de liste

noire référencé :
 z
Configuration de SNORT

 Configuration du décodeur : Le décodeur a la tâche de

déterminer quels sont les protocoles sous-jacents qui
sont utilisés dans le paquet

Paramétrer le répertoire de journalisation :

 z
Configuration de SNORT

 Configuration des bibliothèques chargées dynamiquement :

Préciser le chemin absolu des bibliothèques
 z
Configuration de SNORT
Créons maintenant les fichiers white.list et black.list dans le
répertoire référencé dans le fichier de configuration
 z
Configuration de SNORT

 Test de la configuration de Snort

 z
Configuration de SNORT
 Création de règles permettant de surveiller notre réseau
z
CONCLUSION