Thème: SNort(IDS)

************************ D'Amdjrass ********************************

Niveau:L3
lière :ASRS
Formateur: Mr Moustapha Ali
présenté par:
1. Abdrahaman Abdoulaye Adam

2. Hassan Bokhit Hassan

3. Moubarak Abdelkerim

4. Saleh Awi Heley

5. Youssouf Khalil Maouloud

1
Enastic d'Amdjrass

Plan du Travail

Introduction générale
I Détection d'attaques
1 Système de détection d'attaque (IDS)
2 Principe de fonctionnement d'un IDS
3 Classication des IDS
4 Les types d'IDS
5 Méthodes de détections d'intrusions
6 Méthodes d'analyse
7 Les fonctions proposées par IDS
8 Ecacité des IDS

[Link] en ÷uvre
1 Présentation de SNort
2 Fonctionnement de SNort
3 Positionement de SNort dans le réseau
4 Architecture de SNort
5 Evaluation
6 Installation et Conguration de SNort

Conclusion

2
Enastic d'Amdjrass

Introduction Générale
Avec l'évolution des technologies de l'information et communication (NTIC), les systèmes
d'information sont aujourd'hui de plus en plus ouverts sur le monde extérieur notamment in-
ternet .Cette ouverture simplie considérablement la vie pour l'homme en lui orant plusieurs
services, ce à travers des centaines de millions d'ordinateurs reliés à internet. Cependant, cette
interconnexion des ordinateurs permet également aux utilisateurs malveillants d'utilisateur ces
ressources à des faits abusives et de lancer par exemple des attaques de divers types à l'encontre
des services web. La sécurité des systèmes informatiques est une problématique d'une impor-
tance capitale pour les individus ainsi que pour l'entreprise. Elle repose en premier lieu sur
la mise en place d'une politique de la sécurité autour ces systèmes. Outre la mise en place
de pare-feu et de systèmes d'authentications de plus en plus sécurisés, pour compléter cette
politique de sécurité, d'avoir des outils de surveillance pour auditer le système d'information
et détecter d'éventuelles intrusions. An de compléter cette tâche d'une manière plus sûre et
plus sécurisés, l'utilisation des mécanismes de détection d'intrusion s'imposent. Les systèmes
de détection d'intrusions (intrusion détection system, IDS) ont été conçus pour surveiller les
systèmes d'informations(si) et découvrir les violations de la politique de sécurité automatique,
et ainsi en informer l'opérateur. C'est dans cette optique que s'inscrit notre projet, à savoir
l'étude des systèmes de détection d'intrusion dans les réseaux locaux. Ce dernier est structuré
comme suit : une introduction générale où nous allons énumérer la notion de base de la sécurité
informatique, l'objectif de la sécurité, les attaques... Nous allons aussi parler de la détection
d'attaque, et la mise en ÷uvre d'un outil IDS .

Sécurité informatique

Dénition : la sécurité informatique est l'ensemble de moyens technique, juridiques organi-

sationnels et humain mis en ÷uvre pour réduire la vulnérabilité d'un système contre les menaces
accidentelles ou intentionnelles.

Objectif de la sécurité informatique

L'objectif de la sécurité informatique est de garantir que les ressources matérielles et/ou logi-
cielles d'un système sont utilisés dans un cadre pré[Link] convient de garantir les services suivent
:
condentialité, l'intégrité, la disponibilité, la non-répudiation,l'authentication et le contrôle d'accès.
Le problème lié à la sécurité informatique:
Diérents types de problèmes, de risque et de menaces liés à la sécurité informatique les plus
importants sont :
vulnérabilité, menace, intrusion, logiciels malveillants....
Les attaques informatiques
Dénition : une attaque informatique est dénie comme une faute d'interaction malveillante
visant à violer une ou plusieurs propriétés de sécurité .c'est une faute externe créer avec
l'intention de nuire.
les diérents types des attaques informatiques sont:
Attaque par interruption :
un atout de système est détruit ou devient indispensable ou inutilisable c'est une attaque qui
porte à la disponibilité.
Attaque par interception :
une tierce partie non autorisé obtient accès à un atout, c'est une attaque portée à la conden-
tialité.
Attaque par modication :

3
Enastic d'Amdjrass 2 CLASSIFICATION DES IDS

une tierce partie non autorisé obtient accès à un atout et le modie de façon (presque) indé-
tectable, il s'agit d'une attaque portée à l'intégrité.
Et enn, nous avons l'attaque par intrusion.

1 Détection d'attaques
La sécurité devient aujourd'hui un Domaine très en vogue, il reste néanmoins très vaste et
souvent complexe à maîtriser vu le nombre croissant d'attaque. Pour contrer ces attaques,
plusieurs solutions de détections d'intrusions ont été mises en ÷uvre ; parmi ces solutions, on
trouve les IDS et IPS.

1.1 Système de détection

Qu'est-ce qu'un IDS ?

Un IDS est une sonde placée judicieusement sur un réseau ou un système an de repérer les
activités douteuses ou anormales sur cette cible et alerter les responsables sécurité. De cette
façon, on peut obtenir une connaissance des tentatives réussies(ou non) d'attaque ou d'intrusion
sur le système. La détection d'intrusion est apparue au début des années 80, suite aux travaux
d'Anderson 1975 et de Denning 1976,qui ont posé les fondations de la détection d'intrusion. Et
ce n'est qu'au début des années 90 que les premiers produits commerciaux ont apparus.

1.2 Principe de fonctionnement d'un IDS

Les techniques de détections d'intrusion tentent de faire la diérence alerte . entre une utilisa-
tion normale du système et une tentative d'intrusion et sonnent une Typiquement, les données
d'audits du système sont parcourus à la recherche de signature connues d'intrusion, de com-
portement anormaux ou d'autres choses intéressantes . Un système IDS est placé en ligne et
examine en théories tous les paquets entrants ou sortants. Il réalise un ensemble d'analyse de
détection ,non seulement sur chaque paquet individuel ,mais également sur les conversations et
motifs du réseau ,en visualisant chaque transaction dans le contexte de celles qui précèdent ou
qui suivent.

2 Classication des IDS

Avec leur utilisation dans des environnements et de contextes variés, plusieurs critères de clas-
sication des IDS ont été proposés:
Approche de détection:
Les IDS peuvent être répertoriés dans leur grande approche de détection. Une approche basée
sur les scénarios, elle utilise de base de signatures d'attaque pour la recherche d'intrusion. La
deuxième approche est basée sur le comportement du système vis-à-vis des intrusions. Notons
que cet aspect est lié au module d'analyse de l'IDS.
Source de données:
Les données utilisées dans l'IDS jouent un rôle très important dans le mécanisme de détection
d'intrusions. C'est l'interface entre IDS et le système surveillé .les données traitées peuvent
être provenir d'un trac réseau ou bien des chier locaux du système d'exploitation, comme ça
peut provenir des chiers traités par une application.
Comportement après détection:
Si l' IDS détecte une attaque ,deux comportements peuvent être adoptés , une réponse passive

4
Enastic d'Amdjrass 3 LES TYPES DE IDS

ou active. Cet aspect est souvent lié au module de la réponse de l'IDS.

Fréquence d'utilisation:
Cet aspect dépend du module de fonctionnement du module d'analyse de l'IDS . deux modules
d'analyse peuvent être assurés par un IDS : continu ou par lot.
Stratégie de contrôle:
Elle décrit les méthodes de gestion des modules composants l'IDS, ainsi que les modules ap-
pliqués aux IDS : Centralisée, pareillement distribuée ou bien entièrement distribuée.

3 Les types de IDS

Nous avons plusieurs types de l'IDS disponibles de nos jours qui sont caractérisés par des
surveillances diérentes et des approches d'analyse. Chaque approche a toujours des avantages
et des inconvénients. De plus, tous approches peuvent être décrits dans un terme du model
de processus généraux pour IDS. Plusieurs IDS peuvent être décrits dans un terme de trois
composants des fonctions fondamental :
Sources des informations :
des sources diérentes des informations d'événements sont habitués à déterminer si une intru-
sion est occupée ou non ? Ces sources peuvent être retiré à partir des niveaux diérents du
système, avec le réseau, centre du serveur, et les applications surveillant la plus commune.
Analyse :
la partie du système de détection des intrusions qui organise réellement et faire des événements
sensibles dérivés des sources des informations, décidant lors que ces événements indique que
l'intrusion se produit ou a déjà eu occupé. Des approches d'analyse, les plus communes sont
mauvaise et anormale détection.
Réponse :
L'ensemble des actions que le système prend détecte des intrusions. Celles sont typiquement
groupées en des mesures actives et passives, avec des mesures actives entraînant quelques in-
terventions automatisées sur une partie du système, et des mesures passives entraînant des
rapports l'IDS trouvant de humain, qui est puis attendu pour prendre des actions basées sur
ces rapports.

3.1 Network-Based IDS (NIDS)

Avantages:
ˆ Le NIDS peut surveiller un grand réseau.
ˆ Le déploiement de NIDS a peu d'impact sur un réseau existant. L'NIDS sont habituellement
des dispositifs passifs qui écoutent sur un l de réseau sans interférer l'opération normale d'un
réseau. Ainsi, il est habituellement facile de monter en rattrapage un réseau pour inclure IDS
avec l'eort minimal.
ˆ NIDS peut être très sûr contre l'attaque et être même se cache à beaucoup d'attaquants.
Inconvénients
ˆ Il est dicile à traiter tous les paquets circulant sur un grand réseau. De plus il ne peut pas
reconnaître des attaques pendant le temps de haut trac.
ˆ Quelques fournisseurs essayent à implémenter le IDS dur le matériel pour qu'il marche plus
rapidement.
ˆ Plusieurs des avantages de NIDS ne peut pas être appliqué pour les commutateurs modernes.
La plupart des commutateurs ne fournissent pas des surveillances universelles des ports et lim-
itent la gamme de surveillance de NIDS .Même lorsque les commutateurs fournissent de tels
ports de surveillance, souvent le port simple ne peut pas reéter tout le trac traversant le

5
Enastic d'Amdjrass 3 LES TYPES DE IDS

commutateur.
ˆ NIDS ne peut pas analyse des informations chirées (cryptées). Ce problème a lieu dans les
organisations utilisant le VPN.
ˆ La plupart de NIDS ne peuvent pas indiquer si un attaque réussi ou non. Il reconnaît
seulement que un attaque est initialisé. C'est-à-dire qu'après le NIDS détecte une attaque,
l'administrateur doit examiner manuellement chaque host s'il a été en eet pénétré.
ˆ Quelques NIDS provoque des paquets en fragments. Ces paquets mal formés font devenir le
IDS instable et l'accident.

3.2 Host Based IDS

HIDS fait marcher sur les informations collectées à partir d'un système de l'ordinateur indi-
viduel. Cet avantage nous permet d'analyser des activités avec une grande abilité et précision,
déterminant exactement quel processus et utilisateur sont concernés aux attaques particulières
sur le système d'exploitation. De plus, HIDS peut surveiller les tentatives de la sortie, comme
ils peuvent directement accéder et surveiller des données et des processus qui sont le but des
attaques. HIDS emploie normalement des sources de l'information de deux types, la traîné de
l'audit traîné du système d'exploitation et les journaux du système. La traîné de l'audit du
système d'exploitation est souvent générée au niveau de noyau du SE, et elle est plus détaillé
et plus protégé que les journaux du système. Pourtant les journaux est moins obtus et plus
petit que la traîné de l'audit du SE, c'est ainsi qu'il est facile à comprendre. Quelques HIDS
est conçu à supporter à la gestion centralisée de IDS et rapportant l'infrastructure qui peut
permettre une console de la gestion simple pour tracer plusieurs hosts. Les autres messages
générés sous format qui est compatible au système de la gestion de réseau.
Avantages
ˆ Pouvoir surveiller des événements local jusqu'au host, détecter des attaques qui ne sont pas
vues par NIDS.
ˆ Marcher dans un environnement dans lequel le trac de réseau est encrypté, lorsque les sources
des informations de host-based sont générées avant l'encrypte des données ou après le décrypte
des données au host de la destination.
ˆ HIDS n'est pas atteint par le réseau commuté.
ˆ Lors que HIDS marche sur la traîné de l'audit de SE, ils peuvent détecter le Cheval de Troie
ou les autres attaques concernant à la brèche intégrité de logiciel.
Inconvénients:
HIDS est dicile à gérer, et des informations doivent congurées et gérées pour chaque host
surveillé.
ˆ Puisque au moins des sources de l'information pour HIDS se réside sur l'host de la destination
par les attaques, le IDS peut être attaqué et neutralisé comme une partie de l'attaque.
ˆ HIDS n'est pas bon pour le balayage de réseau de la détection ou les autre tel que la surveil-
lance qui s'adresse au réseau entier parce que le HIDS ne voit que les paquets du réseau reçus
par ses hosts.
ˆ HIDS peut être neutralisé par certaine attaque de DoS.
ˆ Lorsque HIDS emploie la traîné de l'audit du SE comme des sources des informations, la
somme de l'information est immense, alors il demande le stockage supplémentaire local dans le
système.

6
Enastic d'Amdjrass 4 MÉTHODES DE DÉTECTION D'INTRUSION

4 Méthodes de détection d'intrusion

La détection d'intrusion repose sur deux approches de base :
l'approche comportemental et l'approche basée connaissance .

4.1 L'analyse comportementale

Dans l'analyse comportementale, un modèle de comportement normal du système surveillé est

probablement construit. Ce modèle est appelé prol de comportement normal qui sera utilisé
comme une référence Dans la détection. Au cours de la surveillance du système, toute dévia-
tion signicative comportementale courant de système contrôle par rapport au comportement
normal de référence donne lieu à une attaque. Cette approche possède un certain nombre
d'avantages et d'inconvénients:
Avantages de l'analyse comportementale :
ˆ Elle n'exige pas de connaissance préalable sur les attaques ;
ˆ Elle permet la détection de la mauvaise utilisation des privilèges ;
ˆ Elle permet de produire des informations qui peuvent être employées pour dénir des signa-
tures pour l'analyse basée connaissance.
Inconvénients de l'analyse comportementale :
Elle produit un taux élevé des larmes de types positifs faux en raison de comportement im-
prévisible des utilisateurs du réseau ;
ˆ cette approche nécessite des phrases d'apprentissages pour caractériser le proles de com-
portement normaux.

4.2 L'approche basée connaissance

Cette approche de détection est caractérisé par l'existence d'une base de connaissance qui
comporte des modèles d'attaques connus a priori qui sont appelés les signatures. Elle examine
les activités du système et du réseau en cherchant des événements ou l'ensemble des événements
qui décrivent une attaque connue.
Avantages de l'analyse basée connaissance
L'analyse basée connaissance est très ecace pour la détection d'attaque avec un taux très bas
de larmes de type positifs faux ; Les larmes générées sont signicatives.
Inconvénients de l'analyse basée connaissance
L'analyse basée connaissance permet seulement la détection des attaques qui sont connues au
préalable. Donc, la base de connaissances doit être constamment mise à jour avec les signatures
de nouvelles attaques.

4.3 Méthode d'analyse

Analyse centralisé
Certains IDS ont une architecture multi-capteurs (multisondes). Ils centralisent les événements
ou (alertes) pour une analyse au sein d'une seule machine. L'intérêt principal de cette architec-
ture est de faciliter la corrélation entre évènements puisqu'on dispose alors d'une vision globale.
Par contre, la charges des calculs (eectué sur le système centrale) ainsi que sur le charge réseau
(due à la collecte des événements ou des alertes) peuvent être lourdes et risque de constituer
un goulet d'étranglement.
Analyse locale
Si l'analyse du ot d'évènement est eectuée au plus près de la source de données (générale-
ment en local sur chaque machine disposant un capteur), on minimise le trac réseau et chaque
analyseur séparé dispose de la même puissance de calcul. En contrepartie, il est impossible de

7
Enastic d'Amdjrass 6 EFFICACITÉ DES IDS

croiser des événements qui sont traités séparément et l'on risque de passer à côté de certaines
attaques distribuées.
Analyse distribuée
Partiellement distribuée : dans ce cas un nombre limité des n÷uds peuvent exécuter des taches
d'analyse locale et de détection mais ils sont commandés par un n÷ud maître, celle-ci collabore
avec d'autres n÷uds maîtres pour détecter la supervision globale sous forme d'une structure
hiérarchique. Entièrement distribuée : la collecte d'informations, l'analyse et la détection ainsi
que les alertes seront réalisées au niveau local de chaque n÷ud. Mais dans le cas d'information
incomplète ou bien suspicion les n÷uds peuvent déclencher des procédures de collaboration
supervisées par des n÷uds maîtres.
Analyse hiérarchique
Cette méthode est utilisée pour résoudre les problèmes de sociabilité (mise à l'échelle) liées aux
méthodes centralisées. Cette architecture utilise une structure hiérarchique sous forme d'arbre.
Les données collectées localement traversent hiérarchiquement les n÷uds de l'arbre. A chaque
niveau, un traitement peut se faire sur les données pour détecter un type d'intrusion ou bien
pour réduire la quantité d'informations transmise au niveau supérieur. Cette approche est
tolérante aux pannes, donc si un n÷ud supérieur tombe en panne les n÷uds de niveau inférieur
peuvent assurer une détection dans des conditions minimales.

5 Les fonctions proposées par IDS

Détection d'attaques (actives ou passive).
ˆ Génération des rapports.
ˆ Outils de corrélation avec d'autres éléments de l'architecture de sécurité.
ˆ Réaction aux attaques par le blocage de route ou fermeture de connexion.
ˆ Transfert d'activités.

6 Ecacité des IDS

L'ecacité d'un système d'intrusion est déterminée par les mesures suivantes :
ˆ Exactitudes : le système de détection d'intrusion n'est pas exacte s'il considéré les actions
légitimes des utilisateurs comme atypiques ou intrusives.
ˆ Performance : La performance d'un système détection d'intrusions est mesurée par taux de
traitement des traces d'audits. Si la performance du système détection d'intrusions est pauvre,
donc la détection en réel n'est pas possible.
ˆPerfection : Un système de détection d'intrusions est imparfait s'il n'arrive pas à détecter
une attaque.
ˆ Tolérance aux pannes : Un système de détection d'intrusions doit être résistant aux pannes.

8
Enastic d'Amdjrass 6 EFFICACITÉ DES IDS

II. Mise en ÷uvre

1 Présentation de SNORT
Snort est un système de détection d'intrusions réseau en ' Open Source ', capable d'eectuer
l'analyse du trac en temps réel. On l'utilise en général pour détecter une variété d'attaques et
de scans tels que des débordements de tampons, des scans de ports furtifs, des attaques CGI, des
scans SMB, des tentatives d'identication d'OS grâce à l'analyse des signatures et des réponses
caractéristiques (ng printing), et beaucoup d'autres choses encore. Il peut fonctionner selon
trois modes principaux : il peut être utilisé comme un simple snier de paquets, comme un
logger de trac réseaux (ce qui est fort utile pour déboguer un réseau par exemple puisque ce
mode d'enregistrement des activités répertorie toutes les interactions entre les machines d'un
même réseau), ou comme un véritable système complet de prévention contre les attaques et les
intrusions de tout genre. C'est un très puissant outil, il est connu comme un des meilleurs IDS
sur le marché, même quand il est comparé à des IDS commerciaux. De nombreuses personnes
dans la cette communauté très active partagent 15 leurs règles de sécurité, ce qui est très utile
si on n'est pas un expert de la sécurité et si on veut des règles à jour. La compagnie Source Fire
délivre très régulièrement de nouvelles règles de sécurité. Elles peuvent être téléchargées, soit
gratuitement mais malheureusement que quelques jours après leurs sorties, soit immédiatement
pour des espèces sonnantes et trébuchantes.

2 Fonctionnement de SNORT
C'est le mode basic, il permet de lire et acher à l'écran les paquets TCP/IP circulant dans le
réseau :
Snort v : Cette commande permet d'exécuter et d'acher les entêtes des paquets TCP/IP.
Snort vd : Cette commande permet d'exécuter SNORT et d'acher tout le paquet TCP/IP
(entête et données).
Snort vde : Cette commande permet d'exécuter SNORT et d'acher tout le paquet TCP/IP
(entête et données) ainsi que de l'entête de la couche liaison de données.
Mode journalisation ou packet logger:
L'option / répertoire: Active le mode journalisation des paquets et spécie le répertoire où sont
stockés les alertes et les paquets capturés. Par défaut, le répertoire est /var/log/snort.
Mode Détection d'intrusion :
L'option'-c chier ` : Active Snort en mode `Détection d'intrusion` On donne en paramètre le
chier de conguration des règles de détection. Par défaut, les alertes sont mémorisées dans le
chier alert.
Mode Prévention des intrusions réseau (IPS): SNORTinline.

9
Enastic d'Amdjrass 6 EFFICACITÉ DES IDS

3 Positionnement de Snort dans le réseau

L'emplacement physique de la sonde SNORT sur le réseau a un impact considérable sur son
ecacité. Dans le cas d'une architecture classique, composée d'un Firewall et d'une DMZ, trois
positions sont généralement envisageables :

Avant le Firewall ou le routeur ltrant :

Dans cette position, la sonde occupe une place de premier choix dans la détection des at-
taques de sources extérieures visant l'entreprise. SNORT pourra alors analyser le trac qui
sera éventuellement bloqué par le Firewall. Les deux inconvénients de cette position du NIDS
sont: Primo, le risque engendré par un trac très important qui pourrait entraîner une perte
de abilité et secundo, étant situé hors du domaine de protection du rewall, le NIDS est alors
exposé à d'éventuelles attaques pouvant le rendre inecace.

10
Enastic d'Amdjrass 6 EFFICACITÉ DES IDS

4 Architecture de Snort

Un noyau de base : (Packet Decoder) au démarrage, ce noyau charge un ensemble de règles,

les compile, les optimise et les classe. Durant l'exécution, le rôle principal du noyau est la
capture des paquets. Une série de préprocesseurs: (Detection Engine) ces derniers améliorent
les possibilités de SNORT en matière d'analyse et de recomposition du trac capturé. Ils
reçoivent les paquets directement capturés et décodés, les retravaillent éventuellement puis les
fournissent au moteur de recherche des signatures pour les comparer avec la base des signatures.
Une série de  Detection plugins : Ces analyses se composent principalement de comparaison
entre les diérents champs des headers des protocoles (IP, ICMP, TCP et UDP) par rapport
à des valeurs précises. Une série de  output plugins : permet de traiter cette intrusion de
plusieurs manières : envoie vers un chier log, envoie d'un message d'alerte vers un serveur
syslog, stocker cette intrusion dans une base de données SQL.

5 Evaluation
Avantages: ˆ SNORT est un logiciel libre (Open Source) et il est mis à jour régulièrement
sous la limite de GNU.
ˆ SNORT adapte bien à plusieurs exploitations du système (Windows, Linux, FreeBSD, So-
laris...).
ˆ Un outil pour analyser les attaques, le trac sur le réseau.
ˆ On peut dénir des signatures pour détecter des tentatives, le trac du réseau.
ˆ Il est disponible une ensemble des règles dénies par plusieurs organisations et par plusieurs
personnes.
ˆ Toutes données sont sauvegardées dans la base de données (MYSQL, ORACLE, POST-
GRESQL).

11
Enastic d'Amdjrass 6 EFFICACITÉ DES IDS

Inconvénients:
En fait, Ce n'est pas facile pour manipuler SNORT par ce qu'il y a beaucoup de commandes
pour exécuter. C'est ainsi qu'on a ajouté les autres outils pour faciliter à gérer. Alors les étapes
d'installation sont compliquées.

6 Installation et Conguration de SNort

la plateforme utilisé (LinuxMint20.1 et kalilinux)sur lesquelles on avait installé un serveur de
base de données MYSQL, le paquet SNort et l'outil Nmap sur kalilinux et un analyseur de snort.

objectif:
Dans ce TP ,nous allons fonctionner snort en mode détecteur d'intrusion et le congurer pour
l'utilisation d'une base de données mysql comme emplacement de stockage de log et des alertes.
la consultation de ce dernier via l'interface web d'acide.

Installation de Snort
php5 pour le script orienté serveur
sudo apt install php5 php5MySQL
Pour la conguration du php avec mysql
sudo apt install php5mysql
php5gd pour la librairie graphique
sudo apt install php5gd PEAR
pours 'PHP Extension' et 'Application Repository'
sudo apt install phppear
Iptables est un parefeu sous linux
sudo apt install iptablesdev
Clamav Antivirus
sudo apt install clamav
L'installation automatique du snortmysql est très simple avec la commande :
sudo apt install snortmysql.

Conguration de SNort
Premièrement, il faut créer la base de données MySQL et les tables pour recevoir les logs de
Snort:
on ouvre un terminal et on se connecte à notre serveur par la commande sudo mysql et on
tappe notre mot de passe.
on crée la base de données snort avec la commande:
>create database snort;.

12
Enastic d'Amdjrass 6 EFFICACITÉ DES IDS

Figure 1: connection au serveur et création d'une base de donnée snort

....
Comme il est dangereux d'accéder à la base de données avec l'utilisateur root, il est nécessaire
de créer un utilisateur avec des permissions sur la base de données snort uniquement:

13
Enastic d'Amdjrass 6 EFFICACITÉ DES IDS

Figure 2: Création d'un snortuser et l'attribution des droits

14
Enastic d'Amdjrass 6 EFFICACITÉ DES IDS

demarrez mysql: avec la commande /etc/init.d/mysql start

conguration de SNORT:
pour que snort interagisse avec notre base de données il faut editer le
chier /etc/snort/[Link] et de- commenter la ligne suivante: OUTPUT
DATABASE:alert,mysql,dbname=snort user=snortuser password= asrs host=@[Link].

Figure 3: conguration de SNORT

15
Enastic d'Amdjrass 6 EFFICACITÉ DES IDS

Demarrer SNORT:
Avec la commande snort -c /etc/snort/[Link] -.!

Conguration de notre Annalyser conncetion intrusion Detection(ACID)

Figure 4: conguration d'ACID

16
Enastic d'Amdjrass 6 EFFICACITÉ DES IDS

on ache les interfaces de nos machines :

Figure 5: Interfaces de nos machines

17
Enastic d'Amdjrass 6 EFFICACITÉ DES IDS

Teste:

Avec l'outil Nmap on peut lancer un scan vers la machine executant SNORT.

Figure 6: nmap scanne

connectez vous avec l'interface web ACID:

Vous pouvez se connecter à vôtre interface web comme suit:
[Link] et observer les chier log de snort.

Figure 7: L'interface ACID

18
Enastic d'Amdjrass 6 EFFICACITÉ DES IDS

CONCLUSION
Ce projet nous a permis d'avoir une idée plus claire sur les applications du domaine de la
sécurité informatique. Nous avons également découvert les IDS et amélioré notre aptitude à
utiliser LINUX.

Il faut bien signaler que ce projet est une excellente initiation à la vie professionnelle car il ore
un aperçu de ce que sera le travail au sein d'une équipe de sécurité informatique. Il a donc été
une expérience enrichissante aussi bien sur le plan théorique que pratique.

Webographie
[1] IDS
wikipé[Link] :  Système de détection d'intrusion 
[Link]
Systeme de detection d'intrusion

[2] Snort
wikipé[Link]: Snort
[Link]

[3] Tutorial d'installation

[Link] :  tutorial > snort et Base
[Link]

[4] Téléchargement des paquets nécessaires

[Link]
[Link]

19