Scribd
Importer
81 vues2 pages

Sécurisez Votre Réseau avec Snort

Transféré par

bonprix1982
Copyright
© © All Rights Reserved
Nous prenons très au sérieux les droits relatifs au contenu. Si vous pensez qu’il s’agit de votre contenu, signalez une atteinte au droit d’auteur ici.
Formats disponibles
Téléchargez aux formats DOCX, PDF, TXT ou lisez en ligne sur Scribd
81 vues2 pages

Sécurisez Votre Réseau avec Snort

Transféré par

bonprix1982
Copyright
© © All Rights Reserved
Nous prenons très au sérieux les droits relatifs au contenu. Si vous pensez qu’il s’agit de votre contenu, signalez une atteinte au droit d’auteur ici.
Formats disponibles
Téléchargez aux formats DOCX, PDF, TXT ou lisez en ligne sur Scribd

Objectif : Mettre en œuvre et configurer Snort pour détecter des activités suspectes sur un réseau simulé.

Matériel nécessaire :

 Un ordinateur avec une distribution Linux (Ubuntu de préférence).


 Accès à internet pour télécharger Snort et ses configurations.

Tâches :

1. Installation de Snort
 Installer Snort sur votre système Linux.
 Configurer Snort en mode IDS.
2. Configuration des règles de détection
 Créer des règles de base pour détecter des scans de ports et des tentatives d'accès à des URL suspectes.
3. Simulation d'attaque et test
 Utiliser un autre ordinateur ou une VM pour générer du trafic réseau qui déclenchera les règles configurées (par
exemple, un scan de ports avec nmap).
4. Analyse des alertes
 Examiner les alertes générées par Snort et discuter de leur pertinence.
 Proposer des améliorations ou des ajustements aux règles pour réduire les faux positifs.

Solution du TD
1. Installation de Snort

bash
Copy code
sudo apt update sudo apt install snort

Lors de l'installation, Snort demandera l'interface réseau à surveiller et un réseau de détection. Vous pouvez spécifier l'interface
connectée à votre réseau (par exemple, eth0) et un réseau (par exemple, [Link]/24).

2. Configuration des règles de détection

Créez un fichier de règles dans /etc/snort/rules/[Link] et ajoutez les règles suivantes :

text
Copy code
alert tcp any any -> $HOME_NET 80 (msg:"Tentative d'accès à URL suspecte"; content:"malicious";
sid:1000001;) alert icmp any any -> $HOME_NET any (msg:"Scan ICMP détecté"; itype:8; sid:1000002;)

Ces règles déclencheront une alerte pour toute requête TCP contenant le mot "malicious" vers le port 80, ainsi que pour les
pings ICMP qui peuvent indiquer un scan.

3. Simulation d'attaque et test

Sur un autre ordinateur ou VM, exécutez :

bash
Copy code
nmap -sP [Link]/24 # Remplacer par l'adresse du réseau surveillé curl [Link] #
Remplacer x par l'adresse du serveur

4. Analyse des alertes


Vérifiez les alertes générées par Snort en consultant le fichier de log /var/log/snort/alert.

Discussion : Les alertes doivent être vérifiées pour leur pertinence. Les règles peuvent être ajustées pour être plus spécifiques en
ajoutant des conditions supplémentaires, comme des plages d'adresses IP ou des horaires spécifiques pour réduire les faux
positifs.

Ce TD permet de comprendre comment configurer et utiliser un IDS comme Snort pour surveiller la sécurité d'un réseau. Il offre
également l'opportunité de pratiquer l'analyse de la sécurité réseau et la réponse aux incidents.

Vous aimerez peut-être aussi