TP DE SYSTEM DE DETECTION

D’INTRUSION : SNORT

La plateforme utilisée pour ce TP : une machine

virtuelle Debian sur laquelle installé le paquet
snort.

Agence National de la Sécurité Informatique

11/09/2008
 11/09/2008

TP DE SYSTEM DE DETECTION
D’INTRUSION : SNORT
Objectif :

Prendre en main le logiciel snort, qui permet la détection automatique et dynamique

d’intrusion.

Configuration de snort :

1- Une fois snort est installé, vous pouvez éditer le répertoire de snort afin de
vérifier quelques paramètres.

Fig1. Les règles de snort

2- Puis éditez le fichier de configuration pour vérifier les paramètres de snort :

• gedit /etc/snort/snort.conf
- Changez la ligne “var HOME_NET any” par celle correspondant à votre
réseau par ex. “var HOME_NET [192.168.1.0/24]”.
- Décommettez les règles pour le filtrage des paquets

1
 11/09/2008

Fig2. Le fichier de configuration de snort

Snort est un Network IDS. Il peut fonctionner en mode sniffer, packet logger et NIDS.

1- Lancez snort en mode « sniffer paquet » de façon à observer les en-têtes des
paquets TCP/IP sur votre machine :

Fig3. Mode « sniffer » : afficher les entêtes des paquets TCP/IP.

2- Puis le relancez dans le même mode de façon à observer les en-têtes et les
données des paquets TCP/IP reçus.

2
 11/09/2008

Fig4. Mode « sniffer » : afficher tout le paquet TCP/IP (entête et données).

3- Lancez snort en mode « paquet logger » de façon à stocker seulement les en-têtes
des paquets reçus sur votre machine.

Fig5. Exécuter snort et loguer tous les paquets TCP/IP (entête et données)

4- Lancez snort en mode « détection d’intrusion (NIDS) » de façon à filtrer les

paquets et les afficher à l’écran.

3
 11/09/2008

Fig6. Mode détection d’intrusion (NIDS)

5- Relancez snort en mode « détection d’intrusion (NIDS) » de façon à afficher les

intrusions potentielles sur la console, puis à les sauver dans /var/log/snort.

Fig7. Mode détection d’intrusion et loguer dans un répertoire

6- Relancez snort en tant que daemon

Fig8. Snort en mode daemon

7- Vérifier le fonctionnement de snort avec les paramètres déjà définis :

ps -ef | grep snort # comme la commande dans la Fig8.

tail –f /var/log/snort/alert

Note : -A : mode d’alerte / -b : alerte en format tcpdump / -d : dumper le payload

/ -D : mode daemon / -i : interface / -u : utilisateur / -g : groupe / -c : fichier de
configuration / -l : répertoire de log

4
 11/09/2008

8- Voir les logs de snort

tail –f /var/log/snort/alert

Exercice :
1- Lancez un scan à l’aide de nmap sur la machine exécutant snort.
2- Observez les logs de snort, vous trouverez les traces de l’alerte. La règle
déclenchera dans les logs l'inscription de msg.

Arrêter snort

Chercher le pid de snort : ps –ef | grep snort

Tuer le processus : kill -9 pid_snort