Scribd Logo
Загрузить

Добро пожаловать в Scribd!

  • SNORT

    Загружено:

    Florent Baka
    263 просмотров19 страниц

    Авторское право

    © © All Rights Reserved

    Доступные форматы

    PPTX, PDF, TXT или читайте онлайн в Scribd

    Этот документ был вам полезен?

    Это неприемлемый материал?

    Пожаловаться на этот документ

    Авторское право:

    © All Rights Reserved
    Скачайте в формате PPTX, PDF, TXT или читайте онлайн в Scribd
    Отметить как неприемлемый контент
    263 просмотров19 страниц

    SNORT

    Загружено:

    Florent Baka

    Авторское право:

    © All Rights Reserved
    Скачайте в формате PPTX, PDF, TXT или читайте онлайн в Scribd
    Отметить как неприемлемый контент
    из 19

    Intrusion Detection

    System
    z
    Etude de SNORT
    M. Lassana DOUCOURE
    M. Florent Kouméabalo BAKA
    z
    PLAN

     INTRODUCTION

     Présentation de SNORT

     Architecture de SNORT

     Mode de fonctionnement

     Les règles de SNORT

     Configuration de SNORT

     CONCLUSION
    z
    Introduction

    Dans un système, afin de détecter les attaques, il est


    nécessaire de disposer d’un logiciel spécialisé dont le rôle
    est de surveiller les données qui transitent et qui serait
    capable de réagir si des données semblent suspectes.

    (IDS : Intrusion Detection System) mécanisme qui


    permet d’identifier les flux anormales ou suspectes sur un
    reseau ou un hôte.
    z

    Présentation de SNORT

     Système de Détection d'Intrusion de réseau Open Source


     Il fait l’analyse en temps réel du trafic sur les réseaux IP et la
    journalisation des paquets
     Il utile des règles qui déterminent la manière dont les paquets du
    réseau sont analysés pour détecter les intrusions et les intentions
    malveillantes.
    Architecture de SNORT

     Un noyau de base : (PacketDecoder) : Durant l’exécution, son rôle


    principal est la capture des paquets.

     Une série de pré–processeurs: (Détection Engine) : Ils reçoivent


    les paquets directement capturés et décodés, éventuellement les
    retravaillent puis les fournissent au moteur de recherche de signatures pour
    les comparer avec la base des signatures .
    z
    Architecture de SNORT

     Une série de « Detection plugins » : Elle fait la comparaison entre


    les différents champs des headers des protocoles (IP, ICMP, TCP et
    UDP) par rapport à des valeurs précises
     Une série de « output plugins » : Permet de traiter cette intrusion
    de plusieurs manières, à savoir : l’envoie d’alertes vers un fichier log,
    l’envoie d’un message d’alerte vers un serveur syslog, le stockage
    de cette intrusion dans une base de données SQL.
    z
    Mode de fonctionnement
    SNORT peut fonctionner en 3 modes:

    - Mode sniffer : Dans ce mode, SNORT lit les paquets circulant sur le réseau
    et les affiche d’une façon continue sur l’écran

    - Mode « packetlogger » : fonctionne comme le mode sniffer avec une


    journalisation des logs dans un répertoire sur le disque à savoir le fichier de
    log.

    - Mode détecteur d’intrusion réseau (NIDS) : SNORT analyse le trafic du


    réseau, le compare à des règles déjà définie par l’utilisateur et établit des
    actions à exécuter.
    z
    Configuration de SNORT

    Les étapes de la configuration de SNORT:


    z
    Configuration de SNORT

     Configuration des variables réseaux :


    z
    Configuration de SNORT
     RULE_PATH permet ensuite de définir le chemin des
    fichiers rules contenant les règles de déclenchement des
    différentes alertes
    z
    Configuration de SNORT

     Créer les fichiers de règles de liste blanche et de liste


    noire référencé :
    z
    Configuration de SNORT

     Configuration du décodeur : Le décodeur a la tâche de


    déterminer quels sont les protocoles sous-jacents qui
    sont utilisés dans le paquet

    Paramétrer le répertoire de journalisation :


    z
    Configuration de SNORT

     Configuration des bibliothèques chargées dynamiquement :


    Préciser le chemin absolu des bibliothèques
    z
    Configuration de SNORT
    Créons maintenant les fichiers white.list et black.list dans le
    répertoire référencé dans le fichier de configuration
    z
    Configuration de SNORT

     Test de la configuration de Snort


    z
    Configuration de SNORT : les règles
    Les règles de SNORT sont constituées de deux parties distinctes le header
    et les options.
    Le header de la règle contient:
    • L’action de la règle (la réaction de SNORT)
    • Le protocole qui est utilisé pour la transmission des données (TCP, UDP, ICMP
    et IP)
    • Les adresses IP source et destination et leur masque
    • Les ports source et destination sur lesquels il faudra vérifier les paquets

    Les options de la règle contient :


    • le message d'alerte;
    • les conditions qui déterminent l'envoi de l'alerte en fonction du paquet
    inspecté.
    z
    Configuration de SNORT : les règles
     Création de règles permettant de surveiller notre réseau
    z
    Configuration de SNORT : les règles

    Le programme doit commencer à imprimer des alertes a l’écran


    pour chaque message ICMP, UDP et TCP envoyés a l’ordinateur.
    z
    CONCLUSION

    SNORT est un outil important pour la détection d’intrusion. Nous


    avons présenté SNORT et donnés toutes les étapes
    configuration de cet outil.
    Les systèmes de détection d’intrusion, en particuliers Snort,
    peuvent être assimilés à de simples alarmes qui se déclenchent
    une fois qu’ils découvrent une intrusion.

    Вам также может понравиться