snort
Différences
Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentesRévision précédenteProchaine révision | Révision précédente | ||
snort [2023/03/14 16:49] – [Présentation] admin | snort [2023/12/12 15:01] (Version actuelle) – [Configuration pour un switch Cisco] admin | ||
---|---|---|---|
Ligne 24: | Ligne 24: | ||
- | ==== Installation | + | Snort fait partie |
- | Une fois que le système est à jour il faut installer | + | <code lscript>apt install |
- | * flex | + | |
- | * bison | + | |
- | * build-essential | + | |
- | * checkinstall | + | |
- | * libpcap-dev | + | |
- | * libnet1-dev | + | |
- | * libpcre3-dev | + | |
- | * libnetfilter-queue-dev | + | |
- | * iptables-dev | + | |
- | * libdumbnet-dev | + | |
- | * zlib1g-dev | + | |
- | * tcpdump | + | |
- | Il est possible d’installer tous les paquets via une seule commande. | + | <WRAP center round info 60%> |
- | <code lscript> | + | [[snortold|Ancienne |
- | apt-get install tcpdump flex bison build-essential checkinstall libpcap-dev libnet1-dev libpcre3-dev libnetfilter-queue-dev iptables-dev libdumbnet-dev zlib1g-dev -y | + | </WRAP> |
- | </ | + | |
- | + | ||
- | ==== Installation de la bibliothèque d’acquisition des données ==== | + | |
- | Pour installer | + | |
- | + | ||
- | === 1 Création du fichier de stockage === | + | |
- | Dans un premier temps créez un dossier où seront stockés les fichiers d’installation snort après le téléchargement. | + | |
- | La création du dossier se fait par la commande | + | |
- | + | ||
- | Ensuite placez-vous dans le dossier crée avec la commande <code lscript> | + | |
- | + | ||
- | === 2 Téléchargement | + | |
- | Pour télécharger le fichier de la bibliothèque d’acquisitions des données il suffit d’utilisé la commande <code lscript> | + | |
- | + | ||
- | === 3 Décompression du fichier === | + | |
- | Une fois le fichier téléchargé il faut décompresser l’archive | + | |
- | <code lscript> tar xvfz daq-2.0.7.tar.gz</ | + | |
- | + | ||
- | === 4 Installation et configuration de la bibliothèque d’acquisition des données === | + | |
- | Apres la décompression, | + | |
- | Ensuite il faut lancer l’installation et la configuration | + | |
- | <code lscript> | + | |
- | cd daq-2.0.7/ | + | |
- | ./ | + | |
- | make | + | |
- | sudo make install. | + | |
- | </ | + | |
- | + | ||
- | === Installation de snort === | + | |
- | + | ||
- | - Téléchargement de snort <code lscript> | + | |
- | - Décompression du fichier snort <code lscript> | + | |
- | - Installation et configuration de snort <code lscript> cd snort-2.9.18.1</ | + | |
- | - Ensuite il faut lancer l’installation et la configuration <code lscript> ./configure --enable-sourcefire; | + | |
- | + | ||
- | ==== 5 Vérification de l’installation snort ==== | + | |
- | Pour vérifier que la bibliothèque partagée soit bien à jour on peut utiliser la commande <code lscript> | + | |
- | Enfin il est possible de test l’installation snort avec la commande <code lscript> | + | |
- | le résultat attendu est le suivant. | + | |
- | {{ : | + | |
- | + | ||
- | + | ||
- | ==== 6 Création d’un utilisateur snort ==== | + | |
- | Afin d’éviter que snort se lance en utilisateur root ce qui donne accès à de nombreux privilèges. Il faut donc créer un utilisateur snort. | + | |
- | <code lscript> groupadd snort | + | |
- | | + | |
- | + | ||
- | ==== 7 Création des dossiers de configuration ==== | + | |
- | Les commandes suivantes vont créer des fichiers dans des répertoires différents. | + | |
- | * dossier qui contient les fichiers de configuration snort :<code lscript> | + | |
- | + | ||
- | Les commandes suivantes vont créer des dossiers | + | |
- | <code lscript> mkdir / | + | |
- | mkdir / | + | |
- | touch / | + | |
- | mkdir / | + | |
- | </ | + | |
- | + | ||
- | Enfin il faut créer le dossier qui va contenir les logs. | + | |
- | <code lscript> | + | |
- | + | ||
- | === Attribution des droits === | + | |
- | Suite à la création des différents fichiers il faut leur donner des droits sur les dossiers. | + | |
- | Utilisateur : lecture/ | + | |
- | Groupe : lecture/ | + | |
- | Autre : lecture/ | + | |
- | + | ||
- | <code lscript> | + | |
- | chmod -R 5775 / | + | |
- | chmod -R 5775 / | + | |
- | </ | + | |
- | + | ||
- | On ajoute l’utilisateur snort et groupe aux différents dossiers. | + | |
- | <code lscript> | + | |
- | chown -R snort:snort / | + | |
- | chown -R snort:snort / | + | |
- | </ | + | |
- | + | ||
- | ==== 8 Copie des fichiers de configuration ==== | + | |
- | + | ||
- | Lors de l’installation | + | |
- | <code lscript> | + | |
- | sudo cp / | + | |
- | </ | + | |
- | + | ||
- | ===== Configuration snort ===== | + | |
- | + | ||
- | ==== 1 Configuration du réseau a sécurisé ==== | + | |
- | Dans le fichier snort.conf il va falloir configurer la variable //ipvar HOME_NET// avec l’adresse IP réseau. | + | |
- | + | ||
- | Le fichier se trouve dans le répertoire //** /etc/snort/ **// pour ouvrir le fichier // | + | |
- | + | ||
- | De plus il faut laisser la variable //ipvar EXTERNAL_NET// | + | |
- | {{ : | + | |
- | + | ||
- | Il est possible | + | |
- | + | ||
- | ==== 2 Configuration des chemins | + | |
- | Les fichiers sont dans un répertoire il faut donc indiquer le chemin pour aller récupérer. | + | |
- | + | ||
- | Les chemins a configurer sont les suivants dans les encadrés jaune. | + | |
- | {{ : | + | |
- | + | ||
- | Les cinq chemins qu’il faut modifier avec les répertoires suivants. | + | |
- | <code apache> | + | |
- | var SO_RULE_PATH / | + | |
- | var PREPROC_RULE_PATH / | + | |
- | var WHITE_LIST_PATH / | + | |
- | var BLACK_LIST_PATH / | + | |
- | </code> | + | |
- | De plus Il va falloir commenter les règles **à partir de la ligne 548 jusqu’à la ligne 652** du fichier // | ||
- | {{ : | ||
==== 3 Test de la configuration snort ==== | ==== 3 Test de la configuration snort ==== | ||
Afin de vérifier la bonne configuration du fichier snort.conf il est possible d’utiliser la commande suivante | Afin de vérifier la bonne configuration du fichier snort.conf il est possible d’utiliser la commande suivante | ||
Ligne 167: | Ligne 43: | ||
==== Configuration pour un switch Cisco ==== | ==== Configuration pour un switch Cisco ==== | ||
- | Le mirroring de port(s) sur Cisco passe par des **// | + | Le mirroring de port(s) sur Cisco passe par des **// |
- | La **//source//** peut être un **//port//**, une **//plage de ports//** ou un **// | + | La syntaxe est : |
+ | <code lscript> | ||
+ | //pour les ports source | ||
+ | monitor session < | ||
+ | //pour le port destination | ||
+ | monitor session < | ||
+ | </code> | ||
- | On peut rediriger le trafic reçu (**// | + | * La **// |
+ | * On peut rediriger le trafic reçu (**// | ||
+ | * La **// | ||
+ | **__Exemples__** | ||
<code lscript> | <code lscript> | ||
- | #monitor session 1 source interface fa 0/1 both | + | monitor session 1 source interface fa 0/1 both |
- | #monitor session 1 source interface fa0/2 - fa0/4 tx | + | monitor session 1 source interface fa0/2 - fa0/4 tx |
- | #monitor session 1 source interface fa0/6 - fa0/8 rx | + | monitor session 1 source interface fa0/6 - fa0/8 rx |
- | #monitor session 1 destination interface fa0/2 | + | monitor session 1 destination interface fa0/2 |
</ | </ | ||
Ligne 211: | Ligne 96: | ||
|L’option msg | Elle va permettre d’entrer un message spécifique afin que l’utilisateur puisse comprendre rapidement.| | |L’option msg | Elle va permettre d’entrer un message spécifique afin que l’utilisateur puisse comprendre rapidement.| | ||
|Sid | C'est l’identifiant unique pour identifier les règles il y a trois types : \\ * <100 Réservé pour une utilisation future \\ 100-999,999 Règles incluses dans la distribution de Snort \\ >1 000 000 Utilisé pour les règles locales \\ Dans notre cas la règle a un Sid 1 000 000 2 pour signifier que c’est la deuxième règle .| | |Sid | C'est l’identifiant unique pour identifier les règles il y a trois types : \\ * <100 Réservé pour une utilisation future \\ 100-999,999 Règles incluses dans la distribution de Snort \\ >1 000 000 Utilisé pour les règles locales \\ Dans notre cas la règle a un Sid 1 000 000 2 pour signifier que c’est la deuxième règle .| | ||
- | |La révision | Elle permet aussi d’identifier | + | |La révision | Elle indique un numéro |
- | Il faut faire très attention lors de la création de règle, c’est sensible à la casse, et le lancement d’analyse ne se lance pas. | | + | |
Voici ci-dessous des exemples de règles locales : | Voici ci-dessous des exemples de règles locales : | ||
{{ : | {{ : | ||
- | La règle numéro une va analyser les tentatives d’accès root aux nas, pour ce qui est de la seconde règle c’est l’analyse des scans port sur le serveur de portefeuille. Et enfin la dernière règle va analyser | + | La règle numéro une va analyser les tentatives d’accès root aux nas, pour ce qui est de la seconde règle c’est l’analyse des scans port sur le serveur de portefeuille. Et enfin la dernière règle va analyser |
Liste des liens internet intéressant pour la construction de règles snort. | Liste des liens internet intéressant pour la construction de règles snort. | ||
Ligne 234: | Ligne 118: | ||
==== Lecture des logs ==== | ==== Lecture des logs ==== | ||
- | Les fichiers Logs sont stocké dans le répertoire //** / | + | Les fichiers Logs sont stocké dans le répertoire //** / |
{{ : | {{ : |
snort.1678812570.txt.gz · Dernière modification : 2023/03/14 16:49 de admin