III.1.1.5.3 Test d'intrusion avec Snort

Snort est un système de détection d'intrusion libre pour le réseau (ou NIDS) publié sous licence GNU GPL. On gère sa configuration par des règles (rules), une communauté d'utilisateurs partage librement ces configurations.

L'idée exploitée par ce type de systèmes est que, toute attaque est caractérisée par une signature reconnaissable grâce à un système de surveillance en écoute sur le réseau. Un tel système sera en particulier capable de détecter la plupart des scans réseau, y compris les scans lents ou furtifs [6].

C'est également le cheval gagnant en matière de détection d'intrusion, utilisé par beaucoup d'entreprises et organisations gouvernementales. Snort est un des plus actifs NIDS Open Source et possède une communauté importante contribuant à son succès.

Installation et configuration

L'installation de snort se fait en mode root :

sudo apt-get install snort oinkmaster snort-rules-default;

sudo vi /etc/oinkmaster.conf

Dans la section "Location of rules archive", commentez la ligne:

#url = http://www.snort.org/dl/rules/snortrules-snapshot-2 2.tar.gz et ajoutez juste en dessous la ligne suivante:

url= http://rules.emergingthreats.net/open-nogpl/snort-2.9.0/emerging.rules.tar.gz; Ensuite lancez la commande: sudo oinkmaster -o /etc/snort/rules. Si vous avez une erreur du type: /usr/sbin/oinkmaster: Error: the temporary

directory "/var/run/oinkmaster" does not exist or isn't writable by you.

Il faut simplement créer le dossier temporaire avec la commande:

sudo -s (entrez mot de passe) mkdir -p /var/run/oinkmaster

Et ensuite relancez la commande:

sudo oinkmaster -o /etc/snort/rulesOinkmaster

Oinkmaster va alors se charger de télécharger les règles depuis le site emergingthreats vers /etc/snort/rules.

Ce site change souvent de nom et d'URL car les règles étant publiques, toute personne avec de bonnes comme de mauvaises intentions peut y accéder. Malgré tout, ces règles sont très bien faites et Emergingthreats dépense beaucoup de temps et d'énergie à nous faire de bonnes règles de détection.

Ensuite lancez la commande:

crontab -e et ajoutez cette ligne:

55 13 * * 6 /usr/sbin/oinkmaster -o /etc/snort/rules Ensuite, vous faites echap : wq pour enregistré et quitté.

Ensuite insérez un commentaire à la fin du fichier snort.conf (pour s'y retrouver avec l'insertion des futures règles):

sudo -s

puis

echo "# EmergingThreats.net Rules" >> /etc/snort/snort.conf

Puis ouvrez un autre terminal en root (sudo -s) et placez-vous dans:

cd /etc/snort/rules

Puis lancez un petit programme qui suit :

for i in `ls -1 emerging*`; do echo "include \$RULE_PATH/"$i ; done >> /etc/snort/snort.conf ''**for i in `ls -1 emerging*`; do echo "include \$RULE_PATH/"$i » /etc/snort/snort.conf ; done;**''

Cela va nous économiser une bonne dizaine de minutes en listant, (affichant) et insérant toutes les règles avec le mot "emerging" dans le fichier de conf de Snort.

Ensuite editez snort.conf [10]:

sudo vi /etc/snort/snort.conf

Tout en bas du fichier, en dessous de # EmergingThreats.net Rules On verra toutes les règles insérées avec la méthode ci-dessus, il faut en commenter quelques-unes.

Commentez #include $RULE_PATH/emerging-botcc-BLOCK.rules Commentez #include $RULE_PATH/emerging-compromised-BLOCK.rules Commentez #include $RULE_PATH/emerging-drop-BLOCK.rules Commentez #include $RULE_PATH/emerging-dshield-BLOCK.rules Commentez #include $RULE_PATH/emerging-rbn-BLOCK.rules

Le résultat de scanning est illustré sur la Figure III.5

Figure III- 5: Scanning avec Snort