Différences
Ci-dessous, les différences entre deux révisions de la page.
| Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente | ||
|
snort [Le 10/10/2019, 22:51] L'Africain ancienne révision (Le 05/04/2016, 12:23) restaurée |
snort [Le 31/08/2022, 23:29] (Version actuelle) moths-art Passage de http à https sur les liens externes (détecté et corrigé via le bot wiki-corrector (https://forum.ubuntu-fr.org/viewtopic.php?id=2067892) |
||
|---|---|---|---|
| Ligne 2: | Ligne 2: | ||
| ====== SNORT - Système de détection d'intrusion ====== | ====== SNORT - Système de détection d'intrusion ====== | ||
| - | [[http://www.snort.org/|Snort]], maintenu par Sourcefire, est un système de détection d'intrusion libre pour le réseau (ou NIDS) publié sous licence GNU GPL. Sa configuration est gérée par des règles (rules) qu'une communauté d'utilisateur partage librement.\\ | + | [[https://www.snort.org/|Snort]], maintenu par Sourcefire, est un système de détection d'intrusion libre pour le réseau (ou NIDS) publié sous licence GNU GPL. Sa configuration est gérée par des règles (rules) qu'une communauté d'utilisateur partage librement.\\ |
| C'est également le cheval gagnant en matière de détection d'intrusion, utilisé par beaucoup d'entreprises et organisations gouvernementales. Snort est un des plus actifs NIDS Open Source et possède une communauté importante contribuant à son succès. | C'est également le cheval gagnant en matière de détection d'intrusion, utilisé par beaucoup d'entreprises et organisations gouvernementales. Snort est un des plus actifs NIDS Open Source et possède une communauté importante contribuant à son succès. | ||
| Ligne 17: | Ligne 17: | ||
| ===== Configuration ===== | ===== Configuration ===== | ||
| - | - [[:tutoriel:comment_modifier_un_fichier|Éditez avec les droits d'administration]] le fichier **/etc/oinkmaster.conf**.\\ Dans la section "Location of rules archive", commentez ((ajoutez un dièse #)) la ligne :<file>#url = http://www.snort.org/dl/rules/snortrules-snapshot-2_2.tar.gz</file>et ajoutez juste en dessous la ligne suivante :<file>url = http://rules.emergingthreats.net/open-nogpl/snort-2.8.4/emerging.rules.tar.gz</file> | + | - [[:tutoriel:comment_modifier_un_fichier|Éditez avec les droits d'administration]] le fichier **/etc/oinkmaster.conf**.\\ Dans la section "Location of rules archive", commentez ((ajoutez un dièse #)) la ligne :<file>#url = https://www.snort.org/dl/rules/snortrules-snapshot-2_2.tar.gz</file>et ajoutez juste en dessous la ligne suivante :<file>url = http://rules.emergingthreats.net/open-nogpl/snort-2.8.4/emerging.rules.tar.gz</file> |
| - Attention cette commande peut nécessiter une adaptation en fonction de la version de snort. Cette version s'obtient à l'aide de <file>snort -V</file> et l'URL en allant sur le site rules.emergingthreats.net/open-nogpl. | - Attention cette commande peut nécessiter une adaptation en fonction de la version de snort. Cette version s'obtient à l'aide de <file>snort -V</file> et l'URL en allant sur le site rules.emergingthreats.net/open-nogpl. | ||
| - Saisissez dans un [[:terminal]] la [[:commande_shell|commande]] suivante : <code>sudo oinkmaster -o /etc/snort/rules</code>Si vous avez une erreur du type : <code>/usr/sbin/oinkmaster: Error: the temporary directory "/var/run/oinkmaster" does not exist or isn't writable by you.</code>Créez alors le dossier temporaire indiqué avec la commande : <code>sudo mkdir /var/run/oinkmaster</code>puis relancez la commande :<code>sudo oinkmaster -o /etc/snort/rules</code>Oinkmaster va alors se charger de télécharger les règles depuis le site //emergingthreats// vers **/etc/snort/rules**. Ce site change souvent de nom et d'URL car les règles étant publiques, toute personne avec de bonnes comme de mauvaises intentions peut y accéder. Malgré tout, ces règles sont très bien faites et //emergingthreats// dépense beaucoup de temps et d'énergie à nous faire de bonnes règles de détection. | - Saisissez dans un [[:terminal]] la [[:commande_shell|commande]] suivante : <code>sudo oinkmaster -o /etc/snort/rules</code>Si vous avez une erreur du type : <code>/usr/sbin/oinkmaster: Error: the temporary directory "/var/run/oinkmaster" does not exist or isn't writable by you.</code>Créez alors le dossier temporaire indiqué avec la commande : <code>sudo mkdir /var/run/oinkmaster</code>puis relancez la commande :<code>sudo oinkmaster -o /etc/snort/rules</code>Oinkmaster va alors se charger de télécharger les règles depuis le site //emergingthreats// vers **/etc/snort/rules**. Ce site change souvent de nom et d'URL car les règles étant publiques, toute personne avec de bonnes comme de mauvaises intentions peut y accéder. Malgré tout, ces règles sont très bien faites et //emergingthreats// dépense beaucoup de temps et d'énergie à nous faire de bonnes règles de détection. | ||
| Ligne 24: | Ligne 24: | ||
| - Ouvrez un autre terminal en root (sudo -s) et placez-vous dans le répertoire **/etc/snort/rules** <code>cd /etc/snort/rules</code> | - Ouvrez un autre terminal en root (sudo -s) et placez-vous dans le répertoire **/etc/snort/rules** <code>cd /etc/snort/rules</code> | ||
| - Saisissez puis validez cette ligne de code pour vous simplifier la vie : //édition au 20/06/11 : erratum qui fonctionne vraiment// :<code>for i in `ls emerging*` ; do echo "include \$RULE_PATH/"$i >> /etc/snort/snort.conf ; done;</code>Cela va vous économiser une bonne dizaine de minutes en listant, (affichant) et insérant toutes les règles avec le mot "emerging" dans le fichier de conf de Snort. Très pratique, non ? Après avoir installé Snort sur des centaines de serveurs, on veut toujours gagner un peu plus de temps ici et là. | - Saisissez puis validez cette ligne de code pour vous simplifier la vie : //édition au 20/06/11 : erratum qui fonctionne vraiment// :<code>for i in `ls emerging*` ; do echo "include \$RULE_PATH/"$i >> /etc/snort/snort.conf ; done;</code>Cela va vous économiser une bonne dizaine de minutes en listant, (affichant) et insérant toutes les règles avec le mot "emerging" dans le fichier de conf de Snort. Très pratique, non ? Après avoir installé Snort sur des centaines de serveurs, on veut toujours gagner un peu plus de temps ici et là. | ||
| - | - [[:tutoriel:comment_modifier_un_fichier|Éditez avec les droits d'administration]] le fichier **/etc/snort/snort.conf**.\\ Tout en bas du fichier, en dessous de **#EmergingThreats.net Rules** vous allez voir toutes les règles insérées avec la méthode ci-dessus, il faut en commenter ((ajouter un dièse #))quelques unes (pour plus de détail sur "pourquoi bloquer certaines règles?" reportez-vous au [[http://www.snort.org/|site officiel snort.org]]) :<file>#include $RULE_PATH/emerging-botcc-BLOCK.rules</file><file>#include $RULE_PATH/emerging-compromised-BLOCK.rules</file><file>#include $RULE_PATH/emerging-drop-BLOCK.rules</file><file>#include $RULE_PATH/emerging-dshield-BLOCK.rules</file><file>#include $RULE_PATH/emerging-rbn-BLOCK.rules</file><file>#include $RULE_PATH/emerging-sid-msg.map</file><file>#include $RULE_PATH/emerging-sid-msg.map.txt</file> | + | - [[:tutoriel:comment_modifier_un_fichier|Éditez avec les droits d'administration]] le fichier **/etc/snort/snort.conf**.\\ Tout en bas du fichier, en dessous de **#EmergingThreats.net Rules** vous allez voir toutes les règles insérées avec la méthode ci-dessus, il faut en commenter ((ajouter un dièse #))quelques unes (pour plus de détail sur "pourquoi bloquer certaines règles?" reportez-vous au [[https://www.snort.org/|site officiel snort.org]]) :<file>#include $RULE_PATH/emerging-botcc-BLOCK.rules</file><file>#include $RULE_PATH/emerging-compromised-BLOCK.rules</file><file>#include $RULE_PATH/emerging-drop-BLOCK.rules</file><file>#include $RULE_PATH/emerging-dshield-BLOCK.rules</file><file>#include $RULE_PATH/emerging-rbn-BLOCK.rules</file><file>#include $RULE_PATH/emerging-sid-msg.map</file><file>#include $RULE_PATH/emerging-sid-msg.map.txt</file> |
| Et voilà SNORT est installé et prêt à fonctionner et à guetter toute intrusion.\\ | Et voilà SNORT est installé et prêt à fonctionner et à guetter toute intrusion.\\ | ||
| Ligne 36: | Ligne 36: | ||
| Et veillez à prendre chaque message de mise en garde au sérieux... | Et veillez à prendre chaque message de mise en garde au sérieux... | ||
| - | Vous trouverez sur [[http://forum.ubuntu-fr.org/viewtopic.php?pid=2647403|ce fil du forum]] un autre article sur Snort. | + | Vous trouverez sur [[https://forum.ubuntu-fr.org/viewtopic.php?pid=2647403|ce fil du forum]] un autre article sur Snort. |
| =====Pages connexes===== | =====Pages connexes===== | ||
| ====Optimiser snort==== | ====Optimiser snort==== | ||
| - | + | FIXME | |
| - | * [[Barnyard2]] : Barnyard permet de prendre en charge l’inscription des événements en base de données et libère donc des resources à Snort qui peut davantage se concentrer sur la détection des intrusions. | + | |
| ==== IPS reseau ==== | ==== IPS reseau ==== | ||
| Ligne 49: | Ligne 48: | ||
| * [[http://www.snortsam.net/|SnortSam]] | * [[http://www.snortsam.net/|SnortSam]] | ||
| * [[http://snort2c.sourceforge.net|Snort2c]], un fork de snort2pf | * [[http://snort2c.sourceforge.net|Snort2c]], un fork de snort2pf | ||
| - | * [[http://sourceforge.net/projects/snort2pf|Snort2pf]] | + | * [[https://sourceforge.net/projects/snort2pf|Snort2pf]] |
| ====Monitoring compatible snort==== | ====Monitoring compatible snort==== | ||
| Ligne 74: | Ligne 73: | ||
| ---- | ---- | ||
| - | //Contributeurs : **David Schwindenhammer**// | + | //Contributeurs : **Racoon97**// |