Securite firewall

Disponible uniquement sur Etudier
  • Pages : 7 (1504 mots )
  • Téléchargement(s) : 0
  • Publié le : 30 décembre 2010
Lire le document complet
Aperçu du document
Installation de Snort sous Fedora

S.N.O.R.T. est un NIDS (Network Intrusion Détection System ou Système de Détection d'Intrusion Réseau). Comme ses initiales le suggèrent, un NIDS sert à détecter les tentatives d'intrusion, pour ce faire, il compare le trafic réseau à une base de données des attaques connues. Le cas échéant, il exécute une action prédéfinie, qui va de vous prévenir àverrouiller le réseau. S.N.O.R.T. vous permettra donc basiquement, de détecter d'éventuels intrusions, de gérer vos logs et sniffer le réseau. Nous détaillerons ici, l'installation à partir des sources, bien que de nombreuses distributions soient livrées avec un paquetage snort. Cette installation comprend en fait 2 grandes parties : l’installation de snort (logiciel de base avec toutes ses dépendances)l’installation de l’ACID ; l’interface graphique avec les bases mysql qui vous permettra de suivre plus convivialement les détections d’intrusion.

I – Installation de snort : 1.1 – Prérequis : PCRE : Sur http://www.snort.org/, téléchargez pcre-6.4.tar.gz ou la dernière version que vous trouverez. $]# tar –zxvf pcre-6.4.tar.gz $]# cd pcre-6.4 $]# ./configure $]# make $]# make check $]# make installLibpcap (Si ce n’est pas déjà fait) : Téléchargement possible sur plein de sites. Exemple : sur ftp://ftp.ee.lbl.gov/libpcap.tar.Z $]# tar –zxvf libpcap.tar.Z $]# cd libpcap-0.4/ $]# ./configure --prefix=/usr $]# make $]# make install $]# mkdir /usr/include/pcap $]# mkdir /usr/include/pcap/net $]# cp *.h /usr/include/pcap/ $]# cp bpf/net/*.h /usr/include/pcap/net/

$]# vi Makefile Dans lefichier Makefile, repérez la section de install-man et $(DESTDIR)$(MANDEST)/man3/pcap.3 par /usr/share/man/man3/pcap.3 $]# make install-man

remplacer

1.2 - Installation de SNORT : Downloadez la dernière version sur http://www.snort.org/ Exemple : http://www.snort.org/dl/current/snort-2.4.3.tar.gz $]# tar –zxvf snort-2.4.3.tar.gz $]# cd snort-2.4.3 $]# ./configure --prefix=/usr--with-libpcap-includes=/usr/include/pcap --with-libpcaplibraries=/usr/lib --with-mysql=/var/lib/mysql Pour avoir toutes les options de compil, ouvrez le fichier configure, et recherchez la section Optional Packages. $]# make $]# make install $]# mkdir /etc/snort $]# mkdir /etc/snort/rules $]# cp etc/* /etc/snort/ $]# /usr/sbin/useradd snort –d /var/log/snort –s /sbin/nologin –c “Program SNORT” $]# chown –Rsnort:snort /var/log/snort Downloadez les rules minimales sur http://www.snort.org. Il va vous falloir vous enregistrer d’abord, puis télécharger ensuite. A supposer que vous ayez téléchargé snortrules-snapshot2.4.tar.gz : $]# tar –zxvf snortrules-snapshot-2.4.tar.gz $]# cp –R snortrules-snapshot-2.4/rules /etc/snort/rules Snort est ainsi installé avec les configs par défaut. Vous pouvez l’utilisez enmode sniffer comme la commande tcpdump : $]# snort –v $]# snort –vde $]# snort –dvi eth0 Mais il est plus intéressant lorsqu’on l’utilise en mode NIDS, et pour cela des configs s’imposent.

1.3 - Configuration basique de snort Toute la config se fait dans le fichier /etc/snort/snort.conf qui contient un certain nombre de variables à paramétrer et c’est tout. Donc éditez le fichier et modifions leensemble : Les lignes commençant par # sont des commentaires, elles sont en fait remplacées par la ligne qui les suit :

Spécifier votre réseau que vous voulez surveiller : # var HOME_NET any # Roger var HOME_NET [196.200.10.0/24,196.200.72.176/28] Spécifier les autres (la jungle) : # Set up the external network addresses as well. A good start may be "any" # var EXTERNAL_NET any # Roger varEXTERNAL_NET !$HOME_NET Spécifier vos serveurs DNS : # List of DNS servers on your network # var DNS_SERVERS $HOME_NET # Roger var DNS_SERVERS [196.200.12.6/32,196.200.12.130/32] Indiquer vos serveurs de messagerie : # List of SMTP servers on your network # var SMTP_SERVERS $HOME_NET # Roger var SMTP_SERVERS 196.200.17.130/32 Indiquer vos serveurs web : # List of web servers on your network # var...
tracking img