Cette page est en cours de rédaction.
Apportez votre aide…
Ceci est une ancienne révision du document !
SNORT
SNORT® est un logiciel de détection d'intrusion réseau géré par des règles (rules). Je ne vais pas m'attarder sur le sujet, en quelques mots : c'est le cheval gagnant en matière de détection d'intrusion, utilisé par beaucoup d'entreprises et organisations gouvernementales , snort est aussi très utile pour les particuliers, c'est le mouton a 5 pattes. Pour plus d'information: http://www.snort.org/
Pour ceux qui voudraient faire l'installation en le compilant c'est ici : http://www.system-linux.eu catégorie sécurité
Il faut commencer par installer snort et oinkmaster:
sudo aptitude install snort oinkmaster snort-rules-default
Ensuite éditez oinkmaster.conf:
sudo gedit /etc/oinkmaster.conf
Dans la section "Location of rules archive", commentez la ligne: #url = http://www.snort.org/dl/rules/snortrules-snapshot-2_2.tar.gz et ajoutez juste en dessous la ligne suivante: url = http://www.emergingthreats.net/rules/emerging.rules.tar.gz
Ensuite lancez la commande:
sudo oinkmaster -o /etc/snort/rules
Si vous avez une erreur du type: /usr/sbin/oinkmaster: Error: the temporary directory "/var/run/oinkmaster" does not exist or isn't writable by you. Il faut simplement créer le dossier temporaire avec la commande:
sudo -s (entrez mot de passe)
Puis:
mkdir /var/run/oinkmaster
et ensuite relancez la commande:
sudo oinkmaster -o /etc/snort/rules
Oinkmaster va alors se charger de télécharger les règles depuis le site emergingthreats vers /etc/snort/rules. Ce site change souvent de nom et d'URL car les règles étant publiques, toute personne avec de bonnes comme de mauvaises intentions peut y accéder. Malgré tout, ces règles sont très bien faites et emergingthreats dépense beaucoup de temps et d'énergie à nous faire de bonnes règles de détection.
Ensuite lancez la commande:
crontab -e
et ajoutez cette ligne:
55 13 * * 6 /usr/sbin/oinkmaster -o /etc/snort/rules
ctrl o et ctrl x pour sauver et quitter le fichier.
Ensuite insérez un commentaire a la fin du fichier snort.conf (pour s'y retrouver avec l'insertion des futures règles):
sudo -s
puis
echo "#EmergingThreats.net Rules" >> /etc/snort/snort.conf
Puis ouvrez un autre terminal en root (sudo -s) et placez vous dans:
cd /etc/snort/rules
puis lancez un petit programme que j'ai fait pour vous simplifier la vida:
for i in `ls -1 emerging*` ; do echo "include \$RULE_PATH/"$i ; done >> /etc/snort/snort.conf
erratum : for i in `ls -1 emerging*` ; do echo "include \$RULE_PATH/"$i » /etc/snort/snort.conf ; done;
Cela va vous économiser une bonne dixaine de minutes en listant, (affichant) et insérant toutes les règles avec le mot "emerging" dans le fichier de conf de Snort. Très pratique, non? Après avoir installer Snort sur des centaines de serveurs, on veut toujours gagner un peu plus de temps ici et la.
Ensuite editez snort.conf:
sudo vi /etc/snort/snort.conf
Tout en bas du fichier, en dessous de #EmergingThreats.net Rules vous allez voir toute les règles insérées avec la méthode ci-dessus, il faut en commenter quelques unes (pour plus de detail sur "pourquoi bloquer certaines regles?":http://www.snort.org/):
Commentez #include $RULE_PATH/emerging-botcc-BLOCK.rules
Commentez #include $RULE_PATH/emerging-compromised-BLOCK.rules
Commentez #include $RULE_PATH/emerging-drop-BLOCK.rules
Commentez #include $RULE_PATH/emerging-dshield-BLOCK.rules
Commentez #include $RULE_PATH/emerging-rbn-BLOCK.rules
Commentez #include $RULE_PATH/emerging-sid-msg.map
Commentez #include $RULE_PATH/emerging-sid-msg.map.txt
Et voilà SNORT est installé et prêt à fonctionner et à guetter toute intrusion. Démarrez SNORT avec la commande:
sudo /etc/init.d/snort start
Si vous souhaitez pousser la sécurité a son presque maximum dans la branche intrusion, lancez ces commandes:
sudo aptitude install logcheck logcheck-database rkhunter binutils
Ensuite lancez RootKit Hunter:
sudo -s rkhunter -c
Et veillez à prendre chaque message de mise en garde au sérieux…
Voici un autre article sur snort: http://forum.ubuntu-fr.org/viewtopic.php?pid=2647403
Contributeur : David Schwindenhammer, Tucson AZ USA éditez le fichier