rapport snort firewall
DESCRIPTION
Rapport SNORT FIREWALLTRANSCRIPT
-
RAPPORT SNORT FIREWALL
Prsente par : Encadre par :
Oumar Garba Konate
[email protected] tel : +221 77 478 46 93
-
FIREWALL : INSTALLATION ET CONFIGURATION
On installe le firewall avec la commande suivante :
Le systme nous indique que IPTABLES est dj install.
Nous allons maintenant concevoir nos rgles de blocage dans un fichier pour filtrer le trafic.
Et nous dfinissons lensemble de nos rgles dans ce fichier
-
Configuration du Firewall On supprime les rgles et on dsactive tout le trafic
Nous rendons le fichier excutable :
Mise en place des rgles :
-
Test N 1 Nous allons faire un Ping sur le serveur mme : voici ladresse du serveur
Et voici le rsultat
L opration nest pas permise puisquon a tout bloque.
-
Autorisation ICMP Nous autorisons maintenant les Ping
TEST SUR LE SERVEUR on fait un Ping sur le serveur
Le rsultat est positive parce que on a autorise les Ping
-
TEST N 2
Test depuis un client Windows
Le Ping passe normalement nous avons des rponses du serveur
-
AUTORISATION HTTP
Pour HTTP voici les rgles :
Ainsi tout les trafic entrant et sortant de HTTP sera autorise
-
TEST N 3 ;
A partir dun post Windows on accde au serveur par HTTP
Nous avons accs a notre serveur Ubuntu (web). Nous pouvons faire autant des rgles que nous souhaitons pour filtrer le trafic.
-
SNORT: INSTALLATION ET CONFIGURATION
Installation de fonctionnalit ncessaire :
Prrequis :
Data acquisition API Indispensable pour les versions de Snort aprs la 2.9.0. Ce composant permet dacqurir des paquets sur le rseau.
Tlchargement :
Installation :
tar zxvf daq-2.0.5.tar.gz cd daq-2.0.5
./configure
make
make install
-
Installation de composants (suite) Libnet Libnet, est une bibliothque opensource. Elle permet de fabriquer et d'injecter facilement des paquets sur un rseau.
Tlcharger libnet-1.12
Installation :
tar zxvf libnet-1.12
cd libnet-1.12/
make
make install
ln s /usr/local/lib/libnet.1.0.1 /usr/lib/ libnet.1
-
INSTALLATION SNORT Tlcharger la dernire version stable, sur http://www.snort.org/snort-downloads.
Une fois le fichier tlcharg, ouvrir un terminal et excuter les commandes suivantes :
tar zxvf snort-2.9.7.3.tar.gz
cd snort-2.9.7.3
sudo ./configure --prefix=/usr/local/snort --enable-sourcefire
sudo make
sudo make install
sudo mkdir /var/log/snort
sudo mkdir /var/snort
sudo groupadd snort
sudo useradd -g snort snort
sudo chown snort:snort /var/log/snort
-
INSTALLATION SNORT-RULES
SNORT-RULES : Afin de donner Snort une bonne acquitte dans son observation, il faut intgrer des rgles de dtection, et les mises jour de ces rgles. Les rgles ruleset officielles sont proposes par Snort ladresse suivante :
Linstallation de snort et ces composants est achev, il ne reste plus qua configurer snort et ajouter les rgles pour surveiller le trafic rseau.
-
CONFIGURATION SNORT Modification de fichier configuration :
Modification de la ligne 45 et 48 pour le rseau :
Modification de la ligne 104 jusqu 110 pour les chemins
Ajout de 2 fichiers pour les rgles quon va crer dans les paragraphe suivants:
-
CONFIGURATION SNORT Cration des rgles :
Les alerte sur la connexion sur youtube et les ping dun post sur le reseau.
Cration des rgles avec les log pour le ssh
Nous avons dfinis nos rgles de filtrage il nous reste a vrifier si snort est bien configures et recevoir les notification des nos alertes.
-
TEST SNORT Test de snort suite : redirection dans le dossier des logs
Nous constatons que linitialisation est complte. Nous allons maintenant faire un ssh vers le serveur.
-
TEST SNORT Test de snort suite : connexion ssh sur le serveur.
En vrifiant sur le serveur nous avons ces dossiers dans les logs :
Dans le dossier 192.168.1.12 nous avons ces fichier qui contiennent les logs :
Dans le fichier TCP:50454-22 nous avons le logs de ssh.
-
TEST SNORT Test de snort suite : connexion sur youtube
Console de snort :
ET le console affiche ces rsultats
Le filtrage est bien russit nous avons le message : attention connexion sur YouTube sur le console de snort
-
TEST SNORT Test de snort suite : ping depuis le post 192.168.1.12
Console de snort :
ET le console affiche ces rsultats
Le filtrage est bien russit nous avons le message : le post 192.168.1.12 fait les ping sur le console de snort
-
TEST SNORT Test de snort suite : dans les logs nous avons ces fichiers :
Le fiichier TCP:50487-443 contient les logs de youtube
Le fiichier ICMP_ECHO contient les logs de ping voici son contenu :
-
CONCLUSION Nous avons mis en place un firewall IPTABLES et un IDS rseau avec loutil SNORT.
Tout les tests quon a eu faire fonctionne correctement a savoir le ssh, le http, le icmp etc.
Nous avons la possibilit dafficher les alertes graphiquement en utilisant les outils comme BASE et ADODB, dans ce cas nous compilons SNORT avec la base de donne MYSQL.