Introduction à SNORT

Posté par  (site Web personnel) . Modéré par Fabien Penso.
Étiquettes : aucune
0
3
avr.
2002
Sécurité
LinuxFrench.net nous gratifie une nouvelle fois d'un bon article, et cette fois nous présente l'outil de détection d'intrusion (IDS) SNORT.

Bien souvent actif sur les firewall, cet outil permet de détecter d'éventuelles attaques en comparant le trafic réseau qu'il capture avec une base de données d'attaques connues. Il génère ensuite des logs qu'il est facile de mettre dans une base de donnée pour une exploitation facilitée.

Au menu donc:
- sniffer le réseau
- générer les logs
- détecter les intrusions

A voir ou revoir

Aller plus loin

  • # Dommage

    Posté par  (site Web personnel) . Évalué à 10.

    que ce soit seulement une introduction. Bien que l'on trouve tout plein de docs sur le web sur SNORT, les docs Linuxfrench sont généralement de bonne qualité (notamment l'article sur les BDD avec PostgreSQL http://www.linuxfrench.net/rubrique.php3?id_rubrique=102(...) ). Je trouve quand même que c'est un peu court.
  • # cracker des campagnes???

    Posté par  . Évalué à 10.

    Parler de SNORT, c'est très bien, mais pourquoi ajouter dans la ligne de titre cette phrase aussi confuse qu'ambigüe: "[SNORT] peut être soit un outil de sécurisation, soit permettre au "chti cracker des campagnes" de s'introduire sur votre machine et de la détourner à son avantage."

    Je trouve cela dommage, surtout si cela dissuade certains d'essayer Snort qui, somme toute, ne présente pas beaucoup de menace pour sa propre sécurité.

    Dommage, l'intention était plutôt bonne...

    --
    DaFrog.
  • # Efficace

    Posté par  (site Web personnel) . Évalué à 10.

    Franchement, j ai utilise SNORT dans le cadre de l intranet de mon bahut, je trouve ca tres efficace... En conjonction avec d autres outils tels que NETSAINT, c est vraiment l ideal pour parrer et detecter les attaques les plus communes.

    Ces outils faciltent grandement le travail d un admin en ce qui concerne la securisation des machines. Il n en reste pas moins que ce ne sont que des aides, et que la reactivite de l admin ne doit pas etre amoindrie, loin de la. Ce serait mal aborder ces outils.
  • # Autre article un peu plus technique ...

    Posté par  (site Web personnel) . Évalué à 10.

    J'en avais fait un il y a quelques temps mais il est passe inapercu ...

    http://frlinux.net/?section=reseau&article=53(...)
  • # Pas sur les firewall !

    Posté par  (site Web personnel) . Évalué à 10.

    Normallement, on ne met pas un IDS sur un firewall, mais sur une machine à part qui écoute sur le réseau avec une carte sans adresse, et une seconde carte, qui est connectée sur un réseau d'admin.
    De toutes façons, on ne met pas de services du tout sur un firewall: imaginez qu'un service soit vulnérable à un buffer overflow, et qu'on puisse passer root sur le firewall à distance !
    • [^] # Re: Pas sur les firewall !

      Posté par  (site Web personnel) . Évalué à 10.

      C'est vrai que normalement, on écite de mettre l'IDS sur le firewall mais dans le cas de config perso. (par exemple, protéger sa liaison ADSL @home), c'est un peu contraignant d'avoir besoin d'une 2ème machine pour ça.

      D'autre part, un IDS n'est pas un service (au sens d'un serveur accessible à distance) donc normalement, il n'y a aucune raison qu'il soit attaquable à distance (c'est plutôt son rôle de surveiller cela d'ailleurs).
      • [^] # Re: Pas sur les firewall !

        Posté par  (site Web personnel) . Évalué à 10.

        >il n'y a aucune raison qu'il soit attaquable à distance

        C'est completement faux. Snort sniffe les paquets et fait des recherches de chaines de caractères dans leur contenu. Par conséquent, comme un serveur au sens classique du terme, il traite des entrées.
        On peut donc imaginer de structurer un paquet qui fasse exécuter un code spécifique à l'ordinateur, un serveur par exemple. Il suffit pour cela d'avoir une faille dans la programmation des recherches d'expressions.
        • [^] # Re: Pas sur les firewall !

          Posté par  (site Web personnel) . Évalué à 10.

          D'ailleurs, Snort a été recement victime d'un DoS (un paquet ICMP formé je ne sait plus trop comment le faisait vautrer), relayé de facon trés médiatique par ISS.
          Qq semaines plus tard, un buffer overflow était découvert dans les produits BlackIce et RealSecure Server Sensor (voir BID 4025). La aussi c'est un déni de service provoqué par des ping flood qui peuvent faire rebooter la machine (enfin le windows quoi).
    • [^] # le routeur la roue dé sécour !

      Posté par  (site Web personnel) . Évalué à 0.

      ça doit super bien marcher sur un reseau switché !

      genre j'écoute tout ce qui se passe sur eth0 ...
      et j'entends la mer :)

      chez moi, ce genre de méthode ne marche que du coté du hub :))

      @+
      Code34
      • [^] # Re: le routeur la roue dé sécour !

        Posté par  . Évalué à 10.

        Sauf que si ton switch est manageable (les switches Catalyst de chez Cisco le font, notemment), tu as moyen de configurer un port en "sniff port", vers lequel sera redirigé le trafic à destination d'autres ports.
        • [^] # Re: le routeur la roue dé sécour !

          Posté par  . Évalué à 6.

          A ceci un commentaire: ton switch, dessus tu peux avoir par exemple 2 fois 2 machines qui communiquent à plein pot, soit 200Mb de bande passante occupée (on suppose du half-duplex). Et ton port de sniff, il est en 100Mb. Donc tu ne pourras pas avoir plus de la moitié du traffic.

          Prends maintenant un switch avec 48 ports, ça fait un traffic de fond de panier potentiel de 24*100Mb (en considérant que du half-duplex tjs), soit 2.4Gb, alors accroche-toi avec ton port sniffeur à 100Mb... et ça on y peut pas grand chose.

          Donc il faut placer avec justesse les NIDS sur le réseau physique ainsi que des NIDS hardware (dans les switchs et routeurs ) qui soient capable de filtrer à ce débit (je ne crois pas que ça soit déjà possible). Bref, ce problème de surveillance est loin d'être réglé.
          • [^] # Re: le routeur la roue dé sécour !

            Posté par  . Évalué à 5.

            Quand tu configures un port "sniff", tu choisis le port du switch à "écouter". (par exemple celui où est connecté le firewall... ou la secrétaire pour tenter de récupérer des informations personnelles la concernant :P
  • # Comparaison avec Prelude ?

    Posté par  (site Web personnel) . Évalué à 8.

    J'avais déjà posé la question il y a quelques temps dans un autre commentaire mais pas de réponse :-(

    Est-ce quelqu'un a déjà ait une comparaison entre IDS de Snort et Prelude (http://www.prelude-ids.org(...)) ? IHMO, Prelude est un IDS mieux architecturé que Snort et contient un système de plugins qui permet d'utiliser les règles de Snort :-)

    D'après le site de Prelude, il est bien plus performant que Snort sous forte charge (réseau haut-débit) mais j'aimerais bien en avoir confirmation...
    • [^] # Re: Comparaison avec Prelude ?

      Posté par  (site Web personnel) . Évalué à 5.

      J'ai toujours des doutes sur les bench issu du site intéressé. Le plus bel exemple est quand même la série de bench chez MySQL (http://www.mysql.org/information/benchmarks.html(...) et http://www.mysql.com/information/crash-me.php(...) ), je la trouve franchement exceptionnelle. Ils n'ont vraiment pas peur chez MySQL, comparer MySQL sur les insert dans les grandes tables avec un Oracle, c'est osé (surtout que quand on vérifie pas les contraintes d'intégrité de type clé étrangère).
      Sinon, désolé mais j'ai pas de résultat à te fournir sur Prelude et Snort.
    • [^] # Re: Comparaison avec Prelude ?

      Posté par  . Évalué à 10.

      Un bench, je n'ai pas. Ce que je peux te dire, c'est qu'en effet le code de Snort est un gros tas de lignes parfois incompréhensibles. Ça ne donne pas très envie de travailler dessus.

      Par contre, Prelude a dès le départ eu un soucis de design propre et efficace, d'où une rapidité accrue, et la différence se fera quand on voudra sniffer des réseaux très rapides (le gigabit par exemple ? :), là j'ai peur que Snort soit bien à la rue.

      Aussi, bien que Prelude ne soit pas encore complet, ces derniers temps l'équipe des développeurs s'est etoffée et ça avance plus vite. Un point manquant à l'heure actuelle est la contre-mesure, mais les développeurs prennent le temps de bien concevoir la chose pour avoir juste du premier coup. D'ici peu, Prelude aura tout ce qu'il faut pour faire main-basse sur les IDS ;-)

      D'ailleurs, l'équipe sera très probablement aux Rencontres Mondiales du Logiciel Libre en juillet (lsm.abul.org, mais le site est encore bien vide côté programme :( pour présenter et expliquer les avancées du projet et son avenir.
  • # Autre article sur SNORT

    Posté par  . Évalué à -2.

    Sur Zataz.org on retrouve des articles pour la mise en place de l'IDS SNORT, ainsi que des GUI
    http://www.zataz.org(...)
    • [^] # Bah, Zataz !!!

      Posté par  (site Web personnel) . Évalué à 2.

      C'est bien de donner un lien vers un article mais ZATAZ ça abuse à mort de voir ça sur DLFP !!!

      Taz n'a qu'une connaissance réduite de l'informatique (y'a qu'a voir ces boulettes repétées dès que c'est technique) et à part faire du "clickodrome" sous Win, il connait pas grand chose et surtout sur Linux :-((
      • [^] # Re: Bah, Zataz !!!

        Posté par  . Évalué à 4.

        Le pire c'est qu'ils ont un magazine (j'ai vu ça chez mon bureau de tabac) dont le niveau est encore plus bas que hacker voize (essayez d'imaginer :(

        Le seul truc qui est bien (et encore...) c'est les quelques news de leur site mais le niveau de leur magazine est déplorable (je suis désolé pour les auteurs mais je déteste les gens qui parlent de choses qu'ils ne connaissent pas dans le seul but de faire acheter un torchon aux lamers et autres script-kiddies).

        Exemple d'articles que l'on peut trouver dans ce mag (de mémoire hein ;) ):
        -se protéger sur IRC (super...)
        -chater couvers sur ICQ (mots pour mots)

        Mais surtout le summum c'est l'article bidon sur le piratage de film sur internet: "Piratage de films: Les vrais réseaux clandestins" (ou comment se mêler les pinceaux sur un sujet qui nous est inconnu)
        • [^] # Re: Bah, Zataz !!!

          Posté par  (site Web personnel) . Évalué à -2.

          Le pire c'est qu'ils ont un magazine

          J'avais même pas osé en parler tellement c'est du papier à chiottes :-D Ce serait leur faire de la pub, encore plus nul que Hacker Voice, c'est dire.

          Heureusement que MISC rattrape le niveau, faut dire que les auteurs ne sont pas du même calibre.
          • [^] # Re: Bah, Zataz !!!

            Posté par  . Évalué à -1.

            en parlant de misc tu sais pas quand le 2eme numéro va sortir? je me suis renseigné chez mon marchand de journaux mais il ne l'avais pas encore.
    • [^] # Re: Autre article sur SNORT

      Posté par  . Évalué à 5.

      Bof, Damien Bancal est un journaleu qui a trouvé un crénau porteur, grand bien lui fasse. C'est un peu le Joystick.fr de la sécurité :)

      Damien Bancal himself
      http://www.allhtml.com/interview/interview11.php(...)

      Kitetoa
      http://www.kitetoa.com/Pages/Textes/Textes/Precision/vacances.htm(...)
      • [^] # Re: Autre article sur SNORT

        Posté par  . Évalué à 0.

        :-)
        assez d'accord
      • [^] # rigolons un peu ça peut pas faire de mal

        Posté par  . Évalué à 1.

        d'après l'interview:

        Aussi etonnant que cela puisse paraitre. ZATAZ n'avait pas pour but d'être public au départ
        hélàs ça l'est devenu

        la maturité de zataz.com
        hummm...

        ALL HTML : Quels sont, pour vous, les critères essentiels pour obtenir un site de qualité ?
        Damien Bancal : Contenu, graphisme, proximité et reactivité. Le troisième élément est le plus important. Toujours répondre par exemple aux emails que l'on peut recevoir... Ecouter critiques et compliments. Les prendres en compte si c'est possible !

        pourquoi tu tiens pas compte de tes conseils alors?

        Pour le site je possède Dreamweaver
        no comment

        donc je serai aussi nul sous apache que sous II-S
        c'est pas moi qui l'a dit ;)



        je suis désolé pour ce commentaire à la limite du troll mais je pouvais pas m'en empêcher c'est plus fort que moi :p
        • [^] # Re: rigolons un peu ça peut pas faire de mal

          Posté par  . Évalué à -2.

          C'est 'Bancal' quoi :)
        • [^] # Old school lamer

          Posté par  . Évalué à 1.

          Ca oui l'interview est marrante :

          ZATAZ est un magazine qui a pour unique but d'informer sur la cyber criminalité afin de montrer ce qui arrive aujourd'hui avec l'informatique afin de mieux se prémunir en cas de problème. Lancé sur le Web en 1998, le magazine existe depuis bien plus longtemps sous format disquette à l'époque du CPC, Amiga, Atari...

          Je me souviens du disczine en question (qui s'appelait CCC pour Croco Computer Club !) : il y avait des fichiers de plusieurs ko entièrement remplis de zéros, juste pour donner l'impression que la disquette est gonflée à bloc.... ! Quel bouffon....

          (eh oui, ça ne nous rajeunit pas)
          • [^] # Re: Old school lamer

            Posté par  . Évalué à 1.

            Hu,

            Hoho, c'est pas damien qui a écris cet article c'est moi... Zataz.net est un projet en relation avec Zataz.com c'est évident, mais aussi détaché dans son évolution.

            Dans ma profession je suis administrateur Système sous linux, je n'ai aucune prétention à me faire passer pour un hacker, mais plus pour une personne qui aime beaucoup travailler sous cet OS.

            Cordialement.
            • [^] # Re: Old school lamer

              Posté par  . Évalué à 1.

              J'avais oublié forc3 powa ;)
              Mon colluègue qui me donne un coup de main sur zataz.net

              Cordialement
  • # boulala....

    Posté par  . Évalué à 2.

    Bon, je veux pas être méchant, mais cet article est baclé et n'apporte pas grand chose. C'est un pale zippage raré corrompu (il manque la fin) de la doc de snort, avec plein de trucs faux en plus.J'aimerais bien avoir les sources qui ont permis à l'auteur de définir un NNIDS, car pour moi, un NNIDS, c'est pas ça du tout ( un NIDS peut faire une analyse comportementale !!!), mais plutôt un HIDS qui traite la couche réseau, ou au moins un NIDS qui a une écoute 'focalisée'.

    En 2 mots, si vous voulez connaître snort, c'est pas cet article qui va vous avancer (vous risquez même de reculer).
  • # Autres articles sur Snort

    Posté par  . Évalué à 0.

    Bonjour,

    Dans le cadre du projet Zataz.net, vous pourrez trouver diverses documentations sur la sécurité informatique, dont deux documentations sur Snort.

    Installation de Snort, SnortSnarf
    http://www.zataz.net/snort-snortsnarf-install.php(...)

    Snort et ACID
    http://www.zataz.net/snort-acid-install.php(...)

    Cordialement.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.