Snort. Rapport de stage. Eric Farman Cursus AFPA TSRIT Lieu : Hôtel-de-Ville de Pertuis du 30/01/2012 au 16/02/2012

Dimension: px
Commencer à balayer dès la page:

Download "Snort. Rapport de stage. Eric Farman Cursus AFPA TSRIT 2011 2012 Lieu : Hôtel-de-Ville de Pertuis du 30/01/2012 au 16/02/2012"

Transcription

1 Snort Rapport de stage Eric Farman Cursus AFPA TSRIT Lieu : Hôtel-de-Ville de Pertuis du 30/01/2012 au 16/02/2012 Responsables En entreprise : Laurent Garcia Afpa : Roland Martinet, Bernard Bienaimé, René Zinaeve 1

2 Remerciements Je tiens à remercier M. Roger Pellenc, Maire de pertuis qui a accepté ma demande de stage. Je remercie pour leur aide Laurent Garcia (responsable informatique le la Mairie de Pertuis), et Cédric Meysson (du service informatique) qui m a plus particulièrement épaulé pendant ce stage. Je remercie également l Afpa qui a financé ce stage. 2

3 Sommaire Remerciements... 2 A propos de Snort... 5 Que permet-il de faire exactement?... 5 Périmètres du stage... 5 Présentation de la Ville... 6 Présentation du réseau de la Ville... 6 Serveurs et interconnexion globale... 7 Système de virtualisation... 7 Topologie communale... 9 Architecture dans l hôtel de ville Topologie de Snort Modes d utilisation de Snort Mode sniffer Mode Packet logger Mode NIDS (Network Intrusion Detection System) Mode IPS (IPS= Intrusion Prevention System) ou Snort inline Installation Ubuntu et composants complémentaires Installation des fonctionnalités nécessaires Mettre à jour la version d Ubuntu Composants pour Snort NIDS JpGraph Data acquisition API Libnet Installation de Snort NIDS Création de la base de données Snort rules Barnyard Interfaces réseau Les règles Mise à jour des règles Oinkmaster Mise à jour du «ruleset» proposé par Snort : Mise à jour du «ruleset» proposé par Emerging : Mise à jour du «ruleset» proposé par Bleeding Snort :

4 On peut à présent tester Snort en NIDS Monitoring Acid (Analysis Console for Intrusion Databases) Snort report Analyse de l interface Attaques Quelques mots sur les techniques anti-snort a. Attaque par déni de service b. Attaque par insertion c. Attaque par évasion Snort inline Les pré-requis : Une installation d Ubuntu mise à jour Iptables Libnet Prce Libpcap Libdnet Installation de Snort inline Paramétrage Création des répertoires Fichiers de configuration Règles Paramétrage du fichier de configuration principal Activation du mode d'interception Activation de ip_queue Paramétrage de iptables Oinkmaster sur Snort inline Test de Snort inline Mise en œuvre à prévoir Conclusion Lexique Annexes Annexe

5 A propos de Snort En anglais, Snort signifie «renifler». Snort est un système de détection d'intrusion libre (ou NIDS) publié sous licence GNU GPL (Licence définissant le mode d utilisation et de distribution des logiciels libres). À l'origine écrit par Martin Roesch, il appartient actuellement à Sourcefire. Des versions commerciales intégrant du matériel et des services de supports sont vendues par Sourcefire. Snort est un des NIDS les plus performants. Il est soutenu par une importante communauté qui contribue à son succès. Que permet-il de faire exactement? Snort capture des paquets sur un point d un réseau IP, analyse le flux obtenu en temps réel, et compare le trafic réseau à une base de données d attaques connues. Les attaques connues sont répertoriées dans des librairies de règles mises à jour par plusieurs communautés très actives. Signatures Capture Analyse Alerte Principe de l analyse de Snort Snort peut également être utilisé avec d'autres modules compatibles (tels que des interfaces graphiques, des actualisateurs de librairies d attaques indépendants, etc.) Snort est compatible avec la plus part des OS. Windows, Mac, Linux Ubuntu, CentOS, OpenSuSE Périmètres du stage Pendant mon stage, je dois installer Snort, le paramétrer et le tester. Je dispose d un PC avec le logiciel de vitalisation VirtualBox. Je dois réaliser mon travail sur Linux Ubuntu. En préambule : pour des raisons de sécurité évidente, je noterai dans ce rapport les adresses IP du réseau de la Ville de pertuis comme xxx.xxx.xxx.xxx/xx 5

6 Présentation de la Ville J effectue mon stage à la Ville de Pertuis. Deux mots de présentation : Pertuis est une commune du sud Vaucluse, sur la Durance qui sert de limite avec les Bouches-du Rhône. Une ville en développement qui compte près de habitants. Son Maire est Roger Pellenc dans son mandat actuel ( ). Présentation du réseau de la Ville Un petit descriptif sur l infrastructure réseau de la ville. C est une topologie dite en étoile étendue. Il comprend à peu près 200 postes. Un réseau dont le cœur est en gigabit desservant les éléments du réseau en FastEthernet. Cinq plages d adresses IP sont réservées pour : - équipement réseau (statique) - Serveurs (statique) - Utilisateurs DHCP - Directeurs DHCP - Service informatique (statique) Deux serveurs NAS (Network Attached Storage) desservent les équipements de la commune. Un à l hôtel de ville et l autre (en cours de déménagement) au Centre de Gestion Urbain 6

7 Serveurs et interconnexion globale Figure 1 Deux Serveurs de fichiers sur des sites distants (un à la Police municipale et l autre au Centre technique municipal). Ils garantissent une bande passante optimale. Ils sont également des répliquats Active Directory, pour prévenir des coupures de liaison. Un service applicatif pour le service éducation (en bas au centre sur la figure 1). Serveur ESXI 4.1 hébergeant deux serveurs virtuels pour la sauvegarde et la supervision. La sauvegarde effectuée par Veeam Backup (sauvegarde des machines virtuelles de la baie.) Système de virtualisation - Baie SAN Dell équallogic (Stockage des serveurs) - 2 serveurs sous VMware - 2 sous Hyper V (virtualisation version Windows) 7

8 Figure 2 Sous Hyper V : - serveurs Citrix (Déport applicatif) Sous VMware : l Active Directory, le serveur DHCP, le serveur DNS, le serveur de messagerie, le serveur de bases de données, le serveur WSUS (serveur mises à jour), les serveurs applicatifs, les serveurs de fichiers. 8

9 Topologie communale Figure 3 A l hôtel de ville, quatre antennes wifi servent quatre sites distants, et une fibre optique reliant l'annexe et le "donjon" (tour ancienne et point culminant au centre de Pertuis) sur lequel quatre antennes servent quatre autres sites distants. Les antennes sont des Alvarion (wimax) avec un cryptage de type AES 256 bits. 9

10 Architecture dans l hôtel de ville Ma situation sur le réseau Figure 4 Un routeur SFR relie le réseau à l internet. Un Pare feu Fortigate (en fait, ils sont deux en cluster par sécurité), Le Pare feu fait routeur vers la DMZ et le réseau mairie, Un routeur en VPN relie le service Jeunesse. 10

11 Topologie de Snort Où positionner Snort? Une vraie guerre de religion! Exemple de réseau Position 1 : Sur cette position, Snort va pouvoir détecter l'ensemble des attaques frontales, provenant de l'extérieur, en amont du firewall. Ainsi, beaucoup d'alertes seront remontées ce qui rendra les logs difficilement consultables. Position 2: Si Snort est placé sur la DMZ, il détectera les attaques qui n'ont pas été filtrées par le firewall et qui relèvent d'un certain niveau de compétence. Les logs seront ici plus clairs à consulter puisque les attaques bénignes ne seront pas recensées. Position 3 : Snort peut ici rendre compte des attaques internes, provenant du réseau local de l'entreprise. Il peut être judicieux d'en placer un à cet endroit étant donné le fait que 80% des attaques proviennent de l'intérieur. De plus, si des trojans ont contaminé le parc informatique (navigation peu méfiante sur internet) ils pourront être ici facilement identifiés pour être ensuite éradiqués. Ce dernier positionnement est celui que j ai testé pendant mon stage. Pourquoi? Le temps du stage n étant pas infini, j ai choisi de m intéresser à la détection des intrusions qui ont réussi à entrer dans l enceinte du réseau. Le web regorge d activités malveillantes qui ne nous concernent pas forcément. Donc la position 3 me parait de loin la plus pertinente. De plus les failles les plus répandues proviennent généralement de l intérieur de l entreprise, et non de l extérieur. Dans l idéal, il faudrait faire le mirroring du flux passant par un switch (manageables bien entendu) et le soumettre à l analyse de Snort. 11

12 Modes d utilisation de Snort Il existe 4 modes d exécutions de Snort : Mode sniffer C est un snif de réseau classique. Inutile de s y attarder, d autres logiciels comme wireshark le font très bien, et la valeur réelle de Snort n est pas là. Mode Packet logger De même que le mode sniffer, sauf qu il écrit le résultat de son observation dans un fichier log. Je ne m y attarderai pas plus. Mode NIDS (Network Intrusion Detection System) Cela devient plus intéressant. Ce mode fait l objet de mon stage. Il s agit de l utilisation de Snort avec analyse du trafic aux vues de règles de sécurités actualisées. Snort en NIDS a une valeur d observation. Mode IPS (IPS= Intrusion Prevention System) ou Snort inline Le mode IPS n est plus Snort a proprement parler. Il s agit d une autre version basée sur Snort 2.6 appelée Snort inline. Cette version permet de modifier ou de rejeter des paquets. Je décrirai rapidement sa mise en place en fin de rapport. Installation Ubuntu et composants complémentaires Dans un premier temps, procéder à l installation d Ubuntu. Il sera nécessaire d adjoindre quelques services à la configuration de base pour permettre le bon fonctionnement de Snort. Installation des fonctionnalités nécessaires sudo apt-get install nmap sudo apt-get install nbtscan sudo apt-get install apache2 sudo apt-get install php5 sudo apt-get install php5-mysql sudo apt-get install php5-gd sudo apt-get install libpcap0.8-dev sudo apt-get install libpcre3-dev sudo apt-get install g++ sudo apt-get install bison sudo apt-get install flex sudo apt-get install libpcap-ruby sudo apt-get install mysql-server sudo apt-get install libmysqlclient16-dev Mettre à jour la version d Ubuntu sudo apt-get update sudo apt-get upgrade 12

13 Composants pour Snort NIDS JpGraph Composant optionnel. Il permet de présenter des graphiques sur la page d accueil de Snort. Lien de téléchargement : Téléchargement et installation : sudo wget sudo mkdir /var/www/jpgraph sudo tar zxvf jpgraph tar.gz sudo cp -r jpgraph /src /var/www/jpgraph/ Data acquisition API Indispensable pour les versions de Snort après la Ce composant permet d acquérir des paquets sur le réseau. Télécharger daq tar.gz Installation: sudo tar zxvf daq tar.gz cd daq sudo./configure sudo make sudo make install Libnet Libnet, est une bibliothèque opensource. Elle permet de fabriquer et d'injecter facilement des paquets sur un réseau. Télécharger libnet installation : sudo tar zxvf libnet-1.12 cd libnet-1.12/ sudo make sudo make install sudo ln s /usr/local/lib/libnet /usr/lib/ libnet.1 13

14 Installation de Snort NIDS Télécharger la dernière version stable, sur (j utilise la version 2.9.2). Une fois le fichier téléchargé, ouvrir un terminal et exécuter les commandes suivantes : sudo tar zxvf snort tar.gz cd snort sudo./configure --prefix=/usr/local/snort --enable-sourcefire sudo make sudo make install sudo mkdir /var/log/snort sudo mkdir /var/snort sudo groupadd snort sudo useradd -g snort snort sudo chown snort:snort /var/log/snort Création de la base de données L installation de Snort nécessite la mise en place d un serveur Mysql afin de permettre au NIDS de stocker les alertes qu il génère mais aussi à la console BASE ou Snort report de se connecter et récupérer ces alertes. echo "create database snort;" mysql -u root -p mysql -u root -p -D snort <./schemas/create_mysql Transférer les droits root de la base de donné sur l utilisateur snort : echo "grant create, insert, select, delete, update on snort.* to identified by 'mon-mdp'" mysql -u root -p Snort rules Afin de donner à Snort une bonne acquittée dans son observation, il faut intégrer des règles de détection, et les mises à jour de ces règles. Les règles «ruleset» officielles sont proposées par Snort à l adresse suivante : Le principal inconvénient : ils sont payants. Il y a toute fois un «ruleset» disponible pour test lorsque l on s inscrit sur le site de Snort. Barnyard2 Barnyard est une couche applicative qui exploite les événements générés par Snort. Barnyard permet de prendre en charge l inscription des événements en base de données et libère donc des ressources à Snort qui peut davantage se concentrer sur la détection des intrusions. 14

15 Installation de la version courante: sudo tar zxvf barnyard2-1.9.tar.gz cd barnyard2-1.9 sudo./configure --with-mysql sudo make sudo make install sudo cp etc/barnyard2.conf /etc/snort sudo mkdir /var/log/barnyard2 sudo chmod 666 /var/log/barnyard2 sudo touch /var/log/snort/barnyard2.waldo sudo chown snort.snort /var/log/snort/barnyard2.waldo Modifions le fichier /etc/snort/ barnyard2.conf Remplacer : Par : #config hostname: snort #config interface: eth1 #output database: log, mysql, user=root password=azerty dbname=db host=localhost config hostname: localhost config interface: eth1 output database: log, mysql, user=root password=azerty dbname=snort host=localhost Interfaces réseau Afin d utiliser Snort, il nous faut donc 2 interfaces réseau. La première reliée à la console de management, et la seconde au réseau à sniffer. Modification du fichier «interfaces»: sudo vi /etc/network/interfaces Et on remplace les lignes : auto eth1 iface eth1 inet dhcp Par : auto eth1 iface eth1 inet static address xxx.xxx.xxx.xxx 15

16 netmask xxx.xxx.xxx.xxx network xxx.xxx.xxx.xxx broadcast xxx.xxx.xxx.xxx gateway xxx.xxx.xxx.xxx On ajoute maintenant ces lignes qui permettront de démarrer l interface avec son IP : auto eth1 iface eth1 inet manual ifconfig eth1 up On enregistre et on relance : sudo /etc/init.d/networking restart Afin de lancer Snort automatiquement sur notre machine, on peut éditer le fichier rc.local : sudo vi /etc/rc.local On colle les lignes suivantes après «exit 0» : ifconfig eth1 up /usr/local/snort/bin/snort -D -u snort -g snort \ -c /usr/local/snort/etc/snort.conf -i eth1 /usr/local/bin/barnyard2 -c /usr/local/snort/etc/barnyard2.conf \ -G /usr/local/snort/etc/gen-msg.map \ -S /usr/local/snort/etc/sid-msg.map \ -d /var/log/snort \ -f snort.u2 \ -w /var/log/snort/barnyard2.waldo \ -D On enregistre et on quitte le fichier. Désormais, en redémarrant ou en utilisant la commande cidessous, on lance Snort : sudo /etc/init.d/rc.local start Les règles Une convention permet de normaliser l écriture des règles. Une règle Snort est composée de deux parties présentées sous le format suivant : Header (options). action protocole adress1 port1 direction adresse2 port2 Options (msg, content.etc) La partie header décrit l action, la direction et les adresses sources et destinations des échanges réseau. 16

17 - Le champ «action» peut prendre plusieurs valeurs selon l action à mener par Snort en détectant des paquets réseau répondant au critère définie dans la règle. Ces valeurs sont les suivantes : alert : génère une alerte et log le paquet log : log le paquet pass : ignore le paquet activate : active une règle dynamique dynamic : définie une règle dynamique - Le champ «protocole» décrit le protocole utilisé pour la communication. Snort supporte les protocoles IP (TCP, UDP), ICMP. - Les champs «direction» renseignent Snort sur la direction des échanges réseau ( ->, <->, <- ). - Les champs «adress/port» décrivent les adresses IP et les ports des machines qui échangent des données sur le réseau. - La partie options, elle renseigne Snort sur les caractéristiques des paquets à signaler et garantissent une meilleure granularité pour définir et appliquer les règles mais aussi déclencher les actions qu elles décrivent. - La partie options est constituée de plusieurs champs qui assurent l analyse du contenu des paquets réseau avec plus de finesse. Notons que la manipulation de ces champs nécessite une grande maîtrise des protocoles réseau pour pouvoir décrire les signatures des attaques à détecter. Pour chaque option le format est nom option : valeur1 [, valeur2, ] ci-dessous quelques options utilisées dans la création des règles. msg : spécifie le message qui sera affiché dans le log et dans l alerte reference : fait référence aux sites expliquant l attaque détectée (bugtraq, CVE, etc.) classtype : définit la classe de l attaque (troyen, shellcode etc) ttl : spécifie la valeur du TTL du paquet flags : spécifie la présence d un flag TCP dans le paquet (SYN, Fin, etc)..etc Notons que ces options sont intéressantes pour décrire avec précision les attaques. Donc plus vous maîtrisez le formalisme de description des attaques par le biais de ces règles plus vous aurez des alertes précises et vous évitez les faux positifs (flux sain comme analysé comme étant une attaque). 17

18 Analyse de règle: alert tcp $EXTERNAL_NET any -> HTTP_SERVERS 80 (msg : web attack code execution ; uricontent : /bin/sh ; nocase ; classtype : web-application-attacks ; sid :1518 ; rev :1 ; ) action protocole adress1 port1 direction adresse2 port2 alert tcp $EXTERNAL_NET any -> HTTP_SERVERS 80 Options (msg, content.etc) web attack code execution Cette règle permet de détecter des attaques du réseau externe qui consiste à exécuter une commande sur le serveur web. Mise à jour des règles Snort est une coquille vide sans les librairies de définitions «règles» d objets malveillants. Ce sont un peu comme les définitions à mettre à jour d un antivirus. Un script Pearl conseillé par Snort pour cette mise à jour est Oinkmaster. A son lancement, il va télécharger le «ruleset» (paquet de règles), indique les répertoires de décompression et de déploiement de ces règles. Oinkmaster peut donc aller chercher les règles officielles de Snort (actualisées et performantes mais payantes) ou des règles alternatives (par ex. Bleedingsnort, offert gratuitement par une communauté active et vitaminée.) Oinkmaster Installation : sudo apt-get install oinkmaster Création des emplacements et des droits pour les téléchargement/déploiement du ruleset : sudo mkdir /var/log/snortrules/backup sudo mkdir /var/log/snortrules/rules sudo chmod 777 /usr/local/snort /etc/snort.conf 1. Mise à jour du «ruleset» proposé par Snort : En s inscrivant sur le site de Snort, on peut obtenir un Oinkcode qui permet à Oinkmaster de demander des règles de façon identifiée. Cela prend la forme dans oinkmaster.conf: url = (Le Oinkcode étant représenté par les **********) En lançant Oinkmaster par la ligne suivante, la mise à jour du ruleset s effectue correctement : oinkmaster.pl -o /etc/snort/rules -b /etc/snort/backup 2>&1 18

19 La dernière instruction ci-dessus signifie que nous lançons le script perl oinkmaster, les règles sont placées dans le dossier /etc/snort/rules et si il y a des changements dans les nouvelles règles, les règles courantes vont être sauvegardées dans le dossier /etc/snort/backup. Par défaut, certains fichiers de Snort (règles, ) sont conservés, et protégés de toute nouvelle mise à jour. Ainsi, par exemple, snort.conf est exclu de la mise à jour, ce qui permet de conserver notamment les paramètres du fichier de configuration. Si jamais une nouvelle version du fichier était téléchargée, toutes les données seraient perdues, car réécrites par le nouveau. Pour éviter cela, il faut éditer le fichier de configuration de Oinkmaster : skipfile local.rules 2. Mise à jour du «ruleset» proposé par Emerging : Ouvrir comme ci-dessus oinkmaster.conf et ajouter le lien de téléchargement suivant : Pas besoin de s enregistrer 3. Mise à jour du «ruleset» proposé par Bleeding Snort : Ouvrir comme ci-dessus oinkmaster.conf et mettre le lien de téléchargement suivant : url = Ajouter ensuite les lignes suivantes au fichier /usr/local/snort /etc/snort.conf include $RULE_PATH/bleeding.rules include $RULE_PATH/bleeding-attack_response.rules include $RULE_PATH/bleeding-dos.rules include $RULE_PATH/bleeding-drop.rules include $RULE_PATH/bleeding-dshield.rules include $RULE_PATH/bleeding-exploit.rules include $RULE_PATH/bleeding-game.rules include $RULE_PATH/bleeding-inappropriate.rules include $RULE_PATH/bleeding-malware.rules include $RULE_PATH/bleeding-p2p.rules include $RULE_PATH/bleeding-scan.rules include $RULE_PATH/bleeding-virus.rules include $RULE_PATH/bleeding-web.rules En lançant Oinkmaster par la ligne suivante, la mise à jour du ruleset s effectue correctement : sudo oinkmaster -o /usr/local/snort/rules -b /usr/local/snort/backup 2>&1 19

20 On peut à présent tester Snort en NIDS En entrant la commande : sudo /usr/local/snort/bin/snort -u snort -g snort -c /usr/local/snort/etc/snort.conf -i eth1 ou sudo /etc/init.d/rc.local start Snort s initialise correctement On obtient notre premier rapport (visible en Annexe 1) Mais ceci est un peu austère. Nous pouvons donc observer les rapports de Snort sur des interfaces graphiques telles que ACID ou Snort report. Monitoring Acid (Analysis Console for Intrusion Databases) Cette application permet de synthétiser les alertes générées par Snort. Elle possède quelques options confortables telles que l envoi par de rapports. 20

21 Installation : sudo apt-get -y install acidbase Pendant l installation, une fenêtre s ouvre et demande les références de la base de donnée (nom de la base de donnée, Login, mot de passe) Lancement : Interface graphique de l installation sudo sed -i "s#allow\ from\ / #allow\ from\ / \ xxx.xxx.xxx.xxx/ xxx.xxx#" /etc/acidbase/apache.conf sudo /etc/init.d/apache2 restart Accès à l interface par le navigateur web : 21

22 Nous obtenons : Un résumé des alertes est également disponible. Mais il est plus parlant sur Snort report. Snort report Télécharger la dernière version stable sur : Actuellement la version Décompresser dans /var/www/ sudo tar zxvf snortreport tar.gz -C /var/www/ Configurer l accès à la base de données dans le fichier snortreport/srconf.php en configurant les variables suivantes (Snortreport est déployé dans le répertoire /var/www/snortreport) : $pass : Précisez le mot de passe d accès à la base Spécifier le chemin de jpgraph : JPGRAPH_PATH :../../../usr/share/jpgraph 22

23 On peut désormais avoir une interface graphique en ouvrant le navigateur web à l adresse : xxx.xxx.xxx.xxx/snortreport-1.3.3/alerts.php J ai eu un bug à ce niveau : Un message d erreur bloquait l affichage de ma page : ERROR: snort_stream5_tcp.c(906) Could not initialize tcp session memory pool.fatal Error, Quitting.. Résolution du problème : - Ma version d Ubuntu fonctionnait avec 256 Mo de Ram, je l ai passé à J ai réduit le nombre maximum de connexions TCP dans le paramétrage de Snort : vi /usr/local/snort/etc/snort.conf preprocessor stream5_global: track_tcp yes, \ track_udp yes, \ track_icmp no, \ max_tcp , \ > Modifié en max_tcp , \ max_udp , \ Je reprends donc En tapant l URL : xxx.xxx.xxx.xxx/snortreport-1.3.3/alerts.php, on obtient l interface graphique présentée sur la page suivante. 23

24 Analyse de l interface (Rapport obtenu à l emplacement très sécurisé de ma situation sur le réseau) On observe sur ce résultat que l on peut focaliser la plage de temps que l on désire analyser. Ici : - une alerte «ICMP Destination Unreachable Port Unreachable». Renseignement pris, cette alerte prévient d une attaque par déni de service (ou, attaque ayant pour but de rendre indisponible un service, d'empêcher les utilisateurs légitimes d'un service de l'utiliser.) - une alerte ICMP Ping : Peut prévenir une attaque par saturation du réseau (Une machine A usurpe une IP et envoie une requête à un serveur Broadcast. Celui-ci inonde le réseau de requêtes. Si cette opération se renouvelle fréquemment, le réseau se voit bridé) - une alerte ICMP Echo Reply : Un attaquant distant peut utiliser une requête de ce type pour déterminer des hôtes actifs en prélude à une attaque. 24

25 En cliquant sur «Summary», on obtient le détail : xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx On précise en cliquant sur une adresse IP (Dest IP que je masque ici), pour obtenir le détail : xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx 25

26 Attaques J allais dire «Ah, enfin» Malgré ma situation relativement protégée, au bout de 3 jours d exploitation, une bonne alerte : Rapport d activité par Snort report Les attaques sont répertoriées en quatre niveaux de 1 (alerte sérieuse) à 4 (alerte bénigne) Donc, ici plusieurs attaques niveau 1 et 2 ont été détectées. SHELLCODE NOOP : Il s agit là d une attaque visant à permettre un attaquant de prendre la main sur des données ou usurper une identité. Ce qui lui permet d exécuter des codes de son choix. 26

27 Par exemple SHELLCODE Sun Sparc setupid : (Setupid = set up user ID) L attaquant peut le loguer en root et prendre donc tous les privilèges. Cette attaque cible souvent le service DNS, le service mail, SHELLCODE Digital UNIX NOOP : L'attaquant peut être en mesure d'accéder à distance au système ou avoir la possibilité d'exécuter du code arbitraire avec les privilèges d'un utilisateur du système. Quelques mots sur les techniques anti-snort Snort constitue un moyen sécuritaire qui rend plus difficile le piratage. Ainsi les pirates ont compris la nécessité de trouver des moyens d outrepasser les mécanismes de sécurité assurés par Snort afin d attaquer sans se faire remarquer. En effet, il existe des techniques qui visent à contourner Snort. Ces techniques se présentent sous trois catégories : a. Attaque par déni de service permet de rendre Snort inopérant en le saturant. b. Attaque par insertion Insertion de trafic afin de déjouer Snort en lui faisant croire à un trafic légitime. Le principe de ces techniques est d injecter une attaque parmi beaucoup d informations sans incidences. Les signes de l attaque n apparaissent donc pas à Snort mais quand les données atteignent la cible, seule l information malintentionnée est acceptée par le système. c. Attaque par évasion cette technique est l inverse de l attaque par insertion. Ici le principe est de faire passer des données superflues qui sont ignorées par Snort mais prises en compte par les systèmes ciblés. Bien évidement, avant de commencer à lancer des attaques anti-snort, il faut détecter au préalable son existence sur le réseau ciblé. Pour ceci les pirates utilisent certaines techniques qui révèlent l existence d un IDS en observant certains comportements sur le réseau ciblé, notamment l existence d une interface en mode promiscuité, la mesure du temps de latence etc.. 27

28 Snort inline Rappel : Le mode IPS (Système de prévention d'intrusion) n est plus Snort a proprement parler. Il s agit d une autre version basée sur Snort 2.6. Cette version permet de modifier ou de rejeter des paquets. Je résume ici les étapes de l installation. Cette version ne se base plus sur la librairie libpcap comme Snort, mais sur iptables. Iptables est un logiciel libre sous Linux grâce auquel l'administrateur système peut configurer les chaînes et règles dans le pare-feu Netfilter. Afin de tester cette version, il faut donc repartir sur une nouvelle installation d Ubuntu. Les pré-requis : Une installation d Ubuntu mise à jour (Ainsi qu elle est décrite précédemment pour Snort) Iptables Désinstallation préalable de la version de base iptables # apt-get --purge remove iptables Installation à partir des sources # cd /usr/local/src/ # wget # bzip2 -cd iptables tar.bz2 tar xvf - # cd iptables / # make install-devel Attention : Compiler avec l'option --enable-libipq permet d'assurer l'installation de libipq sur laquelle Snort inline se base. Libnet # cd /usr/local/src/ # wget # tar xzvf libnet tar.gz # cd libnet-1.1.3/ #./configure # make # make install 28

29 Prce Pcre (Perl-Compatible Regular Expressions) correspond à la bibliothèque d'expressions régulières compatible avec Perl. Pour l'installer : # cd /usr/local/src/ # wget ftp://ftp.csx.cam.ac.uk/pub/software/programming/pcre/pcre-7.9.tar.gz # tar xzvf pcre-7.9.tar.gz # cd pcre-7.9/ #./configure # make # make install Libpcap # cd /usr/local/src/ # wget # tar xzvf libpcap tar.gz # cd libpcap-1.0.0/ #./configure # make # make install Libdnet # cd /usr/local/src/ # wget # tar xzvf libdnet-1.11.tar.gz # cd libdnet-1.11/ #./configure # make # make install Installation de Snort inline # cd /usr/local/src/ # wget # mv snort_inline tar.gz?download snort_inline tar.gz # tar xzvf snort_inline tar.gz # cd snort_inline / #./configure # make # make install 29

30 Paramétrage Création des répertoires # mkdir -p /etc/snort_inline/rules/ # mkdir /var/log/snort_inline/ Fichiers de configuration # cp /usr/local/src/snort_inline /etc/* /etc/snort_inline/ Règles # cd /usr/local/src/snort_inline /etc/ # cp classification.config reference.config /etc/snort_inline/rules/ Paramétrage du fichier de configuration principal # cd /etc/snort_inline/ # vim snort_inline.conf Modifications à apporter : Remplacer : Par : Et Remplacer : par : # var HOME_NET any # var EXTERNAL_NET any # var HOME_NET xxx.xxx.xxx.xxx/xx # var EXTERNAL_NET!$HOME_NET # var RULE_PATH /etc/snort_inline/drop-rules # var RULE_PATH /etc/snort_inline/rules 30

31 Activation du mode d'interception Activation de ip_queue Afin que snort_inline intercepte tout le trafic, il est nécessaire d'activer ip_queue comme suit : # modprobe ip_queue Vérifier que ip_queue est actif : # lsmod grep ip_queue ip_queue L obtention d un résultat montre que ip_queue est actif. Paramétrage de iptables Afin que iptables envoie le trafic web (port tcp/80) à ip_queue, on utilise la commande suivante : # iptables -I INPUT -p tcp --dport 80 -j QUEUE Oinkmaster sur Snort inline Nous avons vu dans la configuration de Snort à quoi correspondait Oinkmaster. Il s agit donc d un module qui va nous permettre de mettre à jour les bibliothèques d attaques référencées. En s inscrivant sur snort.org, on peut demander un oinkcode dont je vais me servir ci-dessous pour pouvoir obtenir une bibliothèque de définitions d attaques. Dans Snort inline j intègre Oinkmaster de la façon suivante : # cd /etc/snort_inline/ # wget oinkcode perso>/snortrules-snapshot- 2.6.tar.gz # tar xvzf snortrules-snapshot-2900.tar.gz 31

32 Test de Snort inline En lançant Snort inline avec la commande : # snort_inline -c /etc/snort_inline/snort_inline.conf -Q -N -l /var/log/snort_inline/ -t /var/log/snort_inline/ -v J obtiens quelques erreurs provenant des fichiers de règles. Une cinquantaine sur plus de mille trois cent. J ai commenté ces règles car elles ne sont vraiment modifiables que par les experts qui les ont écrites. Je peux ainsi poursuivre mon test de Snort inline. Snort inline s initialise correctement Et il commence son analyse 32

Installation de Snort sous Fedora

Installation de Snort sous Fedora Installation de Snort sous Fedora S.N.O.R.T. est un NIDS (Network Intrusion Détection System ou Système de Détection d'intrusion Réseau). Comme ses initiales le suggèrent, un NIDS sert à détecter les tentatives

Plus en détail

Version de cette publication: 26 Juin 2015

Version de cette publication: 26 Juin 2015 Version de cette publication: 26 Juin 2015 [Ebook écrit par Marc ARNAERT marc@arnaert.com http://www.arnaert.com ] Page 1 EBOOK Collection: Appliance de Sécurité Virtuelle Gratuite Comment réaliser vous-même

Plus en détail

S E C U R I N E T S C l u b d e l a s é c u r i t é i n f o r m a t i q u e I N S A T. Atelier IDS. Snort. Outil de Détection d intrusion

S E C U R I N E T S C l u b d e l a s é c u r i t é i n f o r m a t i q u e I N S A T. Atelier IDS. Snort. Outil de Détection d intrusion Atelier IDS Snort Outil de Détection d intrusion Introduction Les systèmes de détection d intrusion ou IDS pour (Intrusion Detection System) sont indispensables pour la sécurité du réseau, ils permettent

Plus en détail

[PROJET PROFESIONNEL ENCADRE]

[PROJET PROFESIONNEL ENCADRE] 2012-2013 Lycée Polyvalent Blaise Pascal. DO NASCIMENTO Cédric MAYERAU David TS2 SIO [PROJET PROFESIONNEL ENCADRE] Mise en place d une plateforme collaborative pour l entreprise STESIO. Sommaire Identifier

Plus en détail

SECURIDAY 2012 Pro Edition

SECURIDAY 2012 Pro Edition SECURINETS CLUB DE LA SECURITE INFORMATIQUE INSAT SECURIDAY 2012 Pro Edition [Détection des alertes IDS/IPS] Chef Atelier : Mériem TOUMI(RT) Fatma GHARIANI (RT) Imène BELKHIR (RT) Insaf BEJAOUI (RT) Naim

Plus en détail

Installation GLPI et OCS Inventory Debian 7

Installation GLPI et OCS Inventory Debian 7 1 Installation GLPI et OCS Inventory Debian 7 Installation serveur apache 2 et php5 # apt-get install php5-mysql # apt-get install libapache2-mod-php5 Paquets PERL : # apt-get install libxml-simple-perl

Plus en détail

MISSION 3 : SECURITE RESEAU & VLANS PARTIE 2. Mission 3 : Sécurité réseau & VLANs Partie 2... 1. Présentation du TP :... 1. Méthode :...

MISSION 3 : SECURITE RESEAU & VLANS PARTIE 2. Mission 3 : Sécurité réseau & VLANs Partie 2... 1. Présentation du TP :... 1. Méthode :... MISSION 3 : SECURITE RESEAU & VLANS PARTIE 2 SOMMAIRE Mission 3 : Sécurité réseau & VLANs Partie 2... 1 Présentation du TP :... 1 Méthode :... 2 I) Partie A : maintenance de la documentation... 2 1) Mise

Plus en détail

LES RESEAUX SOUS LINUX

LES RESEAUX SOUS LINUX LES RESEAUX SOUS LINUX AVERTISSEMENT : Les commendes utilisées dans ce document ne sont toutes valables que pour les distributions LINUX de type DEBIAN PROGRAMME DE FORMATION I. GENERALITES SUR LES RESEAUX

Plus en détail

Denial of Service Attacks JIHENE HERGLI (GL4) KHAOULA BLEL (RT4) MOHAMED MOADEB (MBDS) HADHEMI MATMATI (RT4)

Denial of Service Attacks JIHENE HERGLI (GL4) KHAOULA BLEL (RT4) MOHAMED MOADEB (MBDS) HADHEMI MATMATI (RT4) Denial of Service Attacks JIHENE HERGLI (GL4) KHAOULA BLEL (RT4) MOHAMED MOADEB (MBDS) HADHEMI MATMATI (RT4) Table des matières 1. Présentation de l atelier 2. Présentation des outils utilisés 2.1. Loic...

Plus en détail

Plan. Les pare-feux (Firewalls) Chapitre II. Introduction. Notions de base - Modèle de référence OSI : 7 couches. Introduction

Plan. Les pare-feux (Firewalls) Chapitre II. Introduction. Notions de base - Modèle de référence OSI : 7 couches. Introduction Plan Introduction Chapitre II Les pare-feux (Firewalls) Licence Appliquée en STIC L2 - option Sécurité des Réseaux Yacine DJEMAIEL ISET Com Notions de base relatives au réseau Définition d un pare-feu

Plus en détail

LOSLIER Mathieu IR1 31 Mai 2011. Rapport TP Firewall

LOSLIER Mathieu IR1 31 Mai 2011. Rapport TP Firewall Rapport TP Firewall 1 Table des matières Rapport TP Firewall... 1 Introduction... 3 1. Plate-forme de sécurité étudiée... 3 2. Routage classique... 3 2.1 Mise en œuvre du routage classique... 4 2.2 Configuration

Plus en détail

Université Pierre Mendès France U.F.R. Sciences de l Homme et de la Société Master IC²A. TP sur IP

Université Pierre Mendès France U.F.R. Sciences de l Homme et de la Société Master IC²A. TP sur IP Université Pierre Mendès France U.F.R. Sciences de l Homme et de la Société Master IC²A TP sur IP L'objectif de ce premier TP est de vous montrer comment les données circulent dans un réseau, comment elles

Plus en détail

SECURIDAY 2013 Cyber War

SECURIDAY 2013 Cyber War Club de la Sécurité Informatique à l INSAT Dans le cadre de la 3ème édition de la journée nationale de la sécurité informatique SECURIDAY 2013 Cyber War SECURINETS Présente Formateurs: 1. Trabelsi NAJET

Plus en détail

04/02/2014 Tutoriel. Lubuntu & glpi. thomas [NOM DE LA SOCIETE]

04/02/2014 Tutoriel. Lubuntu & glpi. thomas [NOM DE LA SOCIETE] 04/02/2014 Tutoriel Lubuntu & glpi thomas [NOM DE LA SOCIETE] I Installation de Lubuntu Outils : Virtual Box : https://www.virtualbox.org/wiki/downloads Lubuntu : archive fourni Nous allons commencer par

Plus en détail

Outils de Sécurité Réseau

Outils de Sécurité Réseau Outils de Sécurité Réseau SNORT Système de détection d intrusion CR150 - TP#1 Nom & Prénom : KHALID MOKRINI Matricule d étudiant : 1566527 Date : 11.02.2015 1) Présentation Générale des IDS 2) SNORT -

Plus en détail

1. Présentation : IPCOP peut gère jusqu à 4 réseaux différents (classés par couleurs)

1. Présentation : IPCOP peut gère jusqu à 4 réseaux différents (classés par couleurs) Configuration d un Firewall IPCOP 1. Présentation : IPCOP est une distribution linux (Open Source), basée sur Linux From Scratch, destinée à assurer la sécurité d un réseau. C est un système d exploitation

Plus en détail

DOCUMENTATION TECHNIQUE

DOCUMENTATION TECHNIQUE DOCUMENTATION TECHNIQUE Installation et configuration d un serveur OCS Inventory et GLPI Active Directory et DHCP Benjamin Dupuy BTS Services Informatiques aux Organisations Option : Solutions d infrastructures,

Plus en détail

Activité - Serveur sous Linux Suse

Activité - Serveur sous Linux Suse Activité - Serveur sous Linux Suse Configuration de services réseaux Problématique : Configurer les services réseaux (DHCP, SAMBA, APACHE2) sur un serveur afin de répondre au besoin des postes clients

Plus en détail

Figure 1a. Réseau intranet avec pare feu et NAT.

Figure 1a. Réseau intranet avec pare feu et NAT. TD : Sécurité réseau avec Pare Feu, NAT et DMZ 1. Principes de fonctionnement de la sécurité réseau Historiquement, ni le réseau Internet, ni aucun des protocoles de la suite TCP/IP n était sécurisé. L

Plus en détail

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant. http://robert.cireddu.free.

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant. http://robert.cireddu.free. 2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES 2.2 Architecture fonctionnelle d un système communicant Page:1/11 http://robert.cireddu.free.fr/sin LES DÉFENSES Objectifs du COURS : Ce cours traitera essentiellement

Plus en détail

CONFIGURATION P 2 P 3 P 3 P 10 P 11 P 13 P 14 P 16

CONFIGURATION P 2 P 3 P 3 P 10 P 11 P 13 P 14 P 16 CONFIGURATION 1 Présentation 2 Topologie du projet 3 Installation 4 Configuration 4.1 Création de la DMZ publique 4.2 Accès vers l Internet 4.3 Publication d Exchange 4.4 Rapports d activité et alertes

Plus en détail

Contexte InfoRéseau50. Charles SAINT-LÔ SIO2 Lycée Notre Dame de la Providence Année 2014-2015

Contexte InfoRéseau50. Charles SAINT-LÔ SIO2 Lycée Notre Dame de la Providence Année 2014-2015 Contexte InfoRéseau50 Charles SAINT-LÔ SIO2 Lycée Notre Dame de la Providence Année 2014-2015 1 Présentation du contexte : Je travaille chez InfoRéseau50, qui est une société spécialisée dans la gestion

Plus en détail

installation et configuration de systèmes TR ACADÉMIE D ORLÉANS-TOURS

installation et configuration de systèmes TR ACADÉMIE D ORLÉANS-TOURS LP CHATEAU BLANC 45 CHALETTE/LOING BAC PRO SEN TR THÈME : CONFIGURATION D UN SERVEUR TP N 4 LINUX A DISTANCE ACADÉMIE D ORLÉANS-TOURS NOM : CI 11 : INSTALLATION ET CONFIGURATION DE SYSTEMES TR OBJECTIFS

Plus en détail

INSTALLATION NG V2.1 D OCS INVENTORY. Procédure d utilisation. Auteur : GALLEGO Cédric 23/10/2014 N version : v1

INSTALLATION NG V2.1 D OCS INVENTORY. Procédure d utilisation. Auteur : GALLEGO Cédric 23/10/2014 N version : v1 INSTALLATION D OCS INVENTORY NG V2.1 Procédure d utilisation Installation d OCS Inventory NG (Open Computer and Software Inventory) sur un serveur Linux N version : v1 Installation d OCS Inventory NG v2.1

Plus en détail

DESCRIPTION DU CONTEXTE INFORMATIQUE ET MISE EN PLACE DU CONTEXTE

DESCRIPTION DU CONTEXTE INFORMATIQUE ET MISE EN PLACE DU CONTEXTE DESCRIPTION DU CONTEXTE INFORMATIQUE ET MISE EN PLACE DU CONTEXTE Sommaire Description du réseau GSB... 2 Réseau GSB original... 2 Réseau GSB utilisé en PPE... 2 Liste des s de l'infrastructure... 3 Implémentation

Plus en détail

Avoir un ordinateur physique ou un logiciel de virtualisation pour installer ce serveur en tant que machine virtuelle.

Avoir un ordinateur physique ou un logiciel de virtualisation pour installer ce serveur en tant que machine virtuelle. Rappel - installer LAMP Durée indicative de cet atelier : 3 heures u Objectif Dans les ateliers suivants, vous allez utiliser un serveur Linux pour installer et configurer OCS Inventory NG et GLPI. Voici

Plus en détail

LINUX - Sécurité. Déroulé de l'action. - 3 jours - Contenu de formation

LINUX - Sécurité. Déroulé de l'action. - 3 jours - Contenu de formation Objectif : Tout administrateur système et réseau souhaitant avoir une vision d'ensemble des problèmes de sécurité informatique et des solutions existantes dans l'environnement Linux. Prérequis : Connaissance

Plus en détail

Procédure d utilisation et de paramétrage (filtrage) avec IPFIRE

Procédure d utilisation et de paramétrage (filtrage) avec IPFIRE Procédure d utilisation et de paramétrage (filtrage) avec IPFIRE Par AVIGNON Bastien et CHOMILIER Tom V2.0 Sommaire : (Sommaire interactif) I) Introduction... 2 II) Mettre en place une black liste sur

Plus en détail

Serveur Linux : FTP. Mise en place d un service FTP sous Linux. Bouron Dimitri 20/04/2014

Serveur Linux : FTP. Mise en place d un service FTP sous Linux. Bouron Dimitri 20/04/2014 Mise en place d un service FTP sous Linux Bouron Dimitri 20/04/2014 Ce document sert de démonstration concise pour l installation, la configuration, la sécurisation, d un serveur FTP sous Linux utilisant

Plus en détail

Netfilter & Iptables. Théorie Firewall. Autoriser le trafic entrant d'une connexion déjà établie. Permettre le trafic entrant sur un port spécifique

Netfilter & Iptables. Théorie Firewall. Autoriser le trafic entrant d'une connexion déjà établie. Permettre le trafic entrant sur un port spécifique Page 1 sur 5 Article original traduit par Kmeleon, refonte de eks. Provenant de ubuntu-fr.org Netfilter & Iptables Netfilter est un module du noyau Linux (depuis la version 2.4) qui offre la possibilité

Plus en détail

Sécurité Réseaux TP1

Sécurité Réseaux TP1 Sécurité Réseaux TP1 BONY Simon 22 mai 2012 1 P a g e Table des matières Introduction... 3 I. Préparation... 4 II. Routage Classique... 5 II.1 Mise en œuvre du routage classique... 5 II.2 Configuration

Plus en détail

Iptables. Nat : Cette table effectue le masquerading. Elle est constituée de trois chaînes internes : PREROUTING, OUTPUT et POSTROUTING..

Iptables. Nat : Cette table effectue le masquerading. Elle est constituée de trois chaînes internes : PREROUTING, OUTPUT et POSTROUTING.. I) Introduction : Il existe trois tables : Filter : C est la table par défaut qui permet le filtrage des paquets. Elle ne modifie pas le contenu des paquets. Elle est constituée de trois chaînes : INPUT,

Plus en détail

Guide d utilisation. Manuel d utilisation et d installation du système d exploitation UBUNTU 10.04.3 et d'installation d'un serveur LAMP.

Guide d utilisation. Manuel d utilisation et d installation du système d exploitation UBUNTU 10.04.3 et d'installation d'un serveur LAMP. Manuel d utilisation et d installation du système d exploitation UBUNTU 10.04.3 et d'installation d'un serveur LAMP. -- 1 -- Lycée Bahuet Table des matières Avant propos... - 5 - Démarrage d Ubuntu...

Plus en détail

Installation de Snort sous Windows 7

Installation de Snort sous Windows 7 Installation de Snort sous Windows 7 Sommaire Introduction :... 2 Les règles Snort :... 2 L entête d une règle Snort... 2 Les options d une règle Snort... 3 Les alertes de Snort... 3 Exemple de règle Snort

Plus en détail

Serveur de déploiement FOG sous linux

Serveur de déploiement FOG sous linux Serveur de déploiement FOG sous linux FOG est une application open-source sous licence GPL de gestion d'images disques permettant le déploiement de stations via PXE. Ça permet par exemple d'éviter d'avoir

Plus en détail

Administration avancée sous Linux

Administration avancée sous Linux Administration avancée sous Linux Anthony Busson 1 Plan du cours 1. Compilation (gcc) 2. Gestion des utilisateurs et des groupes 3. Montage des périphériques et des systèmes de fichiers 4. Scripts 5. Archivage

Plus en détail

Comprendre le fonctionnement d un firewall et d une DMZ ; Étudier les règles de filtrage et de translation entre réseaux privées et public.

Comprendre le fonctionnement d un firewall et d une DMZ ; Étudier les règles de filtrage et de translation entre réseaux privées et public. TP 8.1 ÉTUDE D UN FIREWALL OBJECTIFS Comprendre le fonctionnement d un firewall et d une DMZ ; Étudier les règles de filtrage et de translation entre réseaux privées et public. PRÉ-REQUIS Système d exploitation

Plus en détail

TITAN - Mission 4 Serveur Syslog

TITAN - Mission 4 Serveur Syslog TITAN - Mission 4 Serveur Syslog Table des matières 1. Contexte... 2 2. Configuration du réseau dans VMWare Workstation... 2 2.1 Prérequis... 2 2.2 Procédure... 2 3. Debian 7.8 «Wheezy»... 2 3.1 Prérequis...

Plus en détail

2011 Hakim Benameurlaine 1

2011 Hakim Benameurlaine 1 Table des matières 1 OUTILS D'ANALYSE ET DE DÉTECTION RÉSEAUX... 2 1.1 ethereal... 2 1.1.1 Installation... 2 1.1.2 Utilisation d'ethereal (sans X11)... 3 1.1.3 Utilisation d'ethereal (graphique)... 4 1.2

Plus en détail

Objectif des gardes barrières. Barrière de Sécurité. Pare-feu. Pare-feu. Types de Pare-feu. Une vue d'ensemble

Objectif des gardes barrières. Barrière de Sécurité. Pare-feu. Pare-feu. Types de Pare-feu. Une vue d'ensemble ASR4 réseaux Barrière de Sécurité Introduction Serveur de proximité, pare-feu IP, filtrage, architecture 1 Objectif des gardes barrières Protéger un environnement (vis à vis de l extérieur et de l intérieur)

Plus en détail

Réseaux. Moyens de sécurisation. Plan. Evolutions topologiques des réseaux locaux

Réseaux. Moyens de sécurisation. Plan. Evolutions topologiques des réseaux locaux Réseaux Evolutions topologiques des réseaux locaux Plan Infrastructures d entreprises Routeurs et Firewall Topologie et DMZ Proxy VPN PPTP IPSEC VPN SSL Du concentrateur à la commutation Hubs et switchs

Plus en détail

Sécurité des réseaux Firewalls

Sécurité des réseaux Firewalls Sécurité des réseaux Firewalls A. Guermouche A. Guermouche Cours 1 : Firewalls 1 Plan 1. Firewall? 2. DMZ 3. Proxy 4. Logiciels de filtrage de paquets 5. Ipfwadm 6. Ipchains 7. Iptables 8. Iptables et

Plus en détail

DHCPD v3 Installation et configuration

DHCPD v3 Installation et configuration DHCPD v3 Installation et configuration Table des matières 1. Préambule... 2 2. Pré-requis... 2 3. Récupération du paquet... 2 4. Configuration du serveur... 3 4.1. Configuration de la carte réseau du serveur...

Plus en détail

Chapitre 2. Vulnérabilités protocolaires et attaques réseaux M&K HDHILI

Chapitre 2. Vulnérabilités protocolaires et attaques réseaux M&K HDHILI Chapitre 2 Vulnérabilités protocolaires et attaques réseaux 1 Définitions Vulnérabilité: Défaut ou faiblesse d un système dans sa conception, sa mise en œuvre ou son contrôle interne pouvant mener à une

Plus en détail

Protection contre les menaces Prévention

Protection contre les menaces Prévention Protection contre les menaces Prévention Jean-Marc Robert Génie logiciel et des TI Plan de la présentation Introduction Prévention Routeurs Pare-feu Systèmes de prévention d intrusion Conclusions Jean-Marc

Plus en détail

MINI-PROJET : ETUDE D UN MECANISME DE REDIRECTION DE PAGES WEB POUR AUTHENTIFIER UN UTILISATEUR WIFI

MINI-PROJET : ETUDE D UN MECANISME DE REDIRECTION DE PAGES WEB POUR AUTHENTIFIER UN UTILISATEUR WIFI Claire Billaud - 3ème année IS MINI-PROJET : ETUDE D UN MECANISME DE REDIRECTION DE PAGES WEB POUR AUTHENTIFIER UN UTILISATEUR WIFI Page 1 sur 9 Principe : On veut faire en sorte que le réseau interne

Plus en détail

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant RÉSEAUX INFORMATIQUES

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant RÉSEAUX INFORMATIQUES RÉSEAUX INFORMATIQUES Page:1/13 Objectifs de l activité pratique : Réseau Ethernet : - câblage point à point, test d écho ; commandes «mii-tool» et «linkloop» Commutation Ethernet : - câblage d un commutateur

Plus en détail

SECURIDAY 2012 Pro Edition

SECURIDAY 2012 Pro Edition SECURINETS CLUB DE LA SECURITE INFORMATIQUE INSAT SECURIDAY 2012 Pro Edition [Application de notification en cas d incident] Roua TOUIHRI (RT3) Nesrine DRIWECH (RT3) Amira ABID(GL3) Chef Atelier : Aymen

Plus en détail

Alexis Lechervy Université de Caen. M1 Informatique. Réseaux. Filtrage. Bureau S3-203 mailto://alexis.lechervy@unicaen.fr

Alexis Lechervy Université de Caen. M1 Informatique. Réseaux. Filtrage. Bureau S3-203 mailto://alexis.lechervy@unicaen.fr M1 Informatique Réseaux Filtrage Bureau S3-203 mailto://alexis.lechervy@unicaen.fr Sécurité - introduction Au départ, très peu de sécurité dans les accès réseaux (mots de passe, voyageant en clair) Avec

Plus en détail

But de cette présentation. Serveur DHCP (rédigé pour Ubuntu Server) Le protocole DHCP. Le protocole DHCP. Hainaut P. 2013 - www.coursonline.

But de cette présentation. Serveur DHCP (rédigé pour Ubuntu Server) Le protocole DHCP. Le protocole DHCP. Hainaut P. 2013 - www.coursonline. Serveur DHCP (rédigé pour Ubuntu Server) But de cette présentation Vous permettre de comprendre et de configurer le service DHCP sur un serveur Ubuntu Linux via l invite de commande Voir comment configurer

Plus en détail

Installation et configuration d un serveur Web Sauvegarde et restauration

Installation et configuration d un serveur Web Sauvegarde et restauration Installation et configuration d un serveur Web Sauvegarde et restauration Serveur Web Page 1 Sommaire Présentation 3 Configuration d une machine virtuelle 3 Création d une machine virtuelle 3 Configuration

Plus en détail

Laboratoire Télécom&Réseaux TP M1 2005/2006 SECURITE - IPTABLES

Laboratoire Télécom&Réseaux TP M1 2005/2006 SECURITE - IPTABLES SECURITE - IPTABLES Conception d'une zone démilitarisée (DeMilitarized Zone: DMZ) Veuillez indiquer les informations suivantes : Binômes Nom Station ou PC D. Essayed-Messaoudi Page 1 sur 9 TP 4 : Sécurité

Plus en détail

Serveur de messagerie sous Debian 5.0

Serveur de messagerie sous Debian 5.0 Serveur de messagerie sous Debian 5.0 Avec Postfix et une connexion sécurisée GEORGET DAMIEN ET ANTHONY DIJOUX 06/10/2009 [Tutorial d installation d un serveur de messagerie POP et SMTP sous Debian, avec

Plus en détail

Activité professionnelle N 11

Activité professionnelle N 11 BTS SIO Services Informatiques aux Organisations Option SISR Logo de l entreprise Session 2014 Benjamin FRULEUX Activité professionnelle N 11 Nature de l activité Objectifs Installation & Mise en place

Plus en détail

Tuto 2 : Configuration Virtual box, Configuration et installation du serveur XiBO

Tuto 2 : Configuration Virtual box, Configuration et installation du serveur XiBO Tuto 2 : Configuration Virtual box, Configuration et installation du serveur XiBO Dans Virtual box, la machine virtuelle xibo éteinte, sélectionner la et cliquer sur l icône configuration : Dans la fenêtre

Plus en détail

Date : 28/03/12 tp.reseau.linux.dhcp.dns Durée : 1h

Date : 28/03/12 tp.reseau.linux.dhcp.dns Durée : 1h L'objectif de ce tp est d'apprendre à mettre en place un serveur DHCP sous Linux. Nous verrons dans une deuxième partie la mise en place d'un serveur dns sous Packet Tracer. Exercice 1 Tout d'abord, un

Plus en détail

Projet Semestre2-1SISR

Projet Semestre2-1SISR Table des matières 1 Ressources... 2 2 Récupération des sources Samba... 2 3 Préparation du serveur... 2 4 Vérification et Compilation de SAMBA4... 3 5 Préparation du controleur de domaine... 3 6 Test

Plus en détail

FILTRAGE de PAQUETS NetFilter

FILTRAGE de PAQUETS NetFilter TP RESEAUX MMI Semestre 3 FILTRAGE de PAQUETS NetFilter OBJECTIF : Introduction à Netfilter. Configuration d'un firewall. MATERIELS : (Machines Virtuelles) 1 Serveur Debian avec apache d'installé, 1 Poste

Plus en détail

UE31 - M3102 : Services Réseaux

UE31 - M3102 : Services Réseaux UE31 - M3102 : Services Réseaux Enoncé du TP 4 NAT/PAT, Pare-Feu C. Pain-Barre Table des matières 1 Simulateur : Nat/Pat et firewall 2 Exercice 1 (Simulation Nat/Pat et firewall).................................

Plus en détail

Filtrage dynamique. 27/11/2006 Formation Permanente Paris6 49

Filtrage dynamique. 27/11/2006 Formation Permanente Paris6 49 Filtrage dynamique Linux noyau >= 2.4 netfilter : Iptables Cisco propose les CBAC (IOS Firewall) *BSD avec IPFilter Packet filter Beaucoup de Pare Feu utilise du filtrage dynamique Principe Fonctionnement

Plus en détail

Internal Hacking et contre-mesures en environnement Windows Piratage interne, mesures de protection, développement d'outils

Internal Hacking et contre-mesures en environnement Windows Piratage interne, mesures de protection, développement d'outils Introduction 1. Préambule 15 2. Décryptage d une attaque réussie 17 3. Décryptage de contre-mesures efficaces 18 3.1 Analyse de risques réels 18 3.2 Considérations techniques 19 3.3 Considérations de la

Plus en détail

Fonctionnement de Iptables. Exercices sécurité. Exercice 1

Fonctionnement de Iptables. Exercices sécurité. Exercice 1 Exercice 1 Exercices sécurité 1. Parmi les affirmations suivantes, lesquelles correspondent à des (bonnes) stratégies de défenses? a) Il vaut mieux interdire tout ce qui n'est pas explicitement permis.

Plus en détail

Afin d'éviter un message d'erreur au démarrage du service Apache du type :

Afin d'éviter un message d'erreur au démarrage du service Apache du type : I. INTRODUCTION GLPI (Gestionnaire libre de parc informatique) est une solution open-source de gestion de parc informatique et de gestion des services d assistance aux utilisateurs distribué sous licence

Plus en détail

TP 1 - Prise de contact avec Snort, scapy

TP 1 - Prise de contact avec Snort, scapy TP 1 - Prise de contact avec Snort, scapy 0. Initialisation du TP Installer les paquets python-scapy, snort, nmap. 1. Présentation de SNORT v2.8.5 La détection d intrusion consiste en un ensemble de techniques

Plus en détail

Serveur Linux : DNS. Mise en place d un service dns sous Linux. Bouron Dimitri 27/10/2013

Serveur Linux : DNS. Mise en place d un service dns sous Linux. Bouron Dimitri 27/10/2013 Mise en place d un service dns sous Linux Bouron Dimitri 27/10/2013 Ce document sert de démonstration concise pour l installation, la configuration, d un serveur dns sous Linux. Table des matières I. Machine

Plus en détail

Tutoriel compte-rendu Mission 1

Tutoriel compte-rendu Mission 1 Mission 1 : Inventaire de l ensemble du matériel BTS SIO 2 2012/2013 MUNIER Julien Tutoriel compte-rendu Mission 1 Sommaire I - OCS Inventory Agent a) Installation et configuration Agent b) Installation

Plus en détail

MISE EN PLACE DU FIREWALL SHOREWALL

MISE EN PLACE DU FIREWALL SHOREWALL MISE EN PLACE DU FIREWALL SHOREWALL I INTRODUCTION Administrateur réseau dans une petite entreprise, vous devez, suite à la mise en place d une ligne ADSL, offrir l accès à l internet à tous les utilisateurs

Plus en détail

FICHE n 1 : Configuration des paramètres IP sous Linux SUSE 11.2

FICHE n 1 : Configuration des paramètres IP sous Linux SUSE 11.2 FICHE n 1 : Configuration des paramètres IP sous Linux SUSE 11.2 Cliquer sur «Ordinateur» puis «Yast», pour ouvrir le centre de contrôle YaST du serveur. Cliquer sur «Périphérique réseau» puis «Paramètres

Plus en détail

1 Montage de l architecture

1 Montage de l architecture Étude de cas Sécurité des réseaux Xavier Skapin xavier.skapin@univ-poitiers.fr 28-29 Correction Montage de l architecture L objectif de cette étude est de monter une architecture sécurisée selon divers

Plus en détail

Firewall et Nat. Démarrez ces machines et vérifiez leur fonctionnement. Faites attention à l'ordre de démarrage.

Firewall et Nat. Démarrez ces machines et vérifiez leur fonctionnement. Faites attention à l'ordre de démarrage. BTS S.I.O. 2 nd Année Option SISR Firewall et Nat TP 10 Firewall & Nat Notes : remplacer unserveur.sio.lms.local par le nom d'un serveur sur le réseau sio. Trouver les adresses du cœurs de réseau du lycée

Plus en détail

Méthode procédurale. Table des matières. Installation des paquets. /etc/prewikka/prewikka.conf

Méthode procédurale. Table des matières. Installation des paquets. /etc/prewikka/prewikka.conf Méthode procédurale Table des matières Installation des paquets... 1 Création BDD prelude... 2 Installation de prelude manager... 2 Installation de prelude-lml... 6 Installation de prelude-correlator...10

Plus en détail

Formation A2IMP. Acquisition d information sur les autres équipements du réseau. Frédéric Bongat IPSL Formation A2IMP 1

Formation A2IMP. Acquisition d information sur les autres équipements du réseau. Frédéric Bongat IPSL Formation A2IMP 1 Formation A2IMP Acquisition d information sur les autres Frédéric Bongat IPSL Formation A2IMP 1 Idée : corréler des informations via d autres Informations de base Connaître l horodatage (date, heure) des

Plus en détail

TP 2 - Configuration de Snort et mise en œuvre de signatures

TP 2 - Configuration de Snort et mise en œuvre de signatures TP 2 - Configuration de Snort et mise en œuvre de signatures 0. Initialisation du TP Tout d abord, sauvegardez le fichier etc/snort.conf dans snort.conf.bak. Ensuite, afin d améliorer les performances

Plus en détail

Architecture de la plateforme SBC

Architecture de la plateforme SBC Simple Business Connector Architecture de la plateforme SBC Titre Projet Description Architecture de la plateforme SBC Plateforme SBC Ce document reprend toutes les étapes de l'installation du serveur

Plus en détail

Travaux pratiques 8.4.2 Configuration des stratégies d accès et des paramètres de la zone démilitarisée (DMZ)

Travaux pratiques 8.4.2 Configuration des stratégies d accès et des paramètres de la zone démilitarisée (DMZ) Travaux pratiques 8.4.2 Configuration des stratégies d accès et des paramètres de la zone démilitarisée (DMZ) Objectifs Se connecter au périphérique multi-fonction et afficher les paramètres de sécurité

Plus en détail

Administration réseau. Architecture réseau et Sécurité

Administration réseau. Architecture réseau et Sécurité Administration réseau Architecture réseau et Sécurité Pourquoi la sécurité? Maladroits, pirates, plaisantins et autres malveillants Protéger ce qu'on a à protéger Continuer à fonctionner Responsabilité

Plus en détail

UE31 - M3102 : Services Réseaux

UE31 - M3102 : Services Réseaux UE31 - M3102 : Services Réseaux Corrigé du TP 4 NAT/PAT, Pare-Feu C. Pain-Barre 1 Simulateur : Nat/Pat et firewall Corrigé de l exercice 1 (Simulation Nat/Pat et firewall) Les fichiers xml contenant les

Plus en détail

Serveur Linux : Haproxy

Serveur Linux : Haproxy Mise en place d un service haproxy sous Linux Bouron Dimitri 09/11/2013 Ce document sert de démonstration concise pour l installation, la configuration, d un serveur haproxy sous Linux. Table des matières

Plus en détail

DOCUMENTATION PROJET SERVEURS WEB APACHE2. Voiset Nicolas BASINFORMATIQUE CARPENTRAS

DOCUMENTATION PROJET SERVEURS WEB APACHE2. Voiset Nicolas BASINFORMATIQUE CARPENTRAS DOCUMENTATION PROJET SERVEURS WEB APACHE2 Voiset Nicolas BASINFORMATIQUE CARPENTRAS SUIVI DU DOCUMENT MISES A JOUR Version Date Auteurs Objet de la mise à jour 1.0 10/02/2015 Nicolas Voiset Version initiale.

Plus en détail

TP 1 Installation d OS virtualisés et interconnexion IP

TP 1 Installation d OS virtualisés et interconnexion IP TP 1 Installation d OS virtualisés et interconnexion IP Il s agit de reproduire la topologie de réseau figurant ci-dessous en créant à l aide de VirtualBox un environnement virtuel. Deux machines virtuelles

Plus en détail

Atelier Pivoting KHOULOUD GATTOUSSI (RT3) ASMA LAHBIB (RT3) KHAOULA BLEL (RT3) KARIMA MAALAOUI (RT3)

Atelier Pivoting KHOULOUD GATTOUSSI (RT3) ASMA LAHBIB (RT3) KHAOULA BLEL (RT3) KARIMA MAALAOUI (RT3) Atelier Pivoting KHOULOUD GATTOUSSI (RT3) ASMA LAHBIB (RT3) KHAOULA BLEL (RT3) KARIMA MAALAOUI (RT3) Table des matières 1. Présentation de l atelier... 2 2. Présentation des outils utilisés... 2 a. GNS3

Plus en détail

Laboratoire de téléinformatique Introduction à l analyseur de réseau Wireshark (Ethereal)

Laboratoire de téléinformatique Introduction à l analyseur de réseau Wireshark (Ethereal) Laboratoire de téléinformatique Introduction à l analyseur de réseau Wireshark (Ethereal) Description Wireshark est un analyseur de protocole gratuit pour Windows, Unix et ses dérivés. Il permet d examiner

Plus en détail

INSTALLATION DEBIAN 7 (NETINSTALL) SUR VM

INSTALLATION DEBIAN 7 (NETINSTALL) SUR VM INSTALLATION DEBIAN 7 (NETINSTALL) SUR VM PREREQUIS - Environnement de virtualisation : dans notre exemple nous utiliserons Virtual Box (4.2.18) - Une connexion internet sur la machine hôte Récupérer l

Plus en détail

Installation de Zabbix

Installation de Zabbix 1 Installation de Zabbix Présentation Zabbix (http://www.zabbix.com) est une solution de supervision open source. Ce logiciel permet de superviser des réseaux, et de surveiller les statuts de différents

Plus en détail

Configuration matériel. Tâche 2 : Installation proprement dite de l application sur un serveur de test virtualisé sous VmWare Workstation.

Configuration matériel. Tâche 2 : Installation proprement dite de l application sur un serveur de test virtualisé sous VmWare Workstation. PPE 1 MISSION 1 Tâche 1 : Se renseigner sur les exigences logicielles et matérielles de l utilisation de MRBS sur une distribution Linux (Debian). Proposer une configuration matérielle suffisante pour

Plus en détail

Travaux Pratiques n 1 Principes et Normes des réseaux.

Travaux Pratiques n 1 Principes et Normes des réseaux. Travaux Pratiques n 1 Principes et Normes des réseaux. Objectifs Connaitre le matériel de base (switch, hub et routeur) Savoir configurer une machine windows et linux en statique et dynamique. Connaitre

Plus en détail

TP4 : Firewall IPTABLES

TP4 : Firewall IPTABLES Module Sécurité TP4 : Firewall IPTABLES Ala Rezmerita François Lesueur Le TP donnera lieu à la rédaction d un petit fichier texte contenant votre nom, les réponses aux questions ainsi que d éventuels résultats

Plus en détail

Analyse de flux réseau : Nfsen Nfdump et Fprobe

Analyse de flux réseau : Nfsen Nfdump et Fprobe Lycée Le Castel Analyse de flux réseau : Nfsen Nfdump et Fprobe Quentin Baptier 2014-2015 Sommaire Mise en situation... 3 Architecture réseau dans sa globalité de GSB... 3 Description de l existant...

Plus en détail

Mise en Service d'une Box Service SaaS Viadéis Services. Référence : 12662 Version N : 2.2 Créé le : 07 Mars 2014. Téléphone : 0811 656 002

Mise en Service d'une Box Service SaaS Viadéis Services. Référence : 12662 Version N : 2.2 Créé le : 07 Mars 2014. Téléphone : 0811 656 002 Référence : 12662 Version N : 2.2 Créé le : 07 Mars 2014 Téléphone : 0811 656 002 Sommaire 1. Déroulement de l installation... 3 1.1. Installation d une VM de type VMware... 3 1.2. Installation d une VM

Plus en détail

SOMMAIRE. Installation & Gestion des licences Schémaplic. 1. Téléchargement des programmes d installation

SOMMAIRE. Installation & Gestion des licences Schémaplic. 1. Téléchargement des programmes d installation Vous venez d acquérir le logiciel Schémaplic et nous vous félicitons pour votre achat. Le présent document illustre les étapes d installation et d activation de votre logiciel Schémaplic dans ses différentes

Plus en détail

Travaux pratiques - Utilisation de Wireshark pour voir le trafic réseau

Travaux pratiques - Utilisation de Wireshark pour voir le trafic réseau Travaux pratiques - Utilisation de Wireshark pour voir le trafic réseau Topologie Objectifs 1ère partie : Télécharger et installer Wireshark (facultatif) 2e partie : Capturer et analyser les données ICMP

Plus en détail

Introduction. 1 P a g e. Khalid BOURICHE

Introduction. 1 P a g e. Khalid BOURICHE Introduction Basé sur FreeBSD, pfsense est un logiciel de filtrage de flux (Firewall). Comme iptables sur GNU/Linux, il est réputé pour sa fiabilité. Nous y retrouvons la plupart des fonctionnalités incluses

Plus en détail

ASR4 Réseaux Département Informatique, IUT Bordeaux 1. Prénom : Nom : Groupe :

ASR4 Réseaux Département Informatique, IUT Bordeaux 1. Prénom : Nom : Groupe : TP3 ASR4 Réseaux Département Informatique, IUT Bordeaux 1 ASR4-R Prénom : Nom : Groupe : 1 Gestion du réseau virtuel Le réseau virtuel utilisé lors de ce TP a été réalisé avec NEmu (Network Emulator),

Plus en détail

Installation d'un serveur Forefront Threat Management Gateway 2010 (TMG 2010)

Installation d'un serveur Forefront Threat Management Gateway 2010 (TMG 2010) Installation d'un serveur Forefront Threat Management Gateway 2010 (TMG 2010) Par LoiselJP Le 01/05/2013 1 Objectifs Ce document décrit le plus succinctement possible une manière, parmi d'autres, d installer

Plus en détail

N 39 Administration des Systèmes et des Réseaux Informatiques SUJET

N 39 Administration des Systèmes et des Réseaux Informatiques SUJET Administration des Systèmes et des Réseaux Informatiques SUJET Sélections régionales 2012 SOMMAIRE A. Explication du sujet... 3 B. Matériaux et consommables... 9 D. Barème de correction... 10 E. Annexes...

Plus en détail

Système IPS basé sur Snort

Système IPS basé sur Snort Système IPS basé sur Snort Prattique Michał Piotrowski Degré de difficulté Pour se protéger contre les attaques sur les systèmes informatiques, le plus souvent on utilise les pare-feux ; et pour surveiller

Plus en détail

Parcours IT Projet réseaux informatiques Christophe DOIGNON

Parcours IT Projet réseaux informatiques Christophe DOIGNON FORMATION INGENIEURS ENSPS EN PARTENARIAT (2008-2009) MODULE MI6 DU PARCOURS INFORMATIQUE ET TELECOMMUNICATIONS MISE EN OEUVRE D'UN RESEAU INFORMATIQUE LOCAL EMULE ROUTAGE SOUS LINUX 1. Introduction La

Plus en détail

IPS : Corrélation de vulnérabilités et Prévention des menaces

IPS : Corrélation de vulnérabilités et Prévention des menaces IPS : Corrélation de vulnérabilités et Prévention des menaces SIM+IPS opensource David Bizeul & Alexis Caurette C O N N E C T I N G B U S I N E S S & T E C H N O L O G Y Définitions SIM : Security Information

Plus en détail

Sensibilisation à la sécurité informatique

Sensibilisation à la sécurité informatique Sensibilisation à la sécurité informatique Michel Salomon IUT de Belfort-Montbéliard Département d informatique Michel Salomon Sécurité 1 / 25 Sensibilisation à la sécurité informatique Généralités et

Plus en détail