Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

1 Snort Rapport de stage Eric Farman Cursus AFPA TSRIT 2011 – 2012 Lieu : Hôtel

1 Snort Rapport de stage Eric Farman Cursus AFPA TSRIT 2011 – 2012 Lieu : Hôtel-de-Ville de Pertuis du 30/01/2012 au 16/02/2012 Responsables En entreprise : Laurent Garcia Afpa : Roland Martinet, Bernard Bienaimé, René Zinaeve 2 Remerciements Je tiens à remercier M. Roger Pellenc, Maire de pertuis qui a accepté ma demande de stage. Je remercie pour leur aide Laurent Garcia (responsable informatique le la Mairie de Pertuis), et Cédric Meysson (du service informatique) qui m’a plus particulièrement épaulé pendant ce stage. Je remercie également l’Afpa qui a financé ce stage. 3 Sommaire Remerciements ....................................................................................................................................... 2 A propos de Snort .................................................................................................................................... 5 Que permet-il de faire exactement ? ...................................................................................................... 5 Périmètres du stage ................................................................................................................................ 5 Présentation de la Ville............................................................................................................................ 6 Présentation du réseau de la Ville ........................................................................................................... 6 Serveurs et interconnexion globale ................................................................................................. 7 Système de virtualisation ................................................................................................................ 7 Topologie communale ..................................................................................................................... 9 Architecture dans l’hôtel de ville................................................................................................... 10 Topologie de Snort ................................................................................................................................ 11 Modes d’utilisation de Snort ................................................................................................................. 12 Mode sniffer .................................................................................................................................. 12 Mode Packet logger ....................................................................................................................... 12 Mode NIDS (Network Intrusion Detection System) ...................................................................... 12 Mode IPS (IPS= Intrusion Prevention System) ou Snort inline ...................................................... 12 Installation Ubuntu et composants complémentaires .......................................................................... 12 Installation des fonctionnalités nécessaires ...................................................................................... 12 Mettre à jour la version d’Ubuntu .................................................................................................... 12 Composants pour Snort NIDS ................................................................................................................ 13 JpGraph.............................................................................................................................................. 13 Data acquisition API .......................................................................................................................... 13 Libnet ................................................................................................................................................. 13 Installation de Snort NIDS ..................................................................................................................... 14 Création de la base de données ........................................................................................................ 14 Snort rules ......................................................................................................................................... 14 Barnyard2 .......................................................................................................................................... 14 Interfaces réseau ................................................................................................................................... 15 Les règles ............................................................................................................................................... 16 Mise à jour des règles ............................................................................................................................ 18 Oinkmaster .................................................................................................................................... 18 1. Mise à jour du « ruleset » proposé par Snort : .......................................................................... 18 2. Mise à jour du « ruleset » proposé par Emerging : ................................................................... 19 3. Mise à jour du « ruleset » proposé par Bleeding Snort : ........................................................... 19 4 On peut à présent tester Snort en NIDS ............................................................................................ 20 Monitoring ............................................................................................................................................. 20 Acid (Analysis Console for Intrusion Databases) ............................................................................... 20 Snort report ....................................................................................................................................... 22 Analyse de l’interface ........................................................................................................................ 24 Attaques ............................................................................................................................................ 26 Quelques mots sur les techniques anti-Snort ................................................................................... 27 a. Attaque par déni de service ....................................................................................................... 27 b. Attaque par insertion ................................................................................................................ 27 c. Attaque par évasion ................................................................................................................... 27 Snort inline ............................................................................................................................................ 28 Les pré-requis : .................................................................................................................................. 28 Une installation d’Ubuntu mise à jour .......................................................................................... 28 Iptables .......................................................................................................................................... 28 Libnet ............................................................................................................................................. 28 Prce ................................................................................................................................................ 29 Libpcap .......................................................................................................................................... 29 Libdnet ........................................................................................................................................... 29 Installation de Snort inline ................................................................................................................ 29 Paramétrage ...................................................................................................................................... 30 Création des répertoires ............................................................................................................... 30 Fichiers de configuration ............................................................................................................... 30 Règles ............................................................................................................................................ 30 Paramétrage du fichier de configuration principal ....................................................................... 30 Activation du mode d'interception ................................................................................................... 31 Activation de ip_queue ................................................................................................................. 31 Paramétrage de iptables ................................................................................................................... 31 Oinkmaster sur Snort inline ............................................................................................................... 31 Test de Snort inline ................................................................................................................................ 32 Mise en œuvre à prévoir ............................................................................................................... 33 Conclusion ......................................................................................................................................... 34 Lexique .............................................................................................................................................. 35 Annexes ................................................................................................................................................. 36 Annexe 1. ....................................................................................................................................... 36 5 A propos de Snort En anglais, Snort signifie «renifler ». Snort est un système de détection d'intrusion libre (ou NIDS) publié sous licence GNU GPL (Licence définissant le mode d’utilisation et de distribution des logiciels libres). À l'origine écrit par Martin Roesch, il appartient actuellement à Sourcefire. Des versions commerciales intégrant du matériel et des services de supports sont vendues par Sourcefire. Snort est un des NIDS les plus performants. Il est soutenu par une importante communauté qui contribue à son succès. Que permet-il de faire exactement ? Snort capture des paquets sur un point d’un réseau IP, analyse le flux obtenu en temps réel, et compare le trafic réseau à une base de données d’attaques connues. Les attaques connues sont répertoriées dans des librairies de règles mises à jour par plusieurs communautés très actives. Principe de l’analyse de Snort Snort peut également être utilisé avec d'autres modules compatibles (tels que des interfaces graphiques, des actualisateurs de librairies d’attaques indépendants, etc.) Snort est compatible avec la plus part des OS. Windows, Mac, Linux Ubuntu, CentOS, OpenSuSE … Périmètres du stage Pendant mon stage, je dois installer Snort, le paramétrer et le tester. Je dispose d’un PC avec le logiciel de vitalisation VirtualBox. Je dois réaliser mon travail sur Linux Ubuntu. En préambule : pour des raisons de sécurité évidente, je noterai dans ce rapport les adresses IP du réseau de la Ville de pertuis comme xxx.xxx.xxx.xxx/xx Analyse Capture Alerte Signatures 6 Présentation de la Ville J’effectue mon stage à la Ville de Pertuis. Deux mots de présentation : Pertuis est une commune du sud Vaucluse, sur la Durance qui sert de limite avec les Bouches-du Rhône. Une ville en développement qui compte près de 20 000 habitants. Son Maire est Roger Pellenc dans son mandat actuel (2008-2014). Présentation du réseau de la Ville Un petit descriptif sur l’infrastructure réseau de la ville. C’est une topologie dite en étoile étendue. Il comprend à peu près 200 postes. Un réseau dont le cœur est en gigabit desservant les éléments du réseau en FastEthernet. Cinq plages d’adresses IP sont réservées pour : - équipement réseau (statique) - Serveurs (statique) - Utilisateurs DHCP - Directeurs DHCP - Service informatique (statique) Deux serveurs NAS (Network Attached Storage) desservent les équipements de la commune. Un à l’hôtel de ville et l’autre (en cours de déménagement) au Centre de Gestion Urbain 7 Serveurs et interconnexion globale Figure 1 Deux Serveurs de fichiers sur des sites distants (un à la Police municipale et l’autre au Centre technique municipal). Ils garantissent une bande passante optimale. Ils sont également des répliquats Active Directory, pour prévenir des coupures de liaison. Un service applicatif pour le service éducation (en bas au centre sur la figure 1). Serveur ESXI 4.1 hébergeant deux serveurs virtuels pour la sauvegarde et la supervision. La sauvegarde effectuée par Veeam Backup (sauvegarde des machines virtuelles de la baie.) Système de virtualisation - Baie SAN Dell équallogic (Stockage des serveurs) - 2 serveurs sous VMware - 2 sous Hyper V (virtualisation version Windows) 8 Figure 2 Sous Hyper V : - serveurs Citrix (Déport applicatif) Sous VMware : l’Active Directory, le serveur DHCP, le serveur DNS, le serveur de messagerie, le serveur de bases de données, le serveur WSUS (serveur mises à jour), les serveurs applicatifs, les serveurs de fichiers. 9 Topologie communale Figure 3 A l’hôtel de ville, quatre antennes wifi servent quatre sites distants, et une fibre optique reliant l'annexe et le "donjon" (tour ancienne et point culminant au centre de Pertuis) sur lequel quatre antennes servent quatre autres sites distants. Les antennes sont des Alvarion (wimax) avec un cryptage de type AES 256 bits. 10 Architecture dans l’hôtel de ville Figure 4 Un routeur SFR relie le réseau à l’internet. Un Pare feu Fortigate (en fait, ils sont deux en cluster par sécurité), Le Pare feu fait routeur vers la DMZ et le réseau mairie, Un routeur en VPN relie le service Jeunesse. Ma situation sur le réseau 11 Topologie de Snort Où positionner Snort ? Une vraie guerre de religion ! Exemple de réseau Position 1 : Sur cette position, Snort va pouvoir détecter l'ensemble des attaques frontales, provenant de l'extérieur, en amont du firewall. Ainsi, beaucoup d'alertes seront remontées ce qui rendra les logs difficilement consultables. Position 2: Si Snort est placé sur la DMZ, il détectera les attaques qui n'ont pas été filtrées par le firewall et qui relèvent d'un certain niveau de compétence. Les logs seront ici plus clairs à consulter puisque les attaques bénignes ne seront pas recensées. Position 3 : Snort peut ici rendre compte des attaques internes, provenant du réseau local de l'entreprise. Il peut être judicieux d'en placer un à cet endroit étant donné le fait que 80% des attaques proviennent de l'intérieur. De plus, si des trojans ont contaminé le parc informatique (navigation peu méfiante sur internet) ils pourront être ici facilement identifiés pour être ensuite éradiqués. Ce dernier positionnement est celui que j’ai testé pendant mon stage. Pourquoi ? Le temps du stage n’étant pas infini, j’ai choisi de m’intéresser à la détection des intrusions qui ont réussi à entrer dans l’enceinte du réseau. Le web regorge d’activités malveillantes qui ne nous concernent pas forcément. Donc la position 3 me parait de loin la plus pertinente. De plus les failles les plus répandues proviennent généralement de l’intérieur de l’entreprise, et non de l’extérieur. Dans l’idéal, il faudrait faire le mirroring du flux passant par un switch (manageables bien entendu) et le soumettre à l’analyse de Snort. 12 Modes d’utilisation de Snort Il existe 4 modes d’exécutions de Snort : Mode sniffer C’est un snif de réseau classique. Inutile de s’y attarder, d’autres logiciels comme wireshark le font très bien, et la valeur réelle de Snort n’est pas là. Mode Packet logger De même que le mode sniffer, sauf qu’il écrit le résultat de son observation dans un fichier log. Je ne m’y attarderai pas plus. Mode NIDS (Network Intrusion Detection System) Cela devient plus intéressant. Ce mode fait l’objet de mon stage. Il s’agit de l’utilisation de Snort avec analyse du trafic aux vues de uploads/Geographie/ rapport-de-stage-snort.pdf