Mise en place de la plate forme de teste
Architecture du réseau de test.
Réseau UCAD (Internet) Sonde Snort NIDS ou Prelude Firewall Serveur WEB PC utilisateur Base de données et inferface Base Architecture réseau de test de Snort NIDS Zone DMZ PC utilisateur Hub Hub Figure 4 1.2 Mise en place de Snort 1
Plan d’adressage Internet
192.168.1.0/24 (En réalité il s’agira des IP publiques fournies par l’UCAD.) DMZ 192.168.2.0/24 Réseau interne 192.168.3.0/24
Point d’écoutes Zone DMZ
Une sonde Snort est branchée sur le hub entre les pare feux et la zone DMZ. Cette sonde analyse le trafic en provenance d’Internet vers la DMZ et en provenance du réseau interne vers le DMZ. L’objectif est double : – valider que le filtrage mis en œuvre sur le pare feu A est efficace et protège donc Mise en place de la plate forme de teste 35 les réseaux DMZ et Interne des attaques qui viennent de l’extérieur ; – identifier les attaques ou les anomalies qui viendraient du réseau Interne vers la DMZ ou vers l’extérieur (dans ce dernier cas, on cherchera à détecter les traces liées à des infections virales). Zone DMZ Un serveur de base de données est branchée sur le hub ,cette machine héberge la basse données mysql.. L’IDS se compose : – Une sonde Snort ; – d’un serveur de base de données qui est utilisé pour stocker les alertes de manière centralisée – d’une console utilisée pour consulter la base d’alertes et pour administrer la sonde ; 1
Système d’exploitation
Les systèmes d’exploitation retenue pour la sonde et pour les éléments de l’IDS (SGBD et console) est la distribution Debian avec un noyau 2.4. Nous avons choisi la distribution Debian pour plusieurs raisons : • Ses qualités techniques : Debian est réputée pour sa stabilité, pour son très bon système de gestion des dépendances entre les différents composants (ce qui rend l’installation et le retrait des programmes très faciles), et pour sa rapidité à réparer les failles de sécurité ; • Ses mises a jour faciles. • Debian GNU/Linux est utilisé par la plupart des fournisseurs d’accès à Internet, comme Free • Debian est reconnu pour son sérieux et ses fortes prises de positions dans le monde libre. Debian garantit des logiciels open-source ! • Debian est aujourd’hui la seule distribution non-commerciale. Debian est une organisation à but non lucratif constituée d’un millier de développeurs bénévoles répartis sur toute la planète. Elle est dirigée par un project leader élu par les développeurs. Les décisions se prennent au consensus ou par vote.
Méthode d’installation des logiciels
Pour installer les logiciels utilisés pour construire l’IDS nous utilisons les systèmes de paquetages propres à la distribution Debian,les paquetages seront installés à l’aide de la commande apt-get. 36 1.2.5. Les sondes La sonde est constituée d’une machine équipée de deux cartes réseau : – une interface activée en mode « stealth », c’est-à-dire sans adresse IP ; – une interface activée sur un réseau dédié à l’IDS. Ce réseau permet la remontée des alertes vers une base de données unique ainsi que l’administration des sondes. Le logiciel utilisé est Snort en version 2.6.0.2 téléchargeable sur le site www.snort.org ¾ Interface en mode stealth
Une interface en mode stealth est une interface réseau active mais à laquelle aucune adresse IP n’a été attribuée. Le trafic réseau peut être lu depuis cette interface mais elle ne peut pas en générer. Sous Linux, pour activer une interface sans lui attribuer d’adresse IP, il faut utiliser la commande ifconfig de la manière suivante : # ifconfig eth1 up L’interface eth1 est alors montée mais sans adresse IP : Pour vérifier que le trafic est bien visible depuis cette interface, vous pouvez utiliser le logiciel tcpdump