• Aucun résultat trouvé

TD - Mise en place d’un syst` eme de pr´ evention d’intrusions

N/A
N/A
Info
Télécharger
Protected

Academic year: 2022

Partager "TD - Mise en place d’un syst` eme de pr´ evention d’intrusions"

Copied!
3
0
0

Chargement.... (Voir le texte intégral maintenant)

Texte intégral

(1)

Universit´e de Bordeaux ann´ee 2017-2018 Master CSI/Master Info. S´ecurit´e des r´eseaux

TD - Mise en place d’un syst` eme de pr´ evention d’intrusions

Le but de ce TP est de mettre en place un syst`eme de d´etection d’intrusions. Ce m´ecanisme sera mis en place en utilisant le logicielsuricata.

La topologie r´eseau correspondante peut ˆetre obtenue en lan¸cant le script de d´emarrage /net/stockage/aguermou/SR/TP/6/qemunet.shen lui fournissant la description de la topologie r´eseau `a l’aide de l’option-tainsi que l’archive contenant la configuration initialte des machines

`

a l’aide de l’option-a. Ceci revient `a lancer les commandes suivantes :

cd /net/stockage/aguermou/SR/TP/6/; ./qemunet.sh -x -t topology -a archive_tp6.tgz Le syst`eme de pr´evention d’intrusions doit ˆetre mis en place sur immortal.

1. Commencer la configuration desuricata. Il faut tout d’abord d´efinir les options de lancement desuricata. Nous allons donc sp´ecifier ces derni`eres en surchargeant le script de lancement systemddesuricata.

# mkdir /etc/systemd/system/suricata.service.d

# cat > /etc/systemd/system/suricata.service.d/suricata.conf [Service]

ExecStart=

ExecStart=/usr/bin/suricata -D -q 0 -c /etc/suricata/suricata.yaml\

--pidfile /var/run/suricata.pid

# systemctl daemon-reload

Il faut surtout remarquer l’option -qqui permet de dire `a suricata de g´erer lui mˆeme les paquets mis de cot´e par le firewall via la cibleNFQUEUE.

2. ´Editer le script/etc/init.d/ma-config.shpour y sp´ecifier le trafic `a envoyer verssuricata.

Dans le cas suivant, nous allons envoy´e l’int´egralit´e du trafic transitant par le firewall vers suricata(ce sc´enario n’´etant pas r´ealiste en production).

iptables -A FORWARD -j NFQUEUE

3. Nous allons ajouter un fichier d´ecrivant les r´egles que nous allons cr´eer pour suricata.

Pour ce faire, il faut tout d’abord cr´eer un ficher (myrules.rulespar exemple).

# touch /etc/suricata/rules/myrules.rules

Puis dire `a suricata de le charger en sp´ecifiant ce ceci dans le fichier de configuration /etc/suricata/suricata.yaml.

rule-files:

- myrules.rules

4. Nous allons d´efinir une premi`ere r`egle (dans le fichier que vous venez de cr´eer) qui consiste

`

a emettre une alerte lorsqu’un paqueticmptransite par immortal.

1

(2)

alert icmp any any -> any any (msg:"SURICATA my ICMP alert"; sid:22400321;) Il faut alors red´emarrer le service viaservice suricata restart, puis g´en´erer un traffic icmptransitant par immortal et enfin consulter le fichier contenant les alertes :/var/log/- suricata/fast.log. Il est `a noter que l’on peut interdir dynamiquement le traffic corres- pondant `a l’alerte en rempla¸cant le mot cl´ealertpar le mot cl´edrop.

5. Nous allons maintenant nous int´eresser `a un sc´enario un peu plus complexe dans lequel une alerte est g´en´er´ee si trois tentatives de connexion ont ´echou´e au sein d’une session telnet.

Pour ce faire, nous allons utiliser la fonctionnalit´e flowint qui permet de manipuler les compteurs n´ecessaires. Ce qui est demand´e peut ˆetre fait avec trois r`egles qui permettent dans l’ordre, d’intialiser, d’incr´ementer et de tester la valeur du compteur.

#initialiser le compteur

alert tcp-pkt any any <> any 23 (msg:"Init Failing logins counter";\

content:"Login incorrect";flow:established,from_server;\

flowint: username, notset;\

flowint:username, =, 1; noalert; sid:1;)

#incr´ementer le compteur

alert tcp-pkt any any <> any 23 (msg:"Inc Failed Logins";\

content:"Login incorrect";flow:established,from_server;\

flowint: username, isset;\

flowint:username, +, 1; noalert; sid:2;)

#g´en´erer une alerte lorsque le compteur est sup´erieur `a 2

alert tcp-pkt any any <> any 23 (msg:"More than 3 Failed Logins!";\

content:"Login incorrect"; flow:established,from_server; \ flowint: username, isset;\

flowint:username, >, 2; sid:3;)

G´en´erer le trafic correspondant et v´erifier que l’alerte est bien ´emise (en consultant le fichier /var/log/suricata/fast.log.

6. Nous allons utiliser maintenant une foncitionnalit´e avanc´ee de suricata qui permet de d´efinir le comportement d’une r`egle par le biais de l’ex´ecution d’un scriptlua. Ce script sera charg´e de dire si l’alerte doit ˆetre ´emise ou non. Un exemple pratique de l’utilisation de ce m´ecanisme consiste `a analyser un protocole de haut-niveau pour d´etecter un comportement pr´e-d´efini. Nous allons nous int´eresser `a une connexionTLSet nous souhaitons ´emettre une alerte lorsque le certificat utilis´e est auto sign´e par la machine qui le poss´ede. Il faut dans un premier ˆetre en mesure de r´ecup´erer les certificats de mani`ere automatique au niveau desuricata. Pour ce faire, il faut dans un premier temps d´ecommenter les lignes suivantes dans/etc/suricata/suricata.yaml:

# a line based log of TLS handshake parameters (no alerts) - tls-store:

enabled: yes # Active TLS certificate store.

certs-log-dir: certs # directory to store the certificates

Il faut ensuite ´ecrire la r`egle qui permet qui fait r´ef´erence au script qui va analyser le certificat et l’ajouter `a notre fichier de r`egles.

alert tls any any -> any any (msg:"SURICATA TLS Self Signed Certificate"; \ flow:established; luajit:<nom_script_lua>; \

tls.store; classtype:protocol-command-decode; sid:99666321; rev:1;)

Enfin, il faut copier le scripttls.luase trouvant dans le dossier/net/stockage/aguermou/- SR/TP/6/files/tls.lua pour le mettre dans le dossier /etc/suricata/rules. Pour ef- fectuer le test, des certificats ont ´et´e pr´epar´es pour nile et sont disponibles dans l’archive

2

(3)

nile-certs.tgzse trouvant dans le mˆeme dossier que le script tls.lua. L’id´ee est alors de mettre nile en ´ecoute sur un port donn´e en utilisant l’outil gnutls-serv et de s’y connecter depuis opeth par exemple en utilisant l’outilgnutls-cli. V´erfier que l’alerte est bien g´en´er´ee.

3

Références

Télécharger maintenant ( PDF - 3 Page - 67.23 KB )

Documents relatifs

Td corrigé Consignes de rédaction d'un article de presse pdf

Si l'on en croit Jesse Fox, auteur principal d'une étude et professeur assistante en communication à l'Université de l'Ohio, les hommes qui publient beaucoup de selfies sur

Td corrigé Mouvement d'un solide pdf

Les élèves ne disposant pour l’instant que d’informations qualitatives sur l’énergie potentielle et l’énergie cinétique d’un système, le but de

Td corrigé 1-Schématisation de la formation d'un prix pdf

marge brute – remise – prix d’achat net – prix de vente hors taxe – coût d’achat prix de vente toute taxe comprise – prix d’achat net – frais d’achat – prix

Td corrigé ETUDE D'UN SYSTEME DE DISTRIBUTION D'AIR COMPRIME pdf

III.2.2 Déterminer la fréquence de rotation du moteur si et le couple utile moteur T u1 pour un réglage de la pression d'air comprimé à 7 bars. III.2.3 En déduire la

Td corrigé Confirmation d'un ordre de travail pdf

Ce scénario décrit les processus qui surviennent lors des interventions de maintenance précédant généralement un avis de panne pour un objet technique (vous avez également

Td corrigé Définition d'un patron de conception - Exercices corriges pdf

MouseListener en Java, mais que l'on ne souhaite pas implémenter de comportement pour toutes les méthodes, on peut dériver la classe MouseAdapter.. Celle-ci fournit en effet un

Td corrigé Dimensionnement d'un système d 'entraînement pdf

Elle est d’autant plus importante que la masse de la charge est grande et s’oppose à la mise en mouvement. Elle est caractérisée par le moment d’inertie J, qui s’exprime en

Td corrigé Action d'un champ sur une particule chargé et ... - TuniSchool pdf

Ils sont ensuite émis sans vitesse par la source S, puis accélérés par un champ électrostatique uniforme qui règne entre S et P tel que.. U sp