Audit et definition de la politique de sécurité du réseau informatique de la first bank

6.4. LIAISON DES LOGS DE SNORT AVEC MYSQL :

Un fois connecté sur la base mysql en tant qu'administrateur « mysql -u root -p », il convient de suivre la procédure suivante afin de créer la base snort :

Une fois ces commandes effectuées, il suffit d'exécuter le script sql fourni avec la distribution de snort.

6.5. CRÉATION DE NOUVELLES RÈGLES

Bien que le site officiel de Snort propose des règles prêtes à l'emploi et régulièrement mises à jour, il peut être intéressant de créer ses propres règles afin d'adapter au mieux snort au réseau qu'il doit surveiller et protéger. Par convention, les nouvelles règles personnelles sont à placer dans le fichier local.rules.

Exemple de règle :

alert tcp any any -> $HTTP_SERVERS $HTTP_PORTS (msg:"WEB- ATTACKS /bin/ls command attempt"; uricontent:"/bin/ls"; nocase; classtype:web-application-attack;

Cette règle permet de générer une alerte quand un paquet provient d'un couple (adresse:port) quelconque, est à destination des serveurs HTTP définis dans snort.conf, et contient la chaîne «/bin/ls » dans l'URI. Le message de l'alerte sera « WEB-ATTACKS /bin/ls command attempt ». Cette attaque sera classée dans la classe web-application-attack (priorité medium par défaut).

Il est bien sûr impossible d'être exhaustif ici pour décrire le format des règles Snort. Le manuel utilisateur disponible sur le site officiel indique comment utiliser au mieux le langage des signatures de Snort.

6.6. MISE EN PLACE D'ACID :

ACID est une interface PHP qui permet de visualiser les alarmes générées par snort. ACID dépend de ces deux paquets :

§ Adodb : Contient des scripts PHP génériques de gestion de bases de données. Nous avons utilisé la librairie PHP libphp-adodb de Debian.

§ PHPlot : librairie de scripts PHP utilisée par ACID pour présenter graphiquement certaines données statistiques. PHPlot peut être téléchargé sur le site.

Après avoir téléchargé ACID et PHPlot, il faut installer ces derniers dans la racine d'Apache de la manière suivante :

Une fois l'installation terminée, il convient de configurer ACID dans son fichier de configuration /var/www/acid/acid_conf.php. En ce qui nous concerne, certains champs ont été modifiés comme suit :

§ $DBlib_path="/usr/share/php/adodb";

§ $Chartlin_path="/var/www/phplot-5.0.5";

§ alert_dbname="snort"

§ alert_host="localhost"

§ alert_user="root"

§ alert_password="root"

Voilà, maintenant nous pouvons vérifier qu'ACID est bien configuré en saisissant l'url http://localhost/acid dans le navigateur.

Le résultat de ce test dans notre cas est le suivant :

Nous avons par cette dernière étape, terminé l'installation et l'utilisation de snort. Nous allons dans les pages suivantes proposer un certain nombre de recommandations en vue de l'amélioration de la sécurité du réseau informatique de la First Bank.