WOW !! MUCH LOVE ! SO WORLD PEACE !
Fond bitcoin pour l'amélioration du site: 1memzGeKS7CB3ECNkzSn2qHwxU6NZoJ8o
  Dogecoin (tips/pourboires): DCLoo9Dd4qECqpMLurdgGnaoqbftj16Nvp


Home | Publier un mémoire | Une page au hasard

 > 

Inspection du trafic pour la détection et la prévention d'intrusions


par Frèse YABOUI
Ecole Supérieure de Technologie et de Management (ESTM) - Licence en Téléinformatique  2018
  

précédent sommaire suivant

Bitcoin is a swarm of cyber hornets serving the goddess of wisdom, feeding on the fire of truth, exponentially growing ever smarter, faster, and stronger behind a wall of encrypted energy

2.4.4.2. Architecture de SNORT

L'architecture de SNORT est modulaire et est composée de :

51

YABOUI Frèse

Inspection du trafic pour la détection et la prévention d'intrusions

· Décodeur de paquet : en anglais (Packet Decoder) il capture les paquets de données des interfaces réseaux, les prépare afin d'être prétraitées ou envoyées au moteur de détection ;

· Pré processeur : en anglais (Pre-processor) ce sont des composants utilisés avec SNORT afin d'améliorer les possibilités d'analyse, et de recomposition du trafic capturé. Ils reçoivent les paquets, les retraitent et les envoient au moteur de détection ;

· Moteur de détection : en anglais (Detection Engine) c'est le composant le plus important de SNORT. Son rôle consiste à détecter les éventuelles intrusions qui existent dans un paquet. Pour se faire, le moteur de recherche se base sur les règles de SNORT. En effet, ce moteur consulte ces règles et les compare une à une avec le paquet de données. S'il y a conformité, le détecteur l'enregistre dans le fichier log et/ou génère une alerte. Sinon le paquet est laissé tomber ;

· Système d'alerte et d'enregistrement des logs : en anglais (Logging and Alerting System) il permet de générer les alertes et les messages log suivant ce que le moteur de détection a trouvé dans le paquet analysé ;

· Output modules : en anglais (plugins) permet de traiter l'intrusion générée par le système d'alertes et de notation de plusieurs manières : envoie vers un fichier log, génère un message d'alerte vers un serveur syslog, ou stocke cette intrusion dans une base de données comme MySQL ou Oracle.

Figure 18.2: Architecture de SNORT

2.4.4.3. Paramétrage de SNORT

52

YABOUI Frèse

Inspection du trafic pour la détection et la prévention d'intrusions

2.4.4.3.1. Préprocesseurs

Les préprocesseurs permettent d'étendre les fonctionnalités de SNORT. Ils sont exécutés avant le lancement du moteur de détection et après le décodage du paquet IP. Le paquet IP peut être modifié ou analysé de plusieurs manières en utilisant le mécanisme de préprocesseur.

Liste des préprocesseurs :

· mainfrag ;

· HTTP Decode ;

· détecteur de balayage du port (Portscan Detector) ;

· port scan Ignorer hosts ;

· défragmentation (Defrag) ;

· stream.

Les préprocesseurs sont chargés et configurés avec le mot-clé preprocessor. Le format de la directive preprocesseur dans les règles de SNORT est : preprocessor <nom> <options>.

précédent sommaire suivant






Bitcoin is a swarm of cyber hornets serving the goddess of wisdom, feeding on the fire of truth, exponentially growing ever smarter, faster, and stronger behind a wall of encrypted energy







© Memoire Online 2000-2023
Pour toute question contactez le webmaster

"Il existe une chose plus puissante que toutes les armées du monde, c'est une idée dont l'heure est venue"   Victor Hugo