Etude pour la sécurisation d'un réseau par la mise en place d'un pare-feu open source: cas de C.A.F.E. informatique & télécommunications

15.2 Détection d'intrusion

15.2.1 Présentation de Snort

Snort est un système de détection d'intrusion libre qui peut fonctionner comme IDS (NIDS ou HIDS) et IPS (NIPS ou HIPS) crée par Martin Roesch. Il est actuellement développé par Sourcefire. Snort analyse le réseau, le trafic en temps réel, et peut logger des paquets. Les alertes peuvent être logger sous forme de logs, elles peuvent être également stockées dans une base de données. Snort permet une normalisation des principaux protocoles mis en oeuvre dans les réseaux IP (TCP, UDP, ICMP), ainsi que les protocoles les plus courants (SMTP, POP, IMAP, http, SSL, etc.). Nous allons à cet effet exploité Snort car c'est un outil qui peut être installé sur un pare-feu dans le but d'analyser en temps réel les paquets qui circulent sur les intervalles de celui-ci.

15.2.2 Installation et configuration de Snort

Sur l'interface de Pfsense, allons dans l'onglet System>Package Manager et installons le paquet snort :

Figure 4. 26 : Installation des paquets de SNORT

Snort utilise des règles pour effectuer ses analyses. Pour utiliser ces règles, nous avons utilisé un code Oinkmaster. Pour cela, nous avons procédé par la création d'un compte sur http://snort.org/, afin de pouvoir récupérer le code Oinkcode pour prédéfinir ses règles en temps voulu.

Figure 4. 27 : Code oinkcode délivré après enregistrement sous Snort

Une fois l'installation de Snort terminée, allons ensuite dans l'onglet Services >Snort>Global Settings et activons Snort VRT et collons le code Oinkmaster puis dans l'onglet « Updates », on clique sur « Update rules » pour la mise à jour des règles. Toutes les règles ainsi téléchargées et mises à jour sont regroupées sous forme de catégories dans l'onglet « WAN Categories ».

Pour entamer la configuration, nous avons activé Snort sur nos interfaces d'écoute. Notre cas est illustré par la figure suivante :

Figure 4. 28 : Activation de Snort sur l'interface WAN

Une fois l'interface d'écoute activée, on poursuit toujours notre configuration par rapport aux différents types de signatures qui protégeront notre réseau, ainsi s'achève la configuration. Ici, le choix sera fait en cause des objectifs définis par l'entreprise.

Nous concernant, afin de tester l'efficacité de la solution, nous nous contentons de la règle « scan.rules » qui nous permettra de détecter et bloquer un attaquant effectuant un scan de port sur un hôte distant.

15.2.3 Test de la solution

Comme décrit précédemment, nous pouvons le remarquer à la figure 4.29 que notre environnement de travail est un environnement virtuel constitué de quatre (04) machines virtuelles et d'une machine physique sur laquelle les machines virtuelles sont créées. Nous allons effectuer les tests d'intrusions en intranet, car nous ne disposons pas d'adresse IP public pour assigner aux machines virtuelles afin d'effectuer des attaques depuis internet. En plus de cela, effectuer une attaque depuis internet nécessite des compétences d'un « hacker ».

Figure 4. 29 : Architecture virtuelle de l'environnement de test

Le test va se reposer sur le schéma de la figure présenté précédemment. Un Attaquant va effectuer un scan de port Nmap sur le routeur/pare-feu Pfsense. Pendant toute la durée, l'Attaquant effectue en parallèle du scan de port un ping vers Pfsense, afin de vérifier en permanence la connectivité vers Pfsense et clairement mettre en avant le moment où il sera bloqué par Snort. Une capture du scan est représentée par la figure 4.30 :

Figure 4. 30 : Scan de port effectué par la machine `Attaquant'

Une fois le scan de port lancé, Snort peut très rapidement constater des alertes. Allons à l'onglet Services>Snort >Alert ; on a des informations sur l'origine de l'attaque comme : l'adresse IP source, Protocole utilisé, date, etc.

Figure 4. 31 : Alertes renseignées par Snort