Pages

vendredi 14 juillet 2017

COMMENT METTRE EN PLACE UN SYSTEME DE DETECTION D'INTRUSION (IDS) AVEC SYSTEME DE NOTIFICATION VIA EMAIL GRACE A SNORT ET SWATCH




Bonjour,

Aujourd’hui, je vais vous montrer comment installer et configurer un système de détection d’intrusion au sein d’un réseau informatique avec le logiciel Snort et comment grâce au logiciel Swatch mettre en place un système de notification par email pour informer une personne donnée en occurrence un administrateur lorsqu’une potentielle attaque surviendrait sur le réseau. Mais tout d’abord,

Qu’est-ce qu’un  Système de Détection d’Intrusion ?

Un Système de Détection d’Intrusion ou IDS (Intrusion Detection System) est un mécanisme destiné à repérer des activités supposées anormales ou suspectes sur un ensemble d’équipements (un réseau) ou en particulier sur un équipement analysé bien précis (un hôte). Un IDS permet ainsi de prendre connaissance sur les tentatives réussies, tout comme échouées des éventuelles attaques ou intrusions qui surviennent au sein d’un réseau ou sur une machine donnée.  

Les IDS sont d’une grande importance dans la nécessité de la sécurisation optimisée d’une entreprise par exemple ou dans la mise en place d’une politique de sécurité.

On peut classer les IDS en trois grandes familles distinctes :

  • Les NIDS (Network Intrusion Detection System), dont le but est de surveiller l’état de la sécurité au niveau d’un réseau. C’est le cas de Snort ou encore de Suricata;

  • Les HIDS (Host Intrusion Detection System), qui surveillent l’état de la sécurité au niveau des hôtes. C’est le cas de DarkSpy et Tripwire par exemple ; et enfin,

  • Les IDS hybrides, qui utilisent les NIDS et HIDS pour avoir des alertes plus pertinentes. Prelude en est un exemple.

A présent intéressons nous à l’IDS Snort :

Qu’est-ce que Snort ?

Snort est un sytème de détection d’intrusion open source de type NIDS, qui est capable d’effectuer en temps réel des analyses de trafic et peut également être utilisé pour détecter une grande variété d’attaques au sein d’un réseau informatique donné. Il est aussi important de savoir que Snort avec la collaboration d’autres outils donne la possibilité via des emails ou SMS par exemple de pouvoir notifier un individu sur l’état du réseau en cas de tentative d’intrusion, ou encore avec un outil comme BASE, de pouvoir obtenir une représentation graphique des données concernant des éventuelles intrusions. 

Snort est l’un des plus actifs NIDS open source et possède une communauté importante contribuant à son succès.

(Ps: il faut également savoir qu’il existe une version améliorée de Snort, il s’agit de Snort Inline qui quant à lui joue également le rôle de système de prévention d’Intrusion ou IPS c’est-à-dire en plus de détecter les intrusions éventuelles met en place un mécanisme de défense qui consiste à effectuer certaines actions lorsqu’une intrusion est détectée, comme par exemple bloquer automatiquement les ports pour mettre fin à une attaque)

Maintenant que vous en savez un peu plus sur les IDS et en particulier Snort, nous allons entrer dans le vif du sujet et passer à la mise en place d’un système de détection d’intrusion au sein d’un réseau avec le logiciel Snort et par la suite mettre en place un système de  notifications via emails. 

Intéressons-nous par exemple au cas de figure suivant :


L’objectif recherché ici est de mettre en place un IDS qui aura pour fonction en cas de tentative d’intrusion ou d’éventuelle attaque du réseau par un Hacker, d’alerter l’administrateur du système en lui envoyant un email qu’il pourra recevoir depuis son Smartphone ou son ordinateur enfin que ce dernier puisse mettre en œuvre les mesures adéquates dans le but de répondre convenablement à l’attaque. 

Installation et Configuration de l’IDS Snort

(Ps: nous allons installer et configurer Snort sur un serveur GNU/Linux en occurrence ici Ubuntu)

Pour ce faire, nous devons tout d’abord installer le paquet Snort avec la commande « apt-get install snort »,


Une fois l’installation de Snort terminé, nous entrons la commande « dpkg-reconfigure snort » pour  pouvoir procéder à la configuration de Snort 


Après avoir validé la commande précédente, la première fenêtre de configuration de Snort apparait. Celle-ci nous invite à choisir le mode de lancement de Snort, nous choisissons l’option « Au démarrage » puis nous cliquons sur « OK »

 
Ensuite, nous devons indiquer l’interface « d’écoute » que Snort va utiliser pour analyser le trafic de notre réseau ;



Dans notre cas, nous allons entrer « eth0 »


Puis, nous devons indiquer la plage d’adresse du réseau qui sera pris en compte par Snort. Dans notre cas, notre réseau est 192.168.43.0/24 


Après, nous sommes invités à activer ou pas le mode promiscuité. L’activation ou non du mode promiscuité a pour conséquence respectivement de permettre à notre serveur Snort de pouvoir vérifier tous les paquets transitant au sein du réseau même ceux qui ne lui sont pas directement adressés ou alors dans l’autre cas, de ne permettre que le serveur Snort n’ait la possibilité que d’analyser les paquets qui lui sont directement adressés. Pour que nous soyons informés en cas d’attaque sur l’une des machines qui constitue notre réseau, il est primordial de laisser activer le mode promiscuité 


Par la suite, nous ai présenté une fenêtre qui nous donne la possibilité d’entrer des configurations personnelles supplémentaires ; nous pouvons laisser ce champ vide et cliquer directement sur « OK »

 
Ensuite, nous activons la fonctionnalité permettant à Snort de nous envoyer de manière quotidienne (tous les jours et à une heure fixe) des rapports de journaux d’évènements survenus sur le réseau à une adresse mail précise


Puis, nous entrons l’adresse mail où sera envoyer les rapports quotidiens en question   


Enfin, nous devons indiquer à Snort le nombre d’occurrences minimal d’un évènement donné (une alerte) pour que ce dernier soit comptabilisé dans les statistiques du rapport quotidien 


Nous venons ainsi d’achever la configuration de notre serveur Snort, il ne nous reste plus qu’à rendre cette configuration effective en entrant la commande « service snort restart » pour redémarrer le service Snort et lui permettre de mettre à jour les nouveaux paramètres qui lui ont été indiqués. 


A présent, notre IDS est en place et prêt à analyser le trafic au sein de notre réseau. Snort à recours a un ensemble de « règles » pour pouvoir effectuer les analyses sur le réseau informatique. Snort est fourni avec un certain nombre de règles de base situées par défaut dans le répertoire « /etc/snort/rules ». Ces règles sont écrites par Sourcefire et la large communauté autour de Snort.

Par exemple si nous souhaitons que l’administrateur soit averti lorsqu’un hôte sur le réseau se rend sur des réseaux sociaux, si par exemple, la politique en place dans l’entreprise serait de limiter l’accès aux réseaux sociaux peut-être dans le but d’améliorer les performances du personnel 😁, pour répondre à ce besoin, nous devons créer un fichier de règles personnalisées propre à cette situation. Conventionnellement, les fichiers de règles Snort ont une extension « .rules », ainsi, nous créons un fichier que nous appelons restriction_sites.rules par exemple

  
Puis nous l’éditons comme suit :


Comme vous pouvez le constater un fichier de règles contient un ensemble de lignes dont la structure est généralement la suivante :

« #1[alert | log | pass | activate | dynamic | drop | reject | sdrop ]  #2[protocole{IP | TCP | UDP | ICMP}] #3[Adresse_Reseau_Source] #4[Port_Source] #5[Direction{à|<>}  #6[Adresse_Reseau_Destination] #7[Port_Destination] (#8[Options {flags ; msg ; content ; sid ; rev ; depth ; … ; priority}] )»

En général, nous avons en  #1 l’action a effectuer si la règle correspond à un évènement donné, puis en #2 est indiqué le protocole, en #3 l’adresse IP d’un hôte ou l’adresse du réseau  de la source, ensuite en #4 le port de communication de la source ;  après  vient en #5 la direction indiqué par une flèche : généralement, il s’agit de la flèche droite (à) cela signifie que la source du trafic est à gauche et que la destination est à droite, mais il existe également une flèche bidirectionnelle (<>) permettant d’écrire deux règles  à la fois dans lesquelles la source et la destination sont interverties. Puis en #6 et #7 sont indiqués respectivement l’adresse IP d’un hôte ou l’adresse réseau et le port de la destination et enfin en #8 sont indiqués les options. Comme différentes options que nous pouvons indiquer, nous avons :

  • msg : pour afficher un message d’alerte ;

  • logto : pour enregistrer le paquet dans un fichier spécifique ;

  • content : pour chercher un mot spécifique ou mot clé ;

  • sid : pour identifier une règle en particulier ; …     

Une fois notre fichier édité, nous le sauvegardons et le copions vers le dossier par défaut qui contient les règles de base utile à Snort pour analyser le trafic au sein du réseau


Pour que les règles de notre fichier nouvellement créé soit prise en compte par Snort, il est primordial de modifier le fichier snort.conf qui contient en plus de la configuration intégrale de notre serveur, toutes les destinations des fichiers de règles dont Snort à besoin pour mener à bien sa tâche


Ainsi, nous devons ajouter au niveau de la section « include » du fichier snort.conf la ligne suivante pour indiquer à Snort de prendre en considération nos nouvelles règles  


Il ne nous reste plus qu’a lancer la commande d’analyse de Snort en temps réel des différents paquets transitant dans le réseau et de spécifier le mode de sortie d’affichage des messages d’alertes, par exemple avec la commande suivante, on indique que les messages soient directement affichés sur le terminal : 


Après avoir validé la commande précédente, Snort démarre et est prêt à analyser les échanges au sein du réseau et en plus, il affichera les différents rapports des échanges survenus directement sur le terminal (console)


Pour rappel, notre fichier restrition_sites.rules créé précédemment ne prend en considération que certains réseaux sociaux en occurrence dans notre cas ici, Facebook et Twitter, et avertira via une alerte affichée sur la console l’administrateur si l’un des hôtes du réseau s’y rend.  

Maintenant testons que notre IDS analyse  bel et bien le trafic et nous envoie via la console des alertes au cas où un utilisateur au sein du réseau se rend sur les réseaux sociaux concernés. Ainsi lorsqu’un utilisateur se rend sur Facebook par exemple,


Nous obtiendrons au niveau de la console les messages suivant :


Indiquant le type d’alerte, le message de l’évènement survenu, l’adresse IP, et même le port de l’hôte qui a ouvert la page. De même lorsqu’un utilisateur se rend sur Twitter,


Nous obtenons également des messages d’alertes nous avertissant de cela.


Notre IDS analyse bien le trafic et nous informe lorsqu’un évènement enregistré dans ses divers fichiers de règles survient.  

A présent, nous allons créer un nouveau fichier de règles appelé mynmap.rules qui cette fois-ci va permettre à notre IDS de détecter des scans de réseau effectuer avec NMAP qui peuvent souvent découler sur la récolte d’informations telles que les adresses IP des hôtes les systèmes d’exploitation qui y tournent, les services actifs au sein du réseau, les ports ouverts, …ces informations sont souvent très utiles à un hacker pour qu’il puisse lancer son attaque sur une ou plusieurs cibles en particulier.


Puis nous éditons notre fichier avec les règles suivantes (le fichier avec les règles au complet est disponible ici) :


Et comme précédemment pour que Snort prenne en compte nos nouvelles règles, il faut modifier le fichier snort.conf et faire mention de notre fichier dans la zone « include »,


(Ps: il existe déjà certaines règles dans les fichiers scan.rules et snmp.rules présent dans le répertoire /etc/snort/rules qui permettent également de détecter certains scans réseau)

Ainsi, une fois que nous avons modifié et enregistré le fichier snort.conf, toujours depuis la console lorsqu’un Hacker essai par exemple d’obtenir des informations sur notre réseau avec par exemple la commande « nmap adresse_reseau/masque »


Snort nous renvoie des messages d’alertes précisant qu’un scan avec le logiciel NMAP est en train d’être effectué au sein du réseau. De même si le Hacker se contente d’utiliser toujours NMAP, mais cette fois-ci pour scanner un hôte en particulier,


L’IDS nous alerte également en précisant cette fois-ci que le scan NMAP est effectué mais appliqué sur un hôte en particulier, nous obtenons aussi l’adresse IP du Hacker ainsi que l’adresse IP de la machine qui subit l’attaque. Exactement comme nous l’avons définit dans notre fichier mynmap.rules. 

Notre IDS est donc parfaitement fonctionnel, il analyse le trafic et nous alerte lorsque survient des activités jugées dangereuses au sein du réseau. Pour le moment, les alertes envoyées par Snort ne sont consultables par l’administrateur que soit au niveau de la console, soit au niveau des fichiers de journalisation de Snort (les logs) ce qui implique pour l’administrateur d’observer en permanence, soit la console soit les fichiers journaux pour détecter des potentielles intrusions au sein du réseau. Pour permettre une supervision optimale, il est nécessaire de mettre en place un système de notification soit par SMS ou alors dans notre cas ici par email pour notifier l’administrateur à chaque fois qu’une alerte jugée importante (généralement signé par l’option priority :1 dans les règles Snort) survient. Pour ce faire, nous devons coupler notre IDS avec un autre outil en occurrence ici dans notre cas Swatch. Ce que nous allons faire par la suite, mais tout d’abord, 

Qu’est-ce que Swatch ?

Swatch est un parseur de logs, qui va permettre au serveur d’envoyer des mails d’alertes dès qu’une alerte de haute priorité sera détectée dans les fichiers journaux de Snort. 

(Ps: pour le bon fonctionnement de Swatch, il est souvent nécessaire d’installer le paquet Postfix ou dovecot qui sont des serveurs de messagerie électronique, si le serveur ne les possède pas encore nous ajoutons soit l’un ou les deux avec les commandes « apt-get install postfix » ou « apt-get install dovecot-imapd », et « apt-get install dovecot-pop3d ») 

A présent passons à la mise en place de Swatch au sein de notre réseau.

Installation et Configuration de Swatch

Pour débuter notre installation, nous pouvons créer un dossier que l’on nommera swatch,


Puis se rendre à cette adresse, sur le site de sourceforge pour télécharger Swatch.

Une fois le téléchargement terminé, nous copions le nouveau fichier (swatchdog-3.2.4.tar.gz) dans le dossier que nous avons créé précédemment, puis nous décompressons le fichier avec la commande « tar –xzf swatchdog-3.2.4.tar.gz »


Ensuite, nous entrons dans le dossier décompressé et nous exécutons la commande « perl Makefile.PL », à la suite de l’exécution de cette commande, nous obtenons quelques erreurs (précédé du mot « warning »)    


Ceci est dû au fait qu’il manque ces librairies perl sur notre serveur. Pour corriger ces erreurs, il faut se rendre sur le site search.cpan.org


Et rechercher une à une chacune des librairies signalées manquante et les télécharger ; par exemple pour la première Date ::Calc,


Puis on la télécharge.


Une fois la librairie Date::Calc téléchargé, on s’y prend un peu comme précédemment et en essayant d’exécuter la librairie, nous obtenons une fois de plus des erreurs : 


Tout simplement parce que presque chacune des librairies précédemment signalées manquante ont besoin de la présence sur le serveur d’autres librairies également en d’autres termes ces librairies dépendent d’autres librairies pour pouvoir s’installer et Swatch pour pouvoir s’installer à son tour a besoin de toutes ces librairies.

En général « l’architecture » des dépendances peut se traduire ainsi :


(Ps: du moins sur la majorité des systèmes où j’ai eu à installer Swatch ces dépendances apparaissaient le plus fréquemment de cette manière, sur d’autres systèmes, on peut observer une de plus ou moins encore)  

Ainsi, une fois qu’on a téléchargé toutes les librairies perl dont on a besoin et après les avoir décompressé


Il faut les installer dans cet ordre précis :


En exécutant pour chaque librairie, l’ensemble des commandes suivantes :

    (1)  perl Makefile.PL
    (2)  make
    (3)  make test
    (4)  make install
    (5)  make realclean

Et enfin, nous pouvons nous rendre dans Swatch et l’installer sans aucun souci, en commençant tout d’abord avec la commande « perl Makefile.PL » ;


Nous poursuivons avec la commande « make » ;


Puis, avec « make test » ;


Ensuite, avec la commande « make install » ;


Et enfin, avec la commande « make realclean ».


Maintenant que notre outil Swatch est bien installé. Nous allons à présent créer un petit fichier de configuration nommé .swatchrc,


Qui est une sorte de script pour demander un certain nombre d’actions à réaliser à Swatch en occurrence l’envoie automatique par email en cas de détection d’une alerte prioritaire.    


Notre fichier .swatchrc est organisé comme suit :
watchfor /Priority\ : 1/ on demande à Swatch de surveiller les alertes de priorité 1,
mail addresses=admin\@jacquesgoueth.com on indique l’adresse email de l’administrateur qui va recevoir le mail,
exec="echo SNORT ALERTE: PRIORITE 1" ce message sera affiché au niveau de la console à chaque fois que Swatch trouvera dans les logs une alerte prioritaire,
throttle 00:00:10 permet de limiter le nombre de fois où un évènement doit apparaitre dans  les fichiers journaux enfin de déclencher une alerte. 

Ainsi, à chaque fois que Snort va détecter une alerte de priorité 1, Swatch qui scrute les fichiers logs de Snort en temps réel va prendre connaissance de l’alerte et l’envoyer par mail à l’administrateur.

On relance Snort en lui demandant cette fois-ci d’inscrire non plus les alertes directement au niveau de la console, mais plutôt de les inscrire dans un fichier journal (log)


On démarre également Swatch avec la commande « swatchdog –c .swatchrc –t /var/log/snort/alert » 


A présent, notre système est opérationnel : l’IDS Snort va détecter les éventuelles intrusions et Swatch va alerter via email l’administrateur du réseau le cas échéant.

Ainsi lorsqu’un Hacker déclenche un scan sur le réseau,

Swatch détecte dans le fichier log de Snort qu’il y a une intrusion de priorité 1 au sein du réseau,


Et va envoyer tel qu’on la définit dans le fichier de configuration .swatchrc un email à l’administrateur qu’il pourra consulter depuis le navigateur internet de son ordinateur ou depuis son Smartphone



A présent, vous savez comment mettre en place un IDS en occurrence Snort au sein d’un réseau informatique, de même comment le configurer, écrire des règles personnalisées pour répondre à une situation précise  et surtout comment être notifié via email grâce à l’outil Swatch en cas d’intrusion sur le réseau.

Merci d’avoir suivi le tutoriel jusqu’à la fin.

A très bientôt !!!  

49 commentaires :

  1. Très Très beau Tutoriel et très explicite... Merci bcp J.G

    RépondreSupprimer
  2. Réponses
    1. Salut ,
      Mon installation de snort je l'ai fait avec la doc du site elle est pas dutout pareil et j'utilise BASE pour voir les log.
      Du coup ma question est, est ce que je peut utiliser Swatchdog avec ma config actuelle ?

      Supprimer
    2. Bonjour,
      Oui, c'est possible d'utiliser Swatchdog avec cette configuration. BASE interprète les alertes de manière graphique et Swatchdog permet la notification. Ces deux programmes scrutent les logs de Snort qui peuvent se trouver soit dans le fichier /var/log/snort/alert (généralement pour Swatchdog) ou alors dans une base de données (généralement pour BASE), donc je pense qu'il est possible de pouvoir les utiliser conjointement.

      Supprimer
  3. Trrès bon tuto. je voudrais utiliser mon compte gmail coment faire ?

    RépondreSupprimer
    Réponses
    1. Bonjour,
      Pour pouvoir envoyer les notifications en utilisant un service de messagerie "public" (comme Gmail ou Yahoo par exemple) il va falloir tout d’abord installer au minimum le paquet postfix qui est un serveur de messagerie (apt-get install postfix) puis le configurer (dpkg-reconfigure postfix) c’est comme si l’on mettait en place notre propre serveur de messagerie en local, et en fin préciser dans le fichier .swatchrc au niveau de la variable [mail adresses] l’adresse mail souhaité. À présent, le problème qui peut se poser avec les adresses de Gmail est que l’une de leur politique de sécurité (pour éviter les spams et autres) est d’empêcher la transmission des mails lorsque l’adresse IP de l’expéditeur (parce qu'au moment d’envoyer le mail depuis le serveur de Postfix ou du serveur de messagerie que vous aurez installez en local, celui-ci utilise une adresse IP privé, celui de votre réseau local) ne correspond pas au domaine de son FAI (qui lui est visible par les serveurs de Gmail avec son IP publique) donc peut-être une parade consisterait à mettre sur pied un NAT, ça reste à vérifier.

      Supprimer
  4. Une autre solution pour envoyer les notifications dans sa boite Gmail consiste à :
    (1) Installer postfix avec sudo apt-get install postfix, lors de l’installation une fenêtre s’ouvre faut choisir « site internet » puis « ok » ensuite choisir le nom du système mail, entrez le nom que vous voulez « example.com » puis « ok », l’installation de postfix est terminé
    (2) Ouvrir le ficher /etc/postfix/main.cf et le modifier comme suit : ajouter à la variable relayhost = la valeur [smtp.gmail.com] :587, vous aurez donc relayhost = [smtp.gmail.com] :587 et à la fin du fichier /etc/postfix/main.cf ajouter les lignes suivantes :
    smtp_sasl_auth_enable = yes
    smtp_sasl_ security_options = noanonymous
    smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd
    smtp_use_tls = yes
    smtp_tls_CAfile = /etc/ssl/certs/ca-certificates.crt
    (3) Faut créer à present le fichier /etc/postfix/sasl_passwd et y écrire la ligne suivante:
    [smtp.gmail.com] :587 compte@gmail.com:password (faut remplacer compte@gmail.com par le nom d’un vrai compte existant et à la place de password mettre le vrai mot de passe du compte en question)
    (4) Ensuite entrez la commande sudo postmap /etc/postfix/sasl_passwd
    (5) Redémarrez postfix avec la commande sudo postfix reload
    (6) Installer le paquet suivant sudo apt-get install mailutils
    (7) Il ne reste plus qu’a indiquer dans le fichier .swatchrc au niveau de la vaiable [mail addresses] l’adresse mail où l’on souhaite recevoir les notifications.

    RépondreSupprimer
  5. Très bon tuto.J'ai utilisé ton tuto pour mettre un place un ids sur un serveur Ubuntu. Mais au lieu que la notification ne vient par mail, je veux le configurer de telle sorte que ça soit par sms sur un téléphone portable. Merci de me répondre

    RépondreSupprimer
    Réponses
    1. Bonjour Charles,
      Jette un coup d’œil à mon article "Comment mettre en place un IDS avec système de notification via SMS avec Snort et Twilio", je suis sûr que tu vas trouver ta réponse.

      Supprimer
  6. bonjour Monsieur jacques et merci pour le tuto
    apres avoir respecter vos instructions, snort detecte bien les scan mais seuls ceux qui sont destinés a l'hote sur lequel il est installé. SVP comment faire en sorte qu'il écoute les scan nmap destinés aux autres hotes du reseau?
    Merci

    RépondreSupprimer
    Réponses
    1. Bonjour Francky,
      En principe Snort, détecte toutes les activités des hôtes au sein d'un réseau, donc je pense qu'il doit avoir un défaut de configuration soit au niveau de l'adressage IP des machines (il faut se rassurer que toutes les machines réussissent à communiquer via des Ping par exemple) ou alors du paramétrage de Snort (l'interface d'écoute, la plage d'adresse, ... etc) et comme dernière supposition au cas où les deux points précédents sont bien réalisés, il faudra veuillez a désactiver le pare-feu par exemple et ça devrait fonctionner.

      Supprimer
  7. Bonjour Mr Jacques merci pour ce tuto, stp je voudrais de l'aide pour exécuter le script d'envoie de mails chaque minute.

    RépondreSupprimer
  8. Bonsoir ! Après avoir installé snort qui donne bien jusqu'au scan, je passe directement à swatch en respectant la configuration telle que que vous l'avez dit. J'ai une erreur au niveau de la commande:swatchdog –c .swatchrc –t /var/log/snort/alert où l'on me donne une erreur.
    En fait, je voudrais le configuré à mon adresse mail Yahoo.
    Est-ce que vous pouvez m'aider à ce niveaux ? Merci !

    RépondreSupprimer
    Réponses
    1. Bonjour Theophile,
      pourrais tu STP m'envoyer par mail une capture d'écran de l'erreur que tu obtiens quand tu lance la commande swatchdog –c .swatchrc –t /var/log/snort/alert

      Supprimer
    2. swatch: cannot find /root/.swatchrc. Please create it or specify an alternate configuration file. Exiting.

      VOILA DONC L'ERREUR QU'ON M'ENVOIES...

      Supprimer
    3. Est-ce que cette réponse d'erreur est dû au fait que j'ai pas encore de serveur mail ?

      Supprimer
    4. Bonjour Theophile,
      l'erreur que tu obtiens n'est pas dû au fait que tu n'as pas encore configuré de serveur mail, en fait j'ai plutôt l'impression que le système ne retrouve pas ton fichier .swatchrc comme si il n'existait pas. De plus dans la capture d’écran que tu m'as envoyé j'ai aussi constaté des erreurs dans l'exécution de ta commande gedit lorsque tu essais de créer le fichier .swatchrc, faudra vérifier que tes paquets sont à jour ou tu peux aussi utiliser la commande nano à la place, et si toutefois l'erreur persiste, change les droits du fichier .swatchrc avec la commande chmod puis tu réessayes à nouveau.

      Supprimer
  9. bonjour M. jacques svp pourriez-vous m'aider sur la configuration de l'interface graphique de base sur ubuntu 16.04
    en principe base est déjà installer mais ne montre pas les alertes dans son interface

    RépondreSupprimer
  10. Excellent tutoriel et c'est mon thème de stage de trois mois pour préparer mon mémoire dépuis le début de ce mois de novembre 2018, merci bcp Mr Jacques Goueth, j'espère que ça va m'aider bcp au début et jusqu'à la fin de mon projet!

    RépondreSupprimer
  11. Merci bcp Mr Jacques Goueth pour cette bon tutoriel çà va m aider bcp!!!

    RépondreSupprimer
  12. merci bcp c'est un excellent tuto svp j'ai besoin de votre aide comment un snort communique avec un autre snort (envoit des msg d'alerte) je vous attendre votre réponse merci cordialement

    RépondreSupprimer
  13. bonjour M. jacques svp pourriez-vous m'aider sur la configuration de l'interface graphique de base sur ubuntu 16.04
    en principe base est déjà installer mais ne montre pas les alertes dans son interface

    RépondreSupprimer
    Réponses
    1. Bonjour Michel,
      peux-tu STP m'envoyer par mail les captures d'écran de l'interface graphique de base sur laquelle tu travailles actuellement.

      Supprimer
  14. Bonsoir Mr Jacques est ce que je peut appliquer cette configuration sur mon serveur la où j'ai hébergé mon site

    RépondreSupprimer
  15. Merci beaucoup monsieur Jacques, mais qu'est ce qu'il faut réellement pour que la commande "service snort restart s'exécute ?

    RépondreSupprimer
  16. bonjour Mr Jacques, je suis entrain de d'installer snort et swatch sous ubuntu server mais je rencontre un problème lors du téléchargement de Date:Calc et autre. svp comment je pourais le faire sous ubuntu server ?

    RépondreSupprimer
  17. bonjour Mr JACQUES et merci pour le TUTO

    j'ai un probleme lors de l'installation de la librairie
    Bit-Vector-7.4 lorsque je tape la commande perl Makefile.PL tout fonctionne mais apres lorsque je tape la commande make sa me retourne une erreur

    /bin/sh: 1: x86_64-linux-gnu-gcc: not found
    Makefile:340: recipe for target 'BitVector.o' failed
    make: *** [BitVector.o] Error 127

    svp merci de me repondre

    RépondreSupprimer
    Réponses
    1. Bonjour Osseng,
      faudra essayer de télécharger à nouveau ou alors de télécharger une autre version de Bit-Vector, tu utilises quel O.S? Si ça persiste néanmoins faudra essayer d'installer certains paquets avec les commandes : "sudo apt-get install python-dev" et "apt-get install build-essential"

      Supprimer
  18. Bonjour Mr jacque merci tout d'abord pour le tuto,je soutient ma mémoire de fin d’étude et mon et<<ETUDE ET MISE EN PLACE D'UN SYSTÈME DE DÉTECTION ET PRÉVENTION D'INTRUSION(IDS ET IPS) DANS UN RÉSEAU IP.mon probleme ici comment proceder a sa realisation;merci de me repondre svp.

    RépondreSupprimer
    Réponses
    1. Bonjour Hawa,
      Je pense que tu pourras trouver dans ce tuto quelques éléments qui pourront te faire avoir une idée sur comment procéder pour la réalisation de ton projet en plus tu as aussi l'aide des intervenants sur ce blog et la mienne si besoin, déjà, faudra clairement définir dans quel type d'architecture tu comptes déployer le système de détection d'intrusion en question et lequel choisir (SNORT, Nagios, ...) connaître le nombre d'utilisateurs (machines) a superviser ou a surveiller, ... Je reste toujours dispo par mail aussi.

      Supprimer
  19. Bonjour Mr,comment utiliser les librairies perl après avoir installé swatch.vous avez fait une architecture et vous avez demandéà ce qu'il soit en ordre.
    je bloqué à cette partie .
    besoin d'aide

    RépondreSupprimer
  20. Svp si vous pouvez m'envoyer le lien regroupé de tous les dependances de librairies perl en ordreCalc comme la manière que vous avez mis le lien de Date::Calc.
    Merci beaucoup pour votre compréhension.

    RépondreSupprimer
  21. Bonjour Ramde,
    en premier on doit télécharger toutes les librairies (Sub-Uplevel, Test-Exception,...,Swatchdog)sur le site indiqué dans l'article puis il faut installer chacune des librairies dans un ordre bien précis; il faut tout d'abord installer Sub-Uplevel ensuite Test-Exception puis Carp-Clan, ... (confère schéma dans l'article)
    et enfin, Swatch est la dernière librairie qu'il faut installer car chacune des librairies a besoin de la précédente pour pouvoir être installer sans message d'erreur; et pour installer chacune des librairies, il faut exécuter les commandes(toujours dans l'ordre)(1)perl Makefile.PL (2)make (3)make test (4)make install et enfin(5)make realclean.

    RépondreSupprimer
  22. Salut jacque..jai pas de serveur physique a ma disposition...je sais pas si je peux faire la simulation de l'installation de snort sur un serveur virtuel dans ub reseau avec GNS3?...

    RépondreSupprimer
  23. je ne sais quoi vous dire si non merci même si je n'ai pas encore pratiqué merci pour le tito vous pouvez me faire votre mail?

    RépondreSupprimer
  24. bonjour monsieur jaques et merci pour ce tuto , oft j'ai un probleme en executant cette commande root@ubuntu:/home/etienne/swatchdog# swatchdog –c .swatchrc –t /var/log/snort/alert j'ai une erreur. SVP aider moi

    RépondreSupprimer
    Réponses
    1. Bonjour,
      quel message d'erreur est affiché exactement lorsque la commande root@ubuntu:/home/etienne/swatchdog# swatchdog –c .swatchrc –t /var/log/snort/alert est éxécuté ? si possible pourrais tu également m'envoyer une capture d'écran de l'erreur par mail pour plus de détail.

      Supprimer
  25. Bonjour à tous,
    voici la nouvelle procédure (comprenant les bibliothèques complémentaires à ajouter aux précédentes versions)à suivre pour l'installation et le bon fonctionnement de Swatch :
    1.Sub::Uplevel->
    2.Test::Exception->
    3.Carp::Clan->
    4.Bit::Vector->
    5.Date::Calc->
    6.ExtUtils::MakeMaker->
    7.Devel::Symdump->
    8.Pod::Coverage->
    9.Test::Pod-Coverage->
    10.Test::Pod->
    11.Text::Glob->
    12.Number::Compare->
    13.File-Find-rule->
    14.Test::Inter->
    15.Date::Manip->
    16.File::Tail->
    17.Swatch.

    RépondreSupprimer
  26. Bonjour monsieur, oft je mis en place snort et Swatch mais le problème ce que Swatch n'arrive pas a récupérer les évènements de priorité 1 pour m'informer par mail et par la console.

    aussi j'aimerais savoir pour installer le serveur mail il faudrait d'abord installer DNS??? ou il y a d'autres prerequis???
    svp aider moi.

    RépondreSupprimer
  27. Bonjour, pourrais-tu m'envoyer par mail (ou via Whatsapp) le contenu de ton fichier .swatchrc ? Pour la réception des mails, on peut le faire via Gmail, Yahoo, ou tout autre client de messagerie; ou alors tu peux également configurer ton propre serveur de messagerie en local et par conséquent de configurer le DNS au préalable.

    RépondreSupprimer
    Réponses
    1. C'est possible de configurer votre propre serveur de messagerie en utilisant Debian11 ou centos7 et 8. Il faudra configurer le DNS, POSTFIX DOVECOT, et ensuite créé des clients pour l'envoi des messages

      Supprimer
  28. Bonjour jacques,pouvez-vous nous aider svp,nous sommes entrain d'installer Swatch,lorsqu'on tape la commande ci-dessous(swatchdog -c .swatchrc -t /var/log/snort/alert),elle nous renvoie ce message. Nous ne comprenons pas vraiment de quoi il s'agit étant donné qu'on a suivi pas à pas ton tutoriel

    (swatchdog -c .swatchrc -t /var/log/snort/alert)

    Global symbol "@gmail" requires explicit package name (did you forget to declare "my @gmail"?) at /root/.swatchdog_script.2591 line 98.
    Execution of /root/.swatchdog_script.2591 aborted due to compilation errors

    RépondreSupprimer
  29. Bonjour,
    Pouvez-vous m'envoyer par mail le contenu de votre fichier .swatchrc.

    RépondreSupprimer
  30. bonsoir jac esk je peux avoir ton mail je doit soutenir mon memoire et jai des problèmes
    avec snort

    RépondreSupprimer
  31. Bonjour a tous!!merci infinenement pour le tuto!!!!SVP Mr,j'aimerais enregistrer les alertes dans la base de donnée mysql et envoyé un email à l'administrateur,vous pouvez m'aider????MERCI!!!!

    RépondreSupprimer
  32. Bonjour à tous!!!!merci infinement,tres bon tutoriel!!!!!!

    RépondreSupprimer