Bonjour,
Aujourd’hui, je vais
vous montrer comment installer et configurer un système de détection
d’intrusion au sein d’un réseau informatique avec le logiciel Snort et comment
grâce au logiciel Swatch mettre en place un système de notification par email
pour informer une personne donnée en occurrence un administrateur lorsqu’une
potentielle attaque surviendrait sur le réseau. Mais tout d’abord,
Qu’est-ce qu’un Système de Détection d’Intrusion ?
Un Système de Détection
d’Intrusion ou IDS (Intrusion Detection System) est un mécanisme destiné à
repérer des activités supposées anormales ou suspectes sur un ensemble
d’équipements (un réseau) ou en particulier sur un équipement analysé bien
précis (un hôte). Un IDS permet ainsi de prendre connaissance sur les
tentatives réussies, tout comme échouées des éventuelles attaques ou intrusions
qui surviennent au sein d’un réseau ou sur une machine donnée.
Les IDS sont d’une
grande importance dans la nécessité de la sécurisation optimisée d’une
entreprise par exemple ou dans la mise en place d’une politique de sécurité.
On peut classer les IDS
en trois grandes familles distinctes :
- Les NIDS (Network Intrusion Detection System), dont le but est de surveiller l’état de la sécurité au niveau d’un réseau. C’est le cas de Snort ou encore de Suricata;
- Les HIDS (Host Intrusion Detection System), qui surveillent l’état de la sécurité au niveau des hôtes. C’est le cas de DarkSpy et Tripwire par exemple ; et enfin,
- Les IDS hybrides, qui utilisent les NIDS et HIDS pour avoir des alertes plus pertinentes. Prelude en est un exemple.
A présent intéressons
nous à l’IDS Snort :
Qu’est-ce que Snort ?
Snort est un sytème de
détection d’intrusion open source de type NIDS, qui est capable d’effectuer en
temps réel des analyses de trafic et peut également être utilisé pour détecter
une grande variété d’attaques au sein d’un réseau informatique donné. Il est
aussi important de savoir que Snort avec la collaboration d’autres outils donne
la possibilité via des emails ou SMS par exemple de pouvoir notifier un individu
sur l’état du réseau en cas de tentative d’intrusion, ou encore avec un outil
comme BASE, de pouvoir obtenir une représentation graphique des
données concernant des éventuelles intrusions.
Snort est l’un des plus
actifs NIDS open source et possède une communauté importante contribuant à son
succès.
(Ps: il faut
également savoir qu’il existe une version améliorée de Snort, il s’agit de
Snort Inline qui quant à lui joue également le rôle de système de prévention
d’Intrusion ou IPS c’est-à-dire en plus de détecter les intrusions éventuelles
met en place un mécanisme de défense qui consiste à effectuer certaines actions
lorsqu’une intrusion est détectée, comme par exemple bloquer automatiquement
les ports pour mettre fin à une attaque)
Maintenant que vous en
savez un peu plus sur les IDS et en particulier Snort, nous allons entrer dans
le vif du sujet et passer à la mise en place d’un système de détection
d’intrusion au sein d’un réseau avec le logiciel Snort et par la suite mettre
en place un système de notifications via
emails.
Intéressons-nous par
exemple au cas de figure suivant :
L’objectif recherché
ici est de mettre en place un IDS qui aura pour fonction en cas de tentative
d’intrusion ou d’éventuelle attaque du réseau par un Hacker, d’alerter l’administrateur
du système en lui envoyant un email qu’il pourra recevoir depuis son Smartphone
ou son ordinateur enfin que ce dernier puisse mettre en œuvre les mesures
adéquates dans le but de répondre convenablement à l’attaque.
Installation et Configuration de l’IDS Snort
(Ps: nous
allons installer et configurer Snort sur un serveur GNU/Linux en occurrence ici
Ubuntu)
Pour ce faire, nous
devons tout d’abord installer le paquet Snort avec la commande « apt-get install snort »,
Une fois l’installation
de Snort terminé, nous entrons la commande « dpkg-reconfigure
snort » pour pouvoir
procéder à la configuration de Snort
Après avoir validé la
commande précédente, la première fenêtre de configuration de Snort apparait.
Celle-ci nous invite à choisir le mode de lancement de Snort, nous choisissons l’option
« Au démarrage » puis nous
cliquons sur « OK »
Ensuite, nous devons
indiquer l’interface « d’écoute » que Snort va utiliser pour analyser
le trafic de notre réseau ;
Dans notre cas, nous
allons entrer « eth0 »
Puis, nous devons
indiquer la plage d’adresse du réseau qui sera pris en compte par Snort. Dans
notre cas, notre réseau est 192.168.43.0/24
Après, nous sommes
invités à activer ou pas le mode promiscuité. L’activation ou non du mode
promiscuité a pour conséquence respectivement de permettre à notre serveur
Snort de pouvoir vérifier tous les paquets transitant au sein du réseau même
ceux qui ne lui sont pas directement adressés ou alors dans l’autre cas, de ne
permettre que le serveur Snort n’ait la possibilité que d’analyser les paquets
qui lui sont directement adressés. Pour que nous soyons informés en cas
d’attaque sur l’une des machines qui constitue notre réseau, il est primordial
de laisser activer le mode promiscuité
Par la suite, nous ai
présenté une fenêtre qui nous donne la possibilité d’entrer des configurations personnelles
supplémentaires ; nous pouvons laisser ce champ vide et cliquer
directement sur « OK »
Ensuite, nous activons
la fonctionnalité permettant à Snort de nous envoyer de manière quotidienne
(tous les jours et à une heure fixe) des rapports de journaux d’évènements survenus
sur le réseau à une adresse mail précise
Puis, nous entrons
l’adresse mail où sera envoyer les rapports quotidiens en question
Enfin, nous devons
indiquer à Snort le nombre d’occurrences minimal d’un évènement donné (une
alerte) pour que ce dernier soit comptabilisé dans les statistiques du rapport
quotidien
Nous venons ainsi
d’achever la configuration de notre serveur Snort, il ne nous reste plus qu’à
rendre cette configuration effective en entrant la commande « service snort restart » pour
redémarrer le service Snort et lui permettre de mettre à jour les nouveaux
paramètres qui lui ont été indiqués.
A présent, notre IDS
est en place et prêt à analyser le trafic au sein de notre réseau. Snort à
recours a un ensemble de « règles » pour pouvoir effectuer les
analyses sur le réseau informatique. Snort est fourni avec un certain nombre de
règles de base situées par défaut dans le répertoire « /etc/snort/rules ».
Ces règles sont écrites par Sourcefire et la large communauté autour
de Snort.
Par exemple si nous
souhaitons que l’administrateur soit averti lorsqu’un hôte sur le réseau se
rend sur des réseaux sociaux, si par exemple, la politique en place dans
l’entreprise serait de limiter l’accès aux réseaux sociaux peut-être dans le
but d’améliorer les performances du personnel 😁, pour répondre
à ce besoin, nous devons créer un fichier de règles personnalisées propre à
cette situation. Conventionnellement, les fichiers de règles Snort ont une
extension « .rules », ainsi, nous
créons un fichier que nous appelons restriction_sites.rules par exemple
Puis nous l’éditons
comme suit :
Comme vous pouvez le
constater un fichier de règles contient un ensemble de lignes dont la structure
est généralement la suivante :
« #1[alert
| log | pass | activate | dynamic | drop | reject | sdrop ] #2[protocole{IP | TCP | UDP | ICMP}] #3[Adresse_Reseau_Source]
#4[Port_Source] #5[Direction{à|<>}
#6[Adresse_Reseau_Destination] #7[Port_Destination]
(#8[Options {flags ; msg ; content ; sid ; rev ; depth ;
… ; priority}] )»
En général, nous avons
en #1 l’action a effectuer si la règle
correspond à un évènement donné, puis en #2 est indiqué le protocole, en #3 l’adresse
IP d’un hôte ou l’adresse du réseau de
la source, ensuite en #4 le port de communication de la source ; après
vient en #5 la direction indiqué par une flèche : généralement, il
s’agit de la flèche droite (à) cela signifie que la source du trafic
est à gauche et que la destination est à droite, mais il existe également une
flèche bidirectionnelle (<>) permettant d’écrire deux règles à la fois dans lesquelles la source et la
destination sont interverties. Puis en #6 et #7 sont indiqués respectivement
l’adresse IP d’un hôte ou l’adresse réseau et le port de la destination et
enfin en #8 sont indiqués les options. Comme différentes options que nous
pouvons indiquer, nous avons :
- msg : pour afficher un message d’alerte ;
- logto : pour enregistrer le paquet dans un fichier spécifique ;
- content : pour chercher un mot spécifique ou mot clé ;
- sid : pour identifier une règle en particulier ; …
Une fois notre fichier
édité, nous le sauvegardons et le copions vers le dossier par défaut qui
contient les règles de base utile à Snort pour analyser le trafic au sein du
réseau
Pour que les règles de
notre fichier nouvellement créé soit prise en compte par Snort, il est
primordial de modifier le fichier snort.conf qui contient en plus de la
configuration intégrale de notre serveur, toutes les destinations des fichiers
de règles dont Snort à besoin pour mener à bien sa tâche
Ainsi, nous devons
ajouter au niveau de la section « include »
du fichier snort.conf la ligne suivante pour indiquer à Snort de prendre en
considération nos nouvelles règles
Il ne nous reste plus
qu’a lancer la commande d’analyse de Snort en temps réel des différents paquets
transitant dans le réseau et de spécifier le mode de sortie d’affichage des
messages d’alertes, par exemple avec la commande suivante, on indique que les
messages soient directement affichés sur le terminal :
Après avoir validé la
commande précédente, Snort démarre et est prêt à analyser les échanges au sein
du réseau et en plus, il affichera les différents rapports des échanges
survenus directement sur le terminal (console)
Pour rappel, notre
fichier restrition_sites.rules créé précédemment ne prend en considération que certains
réseaux sociaux en occurrence dans notre cas ici, Facebook et Twitter, et
avertira via une alerte affichée sur la console l’administrateur si l’un des
hôtes du réseau s’y rend.
Maintenant testons que
notre IDS analyse bel et bien le trafic
et nous envoie via la console des alertes au cas où un utilisateur au sein du
réseau se rend sur les réseaux sociaux concernés. Ainsi lorsqu’un utilisateur
se rend sur Facebook par exemple,
Nous obtiendrons au
niveau de la console les messages suivant :
Indiquant le type
d’alerte, le message de l’évènement survenu, l’adresse IP, et même le port de
l’hôte qui a ouvert la page. De même lorsqu’un utilisateur se rend sur Twitter,
Nous obtenons également
des messages d’alertes nous avertissant de cela.
Notre IDS analyse bien
le trafic et nous informe lorsqu’un évènement enregistré dans ses divers
fichiers de règles survient.
A présent, nous allons
créer un nouveau fichier de règles appelé mynmap.rules qui cette fois-ci va
permettre à notre IDS de détecter des scans de réseau effectuer avec NMAP qui
peuvent souvent découler sur la récolte d’informations telles que les adresses
IP des hôtes les systèmes d’exploitation qui y tournent, les services actifs au
sein du réseau, les ports ouverts, …ces informations sont souvent très utiles à
un hacker pour qu’il puisse lancer son attaque sur une ou plusieurs cibles en
particulier.
Puis nous éditons notre
fichier avec les règles suivantes (le fichier avec les règles au complet
est disponible ici) :
Et comme précédemment
pour que Snort prenne en compte nos nouvelles règles, il faut modifier le
fichier snort.conf et faire mention de notre fichier dans la zone « include »,
(Ps: il existe
déjà certaines règles dans les fichiers scan.rules et snmp.rules présent dans
le répertoire /etc/snort/rules qui permettent également de détecter certains
scans réseau)
Ainsi, une fois que
nous avons modifié et enregistré le fichier snort.conf, toujours depuis la
console lorsqu’un Hacker essai par exemple d’obtenir des informations sur notre
réseau avec par exemple la commande « nmap
adresse_reseau/masque »,
Snort nous renvoie des
messages d’alertes précisant qu’un scan avec le logiciel NMAP est en train
d’être effectué au sein du réseau. De même si le Hacker se contente d’utiliser
toujours NMAP, mais cette fois-ci pour scanner un hôte en particulier,
L’IDS nous alerte
également en précisant cette fois-ci que le scan NMAP est effectué mais
appliqué sur un hôte en particulier, nous obtenons aussi l’adresse IP du Hacker
ainsi que l’adresse IP de la machine qui subit l’attaque. Exactement comme nous
l’avons définit dans notre fichier mynmap.rules.
Notre IDS est donc
parfaitement fonctionnel, il analyse le trafic et nous alerte lorsque survient
des activités jugées dangereuses au sein du réseau. Pour le moment, les alertes
envoyées par Snort ne sont consultables par l’administrateur que soit au niveau
de la console, soit au niveau des fichiers de journalisation de Snort (les
logs) ce qui implique pour l’administrateur d’observer en permanence, soit la
console soit les fichiers journaux pour détecter des potentielles intrusions au
sein du réseau. Pour permettre une supervision optimale, il est nécessaire de
mettre en place un système de notification soit par SMS ou alors dans notre cas
ici par email pour notifier l’administrateur à chaque fois qu’une alerte jugée
importante (généralement signé par l’option priority :1 dans les règles
Snort) survient. Pour ce faire, nous devons coupler notre IDS avec un autre
outil en occurrence ici dans notre cas Swatch. Ce que nous allons faire par la
suite, mais tout d’abord,
Qu’est-ce que Swatch ?
Swatch est un parseur
de logs, qui va permettre au serveur d’envoyer des mails d’alertes dès qu’une
alerte de haute priorité sera détectée dans les fichiers journaux de Snort.
(Ps: pour le
bon fonctionnement de Swatch, il est souvent nécessaire d’installer le paquet
Postfix ou dovecot qui sont des serveurs de messagerie électronique, si le
serveur ne les possède pas encore nous ajoutons soit l’un ou les deux avec les
commandes « apt-get install postfix » ou « apt-get install dovecot-imapd »,
et « apt-get install dovecot-pop3d »)
A présent passons à la
mise en place de Swatch au sein de notre réseau.
Installation et Configuration de Swatch
Pour débuter notre
installation, nous pouvons créer un dossier que l’on nommera swatch,
Puis se rendre à cette adresse, sur le site de sourceforge pour télécharger Swatch.
Une fois le
téléchargement terminé, nous copions le nouveau fichier
(swatchdog-3.2.4.tar.gz) dans le dossier que nous avons créé précédemment, puis
nous décompressons le fichier avec la commande « tar
–xzf swatchdog-3.2.4.tar.gz »
Ensuite, nous entrons
dans le dossier décompressé et nous exécutons la commande « perl Makefile.PL », à la suite de l’exécution
de cette commande, nous obtenons quelques erreurs (précédé du mot « warning »)
Ceci est dû au fait
qu’il manque ces librairies perl sur notre serveur. Pour corriger ces erreurs,
il faut se rendre sur le site search.cpan.org
Et rechercher une à une
chacune des librairies signalées manquante et les télécharger ; par
exemple pour la première Date ::Calc,
Puis on la télécharge.
Une fois la librairie
Date::Calc téléchargé, on s’y prend un peu comme précédemment et en essayant
d’exécuter la librairie, nous obtenons une fois de plus des erreurs :
Tout simplement parce
que presque chacune des librairies précédemment signalées manquante ont besoin
de la présence sur le serveur d’autres librairies également en d’autres termes
ces librairies dépendent d’autres librairies pour pouvoir s’installer et Swatch
pour pouvoir s’installer à son tour a besoin de toutes ces librairies.
En général
« l’architecture » des dépendances peut se traduire ainsi :
(Ps: du moins
sur la majorité des systèmes où j’ai eu à installer Swatch ces dépendances
apparaissaient le plus fréquemment de cette manière, sur d’autres systèmes, on
peut observer une de plus ou moins encore)
Ainsi, une fois qu’on a
téléchargé toutes les librairies perl dont on a besoin et après les avoir
décompressé
Il faut les installer
dans cet ordre précis :
En exécutant pour
chaque librairie, l’ensemble des commandes suivantes :
(1)
perl Makefile.PL
(2)
make
(3)
make test
(4)
make install
(5)
make realclean
Et enfin, nous pouvons
nous rendre dans Swatch et l’installer sans aucun souci, en commençant tout
d’abord avec la commande « perl
Makefile.PL » ;
Nous poursuivons avec
la commande « make » ;
Puis, avec « make test » ;
Ensuite, avec la
commande « make install » ;
Et enfin, avec la
commande « make realclean ».
Maintenant que notre
outil Swatch est bien installé. Nous allons à présent créer un petit fichier de
configuration nommé .swatchrc,
Qui est une sorte de script
pour demander un certain nombre d’actions à réaliser à Swatch en occurrence l’envoie
automatique par email en cas de détection d’une alerte prioritaire.
Notre fichier .swatchrc
est organisé comme suit :
watchfor
/Priority\ : 1/ on demande à Swatch de surveiller les
alertes de priorité 1,
mail
addresses=admin\@jacquesgoueth.com on indique l’adresse
email de l’administrateur qui va recevoir le mail,
exec="echo
SNORT ALERTE: PRIORITE 1" ce message sera affiché au niveau
de la console à chaque fois que Swatch trouvera dans les logs une alerte
prioritaire,
throttle
00:00:10
permet de limiter le nombre de fois où un évènement doit apparaitre dans les fichiers journaux enfin de déclencher une
alerte.
Ainsi, à chaque fois
que Snort va détecter une alerte de priorité 1, Swatch qui scrute les fichiers
logs de Snort en temps réel va prendre connaissance de l’alerte et l’envoyer
par mail à l’administrateur.
On relance Snort en lui
demandant cette fois-ci d’inscrire non plus les alertes directement au niveau
de la console, mais plutôt de les inscrire dans un fichier journal (log)
On démarre également
Swatch avec la commande « swatchdog –c
.swatchrc –t /var/log/snort/alert »
A présent, notre
système est opérationnel : l’IDS Snort va détecter les éventuelles
intrusions et Swatch va alerter via email l’administrateur du réseau le cas
échéant.
Ainsi lorsqu’un Hacker
déclenche un scan sur le réseau,
Swatch détecte dans le
fichier log de Snort qu’il y a une intrusion de priorité 1 au sein du réseau,
Et va envoyer tel qu’on
la définit dans le fichier de configuration .swatchrc un email à
l’administrateur qu’il pourra consulter depuis le navigateur internet de son ordinateur
ou depuis son Smartphone
A présent, vous savez
comment mettre en place un IDS en occurrence Snort au sein d’un réseau
informatique, de même comment le configurer, écrire des règles personnalisées
pour répondre à une situation précise et
surtout comment être notifié via email grâce à l’outil Swatch en cas
d’intrusion sur le réseau.
Merci d’avoir suivi le tutoriel jusqu’à la fin.
A très bientôt !!!
Très Très beau Tutoriel et très explicite... Merci bcp J.G
RépondreSupprimerTrès beau tutoriel.
RépondreSupprimerExcellent !!
RépondreSupprimerSalut ,
SupprimerMon installation de snort je l'ai fait avec la doc du site elle est pas dutout pareil et j'utilise BASE pour voir les log.
Du coup ma question est, est ce que je peut utiliser Swatchdog avec ma config actuelle ?
Bonjour,
SupprimerOui, c'est possible d'utiliser Swatchdog avec cette configuration. BASE interprète les alertes de manière graphique et Swatchdog permet la notification. Ces deux programmes scrutent les logs de Snort qui peuvent se trouver soit dans le fichier /var/log/snort/alert (généralement pour Swatchdog) ou alors dans une base de données (généralement pour BASE), donc je pense qu'il est possible de pouvoir les utiliser conjointement.
Trrès bon tuto. je voudrais utiliser mon compte gmail coment faire ?
RépondreSupprimerBonjour,
SupprimerPour pouvoir envoyer les notifications en utilisant un service de messagerie "public" (comme Gmail ou Yahoo par exemple) il va falloir tout d’abord installer au minimum le paquet postfix qui est un serveur de messagerie (apt-get install postfix) puis le configurer (dpkg-reconfigure postfix) c’est comme si l’on mettait en place notre propre serveur de messagerie en local, et en fin préciser dans le fichier .swatchrc au niveau de la variable [mail adresses] l’adresse mail souhaité. À présent, le problème qui peut se poser avec les adresses de Gmail est que l’une de leur politique de sécurité (pour éviter les spams et autres) est d’empêcher la transmission des mails lorsque l’adresse IP de l’expéditeur (parce qu'au moment d’envoyer le mail depuis le serveur de Postfix ou du serveur de messagerie que vous aurez installez en local, celui-ci utilise une adresse IP privé, celui de votre réseau local) ne correspond pas au domaine de son FAI (qui lui est visible par les serveurs de Gmail avec son IP publique) donc peut-être une parade consisterait à mettre sur pied un NAT, ça reste à vérifier.
Une autre solution pour envoyer les notifications dans sa boite Gmail consiste à :
RépondreSupprimer(1) Installer postfix avec sudo apt-get install postfix, lors de l’installation une fenêtre s’ouvre faut choisir « site internet » puis « ok » ensuite choisir le nom du système mail, entrez le nom que vous voulez « example.com » puis « ok », l’installation de postfix est terminé
(2) Ouvrir le ficher /etc/postfix/main.cf et le modifier comme suit : ajouter à la variable relayhost = la valeur [smtp.gmail.com] :587, vous aurez donc relayhost = [smtp.gmail.com] :587 et à la fin du fichier /etc/postfix/main.cf ajouter les lignes suivantes :
smtp_sasl_auth_enable = yes
smtp_sasl_ security_options = noanonymous
smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd
smtp_use_tls = yes
smtp_tls_CAfile = /etc/ssl/certs/ca-certificates.crt
(3) Faut créer à present le fichier /etc/postfix/sasl_passwd et y écrire la ligne suivante:
[smtp.gmail.com] :587 compte@gmail.com:password (faut remplacer compte@gmail.com par le nom d’un vrai compte existant et à la place de password mettre le vrai mot de passe du compte en question)
(4) Ensuite entrez la commande sudo postmap /etc/postfix/sasl_passwd
(5) Redémarrez postfix avec la commande sudo postfix reload
(6) Installer le paquet suivant sudo apt-get install mailutils
(7) Il ne reste plus qu’a indiquer dans le fichier .swatchrc au niveau de la vaiable [mail addresses] l’adresse mail où l’on souhaite recevoir les notifications.
Très bon tuto.J'ai utilisé ton tuto pour mettre un place un ids sur un serveur Ubuntu. Mais au lieu que la notification ne vient par mail, je veux le configurer de telle sorte que ça soit par sms sur un téléphone portable. Merci de me répondre
RépondreSupprimerBonjour Charles,
SupprimerJette un coup d’œil à mon article "Comment mettre en place un IDS avec système de notification via SMS avec Snort et Twilio", je suis sûr que tu vas trouver ta réponse.
bonjour Monsieur jacques et merci pour le tuto
RépondreSupprimerapres avoir respecter vos instructions, snort detecte bien les scan mais seuls ceux qui sont destinés a l'hote sur lequel il est installé. SVP comment faire en sorte qu'il écoute les scan nmap destinés aux autres hotes du reseau?
Merci
Bonjour Francky,
SupprimerEn principe Snort, détecte toutes les activités des hôtes au sein d'un réseau, donc je pense qu'il doit avoir un défaut de configuration soit au niveau de l'adressage IP des machines (il faut se rassurer que toutes les machines réussissent à communiquer via des Ping par exemple) ou alors du paramétrage de Snort (l'interface d'écoute, la plage d'adresse, ... etc) et comme dernière supposition au cas où les deux points précédents sont bien réalisés, il faudra veuillez a désactiver le pare-feu par exemple et ça devrait fonctionner.
Bonjour Mr Jacques merci pour ce tuto, stp je voudrais de l'aide pour exécuter le script d'envoie de mails chaque minute.
RépondreSupprimerBonsoir ! Après avoir installé snort qui donne bien jusqu'au scan, je passe directement à swatch en respectant la configuration telle que que vous l'avez dit. J'ai une erreur au niveau de la commande:swatchdog –c .swatchrc –t /var/log/snort/alert où l'on me donne une erreur.
RépondreSupprimerEn fait, je voudrais le configuré à mon adresse mail Yahoo.
Est-ce que vous pouvez m'aider à ce niveaux ? Merci !
Bonjour Theophile,
Supprimerpourrais tu STP m'envoyer par mail une capture d'écran de l'erreur que tu obtiens quand tu lance la commande swatchdog –c .swatchrc –t /var/log/snort/alert
swatch: cannot find /root/.swatchrc. Please create it or specify an alternate configuration file. Exiting.
SupprimerVOILA DONC L'ERREUR QU'ON M'ENVOIES...
Est-ce que cette réponse d'erreur est dû au fait que j'ai pas encore de serveur mail ?
SupprimerBonjour Theophile,
Supprimerl'erreur que tu obtiens n'est pas dû au fait que tu n'as pas encore configuré de serveur mail, en fait j'ai plutôt l'impression que le système ne retrouve pas ton fichier .swatchrc comme si il n'existait pas. De plus dans la capture d’écran que tu m'as envoyé j'ai aussi constaté des erreurs dans l'exécution de ta commande gedit lorsque tu essais de créer le fichier .swatchrc, faudra vérifier que tes paquets sont à jour ou tu peux aussi utiliser la commande nano à la place, et si toutefois l'erreur persiste, change les droits du fichier .swatchrc avec la commande chmod puis tu réessayes à nouveau.
bonjour M. jacques svp pourriez-vous m'aider sur la configuration de l'interface graphique de base sur ubuntu 16.04
RépondreSupprimeren principe base est déjà installer mais ne montre pas les alertes dans son interface
Excellent tutoriel et c'est mon thème de stage de trois mois pour préparer mon mémoire dépuis le début de ce mois de novembre 2018, merci bcp Mr Jacques Goueth, j'espère que ça va m'aider bcp au début et jusqu'à la fin de mon projet!
RépondreSupprimerMerci bcp Mr Jacques Goueth pour cette bon tutoriel çà va m aider bcp!!!
RépondreSupprimermerci bcp c'est un excellent tuto svp j'ai besoin de votre aide comment un snort communique avec un autre snort (envoit des msg d'alerte) je vous attendre votre réponse merci cordialement
RépondreSupprimerbonjour M. jacques svp pourriez-vous m'aider sur la configuration de l'interface graphique de base sur ubuntu 16.04
RépondreSupprimeren principe base est déjà installer mais ne montre pas les alertes dans son interface
Bonjour Michel,
Supprimerpeux-tu STP m'envoyer par mail les captures d'écran de l'interface graphique de base sur laquelle tu travailles actuellement.
Bonsoir Mr Jacques est ce que je peut appliquer cette configuration sur mon serveur la où j'ai hébergé mon site
RépondreSupprimerMerci beaucoup monsieur Jacques, mais qu'est ce qu'il faut réellement pour que la commande "service snort restart s'exécute ?
RépondreSupprimerbonjour Mr Jacques, je suis entrain de d'installer snort et swatch sous ubuntu server mais je rencontre un problème lors du téléchargement de Date:Calc et autre. svp comment je pourais le faire sous ubuntu server ?
RépondreSupprimerbonjour Mr JACQUES et merci pour le TUTO
RépondreSupprimerj'ai un probleme lors de l'installation de la librairie
Bit-Vector-7.4 lorsque je tape la commande perl Makefile.PL tout fonctionne mais apres lorsque je tape la commande make sa me retourne une erreur
/bin/sh: 1: x86_64-linux-gnu-gcc: not found
Makefile:340: recipe for target 'BitVector.o' failed
make: *** [BitVector.o] Error 127
svp merci de me repondre
Bonjour Osseng,
Supprimerfaudra essayer de télécharger à nouveau ou alors de télécharger une autre version de Bit-Vector, tu utilises quel O.S? Si ça persiste néanmoins faudra essayer d'installer certains paquets avec les commandes : "sudo apt-get install python-dev" et "apt-get install build-essential"
Bonjour Mr jacque merci tout d'abord pour le tuto,je soutient ma mémoire de fin d’étude et mon et<<ETUDE ET MISE EN PLACE D'UN SYSTÈME DE DÉTECTION ET PRÉVENTION D'INTRUSION(IDS ET IPS) DANS UN RÉSEAU IP.mon probleme ici comment proceder a sa realisation;merci de me repondre svp.
RépondreSupprimerBonjour Hawa,
SupprimerJe pense que tu pourras trouver dans ce tuto quelques éléments qui pourront te faire avoir une idée sur comment procéder pour la réalisation de ton projet en plus tu as aussi l'aide des intervenants sur ce blog et la mienne si besoin, déjà, faudra clairement définir dans quel type d'architecture tu comptes déployer le système de détection d'intrusion en question et lequel choisir (SNORT, Nagios, ...) connaître le nombre d'utilisateurs (machines) a superviser ou a surveiller, ... Je reste toujours dispo par mail aussi.
Besoin Mr
SupprimerBonjour Mr,comment utiliser les librairies perl après avoir installé swatch.vous avez fait une architecture et vous avez demandéà ce qu'il soit en ordre.
RépondreSupprimerje bloqué à cette partie .
besoin d'aide
Svp si vous pouvez m'envoyer le lien regroupé de tous les dependances de librairies perl en ordreCalc comme la manière que vous avez mis le lien de Date::Calc.
RépondreSupprimerMerci beaucoup pour votre compréhension.
Bonjour Ramde,
RépondreSupprimeren premier on doit télécharger toutes les librairies (Sub-Uplevel, Test-Exception,...,Swatchdog)sur le site indiqué dans l'article puis il faut installer chacune des librairies dans un ordre bien précis; il faut tout d'abord installer Sub-Uplevel ensuite Test-Exception puis Carp-Clan, ... (confère schéma dans l'article)
et enfin, Swatch est la dernière librairie qu'il faut installer car chacune des librairies a besoin de la précédente pour pouvoir être installer sans message d'erreur; et pour installer chacune des librairies, il faut exécuter les commandes(toujours dans l'ordre)(1)perl Makefile.PL (2)make (3)make test (4)make install et enfin(5)make realclean.
OK Bien reçu Mr!
SupprimerMerci Beaucoup
Salut jacque..jai pas de serveur physique a ma disposition...je sais pas si je peux faire la simulation de l'installation de snort sur un serveur virtuel dans ub reseau avec GNS3?...
RépondreSupprimerje ne sais quoi vous dire si non merci même si je n'ai pas encore pratiqué merci pour le tito vous pouvez me faire votre mail?
RépondreSupprimerbonjour monsieur jaques et merci pour ce tuto , oft j'ai un probleme en executant cette commande root@ubuntu:/home/etienne/swatchdog# swatchdog –c .swatchrc –t /var/log/snort/alert j'ai une erreur. SVP aider moi
RépondreSupprimerBonjour,
Supprimerquel message d'erreur est affiché exactement lorsque la commande root@ubuntu:/home/etienne/swatchdog# swatchdog –c .swatchrc –t /var/log/snort/alert est éxécuté ? si possible pourrais tu également m'envoyer une capture d'écran de l'erreur par mail pour plus de détail.
Bonjour à tous,
RépondreSupprimervoici la nouvelle procédure (comprenant les bibliothèques complémentaires à ajouter aux précédentes versions)à suivre pour l'installation et le bon fonctionnement de Swatch :
1.Sub::Uplevel->
2.Test::Exception->
3.Carp::Clan->
4.Bit::Vector->
5.Date::Calc->
6.ExtUtils::MakeMaker->
7.Devel::Symdump->
8.Pod::Coverage->
9.Test::Pod-Coverage->
10.Test::Pod->
11.Text::Glob->
12.Number::Compare->
13.File-Find-rule->
14.Test::Inter->
15.Date::Manip->
16.File::Tail->
17.Swatch.
Bonjour monsieur, oft je mis en place snort et Swatch mais le problème ce que Swatch n'arrive pas a récupérer les évènements de priorité 1 pour m'informer par mail et par la console.
RépondreSupprimeraussi j'aimerais savoir pour installer le serveur mail il faudrait d'abord installer DNS??? ou il y a d'autres prerequis???
svp aider moi.
Bonjour, pourrais-tu m'envoyer par mail (ou via Whatsapp) le contenu de ton fichier .swatchrc ? Pour la réception des mails, on peut le faire via Gmail, Yahoo, ou tout autre client de messagerie; ou alors tu peux également configurer ton propre serveur de messagerie en local et par conséquent de configurer le DNS au préalable.
RépondreSupprimerC'est possible de configurer votre propre serveur de messagerie en utilisant Debian11 ou centos7 et 8. Il faudra configurer le DNS, POSTFIX DOVECOT, et ensuite créé des clients pour l'envoi des messages
SupprimerBonjour jacques,pouvez-vous nous aider svp,nous sommes entrain d'installer Swatch,lorsqu'on tape la commande ci-dessous(swatchdog -c .swatchrc -t /var/log/snort/alert),elle nous renvoie ce message. Nous ne comprenons pas vraiment de quoi il s'agit étant donné qu'on a suivi pas à pas ton tutoriel
RépondreSupprimer(swatchdog -c .swatchrc -t /var/log/snort/alert)
Global symbol "@gmail" requires explicit package name (did you forget to declare "my @gmail"?) at /root/.swatchdog_script.2591 line 98.
Execution of /root/.swatchdog_script.2591 aborted due to compilation errors
Bonjour,
RépondreSupprimerPouvez-vous m'envoyer par mail le contenu de votre fichier .swatchrc.
bonsoir jac esk je peux avoir ton mail je doit soutenir mon memoire et jai des problèmes
RépondreSupprimeravec snort
Bonjour a tous!!merci infinenement pour le tuto!!!!SVP Mr,j'aimerais enregistrer les alertes dans la base de donnée mysql et envoyé un email à l'administrateur,vous pouvez m'aider????MERCI!!!!
RépondreSupprimerBonjour à tous!!!!merci infinement,tres bon tutoriel!!!!!!
RépondreSupprimer