Présentation

Dans ce TP, vous aurez à mettre en oeuvre un IDS, en occurrence snort pour détecter des intrusions dans un réseau. L'environnement de TP est composé des éléments suivants : Un serveur vulnérable (Windows/Ubuntu), une vm Security Onion, et une machine Kali utilisée par l'attaquant. Le TP sera entièrement réalisé sur virtualbox.

Les logs snort sont au format binaire. Il est possible de les lires en utilisant l'outil u2spewfoo. Exemple : u2spewfoo /var/log/snort/snort.log

Preréquis

Avant de commencer ce TP, vous devez lire ceci.

Simple détection d'une attaque réseau

Réaliser une attaque de type ARP Spoofing/Poisoning avec Ettercap. Snort détecte-t-il l'attaque ? Si non, configurez le préprocesseur arpspoof pour qu'il détecte ce type de message. Balayez le réseau avec un scan standard nmap. Une aide est disponible à cette adresse. Qu'est ce que vous remarquez ? A présent réalisez un scan nmap par fragmentation. snort a-t-il généré une alerte ? Comment peut-on y remedier ?

Mise en œuvre : attaque

Dans cette partie, vous devez réaliser deux attaques distinctes sur deux machines cibles distinctes (Windows/Ubuntu). Pour accélerer les attaques, vous pouvez utiliser armitage. Un petit tuto sur comment utiliser armitage est disponible à cette adresse A chaque fois, vous devrez prendre le contrôle du compte administrateur de la dite machine. Vous documenterez chacune des attaques. Il vous faudra également mettre en oeuvre des moyens pour effacer vos traces tout au long des attaques.

Detection de l'attaque :

Tout en menant les attaques, vous devriez analyser les alertes envoyées par la console View de snort dans pfSense, et vous menez des investigations pour comprendre ce qui se passe. Et s'il n'y a pas d'alerte sur une action d'une attaque, écrivez la règle, et reéssayez l'attaque. Si nécessaire, écrivez la règle de préprocesseur. Documentez. Est ce que snort peut détecter une attaque zero-jour ? Si non, pourquoi ? Si oui, comment ?