SamplePage

Au lancement de SnortInter, l’utilisateur rencontre la fenêtre montrée dans la figure I.1. L’utilisateur se doit de confirmer ses droits d’accès.
! [] (https://sourceforge.net/projects/slamia/files/Log_snort.jpg)

Figure I.1 : Authentification de l’utilisateur.

Grâce au bouton " Changer mot de passe", accède à la fenêtre I.2.

Figure I.2 : SnortInter,"Saisie d’un nouveau mot de passe".

Dans ce qui suit, nous vous présenterons la fenêtre principale de SnortInter. (Figure I.3)
1 : Cette partie détaille la barre de menue.
Les parties 2, 3, 4, représentent les trois modes de fonctionnement de Snort : Le mode NIDS, mode Logger et le mode Sniffer respectivement.
2 : Dans ce mode, SNORT analyse le trafic du réseau, compare ce trafic à des règles déjà définies par l’utilisateur et établi des actions à exécuter.
3 : Dans ce mode SNORT journalise le trafic réseau dans des répertoires de journalisation sur le disque.
4 : C’est le mode basic, il permet de lire et afficher à l’écran les paquets TCP/IP circulant sur le réseau.

Figure I.3 : SnortInter, la fenêtre principale.

Ci-dessous, nous vous détaillerons un des modes de snort, le MODE SNIFFER (Figure I.4)
5 : verbose affiche les en-têtes TCP/IP
6 : verbose dump second layer info, affiche les IP et les en-têtes TCP/UDP/ICMP.
7 : Définit la classe d’adresses.
8 : Spécifie l’interface réseau à écouter.
9 : Lancement de Snort en mode daemon.
10 : Commande Snort. Signification : Scan de l’interface réseau eth0, des paquets TCP/IP correspondant à la plage d’adresses spécifiée (i.e. :292.168.1.1/24)

Figure I.4 : SnortInter en mode « Sniffer ».

Ce qui suivra, n’est que les deux autres modes restants.

Figure I.5 : SnortInter en mode « Nids ».

11 : En sélectionnant "Interface (-i)", l’écoute se fera sur l’interface sélectionnée, ici eth0 ; Par défaut, l’écoute se fait sur le réseau.
12 : cette option permet aux alertes d’être enregistrées directement dans le syslog et être rajoutées aux messages système.
13 : Mode d’alertes par défaut, utilisé automatiquement si ce n’est pas spécifié.
14 : Mode d’alertes rapide, permet le format d’affichage suivant : horaire, message d’alerte, adresse IP, port source et destination.
15 : Module de sortie.
16 : cmg est un mode permettant d’écrire les paquets dans un mode FULL, ainsi que d’afficher le contenu des paquets à l’écran.
17 : afficher le contenu des paquetssur la console.

Figure I.6 : SnortInter en mode Logger.

18 : Journalisation dans un seul repertoir.
19 : Journalisation des paquets en format bin.

Ne possédant pas d’interface grafique, l’implémentation de SnortInter s’avère une solution pratique qui facilite sa configuration. Nous présenterons plus bas, les différentes accecibilités permettant de procéder à la configuration. Dans notre implémentation, nous avons diviser les options de configurations en trois classes, en consacrant une fenêtre à chacune d’elles : Général, Alertes, Log et enfin Règles. Suivant les figures I.7, I.8, I.9, et I.10, réspectivement.

Figure I.7 : SnortInter, configuration, « Général ».

20 : Forcer Snort à "écouter" sur les cartes réseaux.
21 : Classification.config: définit des URLs pour les références trouvées dans les règles.
22 : "reference.config": inclus de l'information pour la prioritisation des règles.
23 : Indiquation du serveur DNS .

Figure I.8 : SnortInter, configuration, « Alertes ».

24 : Configuration de la base de données, et spécification du chemin. Cette option permet de logger les alertes dans la base de données spécifiée.
25 : Configuration du login et du mot de passe pour accéder à la base de données snort.
26 : En cochant cette option, nous avons le choix entre deux formats d’alertes :
▪ TcpDump : Journalise les paquets dans un fichier au format tcpdump (i.e. dans leur format natif), Cette option résulte dans un fonctionnement bien plus rapide du programme puisqu'il n'a plus à dépenser du temps dans la con¬version binaire->texte du paquet.
▪ Syslog : Permet d’enregistrer les alertes directement dans le syslog (log système) et être rajoutées aux messages système.

Figure I.9 : SnortInter, configuration, « Log ».

27 : Spécification du répertoire des journaux Snort.
28 : Journalisation des alertes vers une base de données Mysql, que l’utilisateur doit spécifier dans le champ 29.
30 : Gestion des droits d’utilisateurs.
31 : Dans cette configuration, les alertes seront enregistrées dans répertoire de journalisation par défaut, fixé à var/log/snort.

Figure I.10 : SnortInter, configuration, « Règles ».