Contribuez à SecuObs en envoyant des bitcoins ou des dogecoins.
Nouveaux articles (fr): 1pwnthhW21zdnQ5WucjmnF3pk9puT5fDF
Amélioration du site: 1hckU85orcGCm8A9hk67391LCy4ECGJca
Tips: DLovLUzkYsFNbAT5xwewQ6BAWztH4MtDgn

Contribute to SecuObs by sending bitcoins or dogecoins.
New content (en): 1pwnwwLjiu8U6jgqEchPXibM2dJA2CqQq
New website: 1hckU85orcGCm8A9hk67391LCy4ECGJca

44i3VeDHHoL5U6cULcgP6gPWw4p2oCoSGZXepBSDV42mGuLpuSbn5Kh3uGJ8Z9YqkaRwbQqq8op4nShvptRMByNxQFfBvVd


[IDS Snort Windows – Partie 3] Exemple de fichier de configuration

Par Rédaction, secuobs.com
Le 11/05/2008

Résumé : L’intégralité du fichier utilisé dans ce dossier pour la configuration du système de détection d'intrusions Open-Source SNORT.


NDLR : ce document a été rédigé en 2006, certaines versions ainsi que certaines configurations des logiciels utilisés selon ces versions peuvent être différentes de celles qui sont mentionnées ; merci de vous reporter vers les sites officiels des projets en question en cas de problème.


#--------------------------------------------------
# etc/snort.conf
#--------------------------------------------------

# Réseaux C 192.168.0.0 et 192.168.1.0

var HOME_NET [192.168.0.0/24,192.168.1.0/24]

# Tout le trafic sauf les réseaux considérés comme "sûrs"

var EXTERNAL_NET !$HOME_NET

# Serveurs DNS

var DNS_SERVERS $HOME_NET

# Serveurs SMTP

var SMTP_SERVERS $HOME_NET

# Serveurs HTTP

var HTTP_SERVERS $HOME_NET

# Serveurs SQL

var SQL_SERVERS $HOME_NET

# Serveurs Telnet

var TELNET_SERVERS $HOME_NET

# Serveurs SNMP

var SNMP_SERVERS $HOME_NET

# Ports en écoute sur les serveurs HTTP

var HTTP_PORTS 80

# Ports sur lesquels les shellcodes seront surveillés
# Le port 80 (HTTP) entraîne trop souvent de faux-positifs

var SHELLCODE_PORTS !80

# Port Oracle

var ORACLE_PORTS 1521

# Serveurs AIM (IM)

var AIM_SERVERS [64.12.24.0/23,64.12.28.0/23,64.12.161.0/24]

# Chemin contenant les règles de pattern matching

var RULE_PATH ../rules

# Préprocesseurs

preprocessor flow: stats_interval 0 hash 2
preprocessor frag2
preprocessor stream4: disable_evasion_alerts
preprocessor stream4_reassemble
preprocessor http_inspect: global iis_unicode_map unicode.map 1252
preprocessor http_inspect_server: server default profile apache ports { 80 }
preprocessor rpc_decode: 111 32771
preprocessor bo
preprocessor telnet_decode
preprocessor sfportscan: proto { all } memcap { 10000000 }
sense_level { low } \
ignore_scanners { 192.168.1.1 192.168.1.10 }

# Sorties / outputs

output log_tcpdump: tcpdump.log
output database: log, mysql, user=utilisateur password=mdp dbname=snort host=localhost
output alert_unified: filename snort.alert, limit 128
output log_unified: filename snort.log, limit 128

# Règles activées

include $RULE_PATH/local.rules
include $RULE_PATH/bad-traffic.rules
include $RULE_PATH/exploit.rules
include $RULE_PATH/scan.rules
include $RULE_PATH/ftp.rules
include $RULE_PATH/telnet.rules
include $RULE_PATH/dos.rules
include $RULE_PATH/ddos.rules
include $RULE_PATH/web-cgi.rules
include $RULE_PATH/web-misc.rules
include $RULE_PATH/web-client.rules
include $RULE_PATH/web-php.rules
include $RULE_PATH/sql.rules
include $RULE_PATH/smtp.rules
include $RULE_PATH/imap.rules
include $RULE_PATH/other-ids.rules
include $RULE_PATH/web-attacks.rules
include $RULE_PATH/backdoor.rules
include $RULE_PATH/shellcode.rules
include $RULE_PATH/policy.rules
include $RULE_PATH/virus.rules


Autres ressources dans ce dossier :

[IDS Snort Windows – Partie 1] Introduction aux IDS et à SNORT – lien

[IDS Snort Windows – Partie 2] Installation et configuration – lien

[IDS Snort Windows – Partie 4] Conclusion et webographie – lien