fév 20

Installer SNORT (partie 2)

Suite de l’installation du NIDS SNORT.

Prérequis :

Vous devez disposer de Tcpdump et de Libpcap sur votre machine.

Un coup d’apt-get , Swup, Yum ou compilation a la mimine vous mettra aux normes.

La compil’ de Snort ne devrait pas vous poser de soucis.

Comme nous allons l’utiliser avec Prelude, n’oubliez pas de le passer en argument :

$ ./configure –enable-prelude –with-mysql

(bien sur, je vous passe la création de la base MySQL…)

Créer le répertoire /etc/snort/rules (s’il n’existe pas) et télécharger les règles sur le site de SNORT.

Pour info, il existe plusieur sortes de fichiers de règles pour SNORT (entendre par règle, les filtres d’analyse):

Communautaire, Certifié par SNORT, avec ou sans enregistrement, payant ou non.

Je ne peux que vous conseiller de prendre au moins les règles communautaire et celles ne nécessitant qu’un enregistrement sur le site de Snort.

Une fois récupérées, décompressez les dans /etc/snort/rules.

Pour vous aider, je vous joint mon propre fichier snort.conf.

Bien sur, modifier le à votre convenance…

snort

Il ne vous reste plus qu’à tester :

/sbin/ifconfig eth4 up
/sbin/ifconfig eth4 -arp
/usr/local/bin/snort -c /etc/snort/snort.conf -i eth4 &

Si vous décidez d’utiliser Barnyard (qui fait office de tampon entre Snort et MySQL afin de soulager votre NIDS), il vous faut créer un fichier /etc/snort/barnyard.conf (après avoir compilerBarnyard forcément :-) )

Voici mon fichier barnyard.conf :

barnyard.conf

Et un exemple de lancement de l’ensemble :

#!/bin/bash
/sbin/ifconfig eth4 up
/sbin/ifconfig eth4 -arp
/usr/bin/snort -Dq -u snort -g snort -c /etc/snort/snort.conf -i eth4
/usr/local/bin/barnyard -c /etc/snort/barnyard.conf -g /etc/snort/gen-msg.map -s /etc/snort/sid-msg.map -d /var/log/snort -f snort.log -w /etc/snort/bylog.waldo &

Pour vous aider dans l’installation et le paramétrage, quelques sites :

http://www.trustonme.net/didactels/187.html

http://www.howtoforge.com/intrusion_detection_base_snort

Bon courage :-)

Classé dans réseau, sécurité | Taggé , , | 3 Commentaires
fév 19

Le RAID simplifié

Décidément, c’est la semaine humour…

Ils nous arrivent fréquemment de devoir expliquer à des non-initiés, ce qu’est le RAID et les exemples sont peu nombreux.

Heureusement, mon ami « Poupinade » a trouvé une explication limpide (qui coule de source ?… (ok je sors ->[] )

raid

Classé dans geekerie | 4 Commentaires
fév 06

Installer SNORT (partie 1)

Principalement, nous distinguons deux catégories de systèmes de détection
d’intrusion :
Le premier type est formé par les détecteurs d’intrusion basés sur l’hôte (HIDS), ceux-ci analysent et contrôlent uniquement l’activité et les informations de l’hôte sur lequel est nstallé le HIDS et assurent ainsi seulement la sécurité de l’hôte en question.

La deuxième catégorie est formée par les détecteurs d’intrusion réseau (NIDS), ceux-ci observent et analysent le trafic réseau, cherchent des indicateurs d’attaques et envoient des alertes.
SNORT, logiciel open source se situe dans la deuxième catégorie des IDS.

La première question qui se pose lorsqu’on décide de déployer une sonde sur son réseau est son emplacement.

« Où je la mets ma sonde ??? » Et la je vous répond dans ton cul ça dépend.

En général, 3 endroits sont désignés pour cela :

  • Avant le Firewall

dans cette position, la sonde occupe une place de premier choix dans la détection des attaques de sources extérieures visant votre réseau.

SNORT pourra alors analyser le trafic qui sera éventuellement bloqué par le Firewall.

Les deux inconvénients de cette position du NIDS sont:

primo, le risque engendré par un trafic très important qui pourrait entraîner une perte de fiabilité et secondo, étant situé hors du domaine de protection du firewall, le NIDS est alors exposé à d’éventuelles attaques pouvant le rendre inefficace.

  • Dans la DMZ (après le firewall)

dans cette position, la sonde peut détecter tout le trafic filtré par le Firewall et qui a atteint la zone DMZ. Cette position de la sonde permet de surveiller les attaques dirigées vers les différents serveurs de votre réseau accessibles de l’extérieur.

  • Dans le LAN

Là, vous détecter le trafic qui a été validé par le Firewall mais également les attaques internes (je sais, chez vous, à moins d’être schyzo, peu de chances de vous auto-attaquer.)

Personnellement, j’opte pour la première solution et je vous expliquerais comment optimiser les écritures MySQL avec un module supplémentaire.

Sur le serveur hébergeant SNORT, je dédie une carte réseau à la sonde.

Pour renifler le trafic, vous avec le choix :

  • Votre réseau est relié à un HUB (erf, il y en a encore…)

Dans ce cas, pas de soucis, tout le trafic est dupliquer sur tout les ports du HUB, il suffit de brancher la sonde dessus.

  • Votre réseau est relié à un SWITCH (c’est mieux)

Dans ce cas, ou vous placer un hub entre votre modem/routeur exterieur et votre Switch et sur lequel vous brancherez la sonde, ou vous utilisez un boitier TAP (voir ici) .

Entre nous, le hub vous coutera moins cher ;-)

  • Votre réseau est relié a un Switch CISCO (ahhh, c’est très bien :-) )

Sur les Catalyst (gamme de switch Cisco), vous pouvez définir un des ports en mode mirroir et lui dire quels autre ports il doit dupliquer le trafic.

Le terme CISCO est SPAN pour Switched Port Analyser.

Exemple pour passer l’interface 1 d’un switch type 2900 en mode SPAN :

Switch(config)#interface fastethernet 0/1
Switch(config-if)#port monitor fastethernet 0/2
Switch(config-if)#port monitor fastethernet 0/5

Voila, l’interface 1 écoute tout le trafic cicurlant sur les interfaces 2 et 5.

Si vous voulez écouter un VLAN entier :

Switch(config-if)#port monitor vlan 1

Magique non ?…

Pour vérifier vos configs :

Switch#show port monitor

Monitor Port Port Being Monitored

--------------------- ---------------------

FastEthernet0/1 VLAN1

FastEthernet0/1 FastEthernet0/2

FastEthernet0/1 FastEthernet0/5

FastEthernet0/4 FastEthernet0/3

FastEthernet0/4 FastEthernet0/6

Bien, maintenant que vous savons où positionner notre sonde, préparons la carte réseau (remplacer eth4 par la votre) :

/sbin/ifconfig eth4 up

/sbin/ifconfig eth4 -arp


L’option -arp demande à la carte de ne pas répondre aux requêtes ARP (j’aime assez la discrétion :-) )

Eviter également d’affecter une adresse IP à la carte, cela ne sert à rien.

Un petit tour chez SNORT pour télécharger la dernière version :

http://www.snort.org/dl/

Récuperer également la dernière release de Barnyard , nous nous en servirons plus tard.

A suivre…

Classé dans linux, réseau, sécurité | Commentaires fermés