Contenu
- Pourquoi configurer un système de détection d'intrusion?
- Installation du package Snort
- Obtention d'un code Oinkmaster
- Suivez les étapes ci-dessous pour obtenir votre code Oinkmaster:
- Saisie du code Oinkmaster dans Snort
- Mise à jour manuelle des règles
- Ajout d'interfaces
- Configurer l'interface
- Sélection des catégories de règles
- À quoi servent les catégories de règles?
- Comment puis-je obtenir plus d'informations sur les catégories de règles?
- Catégories populaires à Snort Rule
- Paramètres du préprocesseur et du flux
- Démarrage des interfaces
- Si Snort ne démarre pas
- Vérification des alertes
Sam travaille comme analyste de réseau pour une société de trading algorithmique. Il a obtenu son baccalauréat en technologies de l'information de l'UMKC.
Pourquoi configurer un système de détection d'intrusion?
Les pirates informatiques, les virus et autres menaces sondent constamment votre réseau, à la recherche d'un moyen d'entrer. Il suffit d'une seule machine piratée pour qu'un réseau entier soit compromis. Pour ces raisons, je recommande de mettre en place un système de détection d'intrusion afin que vous puissiez sécuriser vos systèmes et surveiller les différentes menaces sur Internet.
Snort est un IDS open source qui peut facilement être installé sur un pare-feu pfSense pour protéger un réseau domestique ou d'entreprise contre les intrus. Snort peut également être configuré pour fonctionner comme un système de prévention des intrusions (IPS), ce qui le rend très flexible.
Dans cet article, je vais vous guider tout au long du processus d'installation et de configuration de Snort sur pfSense 2.0 afin que vous puissiez commencer à analyser le trafic en temps réel.
Installation du package Snort
Pour démarrer avec Snort, vous devrez installer le package à l'aide du gestionnaire de packages pfSense. Le gestionnaire de packages se trouve dans le menu système de l'interface graphique Web de pfSense.
Recherchez Snort dans la liste des packages, puis cliquez sur le symbole plus sur le côté droit pour commencer l'installation.
Il est normal que snort prenne quelques minutes à installer, il a plusieurs dépendances que pfSense doit d'abord télécharger et installer.
Une fois l'installation terminée, Snort apparaîtra dans le menu des services.
Snort peut être installé à l'aide du gestionnaire de paquets pfSense.
Obtention d'un code Oinkmaster
Pour que Snort soit utile, il doit être mis à jour avec le dernier ensemble de règles. Le package Snort peut automatiquement mettre à jour ces règles pour vous, mais vous devez d'abord obtenir un code Oinkmaster.
Il existe deux ensembles différents de règles Snort disponibles:
- L'ensemble de versions d'abonné est l'ensemble de règles le plus à jour disponible. L'accès en temps réel à ces règles nécessite un abonnement annuel payant.
- L'autre version des règles est la version utilisateur enregistrée qui est entièrement gratuite pour toute personne qui s'inscrit sur le site Snort.org.
La principale différence entre les deux ensembles de règles réside dans le fait que les règles de la version de l'utilisateur enregistré ont 30 jours de retard sur les règles d'abonnement. Si vous souhaitez bénéficier de la protection la plus récente, vous devez souscrire un abonnement.
Suivez les étapes ci-dessous pour obtenir votre code Oinkmaster:
- Visitez la page Web des règles de Snort pour télécharger la version dont vous avez besoin.
- Cliquez sur «Créer un compte» et créez un compte Snort.
- Après avoir confirmé votre compte, connectez-vous à Snort.org.
- Cliquez sur «Mon compte» dans la barre de liens supérieure.
- Cliquez sur l'onglet 'Abonnements et Oinkcode'.
- Cliquez sur le lien Oinkcodes puis sur «Générer du code».
Le code restera stocké dans votre compte afin que vous puissiez l'obtenir plus tard si nécessaire. Ce code devra être entré dans les paramètres Snort dans pfSense.
Un code Oinkmaster est requis pour télécharger les règles depuis Snort.org.
Saisie du code Oinkmaster dans Snort
Après avoir obtenu le Oinkcode, il doit être entré dans les paramètres du package Snort. La page des paramètres de Snort apparaîtra dans le menu des services de l'interface Web. S'il n'est pas visible, assurez-vous que le package est installé et réinstallez-le si nécessaire.
Le Oinkcode doit être entré sur la page des paramètres globaux des paramètres Snort. J'aime également cocher la case pour activer les règles sur les menaces émergentes. Les règles ET sont gérées par une communauté open source et peuvent fournir des règles supplémentaires qui peuvent ne pas être trouvées dans l'ensemble Snort.
Mises à jour automatiques
Par défaut, le package Snort ne mettra pas à jour les règles automatiquement. L'intervalle de mise à jour recommandé est une fois toutes les 12 heures, mais vous pouvez le modifier en fonction de votre environnement.
N'oubliez pas de cliquer sur le bouton «Enregistrer» une fois que vous avez terminé les modifications.
Mise à jour manuelle des règles
Snort n'est livré avec aucune règle, vous devrez donc les mettre à jour manuellement la première fois. Pour exécuter la mise à jour manuelle, cliquez sur l'onglet Mises à jour, puis sur le bouton Règles de mise à jour.
Le package téléchargera les derniers ensembles de règles à partir de Snort.org ainsi que les menaces émergentes si vous avez sélectionné cette option.
Une fois les mises à jour terminées, les règles seront extraites et prêtes à être utilisées.
Les règles doivent être téléchargées manuellement la première fois que Snort est configuré.
Ajout d'interfaces
Avant que Snort puisse commencer à fonctionner en tant que système de détection d'intrusion, vous devez lui attribuer des interfaces à surveiller. La configuration typique est que Snort surveille toutes les interfaces WAN. L'autre configuration la plus courante est que Snort surveille l'interface WAN et LAN.
La surveillance de l'interface LAN peut fournir une certaine visibilité sur les attaques en cours depuis votre réseau. Il n'est pas rare qu'un PC sur le réseau LAN soit infecté par des logiciels malveillants et commence à lancer des attaques sur des systèmes à l'intérieur et à l'extérieur du réseau.
Pour ajouter une interface, cliquez sur le symbole plus situé dans l'onglet de l'interface Snort.
Configurer l'interface
Après avoir cliqué sur le bouton Ajouter une interface, vous verrez la page des paramètres de l'interface.La page des paramètres contient de nombreuses options, mais il n'y en a que quelques-unes dont vous devez vraiment vous soucier pour que les choses soient opérationnelles.
- Tout d'abord, cochez la case d'activation en haut de la page.
- Ensuite, sélectionnez l'interface que vous souhaitez configurer (dans cet exemple, je configure d'abord le WAN).
- Réglez les performances de la mémoire sur AC-BNFA.
- Cochez la case "Log Alerts to snort unified2 file" pour que barnyard2 fonctionne.
- Cliquez sur Enregistrer.
Si vous exécutez un routeur multi-wan, vous pouvez continuer et configurer les autres interfaces WAN sur votre système. Je recommande également d'ajouter l'interface LAN.
Avant de démarrer les interfaces, quelques paramètres supplémentaires doivent être configurés pour chaque interface. Pour configurer les paramètres supplémentaires, revenez à l'onglet Interfaces Snort et cliquez sur le symbole «E» sur le côté droit de la page à côté de l'interface. Cela vous ramènera à la page de configuration de cette interface particulière. Pour sélectionner les catégories de règles à activer pour l'interface, cliquez sur l'onglet catégories. Toutes les règles de détection sont divisées en catégories. Les catégories contenant les règles des menaces émergentes commenceront par «émergentes» et les règles de Snort.org commenceront par «renifler». Après avoir sélectionné les catégories, cliquez sur le bouton Enregistrer en bas de la page. En divisant les règles en catégories, vous ne pouvez activer que les catégories particulières qui vous intéressent. Je recommande d'activer certaines des catégories plus générales. Si vous exécutez des services spécifiques sur votre réseau, tels qu'un serveur Web ou de base de données, vous devez également activer les catégories qui leur sont associées. Il est important de se rappeler que Snort nécessitera plus de ressources système chaque fois qu'une catégorie supplémentaire est activée. Cela peut également augmenter le nombre de faux positifs. En général, il est préférable d'activer uniquement les groupes dont vous avez besoin, mais n'hésitez pas à expérimenter les catégories et à voir ce qui fonctionne le mieux.Sélection des catégories de règles
À quoi servent les catégories de règles?
Comment puis-je obtenir plus d'informations sur les catégories de règles?
Si vous souhaitez connaître les règles d'une catégorie et en savoir plus sur ce qu'elles font, vous pouvez cliquer sur la catégorie. Cela vous reliera directement à la liste de toutes les règles de la catégorie.
Catégories populaires à Snort Rule
| Nom de catégorie | La description |
|---|---|
snort_botnet-cnc.rules | Cible les hôtes connus de commande et de contrôle de botnet. |
snort_ddos.rules | Détecte les attaques par déni de service. |
snort_scan.rules | Ces règles détectent les scans de port, les sondes Nessus et d'autres attaques de collecte d'informations. |
snort_virus.rules | Détecte les signatures de chevaux de Troie, de virus et de vers connus. Il est fortement recommandé d'utiliser cette catégorie. |
Paramètres du préprocesseur et du flux
Il y a quelques paramètres sur la page des paramètres des préprocesseurs qui doivent être activés. De nombreuses règles de détection nécessitent l'activation de l'inspection HTTP pour qu'elles fonctionnent.
- Sous les paramètres d'inspection HTTP, activez `` Utiliser l'inspection HTTP pour normaliser / décoder ''
- Dans la section des paramètres généraux du préprocesseur, activez 'Détection de portscan'
- Enregistrez les paramètres.
Démarrage des interfaces
Lorsqu'une nouvelle interface est ajoutée à Snort, elle ne démarre pas automatiquement. Pour démarrer manuellement les interfaces, cliquez sur le bouton de lecture vert sur le côté gauche de chaque interface configurée.
Lorsque Snort est en cours d'exécution, le texte derrière le nom de l'interface apparaît en vert. Pour arrêter Snort, cliquez sur le bouton d'arrêt rouge situé sur le côté gauche de l'interface.
Il existe quelques problèmes courants qui peuvent empêcher Snort de démarrer.
Si Snort ne démarre pas
Vérification des alertes
Une fois que Snort a été configuré et démarré avec succès, vous devriez commencer à voir des alertes une fois que le trafic correspondant aux règles est détecté.
Si vous ne voyez aucune alerte, donnez-lui un peu de temps, puis vérifiez à nouveau. Cela peut prendre un certain temps avant de voir les alertes, en fonction de la quantité de trafic et des règles activées.
Si vous souhaitez afficher les alertes à distance, vous pouvez activer le paramètre d'interface «Envoyer des alertes aux principaux journaux système». Les alertes qui apparaissent dans les journaux système peuvent être visualisé à distance à l'aide de Syslog.
Cet article est exact et fidèle au meilleur de la connaissance de l’auteur. Le contenu est uniquement à des fins d'information ou de divertissement et ne se substitue pas à un conseil personnel ou à des conseils professionnels sur des questions commerciales, financières, juridiques ou techniques.
