Phenquestions
Après avoir configuré n'importe quel serveur parmi les premières étapes habituelles liées à la sécurité sont le pare-feu, les mises à jour et les mises à niveau, les clés ssh, les périphériques matériels. Mais la plupart des administrateurs système ne scannent pas leurs propres serveurs pour découvrir les points faibles comme expliqué avec OpenVas ou Nessus, ni ne configurent de pots de miel ou un système de détection d'intrusion (IDS) qui est expliqué ci-dessous.
Il existe plusieurs IDS sur le marché et les meilleurs sont gratuits, Snort est le plus populaire, je ne connais que Snort et OSSEC et je préfère OSSEC à Snort car il consomme moins de ressources mais je pense que Snort est toujours l'universel. Les options supplémentaires sont : Suricata, Bro IDS, Security Onion.
La recherche la plus officielle sur l'efficacité de l'IDS est assez ancienne, à partir de 1998, la même année où Snort a été initialement développé et a été réalisée par la DARPA, elle a conclu que de tels systèmes étaient inutiles avant les attaques modernes. Après 2 décennies, l'informatique a évolué selon une progression géométrique, la sécurité aussi et tout est presque à jour, l'adoption d'IDS est utile pour chaque administrateur système.
IDS renifler
Snort IDS fonctionne dans 3 modes différents, comme renifleur, comme enregistreur de paquets et système de détection d'intrusion réseau. Le dernier est le plus polyvalent pour lequel cet article est axé.
Installation de Snort
apt-get install libpcap-dev bison flexPuis on lance :
apt-get install snortDans mon cas le logiciel est déjà installé, mais ce n'était pas par défaut, c'est comme ça qu'il a été installé sur Kali (Debian).
Premiers pas avec le mode renifleur de Snort
Le mode renifleur lit le trafic du réseau et affiche la traduction pour un spectateur humain.
Pour le tester, tapez :
Cette option ne doit pas être utilisée normalement, l'affichage du trafic nécessite trop de ressources et n'est appliquée que pour afficher la sortie de la commande.
Dans le terminal, nous pouvons voir les en-têtes de trafic détectés par Snort entre le PC, le routeur et Internet. Snort signale également le manque de politiques pour réagir au trafic détecté.
Si nous voulons que Snort affiche également les données, tapez :
Pour afficher les en-têtes de la couche 2 :
# renifler -v -d -eTout comme le paramètre "v", "e" représente également un gaspillage de ressources, son utilisation doit être évitée pour la production.
Premiers pas avec le mode Packet Logger de Snort
Afin d'enregistrer les rapports de Snort, nous devons spécifier à Snort un répertoire de journal, si nous voulons que Snort affiche uniquement les en-têtes et enregistre le trafic sur le type de disque :
# mkdir snortlogs# snort -d -l snortlogs
Le journal sera enregistré dans le répertoire snortlogs.
Si vous souhaitez lire les fichiers journaux, tapez :
# snort -d -v -r nomfichier journal.Journal.xxxxxxx
Premiers pas avec le mode NIDS (Network Intrusion Detection System) de Snort
Avec la commande suivante Snort lit les règles spécifiées dans le fichier /etc/snort/snort.conf pour filtrer correctement le trafic, en évitant de lire tout le trafic et en se concentrant sur des incidents spécifiques
référé dans le reniflement.conf via des règles personnalisables.
Le paramètre "-A console" demande à snort d'alerter dans le terminal.
# snort -d -l snortlog -h 10.0.0.0/24 -A console -c renifle.conf
Merci d'avoir lu ce texte d'introduction à l'utilisation de Snort.
