Scribd Logo
Upload

Welcome to Scribd!

  • 9.PfSense IDS Suricata

    Uploaded by

    Adam Keramane
    60 views7 pages

    Copyright

    © © All Rights Reserved

    Available Formats

    PDF, TXT or read online from Scribd

    Did you find this document useful?

    Is this content inappropriate?

    Report this Document

    Copyright:

    © All Rights Reserved
    Download as PDF, TXT or read online from Scribd
    Flag for inappropriate content
    60 views7 pages

    9.PfSense IDS Suricata

    Uploaded by

    Adam Keramane

    Copyright:

    © All Rights Reserved
    Download as PDF, TXT or read online from Scribd
    Flag for inappropriate content
    of 7

    Snort IDS/IPS sur PfSense

    I. Introduction
    IDS / IPS
    Un système de détection d'intrusion (IDS) est une méthode permettant d'identifier le trafic réseau malveillant. Un
    système de prévention des intrusions (IPS) est une méthode pour agir sur cette identification et empêcher ce trafic
    d'atteindre les clients sur votre réseau.

    IDS / IPS est accompli avec Snort ou Suricata. Ces deux programmes offrent les mêmes fonctionnalités mais Snort est
    plus ancien, mieux documenté et mieux connu et Suricata est plus récent, un peu plus efficace dans certains endroits
    mais moins bien documenté.

    SURICATA
    Suricata est le logiciel qui fait l'identification et le blocage réels ; ils ont tous deux besoins de listes à analyser. Snort
    propose sa propre liste qui se décline en deux catégories :

    C’est un outil qui permet d’analyser les flux (provenant du réseau ou d’une machine (système d’exploitation par
    exemple)), et va permettre de faire une remonter d’alerte en fonction de son fichier de signature.
    Suricata est un NIDS (Network Intrusion Detection System) : un IDS qui est basé sur le réseau.

    II. Installation
    Accédez à System > Package Manager > Available Packages. Trouvez Snort et cliquez sur Installer.

    Nous allons installer des règles qui correspondent a la version de suricate dans notre démo « 5.0.3 »
    Vous pouvez trouver des regles sur plusieurs sources mais pour l’instant nous allons utiliser des regles du site
    « emergingthreats.net »

    https://rules.emergingthreats.net/open/suricata/emerging.rules.tar.gz

    Allez dans Service> Suricata> Global Settings. Cochez « ET Open… » et « Use a custom URL … » puis renseigner l’url
    du fichier emerging.rules.tar.gz

    Définissez Intervalle de mise à jour sur 12 HEURES ou ce que vous pensez être une valeur saine. Je vous suggère de
    changer l'heure de début de la mise à jour à une autre valeur que la valeur par défaut afin de ne pas trop enfoncer
    les serveurs Snort.
    Retirer les hôtes bloqués Intervalle : 1 HEURE, ou ce que vous pensez être correct.

    Services > Snort > Updates. Cliquez sur « Updates Rules » pour mettre à jour votre ensemble de règles. Assurez-
    vous que le résultat est un succès, sinon dépannez jusqu'à ce que ce soit le cas. Utilisez le bouton Forcer la mise à
    jour si nécessaire.

    Maintenant que Suricata peut récupérer des définitions, nous allons lui dire où scanner. Dans une configuration de
    routeur de base, il existe deux options : WAN et LAN. Puisque le trafic va de l'un à l'autre, peu importe ce que nous
    choisissons. Si vous avez plus d'une interface LAN (par exemple, VLAN, interfaces sans fil, etc.), Suricata devra les
    scanner tous séparément, augmentant ainsi les cycles de cpu requis. Une raison pour choisir LAN est que Suricata
    sera capable de pointer le client local associé au trafic.

    En d'autres termes : choisir LAN vous informera quel client local est impliqué tandis que choisir WAN économise des
    cycles de CPU si vous avez plus d'une interface LAN. Choisissons LAN ; cliquez sur Ajouter.
    Cochez Activer, définissez Interface sur LAN et remplissez une description.

    Pendant le test, Suricata peut envoyer ses logs vers les journaux du système afin de pouvoir garder un œil dessus :
    cochez la case "Send Alerts to System Logs". LOG_AUTH et LOG_ALERT sont appropriés.

    Si vous souhaitez transformer votre IDS en IPS, cochez la case Bloquer les contrevenants.

    PS : Pour la configuration et des faux positifs je vous conseille de ne pas l’activer jusqu’à que vous êtes sur que votre
    IDS ne remonte pas de faux positifs.

    Laissez les autres paramètres à leurs valeurs par défaut pour le moment et n'oubliez pas de cliquer sur Enregistrer.
    Cliquez sur Catégories LAN, vous trouverez ici les différents catégories de règles que vous pouvez appliquer sur votre
    IDS, nous allons prendres toutes les catégories.

    Vous pouvez voir les différents règles pour chaque catégories dans l’onglet « LAN Rules »

    Sous Services> Suricata> Interfaces, sous Suricata Status, cliquez sur l'icône de démarrage.

    Votre service de détection d'intrusion est maintenant opérationnel !


    Trouvez vos alertes dans Services> Suricata > Alertes. Je vous suggère de garder un œil sur ces pages pendant un
    moment pour peaufiner vos paramètres. Les alertes peuvent être un peu énigmatiques ; juste Google les.

    III. Mise à l’épreuve


    Nous allons demander à résoudre un nom de domaine à partir d’une machine qui est dans le LAN,

    Ce nom de domaine sera normalement considéré comme dangereux par l’IDS dans la catégorie « emerging-
    dns.rules »

    Si nous allons voir dans les « Alerts »


    Attention cette requête a était juste remonté mais pas bloqué si vous voulez que votre IDS bascule en mode IPS alors
    il faudra coché la case :

    You might also like