Installer et utiliser le système de détection d’intrusion Snort pour protéger les serveurs et les réseaux

Après la mise en place de tout serveur parmi les premières étapes habituelles liées à la sécurité sont le pare-feu, les mises à jour et les mises à niveau, les clés ssh, les périphériques matériels. Mais la plupart des sysadmins ne scannent pas leurs propres serveurs pour découvrir les points faibles comme expliqué avec OpenVas ou Nessus, ils ne configurent pas non plus de honeypots ou un système de détection d’intrusion (IDS) qui est expliqué ci-dessous.

Il y a plusieurs IDS sur le marché et les meilleurs sont gratuits, Snort est le plus populaire, je ne connais que Snort et OSSEC et je préfère OSSEC à Snort car il consomme moins de ressources mais je pense que Snort reste l’universel. Les autres options sont : Suricata , Bro IDS, Security Onion.

La recherche la plus officielle sur l’efficacité des IDS est assez ancienne, elle date de 1998, la même année que le développement initial de Snort, et a été réalisée par la DARPA, elle concluait que ces systèmes étaient inutiles devant les attaques modernes. Après 2 décennies, l’informatique a évolué à une progression géométrique, la sécurité aussi et tout est presque à jour, adopter l’IDS est utile pour tout sysadmin.

Snort IDS

Snort IDS fonctionne en 3 modes différents, comme renifleur, comme enregistreur de paquets et comme système de détection d’intrusion réseau. Le dernier est le plus polyvalent pour lequel cet article se concentre.

Installation de Snort

apt-get install libpcap-dev bison flex

Puis on lance :

apt-get install snort

Dans mon cas le logiciel est déjà installé, mais il ne l’était pas par défaut, c’est ainsi qu’il était installé sur Kali (Debian).

Démarrer avec le mode sniffer de Snort

Le mode sniffer lit le trafic du réseau et affiche la traduction pour un spectateur humain.
Pour le tester tapez :

# snort -v

Cette option ne doit pas être utilisée normalement, l’affichage du trafic nécessite trop de ressources, et elle n’est appliquée que pour montrer la sortie de la commande.

Dans le terminal on peut voir les entêtes du trafic détecté par Snort entre le pc, le routeur et internet. Snort signale également l’absence de politiques pour réagir au trafic détecté.
Si nous voulons que Snort montre aussi les données tapez:

# snort -vd

Pour montrer les entêtes de la couche 2 exécutez :

# snort -v -d -e

Tout comme le paramètre « v », « e » représente également un gaspillage de ressources, son utilisation doit être évitée pour la production.

Démarrer avec le mode Packet Logger de Snort

Pour sauvegarder les rapports de Snort, nous devons spécifier à Snort un répertoire de log, si nous voulons que Snort ne montre que les en-têtes et enregistre le trafic sur le type de disque :

# mkdir snortlogs
# snort -d -l snortlogs

Le journal sera enregistré à l’intérieur du répertoire snortlogs.

Si vous voulez lire les fichiers journaux, tapez :

# snort -d -v -r logfilename.log.xxxxxxx

Démarrer avec le mode NIDS (Network Intrusion Detection System) de Snort

Avec la commande suivante, Snort lit les règles spécifiées dans le fichier /etc/snort/snort.conf pour filtrer correctement le trafic, en évitant de lire l’ensemble du trafic et en se concentrant sur des incidents spécifiques
référencés dans le snort.conf grâce à des règles personnalisables.

Le paramètre « -A console » demande à snort d’alerter dans le terminal.

# snort -d -l snortlog -h 10.0.0.0/24 -A console -c snort.conf

Merci d’avoir lu ce texte d’introduction à l’utilisation de Snort.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.