Snort se désactive selon les règles

ccnet

Encore une fois les packages ne sont pas réalisés, ni testés par l'équipe qui développe Pfsense.

Pour Snort, quelques éléments de réponse :
http://www.snort.org/docs/iss-placement.pdf
http://forums.ixus.fr/viewtopic.php?t=41504&highlight=ipcop+++ids

Chez un de mes clients nous utilisons un IPS/IDS. C'est une solution dédiée, placée derrière le firewall, une appliance en pont. Il y a une cinquantaine de sites internet derrière. Il y a la compétence pour le déploiement mais surtout il y a un monitoring 24/7 sur deux sites (Suisse et Croatie) distincts du datacenter. Le délai maximum contractuel de réaction sur une alerte grave (incluant faux positif qui bloquerait un accès légitime aux sites) est de 15mn. Dans ces conditions un outil tel que Snort est efficace.

samus

Ce que tu conseilles c'est de séparer surtout les deux solutions dans ce style ? :

INTERNET x–-----------------x FIREWALL x------------------x IPS/IDSx--------------------x LAN

ccnet

Oui, si vous avez la possibilité d'être très réactif sur les faux positifs, sinon utiliser Snort en IDS plutôt qu'en IPS (toujours risqué).

samus

cette solution du tout intégré sur pfSense était pour moi très intéressante dans le sens où c'est pour une utilisation personnelle  :D donc niveau trafic c'est limité et niveau faux-positif j'en ai pas souvent  ;D, je voulais juste une petite machine qui sera toujours mieux que ma freebox  ;D, le firewall m'est super utile dans le sens ou je peux filter au port et à l'IP, mais quand je vois mes logs de firewall et le nombre complétement abusé d'accès bloqué un IDS/IPS m'est franchement utile surtout que j'ai quelques serveur hébergés et disponibles sur le net.
Sans compter qu'étant étudiant j'ai un studio et j'ai pas envie de mettre 4PC avec un rôle différent + un gros server (le bruit et la conso  :P)

jdh

C'est bien ce que je pensais : aucun intérêt utile ou pratique ici pour un IDS (Snort).

Ce qui est étonnant c'est qu'un IDS est sur le papier quelque chose d'intéressant.
Mais ce qui n'est alors pas vu ou compris, c'est les ressources nécessaires pour que cela soit REELLEMENT utile.

Ces ressources indispensables sont :

• l'expertise : savoir interpréter, savoir adapter
• la disponibilité : ou plutôt le temps de réaction.
  Toutes ressources généralement non présentes …

(Et je ne parle même pas des pré-requis techniques : positionnement, liens avec d'autres machines, ...)

Alors l'IDS est une belle idée ... mais, comme l'écrivait ccnet, il y a BEAUCOUP d'autres choses à faire avant pour améliorer la sécurité de son réseau.

NB : déjà si au lieu de configurer une "dmz" sursa box,on commençait par ne configurer que les renvois utiles ...

samus

Ce genre de test perso me servira certainement plus tard dans des mises en prod, cependant ce genre de test me permet clairement d'appréhender la solution et la comprendre à "petite" échelle. Vous n'avez pas un lien ou des infos pour comprendre comment gérer un IDS ? et quel genre de choses faut il appréhender avant l'installation de cette technologie ?

ccnet

Le site de Snort comporte beaucoup de document très intéressants. Deux livres en anglais chez O' Reilly.
http://search.oreilly.com/?q=snort
Le redbook IBM sur leur solution IPS IDS est intéressant aussi.
Dans ce domaine il va falloir vous prendre par la main et chercher les infos vous même si vous voulez construire une expertise.

samus

Il me faut juste quelques pistes pour débuter, quel livre me conseillerez vous dans cette liste: Amazon (dans la langue de Molière de préférence ;D)

ccnet

Si un seul, le premier.

samus

très bien merci beaucoup, si je comprends bien un IDS est comme un antivirus, il s'installe sur uen plateforme Unix/Linux/Windows et se configure de façon pointue ?

Existe t'il des OS spécialement dédiées à ça ?
Il vaut mieux mettre un firewall devant un IDS?

EDIT: livre commandé  :D :D :D

ccnet

Désolé pour mon premier lien qui n'est plus actif. Celui ci l'est : http://beta.redes-linux.com/manuales_english/seguridad/snort_enterprise.pdf même si ancien les principes demeurent.

Si il n' y a pas d'OS dédié en open source il y des plateformes complète pour gagner du temps comme EasyIDS : http://www.skynet-solutions.net/easyids/default.asp

Pour le placement ce n'est ni devant ni derrière mais plutôt … à côté. Ce n'est ni une plaisanterie ni un jeu de mot. Une bonne méthode consiste à utiliser un switch administrable permettant de créer Vlan et span port (port de copie) comme les Cisco 2900XL et autres. Le switch va copier tout le trafic d'un ou plusieurs port vers un autre sur lequel on branchera la sonde, c'est à dire une interface réseau de Snort sans adresse ip. Une seconde interface, sur un réseau protégé, sera utilisée pour l'administration Snort et la consultation des alertes. On est donc parfois amené à placer plusieurs sondes en différents endroits du réseau. Pfsense 2 disposera d'un port de copie. C'est une configuration qui dissimule assez bien Snort ce qui est important. Une méthode d'attaque consiste à inonder l'IDS, ce qui suppose qu'il a été détecté, pour se dissimuler ou le saturer.
Nous sommes assez loin de l'antivirus.

La configuration consiste en particulier à choisir les jeux de règles que l'on active selon ses besoins. Pas nécessaire de déclencher des alertes sur des tentatives dirigées contre SQL Server si l'on utilse MySQL.
IDS Policy Manager peut être utile pour une partie de ce travail.

samus

Merci beaucoup ccnet,
Ah oui j'avais lu un article sur les spanport, ça tombe bien dans mon environnement de test j'ai un 2900XL :D, mais dans ce cas là l'IDS agit un peu comme un sniffer, il surveille mais peut il agir ou ne fait il que remonter les alertes ?

jdh

Quand on lance ccnet sur snort, ça déménage … Et j'aime bien ça, car on est souvent d'accord !

Evidemment, il faut choisir dans la collection O'Reilly !

Il y a quelques Linux Magazine qui ont aussi parlé d'IDS :

• juin 2010 : OSSEC un HIDS qui fait le café
• Hors-série 41 : Configurer et optimiser son firewall
  (Et pourquoi aussi peu d'articles sur le sujet ... cherchez bien !)

Evidemment le site de référence www.snort.org où on s'aperçoit qu'il y a derrière la société sourcefire qui détient aussi ... clamav.

Je répète qu'il est nécessaire d'avoir une (très très) bonne culture réseau : on parle de paquet ip, presque de l'ethernet de base !
Et bien évidemment il faut avoir compris les couches de tcp/ip et connaitre à fond les protocoles usuels (smtp, http, dns, icmp, ...............)
(D'habitude on met seulement 3 points de suspension !)

Le positionnement (et la prise de trafic) est indiqué par ccnet, normal.
Faut-il ajouter qu'il est très dangereux d'imaginer agir sur le trafic (afin de ne pas de créer un auto denial of service !) ?

samus

Ah bah en effet je viens de me souvenir de où j'avais vu ces infos… J'avais acheter le linux mag sur OSSEC l'HIDS qui fait le café et avec mes dernières recherches je comprends bien mieux comment cela fonctionne.

Mon livre arrive lundi  :D :D :D mes nuits vont être longues  ::)
J'ai plutôt une bonne culture réseau, j'adore ce domaine, mais j'ai encore énormément à apprendre ça c'est sur.
Je comprends bien que si l'IDS agissait de façon trop agressive un auto-denial of service serait vraiment paradoxal... une sorte "d'auto agression" ;D

• Mais dans ce cas l'IDS ne fait que dire "eh ya eu une tentative d'intrusion là" mais qui agit ou qui peut le bloquer ? le firewall ?
• Il y a une communication entre l'IDS et le firewall ? On peut peut être voir l'IDS comme une machine branchée en parallèle du firewall ?

(Qui a dit que je me posais beaucoup de question ? ::))

JeanNo

Bonjour,

Personnellement en production je suis d'accord, mais pour un réseau personnel depuis que j'ai intégré Snort, HAVP and Co j'ai beaucoup moi de trafic chez moi qui comporte quand même de la vidéo surveillance, un serveur multimédia, deux portable, des appareils Hifi en réseau, une Wii.. Je suis peut-être une exception mais je me vois mal avoir une machine pour Snort, une pour un antivirus…..

De plus j'avais peur que la bande passante en prenne un coup, ben non toujours autant.

Maintenant pour Pfsense il serait vraiment judicieux pour le Team Pfsense de faire la différence entre des Packages 100% compatible, ceux qui tournent et ceux qui pourrait tourner. Car la désinstallation voir la configuration de certain est un peut limite.

Et quand on voit les logs de Snort on est un peut envahi.

Mais je remercie quand même ceux qui nous aides et Pfsense qui apporte la seule solution qui intègre un peut tous ce que l'on veut.

@+

Actuellement tourne sur Pfsense selon ma config. Voir ce poste. http://forum.pfsense.org/index.php/topic,33511.0.html

Reste à corrigée les erreurs du log et à stabilisé le tous.

Juve

Mais dans ce cas l'IDS ne fait que dire "eh ya eu une tentative d'intrusion là" mais qui agit ou qui peut le bloquer ? le firewall ?

C'est toute la différence entre un IDS et un IPS.

Pour les packages, la core team a toujours prévenu que c'était des developpement additionnels, maintenus par des tiers et qu'il fallait passer par une phase de test avant de les utiliser. Ils ont deja beaucoup de travail avec pfSense, donc pas réellement le temps de jouer avec les packages.

ccnet

Et quand on voit les logs de Snort on est un peut envahi.

Vous prêchez un convaincu ! C'est un des problèmes. Snort brut de fonderie c'est inexploitable.