WikiMiNET

La documentation technique et administrative

Outils pour utilisateurs

Outils du site


wiki:services:ids

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentes Révision précédente
wiki:services:ids [2015/11/24 22:55]
Thithib
wiki:services:ids [2015/11/24 22:56] (Version actuelle)
Thithib
Ligne 1: Ligne 1:
 +====== IDS (Snowden) ======
 +
 +L'IDS de MiNET s'​occupe de la sécurité de notre réseau. Il analyse tout le trafic sortant et entrant sur le réseau MiNET. IDS veut dire Intrusion Detection System (Systeme de Détection d'​Intrusion).
 +L’IDS de MiNET s’appelle Snowden. D’un point de vue réseau, le trafic est copié depuis le routeur de MiNET sur Snowden et tout le débit est analysé par deux logiciels différents :
 +  * [[wiki:​services:​IDS:​Bro | Bro]]
 +  * [[wiki:​services:​IDS:​Suricata |Suricata]]
 +Ceux-ci gardent une trace de toutes les attaques ou types de trafic intéressant afin de pouvoir prévenir les attaques suivant le même schéma ou même de prévenir les personnes infectées ou agissant de manière dangereuse pour le réseau. ​
 +Si vous désirez en apprendre plus sur les IDS, voici un [[http://​www.wikiwand.com/​fr/​Syst%C3%A8me_de_d%C3%A9tection_d'​intrusion |lien]] intéressant.
 + 
 +En bref :
 +  * L’IDS est sur une machine avec Debian Jessie et est composé de Bro et Suricata.
 +  * La machine possède deux liens, le premier de management et le deuxième sur lequel on envoie le trafic à analyser.
 +
 +===== Pourquoi installer un IDS ? =====
 +
 +L’IDS permet de faire une analyse complète et minutieuse de tout le trafic et sur tous les protocoles connus. Cela nous permet d’augmenter la sécurité sur notre réseau. ​
 +
 +===== Configuration =====
 +
 +L’installation a été faite sur une Debian 8.2 Jessie.
 +
 +==== Configuration des interfaces réseau ====
 +
 +Les interfaces configurées sont les suivantes :
 +  * Une dans le vlan 102 pour le management
 +  * Une dans le vlan 103 pour la copie du trafic
 +
 +Voici le fichier ''/​etc/​network/​interfaces''​
 +<code bash>
 +auto eth0
 +iface eth0 inet static
 + address 192.168.102.238
 + netmask 255.255.255.0
 +
 +auto eth1
 +iface eth1 inet static
 + address 192.168.103.200
 + netmask 255.255.255.0
 + up ip link set $IFACE promisc on arp off up
 + down ip link set $IFACE promisc off down
 + post-up ethtool -G $IFACE rx 4096; for i in rx tx sg tso ufo gso gro lro; do ethtool -K $IFACE $i off; done
 + post-up echo 1 > /​proc/​sys/​net/​ipv6/​conf/​$IFACE/​disable_ipv6
 +</​code>​
 +La ligne 
 +''​post-up ethtool -G $IFACE rx 4096; for i in rx tx sg tso ufo gso gro lro; do ethtool -K $IFACE $i off; done''​
 +
 +est très importante. Losqu'​on utilise un IDS, un des paramètre de performance est le nombre de paquets perdue. Il se trouve que lorsque la carte réseau verifie elle même l'​arrivé des paquets, elle se trompe et on se retrouve avec des taux de pertes de 20-50% sans raison. Cette ligne permet donc de laisser ces calculs au systeme.
 +
 +<WRAP center round alert>
 +** Attention**
 +Les pilotes de la carte réseau de Snowden ne sont pas présents de base dans les pilotes fournis par wheezy, il faut donc les télécharger sur une autre machine et les installer à la mano. Vous ne pourrez pas remonter les interfaces sans ces pilotes.
 +
 +You've been warned!
 +</​WRAP>​
 +
 +==== Redirection du Trafic en SPAN ====
 +
 +Enfin, il ne faut pas oublier de configurer les deux ports sur notre routeur.
 +
 +La config du port de management devrait ressembler à ça :
 +<​code>​
 +interface GigabitEthernet3/​21
 + ​description Snowden management interface
 + ​switchport trunk native vlan 102
 + ​switchport trunk allowed vlan 102,111
 + ​switchport mode trunk
 +</​code>​
 +
 +Puis pour la configuration du port vers lequel sera copié tout le trafic :
 +<​code>​
 +interface GigabitEthernet3/​18
 + ​description snowden copie trafic span
 + ​switchport access vlan 103
 + ​switchport mode access
 +</​code>​
 +
 +Ensuite, il faut configurer la copie du trafic avec les commandes suivantes : 
 +<​code>​
 +no monitor session all #pour réinitialiser toutes les copies de trafic
 +monitor session 1 source interface gigabitEthernet3/​8 both # définie la source de la copie, ici le port directement branché à la sortie de la DISI
 +monitor session 1 destination interface gigabitEthernet3/​18 #on défini ensuite la destination,​ ici le port de l’IDS
 +do show monitor session all # pour vérifier ce que vous avez fait
 +</​code>​
 +
 +Nous devrions alors avoir ceci :
 +<​code>​
 +Session 1
 +---------
 +Type                   : Local Session
 +Source Ports           :
 +    Both               : Gi3/8
 +Destination Ports      : Gi3/18
 +    Encapsulation ​     : Native
 +          Ingress ​     : Disabled
 +         ​Learning : Disabled
 +Filter Pkt Type        :
 +    RX Only       : Good
 +</​code>​
 +
 +Nous pouvons maintenant retourner sur Snowden et lancer ''​dstat''​ pour vérifier que nous avons un débit vraisemblable en arrivée.
  
wiki/services/ids.txt · Dernière modification: 2015/11/24 22:56 par Thithib