Snort Inline : Système de prévention d'intrusion
L'IPS Snort Inline est une version modifiée du fameux IDS Snort (Système de détection d'intrusion) pour en faire un IPS (Système de prévention d'intrusion ), une solution capable de bloquer les intrusions/attaques réseau.
Il reçoit les paquets envoyés par le firewall Netfilter avec l'aide de la librairie libipq, les compare avec des règles de signature Snort et les marque en "drop" s'ils correspondent à une règle, puis finalement les renvoie vers Netfilter où les paquets Snort_Inline marqués sont rejetés.
Site officiel : http://snort-inline.sourceforge.net/
Voir pour accompagner snort inline IPS reseau :
- Ossec un IPS applicatif,
Installation
0) Paquets requis :
Ubuntu 9.10 karmic koala :
sudo apt-get install apache2 mysql-server php5 php5-mysql build-essential libpcre3-dev iptables-dev libnet1-dev libmysqlclient16-dev checkinstall libnet1 libpcap-dev
sudo apt-get install libpcap0.8-dev libpcre3-dev libdumbnet-dev libprelude-dev libnetfilter-queue-dev
sudo apt-get install apache2 mysql-server php5 php5-mysql build-essential libpcre3-dev iptables-dev libnet0-dev libmysqlclient12-dev libmysqlclient12-dev checkinstall libnet
Soyez attentif à ne pas installer libnet 1.1.x (package libnet1-dev). Sinon, comme indiqué sur le site web de Snort_Inline, la compilation de Snort_Inline contre cette version de libnet ne fonctionnera pas.
echo "Téléchargez et décompressez libdnet:" wget http://prdownloads.sourceforge.net/libdnet/libdnet-1.11.tar.gz?download tar -xvf libdnet-1.11.tar.gz echo "Accédez au dossier libdnet et installez la librairie:" cd libdnet-1.11 ./configure make checkinstall
1) Téléchargement
Vous pouvez prendre le code du projet snort inline, ou celui de snort (> 2.8.5) qui a repris les sources de snort inline. L'installation reste la même.
Source du projet snort inline :
echo "Téléchargez Snort_Inline et décompressez le. " version=2.6.1.5 wget http://prdownloads.sourceforge.net/snort-inline/snort_inline-$version.tar.gz?download tar -xvf snort_inline-$version.tar.gz echo "stocker le fichier de configuration" sudo mkdir /etc/snort_inline echo "stocker les règles Snort" sudo mkdir /etc/snort_inline/rules echo "Copiez les fichiers de configurations" sudo cp snort_inline-$version/etc/* /etc/snort_inline/
Ouvrir fichier /etc/snort_inline/snort_inline.conf, recherchez la ligne "var RULE_PATH" et changez la comme ci-dessous :
var RULE_PATH /etc/snort_inline/rules
echo "classification.config: définit des URLs pour les références trouvées dans les règles" sudo cp snort_inline-$version/etc/classification.config /etc/snort_inline/rules/ echo "reference.config: inclus de l'information pour la priorité des règles." sudo cp snort_inline-$version/etc/reference.config /etc/snort_inline/rules/ echo "dossier de journalisation" sudo mkdir /var/log/snort_inline
2) Paramétrer Mysql
Ajoutez un mot de passe MySQL pour l'utilisateur root:
echo "si vous n'avez pas installer de mot de pass pendant l'installation de mysql" echo "mysqladmin -u root password new_root_password" echo "accès a mysql en root" mysql -u root -p echo "Créez la base de données" create database snort; echo "créer un utilisateur pour snort" grant all on snort.* to snortuser@localhost identified by 'snortpassword'; echo "Rechargez les priviléges mysql" flush privileges; exit; echo "créer les tables dans la base de données snort" mysql -u root -p snort < snort_inline-$version/schemas/create_mysql
Ouvrez le fichier snort_inline.conf:
sudo gedit /etc/snort_inline/snort_inline.conf
Après la ligne avec "output alert_fast: snort_inline-fast", ajoutez:
output database: log, mysql, user=snortuser password=snortpassword dbname=snort host=localhost
3) Compilation de snort
Pour snort (>2.8.5 ) :
echo " ajouter les options de configuration que vous voulez exemple , support mysql, prelude ..." ./configure --enable-inline make make install
Pour snort inline :
echo "Vérifier les dépendances et préparer l'outil à être compilé pour MySQL." cd snort_inline-$version echo "./configure --with-mysql echo "compilation" make checkinstall
Pour la version 2.6.1.5 , nécessite un patch (miroir) :
cd snort_inline-2.6.1.5 patch -p1 < ../dumbnet.diff ./autojunk.sh ./configure --with-mysql echo "compilation" make checkinstall
4) Ajout de règles
Il est nécessaire d'installer les règles de signature Snort et de les maintenir à jour. Il existe plusieurs site maintenant des liste de signature.
echo "Installer oinkmaster" apt-get install oinkmaster
Site officiel de snort
- Site officiel de snort : Pour télécharger les règles Snort, nous avons besoin de créer un compte gratuit sur le site web de Snort. Une fois connecté avec votre compte Snort, vous pouvez obtenir un code en bas de page.
Ouvrir le fichier /etc/oinkmaster.conf :
sudo gedit /etc/oinkmaster.conf
Modifiez le paramètre "url" :
url = http://www.snort.org/pub-bin/oinkmaster.cgi/code/snortrules-snapshot-2.4.tar.gz
Ajoutez la ligne suivante:
modifysid * "^alert" | "drop"
Création du dossier de sauvegarde.
mkdir /etc/snort_inline/backup
echo "Ajouter un utilisateur appelé oinkmaster" useradd oinkmaster echo "Définir les permissions" chown -R oinkmaster /etc/snort_inline/backup chown -R oinkmaster /etc/snort_inline/rules chown -R oinkmaster /var/run/oinkmaster chmod 644 /etc/snort_inline/snort_inline.conf
Teste du script oinkmaster :
su oinkmaster oinkmaster#oinkmaster -o /etc/snort_inline/rules -b /etc/snort_inline/backup 2>&1
Mise à jour automatique (chaque jour à 00:30) :
crontab -e -u oinkmaster
30 00 * * * oinkmaster -o /etc/snort_inline/rules -b /etc/snort_inline/backup 2>&1 >> /dev/null 2>&1
Bleeding snort
Ouvrir le fichier /etc/oinkmaster.conf et ajouter :
url = http://www.bleedingsnort.com/bleeding.rules.tar.gz
Editer le fichier /etc/snort_inline/snort_inline.conf et ajouter :
include $RULE_PATH/bleeding.rules include $RULE_PATH/bleeding-attack_response.rules include $RULE_PATH/bleeding-dos.rules include $RULE_PATH/bleeding-drop.rules include $RULE_PATH/bleeding-dshield.rules include $RULE_PATH/bleeding-exploit.rules include $RULE_PATH/bleeding-game.rules include $RULE_PATH/bleeding-inappropriate.rules include $RULE_PATH/bleeding-malware.rules include $RULE_PATH/bleeding-p2p.rules include $RULE_PATH/bleeding-scan.rules include $RULE_PATH/bleeding-web.rules
Teste du script oinkmaster :
su oinkmaster oinkmaster#oinkmaster -o /etc/snort_inline/rules -b /etc/snort_inline/backup 2>&1
Autres sites
- (en) Emerging Threats : Communauté maintenant des jeux de règles (rulesets) pour Snort
- (en) Bleedingsnort
Outils de monitoring
Prelude
Prelude, voir le tutoriel.
Il n'y a qu'à configurer diffèrément :
./configure --enable-nfnetlink --prefix=/opt/snort-inline --enable-prelude --enable-inline-init-failopen --with-dumbnet make
Liens
- Documentation officiel (pdf) (anglais)
Gazette Linux n°118 — Septembre 2005 (traduction en français) :
—- Contributeurs principaux : Psychederic