Snort Inline : Système de prévention d'intrusion

sécurité, pare-feu, ips

L'IPS Snort Inline est une version modifiée du fameux IDS Snort (Système de détection d'intrusion) pour en faire un IPS (Système de prévention d'intrusion ), une solution capable de bloquer les intrusions/attaques réseau.

Il reçoit les paquets envoyés par le firewall Netfilter avec l'aide de la librairie libipq, les compare avec des règles de signature Snort et les marque en "drop" s'ils correspondent à une règle, puis finalement les renvoie vers Netfilter où les paquets Snort_Inline marqués sont rejetés.

Site officiel : http://snort-inline.sourceforge.net/

Voir pour accompagner snort inline IPS reseau :

Ossec un IPS applicatif,

Voir le tutoriel.

0) Paquets requis :

Ubuntu 9.10 karmic koala :

sudo apt-get install apache2 mysql-server php5 php5-mysql build-essential libpcre3-dev iptables-dev libnet1-dev libmysqlclient16-dev  checkinstall libnet1 libpcap-dev

sudo apt-get install libpcap0.8-dev libpcre3-dev libdumbnet-dev libprelude-dev libnetfilter-queue-dev

sudo apt-get install apache2 mysql-server php5 php5-mysql build-essential libpcre3-dev iptables-dev libnet0-dev libmysqlclient12-dev  libmysqlclient12-dev checkinstall libnet

Soyez attentif à ne pas installer libnet 1.1.x (package libnet1-dev). Sinon, comme indiqué sur le site web de Snort_Inline, la compilation de Snort_Inline contre cette version de libnet ne fonctionnera pas.

Installation alternative de libnet (voir si toujours d'actualité)

echo "Téléchargez et décompressez libdnet:"

wget http://prdownloads.sourceforge.net/libdnet/libdnet-1.11.tar.gz?download
tar -xvf libdnet-1.11.tar.gz
echo "Accédez au dossier libdnet et installez la librairie:"

cd libdnet-1.11
./configure
make
checkinstall

1) Téléchargement

Vous pouvez prendre le code du projet snort inline, ou celui de snort (> 2.8.5) qui a repris les sources de snort inline. L'installation reste la même.

Source du projet snort inline :

echo "Téléchargez Snort_Inline et décompressez le. "
version=2.6.1.5

wget http://prdownloads.sourceforge.net/snort-inline/snort_inline-$version.tar.gz?download
tar -xvf snort_inline-$version.tar.gz

echo "stocker le fichier de configuration"
sudo mkdir /etc/snort_inline

echo "stocker les règles Snort"
sudo mkdir /etc/snort_inline/rules

echo "Copiez les fichiers de configurations"
sudo cp snort_inline-$version/etc/* /etc/snort_inline/

Ouvrir fichier /etc/snort_inline/snort_inline.conf, recherchez la ligne "var RULE_PATH" et changez la comme ci-dessous :

var RULE_PATH /etc/snort_inline/rules

echo "classification.config: définit des URLs pour les références trouvées dans les règles"
sudo cp snort_inline-$version/etc/classification.config /etc/snort_inline/rules/

echo "reference.config: inclus de l'information pour la priorité des règles."
sudo cp snort_inline-$version/etc/reference.config /etc/snort_inline/rules/

echo "dossier de journalisation"
sudo mkdir /var/log/snort_inline

2) Paramétrer Mysql

Ajoutez un mot de passe MySQL pour l'utilisateur root:

echo "si vous n'avez pas installer de mot de pass pendant l'installation de mysql"
echo "mysqladmin -u root password new_root_password"

echo "accès a mysql en root"
mysql -u root -p

echo "Créez la base de données"
create database snort;

echo "créer un utilisateur pour snort"
grant all on snort.* to snortuser@localhost identified by 'snortpassword'; 

echo "Rechargez les priviléges mysql"
flush privileges;
exit;

echo "créer les tables dans la base de données snort"
mysql -u root -p snort < snort_inline-$version/schemas/create_mysql

Ouvrez le fichier snort_inline.conf:

sudo gedit /etc/snort_inline/snort_inline.conf

Après la ligne avec "output alert_fast: snort_inline-fast", ajoutez:

output database: log, mysql, user=snortuser password=snortpassword dbname=snort host=localhost

3) Compilation de snort

Pour snort (>2.8.5 ) :

 
echo " ajouter les options de configuration que vous voulez exemple , support mysql, prelude ..."
./configure --enable-inline
make
make install

Pour snort inline :

echo "Vérifier les dépendances et préparer l'outil à être compilé pour MySQL."
cd snort_inline-$version
echo "./configure --with-mysql

echo "compilation"
make

checkinstall

Pour la version 2.6.1.5 , nécessite un patch (miroir) :

cd snort_inline-2.6.1.5

patch -p1 < ../dumbnet.diff
./autojunk.sh

./configure --with-mysql

echo "compilation"
make

checkinstall

¹⁾

4) Ajout de règles

Il est nécessaire d'installer les règles de signature Snort et de les maintenir à jour. Il existe plusieurs site maintenant des liste de signature.

echo "Installer oinkmaster"
apt-get install oinkmaster

Site officiel de snort

Site officiel de snort : Pour télécharger les règles Snort, nous avons besoin de créer un compte gratuit sur le site web de Snort. Une fois connecté avec votre compte Snort, vous pouvez obtenir un code en bas de page.

Ouvrir le fichier /etc/oinkmaster.conf :

sudo gedit /etc/oinkmaster.conf

Modifiez le paramètre "url" :

url = http://www.snort.org/pub-bin/oinkmaster.cgi/code/snortrules-snapshot-2.4.tar.gz

Ajoutez la ligne suivante:

modifysid * "^alert" | "drop"

Création du dossier de sauvegarde.

mkdir /etc/snort_inline/backup

echo "Ajouter un utilisateur appelé oinkmaster"
useradd oinkmaster

echo "Définir les permissions"
chown -R oinkmaster /etc/snort_inline/backup
chown -R oinkmaster /etc/snort_inline/rules
chown -R oinkmaster /var/run/oinkmaster
chmod 644 /etc/snort_inline/snort_inline.conf

Teste du script oinkmaster :

su oinkmaster
oinkmaster#oinkmaster -o /etc/snort_inline/rules -b /etc/snort_inline/backup 2>&1

Mise à jour automatique (chaque jour à 00:30) :

crontab -e -u oinkmaster

30 00 * * * oinkmaster -o /etc/snort_inline/rules -b /etc/snort_inline/backup 2>&1 >> /dev/null 2>&1

Bleeding snort

Ouvrir le fichier /etc/oinkmaster.conf et ajouter :

url = http://www.bleedingsnort.com/bleeding.rules.tar.gz

Editer le fichier /etc/snort_inline/snort_inline.conf et ajouter :

include $RULE_PATH/bleeding.rules
include $RULE_PATH/bleeding-attack_response.rules
include $RULE_PATH/bleeding-dos.rules
include $RULE_PATH/bleeding-drop.rules
include $RULE_PATH/bleeding-dshield.rules
include $RULE_PATH/bleeding-exploit.rules
include $RULE_PATH/bleeding-game.rules
include $RULE_PATH/bleeding-inappropriate.rules
include $RULE_PATH/bleeding-malware.rules
include $RULE_PATH/bleeding-p2p.rules
include $RULE_PATH/bleeding-scan.rules
include $RULE_PATH/bleeding-web.rules

Teste du script oinkmaster :

su oinkmaster
oinkmaster#oinkmaster -o /etc/snort_inline/rules -b /etc/snort_inline/backup 2>&1

Autres sites

(en) Emerging Threats : Communauté maintenant des jeux de règles (rulesets) pour Snort
(en) Bleedingsnort

Prelude

Prelude, voir le tutoriel.

Il n'y a qu'à configurer diffèrément :

./configure  --enable-nfnetlink  --prefix=/opt/snort-inline --enable-prelude   --enable-inline-init-failopen --with-dumbnet
make

Documentation officiel (pdf) (anglais)

Gazette Linux n°118 — Septembre 2005 (traduction en français) :

(en)Snort Inline Part II

GNU/Linux Magazine HS N°41 – AVRIL/MAI 2009

—- Contributeurs principaux : Psychederic

¹⁾

./configure –enable-nfnetlink –with-dumbnet –enable-inline-init-failopen