EasyIDS

[Billou02]

Salut a tous. (ca fait longtemps que je ne suis pas venu. )

En référence a ce post : http://forums.ixus.fr/viewtopic.php?t=42377

j'ai installé sur mon serveur de machines virtuelles esxi une machine virtuelle pour tester la distrib EasyIDS que je ne connaissait pas.

A ceux qui l'utilisent un peu, j'aurai besoin d'une petite aide de config.

je l'ai posé avec deux cartes réseau comme indiqué sur la doc.
une qui est en DHCP sur le réseau Green de mon ipcop. et une sur la patte rouge de mon cop.

Je ne sais pas trop comment configurer les variables de la page de config de snort.
quelqu'un aurait il une aide ou un éventuel tuto.

Merci d'avance.

[ccnet]

Quelle page de configuration vous pose problème ? Est-ce https://192.168.1.101/conf_edit.php?file=snort ?

[Billou02]

oui c'est bien celle ci ainsi que la page snort-net.php.

l'ip de mon EasyIds est la 10.0.0.190
le réseau rouge est en 192.168.1.0/24
j'ai mon serveur 2003 AD en 10.0.0.10
mon ipcop en 10.0.0.1 (green) et 192.168.1.10 (red)
Livebox en 192.168.1.1

J'ai du mal a comprendre a quoi sert la deuxième carte réseau. comment et surtout ou la configurer

dans mon EasyIDS la carte en DhCP est eth0, celle sur Red (entre la livebox et l'ipcop) est eth1

Merci d'avance.

[ccnet]

Une première série d'informations sur la configuration réseau.

Le rôle des interfaces.
Pour des raisons d'efficacité (volume du trafic), de sécurité (la sonde doit être invisible) une bonne configuration de Snort nécessite deux interferface eau moins. L'une sera utilisée pour écouter le trafic à analyser. Son adresse ip sera 0.0.0.0. Elle est inaccessible mais elle "écoute" tout le trafic en étant connecté à un port Span sur un switch. Deux autres ports du sitch sont utilisés, l'un pour l'interfeca eethernet du modem, l'autre pour l'interface wan du firewall. Le trafic de ces deux est copié vers le port span. Les trois ports sont isolés dans un vlan pour des raisons qui n'ont rien à voir avec Snort.

La seconde interface sera utilisée pour exploiter Snort et l'administrer, une adresse ip fixe lui est affectée.

Si l'on doir écouter (capturer) du trafic en plusieur point du réseau, il est possible d'ajouter d'autres interfaces configurées comme la première.

Les fichiers de conf des interfaces sont dans /etc/sysconfig/network-scripts
ifcfg-eth0, etc ...
Pour l'interface en écoute le fichier contient :

Code: Tout sélectionner

DEVICE=eth1
BOOTPROTO=none
TYPE=Ethernet
ONBOOT=yes


Les variables.
Parmi les variables snort une est importante : HOME_NET Dans mon cas elle est défini comme suit :

Code: Tout sélectionner

[88.170.x.y,192.168.1.0/24,172.16.0.0/16]

88.170.x.y étant l'ip publique côté wan. Les deux autres réseaux sont considérés comme locaux. Cette variables et d'autres est ensuite utilisée dans le fichier /etc/snort/snort.conf :

Code: Tout sélectionner

var HOME_NET [88.170.x.y,192.168.1.0/24,172.16.0.0/16]

# Set up the external network addresses as well.  A good start may be "any"
var EXTERNAL_NET !$HOME_NET

# Configure your server lists.  This allows snort to only look for attacks to
# systems that have a service up.  Why look for HTTP attacks if you are not
# running a web server?  This allows quick filtering based on IP addresses
# These configurations MUST follow the same configuration scheme as defined
# above for $HOME_NET. 

# List of DNS servers on your network
var DNS_SERVERS $HOME_NET

# List of SMTP servers on your network
var SMTP_SERVERS $HOME_NET

# List of web servers on your network
var HTTP_SERVERS $HOME_NET

# List of sql servers on your network
var SQL_SERVERS $HOME_NET

# List of telnet servers on your network
var TELNET_SERVERS $HOME_NET

# List of snmp servers on your network
var SNMP_SERVERS $HOME_NET

DNS_SERVERS $HOME_NET et les variables qui suivent sont définies sur cette page : https://192.168.1.101/snort_net.php

J'espère que ces quelques infos vous éclaireront pour la mise en route. Il y a bien du travail mais vou devriez déjàpouvoir capturer et analyser du trafic. Ce ne sera pas très pertinent mais cela fera tourner Snort. En particulier il faut adapter les règles à votre environnement.

[tomtom]

je l'ai posé avec deux cartes réseau comme indiqué sur la doc.
une qui est en DHCP sur le réseau Green de mon ipcop. et une sur la patte rouge de mon cop.

Hi,


Je ne suis pas vraiment expert en IDS, mais mettre une machine en "court-circuit" du firewall, qui de plus fait tourner un démon régulièrement sujet à des failles (et pour cause, il analyse un trafic forcement non maitrisé) me semble à la limite du suicidaire.
Autant faire tourner le démon directement sur le firewall dans ce cas.

Au minimum, les machines "d'administration" de l'IDS devraient être dans un vlan séparé du réseau "green", et plus probablement sur un réseau physique séparé.

Pour le reste, les réponses plus précises de ccnet devraient t'eclairer.

t.

[ccnet]

Ces deux remarques (le court-circuit et l'isolation de la partie administration) sont parfaitement fondées et dans un système en production, elles doivent être appliquée à la lettre. Idéalement toute la partie base de données, interface de gestion, production de rapport, etc ... devrait être sur une machine séparée des sondes.

[Franck78]

Elle est inaccessible mais elle "écoute" tout le trafic en étant connecté à un port Span sur un switch. Deux autres ports du sitch sont utilisés, l'un pour l'interfeca eethernet du modem, l'autre pour l'interface wan du firewall. Le trafic de ces deux est copié vers le port span. Les trois ports sont isolés dans un vlan pour des raisons qui n'ont rien à voir avec Snort.

Quand on ne peut/veut utiliser ce principe, il reste la bretelle RJ 45 qui est simplissime a fabriquer.

http://thnetos.wordpress.com/2008/02/22 ... e-network/

Recup d'un vieux switch quatre ports et quelques coup de fers à souder pour obtenir un TAP !


Bye

[Billou02]

re a tous...

@ ccnet :
Merci pour tes infos, elles m'ont permis de pouvoir tester complètement cette solution qui a son charme, il faut l'avouer.

@ tomtom :
L'utilisation que je voulais faire de cette distrib est uniquement a des fins personnelles. je n'avais pas l'intention de m'en servir en prod a mon boulot. mais néanmoins, après avoir refait le schéma de l'install (sur papier), je me suis vite rendu compte que tu avais raison concernant le court-circuitage du firewall. Ne disposant pas d'un switch me permettant de faire du vlan, j'abandonne ce produit. un bon plugin Ntop sur mon Ipcop devrait remplir la fonction d'analyse que je souhaite avoir a domicile.

@Franck78 :
Merci pour le lien, je vais tester ça prochainement. bonne alternative peu chère pour moi...

Merci a tous de votre participation.
Billou02