Une première série d'informations sur la configuration réseau.
Le rôle des interfaces.
Pour des raisons d'efficacité (volume du trafic), de sécurité (la sonde doit être invisible) une bonne configuration de Snort nécessite deux interferface eau moins. L'une sera utilisée pour écouter le trafic à analyser. Son adresse ip sera 0.0.0.0. Elle est inaccessible mais elle "écoute" tout le trafic en étant connecté à un port Span sur un switch. Deux autres ports du sitch sont utilisés, l'un pour l'interfeca eethernet du modem, l'autre pour l'interface wan du firewall. Le trafic de ces deux est copié vers le port span. Les trois ports sont isolés dans un vlan pour des raisons qui n'ont rien à voir avec Snort.
La seconde interface sera utilisée pour exploiter Snort et l'administrer, une adresse ip fixe lui est affectée.
Si l'on doir écouter (capturer) du trafic en plusieur point du réseau, il est possible d'ajouter d'autres interfaces configurées comme la première.
Les fichiers de conf des interfaces sont dans /etc/sysconfig/network-scripts
ifcfg-eth0, etc ...
Pour l'interface en écoute le fichier contient :
- Code: Tout sélectionner
DEVICE=eth1
BOOTPROTO=none
TYPE=Ethernet
ONBOOT=yes
Les variables.
Parmi les variables snort une est importante : HOME_NET Dans mon cas elle est défini comme suit :
- Code: Tout sélectionner
[88.170.x.y,192.168.1.0/24,172.16.0.0/16]
88.170.x.y étant l'ip publique côté wan. Les deux autres réseaux sont considérés comme locaux. Cette variables et d'autres est ensuite utilisée dans le fichier /etc/snort/snort.conf :
- Code: Tout sélectionner
var HOME_NET [88.170.x.y,192.168.1.0/24,172.16.0.0/16]
# Set up the external network addresses as well. A good start may be "any"
var EXTERNAL_NET !$HOME_NET
# Configure your server lists. This allows snort to only look for attacks to
# systems that have a service up. Why look for HTTP attacks if you are not
# running a web server? This allows quick filtering based on IP addresses
# These configurations MUST follow the same configuration scheme as defined
# above for $HOME_NET.
# List of DNS servers on your network
var DNS_SERVERS $HOME_NET
# List of SMTP servers on your network
var SMTP_SERVERS $HOME_NET
# List of web servers on your network
var HTTP_SERVERS $HOME_NET
# List of sql servers on your network
var SQL_SERVERS $HOME_NET
# List of telnet servers on your network
var TELNET_SERVERS $HOME_NET
# List of snmp servers on your network
var SNMP_SERVERS $HOME_NET
DNS_SERVERS $HOME_NET et les variables qui suivent sont définies sur cette page :
https://192.168.1.101/snort_net.php
J'espère que ces quelques infos vous éclaireront pour la mise en route. Il y a bien du travail mais vou devriez déjàpouvoir capturer et analyser du trafic. Ce ne sera pas très pertinent mais cela fera tourner Snort. En particulier il faut adapter les règles à votre environnement.