IPCop en IDS: alertes snort par e-mail ?

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

IPCop en IDS: alertes snort par e-mail ?

Messagepar phlampe » 14 Nov 2008 18:21

Hello All !

Je me lance sur IPCop pour installer un IDS en coupure entre notre réseau local et l'Internet, sachant qu'IPCop ne sera pas en connexion directe sur le Net, il y a un autre firewall avant qui fait du load balancing sur 2 box ADSL.

Mon but avec IPCop c'est avant tout de l'utiliser comme IDS avec snort. Je l'ai installé en tests et ça tourne correctement. Par contre, j'aimerai être averti par mail des alertes remontées par snort au lieu d'avoir à jeter un oeil sur la page des logs de snort régulièrement.

Pour ça, j'ai trouvé des références à un certain nombre d'outils (à partir de cette page surtout http://www.dummies.com/WileyCDA/Dummies ... RKING.html ), et il y a en gros SAM ( http://freshmeat.net/projects/sam-snortalertmonitor/ ) qui a l'air à la fois récent et toujours maintenu et qui offre le genre de fonction que je cherche. J'ai aussi trouvé BASE ( http://base.secureideas.net/index.php ) pour analyser les logs de snort une fois qu'une alerte m'a été envoyée.

Je me pose des questions avant d'installer ces 2 outils :
. Est-ce que je peux le faire sur mon serveur IPCop sans tout casser ? Je pense que coté perfs ça devrait tenir, le serveur qui fait tourner IPCop est assez puissant pour ça et j'ai peu de machines clientes derrière

. Est-ce que quelqu'un a déjà fait ce genre d'ajout à la config IPCop et est-ce qu'il y a des précautions particulières à prendre ?

Merci pour votre aide :)
Paul-Henri
phlampe
Matelot
Matelot
 
Messages: 4
Inscrit le: 14 Nov 2008 14:47

Messagepar ccnet » 14 Nov 2008 19:43

On recommence. Ce sujet est ici un véritable marronnier. Il revient très, très régulièrement. L'ids excite beaucoup de monde.

Je me lance sur IPCop pour installer un IDS en coupure entre notre réseau local et l'Internet, sachant qu'IPCop ne sera pas en connexion directe sur le Net, il y a un autre firewall avant qui fait du load balancing sur 2 box ADSL.

Mon but avec IPCop c'est avant tout de l'utiliser comme IDS avec snort. Je l'ai installé en tests et ça tourne correctement. Par contre, j'aimerai être averti par mail des alertes remontées par snort au lieu d'avoir à jeter un oeil sur la page des logs de snort régulièrement.


Je suis désolé de vous dire cela,mais il n'y là que de fausses bonnes idées. En même temps si vous venez ici, nous n'allons pas vous répondre uniquement pour vous dire ce qui vous ferait plaisir, mais essayer de vous donner des éléments de réflexion.

un IDS en coupure entre notre réseau local et l'Internet,

En coupure ? un ids en coupure je ne comprend pas ce que cela signifie. Un IDS ne coupe rien, il observe et en fonction de certains crières, les règles activées, dans Snort, il alerte. Eventuellement, via un greffon de sortie, il peut agir sur le firewall. Prudence, prudence !!

il y a un autre firewall avant

Le vrai problème est que voulez vous observer ? Quelles sont, dans votre cas, les menaces importantes ?
Est il pertinent de regarder une porte close (ou de constater qu'elle a été forcée) plutôt que d'observer de l'extérieur qui commence à rôder autour de la porte ? je vous laisse méditer cette question qui renvoie au placement de la ou des sondes.http://www.snort.org/docs/iss-placement.pdf et http://snort.org/docs/100Mb_tapping1.pdf

Mon but avec IPCop c'est avant tout de l'utiliser comme IDS avec snort.

Intention potentiellement légitime mais si c'est le but alors Ipcop n'est pas l'outil qui convient. Ajouter un nat de plus à son réseau juste pour utiliser Snort n'est pas sérieux. Une fois résolu le problème du placement de la ou des sondes (attention le danger est aussi très souvent à 'intérieur du réseau), vous comprenez que la sonde doit se faire discrète et surtout ne pas répondre à une ip. Un switch avec un port span est un bon début. Trop facile pour un agresseur la noyer, de l'éluder, de vous submerger de fausse alertes. Que faites vous avec 500 mails d'alertes reçu à 3h00 du matin ? Si vous êtes vraiment une cible et que votre agresseur est un bon alors vous découvrirez les dégats de la nuit du vendredi au samedi en arrivant lundi matin. Et si il est très bon vous ne découvrirez rien du tout dans le config que vous envisagez. Vos informations auront été pillées depuis longtemps.

Snort est détectable contrairement à ce que l'on pourrait penser.

Utiliser snort signifie, pour moi, une sonde indépendante et une console de gestion. En pratique c'est aussi pas mal de besoin matériel comme des switchs avec la possiblité de configurer un port span où brancher la sonde. Sans compter les besoins humains pour l'exploitation de Snort.

Une base de départ c'est un port span (sur le switch) par point de surveillance, ce port est connecté à une machine comportant autant de cartes réseaux (ip 0.0.0.0) que de points à surveiller, plus une. Cette machine fera tourner Snort, une base SQL et la console Base (ça c'est une bonne idée). Avec la carte réseau qui reste vous pourrez vous connecter à la console. Le tout sur une machine dédiée avec un OS un peu durçi, sur un lan séparé, accessible via un vpn par exemple ou au moins un vlan isolé.

Je pense que coté perfs ça devrait tenir, le serveur qui fait tourner IPCop est assez puissant pour ça et j'ai peu de machines clientes derrière

Le problème n'est pas le nombre de machines derrière mais le volume de data qui va se présenter sur les interfaces surveillées. C'est ce volume là qui va déterminer la charge réelle à laquelle Snort va être confronté. Si vous manquez des paquets pour cause de saturation, autant prendre des vacances.

Tout cela n'est rien. C'est de la cuisine et en quelques heures (dizaines d'heures ) de travail c'est en place. Le vrai problème c'est l'exploitation de Snort.
Si vous ne configurez pas votre IDS avec les règles adaptées à vos systèmes (inutile de détecter les attaques visant IIS ou SQL server si vous n'avez aucun de ses produits sur votre réseau), vous aurez beaucoup d'alertes inutiles. IDS Policy manager est un bon outil de gestion des règles.
Je ne crois pas à une exploitation de Snort avec des alertes par mail, ou alors pour l'exercice. Dans les datacenter les consoles Snort et autres Nagios sont sous les yeux de personnes qualifiées 24/7, toute l'année. Exploiter Snort c'est, entre autre, analyser constament les logs. Et vite. Néanmoins SAM peut rester un outil utile. Une tentative d'intrusion n'est pas un événement binaire. Je ne parle pas de l'ado boutonneux qui tente un telnet sur votre port 23. Avant une véritable tentative, il y a des signes avant coureur mais très dilués, sur des jours voire des semaines. L'agresseur à besoin de connaitre votre réseau et de collecter des informations. Si il est un peu malin, je doute qu'il se lance bille en tête dans un scan de port. Il faut aussi écarter les faux positifs, affiner les règles, voire construire celles qui vous manquent. Les mettre à jour.
Bref il faut beaucoup de moyens humains.

Maintenant je ne sais pas ce que vous avez de si précieux à protéger. Il y a peu être mieux à faire pour améliorer votre sécurité ?

En vrac :
http://forums.ixus.fr/viewtopic.php?t=4 ... =ids+snort
http://www.oreilly.com/catalog/snortids ... T=snortids
et incontournable : snort.org

Désolé, nous sommes en Novembre et ce n'est pas encore l'heure du père Noel. Cela dit c'est un sujet passionnant et pour des raisons didactiques, si vous avez le temps, allez y, mais pas avec Ipcop. Je dois avoir un document sur l'installation de a à z d'une plateforme de ce genre. Si cela vous tente...
Dernière édition par ccnet le 17 Nov 2008 14:29, édité 1 fois au total.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar phlampe » 14 Nov 2008 19:48

Bon, j'ai un peu avancé et je m'auto-réponds :)

Les pré-requis pour SAM sont (voir http://projects.darkaslight.com/wiki/sam ) :
. Ruby on Rails 2.1
. Ruby MySQL ou PostGres Gem
. les logs de snort enregistrés dans une base (MySQL ou Postgres)

Les pré-requis pour BASE sont (d'après son install file) :
. Snort 2.2
. logsnorter 0.2
. MySQL 3.23 ou Postgres 7.1
. Apache 1.3
. PHP 4.04 ou 5.0
. pear 1.5.3
. ADODB 480

Vu ce que je devine des distribs spécialisées firewall comme IPCop (qui contiennent le strict minimum pour faire leur boulot), j'ai comme un doute là...

Ca voudrait dire si je comprends bien (et si les logs ne sont pas écrits dans une base MySQL), que je devrais envoyer les logs de snort vers une autre machine (comment ? par syslog ?) pour les stocker dans une base MySQL et les exploiter ensuite...

Arf... :)
Paul-Henri
phlampe
Matelot
Matelot
 
Messages: 4
Inscrit le: 14 Nov 2008 14:47

Messagepar phlampe » 14 Nov 2008 19:57

ccnet a écrit:Cela dit c'est un sujet passionnant et pour des raisons didactique, si vous avez le temps, allez y, mais pas avec Ipcop. Je dois avoir un document sur l'installation de a à z d'une plateforme de ce genre. Si cela vous tente...


Merci pour votre réponse (mon 2ème post s'est croisé avec le votre), je vais l'étudier bien au calme et effectivement ce document sur l'install de ce genre de plateforme m'intéresse.

Pour ce qui est d'IPCop, je me rends compte effectivement que ce n'est pas la meilleure plateforme pour mon besoin (avoir un IDS en interne pour vérifier qu'il n'y a pas de trafic suspect). J'étais parti sur l'idée de l'installer sur un Linux normal, je suis tombé sur IPCop qui a déjà snort dessus et je me suis dit que cela me permettais de gagner du temps pour mettre en route ma config... Pas sûr...

Pourquoi en coupure ? Pour être certain que tout le trafic passe par les 2 cartes réseau de l'IDS (et je n'ai pas de port qui peut faire du mirroring sur un point central de mon réseau).

Bon je retourne à la lecture de votre réponse :)
Paul-Henri
phlampe
Matelot
Matelot
 
Messages: 4
Inscrit le: 14 Nov 2008 14:47

Messagepar ccnet » 14 Nov 2008 20:11

En effet les messages se sont croisés.
La documentation est ici : http://www.internetsecurityguru.com/doc ... Fedora.pdf

Vous pouvez trouver un switch Cisco comme un 2900XL pour environ 100 euros sur ebay. Vous pourrez y configurer un span port.


Vu ce que je devine des distribs spécialisées firewall comme IPCop (qui contiennent le strict minimum pour faire leur boulot), j'ai comme un doute là...

Hélas je n'ai pas de doute. Base demande pas mal de choses qui n'ont pas leur place sur un firewall. C'est une bonne console.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar phlampe » 17 Nov 2008 12:34

Je viens de relire vos réponses, et merci encore pour vos conseils.

Je vais installer l'IDS à l'aide de la documentation que vous m'avez indiquée (il y en a d'ailleurs une mise à jour avec du CentOS 5: http://www.internetsecurityguru.com/doc ... ntOS_5.pdf ).

Cordialement,
Paul-Henri
phlampe
Matelot
Matelot
 
Messages: 4
Inscrit le: 14 Nov 2008 14:47

Messagepar alomamabobo » 17 Nov 2008 14:13

Merci ccnet pour cette mise au point, réponse intéressante à lire et hautement instructive pour mon information personnelle.
-=IPCop 1.4.21 Red/Green=-
alomamabobo
Second Maître
Second Maître
 
Messages: 34
Inscrit le: 16 Avr 2004 00:06

Messagepar Mat1905 » 18 Nov 2008 07:11

Vraiment bon ce ccnet :wink:

Pour moi aussi c'est tres instructif :idea:

Bonne journée
Mat1905
Matelot
Matelot
 
Messages: 6
Inscrit le: 17 Nov 2008 10:38
Localisation: Cambodge


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Google [Bot] et 1 invité

cron