PfSense: Snort, détection d’intrusion.

Nous avons eu un cours sur Snort lors de la formation Technicien Supérieur Systèmes et Réseaux

Pour notre projet en commun, c’est Brian T. qui a mis en place Snort et rédigé la documentation sur cette fonctionnalité importante et essentielle de PfSense pour la détection d’ intrusions

On installe Snort  depuis le gestionnaire de paquets de PfSense

On recherche Snort dans le gestionnaire de paquets


Cliquez sur ‘Installer’ puis ‘Confirmer’

une fois l’opération effectuée, on se rend dans Snort depuis le menu ‘Services’

On choisit Global Settings. Mais il nous faut tout d’abord  un Oinkcode.

Pour obtenir un OinkCode , on se rend sur  le site https://www.snort.org.

On clic sur l’adresse e-mail en haut à droite et ensuite sur
Oinkcode’.

On se rend dans notre boite mail, on copie le code obtenu et on l’entre dans la partie Global Settings de Snort.
1. Ensuite, cocher les cases :

  • Enable Snort GPLv2 pour les règles communautaire
  • Enable ET Open
  • Enable OpenAppID
  • Enable RULES OpenAppID

Localiser la zone Paramètres de mise à jour des règles et appliquer  la configuration suivante :

  • Intervalle de mise à jour – Sélectionnez l’intervalle de mise à jour souhaité
  • Heure de démarrage de mise à jour – Définir l’heure désirée pour mettre à jour les règles Snort

Localiser la zone Paramètres généraux et effectuer la configuration suivante :

  • Supprimer l’intervalle des hôtes bloqués – 1 heure –
  • Supprimer les hôtes bloqués après la désinstallation – Oui –
  • Conserver les paramètres Snort après la désinstallation – Non –

Ensuite on clique sur ‘Update Rules’ dans l’onglet ‘Mises à jour’.

Après quelques instants, PfSense nous avertit que la mise à jour des règles est un ‘Succès’.

Dans l’onglet ‘Snort Interfaces’.
On active l’interface et on choisit l’interface sur laquelle appliquer les paramètres. Puis, on enregistre.

On choisit « la méthode utilisée » pour la recherche des attaques e ton coche « optimiser la recherche » puis, on enregistre.

Une fois l’enregistrement effectué, on clique sur l’icône de modification de la règle (l’icône en forme de crayon).


On accède à l’onglet « Catégories Wan » et on effectue la configuration suivante :

  • Résoudre les débits – Oui
  • Utiliser la politique IPS – Oui
  • Sélection des politiques IPS – Security

( IPS = Intrusion prevention system )

On enregistre puis on démarre le service ‘Snort’ en cliquant sur l’icône triangulaire sous ‘Snort Status’.

Snort est maintenant actif.

On retourne dans ‘Wan Categories’, on clique sur ‘Select All’ pour sélectionner toutes les règles de l’ IDS/IPS.

Le logiciel Nmap peut être utilisé pour vérifier l’apparition d’alertes sur notre IDS/IPS (téléchargeable depuis

https://nmap.org.   pour les systèmes Windows Microsoft, ce logiciel étant présent dans les dépôts de toutes les distributions Linux essentielles )

 

Exemple de test avec Nmap:

 

Des alertes apparaissent dans Services / Snort / Alertes.

Les commentaires sont fermés.