[Pre] IDS: Snort et Prelude
Comment faire fonctionner ces deux logiciels ensemble?
Usine à gaz? non!
Prelude, au fil de son évolution a compris que Snort commencé à dominer le secteur des NIDS libres. Il a donc centré ses efforts sur la partie 'manager' et 'sonde HIDS'.
A partir de la version 0.9 de Snort, une option est ajoutée qui permet de compiler Snort pour l'utilisation avec Prelude.
Depuis lors, nous sommes à la version 2.8.0.1 de Snort et 0.9.11 de Prelude.
Prelude-manager
Prelude est divisé en 2 parties, le manager et le HIDS (lml).
Le manager servira de coeur au système, toutes les sondes lui enverront leurs alertes.
Prelude-lml
Le lml est le HIDS de Prelude. Il va analyser et surveiller les journaux (logs) du système sur lequel il est installé. Entre autre, il pourra avertir en cas de connection du 'root', de mauvais mot de passe, de connection à distance (ssh, telnet), de modification de la date des fichiers des logs etc.....
Sachant que l'on peut lui rajouter des plugins selon les services (postfix, squid, ftp ....).
Il enverra ses alertes à son manager.
Serveur Mysql ou Postgre
Il est toujours plus pratique de stocker les alertes dans une base de données qui sera facilement exploitable.
Ici, le manager de Prelude enregistrera les alertes reçues dans la base de données configurée.
Snort
Snort sera compilé pour fonctionner avec prelude, c'est à dire, quand il détectera une alerte, il la mettra dans son fichier de log et il l'enverra à son manager.
La machine acceuillant la sonde Snort, devra être dédiée, et placée à certains endroits clés de votre réseau, et devra pouvoir tout voir (sniffer) donc en port mirroring ou en utilisant un TAP.
Frontend
Le frontend servira d'interface pour l'administrateur. Il pourra voir en temps réel les alertes sur son réseau. Il faudra utiliser 'Prewikka' qui est le seul frontend en activité chez Prelude.
Une fois tout ceci en place, il faudra regarder quotidiennement l'interface pour voir les alertes, rectifier les règles (il faut les adapter à son propre réseau), vérifier les faux positifs, et bien sûr garder une trace de toutes vos actions.
Mais que faire quand on est attaqué?
Faux positifs:
C'est lorsque l'IDS détecte une alerte alors que c'est en fait juste un comportement normal du réseau.
Mais comme tous les réseaux sont différents, et qu'il y a tellement de services utilisants des protocoles, ports, constructions de trames différentes alors il y a parfois des faux positifs.