Scribd Logo
Importer

Bienvenue sur Scribd !

  • 98 vues

    IPS Et IDS

    Transféré par

    Adama COULIBALY
    Ce document décrit les étapes de configuration de Snort sur un pare-feu pfSense. Il explique comment activer les fonctionnalités de Snort, mettre à jour les règles, configurer les interfaces réseau, les préprocesseurs et les paramètres. Le document fournit également des explications sur la visualisation et la gestion des alertes Snort.

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme DOCX, PDF, TXT ou lisez en ligne sur Scribd

    IPS Et IDS

    Transféré par

    Adama COULIBALY
    98 vues18 pages
    Ce document décrit les étapes de configuration de Snort sur un pare-feu pfSense. Il explique comment activer les fonctionnalités de Snort, mettre à jour les règles, configurer les interfaces réseau, les préprocesseurs et les paramètres. Le document fournit également des explications sur la visualisation et la gestion des alertes Snort.

    Titre original

    IPS et IDS

    Copyright

    © © All Rights Reserved

    Formats disponibles

    DOCX, PDF, TXT ou lisez en ligne sur Scribd

    Avez-vous trouvé ce document utile ?

    Ce contenu est-il inapproprié ?

    Ce document décrit les étapes de configuration de Snort sur un pare-feu pfSense. Il explique comment activer les fonctionnalités de Snort, mettre à jour les règles, configurer les interfaces réseau, les préprocesseurs et les paramètres. Le document fournit également des explications sur la visualisation et la gestion des alertes Snort.

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme DOCX, PDF, TXT ou lisez en ligne sur Scribd
    Télécharger au format docx, pdf ou txt
    98 vues18 pages

    IPS Et IDS

    Transféré par

    Adama COULIBALY
    Ce document décrit les étapes de configuration de Snort sur un pare-feu pfSense. Il explique comment activer les fonctionnalités de Snort, mettre à jour les règles, configurer les interfaces réseau, les préprocesseurs et les paramètres. Le document fournit également des explications sur la visualisation et la gestion des alertes Snort.

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme DOCX, PDF, TXT ou lisez en ligne sur Scribd
    Télécharger au format docx, pdf ou txt
    Vous êtes sur la page 1sur 18

    Configuration de snort 

    :
    Après avoir téléchargé le paquet snort, nous allons procéder à sa configuration :

    - D’abord aller dans services >snort >global settings activer enable snort vrt et enable
    snort GPLv2
     L’activation de snort vrt permet de télécharger des règles d’utilisateur
    enregistré gratuit ou d’abonné payant. Ainsi en l’activant, il est nécessaire
    d’avoir le code.

    Pour obtenir le code, il va falloir créer un compte sur snort. Ainsi en cliquant sur « Sign
    Up a free Registered User Rules Account » on a:
    - Cliquez sur sign up mettez votre mail et mot de passe

    - Ensuite vous allez recevoir un mail de confirmation après avoir confirmé vous aurez
    accès à votre compte et au code.
    - Copiez le code et collez le dans « snort oinkmaster code ».
    - Ensuite activez le GPLV2 , ET Open , OpenAppID ,rules OpenAppID

     L’activation d’OpenAppID permet de télécharger le fichier sources des


    détecteurs OpenAppID .Le package de détecteurs OpenAppID contient les
    signatures d’applications requises par le préprocesseur AppID et les règles de
    textes OpenAppID.
     L’activation d’AppID Open Text Rules permet de télécharger des règles de
    textes ouverts AppID
    - Définir les règles de mise à jour
     L’activation de Hide Deprecated Rules Categories permet de masquer les
    catégories de règles obsolètes dans l’interface graphique et les supprimer de
    la configuration.
    - Définir les paramètres généraux

     Activation de keep Snort settings After deisntal permet de conserver les


    paramètres de snort après suppression des paquets.
    - Allez dans updates et cliquez sur Updates Rules
    - Après les mises à jour on a :

    - Après aller dans snort interfaces et cliquez sur ADD


    - Allez dans none settings
    ++définir les paramètres généraux

    - Définir les paramètres d’alertes et de blocages (IPS)


     Activation de block offenders bloquera automatiquement les hôtes qui
    génèrent une alerte snort.
    ++Définir les paramètres de détection de performances :

    ++Ensuite sauvegardez
    - Allez dans wan categories
     L’activation de resolv flowbits Snort examinera les règles activées dans les
    catégories de règles que vous avez choisies pour les débits vérifiés. Toutes les
    règles qui définissent ces débits dépendants seront activées et ajoutés à la
    liste des fichiers dans le répertoire des règles d’interface.
    - activez le snort GPlv2 community Rules et cliquez sur select all

    - puis sauvegardez
    - Allez dans wan rules
    ++ Définir la catégorie de sélection
    - Allez dans wan preprocs
    ++Activez

     L’activation de RPC normalise ou décode le trafic RPC retour Orifice sur le


    réseau.
     L’activation de DCE/RPC détection permet de détecter et décoder le trafic
    SMB et DCE/RPC.
     L’activation de SIP detection permet au préprocesseur SIP détecter le trafic
    SIP et détecte les vulnérabilités.
     L’activation de DNS Detection permet de décoder le trafic de réponse DNS et
    détecte les vulnérabilités.
     L’activation de SSL Data permet aux données SSL de rechercher des
    irrégularités lors de l’échange de protocole SSL.
     L’activation de SSH detection permet de détecter diverses tentatives
    d’exploit de shell sécurisé.
     L’activation de http INSPECT permet de normaliser ou décoder et détecter les
    anomalies de trafic et de protocole http.
     L’activation frag3 permet d’utiliser le moteur frag3 pour détecter les
    tentatives d’évasion IDS via un paquet IP basé sur la cible.
     L’activation de Stream5 target-based permet utiliser le réassemblage de
    session stream5 pour le trafic TCP, UDP et/ou ICMP.
    ++Activez Application ID Detection et AppID Stat Periods.
     L’activation Application ID Detection permet d’utiliser openAppID pour
    détecter diverses applications.
     L’activation AppID Stats Logging permet la connexion statistique
    openAppID.
    ++ Activez Portscan Detection

     L’activation de Portscan Detection permet d’utiliser la détection de balayage de


    ports pour détecter divers types de balayages et de balayages de ports.
    ++ Activez le FTP and global Options

     L’activation des paramètres de FTP and Telnet permet de normaliser ou décoder


    le trafic FTP et Telnet et les anomalies de protocole.
     L’activation de check Encrypted traffic permet de continuer à vérifier une session
    cryptée pour une commande ultérieure pour arreter le cryptage.
    ++ Activez Normalization et Detect Anomalies

     L’activation Normalization permet de normaliser le trafic telnet en éliminant les


    séquences d’échappement telnet.
     L’activation de Detect Anomalies c’est pour les alertes sur le début de la sous-
    négociation telnet sans fin de la sous-négociation correspondante.
    ++ Activez Sensentive Data Detection
     L’activation de Sensitive Data Detection permet de rechercher les données
    sensibles de carte de crédit numéros de sécurité sociale et adresse e-mail dans les
    données.
    ++Activez ARP Spoof Detection et Unicast ARP Checks

     L’activation d’ARP Spoof Detection permet de détecter les attaques ARP et le


    mappage Ethernet vers IP incohérent.
    ++ Activez Pop3 Decoder
     L’activation de POP3 Decoder permet de normaliser ou décoder le protocole POP3
    pour l’application et les débordements de tampon.
    ++ Activez IMAP Decoder

     L’activation de l’IMAP Decoder permet de normaliser ou décoder le protocole IMAP


    pour l’application et les débordements de tampon.
    ++ Activez SMTP Decoder
     L’activation de SMTP Decoder permet de normaliser ou décoder le protocole SMTP
    pour l’application et les débordements de tampon
    ++ Sauvegardez
    - Retourner dans Snort Interfaces et mettez en marche l’interface

    - Allez dans la page d’accueil de pfsense en dessous d’Interfaces normalement on doit


    avoir Snort Alerts affiché
    - Allez dans services > snort > Alerts
     La colonne date indique la date et l’heure de génération de l’alerte. Les colonnes
    restantes affichent les données de la règle qui a généré l’alerte.
     Dans les colonnes Source et Destination se trouvent des icônes de recherches
    permettant d’effectuer des adresses DNS inversées sur les adresses IP ainsi qu’une
    icône permettant d’ajouter une entée de liste de suppression automatique pour
    l’alerte à l’aide de l’adresse IP et du SID (ID de signature). Cela empêchera que des
    futures alertes ne soient générées par la règle pour cette adresse IP spécifique
    uniquement. Si l’une des adresses source ou destination est actuellement bloquée
    par snort une icône de suppression s’affichera également .Cliquer sur cette icone et
    le blocage de l’adresse IP sera supprimé.
     La colonne SID contient deux icones l’icône pour ajouter automatiquement ce SID à
    la liste de suppression de l’interface et supprimera les futures alertes de la
    signature pour les adresses IP. L’icône pour supprimer dans la colonne SID
    désactivera la règle et la supprimera de l’ensemble des règles d’application.
    Lorsqu’une règle est désactivée manuellement l’icône dans la colonne SID devient
    un icone de suppression.
    - Puis allez dans blocked

    Vous aimerez peut-être aussi

    pFad - Phonifier reborn

    Pfad - The Proxy pFad of © 2024 Garber Painting. All rights reserved.

    Note: This service is not intended for secure transactions such as banking, social media, email, or purchasing. Use at your own risk. We assume no liability whatsoever for broken pages.


    Alternative Proxies:

    Alternative Proxy

    pFad Proxy

    pFad v3 Proxy

    pFad v4 Proxy