Snort est un puissant système de détection et de prévention d’intrusion (IDS/IPS) open source largement utilisé en entreprise. Ce guide vous montrera comment l’installer, le configurer et l’utiliser efficacement sous Debian.
1. Prérequis
Avant de commencer, assurez-vous d’avoir :
- Un système Debian à jour
- Des privilèges root ou sudo
- Une connexion internet stable
2. Installation de Snort
Suivez ces étapes pour installer Snort :
sudo apt update
sudo apt install snort
Lors de l’installation, vous serez invité à configurer l’interface réseau. Choisissez celle que vous souhaitez surveiller.
3. Configuration de base
Éditez le fichier de configuration principal :
sudo nano /etc/snort/snort.conf
Modifiez les paramètres suivants :
ipvar HOME_NET 192.168.1.0/24
ipvar EXTERNAL_NET !$HOME_NET
var RULE_PATH /etc/snort/rules
var SO_RULE_PATH /etc/snort/so_rules
var PREPROC_RULE_PATH /etc/snort/preproc_rules
4. Cas pratiques d’utilisation
Détection d’une attaque par force brute SSH
Ajoutez cette règle à votre fichier de configuration :
alert tcp any any -> $HOME_NET 22 (msg:"Possible SSH brute force attack"; flow:to_server,established; content:"SSH"; nocase; threshold:type threshold, track by_src, count 5, seconds 60; sid:1000001; rev:1;)
Détection d’un scan de ports
Utilisez cette règle pour détecter les scans de ports :
alert tcp any any -> $HOME_NET any (msg:"Possible port scan detected"; flags:S; threshold:type threshold, track by_src, count 50, seconds 60; sid:1000002; rev:1;)
5. Commandes essentielles
- Démarrer Snort en mode IDS :
sudo snort -A console -i eth0 -u snort -g snort -c /etc/snort/snort.conf
- Tester une configuration :
sudo snort -T -c /etc/snort/snort.conf
- Analyser un fichier pcap :
sudo snort -r file.pcap -c /etc/snort/snort.conf
6. Astuces avancées
Utilisation de Pulledpork pour la gestion des règles
Pulledpork est un outil qui automatise la mise à jour des règles Snort. Installez-le ainsi :
sudo apt install pulledpork
sudo pulledpork.pl -c /etc/snort/pulledpork.conf -l
Intégration avec Barnyard2
Barnyard2 améliore les performances en déchargeant le traitement des logs. Configuration :
sudo apt install barnyard2
sudo nano /etc/snort/barnyard2.conf
output database: log, mysql, user=snort password=votre_mot_de_passe dbname=snort host=localhost
7. Optimisation et dépannage
Optimisation des performances
- Augmentez la mémoire allouée :
config detection: search-method ac-bnfa max_pattern_len 20000
- Utilisez PF_RING pour une capture de paquets plus efficace
- Activez le multithreading :
config max_threads: 4
Dépannage courant
Si Snort ne démarre pas, vérifiez :
- Les logs d’erreur :
tail -f /var/log/syslog | grep snort
- Les permissions des fichiers :
sudo chown -R snort:snort /etc/snort
- La syntaxe de la configuration :
sudo snort -T -c /etc/snort/snort.conf
En suivant ce guide, vous aurez une installation robuste et efficace de Snort sur votre système Debian. N’oubliez pas de maintenir Snort et ses règles à jour pour une sécurité optimale.