Déployer Snort 3 - IDS
Dans le durcissement (hardening) de vos serveurs, le déploiement d'un outil de surveillance réseau est essentiel. Snort se présente aujourd'hui comme la meilleure alternative open source dans le milieu des IDS (Intrusion Detection System).
Voyons ensemble comment le déployer sur un serveur Ubuntu et mettre en place un jeu de règles.
Qu'est-ce qu'un IDS et qu'est-ce que Snort
Un IDS (ou Intrusion Detection System) est un logiciel de détection réseau. Ce dernier protégera votre système en analysant en temps réel les informations et entrées réseaux. Grâce à cette analyse constante, les IDS seront capable d'interprété les logs réseaux afin de détecter des comportements anormaux et de potentielles attaques. La deuxième force de l'IDS, ce qui le sépare de son cousin l'IPS (Intrusion Prevention System), c'est qu'il est actif face aux menaces. Il pourra donc agir en cas de détection et sera en mesure de prendre des décision seul.
Snort est donc une référence dans le milieu des IDS, ce dernier analysera votre réseau en temps réel et le comparera a un ensemble de règles de sécurité. Dès que Snort aura identifié une comportement suspect sur votre réseau, il génèrera une alerte de sécurité et pourra donc agir contre certaines menaces directement.
Dans sa configuration, Snort prendra donc un ensemble de règles mais héritera également d'un mode. La mise en place de ce mode définira son utilisation et ses actions. Parmi ces modes, nous trouvons notamment :
- Mode Sniffer : Ce mode
- Mode IDS :
Les liens
Vous trouverez toutes les informations comprises dans ce tutoriel ainsi que d'autres éléments directement sur le site officiel de Snort
La documentation quant à elle se trouve ici
Et vous pouvez également vous procurer un ensemble de règles de la communauté ici https://www.snort.org/downloads/community/snort3-community-rules.tar.gz
