|
Voici une ventilation des étapes de configuration des clés pour configurer un capteur IDS de réseau SNORT pour surveiller un sous-réseau, ainsi que des considérations essentielles pour la gérer via une console Web:
1. Configuration matérielle et réseau:
* Hardware du capteur de sniple:
* Choisissez une plate-forme matérielle dédiée ou une machine virtuelle avec une puissance de traitement et une mémoire suffisants pour SNORT.
* Assurez-vous que le capteur a des interfaces réseau capables de surveiller le trafic de sous-réseau.
* Connectivité réseau:
* Le capteur SNORT doit être placé stratégiquement dans le réseau pour voir le trafic que vous souhaitez surveiller.
* Considérons un "port de portée" sur un interrupteur pour refléter le trafic vers le capteur sans perturber le flux du réseau principal.
* Si vous avez un réseau dédié "Management", assurez-vous que le capteur y a accès pour la configuration et les mises à jour.
2. Installation et configuration de SNORT:
* Installation de snort:
* Téléchargez et installez le package SNORT IDS (généralement à partir du site Web Snort.org) pour votre système d'exploitation.
* Choisissez la version appropriée pour vos besoins.
* Configuration:
* Configuration de l'interface: Définissez la ou les interfaces réseau sur lesquelles SNORT écoutera le trafic.
* Options de prétraitement: Décidez comment SNORT devrait prétraiter les paquets entrants (par exemple, pour la commande d'octets, vérification du numéro de séquence TCP).
* Ensembles de règles: Choisissez les ensembles de règles appropriés pour votre environnement.
* Règles préemballées de Snort: SNORT est livré avec des ensembles de règles comme "Communauté" (un ensemble à usage général) et "émergeant" (pour les menaces plus récentes).
* Règles personnalisées: Vous pouvez créer vos propres règles pour détecter des vulnérabilités spécifiques ou des modèles de comportement du réseau.
* Méthodes de sortie: Configurer comment Snort rapporte des alertes, telles que:
* Console: Affichant des alertes sur la console du capteur.
* journalisation: Écrire des alertes sur un fichier.
* Systèmes d'alerte: L'intégration avec des outils externes comme les serveurs de messagerie, les serveurs Syslog ou SIEMS.
3. Interface console basée sur le Web (gestion)
* Interface Web de snort (facultatif):
* Interface intégrée de Snort: Certaines versions SNORT incluent une interface Web de base.
* outils tiers: De nombreux outils de gestion commerciale et open source offrent une intégration de snort:
* open source:
* Onion de sécurité: Une distribution de sécurité complète avec SNORT, SURICATA et d'autres outils de sécurité.
* Elsa (Elasticsearch, Logstash, Snort et alerte): Utilise Elasticsearch et Logstash pour une collecte et une analyse efficaces d'événements.
* commercial:
* alienvault ossim: Offre une plate-forme de sécurité unifiée avec IDS, SIEM et d'autres outils de sécurité.
* ibm qradar: Un système complet de gestion SIEM et de menace.
4. Gestion et réglage des règles
* Mises à jour de la règle: Gardez les règles de SNORT mis à jour.
* Tuning des règles:
* faux positifs: Réduisez les faux positifs (alertes qui ne sont pas des menaces réelles) en réglant les règles ou en leur ajoutant un contexte.
* faux négatifs: Minimisez les faux négatifs (manquants réels) en vous assurant que vous avez les ensembles de règles appropriés.
* Analyse d'alerte: Étudiez les alertes pour déterminer leur gravité et leur impact potentiel sur votre réseau.
5. Surveillance et rapport
* Analyse du journal: Analysez régulièrement les journaux de reniflement pour identifier les tendances, les modèles et les menaces potentielles.
* tableaux de bord: Visualisez les données de reniflement à l'aide de tableaux de bord pour surveiller la santé du réseau et les incidents de sécurité potentiels.
Exemple de configuration:
* Fichier de configuration de snort (snort.conf):
`` '
# Interface à surveiller
# Cela suppose que vous avez un interrupteur avec un port de span configuré
# et le capteur de snipt est connecté à ce port de portée
Interface d'entrée 0 eth1
# Options de prétraitement (vous devrez peut-être les ajuster)
PPS du moteur préprocesseur
Ordre d'octets du moteur préprocesseur
fragment de moteur préprocesseur
# Ensembles de règles
# Utilisez des ensembles appropriés pour votre environnement
règne / etc / snort / règles
# Ensembles de règles par défaut inclus avec SNORT
var dule_path / etc / snort / règles
Inclure $ règle_path / communautaire.rules
inclure $ dule_path / emerging.rules
# Configuration de sortie
Syslog de sortie du journal
`` '
Considérations clés:
* Performances du réseau: Assurez-vous que le capteur n'a pas d'impact négatif sur les performances de votre réseau en configurant correctement sa capacité de traitement.
* faux positifs: Attendez-vous à un certain nombre de faux positifs et avoir un plan pour les réduire.
* Gestion des alertes: Avoir un processus défini pour manipuler et étudier les alertes.
* Sécurité du capteur: Sécurisez le capteur SNORT lui-même contre les attaques (par exemple, utilisez des mots de passe forts, gardez-le à jour et utilisez des pare-feu).
Rappelez-vous: Il s'agit d'un aperçu de haut niveau. Les étapes et les choix de configuration spécifiques que vous faites dépendront de votre environnement réseau, de vos besoins de sécurité et de la version Snort que vous utilisez. Il est crucial de rechercher et de tester soigneusement votre configuration avant de déployer SNORT dans un environnement de production.
|
