Système de prévention des intrusions ¶
Le système de prévention des intrusions (IPS) DMS-SDWAN est basé sur Suricata et utilise Netmap pour améliorer les performances et minimiser l'utilisation du processeur. Ce système d'inspection approfondie des paquets est très puissant et peut être utilisé pour détecter et atténuer les menaces de sécurité à la vitesse du câble.
IDS et IPS ¶
Il est important de définir les termes utilisés dans ce document. Un système de détection d'intrusion (IDS) surveille le trafic réseau à la recherche de modèles suspects et peut alerter les opérateurs lorsqu'un modèle correspond à une base de données de comportements connus. Un système de prévention des intrusions (IPS) va encore plus loin en inspectant chaque paquet lorsqu'il traverse une interface réseau pour déterminer si le paquet est suspect d'une manière ou d'une autre. S'il correspond à un modèle connu, le système peut supprimer le paquet pour tenter d'atténuer une menace.
Le logiciel Suricata peut fonctionner à la fois comme système IDS et IPS.
Choisir une interface ¶
Vous pouvez configurer le système dans différentes interfaces. L'une des questions les plus fréquemment posées est quelle interface choisir. Compte tenu de l'utilisation continue IPv4, généralement associée à la traduction d'adresses réseau , il est très important d'utiliser la bonne interface. Si vous capturez du trafic sur une interface WAN, vous ne verrez que le trafic après la traduction d'adresse. Cela signifie que tout le trafic provient de votre pare-feu et non de la machine derrière lui qui déclenche probablement l'alerte.
Les règles d'un système IDS / IPS doivent généralement avoir une compréhension claire du réseau interne; ces informations sont perdues lors de la capture de paquets derrière NAT.
Sans essayer d'expliquer tous les détails d'une règle IDS (les gens de Suricata sont bien mieux à faire cela ), un petit exemple de l'une des règles ET ouvertes permet généralement de comprendre l'importance de votre réseau domestique.
alert tls $HOME_NET any -> $EXTERNAL_NET any (msg:"ET TROJAN Observed Glupteba CnC Domain in TLS SNI"; flow:established,to_server; tls_sni; content:"myinfoart.xyz"; depth:13; isdataat:!1,relative; metadata: former_category MALWARE; reference:md5,4cc43c345aa4d6e8fd2d0b6747c3d996; classtype:trojan-activity; sid:2029751; rev:2; metadata:affected_product Windows_XP_Vista_7_8_10_Server_32_64_Bit, attack_target Client_Endpoint, deployment Perimeter, signature_severity Major, created_at 2020_03_30, updated_at 2020_03_30;)
le $HOME_NETpeut
être configuré, mais il s'agit généralement d'un réseau statique défini dans la RFC 1918 . En utilisant le mode avancé, vous pouvez
choisir une adresse externe, mais gardez à l'esprit que vous ne saurez pas quelle machine a
réellement été impliquée dans l'attaque et qu'il devrait s'agir en réalité d'une adresse ou d'un
réseau statique.
$EXTERNAL_NETest défini comme n'étant pas le réseau domestique, ce qui explique pourquoi vous ne devez pas sélectionner tout le trafic comme réseau domestique, car aucune des règles ne correspondra probablement.
Étant donné que le pare-feu supprime les paquets entrants par défaut, l'utilisation de l'interface WAN en mode IPS n'améliore généralement pas la sécurité, car cela supprimerait le paquet qui aurait également été supprimé par le pare-feu.
Le mode IDS est disponible sur presque tous les types de réseaux (virtuels). Le mode IPS est uniquement disponible avec les cartes physiques pris en charge .
Configuration générale Paramètre ¶
La page des paramètres contient les options standard pour que votre système IDS/IPS soit opérationnel.
|
Activée |
Activer Suricata |
|
Mode IPS |
Lorsqu'il est activé, le système peut supprimer des paquets suspects. Pour que cela fonctionne, votre carte réseau doit prendre en charge netmap. L'action pour une règle doit être « abandonner » afin de rejeter le paquet, cela peut être configuré par règle ou ensemble de règles (en utilisant le filtre d'entrée) |
|
Mode promiscuité |
Écoutez le trafic en mode promiscuité. (Tous les paquets au lieu de seulement ceux adressés à cette interface réseau) |
|
Activer les alertes syslog |
Envoyer des alertes à syslog en utilisant le format de journal rapide |
|
Activer la sortie eve syslog |
Envoyez des alertes au format EVE en utilisant les informations de niveau de journal. Cela ne changera pas la journalalisation des alertes utilisée par le produit lui-même. Les journaux de dépôt ne seront envoyés qu'à l'enregistreur interne en raison des restrictions de suricata. |
|
Matcher de motif |
Contrôle l'algorithme de mise en correspondance de modèles. Aho - Corasick est la valeur par défaut. Sur les plates-formes prises en charge, Hyperscan est le meilleur choix. Sur le matériel, si l'Hyperscan n'est pas disponible, le paramètre suggéré est "Variante Aho - Corasick Ken Steele" car il fonctionne mieux que "Aho-Corasick". |
|
Interfaces |
Interfaces à protéger.En mode IPS, il doit s'agir de véritables interfaces prenant en charge netmap. (Lors de l'utilisation du VLAN, activez IPS sur le parent) |
|
Faire pivoter le journal |
Fréquence de rotation du journal, également utilisée pour la journalisation des événements internes (voir onglet Alerte) |
|
Enregistrer les journaux |
Nombre de journaux à conserver |
Options avancées ¶
Certaines options moins fréquemment utilisées sont masquées sous la bascule « avancées ».
|
Réseaux domestiques |
Définissez des réseaux domestiques personnalisés, lorsqu'ils sont différents d'un réseau RFC1918. Dans certains cas, les gens ont tendance à activer IDPS sur une interface wan derrière NAT (Network Address Translation), auquel cas Suricata ne verrait que les adresses traduites au lieu des adresses internes. En utilisant cette option, vous pouvez définir les adresses que Suricata doit considérer comme locales. |
|
Taille de paquet par défaut |
Avec cette option, vous pouvez définir la taille des paquets sur votre réseau. Il est possible que des paquets plus volumineux doivent parfois être traités. Le moteur peut toujours traiter ces paquets plus volumineux, mais leur traitement réduira les performances. |
Télécharger les ensembles de règles ¶
Lors de l'activation d'IDS/IPS pour la première fois, le système est actif sans aucune règle pour détecter ou bloquer le trafic malveillant. L'onglet de téléchargement contient tous les ensembles de règles disponibles sur le système (qui peuvent être étendus à l'aide de plugins).
Dans cette section, vous trouverez une liste des ensembles de règles fournis par différentes parties et quand (s'ils sont installés) ils ont été téléchargés pour la dernière fois sur le système. Dans les versions précédentes (antérieures à la 21.1), vous pouviez sélectionner un « filtre » ici pour modifier le comportement par défaut des règles installées d'alerte à blocage. À partir du 21.1, cette fonctionnalité sera couverte par les politiques , une fonction distincte au sein du module IDS / IPS, qui offre un contrôle plus fin sur les ensembles de règles.
Stratégies ¶
L'élément de menu de stratégie contient une grille dans laquelle vous pouvez définir des stratégies à appliquer aux règles installées. Ici, vous pouvez ajouter, mettre à jour ou supprimer des politiques ainsi que les désactiver. Les politiques aident à contrôler les règles que vous souhaitez utiliser et de quelle manière et constituent la méthode préférée pour modifier le comportement. Bien que vous puissiez toujours mettre à jour des règles distinctes dans l'onglet règles, l'ajout de nombreux écrasements personnalisés est plus sensible au changement et risque de ralentir l'interface utilisateur.
Une entrée de stratégie contient 3 sections différentes. D'abord quelques informations générales, telles que la description et si la règle est activée ainsi qu'une priorité. Les stratégies qui se chevauchent sont prises en charge dans l'ordre, la première correspondance avec le numéro de priorité le plus bas est celle à utiliser.
Deuxièmement, il y a les critères de correspondance, ceux-ci contiennent l' ensemble des règles sur lesquels une politique s'applique ainsi que l'action configurée sur une règle (désactivée par défaut, alerte ou suppression), enfin il y a la section des règles contenant les métadonnées collectées à partir des règles installées, ces contiennent des options comme produit concerné (Android, Adobe flash, …) et déploiement (datacenter, périmètre).
La dernière option à sélectionner est la nouvelle action à utiliser, soit désactiver les règles sélectionnées, les alerter uniquement ou supprimer le trafic lorsqu'elles correspondent.
Règles installées ¶
L'onglet des règles offre une grille facile à utiliser pour trouver les règles installées et leur objectif, en utilisant le sélecteur en haut, on peut filtrer les règles en utilisant les mêmes propriétés de métadonnées disponibles dans la vue des politiques.
Empreinte digitale ¶
DMS-SDWAN inclut une solution très soignée pour bloquer les sites protégés en fonction de leur empreinte SSL. Vous pouvez ajouter manuellement des règles à l'onglet "Défini par l'utilisateur".
Alertes ¶
Dans l'onglet « Alertes », vous pouvez afficher les alertes déclenchées par le système IDS/IPS. Utilisez le bouton d'informations ici pour collecter des détails sur l'événement ou la menace détecté.
Ensembles de règles disponibles ¶
Menaces émergentes ¶
Les menaces émergentes (ET) ont une variété d'ensembles de règles IDS / IPS. Une version gratuite sous licence BSD et une version payante disponibles.
ET Open ¶
L'ensemble de règles ETOpen n'est pas un ensemble de règles de couverture complète et peut ne pas être suffisant pour de nombreux environnements réglementés et ne doit donc pas être utilisé comme ensemble de règles autonomes.
DMS-SDWAN a intégré la prise en charge des règles ETOpen.
-
Pour plus de détails et les directives, voir: http://doc.emergingthreats.net/bin/view/Main/EmergingFAQ
-
Pour la documentation des règles: http://doc.emergingthreats.net/
Télémétrie ETPro ¶
Proofpoint offre une alternative gratuite au jeu de règles bien connu de l'édition ET Pro Telemetry .