Ceci est une ancienne révision du document !
FWSnort - Système de Prévention d'intrusion
FWSnort est un ips ( système de prévention d'intrusion ) agissant de pair avec le pare-feu iptable ( intégré dans ubuntu/linux ) afin de bloquer des attaques réseau qu'il détecte.
fwsnort, comme son nom l'indique, convertit les règles de Snort dans le pare-feu iptables. fwsnort évalue d'abord votre pare-feu actuel et ajoute des règles pour le trafic acceptés. Par défaut, fwsnort logue le trafic suspect, et psad 1) surveille les journaux.
fwsnort accepte les arguments de ligne de commande pour restreindre le traitement à une classe particulière des règles snort comme "ddos", "backdoor" ou "web-attaques".
Le traitement peut même être limité à une règle Snort spécifique identifié par son "id snort" ou "sid". fwsnort fait usage de IPTables:: Parse module pour traduire les règles de Snort pour laquelle le trafic correspondant pourrait être passé à travers le jeu de règles iptables existants. Autrement dit, si iptables ne va pas passer, par exemple, le trafic HTTP, puis fwsnort ne comprendra pas les signatures HTTP au sein de l'ensemble de règles iptables qu'elle construit.
Site officiel : http://www.cipherdyne.org/projects/fwsnort/
Installation
Par les dépots
Installation à partir du site officiel
fwsnortversion=fwsnort-1.1 cd ~/Téléchargements wget http://cipherdyne.org/fwsnort/download/$fwsnortversion.tar.gz tar xvf $fwsnortversion.tar.gz cd $fwsnortversion sudo ./install.pl
- Appuyez sur entrer pour accepter les paramètres par défaut.
Compilation du kernel compatible
wget http://www.kernel.org/pub/linux/kernel/v2.4/linux-2.4.21.tar.bz2 wget http://www.netfilter.org/files/iptables-1.2.7a.tar.bz2 wget http://www.netfilter.org/files/patch-o-matic-20030107.tar.bz2 wget http://www.cipherdyne.com/fwsnort/download/string_replace_iptables.patch wget http://www.cipherdyne.com/fwsnort/download/string_replace_kernel.patch tar -jxf linux.2.4.21.tar.bz2 tar -jxf iptables-1.2.8.tar.bz2 tar -jxf patch-o-matic-20030107.tar.bz2 echo "Apply libipt_string patch to iptables source and build iptables kernel and user spaces code:" cd iptables-1.2.7a/extensions patch -p1 < libipt_string.c.patch make KERNEL_DIR=../linux-2.4.21 sudo make install KERNEL_DIR=../linux-2.4.21 echo "Next step is to apply a string match support from a patch-o-matic package. " cd patch-o-matic-20030107 KERNEL_DIR=../linux-2.4.21 ./runme extra
Redémarrer avec ce kernel.
Configuration
Mettre à jour les règles
Lancer la récupération de règle de type snort :
cd /etc/fwsnort/snort_rules/ wget http://www.emergingthreats.net/rules/emerging.rules.tar.gz tar xvf emerging.rules.tar.gz cp rules/* .
La commande par défaut récupère http://www.emergingthreats.net/rules/emerging-all.rules :
sudo fwsnort --update-rules
Lancer la génération du script d'installation des règles
Lancez cette commande pour générer le script avec des règles choisi :
sudo fwsnort --include-type ddos
Explication détaillée
Pour tout transformer en règle snort :
sudo fwsnort
Pour affiner le choix des règles ( voir :"man fwsnort" ) :
- Choisir des règles ( par expression régulière ) :
sudo fwsnort --include-regex
- Choisir des règles en fonction du type ( fonctionne avec les règles du site snort, non-libre, par défaut fwsnort prend les règles emerging-all adapté pour ips ) :
sudo fwsnort --include-type
- Exclure des règles :
sudo fwsnort --exclude-type
- Sélectionner une règle snort selon son id :
sudo fwsnort --snort-sid 2001842,1834
fwsnort --no-ipt-test --verbose
Exécuter le script d'installation des règles
- script qui ajoutera les règles à iptable :
sudo /etc/fwsnort/fwsnort.sh
Appliquer le script d'installation des règles au démarage
- Editez /etc/rc.local :
sudo gedit /etc/rc.local
- et ajouter /etc/fwsnort/fwsnort.sh
(facultatif?)Mettre à jour régulièrement
- Editez /etc/rc.local :
sudo gedit /etc/rc.local
- et ajouter à la fin :
Ressource
fwsnort a fait l'objet d'un article de sécurité en vedette "Prévention basic d'intrusions en utilisant le filtrage basé sur le contenu" sur linuxsecurity.com, et est également apparue dans SysAdmin Magazine dans l'article "filtrage de contenu et inspection avec fwsnort et psad". fwsnort est également en vedette dans le livre "Resolution de Pare-feu Linux (R) " par Michael Shinn et Scott Shinn, et publié par Addison Wesley, et un traitement complet de fwsnort peuvent être trouvés dans "Linux Firewalls: Attack Detection and Response avec iptables, psad et fwsnort"publié par No Starch Press.
Tutoriel
- (en) NIDS with psad and fwsnort (ubuntu, debian, fedora)
- (en) DEPLOYING FWSNORT
Liens externes
Contributeurs : Psychederic, …