Différences
Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente | ||
suricata [Le 02/02/2012, 16:10] psychederic |
suricata [Le 11/09/2022, 10:34] (Version actuelle) moths-art Suppression des espaces en fin de ligne (détecté et corrigé via le bot wiki-corrector (https://forum.ubuntu-fr.org/viewtopic.php?id=2067892) |
||
---|---|---|---|
Ligne 4: | Ligne 4: | ||
====== Suricata : Système de détection et de prévention d'intrusion ====== | ====== Suricata : Système de détection et de prévention d'intrusion ====== | ||
{{http://openinfosecfoundation.org/images/stories/suricata.png?175 }} | {{http://openinfosecfoundation.org/images/stories/suricata.png?175 }} | ||
- | Le moteur Suricata est un IDS/IPS Open Source. Ce moteur n'est pas destiné à remplacer à la ou émuler les outils existants dans l'industrie, mais ils apporteront de nouvelles idées et technologies sur le terrain. | ||
- | OISF fait partie et est financée par le Department of Homeland Direction de la sécurité pour la science et la technologie hôte programme (Open Homeland Security Technology), par l'espace de la Navy and Naval Warfare Systems Command (SPAWAR), ainsi que par le soutien très généreux de la membres du Consortium OISF. Plus d'informations sur le Consortium est disponible, ainsi qu'une liste de nos membres actuels du consortium. | + | Le Moteur Suricata est un moteur de détection et de prévention des intrusions de nouvelle génération. |
- | Le moteur de Suricata et la Bibliothèque HTP sont disponibles pour l'utilisation sous licence GPL 2. | + | Ce moteur n'est pas destiné à simplement remplacer ou imiter les outils existants dans l'industrie, mais apportera de nouvelles idées et technologies sur le terrain. |
- | Voir aussi : [[snort inline]] | + | Le moteur Suricata et la bibliothèque HTP sont disponibles sous GPLv2. |
+ | |||
+ | Le moteur Suricata est un IDS/IPS Open Source. | ||
+ | |||
+ | Nouveauté : intégration de LUA, ce qui permet par exemple de faire des recherches plus poussées, [[https://blog.inliniac.net/2012/09/08/first-impressions-of-luajit-performance-in-suricata/|des regex]] etc ... | ||
Site officiel : http://openinfosecfoundation.org/index.php/download-suricata | Site officiel : http://openinfosecfoundation.org/index.php/download-suricata | ||
===== Installation ===== | ===== Installation ===== | ||
+ | ====Par launchpad (conseillé)==== | ||
[[:tutoriel:comment_installer_un_paquet|Installez le paquet]] [[apt://suricata|suricata]]. | [[:tutoriel:comment_installer_un_paquet|Installez le paquet]] [[apt://suricata|suricata]]. | ||
- | La dernière version est disponible sur le [[:ppa|dépôt ppa]] [[https://launchpad.net/~honeynet/+archive/nightly|ppa:honeynet/nightly]] ,puis recharger la liste des paquets ,Philipp Seidel maintient les mises à jour de Suricata pour [[lucid|Ubuntu Lucid]], [[maverick|Ubuntu Maverick]]. | + | La dernière version est disponible sur le [[:ppa|dépôt ppa]] [[https://launchpad.net/~honeynet/+archive/nightly|ppa:honeynet/nightly]], puis recharger la liste des paquets, Philipp Seidel maintient les mises à jour de Suricata pour [[lucid|Ubuntu Lucid]], [[maverick|Ubuntu Maverick]]. |
==== Compilation ==== | ==== Compilation ==== | ||
* [[http://openinfosecfoundation.org/index.php/download-suricata|Télécharger les sources]]. | * [[http://openinfosecfoundation.org/index.php/download-suricata|Télécharger les sources]]. | ||
- | * Dépendances : | + | * Dépendances : |
* Compiler. | * Compiler. | ||
Ligne 35: | Ligne 38: | ||
cd | cd | ||
mkdir suricata-1.0.5 | mkdir suricata-1.0.5 | ||
- | wget http://people.redhat.com/sgrubb/libcap-ng/libcap-ng-0.6.4.tar.gz | + | wget https://people.redhat.com/sgrubb/libcap-ng/libcap-ng-0.6.4.tar.gz |
tar -xzvf libcap-ng-0.6.4.tar.gz | tar -xzvf libcap-ng-0.6.4.tar.gz | ||
cd libcap-ng-0.6.4 | cd libcap-ng-0.6.4 | ||
Ligne 73: | Ligne 76: | ||
</code> | </code> | ||
+ | ====Script mise à jour automatique==== | ||
+ | |||
+ | <code> | ||
+ | #!/bin/bash | ||
+ | cd /tmp | ||
+ | rm -rf /tmp/suricata | ||
+ | mkdir suricata | ||
+ | cd suricata | ||
+ | /usr/bin/git clone git://phalanx.openinfosecfoundation.org/oisf.git | ||
+ | cd oisf | ||
+ | ./autogen.sh | ||
+ | ./configure && make && make install | ||
+ | </code> | ||
=====Configuration===== | =====Configuration===== | ||
- | ====0) Choix de la configuration 'hoteou forwarding==== | + | ==== Choix de la configuration 'hote ou forwarding==== |
<code> | <code> | ||
echo "Mode host situation = firewall sur le pc" | echo "Mode host situation = firewall sur le pc" | ||
Ligne 85: | Ligne 101: | ||
echo "sudo iptables -I FORWARD -j NFQUEUE" | echo "sudo iptables -I FORWARD -j NFQUEUE" | ||
</code> | </code> | ||
- | ====1) copie du fichier de configuration==== | + | ==== Copie du fichier de configuration==== |
<code> | <code> | ||
sudo cp /etc/suricata/suricata-debian.yaml /etc/suricata/suricata.yaml | sudo cp /etc/suricata/suricata-debian.yaml /etc/suricata/suricata.yaml | ||
Ligne 91: | Ligne 107: | ||
</code> | </code> | ||
- | ====2) effectuer une mise à jour des règles==== | + | ==== Effectuer une mise à jour des règles==== |
<code> | <code> | ||
Ligne 110: | Ligne 126: | ||
sudo cp sagan-rules/* . | sudo cp sagan-rules/* . | ||
+ | echo "rules from suricata" | ||
sudo wget https://redmine.openinfosecfoundation.org/projects/suricata/repository/revisions/master/changes/rules/decoder-events.rules | sudo wget https://redmine.openinfosecfoundation.org/projects/suricata/repository/revisions/master/changes/rules/decoder-events.rules | ||
sudo wget https://redmine.openinfosecfoundation.org/projects/suricata/repository/revisions/master/changes/rules/stream-events.rules | sudo wget https://redmine.openinfosecfoundation.org/projects/suricata/repository/revisions/master/changes/rules/stream-events.rules | ||
+ | sudo wget https://redmine.openinfosecfoundation.org/projects/suricata/repository/revisions/master/changes/rules/smtp-events.rules | ||
+ | sudo wget https://redmine.openinfosecfoundation.org/projects/suricata/repository/revisions/master/changes/rules/http-events.rules | ||
+ | </code> | ||
+ | ==== Editer le fichier de configuration==== | ||
<code> | <code> | ||
+ | sudo gedit /etc/suricata/suricata.yaml | ||
+ | </code> | ||
+ | Chercher : "rule-files:" | ||
+ | |||
+ | Et ajouter ou retirer des règles. | ||
+ | |||
+ | Vous pouvez ajouter ces règles provenant d'emergingtreat : | ||
+ | par défaut : | ||
+ | <code> | ||
+ | - emerging-attack_response.rules | ||
+ | - emerging-dos.rules | ||
+ | - emerging-exploit.rules | ||
+ | - emerging-game.rules | ||
+ | - emerging-inappropriate.rules | ||
+ | - emerging-malware.rules | ||
+ | - emerging-p2p.rules | ||
+ | - emerging-policy.rules | ||
+ | - emerging-scan.rules | ||
+ | - emerging-virus.rules | ||
+ | - emerging-voip.rules | ||
+ | - emerging-web.rules | ||
+ | - emerging-web_client.rules | ||
+ | - emerging-web_server.rules | ||
+ | - emerging-web_specific_apps.rules | ||
+ | - emerging-user_agents.rules | ||
+ | - emerging-current_events.rules | ||
+ | </code> | ||
+ | Toutes les règles | ||
+ | <code> | ||
+ | - emerging-activex.rules | ||
+ | - emerging-attack_response.rules | ||
+ | - emerging-botcc.rules | ||
+ | - emerging-chat.rules | ||
+ | - emerging-ciarmy.rules | ||
+ | - emerging-compromised.rules | ||
+ | - emerging-current_events.rules | ||
+ | - emerging-deleted.rules | ||
+ | - emerging-dns.rules | ||
+ | - emerging-dos.rules | ||
+ | - emerging-drop.rules | ||
+ | - emerging-dshield.rules | ||
+ | - emerging-exploit.rules | ||
+ | - emerging-ftp.rules | ||
+ | - emerging-games.rules | ||
+ | - emerging-icmp_info.rules | ||
+ | - emerging-icmp.rules | ||
+ | - emerging-imap.rules | ||
+ | - emerging-inappropriate.rules | ||
+ | - emerging-malware.rules | ||
+ | - emerging-misc.rules | ||
+ | - emerging-mobile_malware.rules | ||
+ | - emerging-netbios.rules | ||
+ | - emerging-p2p.rules | ||
+ | - emerging-policy.rules | ||
+ | - emerging-pop3.rules | ||
+ | - emerging-rbn-malvertisers.rules | ||
+ | - emerging-rbn.rules | ||
+ | - emerging-rpc.rules | ||
+ | - emerging-scada.rules | ||
+ | - emerging-scan.rules | ||
+ | - emerging-shellcode.rules | ||
+ | - emerging-smtp.rules | ||
+ | - emerging-snmp.rules | ||
+ | - emerging-sql.rules | ||
+ | - emerging-telnet.rules | ||
+ | - emerging-tftp.rules | ||
+ | - emerging-tor.rules | ||
+ | - emerging-trojan.rules | ||
+ | - emerging-user_agents.rules | ||
+ | - emerging-virus.rules | ||
+ | - emerging-voip.rules | ||
+ | - emerging-web_client.rules | ||
+ | - emerging-web_server.rules | ||
+ | - emerging-web_specific_apps.rules | ||
+ | - emerging-worm.rules | ||
+ | </code> | ||
+ | |||
+ | Vous pouvez ajouter ces règles provenant de l'ips sagan : | ||
+ | <code> | ||
+ | - apache.rules | ||
+ | - apc-emu.rules | ||
+ | - arp-normalize.rulebase | ||
+ | - arp.rules | ||
+ | - asterisk.rules | ||
+ | - attack.rules | ||
+ | - bash.rules | ||
+ | - bind.rules | ||
+ | - bonding.rules | ||
+ | - bro-ids.rules | ||
+ | - cacti-thold.rules | ||
+ | - cisco-ios.rules | ||
+ | - cisco-normalize.rulebase | ||
+ | - cisco-pixasa.rules | ||
+ | - classification.config | ||
+ | - courier.rules | ||
+ | - dns-normalize.rulebase | ||
+ | - dovecot.rules | ||
+ | - fortinet.rules | ||
+ | - ftpd.rules | ||
+ | - grsec.rules | ||
+ | - hordeimp.rules | ||
+ | - hostapd.rules | ||
+ | - imapd.rules | ||
+ | - imap-normalize.rulebase | ||
+ | - ipop3d.rules | ||
+ | - juniper.rules | ||
+ | - kismet.rules | ||
+ | - knockd.rules | ||
+ | - milter.rules | ||
+ | - mysql.rules | ||
+ | - nginx.rules | ||
+ | - ntp.rules | ||
+ | - openssh-normalize.rulebase | ||
+ | - openssh.rules | ||
+ | - ossec-mi.rules | ||
+ | - ossec.rules | ||
+ | - php.rules | ||
+ | - postfix.rules | ||
+ | - postgresql.rules | ||
+ | - pptp.rules | ||
+ | - proftpd.rules | ||
+ | - pure-ftpd.rules | ||
+ | - racoon.rules | ||
+ | - reference.config | ||
+ | - roundcube.rules | ||
+ | - rsync.rules | ||
+ | - sagan-sid-msg.map | ||
+ | - samba.rules | ||
+ | - sendmail.rules | ||
+ | - smtp-normalize.rulebase | ||
+ | - snort.rules | ||
+ | - solaris.rules | ||
+ | - sonicwall-normalize.rulebase | ||
+ | - sonicwall.rules | ||
+ | - squid.rules | ||
+ | - su.rules | ||
+ | - syslog.rules | ||
+ | - tcp.rules | ||
+ | - telnet.rules | ||
+ | - tripwire.rules | ||
+ | - vmpop3d.rules | ||
+ | - vmware.rules | ||
+ | - vpopmail.rules | ||
+ | - vsftpd.rules | ||
+ | - weblabrinth.rules | ||
+ | - windows.rules | ||
+ | - wordpress.rules | ||
+ | - xinetd.rules | ||
+ | - zeus.rules | ||
+ | |||
+ | </code> | ||
- | ====3) Editer le fichier de configuratin==== | ||
=====Utilisation===== | =====Utilisation===== | ||
====Lancement==== | ====Lancement==== | ||
Ligne 123: | Ligne 294: | ||
</code> | </code> | ||
+ | <note>Si vous avez un message du genre " NFQUEUE support not found ! Please ensure the nfnetlink_queue module is loaded or built in kernel."</note> | ||
+ | |||
+ | Il vous faudra modifier le fichier "/etc/init.d/suricata" via la commande : | ||
+ | sudo nano /etc/init.d/suricata | ||
+ | |||
+ | Puis rechercher la ligne : | ||
+ | if [ ! -e /proc/net/netfilter/nf_queue ]; then | ||
+ | |||
+ | Afin de la modifier en : | ||
+ | if [ ! -e /proc/net/netfilter/nfnetlink_queue ]; then | ||
+ | ====Monitoring / Lire les logs==== | ||
+ | Les log sont dans /var/log/suricata | ||
+ | |||
+ | ====Tester l'ids / ips==== | ||
+ | |||
+ | Aller avec un navigateur internet sur le site : http://www.testmyids.com | ||
=====Liens ===== | =====Liens ===== | ||