Bonjour,
J ai pour projet de déployer l IPS suricata sur un réseau exsistant. Je ne veux pas faire de in-line mais "mirrorer" le trafic existant sur le port d un switch surlequel Suricata sera connecté.
Il semble que Suricata peut fonctionner en IPS dans ce mode en envoyant des tcp-reset/icmp error codes.
De là pleins de questions:
NIveau archi: pour pouvoir envoyer des tcp-rst / icmp error est il nécessaire que mon serveur ait une IP dédié sur le/les qui seront mirrorés ? ou alors une IP sur un autre réseau suffit ?
Compilation: je ne trouve rien de claire sur cette question, quelles options dois je rajouter ?
--enable-nfqueue ? c'est tout ?Exploitation des alertes: 2 choix:
Snorby + barnyard2 + Suricata
ou
Suricata + Logstash + Kibana
Le deuxième semble mieux mais j'attends vos avis là dessus :)
- Est-ce aisé de filtrer le trafic ? c'est à dire n'activer la fonction IPS que pour 2 hosts spécifiques ?
Par avance merci de vos réponses et de votre retour d expériences!
# Réponses ...
Posté par Christophe Nowicki (site web personnel) . Évalué à 1.
Helloo,
Non, en mode port "mirror", tu fait de l'analyse de flux, donc IDS (Intrusion detection system) et non IPS (Intrusion prevention system).
Pour faire fonctionner Suricata en IPS, il faut utiliser iptables/NFQUEUE: Setting up IPS/inline for Linux
Oui, pour l'IPS.
Simple, consomme peu de ressources, mais peu évolutif, limiter aux alertes seulement.
Plus de fonctionnalités, consomme beaucoup de ressources (Logstash = Java = JVM = achète des actions chez Kingston ;-) ),
par contre avec Logstash/Kibana tu peux remonter pleins d'informations : DNS, TLS, HTTP, etc…
En plus l'interface de Kibana est super sexy, donc c'est vendeur.
Tu as l'impression d'être dans NCIS et pouvoir détourner les satellites avec ton NIDS ;-)
Mes 0.02 pcaps
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.