Forum Linux.général Suricata -> questions...

Posté par  . Licence CC By‑SA.
Étiquettes :
0
13
mai
2014

Bonjour,
J ai pour projet de déployer l IPS suricata sur un réseau exsistant. Je ne veux pas faire de in-line mais "mirrorer" le trafic existant sur le port d un switch surlequel Suricata sera connecté.
Il semble que Suricata peut fonctionner en IPS dans ce mode en envoyant des tcp-reset/icmp error codes.

De là pleins de questions:

  • NIveau archi: pour pouvoir envoyer des tcp-rst / icmp error est il nécessaire que mon serveur ait une IP dédié sur le/les qui seront mirrorés ? ou alors une IP sur un autre réseau suffit ?

  • Compilation: je ne trouve rien de claire sur cette question, quelles options dois je rajouter ?
    --enable-nfqueue ? c'est tout ?

  • Exploitation des alertes: 2 choix:
    Snorby + barnyard2 + Suricata
    ou
    Suricata + Logstash + Kibana

Le deuxième semble mieux mais j'attends vos avis là dessus :)

  • Est-ce aisé de filtrer le trafic ? c'est à dire n'activer la fonction IPS que pour 2 hosts spécifiques ?

Par avance merci de vos réponses et de votre retour d expériences!

  • # Réponses ...

    Posté par  (site web personnel) . Évalué à 1.

    Helloo,

    Il semble que Suricata peut fonctionner en IPS dans ce mode en envoyant des tcp-reset/icmp error codes.

    Non, en mode port "mirror", tu fait de l'analyse de flux, donc IDS (Intrusion detection system) et non IPS (Intrusion prevention system).
    Pour faire fonctionner Suricata en IPS, il faut utiliser iptables/NFQUEUE: Setting up IPS/inline for Linux

    Compilation: je ne trouve rien de claire sur cette question, quelles options dois je rajouter ?
    --enable-nfqueue ? c'est tout ?

    Oui, pour l'IPS.

    Exploitation des alertes: 2 choix:
    Snorby + barnyard2 + Suricata

    Simple, consomme peu de ressources, mais peu évolutif, limiter aux alertes seulement.

    Suricata + Logstash + Kibana

    Plus de fonctionnalités, consomme beaucoup de ressources (Logstash = Java = JVM = achète des actions chez Kingston ;-) ),
    par contre avec Logstash/Kibana tu peux remonter pleins d'informations : DNS, TLS, HTTP, etc…
    En plus l'interface de Kibana est super sexy, donc c'est vendeur.
    Tu as l'impression d'être dans NCIS et pouvoir détourner les satellites avec ton NIDS ;-)

    Mes 0.02 pcaps

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.