SNORT_INLINE - Le Tutorial Facile

Snort_Inline Pont
Dernière modif: Dec 06 2007

Outil
Installation
Ergonomie
Forum

Détails Snort_Inline, c'est quoi?
Captures d'écran
Prérequis
Installation
Oinkmaster - Règles Snort
Oinkmaster - Règles Bleeding
Lancer Snort_Inline
BASE
Construire un pont (bridge)

⚠️⚠️⚠️
Please check our website about
attractions in Western Switzerland !! (Please use english translation).

⚠️⚠️⚠️
Merci de consulter notre site sur les
activités à faire en Suisse romande !!

Après tous nos efforts pour configurer Snort_Inline, nous devons être attentifs à mettre norte tout nouveau IPS à la bonne place dans le réseau.

Un IDS Snort a juste besoin d'être connecté au port d'un switch où il reçoit le trafic venant d'un port mirroiré. Voir comment configurer le port mirroring.

Pour notre IPS, la configuration réseau précédemment citée ne peut pas être utilisée parce que Snort_Inline doit vérifier les paquets avant de décider si il faut les accepter ou les refuser. Il doit être placé le long du brin réseau que nous voulons analyser et configuré en pont (bridge).
Il vous faut donc un minimum de deux interfaces réseaux, un mobre de trois est idéal parce que vous pouvez dédier un port à la gestion de l'IPS.

bridge debian ubuntu IPS snort_inline

Chargement du module du noyau bridge.

#modprobe bridge
Installation de l'outil pour gérer des ponts:

#apt-get install bridge-utils
Configuration du réseau (fichier /etc/network/interfaces).
Si vous avez une interface réseau dédiée à la gestion du pont, choisissez le cas 1, sinon (ie: vous n'avez que seulement 2 interfaces réseau) choisissez le cas 2.

CAS 1 CAS 2

# fichier /etc/network/interfaces
#
# interface Loopback
auto lo
      iface lo inet loopback
#
# Configuration du pont (bridge)
auto br0
iface br0 inet manual
    # Ports que vous voulez ajouter dans
    # le pont
    bridge_ports eth0 eth1
    # Temps qu'il faut attendre avant
    # le lancement du pont
    bridge_maxwait 0
#
# Configuration de la gestion du pont
# interface.
auto eth2
iface eth2 inet static
      address 192.168.1.22
      netmask 255.255.255.0
      broadcast 192.168.1.255
      gateway 192.168.1.1 # fichier /etc/network/interfaces
#
# interface Loopback
auto lo
      iface lo inet loopback
#
# Configuration du pont (bridge)
auto br0
iface br0 inet static
      address 192.168.1.22
      netmask 255.255.255.0
      broadcast 192.168.1.255
      gateway 192.168.1.1
    # Ports que vous voulez ajouter dans
    # le pont
    bridge_ports eth0 eth1
    # Temps qu'il faut attendre avant
    # le lancement du pont
    bridge_maxwait 0

Redémarrage du service réseau.

#/etc/init.d/networking restart
* Reconfiguring network interfaces...

Vous pouvez voir les journaux avec la commande suivante:

#tail -f /var/log/syslog
Ci-dessous, la sortie écran des journaux (logs) pendant le redémarrage du service réseau.

ubuntu kernel: br0: port 2(eth1) entering disabled state
ubuntu kernel: br0: port 1(eth0) entering disabled state
ubuntu dhclient: receive_packet failed on eth0: Network is down
ubuntu kernel: device eth0 left promiscuous mode
ubuntu kernel: audit(1175176752.661:116): dev=eth0 prom=0 old_prom=256 auid=4294967295
ubuntu kernel: br0: port 1(eth0) entering disabled state
ubuntu kernel: eth1: Setting promiscuous mode.
ubuntu dhclient: receive_packet failed on eth1: Network is down
ubuntu dhclient: receive_packet failed on eth1: Network is down
ubuntu kernel: device eth1 left promiscuous mode
ubuntu kernel: audit(1175176752.669:117): dev=eth1 prom=0 old_prom=256 auid=4294967295
ubuntu kernel: br0: port 2(eth1) entering disabled state
ubuntu kernel: device eth0 entered promiscuous mode
ubuntu kernel: audit(1175176752.741:118): dev=eth0 prom=256 old_prom=0 auid=4294967295
ubuntu kernel: ADDRCONF(NETDEV_UP): eth0: link is not ready
ubuntu kernel: e100: eth0: e100_watchdog: link up, 100Mbps, half-duplex
ubuntu kernel: device eth1 entered promiscuous mode
ubuntu kernel: audit(1175176752.769:119): dev=eth1 prom=256 old_prom=0 auid=4294967295
ubuntu kernel: ACPI: PCI Interrupt 0000:01:0e.0[A] -> GSI 22 (level, low) -> IRQ 185
ubuntu kernel: eth1: setting full-duplex.
ubuntu kernel: eth1: Setting promiscuous mode.
ubuntu last message repeated 6 times
ubuntu kernel: br0: port 2(eth1) entering learning state
ubuntu kernel: br0: port 1(eth0) entering learning state
ubuntu kernel: ADDRCONF(NETDEV_CHANGE): eth0: link becomes ready
ubuntu kernel: br0: no IPv6 routers present
ubuntu kernel: eth1: no IPv6 routers present
ubuntu kernel: eth0: no IPv6 routers present
ubuntu kernel: br0: topology change detected, propagating
ubuntu kernel: br0: port 2(eth1) entering forwarding state
ubuntu kernel: br0: topology change detected, propagating

Les statistiques des interfaces réseaux (cas 2, voir plus haut)
L'adresse MAC du pont est la plus petite adresse MAC de ses membres.

#ifconfig
br0     Link encap:Ethernet HWaddr 00:00:11:22:33:44
         inet addr:192.168.1.22 Bcast:192.168.1.255 Mask:255.255.255.0
         inet6 addr: fe80::202:55ff:fe13:9d05/64 Scope:Link
         UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
         RX packets:1061 errors:0 dropped:0 overruns:0 frame:0
         TX packets:878 errors:0 dropped:0 overruns:0 carrier:0
         collisions:0 txqueuelen:0
         RX bytes:723663 (706.7 KiB) TX bytes:115514 (112.8 KiB)

eth0    Link encap:Ethernet HWaddr 00:00:11:22:33:44
         inet6 addr: fe80::202:55ff:fe13:9d05/64 Scope:Link
         UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
         RX packets:16738 errors:0 dropped:0 overruns:0 frame:0
         TX packets:6824 errors:0 dropped:0 overruns:0 carrier:0
         collisions:10 txqueuelen:1000
         RX bytes:5782167 (5.5 MiB) TX bytes:704700 (688.1 KiB)

eth1    Link encap:Ethernet HWaddr 00:99:aa:bb:cc:dd
         UP BROADCAST MULTICAST MTU:1500 Metric:1
         RX packets:36605 errors:0 dropped:0 overruns:0 frame:0
         TX packets:1842 errors:0 dropped:0 overruns:0 carrier:14
         collisions:0 txqueuelen:1000
         RX bytes:9446601 (9.0 MiB) TX bytes:160001 (156.2 KiB)
         Interrupt:185 Base address:0x4f80

lo      Link encap:Local Loopback
        inet addr:127.0.0.1 Mask:255.0.0.0
        inet6 addr: ::1/128 Scope:Host
        UP LOOPBACK RUNNING MTU:16436 Metric:1
        RX packets:8393 errors:0 dropped:0 overruns:0 frame:0
        TX packets:8393 errors:0 dropped:0 overruns:0 carrier:0
        collisions:0 txqueuelen:0
        RX bytes:1077749 (1.0 MiB) TX bytes:1077749 (1.0 MiB)

Utilisez la commande brctl pour voir les membres du bridge.

#brctl show
bridge name   bridge id                     STP enabled       interfaces
br0               8000.000255139d05       no                   eth1
                                                                         eth0

Ajoutez un "cron job" pour charger le module du noyau bridge chaque fois que votre Linux démarre.

#crontab -e -u root

@reboot root lsmod | grep bridge >/dev/null || /sbin/modprobe bridge;

Donnez-nous vos impressions sur ce tutorial !!!

CAS 1		CAS 2
# fichier /etc/network/interfaces # # interface Loopback auto lo iface lo inet loopback # # Configuration du pont (bridge) auto br0 iface br0 inet manual # Ports que vous voulez ajouter dans # le pont bridge_ports eth0 eth1 # Temps qu'il faut attendre avant # le lancement du pont bridge_maxwait 0 # # Configuration de la gestion du pont # interface. auto eth2 iface eth2 inet static address 192.168.1.22 netmask 255.255.255.0 broadcast 192.168.1.255 gateway 192.168.1.1		# fichier /etc/network/interfaces # # interface Loopback auto lo iface lo inet loopback # # Configuration du pont (bridge) auto br0 iface br0 inet static address 192.168.1.22 netmask 255.255.255.0 broadcast 192.168.1.255 gateway 192.168.1.1 # Ports que vous voulez ajouter dans # le pont bridge_ports eth0 eth1 # Temps qu'il faut attendre avant # le lancement du pont bridge_maxwait 0