Christophe : 1 version

2012-05-28T20:31:51Z

1 version

← Version précédente	Version du 28 mai 2012 à 20:31
(Aucune différence)

Christophe : /* /etc/snort/snort.conf */

2011-04-03T07:32:36Z

/etc/snort/snort.conf

Nouvelle page

[[Category:Sécurité]]

http://www.snort.org

=Installation=
==Snort==
Snort est l’outil de détection d’intrusion.

<blockquote class=gentoo>
Package Gentoo: snort +flexresp2 +inline +ipv6
</blockquote>

<pre>
#emerge snort
#rc-update add snort default
</pre>

Le mode inline permet l'utilisation du firewall iptables par snort.
Trois nouvelles actions deviennent possibles:
* drop - The drop rule type will tell iptables to drop the packet and log it via usual Snort means.
* reject - The reject rule type will tell iptables to drop the packet, log it via usual Snort means, and send a TCP reset if the protocol is TCP or an icmp port unreachable if the protocol is UDP.
* sdrop - The sdrop rule type will tell iptables to drop the packet. Nothing is logged.

<blockquote class="note">
'''Remarque :''' Pour utiliser l’option <tt>flexresp</tt> qui permet de couper (avec des tcp-reset) des connexions jugées suspectes, il faut utiliser la bibliothèque libnet. Cette bibliothèque existe en 2 versions et peut poser un problème lors de l’installation. Une solution est alors de désactiver flexresp dans le ebuild.
</blockquote>
<blockquote class="note">
'''Remarque :''' En mai 2009, gentoo passe de snort-2.6 à snort-2.8, l'utilisation de snortsam n'est plus possible juste avec un flag 'use'. De plus, dans la catégorie reset automatique de connexion, flexresp devient flexresp2.
</blockquote>
<blockquote class="note">
'''Remarque :''' En 2011, gentoo passe de snort-2.8 à snort-2.9, il faut compiler avec l'utilisation d'ipv6 pour utiliser la variable ipvar dans snort.conf.
</blockquote>

==Barnyard==
Barnyard libére snort de l’ « output » des alertes. Snort gagne alors en performances. Le package fait partie de la distribution gentoo mais il est masqué.

<blockquote class=gentoo>
Package Gentoo: barnyard
</blockquote>

<pre>
#emerge barnyard
#rc-update add barnyard default
</pre>
==Oinkmaster==
http://oinkmaster.sourceforge.net/

Oinkmaster est un script qui permet de faire des mises à jour intelligentes et automatiques des règles snort.

<blockquote class=gentoo>
Package Gentoo: oinkmaster
</blockquote>

=Configuration=
==Snort==
===/etc/snort/snort.conf===

Le fichier snort.conf se décompose en 4 parties :
* La définition de variables pour les règles
* La configuration des preprocesseurs
* La configuration de « l’output » - dont barnyard:
<licode file=/etc/snort/snort.conf>
output log_unified: filename snort.log, limit 128
</licode>
*Le choix des règles (A EXPLIQUER)

====Spécificités ====
* Arrêter les alertes : ''stream5: Limit on number of overlapping TCP packets reached''
Mettre 0 au paramètre overlap_limit de stream5_tcp
<licode file=/etc/snort/snort.conf>
reprocessor stream5_tcp: policy linux, detect_anomalies, require_3whs 180, \
overlap_limit 0, small_segments 3 bytes 150, timeout 180, \
</licode>

* Arrêter les alertes ''http_inspect: LONG HEADER''
Mettre 0 au paramètre max_header_length 0 \
<licode file=/etc/snort/snort.conf>
preprocessor http_inspect_server: server default \
chunk_length 500000 \
server_flow_depth 0 \
client_flow_depth 0 \
post_depth 65495 \
oversize_dir_length 500 \
max_header_length 0 \
max_headers 100 \
</licode>

====Limiter la mémoire====
http://www.snort.org/docs/faq/3Q06/node86.html

A partir de snort 2.6, la configuration par défaut de snort utilise beaucoup de mémoire.
Décommenter la ligne config detection pour diminuer la mémoire utilisée par snort:

<licode file=/etc/snort/snort.conf>
# Use a different pattern matcher in case you have a machine with very limited
# resources:
#
config detection: search-method lowmem
</licode>

Toutefois, il existe des configurations intermédiaires (cf [http://www.snort.org/docs documentation de snort] sur config detection).

===/etc/conf.d/snort===
<licode file=/etc/conf.d/snort>
IFACE=eth0
# Make sure this matches your IFACE
PIDFILE=/var/run/snort_$IFACE.pid
# You probably don't want to change this, but in case you do
LOGDIR="/var/log/snort"
# Probably not this either
CONF=/etc/snort/snort.conf

# This pulls in the options above
SNORT_OPTS="-D -A FULL -u snort –g snort -i $IFACE -l $LOGDIR -c $CONF"
</licode>

Explication:
*-D : fait tourner snort en “démon”
*-A FULL : permet d’inscrire le « payload » dans les logs
*-u snort :snort a les droits de l’utilisateur snort
*-g snort : snort a les droits du groupe snort
*-i $IFACE : snort écoute sur l’interface $IFACE, càd eth0 ici
*-l $LOGDIR : indique le répertoire des logs snort
*-c $conf : indique l’emplacement du fichier de configuration

===debuggage au lancement===

#snort -A FULL -u snort –g snort -i eth0 –c /etc/snort/snort.conf

==Barnyard==
/etc/conf.d/barnyard.conf
* -c $conf : indiquer l’emplacement du fichier de configuration
* -w : permet à barnyard de repartir là où il s’est arrêté

<licode file=/etc/snort/barnyard.conf>
config daemon
config localtime
config hostname <fw-xxxxx>
config interface
output log_acid_db
</licode>

debuggage

Désactiver config daemon de <tt>/etc/snort/barnyard.conf</tt>
<pre>
#barnyard –c /etc/snort/barnyard.conf –f snort.log
</pre>

<blockquote class=note>
'''Remarque :''' l’option –o (oneshot) permet de traiter un fichier de log en entier. Ensuite barnyard s’arrête.
</blockquote>

==Oinkmaster==
oinkmaster.conf 
Le fichier de configuration est très bien documenté.
On peut désactiver et modifier des règles avec les commandes modifysid et disablesid.

Ne pas oublier de mettre à jour l'url de téléchargement de snort et des règles utilisées
L'url change régulièrement avec les nouvelles version de snort donc il est bon de se mettre à jour via la page https://www.snort.org/account/oinkcode

<licode file=/etc/oinkmaster.conf>
url = http://www.snort.org/pub-bin/oinkmaster.cgi/<oinkcode>/snortrules-snapshot-<version>.tar.gz
# Example for Community rules
url = http://www.snort.org/pub-bin/downloads.cgi/Download/comm_rules/Community-Rules.tar.gz
</licode>

Tester avec la ligne de commande

#su –c "/usr/bin/oinkmaster.pl -o /etc/snort/ -C /etc/oinkmaster.conf -c"

L’option –c (careful) permet de ne mettre à jour aucune règle.

La mise à jour automatique (crontab)

Déposer le script snort.cron dans <tt>/etc/cron.daily</tt>

Lui donner les droits d’exécution.

#chmod u+x /etc/cron.daily/snort.cron

<licode file=/etc/cron.daily/snort.cron>
#!/bin/bash
echo "snort.cron"
su -c "/usr/bin/oinkmaster.pl -o /etc/snort/rules -C /etc/oinkmaster.conf >> /var/log/snort/oinkmaster.log"
su -c "/usr/bin/create-sidmap.pl /etc/snort/rules > /etc/snort/sid-msg.map"

/etc/init.d/barnyard stop
/etc/init.d/barnyard zap
/etc/init.d/snort stop
/etc/init.d/mysql stop
/etc/init.d/snort zap
/etc/init.d/mysql zap
/etc/init.d/snort start
myisamchk -r -s /var/lib/mysql/snort_db/*.MYI
/etc/init.d/mysql start
/etc/init.d/barnyard start
</licode>

<blockquote>''Remarque:''
La version CVD de oinkmaster permettrait aussi de mettre à jour les so_rules
</blockquote>

==emerging threats==
http://doc.emergingthreats.net/

<licode file=/etc/snort/snort.conf>
include $RULE_PATH/emerging-attack_response.rules
...
</licode>

<licode file=/etc/oinkmaster.conf>
url = http://emergingthreats.net/rules/emerging.rules.tar.gz
</licode>

==Snortsam==
http://www.snortsam.net/index.html

Snortsam permet de dynamiser la configuration des firewall à partir des alertes snort.

==BASE==
http://sourceforge.net/projects/secureideas/

[http://wiki.livois.com/mediawiki/index.php/Gestion_des_logs Cf gestion des logs]

=Administration=
==La définition de règles==
(cf règles existantes et SnortUserManual chez http://www.snort.org/docs/)

==Utilisation==
Statistiques

Les commandes suivantes permettent toutes les deux d‘envoyer les statistiques de snort dans <tt>/var/log/message</tt> :
<pre>
#/bin/kill –SIGUSR1 <pid de snort>
#/bin/killall –USR1 snort
</pre>

==Nettoyer la base mysql==
myisamchk
permet de vérifier, réparer et optimiser des tables (.MYI et .MYD)
les tables par défaut de mysql sont des tables MYISAM :
* .frm sont les définitions (forms) de tables
* .MYI sont les tables INDEX
* .MYD sont les tables DATA

myisamchk *.MYI vérifie toutes les tables du répertoire. 
il crée une copie de .MYD, ligne par ligne. 
il remplace l'ancien .MYD par le nouveau

les options :
* -v mode verbeux
* -i donne des informations statistiques
* -r corrige les erreurs
* -a analyse la distribution des clefs - améliore la performance des "join"
* -d décrit la table

<licode file=/etc/contab>
35 0 * * 0 /path/to/myisamchk --fast --silent /path/to/datadir/*/*.MYI
</licode>

<pre>
#myisamchk --analyze table.MYI
#myisamchk -r *.MYI
#mysqladmin refresh
</pre>

{{Copy|2006-2011|Christophe de Livois|FDL}}

IDS Snort - Historique des versions

Christophe : 1 version

Christophe : /* /etc/snort/snort.conf */

Christophe : 1 version

Christophe : /* /etc/snort/snort.conf */