Fonctionnement de Suricata en mode IPS

Magazine
Marque
MISC
Numéro
69
Mois de parution
septembre 2013
Domaines


Résumé
L'IDS/IPS Suricata présenté dans MISC n°66 est une sonde de détection/prévention d'intrusion développée depuis 2008 par la fondation OISF. Les fonctionnalités IPS suivent de près les évolutions des systèmes d'exploitation et Suricata propose notamment sous Linux des modes de fonctionnements inédits. Cet article se propose de détailler le fonctionnement et les possibilités du mode IPS.

1. Utilisation en mode IPS

Considérations globales

En mode IPS, Suricata [SURICATA] est capable de bloquer le paquet et le flux auquel il appartient lorsqu'une signature se déclenche sur un paquet. Pour cela, il faut que la signature commence par le mot-clé « drop ». Par exemple, la signature suivante bloque les connexions si un certificat se présentant comme *.google.com n'est pas signé par la bonne autorité :

drop tls $CLIENT any -> any any ( \

tls.subject="C=US, ST=California, L=Mountain View, O=Google Inc, CN=*.google.com"; \

tls.issuerdn=!"C=US, O=Google Inc, CN=Google Internet Authority"; tls.store;)

Les jeux de signatures fournis par des structures externes comme Emerging Threats [ET] n'intègrent pas les fonctions d'IPS et il faut donc convertir manuellement les règles. Les règles étant classées par fichier, il est possible de passer le verdict à drop pour des règles homogènes. La commande modifysid de oinkmaster [OINKMASTER] automatise ce processus :

modifysid...

Cet article est réservé aux abonnés. Il vous reste 95% à découvrir.
à partir de 21,65€ HT/mois/lecteur pour un accès 5 lecteurs à toute la plateforme
J'en profite


Articles qui pourraient vous intéresser...

Désamorcer des bombes logiques

Magazine
Marque
MISC
Numéro
111
Mois de parution
septembre 2020
Domaines
Résumé

Aujourd’hui, les développeurs de code malveillant sont capables de contourner les mesures de sécurité et les techniques d’analyse les plus poussées grâce à de simples mécanismes appelés « bombes logiques ». Un exemple significatif est le Google Play qui accepte toujours des applications malveillantes pouvant déjouer ses barrières de sécurité. Cette introduction aux bombes logiques permet de sensibiliser sur les différentes solutions pouvant être mises en place pour détecter ces artifices.

Retour d’expérience : investigation numérique dans un environnement Windows

Magazine
Marque
MISC
Numéro
111
Mois de parution
septembre 2020
Domaines
Résumé

L’investigation numérique d’un système d’information (SI) consiste à comprendre d’un point de vue temporel et factuel les évènements ayant conduit à l’incident. Bien que les SI présentent une architecture bien souvent commune, les interventions sont toutes différentes et mettent en lumière l’ingéniosité des attaquants afin d’œuvrer de la manière la plus discrète possible. Nous allons présenter au cours de cet article, notre retour d’expérience relatif à une intervention auprès d’un client début 2020.

Les utilitaires relatifs aux namespaces

Magazine
Marque
GNU/Linux Magazine
Numéro
240
Mois de parution
septembre 2020
Domaines
Résumé

Après un premier article [1] sur la notion de namespace et de conteneur avec un passage en revue des appels système, ce second opus se concentre sur les commandes mises à disposition de l’utilisateur.

Sécurisation du serveur

Magazine
Marque
Linux Pratique
HS n°
Numéro
48
Mois de parution
septembre 2020
Domaines
Résumé

Notre serveur RHEL est désormais fin prêt à être utilisé et maintenu, sans peine et de manière confortable. Cependant, notre travail n’est pas terminé. Il nous reste encore un élément crucial à valider : nous assurer que le serveur est aussi sûr et protégé que possible face à un éventuel assaillant mal attentionné.