Fonctionnement de Suricata en mode IPS

Magazine
Marque
MISC
Numéro
69
Mois de parution
septembre 2013
Domaines


Résumé
L'IDS/IPS Suricata présenté dans MISC n°66 est une sonde de détection/prévention d'intrusion développée depuis 2008 par la fondation OISF. Les fonctionnalités IPS suivent de près les évolutions des systèmes d'exploitation et Suricata propose notamment sous Linux des modes de fonctionnements inédits. Cet article se propose de détailler le fonctionnement et les possibilités du mode IPS.

1. Utilisation en mode IPS

Considérations globales

En mode IPS, Suricata [SURICATA] est capable de bloquer le paquet et le flux auquel il appartient lorsqu'une signature se déclenche sur un paquet. Pour cela, il faut que la signature commence par le mot-clé « drop ». Par exemple, la signature suivante bloque les connexions si un certificat se présentant comme *.google.com n'est pas signé par la bonne autorité :

drop tls $CLIENT any -> any any ( \

tls.subject="C=US, ST=California, L=Mountain View, O=Google Inc, CN=*.google.com"; \

tls.issuerdn=!"C=US, O=Google Inc, CN=Google Internet Authority"; tls.store;)

Les jeux de signatures fournis par des structures externes comme Emerging Threats [ET] n'intègrent pas les fonctions d'IPS et il faut donc convertir manuellement les règles. Les règles étant classées par fichier, il est possible de passer le verdict à drop pour des règles homogènes. La commande modifysid de oinkmaster [OINKMASTER] automatise ce processus :

modifysid...

Cet article est réservé aux abonnés. Il vous reste 95% à découvrir.
à partir de 21,65€ HT/mois/lecteur pour un accès 5 lecteurs à toute la plateforme
J'en profite


Articles qui pourraient vous intéresser...

Comprendre les bases de données relationnelles

Magazine
Marque
Linux Pratique
Numéro
122
Mois de parution
novembre 2020
Domaines
Résumé

Indispensables pour le stockage et le traitement massif de données, les bases de données relationnelles sont partout. Si elles sont utilisées principalement pour l’informatique de gestion, on les rencontre également dans des domaines aussi divers que les sites web, les systèmes d’exploitation ou même les jeux vidéo. Dans cet article, nous allons vous faire découvrir les principaux concepts qui sous-tendent leur fonctionnement.

Les lolbas, des amis qui vous veulent du bien

Magazine
Marque
MISC
Numéro
112
Mois de parution
novembre 2020
Domaines
Résumé

Il existe des fichiers nativement présents sur Windows pouvant être détournés par un attaquant et ainsi être utilisés lors des différentes phases de compromission. Dans cet article, nous présenterons quelques cas d’utilisations de ces fichiers par des attaquants, ainsi que des solutions de prévention contre ces attaques.

Sécurité réseau dans un cluster Kubernetes

Magazine
Marque
MISC
Numéro
112
Mois de parution
novembre 2020
Domaines
Résumé

En introduisant le concept de micro-services, Kubernetes lance un nouveau défi aux solutions d’isolation et de filtrage réseau : comment gérer les droits d’accès réseau dans une infrastructure en constante mutation et dans laquelle une machine n’a plus un rôle prédéterminé ?

Définissez l'architecture de vos serveurs et installez-les

Magazine
Marque
Linux Pratique
HS n°
Numéro
49
Mois de parution
novembre 2020
Domaines
Résumé

Dans cet article, nous réfléchirons aux besoins de sécurité auxquels nos serveurs devront répondre. Il sera d’ailleurs plus question d’architecture que de serveur personnel. Pourquoi cela ? Car nos besoins vont à coup sûr évoluer dans le temps. L’approche la plus pérenne sera donc de mener une réflexion basée sur des services et non sur un serveur unique. Nous allons aussi nous attacher à assurer la résilience de nos services de base. Nos choix d’architecture auront pour objectif de pouvoir mieux détecter, contrer et éventuellement réparer les dommages causés par une attaque informatique. Nous pourrons par exemple restaurer nos services si un attaquant réussissait à prendre le contrôle du serveur. Notre plan de bataille commencera par la définition des grandes lignes de notre infrastructure, puis par la sélection de nos fournisseurs. Nous déploierons ensuite le serveur avec un premier palier de sécurisation système.