L'IDS/IPS Suricata présenté dans MISC n°66 est une sonde de détection/prévention d'intrusion développée depuis 2008 par la fondation OISF. Les fonctionnalités IPS suivent de près les évolutions des systèmes d'exploitation et Suricata propose notamment sous Linux des modes de fonctionnements inédits. Cet article se propose de détailler le fonctionnement et les possibilités du mode IPS.
1. Utilisation en mode IPS
Considérations globales
En mode IPS, Suricata [SURICATA] est capable de bloquer le paquet et le flux auquel il appartient lorsqu'une signature se déclenche sur un paquet. Pour cela, il faut que la signature commence par le mot-clé « drop ». Par exemple, la signature suivante bloque les connexions si un certificat se présentant comme *.google.com n'est pas signé par la bonne autorité :
drop tls $CLIENT any -> any any ( \
tls.subject="C=US, ST=California, L=Mountain View, O=Google Inc, CN=*.google.com"; \
tls.issuerdn=!"C=US, O=Google Inc, CN=Google Internet Authority"; tls.store;)
Les jeux de signatures fournis par des structures externes comme Emerging Threats [ET] n'intègrent pas les fonctions d'IPS et il faut donc convertir manuellement les règles. Les règles étant classées par fichier, il est possible de passer le verdict à drop pour des règles homogènes. La commande modifysid de oinkmaster [OINKMASTER]...
- Accédez à tous les contenus de Connect en illimité
- Découvrez des listes de lecture et des contenus Premium
- Consultez les nouveaux articles en avant-première
