Épisode précédent
Dans l'épisode précédent nous nous sommes penchés sur le concept d'automatisation de la création de profils de données réseau, qui s'avère inestimable pour faire face à des scénarios complexes et incertains. Cela devrait aider notre système à créer un trafic de profil normal pour identifier legitimate les utilisateurs et les demandes. Mais nous devons automatiser l'utilisation de ce profil, car la possibilité de contrôler et de filtrer le trafic manuellement dans une grande infrastructure réseau est assez faible. Dans cette instruction, nous considérerons l'installation du système IPS/IDS : rapidéploiement rapide. Regardons!
Logiciels
Pour nos besoins, nous utiliserons une solution assez populaire et open source, qui offre un degré élevé de stabilité dans le déploiement, l'audit renforcera la confiance dans la sécurité du logiciel. L'ensemble de Snort et Snorby représente le module principal avec IDS/IPS et l'interface Web en conséquence. En incorporant Snort dans votre déploiement, vous bénéficiez de ses capacités étendues de détection basées sur des règles. Snort examine le trafic réseau et le compare à un ensemble prédéfini de règles pour identifier les menaces de sécurité potentielles telles que les logiciels malveillants, les attaques réseau ou les violations de politique. Il peut activement bloquer ou alerter sur les activités suspectes, fournissant une couche de sécurité supplémentaire à votre système.
Installer et exploiter
Au début écrivez cette commande pour mettre à jour l'index du package :
sudo apt update –y && sudo apt upgrade –y
Tous les packages et le chemin vers l'utilitaire seront mis à jour, mais faites attention à choisir la commande pour la mise à niveau. A cause de cette commande moins stable que améliorer, cependant, c'est votre décision. Pour la prochaine étape d'installation Docker, si dire de cet utilitaire en deux mots : application compilée. Vous n'avez pas besoin de trouver des référentiels avec des bibliothèques obsolètes et d'écrire manuellement le chemin pour connecter différents modules de votre système. Rapidéploiement rapide et utilisation confortable :
sudo apt install docker.io
Après cela, vérifiez comment l'installation s'est terminée et comment le processus a été démarré via la commande ci-dessous :
systemctl status docker
Ci-dessous des informations récapitulatives, nous pouvons voir le journal du processus, assurez-vous que tous les paquets sont corrects, comme dans l'image ci-dessus ! Ensuite, nous devons nous connecter à Docker référentiel et inscrivez-vous sur le site :
Remplissez toutes les informations d'identification nécessaires et confirmez votre e-mail, puis connectez-vous sur le serveur via la commande :
docker login
Lorsque vous entrez le mot de passe, vous ne verrez aucune donnée à l'exception de la connexion. Nous pouvons maintenant commencer à tirer ou à télécharger Docker récipient. Le processus est assez simple. Entrez la commande ci-dessous :
docker pull ciscotalos/snort3
docker pull polinux/snorby
Cependant, pour que le système fonctionne normalement, nous avons également besoin d'une base de données, qui publiera et obtiendra des informations pour notre système. Installons :
docker pull million12/mariadbdocker run \
-d \
--name snorby-db \
-p 3306:3306 \
--env="MARIADB_USER=admin" \
--env="MARIADB_PASS=admin" \
million12/mariadb
En ligne, indiquez le nom d'utilisateur et le mot de passe, entrez vos informations d'identification et enregistrez-les dans un dossier sécurisé ! Exécutez ensuite le conteneur avec le module principal :
docker run --name snort3 -h snort3 -u snorty -w /home/snorty -d -it ciscotalos/snort3 bashdocker run \
-d \
--name snorby \
-p 3000:3000 \
--env="DB_ADDRESS=localhost:3306" \
--env="DB_USER=admin" \
--env="DB_PASS=admin" \
polinux/snorbyAprès avoir exécuté ce composant, nous causons CLI Version:
docker exec -it snort3 bash
Après cela, vous verrez le shell bash que vous pouvez utiliser pour configurer IDS/IPS. Vous devez utiliser le profil de trafic normal que nous construisons pendant sept jours et définir parameters selon eux ou vous pouvez utiliser des exemples de sécurité. Pour sortir le shell bash du conteneur, vous devez taper :
exitEnsuite, nous devons installer le shell graphique pour utiliser Snorby :
sudo apt install ubuntu-desktop
Ouvrez la console Web et saisissez les données :
Allez à http://localhost:3000 et entrez les identifiants par défaut Nom d'utilisateur : snorby@snorby.org et Mot de passe : snorby
Et le système a été installé avec succès !
Conclusion
Nous avons introduit l'installation d'un système IPS/IDS pour rapid déploiement. Nous avons opté pour une solution open source populaire qui offre stabilité et audit de sécurité : la combination de Snort et Snorby. Snort, fonctionnant comme module principal avec des capacités IDS/IPS, examine le trafic réseau par rapport à des règles prédéfinies pour détecter les menaces de sécurité potentielles et peut activement bloquer ou alerter en cas d'activité suspecte. Snorby complète Snort en offrant une interface Web pour une gestion pratique.
Le processus d'installation impliquait la mise à jour de l'index des packages et la mise à niveau du système d'exploitation. Docker, une application compilée facilitant rapid déploiement et intégration facile des modules, a été installé. Le statut de la Docker service a été vérifié pour assurer une installation réussie. Par la suite, des identifiants de connexion ont été obtenus auprès du Docker référentiel, et Docker les conteneurs pour Snort, Snorby et la base de données nécessaire (Mariadb) ont été retirés.
Pour configurer la base de données, un conteneur nommé snorby-db a été exécuté avec les variables d'environnement appropriées pour la connexion et le mot de passe de l'utilisateur. De même, des conteneurs pour Snort (snort3) et Snorby ont été lancés, avec Snorby configuré pour se connecter à l'instance MariaDB. L'accès au shell bash du conteneur Snort a permis une configuration plus poussée du système IDS/IPS à l'aide d'un profil de trafic personnalisé ou d'exemples de sécurité prédéfinis.
