Installation de snort avec pulled pork
- 1. Page 1 Installation de Snort sur Ubuntu 20.04 Rédigé par : Sami MESSAOUDI
- 2. Page 2 Table des matières Présentation.......................................................................................................................................3 Qu’est-ce qu’un IDS et un IPS ? .......................................................................................................3 La solution retenue .....................................................................................................................3 Mise en place de Snort.......................................................................................................................4 Installation et configuration de Snort ..............................................................................................4 Installation et configuration de PulledPork................................................................................12
- 3. Page 3 Présentation Qu’est – ce qu’un IDS et un IPS ? L’IDS est un système de détection d’intrusion qui à pour fonction de signer une situation qui est suspecte et qui pourrait être à l’origine d’une action malveillante. L’IPS quand à lui, a pour fonction de détecter et de signaler une situation inhabituel comme IDS sauf que l’IPS peut agir directement en bloquant le processus, il n’a donc pas pour mission de signaler uniquement. La solution retenue : J’ai choisi d’utilisé Snort comme IDS, il a pour avantage d’être une solution open source, il y directement un package de règle déjà défini et qui est régulièrement mise à jour, et il peut être installé sur Pfsense. Couplé à un firewall Pfsense, il permet de mettre en place un système de firewall appeler firewall next generation, cette une solution qui est très performante et qui peut être mis en place gratuitement grâce au firewall Pfsense couplé avec Snort.
- 4. Page 4 Mise en place de Snort : J’ai décidé de mettre en place Snort sur un serveur Ubuntu 20.04, il faut avoir une adresse IP fixe et il faut avoir un serveur à jour. Installation et configuration de Snort : Step 1: Mettre à jour le serveur avec : apt-get update && apt-get dist-upgrade -y Step 2: Mettre à jour la date et l’heure selon votre localisation avec : dpkg-reconfigure tzdata Step 3: Pour télécharger tous ce que Snort à besoin, nous allons créer un dossier avec : Mkdir ~/snort_src && cd ~/snort_src
- 5. Page 5 Step 4: Installer les pré-requis pour Snort 3 avec : apt-get install -y build-essential autotools-dev libdumbnet-dev libluajit-5.1-dev libpcap-dev zlib1g-dev pkg-config libhwloc-dev cmake liblzma-dev openssl libssl-dev cpputest libsqlite3-dev libtool uuid-dev git autoconf bison flex libcmocka-dev libnetfilter-queue-dev libunwind-dev libmnl-dev ethtool Step 5: Télécharger et installer Safec pour les vérifications des limites d’exécution avec : cd~/snort_src && wget https://github.com/rurban/safeclib/releases/download/v02092020/libsafec- 02092020.tar.gz && tar -xzvf libsafec-02092020.tar.gz && cd libsafec-02092020.0- g6d921f && ./configure && make && make install Step 6 : Télécharger et installer PCRE (Perl Compatible Regular Expressions) avec : cd ~/snort_src/ && wget https://ftp.pcre.org/pub/pcre/pcre-8.44.tar.gz && tar -xzvf pcre-8.44.tar.gz && cd pcre-8.44 && ./configure && make && make install
- 6. Page 6 Step 7: Télécharger et installer gperftools avec : cd ~/snort_src && wget https://github.com/gperftools/gperftools/releases/download/gperftools- 2.8/gperftools-2.8.tar.gz && tar xzvf gperftools-2.8.tar.gz && cd gperftools-2.8 && ./configure && make && make install Step 8: Télécharger et installer ragel avec : cd ~/snort_src && wget http://www.colm.net/files/ragel/ragel-6.10.tar.gz && tar -xzvf ragel-6.10.tar.gz && cd ragel-6.10 && ./configure && make && make install step 9: Télécharger et installer la librairie Boost C++ avec : cd ~/snort_src && wget https://dl.bintray.com/boostorg/release/1.74.0/source/boost_1_74_0.tar.gz && tar - xvzf boost_1_74_0.tar.gz
- 7. Page 7 Step 10: Snort 3 utilise hyperscan pour la correspondance rapide des modèles. Hyperscan est devenu très important pour les performances de Snort, il est conseiller de télécharger la dernière version stable. Télécharger et installer hyperscan avec : cd ~/snort_src && wget https://github.com/intel/hyperscan/archive/v5.3.0.tar.gz && tar -xvzf v5.3.0.tar.gz && mkdir ~/snort_src/hyperscan-5.3.0-build && cd hyperscan- 5.3.0-build/ && cmake -DCMAKE_INSTALL_PREFIX=/usr/local - DBOOST_ROOT=~/snort_src/boost_1_74_0/ ../hyperscan-5.3.0 && make && make install Step 11: Télécharger et installer flatbuffers avec : cd ~/snort_src && wget https://github.com/google/flatbuffers/archive/v1.12.0.tar.gz - O flatbuffers-v1.12.0.tar.gz && tar -xzvf flatbuffers-v1.12.0.tar.gz && mkdir flatbuffers-build && cd flatbuffers-build && cmake ../flatbuffers-1.12.0 && make && make install Step 12: Télécharger et installer la librairie DAQ : cd ~/snort_src && wget https://www.snort.org/downloads/snortplus/libdaq- 3.0.0.tar.gz && tar -xzvf libdaq-3.0.0.tar.gz && cd libdaq-3.0.0 && ./bootstrap && ./configure && make && make install
- 8. Page 8 Step 13: Mettait à jour les librairies avec : ldconfig Step 14: Télécharger et installer Snort avec : cd ~/snort_src && wget https://www.snort.org/downloads/snortplus/snort3- 3.1.0.0.tar.gz && tar -xzvf snort3-3.1.0.0.tar.gz && cd snort3-3.1.0.0 && ./configure_cmake.sh --prefix=/usr/local --enable-tcmalloc && cd build && make && make install Step 15: Vérifier la version de Snort : /usr/local/bin/snort -V
- 9. Page 9 Step 16: Tester la configuration de Snort avec : snort -c /usr/local/etc/snort/snort.lua Configuration de la carte réseau Step 17: Choisissez l’interface sur laquelle Snort va écouter avec : ethtool -k ens3 | grep receive-offload Step 18: Créer le script systemd avec : /lib/systemd/system/ethtool.service Step 19: Entrer les informations suivantes, en remplaçant ens33 par le nom de votre interface.
- 10. Page 10 Step 20: Activer et démarrer ethtool Step 21: Créer les dossiers et fichiers nécessaire pour Snort avec : mkdir /usr/local/etc/rules mkdir /usr/local/etc/so_rules/ mkdir /usr/local/etc/lists/ touch /usr/local/etc/rules/snort.rules touch /usr/local/etc/rules/local.rules touch /usr/local/etc/lists/default.blocklist mkdir /var/log/snort Step 22: Aller dans le fichier local.rules pour créer une régle.
- 11. Page 11 Step 23: Créer une alerte ICMP avec: alert icmp any any -> any any ( msg:"ICMP Traffic Detected"; sid:10000001; metadata:policy security-ips alert; ) Step 24: On voit bien les Ping remonté.
- 12. Page 12 Step 25: Aller dans le fichier de configuration de Snort. Step 26: Configurer l’IPS comme ci-dessous. Step 27: Vérifier qu’il n’y a pas de problème dans la configuration. Installation et configuration de PulledPork: PulledPork permet de récupérer les nouvelles règles Snort de manière automatique. Step 28: Installer les pré-requis de PulledPork avec: apt-get install -y libcrypt-ssleay-perl liblwp-useragent-determined-perl
- 13. Page 13 Step 29: Télécharger et installer PulledPork avec : cd ~/snort_src wget https://github.com/shirkdog/pulledpork/archive/master.tar.gz -O pulledpork- master.tar.gz tar xzvf pulledpork-master.tar.gz cd pulledpork-master/ sudo cp pulledpork.pl /usr/local/bin sudo chmod +x /usr/local/bin/pulledpork.pl sudo mkdir /usr/local/etc/pulledpork sudo cp etc/*.conf /usr/local/etc/pulledpork Step 30: cp pulledpork.pl /usr/local/bin chmod +x /usr/local/bin/pulledpork.pl Step 31: mkdir /usr/local/etc/pulledpork cp etc/*.conf /usr/local/etc/pulledpork Step 32: Vérifier la version de PulledPork avec : /usr/local/bin/pulledpork.pl -V Step 33: Aller dans le fichier de configuration de PulledPork.
- 14. Page 14 Step 34: A la ligne 19, il faut changer l’url et mettre votre oinkcode : rule_url=https://www.snort.org/rules/|snortrules-snapshot.tar.gz|<oinkcode> Dé commenter la ligne 21. Step 35: A la ligne 72, il faut pointer vers le bon fichier de règle Snort. Step 36: A la ligne 87, il faut dire à PulledPork ou se trouve le fichier de règle. Step 37: A la ligne 94, mettre en version 2. Step 38: A la ligne 110,
- 15. Page 15 Step 39: A la ligne 134, Choisissez l’OS que vous utilisez. A la ligne 142, Il faut dire à PulledPork ou enregistrer les blocklists. A la ligne 151, Indiquez à PulledPork l'emplacement par défaut des listes de blocage et d’autorisation. Step 40: A la ligne 186, dite à PulledPork ou le deamon Snort enregistre le PID en cours d’exécution. Step 41: A la ligne 209, dé commenter cette ligne. Step 42: Lancer PulledPork pour voir si il n’y pas de problème et pour mettre à jour la liste de règles.
- 16. Page 16 Step 43: Maintenant on vas automatiser la tache effectué juste avant avec : crontab -e Step 44: Déterminer l’heure qui vous convient, personnellement j’ai choisi 21h. 44 13 * * * /usr/local/bin/pulledpork.pl -c /usr/local/etc/pulledpork/pulledpork.conf -l -P -E -H SIGHUP
- 17. Page 17 Step 45: Il faut changer le rule_path par : include = RULE_PATH .. "/snort.rules", Step 46: Tester Snort pour voir si les règles ont bien était téléchargé.